涂剛　劉華清　陳振東

摘 要：傳統(tǒng)的身份和訪問管理（Identity and Access Management，簡稱IAM）雖然提供了令人信服的優(yōu)勢。但這些控制通常止步于訪問層面，用戶獲得了信息后便無法控制用戶對信息使用，從而不能完全阻止信息的誤用或不當泄露?；趦热葑R別的IAM解決方案將控制延伸到數(shù)據(jù)層面，能更好地控制對信息的使用，降低風險，實現(xiàn)安全流程的自動化，從而提高效率，并增強整體法規(guī)遵從程度。

關鍵詞：身份分析；控制訪問；控制信息

中圖分類號：TP302 文獻標識碼：A

Abstract：Traditional identity and access management while providing a compelling advantage.However，these controls are usually stop at the access level，the user cant control access to the information after the user of the information used，and thus cant completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level，to better control the use of information，reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance.

Keywords：capacity analysis；access control；information control

1 引言（Introduction）

IT組織在提高運營效率、降低風險，加強數(shù)據(jù)保密性等方面必須高效管理用戶身份，并控制對關鍵系統(tǒng)、應用程序和信息的訪問；然而僅僅只是控制用戶及其對這些資源的訪問還遠遠不夠，還必須控制信息的使用[1]。保護信息在未經(jīng)授權下的訪問和不當使用十分必要，目的在于提供符合IT組織業(yè)務、用戶和合作伙伴最為需要的法規(guī)遵從和安全性。IT基礎架構必須支持不斷增加的用戶和應用程序、聯(lián)盟身份系統(tǒng)和復雜的法規(guī)遵從要求。傳統(tǒng)的身份和訪問管理系統(tǒng)通常無法輕松地滿足這些日益復雜的要求，因此需要開發(fā)新的身份系統(tǒng)模型[2]。

2 身份和訪問管理（Identity and access management）

身份和訪問管理是大多數(shù)IT組織的一個重要技術領域，其利用率與重要性在不斷提高。IAM通過規(guī)定用戶對受保護資源（包括系統(tǒng)、應用程序和信息）僅擁有相應級別的訪問權限，奠定了有效的安全性。IAM通過實施適用的策略和指定能夠訪問每種資源的用戶以及允許訪問的條件來保護資源；并通過實現(xiàn)諸多安全過程的自動化降低管理成本；增強法規(guī)遵從則通過自動化安全控制和簡化法規(guī)遵從審核來實現(xiàn)。IAM還可快速部署新的在線服務，同時支持安全的合作伙伴生態(tài)系統(tǒng)以加快業(yè)務增長[2]。

傳統(tǒng)的IAM系統(tǒng)往往關注控制身份、控制訪問兩個領域?？刂茟羯矸葜饕枪芾碛脩羯矸菁捌浣巧瑥亩刂圃L問資源，保證對身份和訪問策略的遵從，監(jiān)控用戶和法規(guī)遵從活動。支持這些功能的技術包括身份監(jiān)管、角色管理、備份和日志管理等?？刂圃L問涉及到實施有關訪問的策略，支持這些功能的技術包括Web訪問管理、聯(lián)盟、Web服務安全和特權用戶管理。傳統(tǒng)的IAM雖然可以控制對關鍵應用程序和信息的訪問，但無法控制用戶對所獲取信息執(zhí)行的操作[3]。

在制定信息使用策略時，確保違反策略的行為能夠與具體的身份相關聯(lián)。只是簡單地通知發(fā)生了違反信息使用策略的行為還不夠，必須阻止違規(guī)行為的發(fā)生，同時能夠跟蹤到具體的違規(guī)用戶。此外，訪問決策的制定依據(jù)不僅應包括所訪問信息的敏感度，還應包括試圖訪問信息的用戶身份。因此，訪問和信息使用策略應基于身份。信息安全關注點往往是控制訪問，而不是快速高效地進行適當?shù)脑L問。但是，允許適當?shù)挠脩糨p松、動態(tài)地共享信息，對于實現(xiàn)業(yè)務的高效運營和增長也是十分必要的[3]。

