涂剛　劉華清　陳振東

摘 要：傳統(tǒng)的身份和訪問管理（Identity and Access Management，簡(jiǎn)稱IAM）雖然提供了令人信服的優(yōu)勢(shì)。但這些控制通常止步于訪問層面，用戶獲得了信息后便無法控制用戶對(duì)信息使用，從而不能完全阻止信息的誤用或不當(dāng)泄露?；趦?nèi)容識(shí)別的IAM解決方案將控制延伸到數(shù)據(jù)層面，能更好地控制對(duì)信息的使用，降低風(fēng)險(xiǎn)，實(shí)現(xiàn)安全流程的自動(dòng)化，從而提高效率，并增強(qiáng)整體法規(guī)遵從程度。

關(guān)鍵詞：身份分析；控制訪問；控制信息

中圖分類號(hào)：TP302 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：Traditional identity and access management while providing a compelling advantage.However，these controls are usually stop at the access level，the user cant control access to the information after the user of the information used，and thus cant completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level，to better control the use of information，reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance.

Keywords：capacity analysis；access control；information control

1 引言（Introduction）

IT組織在提高運(yùn)營(yíng)效率、降低風(fēng)險(xiǎn)，加強(qiáng)數(shù)據(jù)保密性等方面必須高效管理用戶身份，并控制對(duì)關(guān)鍵系統(tǒng)、應(yīng)用程序和信息的訪問；然而僅僅只是控制用戶及其對(duì)這些資源的訪問還遠(yuǎn)遠(yuǎn)不夠，還必須控制信息的使用[1]。保護(hù)信息在未經(jīng)授權(quán)下的訪問和不當(dāng)使用十分必要，目的在于提供符合IT組織業(yè)務(wù)、用戶和合作伙伴最為需要的法規(guī)遵從和安全性。IT基礎(chǔ)架構(gòu)必須支持不斷增加的用戶和應(yīng)用程序、聯(lián)盟身份系統(tǒng)和復(fù)雜的法規(guī)遵從要求。傳統(tǒng)的身份和訪問管理系統(tǒng)通常無法輕松地滿足這些日益復(fù)雜的要求，因此需要開發(fā)新的身份系統(tǒng)模型[2]。

2 身份和訪問管理（Identity and access management）

身份和訪問管理是大多數(shù)IT組織的一個(gè)重要技術(shù)領(lǐng)域，其利用率與重要性在不斷提高。IAM通過規(guī)定用戶對(duì)受保護(hù)資源（包括系統(tǒng)、應(yīng)用程序和信息）僅擁有相應(yīng)級(jí)別的訪問權(quán)限，奠定了有效的安全性。IAM通過實(shí)施適用的策略和指定能夠訪問每種資源的用戶以及允許訪問的條件來保護(hù)資源；并通過實(shí)現(xiàn)諸多安全過程的自動(dòng)化降低管理成本；增強(qiáng)法規(guī)遵從則通過自動(dòng)化安全控制和簡(jiǎn)化法規(guī)遵從審核來實(shí)現(xiàn)。IAM還可快速部署新的在線服務(wù)，同時(shí)支持安全的合作伙伴生態(tài)系統(tǒng)以加快業(yè)務(wù)增長(zhǎng)[2]。

傳統(tǒng)的IAM系統(tǒng)往往關(guān)注控制身份、控制訪問兩個(gè)領(lǐng)域?？刂茟羯矸葜饕枪芾碛脩羯矸菁捌浣巧?，從而控制訪問資源，保證對(duì)身份和訪問策略的遵從，監(jiān)控用戶和法規(guī)遵從活動(dòng)。支持這些功能的技術(shù)包括身份監(jiān)管、角色管理、備份和日志管理等。控制訪問涉及到實(shí)施有關(guān)訪問的策略，支持這些功能的技術(shù)包括Web訪問管理、聯(lián)盟、Web服務(wù)安全和特權(quán)用戶管理。傳統(tǒng)的IAM雖然可以控制對(duì)關(guān)鍵應(yīng)用程序和信息的訪問，但無法控制用戶對(duì)所獲取信息執(zhí)行的操作[3]。

