基于內(nèi)容識(shí)別的身份和訪(fǎng)問(wèn)管理的研究

涂剛　劉華清　陳振東

摘 要：傳統(tǒng)的身份和訪(fǎng)問(wèn)管理（Identity and Access Management，簡(jiǎn)稱(chēng)IAM）雖然提供了令人信服的優(yōu)勢(shì)。但這些控制通常止步于訪(fǎng)問(wèn)層面，用戶(hù)獲得了信息后便無(wú)法控制用戶(hù)對(duì)信息使用，從而不能完全阻止信息的誤用或不當(dāng)泄露。基于內(nèi)容識(shí)別的IAM解決方案將控制延伸到數(shù)據(jù)層面，能更好地控制對(duì)信息的使用，降低風(fēng)險(xiǎn)，實(shí)現(xiàn)安全流程的自動(dòng)化，從而提高效率，并增強(qiáng)整體法規(guī)遵從程度。

關(guān)鍵詞：身份分析；控制訪(fǎng)問(wèn)；控制信息

中圖分類(lèi)號(hào)：TP302 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：Traditional identity and access management while providing a compelling advantage.However，these controls are usually stop at the access level，the user cant control access to the information after the user of the information used，and thus cant completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level，to better control the use of information，reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance.

Keywords：capacity analysis；access control；information control

1 引言（Introduction）

IT組織在提高運(yùn)營(yíng)效率、降低風(fēng)險(xiǎn)，加強(qiáng)數(shù)據(jù)保密性等方面必須高效管理用戶(hù)身份，并控制對(duì)關(guān)鍵系統(tǒng)、應(yīng)用程序和信息的訪(fǎng)問(wèn)；然而僅僅只是控制用戶(hù)及其對(duì)這些資源的訪(fǎng)問(wèn)還遠(yuǎn)遠(yuǎn)不夠，還必須控制信息的使用[1]。保護(hù)信息在未經(jīng)授權(quán)下的訪(fǎng)問(wèn)和不當(dāng)使用十分必要，目的在于提供符合IT組織業(yè)務(wù)、用戶(hù)和合作伙伴最為需要的法規(guī)遵從和安全性。IT基礎(chǔ)架構(gòu)必須支持不斷增加的用戶(hù)和應(yīng)用程序、聯(lián)盟身份系統(tǒng)和復(fù)雜的法規(guī)遵從要求。傳統(tǒng)的身份和訪(fǎng)問(wèn)管理系統(tǒng)通常無(wú)法輕松地滿(mǎn)足這些日益復(fù)雜的要求，因此需要開(kāi)發(fā)新的身份系統(tǒng)模型[2]。

2 身份和訪(fǎng)問(wèn)管理（Identity and access management）

身份和訪(fǎng)問(wèn)管理是大多數(shù)IT組織的一個(gè)重要技術(shù)領(lǐng)域，其利用率與重要性在不斷提高。IAM通過(guò)規(guī)定用戶(hù)對(duì)受保護(hù)資源（包括系統(tǒng)、應(yīng)用程序和信息）僅擁有相應(yīng)級(jí)別的訪(fǎng)問(wèn)權(quán)限，奠定了有效的安全性。IAM通過(guò)實(shí)施適用的策略和指定能夠訪(fǎng)問(wèn)每種資源的用戶(hù)以及允許訪(fǎng)問(wèn)的條件來(lái)保護(hù)資源；并通過(guò)實(shí)現(xiàn)諸多安全過(guò)程的自動(dòng)化降低管理成本；增強(qiáng)法規(guī)遵從則通過(guò)自動(dòng)化安全控制和簡(jiǎn)化法規(guī)遵從審核來(lái)實(shí)現(xiàn)。IAM還可快速部署新的在線(xiàn)服務(wù)，同時(shí)支持安全的合作伙伴生態(tài)系統(tǒng)以加快業(yè)務(wù)增長(zhǎng)[2]。