3 基于內容識別的身份和訪問管理（Context-based identification of IAM）

基于內容識別的身份和訪問管理（簡稱為基于內容識別的IAM）能夠控制用戶身份、用戶的訪問以及用戶對信息的使用，從而加強和自動化安全控制。傳統(tǒng)的IAM僅止步于控制訪問層面，使得組織的控制范圍過小，而基于內容識別的身份和訪問管理則通過對用戶、信息乃至信息使用進行管理和控制；這一粒度化控制可避免數(shù)據(jù)濫用，包括組織信息的不當泄露或竊取等。

基于內容識別的IAM與其他IAM組件集成在一起，構成一個統(tǒng)一的解決方案，從而使得權利管理、角色管理、置備甚至訪問管理都是基于“內容識別”的，它們的功能與信息分類和使用集成在一起，并受到信息分類和使用的影響?；趦热葑R別的IAM有效地管理和控制：身份、訪問和信息使用三個領域，如圖1所示?？刂粕矸菘梢愿咝У毓芾碛脩?、用戶角色以及用戶在整個企業(yè)范圍內的訪問權限；控制訪問將僅允許適當授權的用戶訪問關鍵系統(tǒng)和應用程序。但是，這還不足以構成一個統(tǒng)一的實現(xiàn)安全性和法規(guī)遵從的方法?？刂菩畔⑹褂弥陵P重要，通過制定數(shù)據(jù)策略，定義數(shù)據(jù)的特定分類方式和禁止對這些數(shù)據(jù)執(zhí)行的操作或動作，有助于防止企業(yè)/客戶機密信息被不當竊取/泄露。

基于內容識別的IAM關鍵是數(shù)據(jù)分類。數(shù)據(jù)分類可以是靜態(tài)的，也可以是動態(tài)的。數(shù)據(jù)分類涉及到將數(shù)據(jù)內容與預定義模板進行比較，目的是確定數(shù)據(jù)是否為敏感信息。靜態(tài)分類是指按照計劃或道接命令進行數(shù)據(jù)分析。動態(tài)分類是指在信息使用過程中對其進行分析，以防可能出現(xiàn)的不當使用行為；如果嘗試執(zhí)行任何未經(jīng)批準的操作，應提供多種可配置的選項，如：阻止操作或允許操作但警告、通知管理員、將異常事件輸入系統(tǒng)日志以及其他措施。endprint

基于內容識別的IAM提供額外的防護，保護信息免遭濫用或泄露?；趦热葑R別的IAM將安全與數(shù)據(jù)更加緊密地結合起來可提高安全性；通過對敏感數(shù)據(jù)的特性及其敏感度等級進行類屬描述，可以自動對數(shù)據(jù)進行分類?；趦热葑R別的IAM是IAM技術發(fā)展的自然產(chǎn)物，使信息內容和使用在其他關鍵的IAM過程中發(fā)揮了作用，這些過程包括置備、身份認證、用戶活動報告和訪問管理等。如果知道某位用戶過去使用敏感信息的方式，基于內容識別的IAM可以更加恰當?shù)卮_定此用戶應該具有的角色和權利，或利用數(shù)據(jù)分類來確定是否應準許訪問請求?；趦热葑R別的IAM可以提高策略的實施力度，從而降低IT風險。

4 基于內容識別的IAM的架構（The framework of context-based identification of IAM）

實施基于內容識別的IAM安全策略，實現(xiàn)安全流程自動化；基于內容識別的IAM包括身份分析、訪問實施和報告三部分，如圖2所示。

4.1 身份分析

身份分析包括Identity Manager、Role and Compliance Manager、Enterprise Log Manager三部分，通過管理和監(jiān)管用戶基于其角色所能訪問的資源來實現(xiàn)的。Identity Manager與Role and Compliance Manager自動創(chuàng)建賬戶和訪問權限，通過工作流過程獲得上級管理層的批準；方便用戶快速進入工作狀態(tài)。如果用戶的角色和項目職責發(fā)生變化，其的訪問權限也相應地自動更改適應其的新職責，從而保證當前角色不會擁有超出需要的訪問權限。Role and Compliance Manage還自動認證用戶的權利，快速檢測并糾正由于疏忽而出現(xiàn)的越權行為。