在制定信息使用策略時(shí)，確保違反策略的行為能夠與具體的身份相關(guān)聯(lián)。只是簡(jiǎn)單地通知發(fā)生了違反信息使用策略的行為還不夠，必須阻止違規(guī)行為的發(fā)生，同時(shí)能夠跟蹤到具體的違規(guī)用戶。此外，訪問決策的制定依據(jù)不僅應(yīng)包括所訪問信息的敏感度，還應(yīng)包括試圖訪問信息的用戶身份。因此，訪問和信息使用策略應(yīng)基于身份。信息安全關(guān)注點(diǎn)往往是控制訪問，而不是快速高效地進(jìn)行適當(dāng)?shù)脑L問。但是，允許適當(dāng)?shù)挠脩糨p松、動(dòng)態(tài)地共享信息，對(duì)于實(shí)現(xiàn)業(yè)務(wù)的高效運(yùn)營(yíng)和增長(zhǎng)也是十分必要的[3]。

3 基于內(nèi)容識(shí)別的身份和訪問管理（Context-based identification of IAM）

基于內(nèi)容識(shí)別的身份和訪問管理（簡(jiǎn)稱為基于內(nèi)容識(shí)別的IAM）能夠控制用戶身份、用戶的訪問以及用戶對(duì)信息的使用，從而加強(qiáng)和自動(dòng)化安全控制。傳統(tǒng)的IAM僅止步于控制訪問層面，使得組織的控制范圍過小，而基于內(nèi)容識(shí)別的身份和訪問管理則通過對(duì)用戶、信息乃至信息使用進(jìn)行管理和控制；這一粒度化控制可避免數(shù)據(jù)濫用，包括組織信息的不當(dāng)泄露或竊取等。

基于內(nèi)容識(shí)別的IAM與其他IAM組件集成在一起，構(gòu)成一個(gè)統(tǒng)一的解決方案，從而使得權(quán)利管理、角色管理、置備甚至訪問管理都是基于“內(nèi)容識(shí)別”的，它們的功能與信息分類和使用集成在一起，并受到信息分類和使用的影響?；趦?nèi)容識(shí)別的IAM有效地管理和控制：身份、訪問和信息使用三個(gè)領(lǐng)域，如圖1所示?？刂粕矸菘梢愿咝У毓芾碛脩?、用戶角色以及用戶在整個(gè)企業(yè)范圍內(nèi)的訪問權(quán)限；控制訪問將僅允許適當(dāng)授權(quán)的用戶訪問關(guān)鍵系統(tǒng)和應(yīng)用程序。但是，這還不足以構(gòu)成一個(gè)統(tǒng)一的實(shí)現(xiàn)安全性和法規(guī)遵從的方法?？刂菩畔⑹褂弥陵P(guān)重要，通過制定數(shù)據(jù)策略，定義數(shù)據(jù)的特定分類方式和禁止對(duì)這些數(shù)據(jù)執(zhí)行的操作或動(dòng)作，有助于防止企業(yè)/客戶機(jī)密信息被不當(dāng)竊取/泄露。

基于內(nèi)容識(shí)別的IAM關(guān)鍵是數(shù)據(jù)分類。數(shù)據(jù)分類可以是靜態(tài)的，也可以是動(dòng)態(tài)的。數(shù)據(jù)分類涉及到將數(shù)據(jù)內(nèi)容與預(yù)定義模板進(jìn)行比較，目的是確定數(shù)據(jù)是否為敏感信息。靜態(tài)分類是指按照計(jì)劃或道接命令進(jìn)行數(shù)據(jù)分析。動(dòng)態(tài)分類是指在信息使用過程中對(duì)其進(jìn)行分析，以防可能出現(xiàn)的不當(dāng)使用行為；如果嘗試執(zhí)行任何未經(jīng)批準(zhǔn)的操作，應(yīng)提供多種可配置的選項(xiàng)，如：阻止操作或允許操作但警告、通知管理員、將異常事件輸入系統(tǒng)日志以及其他措施。endprint

