每年的纳税时期,我收到的社会保险声明的大字标题都是“防止身份泄露――保护您的社会保险密码安全”。现在,我们已经听到过太多的身份泄露事件,不会再为这个问题而感到意外了。但是,作为CIO,我们需要从企业的用户和客户的身份安全的角度来考虑这个问题。
什么是身份?
简单的说,身份就是你能够证明“自己是自己”的一种手段――只有你自己才能够提供可以证明自己身份的区别于其他人的信息。身份可以是一个单一的代码,也可以是一连串的数字,例如你的社会保险密码;身份还可以是复杂程序,例如使用加密钥匙。身份鉴定过程能够决定你所享有的安全级别以及你在完成了身份验证之后能够享受的服务或是参加的活动。同身份鉴定过程相关的是你的一系列信息。比如说你的姓名、电子邮件地址、用户密码、信用卡号或是社会保险密码。还有一些信息不像上面这些信息一样明显,但也与你密切相关,例如你希望自己的主页以何种方式出现以及你最近的购买记录等等。从某种程度上讲,公司保留的你的相关历史信息有助于为你提供更为积极的用户体验。
如果用户的身份信息保护的好的话,这些信息的应用能够使用户的电子商务活动更为简便。但是,电子商务并不仅仅是用户自身的一种体验和经历――商家和业务实体有责任保护用户的身份安全。
网络身份
身份和网络身份是两回事。网络身份是通过多重身份确立的。而我们刚才所谈到的身份只是用来描述一个人的网络身份的一个方面。如果你想要通过某个商业程序的验证,你可能需要提供一系列这个程序的认证信息,然后才能应用这个程序。但是,如果你想要通过其他的商业程序的验证的话,再提供同样的信息就不行了,你要提供的是其他的商业程序能够通过的认证信息。这些认证信息可能是不同的,而这些认证信息中你的相关信息可能也是不同的。尽管在应用不同的程序时你需要记住不同的用户信息和密码,但是还是很少有人会给不同的程序设置完全相同的认证信息,即使是有相同的信息也会通过稍有不同的方式加以运用。
我们还可以通过另外一种方式来说明这个问题。尽管用户可能是多个重叠的利益和商业实体的成员,但是用户的信息是分散在各个独立的程序之中的。而这些信息又是重叠的。而网络身份就能够实现这些信息的协同配合了:通过网上银行可以进行投资、使用信用卡和其他支付手段还可以进行其他活动。由于重叠的信息是一致的,所以在同一利益社区的不同商业程序上的用户体验也可以是一致的。比如说,在使用网上银行时,我既可以贷款、也可以存款,还可以查询帐户。在同一商业实体当中,适用于某一程序的身份信息也会同其他程序相关。
当用户的网络身份需要跨越某个业务实体或是同一业务实体中各个分散的、不连续的程序时,安全问题就产生了。每个系列的应用程序都需要用户的身份验证,因此用户需要面对的是多重的挑战。显然,对于同一系列的应用程序来说,单一的身份就足够了。但是,由于存在着多种不同系列的应用程序,用户很容易就会遇到问题,失去对认证信息的控制。每个应用程序的验证方法和验证内容都是不同的,这会给用户带来麻烦,引起用户的愤怒。
而对于商业团体来说,由此而引发的问题就不仅仅是愤怒那么简单了。有的时候,迫于政府法规的要求,一些商家需要公开一些财政信息或是被严格限制的信息,这就会使它们失去很多改善同用户关系的机会。
什么是身份管理?
刚才,我们把身份描述成了个人(或实体)同商业过程之间的联系。它是一种一对一的关系,有着自己的生命周期。当一个人同某一商业过程建立起关系、开始享受一定的权利时,身份就开始发生作用了。随着这种关系的不断发展,这个人所享受的权利会得到扩展或是受到限制、有所增加或是有所减少。
尽管刚才我已经给大家举了有关电子商务的例子,有一点还是要指出,那就是身份管理在对员工和企业授权的其他代理人(例如合同工和销售商)对企业资源的使用进行控制和追踪时能够发挥重要的作用。员工能够获取和使用的知识产权信息,包括计算机系统和网络文档的存储,都必须包含在身份管理过程当中。
例如,当一个人加入一家公司,递交了必要的身份认证信息之后,他就可以在人力资源方面进行某些活动并且获取一个电子邮件地址了。从身份管理的角度来看,这个人就被赋予了一种身份,享有了使用拥有用户认证信息和指定密码的邮箱。这个人就可以使用指定的计算机,进入计算机系统和其他的网络共享文件。一旦被允许进入计算机系统,这个人就可以享受其他的权利,例如细读企业内部互联网上的文件以及浏览企业防火墙之外的公共网络。这个人可能还可以通过其他的用户身份验证和密码进入一些特定的有严格限制的内部网络站点。如果这个人调到了新的工作岗位或是升了职,他所享有的权利就会发生变化。除非这个人离开公司或是退休,随着他职业生涯的不断发展,他所享有的权利就会相应的增减或是调整。而所有的工作变动都会为这个人增加身份信息。
一个人在公司内每一次工作的变动都会使他拥有进入某些商业程序,享受某些服务的权利。而在什么时候通过何种方式来分配这些权利,让员工享受使用哪些商业程序和服务的权利,这些都是身份管理的过程和内容。身份管理的另外一个方面就是所有的应用程序和服务都必须要有相应的使用规则。同任何其他的软件一样,身份也有着自己的生命周期。为了防止安全出现问题,防止身份信息的泄露,进行身份管理是十分必要的。
身份管理能否消除操作障碍?
大家可以想象,用户身份信息跟装有计算机存储芯片的信用卡非常相似。通过确切的证明自己的身份,用户就能够解锁自己的信息。当用户进入某个应用程序或是某项服务时,你使用这些信息的权利将使你享受到自己想要的服务。
身份管理能够通过标准化的格式使这些信息在多种不同的应用程序中得到使用。这样不仅能够减少不必要的存储,还能够使安全政策保持连续性,以一种普遍适用的方式得到执行。标准化的实施能够推动信息在不同应用程序中的协同使用,节省开发时间,并且能够在认证格式、证明协议和安全政策的共同作用下保证信息的真实。身份的标准化能够给用户带来便利,有了它,大家再也不用忍受复杂的认证过程了。