身份分析還包括用戶活動和法規(guī)遵從報告；完整的身份生命周期管理可應對不斷發(fā)展的需求，確保用戶可以正確又及時地訪問所需的應用程序、系統(tǒng)和數(shù)據(jù)，同時制定適當?shù)牧鞒毯涂刂埔詫踩L險降至最低。身份監(jiān)管支持使用控制來避免違反業(yè)務和監(jiān)管策略，并使驗證用戶訪問權限的過程實現(xiàn)自動化以降低安全風險。置備可以使創(chuàng)建、修改和刪除用戶及其相關訪問的過程實現(xiàn)自動化。自助服務允許最終用戶來啟動置備操作、密碼管理及相關過程。角色管理將用戶及其所需的訪問高效地表示為統(tǒng)一身份過程的基礎。

4.2 訪問實施

控制訪問控制對物理、虛擬和云環(huán)境中系統(tǒng)和應用程序的訪問，用于控制在一系列平臺和環(huán)境中對受保護系統(tǒng)和應用程序的訪問。這些功能通過阻止對整個企業(yè)范圍內關鍵資源的不當訪問，幫助降低IT風險。Web訪問管理提供了一種集中的策略實施方式，以確定哪些用戶可訪問在線應用程序，以及允許訪問的條件。將應用訪問實施集中到應用程序外部，有助于簡化安全管理，降低安全管理成本，推進統(tǒng)一的安全實施。特權用戶管理提供了粒度化控制，決定管理員可以對系統(tǒng)執(zhí)行哪些操作，大大增強本機操作系統(tǒng)所提供的安全性。它可以確保物理和虛擬系統(tǒng)的安全，并安全地跟蹤、記錄并報告所有特權用戶活動。虛擬化安全有助于保護虛擬環(huán)境中部署的系統(tǒng)和應用程序免受外部或來自跨虛擬機活動的攻擊或誤用。高級身份驗證和防欺詐提供了靈活的功能呢，可提高用戶身份驗證的強度（包括基于風險的身份驗證），以幫助識別和阻止企圖實施的欺詐行為。

4.3 報告

用戶活動和法規(guī)遵從報告通過自動化的日志文件關聯(lián)與分析，以及對法規(guī)遵從和用戶活動狀態(tài)進行報告，提高安全性，使法規(guī)遵從變得更簡單?；趦热葑R別的IAM框架注重各組件之間的集成度，促進各組件之間界面的一致性。采用了虛擬計算，將需要確保托管虛擬環(huán)境的物理計算機得到了全面的保護，可免遭攻擊或跨虛擬機訪問。基于內容識別的IAM框架可輕松安全地遷移到云計算。

5 結論（Conclusion）

基于內容識別的IAM解決方案并不是靜態(tài)的。我們正在研究擴展IAM架構，集成更多基于內容識別的功能，改善用戶權利管理，有助于做出更穩(wěn)健、更有效的訪問管理決策。致力于使核心的身份管理和訪問管理組件實現(xiàn)內容識別，從而提供一個集成、無縫的平臺來管理身份、訪問和信息。

參考文獻（References）

[1] 鄭偉，徐寶祥，徐波.面向服務架構研究綜述[J].情報科學，2009，27（8）：1269-1279.

[2] Jim Knutson，Heather Kreger.Web Services for J2EE. http：//www.huihoo.org/openweb/web_services_for_j2ee/index.shtml.html.2008

[3] Jean-Jacques Moreau，Canon Jeffrey Schlimmer.Web Ser-vices Description Language（WSDL）Version 1.2：Bindings.http：//www.w3.org/TR/2003/WD-wsdl12-bind-ings-20030124/.2008

作者簡介：

涂 剛（1971-），男，碩士，副教授.研究領域：軟件技術，計算機網(wǎng)絡編程.

劉華清（1968-），男，本科，講師.研究領域：軟件技術，數(shù)據(jù)庫技術.

陳振東（1969-），男，本科，講師.研究領域：多媒體技術，數(shù)據(jù)庫技術.endprint