每年的納稅時(shí)期,我收到的社會(huì)保險(xiǎn)聲明的大字標(biāo)題都是“防止身份泄露——保護(hù)您的社會(huì)保險(xiǎn)密碼安全”。現(xiàn)在,我們已經(jīng)聽到過太多的身份泄露事件,不會(huì)再為這個(gè)問題而感到意外了。但是,作為CIO,我們需要從企業(yè)的用戶和客戶的身份安全的角度來考慮這個(gè)問題。
什么是身份?
簡(jiǎn)單的說,身份就是你能夠證明“自己是自己”的一種手段——只有你自己才能夠提供可以證明自己身份的區(qū)別于其他人的信息。身份可以是一個(gè)單一的代碼,也可以是一連串的數(shù)字,例如你的社會(huì)保險(xiǎn)密碼;身份還可以是復(fù)雜程序,例如使用加密鑰匙。身份鑒定過程能夠決定你所享有的安全級(jí)別以及你在完成了身份驗(yàn)證之后能夠享受的服務(wù)或是參加的活動(dòng)。同身份鑒定過程相關(guān)的是你的一系列信息。比如說你的姓名、電子郵件地址、用戶密碼、信用卡號(hào)或是社會(huì)保險(xiǎn)密碼。還有一些信息不像上面這些信息一樣明顯,但也與你密切相關(guān),例如你希望自己的主頁(yè)以何種方式出現(xiàn)以及你最近的購(gòu)買記錄等等。從某種程度上講,公司保留的你的相關(guān)歷史信息有助于為你提供更為積極的用戶體驗(yàn)。
如果用戶的身份信息保護(hù)的好的話,這些信息的應(yīng)用能夠使用戶的電子商務(wù)活動(dòng)更為簡(jiǎn)便。但是,電子商務(wù)并不僅僅是用戶自身的一種體驗(yàn)和經(jīng)歷——商家和業(yè)務(wù)實(shí)體有責(zé)任保護(hù)用戶的身份安全。
網(wǎng)絡(luò)身份
身份和網(wǎng)絡(luò)身份是兩回事。網(wǎng)絡(luò)身份是通過多重身份確立的。而我們剛才所談到的身份只是用來描述一個(gè)人的網(wǎng)絡(luò)身份的一個(gè)方面。如果你想要通過某個(gè)商業(yè)程序的驗(yàn)證,你可能需要提供一系列這個(gè)程序的認(rèn)證信息,然后才能應(yīng)用這個(gè)程序。但是,如果你想要通過其他的商業(yè)程序的驗(yàn)證的話,再提供同樣的信息就不行了,你要提供的是其他的商業(yè)程序能夠通過的認(rèn)證信息。這些認(rèn)證信息可能是不同的,而這些認(rèn)證信息中你的相關(guān)信息可能也是不同的。盡管在應(yīng)用不同的程序時(shí)你需要記住不同的用戶信息和密碼,但是還是很少有人會(huì)給不同的程序設(shè)置完全相同的認(rèn)證信息,即使是有相同的信息也會(huì)通過稍有不同的方式加以運(yùn)用。
我們還可以通過另外一種方式來說明這個(gè)問題。盡管用戶可能是多個(gè)重疊的利益和商業(yè)實(shí)體的成員,但是用戶的信息是分散在各個(gè)獨(dú)立的程序之中的。而這些信息又是重疊的。而網(wǎng)絡(luò)身份就能夠?qū)崿F(xiàn)這些信息的協(xié)同配合了:通過網(wǎng)上銀行可以進(jìn)行投資、使用信用卡和其他支付手段還可以進(jìn)行其他活動(dòng)。由于重疊的信息是一致的,所以在同一利益社區(qū)的不同商業(yè)程序上的用戶體驗(yàn)也可以是一致的。比如說,在使用網(wǎng)上銀行時(shí),我既可以貸款、也可以存款,還可以查詢帳戶。在同一商業(yè)實(shí)體當(dāng)中,適用于某一程序的身份信息也會(huì)同其他程序相關(guān)。
當(dāng)用戶的網(wǎng)絡(luò)身份需要跨越某個(gè)業(yè)務(wù)實(shí)體或是同一業(yè)務(wù)實(shí)體中各個(gè)分散的、不連續(xù)的程序時(shí),安全問題就產(chǎn)生了。每個(gè)系列的應(yīng)用程序都需要用戶的身份驗(yàn)證,因此用戶需要面對(duì)的是多重的挑戰(zhàn)。顯然,對(duì)于同一系列的應(yīng)用程序來說,單一的身份就足夠了。但是,由于存在著多種不同系列的應(yīng)用程序,用戶很容易就會(huì)遇到問題,失去對(duì)認(rèn)證信息的控制。每個(gè)應(yīng)用程序的驗(yàn)證方法和驗(yàn)證內(nèi)容都是不同的,這會(huì)給用戶帶來麻煩,引起用戶的憤怒。
而對(duì)于商業(yè)團(tuán)體來說,由此而引發(fā)的問題就不僅僅是憤怒那么簡(jiǎn)單了。有的時(shí)候,迫于政府法規(guī)的要求,一些商家需要公開一些財(cái)政信息或是被嚴(yán)格限制的信息,這就會(huì)使它們失去很多改善同用戶關(guān)系的機(jī)會(huì)。
什么是身份管理?
