PDF《了解自己：中型企业如何使用》

了解自己: 中型企业如何使用 身份管理程序降低成本、保 护数据并确保合规性 重点介绍 Oracle Identity Management 的白皮书

2007 年11 月 身份管理程序 执行概要 中型企业正在用更少的钱办更多的事,这在很大程度上是通过将业务模型建立 在互联网基础上并开发协作的环境将员工、客户、合作伙伴和供应商连接到一 起来实现的.

所有业务事务的基础都由人员构成.对于这些人员而言,若要实 现沟通、协作并处理业务,他们必须能够以安全、可靠的方式识别与之打交道 的人的身份.然而,当今的中型企业需要在针对开放式访问授权用户的需求与 维护信息安全和隐私的职责之间达成一种平衡. 一个强大的身份管理平台扮演着业务智能和信息的看门人与保护人的双重角 色. 如果不能控制对其网络和业务系统的访问, 中型企业就无法提高运营效率. 对于更复杂的情况,许多企业还必须报告这一信息,以确保合规性. 本白皮书将重点探讨中型企业的特殊需求,并探究促使其转向更强大的身份管 理平台(如Oracle Identity Management)的因素. 转向更强大的身份管理的推动因素 身份管理的定义是:适用于全程(入职、修改和最终离职)维护和管理数字用户 档案的技术和流程.1 简而言之,它需要确保适合的人员可以对适合的资源和信 息进行安全的访问.对于中型企业,有很多因素促使其转向更强大的身份管理. 不断增加的合规性要求 Sarbanes-Oxley、Gramm-Leach-Bliley、Health Information Portability and Accountability Act (HIPAA) 和欧盟的 Directive on Data Protection 等法规使信 息安全备受瞩目. 同样, 小型和大型企业也不得不遵守这些法规, 否则将面临高额 罚款, 甚至于企业高层管理人员遭受刑拘. 遗憾的是, 许多中型企业正尝试使用手 动、低效的流程来遵守这些法规.

1 Vallacencio, Frank. At the Whiteboard:Identity Management for SMBs ,ZDNet Video. http://news.zdnet.com/html/z/wb/6169875.html.访问时间:2007 年3月27 日. 身份管理程序 第2页IDC Research 指出,身份和访问管理 (IAM) 市场在

2006 年的收入估计 为34 亿美元,而到

2010 年该收入将超过

50 亿美元.合规性是主要的 推动因素,占该领域增长的 70%.2 中型企业面临着与大型公司相同的合规性挑战 ― 任何与上市公司有业务往来的 公司通常都需要遵守同样的法规.然而,实现合规性的成本昂贵,不仅需要 建立系统和流程,还需要控制和验证合规性做法 ― 所有这一切都要高 效运转,并可长期持续. 手动流程通常是无法实现合规性并导致成本失控的罪魁祸首.许多错误通常是 在授权时犯下的.手动跟踪对敏感信息和机密信息(如Excel 电子表格和电子 邮件)的访问真的是太难了.如果不实现流程的自动化,中型企业很难跨部门、 合作伙伴和组织审计和对照身份或更改以确认或建立访问权限或职责分离机 制. 提升运营效率 一个健康、可持续发展的企业在很大程度上源于保持运营成本在预算范围内并不断找寻降 低成本的方法.对于中型企业来说,降低成本的指示和 少花钱多办事 是每天都要面 对的现实.将选定组(即IT)内、部门(即HR 和IT)之间以及整个组织(即 员工和合作伙伴)中的流程进行自动化通常可以提升运营效率. 根据 The Burton Group 和Gartner 的研究,口 令重置占所有帮助台 话务量的 30%,平 均通话成本在 $25 和$50 之间. 大多数中型企业运行多个应用程序以保持运营的顺畅.而每个应用程序需要供大 量不同的用户访问.通常,连只运行几十个应用程序的中型企业可能也需要针对数百个 用户(包括员工、合作伙伴和供应商)管理各种级别的访问权限.因此,通过这一点很容易 看出如果没有实现自动化,成本和安全性将会很快失控. IT 员工很容易陷入每周花费几十个小时供应(即设置)或更改帐户的困境.而且,根 据中型企业的内部运营情况,在招聘新员工后,这一过程可能需要几周的时间.此时,当员工闲着没事坐等访问权限或口令重置时,与数周不事生产相关的成本问题就出现了. 根据 The Burton Group 和Gartner 的研究,口令重置占所有帮助台话务量的 30%,3 平均通话成本预计在 $25 到$50 之间.4 这里存在着另一个问题;