傳統(tǒng)的IAM系統(tǒng)往往關(guān)注控制身份、控制訪(fǎng)問(wèn)兩個(gè)領(lǐng)域?？刂茟?hù)身份主要是管理用戶(hù)身份及其角色，從而控制訪(fǎng)問(wèn)資源，保證對(duì)身份和訪(fǎng)問(wèn)策略的遵從，監(jiān)控用戶(hù)和法規(guī)遵從活動(dòng)。支持這些功能的技術(shù)包括身份監(jiān)管、角色管理、備份和日志管理等?？刂圃L(fǎng)問(wèn)涉及到實(shí)施有關(guān)訪(fǎng)問(wèn)的策略，支持這些功能的技術(shù)包括Web訪(fǎng)問(wèn)管理、聯(lián)盟、Web服務(wù)安全和特權(quán)用戶(hù)管理。傳統(tǒng)的IAM雖然可以控制對(duì)關(guān)鍵應(yīng)用程序和信息的訪(fǎng)問(wèn)，但無(wú)法控制用戶(hù)對(duì)所獲取信息執(zhí)行的操作[3]。

在制定信息使用策略時(shí)，確保違反策略的行為能夠與具體的身份相關(guān)聯(lián)。只是簡(jiǎn)單地通知發(fā)生了違反信息使用策略的行為還不夠，必須阻止違規(guī)行為的發(fā)生，同時(shí)能夠跟蹤到具體的違規(guī)用戶(hù)。此外，訪(fǎng)問(wèn)決策的制定依據(jù)不僅應(yīng)包括所訪(fǎng)問(wèn)信息的敏感度，還應(yīng)包括試圖訪(fǎng)問(wèn)信息的用戶(hù)身份。因此，訪(fǎng)問(wèn)和信息使用策略應(yīng)基于身份。信息安全關(guān)注點(diǎn)往往是控制訪(fǎng)問(wèn)，而不是快速高效地進(jìn)行適當(dāng)?shù)脑L(fǎng)問(wèn)。但是，允許適當(dāng)?shù)挠脩?hù)輕松、動(dòng)態(tài)地共享信息，對(duì)于實(shí)現(xiàn)業(yè)務(wù)的高效運(yùn)營(yíng)和增長(zhǎng)也是十分必要的[3]。

3 基于內(nèi)容識(shí)別的身份和訪(fǎng)問(wèn)管理（Context-based identification of IAM）

基于內(nèi)容識(shí)別的身份和訪(fǎng)問(wèn)管理（簡(jiǎn)稱(chēng)為基于內(nèi)容識(shí)別的IAM）能夠控制用戶(hù)身份、用戶(hù)的訪(fǎng)問(wèn)以及用戶(hù)對(duì)信息的使用，從而加強(qiáng)和自動(dòng)化安全控制。傳統(tǒng)的IAM僅止步于控制訪(fǎng)問(wèn)層面，使得組織的控制范圍過(guò)小，而基于內(nèi)容識(shí)別的身份和訪(fǎng)問(wèn)管理則通過(guò)對(duì)用戶(hù)、信息乃至信息使用進(jìn)行管理和控制；這一粒度化控制可避免數(shù)據(jù)濫用，包括組織信息的不當(dāng)泄露或竊取等。

基于內(nèi)容識(shí)別的IAM與其他IAM組件集成在一起，構(gòu)成一個(gè)統(tǒng)一的解決方案，從而使得權(quán)利管理、角色管理、置備甚至訪(fǎng)問(wèn)管理都是基于“內(nèi)容識(shí)別”的，它們的功能與信息分類(lèi)和使用集成在一起，并受到信息分類(lèi)和使用的影響。基于內(nèi)容識(shí)別的IAM有效地管理和控制：身份、訪(fǎng)問(wèn)和信息使用三個(gè)領(lǐng)域，如圖1所示?？刂粕矸菘梢愿咝У毓芾碛脩?hù)、用戶(hù)角色以及用戶(hù)在整個(gè)企業(yè)范圍內(nèi)的訪(fǎng)問(wèn)權(quán)限；控制訪(fǎng)問(wèn)將僅允許適當(dāng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)關(guān)鍵系統(tǒng)和應(yīng)用程序。但是，這還不足以構(gòu)成一個(gè)統(tǒng)一的實(shí)現(xiàn)安全性和法規(guī)遵從的方法?？刂菩畔⑹褂弥陵P(guān)重要，通過(guò)制定數(shù)據(jù)策略，定義數(shù)據(jù)的特定分類(lèi)方式和禁止對(duì)這些數(shù)據(jù)執(zhí)行的操作或動(dòng)作，有助于防止企業(yè)/客戶(hù)機(jī)密信息被不當(dāng)竊取/泄露。

