基于內容識別的身份和訪問管理的研究

涂剛　劉華清　陳振東

摘 要：傳統的身份和訪問管理（Identity and Access Management，簡稱IAM）雖然提供了令人信服的優勢。但這些控制通常止步于訪問層面，用戶獲得了信息后便無法控制用戶對信息使用，從而不能完全阻止信息的誤用或不當泄露。基于內容識別的IAM解決方案將控制延伸到數據層面，能更好地控制對信息的使用，降低風險，實現安全流程的自動化，從而提高效率，并增強整體法規遵從程度。

關鍵詞：身份分析；控制訪問；控制信息

中圖分類號：TP302 文獻標識碼：A

Abstract：Traditional identity and access management while providing a compelling advantage.However，these controls are usually stop at the access level，the user cant control access to the information after the user of the information used，and thus cant completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level，to better control the use of information，reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance.

Keywords：capacity analysis；access control；information control

1 引言（Introduction）

IT組織在提高運營效率、降低風險，加強數據保密性等方面必須高效管理用戶身份，并控制對關鍵系統、應用程序和信息的訪問；然而僅僅只是控制用戶及其對這些資源的訪問還遠遠不夠，還必須控制信息的使用[1]。保護信息在未經授權下的訪問和不當使用十分必要，目的在于提供符合IT組織業務、用戶和合作伙伴最為需要的法規遵從和安全性。IT基礎架構必須支持不斷增加的用戶和應用程序、聯盟身份系統和復雜的法規遵從要求。傳統的身份和訪問管理系統通常無法輕松地滿足這些日益復雜的要求，因此需要開發新的身份系統模型[2]。

2 身份和訪問管理（Identity and access management）

身份和訪問管理是大多數IT組織的一個重要技術領域，其利用率與重要性在不斷提高。IAM通過規定用戶對受保護資源（包括系統、應用程序和信息）僅擁有相應級別的訪問權限，奠定了有效的安全性。IAM通過實施適用的策略和指定能夠訪問每種資源的用戶以及允許訪問的條件來保護資源；并通過實現諸多安全過程的自動化降低管理成本；增強法規遵從則通過自動化安全控制和簡化法規遵從審核來實現。IAM還可快速部署新的在線服務，同時支持安全的合作伙伴生態系統以加快業務增長[2]。

傳統的IAM系統往往關注控制身份、控制訪問兩個領域。控制戶身份主要是管理用戶身份及其角色，從而控制訪問資源，保證對身份和訪問策略的遵從，監控用戶和法規遵從活動。支持這些功能的技術包括身份監管、角色管理、備份和日志管理等。控制訪問涉及到實施有關訪問的策略，支持這些功能的技術包括Web訪問管理、聯盟、Web服務安全和特權用戶管理。傳統的IAM雖然可以控制對關鍵應用程序和信息的訪問，但無法控制用戶對所獲取信息執行的操作[3]。

在制定信息使用策略時，確保違反策略的行為能夠與具體的身份相關聯。只是簡單地通知發生了違反信息使用策略的行為還不夠，必須阻止違規行為的發生，同時能夠跟蹤到具體的違規用戶。此外，訪問決策的制定依據不僅應包括所訪問信息的敏感度，還應包括試圖訪問信息的用戶身份。因此，訪問和信息使用策略應基于身份。信息安全關注點往往是控制訪問，而不是快速高效地進行適當的訪問。但是，允許適當的用戶輕松、動態地共享信息，對于實現業務的高效運營和增長也是十分必要的[3]。

3 基于內容識別的身份和訪問管理（Context-based identification of IAM）

基于內容識別的身份和訪問管理（簡稱為基于內容識別的IAM）能夠控制用戶身份、用戶的訪問以及用戶對信息的使用，從而加強和自動化安全控制。傳統的IAM僅止步于控制訪問層面，使得組織的控制范圍過小，而基于內容識別的身份和訪問管理則通過對用戶、信息乃至信息使用進行管理和控制；這一粒度化控制可避免數據濫用，包括組織信息的不當泄露或竊取等。

基于內容識別的IAM與其他IAM組件集成在一起，構成一個統一的解決方案，從而使得權利管理、角色管理、置備甚至訪問管理都是基于“內容識別”的，它們的功能與信息分類和使用集成在一起，并受到信息分類和使用的影響。基于內容識別的IAM有效地管理和控制：身份、訪問和信息使用三個領域，如圖1所示。控制身份可以高效地管理用戶、用戶角色以及用戶在整個企業范圍內的訪問權限；控制訪問將僅允許適當授權的用戶訪問關鍵系統和應用程序。但是，這還不足以構成一個統一的實現安全性和法規遵從的方法。控制信息使用至關重要，通過制定數據策略，定義數據的特定分類方式和禁止對這些數據執行的操作或動作，有助于防止企業/客戶機密信息被不當竊取/泄露。

基于內容識別的IAM關鍵是數據分類。數據分類可以是靜態的，也可以是動態的。數據分類涉及到將數據內容與預定義模板進行比較，目的是確定數據是否為敏感信息。靜態分類是指按照計劃或道接命令進行數據分析。動態分類是指在信息使用過程中對其進行分析，以防可能出現的不當使用行為；如果嘗試執行任何未經批準的操作，應提供多種可配置的選項，如：阻止操作或允許操作但警告、通知管理員、將異常事件輸入系統日志以及其他措施。endprint