基于內(nèi)容識(shí)別的IAM提供額外的防護(hù)，保護(hù)信息免遭濫用或泄露。基于內(nèi)容識(shí)別的IAM將安全與數(shù)據(jù)更加緊密地結(jié)合起來可提高安全性；通過對(duì)敏感數(shù)據(jù)的特性及其敏感度等級(jí)進(jìn)行類屬描述，可以自動(dòng)對(duì)數(shù)據(jù)進(jìn)行分類?；趦?nèi)容識(shí)別的IAM是IAM技術(shù)發(fā)展的自然產(chǎn)物，使信息內(nèi)容和使用在其他關(guān)鍵的IAM過程中發(fā)揮了作用，這些過程包括置備、身份認(rèn)證、用戶活動(dòng)報(bào)告和訪問管理等。如果知道某位用戶過去使用敏感信息的方式，基于內(nèi)容識(shí)別的IAM可以更加恰當(dāng)?shù)卮_定此用戶應(yīng)該具有的角色和權(quán)利，或利用數(shù)據(jù)分類來確定是否應(yīng)準(zhǔn)許訪問請(qǐng)求?；趦?nèi)容識(shí)別的IAM可以提高策略的實(shí)施力度，從而降低IT風(fēng)險(xiǎn)。

4 基于內(nèi)容識(shí)別的IAM的架構(gòu)（The framework of context-based identification of IAM）

實(shí)施基于內(nèi)容識(shí)別的IAM安全策略，實(shí)現(xiàn)安全流程自動(dòng)化；基于內(nèi)容識(shí)別的IAM包括身份分析、訪問實(shí)施和報(bào)告三部分，如圖2所示。

4.1 身份分析

身份分析包括Identity Manager、Role and Compliance Manager、Enterprise Log Manager三部分，通過管理和監(jiān)管用戶基于其角色所能訪問的資源來實(shí)現(xiàn)的。Identity Manager與Role and Compliance Manager自動(dòng)創(chuàng)建賬戶和訪問權(quán)限，通過工作流過程獲得上級(jí)管理層的批準(zhǔn)；方便用戶快速進(jìn)入工作狀態(tài)。如果用戶的角色和項(xiàng)目職責(zé)發(fā)生變化，其的訪問權(quán)限也相應(yīng)地自動(dòng)更改適應(yīng)其的新職責(zé)，從而保證當(dāng)前角色不會(huì)擁有超出需要的訪問權(quán)限。Role and Compliance Manage還自動(dòng)認(rèn)證用戶的權(quán)利，快速檢測(cè)并糾正由于疏忽而出現(xiàn)的越權(quán)行為。

身份分析還包括用戶活動(dòng)和法規(guī)遵從報(bào)告；完整的身份生命周期管理可應(yīng)對(duì)不斷發(fā)展的需求，確保用戶可以正確又及時(shí)地訪問所需的應(yīng)用程序、系統(tǒng)和數(shù)據(jù)，同時(shí)制定適當(dāng)?shù)牧鞒毯涂刂埔詫踩L(fēng)險(xiǎn)降至最低。身份監(jiān)管支持使用控制來避免違反業(yè)務(wù)和監(jiān)管策略，并使驗(yàn)證用戶訪問權(quán)限的過程實(shí)現(xiàn)自動(dòng)化以降低安全風(fēng)險(xiǎn)。置備可以使創(chuàng)建、修改和刪除用戶及其相關(guān)訪問的過程實(shí)現(xiàn)自動(dòng)化。自助服務(wù)允許最終用戶來啟動(dòng)置備操作、密碼管理及相關(guān)過程。角色管理將用戶及其所需的訪問高效地表示為統(tǒng)一身份過程的基礎(chǔ)。