基于內(nèi)容識(shí)別的IAM關(guān)鍵是數(shù)據(jù)分類(lèi)。數(shù)據(jù)分類(lèi)可以是靜態(tài)的，也可以是動(dòng)態(tài)的。數(shù)據(jù)分類(lèi)涉及到將數(shù)據(jù)內(nèi)容與預(yù)定義模板進(jìn)行比較，目的是確定數(shù)據(jù)是否為敏感信息。靜態(tài)分類(lèi)是指按照計(jì)劃或道接命令進(jìn)行數(shù)據(jù)分析。動(dòng)態(tài)分類(lèi)是指在信息使用過(guò)程中對(duì)其進(jìn)行分析，以防可能出現(xiàn)的不當(dāng)使用行為；如果嘗試執(zhí)行任何未經(jīng)批準(zhǔn)的操作，應(yīng)提供多種可配置的選項(xiàng)，如：阻止操作或允許操作但警告、通知管理員、將異常事件輸入系統(tǒng)日志以及其他措施。endprint

基于內(nèi)容識(shí)別的IAM提供額外的防護(hù)，保護(hù)信息免遭濫用或泄露?；趦?nèi)容識(shí)別的IAM將安全與數(shù)據(jù)更加緊密地結(jié)合起來(lái)可提高安全性；通過(guò)對(duì)敏感數(shù)據(jù)的特性及其敏感度等級(jí)進(jìn)行類(lèi)屬描述，可以自動(dòng)對(duì)數(shù)據(jù)進(jìn)行分類(lèi)?；趦?nèi)容識(shí)別的IAM是IAM技術(shù)發(fā)展的自然產(chǎn)物，使信息內(nèi)容和使用在其他關(guān)鍵的IAM過(guò)程中發(fā)揮了作用，這些過(guò)程包括置備、身份認(rèn)證、用戶(hù)活動(dòng)報(bào)告和訪(fǎng)問(wèn)管理等。如果知道某位用戶(hù)過(guò)去使用敏感信息的方式，基于內(nèi)容識(shí)別的IAM可以更加恰當(dāng)?shù)卮_定此用戶(hù)應(yīng)該具有的角色和權(quán)利，或利用數(shù)據(jù)分類(lèi)來(lái)確定是否應(yīng)準(zhǔn)許訪(fǎng)問(wèn)請(qǐng)求?；趦?nèi)容識(shí)別的IAM可以提高策略的實(shí)施力度，從而降低IT風(fēng)險(xiǎn)。

4 基于內(nèi)容識(shí)別的IAM的架構(gòu)（The framework of context-based identification of IAM）

實(shí)施基于內(nèi)容識(shí)別的IAM安全策略，實(shí)現(xiàn)安全流程自動(dòng)化；基于內(nèi)容識(shí)別的IAM包括身份分析、訪(fǎng)問(wèn)實(shí)施和報(bào)告三部分，如圖2所示。

4.1 身份分析

身份分析包括Identity Manager、Role and Compliance Manager、Enterprise Log Manager三部分，通過(guò)管理和監(jiān)管用戶(hù)基于其角色所能訪(fǎng)問(wèn)的資源來(lái)實(shí)現(xiàn)的。Identity Manager與Role and Compliance Manager自動(dòng)創(chuàng)建賬戶(hù)和訪(fǎng)問(wèn)權(quán)限，通過(guò)工作流過(guò)程獲得上級(jí)管理層的批準(zhǔn)；方便用戶(hù)快速進(jìn)入工作狀態(tài)。如果用戶(hù)的角色和項(xiàng)目職責(zé)發(fā)生變化，其的訪(fǎng)問(wèn)權(quán)限也相應(yīng)地自動(dòng)更改適應(yīng)其的新職責(zé)，從而保證當(dāng)前角色不會(huì)擁有超出需要的訪(fǎng)問(wèn)權(quán)限。Role and Compliance Manage還自動(dòng)認(rèn)證用戶(hù)的權(quán)利，快速檢測(cè)并糾正由于疏忽而出現(xiàn)的越權(quán)行為。