剛才,我們把身份描述成了個(gè)人(或?qū)嶓w)同商業(yè)過程之間的聯(lián)系。它是一種一對(duì)一的關(guān)系,有著自己的生命周期。當(dāng)一個(gè)人同某一商業(yè)過程建立起關(guān)系、開始享受一定的權(quán)利時(shí),身份就開始發(fā)生作用了。隨著這種關(guān)系的不斷發(fā)展,這個(gè)人所享受的權(quán)利會(huì)得到擴(kuò)展或是受到限制、有所增加或是有所減少。
盡管剛才我已經(jīng)給大家舉了有關(guān)電子商務(wù)的例子,有一點(diǎn)還是要指出,那就是身份管理在對(duì)員工和企業(yè)授權(quán)的其他代理人(例如合同工和銷售商)對(duì)企業(yè)資源的使用進(jìn)行控制和追蹤時(shí)能夠發(fā)揮重要的作用。員工能夠獲取和誓知識(shí)產(chǎn)權(quán)信息,包括計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)文檔的存儲(chǔ),都必須包含在身份管理過程當(dāng)中。
例如,當(dāng)一個(gè)人加入一家公司,遞交了必要的身份認(rèn)證信息之后,他就可以在人力資源方面進(jìn)行某些活動(dòng)并且獲取一個(gè)電子郵件地址了。從身份管理的角度來看,這個(gè)人就被賦予了一種身份,享有了使用擁有用戶認(rèn)證信息和指定密碼的郵箱。這個(gè)人就可以使用指定的計(jì)算機(jī),進(jìn)入計(jì)算機(jī)系統(tǒng)和其他的網(wǎng)絡(luò)共享文件。一旦被允許進(jìn)入計(jì)算機(jī)系統(tǒng),這個(gè)人就可以享受其他的權(quán)利,例如細(xì)讀企業(yè)內(nèi)部互聯(lián)網(wǎng)上的文件以及瀏覽企業(yè)防火墻之外的公共網(wǎng)絡(luò)。這個(gè)人可能還可以通過其他的用戶身份驗(yàn)證和密碼進(jìn)入一些特定的有嚴(yán)格限制的內(nèi)部網(wǎng)絡(luò)站點(diǎn)。如果這個(gè)人調(diào)到了新的工作崗位或是升了職,他所享有的權(quán)利就會(huì)發(fā)生變化。除非這個(gè)人離開公司或是退休,隨著他職業(yè)生涯的不斷發(fā)展,他所享有的權(quán)利就會(huì)相應(yīng)的增減或是調(diào)整。而所有的工作變動(dòng)都會(huì)為這個(gè)人增加身份信息。
一個(gè)人在公司內(nèi)每一次工作的變動(dòng)都會(huì)使他擁有進(jìn)入某些商業(yè)程序,享受某些服務(wù)的權(quán)利。而在什么時(shí)候通過何種方式來分配這些權(quán)利,讓員工享受使用哪些商業(yè)程序和服務(wù)的權(quán)利,這些都是身份管理的過程和內(nèi)容。身份管理的另外一個(gè)方面就是所有的應(yīng)用程序和服務(wù)都必須要有相應(yīng)的使用規(guī)則。同任何其他的軟件一樣,身份也有著自己的生命周期。為了防止安全出現(xiàn)問題,防止身份信息的泄露,進(jìn)行身份管理是十分必要的。
身份管理能否消除操作障礙?|
大家可以想象,用戶身份信息跟裝有計(jì)算機(jī)存儲(chǔ)芯片的信用卡非常相似。通過確切的證明自己的身份,用戶就能夠解鎖自己的信息。當(dāng)用戶進(jìn)入某個(gè)應(yīng)用程序或是某項(xiàng)服務(wù)時(shí),你使用這些信息的權(quán)利將使你享受到自己想要的服務(wù)。
身份管理能夠通過標(biāo)準(zhǔn)化的格式使這些信息在多種不同的應(yīng)用程序中得到使用。這樣不僅能夠減少不必要的存儲(chǔ),還能夠使安全政策保持連續(xù)性,以一種普遍適用的方式得到執(zhí)行。標(biāo)準(zhǔn)化的實(shí)施能夠推動(dòng)信息在不同應(yīng)用程序中的協(xié)同尸節(jié)省開發(fā)時(shí)間,并且能夠在認(rèn)證格式、證明協(xié)議和安全政策的共同作用下保證信息的真實(shí)。身份的標(biāo)準(zhǔn)化能夠給用戶帶來便利,有了它,大家再也不用忍受復(fù)雜的認(rèn)證過程了。
