文档介绍:统一把关管好“人”
当企业员工或客户需要访问企业内部各种IT资源时,如何保障用户被方便快速的授予最小但合适的权限?
在应用系统分属不同部门或业务系统的情况下,如何降低运维管理人员跨系统访问时的复杂性并保障安全性?
统一把关管好“人”
当企业员工或客户需要访问企业内部各种IT资源时,如何保障用户被方便快速的授予最小但合适的权限?
在应用系统分属不同部门或业务系统的情况下,如何降低运维管理人员跨系统访问时的复杂性并保障安全性?
如何保证用户在合适的时间、合适的地点、合法的访问被授权的IT资源?
在长期而大量的用户管理过程中,如何避免多人共用账号?如何保证账号被及时消除?如何保证账号没有被泄漏扩散?
更重要的问题是,如何在整个企业的IT系统范围内实现对用户访问行为的监督和控制?
企业系统越复杂,以上问题越突出。以中国人寿保险公司为例,整个集团包括总部和全国各省48个机构,网络核心具有500多台设备,包含50多个不同版本、不同功能的业务系统。员工在进行业务操作时需要记住多个业务系统的用户和密码;网管需要多个不同权限的访问,才能维护网络信息系统。这种复杂的关系对人寿的管理和业务发展造成了极大的不便,也隐含着很大的安全风险。当企业的信息系统演变成为企业至关重要的生产系统或生产支撑系统时,而在这些系统中,“人”作为生产要素的实施者和承载者,是最积极也是最难以控制和管理的。
企业面临的这些问题归根结底是企业对信息系统中“人”的管理,包括“人”的身份、认证、权限和行为的管理等。因而,信息安全管理的主体是“人”,只有在安全意识提高,对信息系统操作行为全面控管的基础上,才能构建适合组织本身需求的安全体系,才能从基础层面确保企业的成本不会消耗在处理各种安全问题上。
对症下药
如何才能对企业信息系统中“人”的身份、认证、权限和行为等进行有效管理?笔者认为,对企业信息系统中“人”进行管理需要统一把关。众所周知,一个流程的环节越多,问题也就越多,所以,精减环节往往是提高流程效率的常规做法。统一把关与流程精简的原理类似,如果把所有的管理手段都集中在统一的平台上的话,不仅能够降低成本,而且也具有全面的可视性,降低管理的复杂性。
具体来说,统一把关需要做到以下几个方面:
◆首先是集中认证及单点登录,即实现对人的强身份认证,以及通过单点登录实现访问各种IT资源的快捷性和安全性。
◆其次,统一账号及基于自然人身份的全生命周期管理。实现以自然人为单位管理企业内外人员的入职、变更、离职等,实现自然人账号的流程化管理。
◆其三需要集中授权。从企业整体的角度,企业需要设计并建设企业角色,将其快速的、合理的分配到自然人身上,防止过度授权等情况的出现。
◆其四,集中访问控制。通过严格的访问策略控制自然人对各种IT资源的登录及访问行为,保证自然人在合适的时间、合适的地点、合法访问被授权的IT资源。
◆最后,实行大范围的集中审计。企业可以通过全面、立体的监控手段,完成自然人整个生命周期过程的行为的记录和审计管理。
药到病除
企业通过对信息系统中“人”的管理,可以获得哪些直接收益呢?具体来说有以下几点: