基于内容识别的身份和访问管理的研究
2014-09-24涂刚刘华清陈振东
涂刚 刘华清 陈振东
摘 要:传统的身份和访问管理(Identity and Access Management,简称IAM)虽然提供了令人信服的优势。但这些控制通常止步于访问层面,用户获得了信息后便无法控制用户对信息使用,从而不能完全阻止信息的误用或不当泄露。基于内容识别的IAM解决方案将控制延伸到数据层面,能更好地控制对信息的使用,降低风险,实现安全流程的自动化,从而提高效率,并增强整体法规遵从程度。
关键词:身份分析;控制访问;控制信息
中图分类号:TP302 文献标识码:A
Abstract:Traditional identity and access management while providing a compelling advantage.However,these controls are usually stop at the access level,the user cant control access to the information after the user of the information used,and thus cant completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level,to better control the use of information,reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance.
Keywords:capacity analysis;access control;information control
1 引言(Introduction)
IT组织在提高运营效率、降低风险,加强数据保密性等方面必须高效管理用户身份,并控制对关键系统、应用程序和信息的访问;然而仅仅只是控制用户及其对这些资源的访问还远远不够,还必须控制信息的使用[1]。保护信息在未经授权下的访问和不当使用十分必要,目的在于提供符合IT组织业务、用户和合作伙伴最为需要的法规遵从和安全性。IT基础架构必须支持不断增加的用户和应用程序、联盟身份系统和复杂的法规遵从要求。传统的身份和访问管理系统通常无法轻松地满足这些日益复杂的要求,因此需要开发新的身份系统模型[2]。
2 身份和访问管理(Identity and access management)
身份和访问管理是大多数IT组织的一个重要技术领域,其利用率与重要性在不断提高。IAM通过规定用户对受保护资源(包括系统、应用程序和信息)仅拥有相应级别的访问权限,奠定了有效的安全性。IAM通过实施适用的策略和指定能够访问每种资源的用户以及允许访问的条件来保护资源;并通过实现诸多安全过程的自动化降低管理成本;增强法规遵从则通过自动化安全控制和简化法规遵从审核来实现。IAM还可快速部署新的在线服务,同时支持安全的合作伙伴生态系统以加快业务增长[2]。
传统的IAM系统往往关注控制身份、控制访问两个领域。控制户身份主要是管理用户身份及其角色,从而控制访问资源,保证对身份和访问策略的遵从,监控用户和法规遵从活动。支持这些功能的技术包括身份监管、角色管理、备份和日志管理等。控制访问涉及到实施有关访问的策略,支持这些功能的技术包括Web访问管理、联盟、Web服务安全和特权用户管理。传统的IAM虽然可以控制对关键应用程序和信息的访问,但无法控制用户对所获取信息执行的操作[3]。
在制定信息使用策略时,确保违反策略的行为能够与具体的身份相关联。只是简单地通知发生了违反信息使用策略的行为还不够,必须阻止违规行为的发生,同时能够跟踪到具体的违规用户。此外,访问决策的制定依据不仅应包括所访问信息的敏感度,还应包括试图访问信息的用户身份。因此,访问和信息使用策略应基于身份。信息安全关注点往往是控制访问,而不是快速高效地进行适当的访问。但是,允许适当的用户轻松、动态地共享信息,对于实现业务的高效运营和增长也是十分必要的[3]。
3 基于内容识别的身份和访问管理(Context-based identification of IAM)
基于内容识别的身份和访问管理(简称为基于内容识别的IAM)能够控制用户身份、用户的访问以及用户对信息的使用,从而加强和自动化安全控制。传统的IAM仅止步于控制访问层面,使得组织的控制范围过小,而基于内容识别的身份和访问管理则通过对用户、信息乃至信息使用进行管理和控制;这一粒度化控制可避免数据滥用,包括组织信息的不当泄露或窃取等。
基于内容识别的IAM与其他IAM组件集成在一起,构成一个统一的解决方案,从而使得权利管理、角色管理、置备甚至访问管理都是基于“内容识别”的,它们的功能与信息分类和使用集成在一起,并受到信息分类和使用的影响。基于内容识别的IAM有效地管理和控制:身份、访问和信息使用三个领域,如图1所示。控制身份可以高效地管理用户、用户角色以及用户在整个企业范围内的访问权限;控制访问将仅允许适当授权的用户访问关键系统和应用程序。但是,这还不足以构成一个统一的实现安全性和法规遵从的方法。控制信息使用至关重要,通过制定数据策略,定义数据的特定分类方式和禁止对这些数据执行的操作或动作,有助于防止企业/客户机密信息被不当窃取/泄露。
