管理三部曲【身份管理三部曲】

　　如今，身份认证已经成为开启电子商务的一把钥匙。在虚拟的网络世界中，每一笔交易都会涉及不同身份的人:员工、企业合作伙伴和客户，因此，有效的身份管理就成了其中必不可少的一环。
　　当企业量身定制了一套完整的身份管理方案时，客观地评估用户的权限，就成为了关键所在。在此，“身份管理三部曲”能够帮助企业根据用户身份分配权限，设计个性化解决方案，并最终让企业在最短的时间内收回投资。
　　
　　第一步:评估企业需求
　　
　　企业推行身份管理解决方案的原因，大致可以归结为以下八个方面。
　　1． 管理及维护的费用太高;
　　2． 单点登陆访问和集成用户体验;
　　3． 确保关键型业务应用安全的代价太高;
　　4． 敏感、私密的信息需要保护;
　　5． 安全策略与审计跟踪的一致性需要得到保证;
　　6． 难以审计、跟踪所有进入系统的用户;
　　7． 不完全的，重复的，甚至不准确的身份信息太多;
　　8． Web服务需要安全规范的标准;
　　现在，你就可以结合企业实际列出:哪些是企业首要解决的问题，哪些可以稍后解决，以及各自什么时候解决。
　　
　　第二步:确定起点
　　
　　企业一般会根据具体需求，选择下列三项之一作为起点:重新整理身份数据库、管理用户和账户、监控访问及泄密。
　　
　　1. 重新整理身份数据库
　　收集、储存以及保护可靠的用户信息――数据库，是身份管理系统的基础架构。数据库应包含所有员工、企业合作伙伴、客户和承包商的信息。考虑到不同部门掌握的用户信息各有侧重，因此各部门必须提交所有的身份信息，以免遗漏。如果某个用户的信息不只一份，而有多份，那么解决方案通常是:将存储于不同目录和数据库中的内容进行同步。
　　信息所有权通常是受保护的，因此轻易改变所有权会造成不必要的障碍。
　　
　　2. 管理用户和账号
　　这些管理应用能够自动监控任何关于身份信息和访问权限的变更，它们能及时获取用户的需求，如:内容变更、自动核对、批准程序，然后再自动实现账号和身份的更新。
　　通过“授权控制”服务和“自适应”服务功能，这些应用可以独立完成任务。同时，它们会创建一个核心审计跟踪和通报系统，以确保安全策略在实施过程中的一致性。
　　用户管理和限制性条款:
　　(1)通过“自适应”功能降低密码重置和同步的成本;
　　(2)更快、更准的账号权限变更服务;
　　(3)用户信息的自动更新，包括保密优先权(如:决定参加);
　　(4)通过自动工作流快速实现批准和更新;
　　(5)集中的审计和管理记录。
　　不同的IT系统对解决方案的要求也不同。例如，含有敏感信息的系统就需要解决方案具备强大的安全保障;而处理大量变更的系统，则需要反应迅速、可承受使用频繁的解决方案。
　　
　　3. 监控访问及泄密
　　根据用户身份和授权原则，安全系统应适当加强和审计对数据库和各种应用的访问情况。
　　当访问Unix，Linux 和基于Web应用的操作系统时，身份认证扮演了积极有效的角色。此外，单点登陆可以简化用户访问多种系统应用的程序。由于新的立法要求企业有效地保护客户信息，同时客户也希望个人隐私不被侵犯，这就要求身份管理解决方案能够堵住安全漏洞，拦住那些无意中被泄露的敏感信息，以免被没有权限的人看到。
　　“监控访问和泄露系统”一般位于用户和系统之间，这需要解决方案具有很大的灵活性和可管理性。无论是嵌入式系统，还是分散型系统，关键是要寻找一个能够满足企业实际需要的解决方案。此外，还需要确保解决方案在未来的发展中，能够经得住时间考验，不断地支持新技术和新产品。
　　
　　第三步:制定项目计划书并申请预算
　　
　　可以向执行部门申请费用，来完成身份管理这一有益的尝试;也可以在互联网上找到很多收回投资的手段，来进行参考。
　　账号管理要求一个系统管理员管理大约500个用户(你的企业有多少个用户？)。而自动化的用户管理，可以将这一比例提高到1∶2500，甚至1∶5000，这样既减少了所需的系统管理员数量，又节省了开支。
　　
　　结论
　　
　　这就是身份管理三部曲:先将企业需求按轻重缓急列出，然后确定出发点，最后制定一份详尽的计划书。这样不但能带来更好的业务机会和更高的效率，还有能获取更高的安全性。