用 户是人,他们会忘记口令和用户 ID.他们致电帮助台,获取分配的新口令.从表 面上看,这似乎不是一个大问题.但是,从全局来看,如果以每年、每个员工为 基础查看该信息,中型企业单是管理用户口令和访问权限的成本就将成指数级增 长.

2 Hudson, Sally, Silicon Image Demonstrates How SMBs Can Meet Compliance Demands with Oracle Identity Management ,2007.

3 Phifer, Lisa. Beyond Passwords:Stronger Authentication ,ISP Planet. http://www.isp-planet.com/technology/2005/beyond_passwords_1a.html, 访问时间:2007 年5月1日.

4 http://www.techxworld.com/slides/Identity_Management.ppt,访问时间:2007 年5月1日身份管理程序 第3页提高安全性的需求不断增加 只要公司和人员继续保存和交流敏感信息、 内容、 数据和交易, 安全漏洞的风险就始终存在. 当今的罪犯利用互联网的开放特性在全球范围内制造成功率极高的、侵袭性犯 罪事件.他们不断利用在线应用程序和网络的低效率,并且随着手段越来越高 明,这种行为日渐猖獗. 个人可识别信息(即,社会保险编号、年龄、地址、电话等)的保密和保护是当今最 受瞩目的问题之一.对用户、员工和客户数据的未授权访问经常导致身份盗窃和其 他形式的欺诈.因此,当消费者意识增强时,才有可能出台更多保护此类敏感信息的法规. 然而,安全性威胁还包括 内部人员作案 ,在这种情况下,人们至少 需要某种类型的有效证书 ― 通常用于跟踪意图偷窃或破坏数据以实 施报复的不满员工.Gartner 推测 70% 的对信息系统的未授权访问都是 由内部人员造成的.导致重大财务损失的侵入有 95% 以上都是这种类型.

5 ……随着中 型企业发现自身处 于当今不断变化且 相互联系的全球化 经济体中, 他们还逐 渐意识到以往的常 规业务系统和流程 不适合整合、集成、 联合以及自动化平 面世界中的工作. 遗憾的是,如果没有某种类型的自动化身份管理系统,中型企业经常容易成为受 攻击的目标.由于每个应用程序通常都有其自己的内置安全机制,因此中型企业很难在 企业中的多个平台间建立一致的标准和政策(即,口令).这种情形使得企业无法严格 控制需要访问权限和获得访问权限的人员. 不用说, 它不能很好地保证对访问权 限进行正确的取消供应或终止. 平面世界的出现 Thomas Friedman 在他的畅销书 The World is Flat: A Brief History of the Twenty-First Century 中分析了全球化进程及其对当今企业运营的影响.在Friedman 的平面世界中,中型企业现在可以在一个 公平的、全球化、 支持 Web 的竞争环境中 推动竞争.6 但是, 随着中型企业发现自身处于当今不断变化和相互联系的全球化经济 体中,他们还逐渐意识到以往的常规业务系统和流程不适合整合、集成、 联合和自动化平面世界中的工作. 今天, 身份管理解决方案需要处理将中 型企业的员工、 贸易合作伙伴和主要的利益相关方联系在一起的动态交互 以及不同关系.定义划分公司内部受众和外部受众的虚拟线现已不再有用. 当今企业新的协作特性迫切需要一个跨应用程序、部门和企业连接的单源身份 管理解决方案.关键是平衡控制,使信息、流程和系统可供相应用户使用,同 时不影响安全性.

5 Hunter, Richard. Security a World Without Secrets ,Analyst Report,2002 年2月.

6 Friedman, Thomas.The World is Flat:A Brief History of the Twenty-First Century,2005. 身份管理程序 第4页在当今的环境中,身份管理对于发展中的企业至关重要 可........