基于内容识别的IAM关键是数据分类。数据分类可以是静态的,也可以是动态的。数据分类涉及到将数据内容与预定义模板进行比较,目的是确定数据是否为敏感信息。静态分类是指按照计划或道接命令进行数据分析。动态分类是指在信息使用过程中对其进行分析,以防可能出现的不当使用行为;如果尝试执行任何未经批准的操作,应提供多种可配置的选项,如:阻止操作或允许操作但警告、通知管理员、将异常事件输入系统日志以及其他措施。endprint
基于内容识别的IAM提供额外的防护,保护信息免遭滥用或泄露。基于内容识别的IAM将安全与数据更加紧密地结合起来可提高安全性;通过对敏感数据的特性及其敏感度等级进行类属描述,可以自动对数据进行分类。基于内容识别的IAM是IAM技术发展的自然产物,使信息内容和使用在其他关键的IAM过程中发挥了作用,这些过程包括置备、身份认证、用户活动报告和访问管理等。如果知道某位用户过去使用敏感信息的方式,基于内容识别的IAM可以更加恰当地确定此用户应该具有的角色和权利,或利用数据分类来确定是否应准许访问请求。基于内容识别的IAM可以提高策略的实施力度,从而降低IT风险。
4 基于内容识别的IAM的架构(The framework of context-based identification of IAM)
实施基于内容识别的IAM安全策略,实现安全流程自动化;基于内容识别的IAM包括身份分析、访问实施和报告三部分,如图2所示。
4.1 身份分析
身份分析包括Identity Manager、Role and Compliance Manager、Enterprise Log Manager三部分,通过管理和监管用户基于其角色所能访问的资源来实现的。Identity Manager与Role and Compliance Manager自动创建账户和访问权限,通过工作流过程获得上级管理层的批准;方便用户快速进入工作状态。如果用户的角色和项目职责发生变化,其的访问权限也相应地自动更改适应其的新职责,从而保证当前角色不会拥有超出需要的访问权限。Role and Compliance Manage还自动认证用户的权利,快速检测并纠正由于疏忽而出现的越权行为。
身份分析还包括用户活动和法规遵从报告;完整的身份生命周期管理可应对不断发展的需求,确保用户可以正确又及时地访问所需的应用程序、系统和数据,同时制定适当的流程和控制以将安全风险降至最低。身份监管支持使用控制来避免违反业务和监管策略,并使验证用户访问权限的过程实现自动化以降低安全风险。置备可以使创建、修改和删除用户及其相关访问的过程实现自动化。自助服务允许最终用户来启动置备操作、密码管理及相关过程。角色管理将用户及其所需的访问高效地表示为统一身份过程的基础。
4.2 访问实施
控制访问控制对物理、虚拟和云环境中系统和应用程序的访问,用于控制在一系列平台和环境中对受保护系统和应用程序的访问。这些功能通过阻止对整个企业范围内关键资源的不当访问,帮助降低IT风险。Web访问管理提供了一种集中的策略实施方式,以确定哪些用户可访问在线应用程序,以及允许访问的条件。将应用访问实施集中到应用程序外部,有助于简化安全管理,降低安全管理成本,推进统一的安全实施。特权用户管理提供了粒度化控制,决定管理员可以对系统执行哪些操作,大大增强本机操作系统所提供的安全性。它可以确保物理和虚拟系统的安全,并安全地跟踪、记录并报告所有特权用户活动。虚拟化安全有助于保护虚拟环境中部署的系统和应用程序免受外部或来自跨虚拟机活动的攻击或误用。高级身份验证和防欺诈提供了灵活的功能呢,可提高用户身份验证的强度(包括基于风险的身份验证),以帮助识别和阻止企图实施的欺诈行为。
4.3 报告
用户活动和法规遵从报告通过自动化的日志文件关联与分析,以及对法规遵从和用户活动状态进行报告,提高安全性,使法规遵从变得更简单。基于内容识别的IAM框架注重各组件之间的集成度,促进各组件之间界面的一致性。采用了虚拟计算,将需要确保托管虚拟环境的物理计算机得到了全面的保护,可免遭攻击或跨虚拟机访问。基于内容识别的IAM框架可轻松安全地迁移到云计算。
5 结论(Conclusion)
基于内容识别的IAM解决方案并不是静态的。我们正在研究扩展IAM架构,集成更多基于内容识别的功能,改善用户权利管理,有助于做出更稳健、更有效的访问管理决策。致力于使核心的身份管理和访问管理组件实现内容识别,从而提供一个集成、无缝的平台来管理身份、访问和信息。
参考文献(References)
[1] 郑伟,徐宝祥,徐波.面向服务架构研究综述[J].情报科学,2009,27(8):1269-1279.
[2] Jim Knutson,Heather Kreger.Web Services for J2EE. http://www.huihoo.org/openweb/web_services_for_j2ee/index.shtml.html.2008
[3] Jean-Jacques Moreau,Canon Jeffrey Schlimmer.Web Ser-vices Description Language(WSDL)Version 1.2:Bindings.http://www.w3.org/TR/2003/WD-wsdl12-bind-ings-20030124/.2008
作者简介:
涂 刚(1971-),男,硕士,副教授.研究领域:软件技术,计算机网络编程.
刘华清(1968-),男,本科,讲师.研究领域:软件技术,数据库技术.
陈振东(1969-),男,本科,讲师.研究领域:多媒体技术,数据库技术.endprint