每年的納稅時期,我收到的社會保險聲明的大字標題都是“防止身份泄露——保護您的社會保險密碼安全”。現在,我們已經聽到過太多的身份泄露事件,不會再為這個問題而感到意外了。但是,作為CIO,我們需要從企業的用戶和客戶的身份安全的角度來考慮這個問題。
什么是身份?
簡單的說,身份就是你能夠證明“自己是自己”的一種手段——只有你自己才能夠提供可以證明自己身份的區別于其他人的信息。身份可以是一個單一的代碼,也可以是一連串的數字,例如你的社會保險密碼;身份還可以是復雜程序,例如使用加密鑰匙。身份鑒定過程能夠決定你所享有的安全級別以及你在完成了身份驗證之后能夠享受的服務或是參加的活動。同身份鑒定過程相關的是你的一系列信息。比如說你的姓名、電子郵件地址、用戶密碼、信用卡號或是社會保險密碼。還有一些信息不像上面這些信息一樣明顯,但也與你密切相關,例如你希望自己的主頁以何種方式出現以及你最近的購買記錄等等。從某種程度上講,公司保留的你的相關歷史信息有助于為你提供更為積極的用戶體驗。
如果用戶的身份信息保護的好的話,這些信息的應用能夠使用戶的電子商務活動更為簡便。但是,電子商務并不僅僅是用戶自身的一種體驗和經歷——商家和業務實體有責任保護用戶的身份安全。
網絡身份
身份和網絡身份是兩回事。網絡身份是通過多重身份確立的。而我們剛才所談到的身份只是用來描述一個人的網絡身份的一個方面。如果你想要通過某個商業程序的驗證,你可能需要提供一系列這個程序的認證信息,然后才能應用這個程序。但是,如果你想要通過其他的商業程序的驗證的話,再提供同樣的信息就不行了,你要提供的是其他的商業程序能夠通過的認證信息。這些認證信息可能是不同的,而這些認證信息中你的相關信息可能也是不同的。盡管在應用不同的程序時你需要記住不同的用戶信息和密碼,但是還是很少有人會給不同的程序設置完全相同的認證信息,即使是有相同的信息也會通過稍有不同的方式加以運用。
我們還可以通過另外一種方式來說明這個問題。盡管用戶可能是多個重疊的利益和商業實體的成員,但是用戶的信息是分散在各個獨立的程序之中的。而這些信息又是重疊的。而網絡身份就能夠實現這些信息的協同配合了:通過網上銀行可以進行投資、使用信用卡和其他支付手段還可以進行其他活動。由于重疊的信息是一致的,所以在同一利益社區的不同商業程序上的用戶體驗也可以是一致的。比如說,在使用網上銀行時,我既可以貸款、也可以存款,還可以查詢帳戶。在同一商業實體當中,適用于某一程序的身份信息也會同其他程序相關。
當用戶的網絡身份需要跨越某個業務實體或是同一業務實體中各個分散的、不連續的程序時,安全問題就產生了。每個系列的應用程序都需要用戶的身份驗證,因此用戶需要面對的是多重的挑戰。顯然,對于同一系列的應用程序來說,單一的身份就足夠了。但是,由于存在著多種不同系列的應用程序,用戶很容易就會遇到問題,失去對認證信息的控制。每個應用程序的驗證方法和驗證內容都是不同的,這會給用戶帶來麻煩,引起用戶的憤怒。
而對于商業團體來說,由此而引發的問題就不僅僅是憤怒那么簡單了。有的時候,迫于政府法規的要求,一些商家需要公開一些財政信息或是被嚴格限制的信息,這就會使它們失去很多改善同用戶關系的機會。
什么是身份管理?
剛才,我們把身份描述成了個人(或實體)同商業過程之間的聯系。它是一種一對一的關系,有著自己的生命周期。當一個人同某一商業過程建立起關系、開始享受一定的權利時,身份就開始發生作用了。隨著這種關系的不斷發展,這個人所享受的權利會得到擴展或是受到限制、有所增加或是有所減少。
盡管剛才我已經給大家舉了有關電子商務的例子,有一點還是要指出,那就是身份管理在對員工和企業授權的其他代理人(例如合同工和銷售商)對企業資源的使用進行控制和追蹤時能夠發揮重要的作用。員工能夠獲取和誓知識產權信息,包括計算機系統和網絡文檔的存儲,都必須包含在身份管理過程當中。
例如,當一個人加入一家公司,遞交了必要的身份認證信息之后,他就可以在人力資源方面進行某些活動并且獲取一個電子郵件地址了。從身份管理的角度來看,這個人就被賦予了一種身份,享有了使用擁有用戶認證信息和指定密碼的郵箱。這個人就可以使用指定的計算機,進入計算機系統和其他的網絡共享文件。一旦被允許進入計算機系統,這個人就可以享受其他的權利,例如細讀企業內部互聯網上的文件以及瀏覽企業防火墻之外的公共網絡。這個人可能還可以通過其他的用戶身份驗證和密碼進入一些特定的有嚴格限制的內部網絡站點。如果這個人調到了新的工作崗位或是升了職,他所享有的權利就會發生變化。除非這個人離開公司或是退休,隨著他職業生涯的不斷發展,他所享有的權利就會相應的增減或是調整。而所有的工作變動都會為這個人增加身份信息。
一個人在公司內每一次工作的變動都會使他擁有進入某些商業程序,享受某些服務的權利。而在什么時候通過何種方式來分配這些權利,讓員工享受使用哪些商業程序和服務的權利,這些都是身份管理的過程和內容。身份管理的另外一個方面就是所有的應用程序和服務都必須要有相應的使用規則。同任何其他的軟件一樣,身份也有著自己的生命周期。為了防止安全出現問題,防止身份信息的泄露,進行身份管理是十分必要的。
身份管理能否消除操作障礙?|
大家可以想象,用戶身份信息跟裝有計算機存儲芯片的信用卡非常相似。通過確切的證明自己的身份,用戶就能夠解鎖自己的信息。當用戶進入某個應用程序或是某項服務時,你使用這些信息的權利將使你享受到自己想要的服務。
身份管理能夠通過標準化的格式使這些信息在多種不同的應用程序中得到使用。這樣不僅能夠減少不必要的存儲,還能夠使安全政策保持連續性,以一種普遍適用的方式得到執行。標準化的實施能夠推動信息在不同應用程序中的協同尸節省開發時間,并且能夠在認證格式、證明協議和安全政策的共同作用下保證信息的真實。身份的標準化能夠給用戶帶來便利,有了它,大家再也不用忍受復雜的認證過程了。