4.2 訪問實(shí)施

控制訪問控制對(duì)物理、虛擬和云環(huán)境中系統(tǒng)和應(yīng)用程序的訪問，用于控制在一系列平臺(tái)和環(huán)境中對(duì)受保護(hù)系統(tǒng)和應(yīng)用程序的訪問。這些功能通過阻止對(duì)整個(gè)企業(yè)范圍內(nèi)關(guān)鍵資源的不當(dāng)訪問，幫助降低IT風(fēng)險(xiǎn)。Web訪問管理提供了一種集中的策略實(shí)施方式，以確定哪些用戶可訪問在線應(yīng)用程序，以及允許訪問的條件。將應(yīng)用訪問實(shí)施集中到應(yīng)用程序外部，有助于簡(jiǎn)化安全管理，降低安全管理成本，推進(jìn)統(tǒng)一的安全實(shí)施。特權(quán)用戶管理提供了粒度化控制，決定管理員可以對(duì)系統(tǒng)執(zhí)行哪些操作，大大增強(qiáng)本機(jī)操作系統(tǒng)所提供的安全性。它可以確保物理和虛擬系統(tǒng)的安全，并安全地跟蹤、記錄并報(bào)告所有特權(quán)用戶活動(dòng)。虛擬化安全有助于保護(hù)虛擬環(huán)境中部署的系統(tǒng)和應(yīng)用程序免受外部或來自跨虛擬機(jī)活動(dòng)的攻擊或誤用。高級(jí)身份驗(yàn)證和防欺詐提供了靈活的功能呢，可提高用戶身份驗(yàn)證的強(qiáng)度（包括基于風(fēng)險(xiǎn)的身份驗(yàn)證），以幫助識(shí)別和阻止企圖實(shí)施的欺詐行為。

4.3 報(bào)告

用戶活動(dòng)和法規(guī)遵從報(bào)告通過自動(dòng)化的日志文件關(guān)聯(lián)與分析，以及對(duì)法規(guī)遵從和用戶活動(dòng)狀態(tài)進(jìn)行報(bào)告，提高安全性，使法規(guī)遵從變得更簡(jiǎn)單?；趦?nèi)容識(shí)別的IAM框架注重各組件之間的集成度，促進(jìn)各組件之間界面的一致性。采用了虛擬計(jì)算，將需要確保托管虛擬環(huán)境的物理計(jì)算機(jī)得到了全面的保護(hù)，可免遭攻擊或跨虛擬機(jī)訪問?；趦?nèi)容識(shí)別的IAM框架可輕松安全地遷移到云計(jì)算。

5 結(jié)論（Conclusion）

基于內(nèi)容識(shí)別的IAM解決方案并不是靜態(tài)的。我們正在研究擴(kuò)展IAM架構(gòu)，集成更多基于內(nèi)容識(shí)別的功能，改善用戶權(quán)利管理，有助于做出更穩(wěn)健、更有效的訪問管理決策。致力于使核心的身份管理和訪問管理組件實(shí)現(xiàn)內(nèi)容識(shí)別，從而提供一個(gè)集成、無縫的平臺(tái)來管理身份、訪問和信息。

參考文獻(xiàn)（References）

[1] 鄭偉，徐寶祥，徐波.面向服務(wù)架構(gòu)研究綜述[J].情報(bào)科學(xué)，2009，27（8）：1269-1279.

[2] Jim Knutson，Heather Kreger.Web Services for J2EE. http：//www.huihoo.org/openweb/web_services_for_j2ee/index.shtml.html.2008

[3] Jean-Jacques Moreau，Canon Jeffrey Schlimmer.Web Ser-vices Description Language（WSDL）Version 1.2：Bindings.http：//www.w3.org/TR/2003/WD-wsdl12-bind-ings-20030124/.2008

作者簡(jiǎn)介：

涂 剛（1971-），男，碩士，副教授.研究領(lǐng)域：軟件技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)編程.

劉華清（1968-），男，本科，講師.研究領(lǐng)域：軟件技術(shù)，數(shù)據(jù)庫(kù)技術(shù).

陳振東（1969-），男，本科，講師.研究領(lǐng)域：多媒體技術(shù)，數(shù)據(jù)庫(kù)技術(shù).endprint