基于內容識別的IAM提供額外的防護，保護信息免遭濫用或泄露。基于內容識別的IAM將安全與數據更加緊密地結合起來可提高安全性；通過對敏感數據的特性及其敏感度等級進行類屬描述，可以自動對數據進行分類。基于內容識別的IAM是IAM技術發展的自然產物，使信息內容和使用在其他關鍵的IAM過程中發揮了作用，這些過程包括置備、身份認證、用戶活動報告和訪問管理等。如果知道某位用戶過去使用敏感信息的方式，基于內容識別的IAM可以更加恰當地確定此用戶應該具有的角色和權利，或利用數據分類來確定是否應準許訪問請求。基于內容識別的IAM可以提高策略的實施力度，從而降低IT風險。

4 基于內容識別的IAM的架構（The framework of context-based identification of IAM）

實施基于內容識別的IAM安全策略，實現安全流程自動化；基于內容識別的IAM包括身份分析、訪問實施和報告三部分，如圖2所示。

4.1 身份分析

身份分析包括Identity Manager、Role and Compliance Manager、Enterprise Log Manager三部分，通過管理和監管用戶基于其角色所能訪問的資源來實現的。Identity Manager與Role and Compliance Manager自動創建賬戶和訪問權限，通過工作流過程獲得上級管理層的批準；方便用戶快速進入工作狀態。如果用戶的角色和項目職責發生變化，其的訪問權限也相應地自動更改適應其的新職責，從而保證當前角色不會擁有超出需要的訪問權限。Role and Compliance Manage還自動認證用戶的權利，快速檢測并糾正由于疏忽而出現的越權行為。

身份分析還包括用戶活動和法規遵從報告；完整的身份生命周期管理可應對不斷發展的需求，確保用戶可以正確又及時地訪問所需的應用程序、系統和數據，同時制定適當的流程和控制以將安全風險降至最低。身份監管支持使用控制來避免違反業務和監管策略，并使驗證用戶訪問權限的過程實現自動化以降低安全風險。置備可以使創建、修改和刪除用戶及其相關訪問的過程實現自動化。自助服務允許最終用戶來啟動置備操作、密碼管理及相關過程。角色管理將用戶及其所需的訪問高效地表示為統一身份過程的基礎。

4.2 訪問實施

控制訪問控制對物理、虛擬和云環境中系統和應用程序的訪問，用于控制在一系列平臺和環境中對受保護系統和應用程序的訪問。這些功能通過阻止對整個企業范圍內關鍵資源的不當訪問，幫助降低IT風險。Web訪問管理提供了一種集中的策略實施方式，以確定哪些用戶可訪問在線應用程序，以及允許訪問的條件。將應用訪問實施集中到應用程序外部，有助于簡化安全管理，降低安全管理成本，推進統一的安全實施。特權用戶管理提供了粒度化控制，決定管理員可以對系統執行哪些操作，大大增強本機操作系統所提供的安全性。它可以確保物理和虛擬系統的安全，并安全地跟蹤、記錄并報告所有特權用戶活動。虛擬化安全有助于保護虛擬環境中部署的系統和應用程序免受外部或來自跨虛擬機活動的攻擊或誤用。高級身份驗證和防欺詐提供了靈活的功能呢，可提高用戶身份驗證的強度（包括基于風險的身份驗證），以幫助識別和阻止企圖實施的欺詐行為。

4.3 報告

用戶活動和法規遵從報告通過自動化的日志文件關聯與分析，以及對法規遵從和用戶活動狀態進行報告，提高安全性，使法規遵從變得更簡單。基于內容識別的IAM框架注重各組件之間的集成度，促進各組件之間界面的一致性。采用了虛擬計算，將需要確保托管虛擬環境的物理計算機得到了全面的保護，可免遭攻擊或跨虛擬機訪問。基于內容識別的IAM框架可輕松安全地遷移到云計算。

5 結論（Conclusion）

基于內容識別的IAM解決方案并不是靜態的。我們正在研究擴展IAM架構，集成更多基于內容識別的功能，改善用戶權利管理，有助于做出更穩健、更有效的訪問管理決策。致力于使核心的身份管理和訪問管理組件實現內容識別，從而提供一個集成、無縫的平臺來管理身份、訪問和信息。

參考文獻（References）

[1] 鄭偉，徐寶祥，徐波.面向服務架構研究綜述[J].情報科學，2009，27（8）：1269-1279.

[2] Jim Knutson，Heather Kreger.Web Services for J2EE. http：//www.huihoo.org/openweb/web_services_for_j2ee/index.shtml.html.2008

[3] Jean-Jacques Moreau，Canon Jeffrey Schlimmer.Web Ser-vices Description Language（WSDL）Version 1.2：Bindings.http：//www.w3.org/TR/2003/WD-wsdl12-bind-ings-20030124/.2008

作者簡介：

涂 剛（1971-），男，碩士，副教授.研究領域：軟件技術，計算機網絡編程.

劉華清（1968-），男，本科，講師.研究領域：軟件技術，數據庫技術.

陳振東（1969-），男，本科，講師.研究領域：多媒體技術，數據庫技術.endprint