身份分析還包括用戶(hù)活動(dòng)和法規(guī)遵從報(bào)告；完整的身份生命周期管理可應(yīng)對(duì)不斷發(fā)展的需求，確保用戶(hù)可以正確又及時(shí)地訪(fǎng)問(wèn)所需的應(yīng)用程序、系統(tǒng)和數(shù)據(jù)，同時(shí)制定適當(dāng)?shù)牧鞒毯涂刂埔詫踩L(fēng)險(xiǎn)降至最低。身份監(jiān)管支持使用控制來(lái)避免違反業(yè)務(wù)和監(jiān)管策略，并使驗(yàn)證用戶(hù)訪(fǎng)問(wèn)權(quán)限的過(guò)程實(shí)現(xiàn)自動(dòng)化以降低安全風(fēng)險(xiǎn)。置備可以使創(chuàng)建、修改和刪除用戶(hù)及其相關(guān)訪(fǎng)問(wèn)的過(guò)程實(shí)現(xiàn)自動(dòng)化。自助服務(wù)允許最終用戶(hù)來(lái)啟動(dòng)置備操作、密碼管理及相關(guān)過(guò)程。角色管理將用戶(hù)及其所需的訪(fǎng)問(wèn)高效地表示為統(tǒng)一身份過(guò)程的基礎(chǔ)。

4.2 訪(fǎng)問(wèn)實(shí)施

控制訪(fǎng)問(wèn)控制對(duì)物理、虛擬和云環(huán)境中系統(tǒng)和應(yīng)用程序的訪(fǎng)問(wèn)，用于控制在一系列平臺(tái)和環(huán)境中對(duì)受保護(hù)系統(tǒng)和應(yīng)用程序的訪(fǎng)問(wèn)。這些功能通過(guò)阻止對(duì)整個(gè)企業(yè)范圍內(nèi)關(guān)鍵資源的不當(dāng)訪(fǎng)問(wèn)，幫助降低IT風(fēng)險(xiǎn)。Web訪(fǎng)問(wèn)管理提供了一種集中的策略實(shí)施方式，以確定哪些用戶(hù)可訪(fǎng)問(wèn)在線(xiàn)應(yīng)用程序，以及允許訪(fǎng)問(wèn)的條件。將應(yīng)用訪(fǎng)問(wèn)實(shí)施集中到應(yīng)用程序外部，有助于簡(jiǎn)化安全管理，降低安全管理成本，推進(jìn)統(tǒng)一的安全實(shí)施。特權(quán)用戶(hù)管理提供了粒度化控制，決定管理員可以對(duì)系統(tǒng)執(zhí)行哪些操作，大大增強(qiáng)本機(jī)操作系統(tǒng)所提供的安全性。它可以確保物理和虛擬系統(tǒng)的安全，并安全地跟蹤、記錄并報(bào)告所有特權(quán)用戶(hù)活動(dòng)。虛擬化安全有助于保護(hù)虛擬環(huán)境中部署的系統(tǒng)和應(yīng)用程序免受外部或來(lái)自跨虛擬機(jī)活動(dòng)的攻擊或誤用。高級(jí)身份驗(yàn)證和防欺詐提供了靈活的功能呢，可提高用戶(hù)身份驗(yàn)證的強(qiáng)度（包括基于風(fēng)險(xiǎn)的身份驗(yàn)證），以幫助識(shí)別和阻止企圖實(shí)施的欺詐行為。

4.3 報(bào)告

用戶(hù)活動(dòng)和法規(guī)遵從報(bào)告通過(guò)自動(dòng)化的日志文件關(guān)聯(lián)與分析，以及對(duì)法規(guī)遵從和用戶(hù)活動(dòng)狀態(tài)進(jìn)行報(bào)告，提高安全性，使法規(guī)遵從變得更簡(jiǎn)單。基于內(nèi)容識(shí)別的IAM框架注重各組件之間的集成度，促進(jìn)各組件之間界面的一致性。采用了虛擬計(jì)算，將需要確保托管虛擬環(huán)境的物理計(jì)算機(jī)得到了全面的保護(hù)，可免遭攻擊或跨虛擬機(jī)訪(fǎng)問(wèn)?；趦?nèi)容識(shí)別的IAM框架可輕松安全地遷移到云計(jì)算。

5 結(jié)論（Conclusion）

基于內(nèi)容識(shí)別的IAM解決方案并不是靜態(tài)的。我們正在研究擴(kuò)展IAM架構(gòu)，集成更多基于內(nèi)容識(shí)別的功能，改善用戶(hù)權(quán)利管理，有助于做出更穩(wěn)健、更有效的訪(fǎng)問(wèn)管理決策。致力于使核心的身份管理和訪(fǎng)問(wèn)管理組件實(shí)現(xiàn)內(nèi)容識(shí)別，從而提供一個(gè)集成、無(wú)縫的平臺(tái)來(lái)管理身份、訪(fǎng)問(wèn)和信息。

參考文獻(xiàn)（References）

[1] 鄭偉，徐寶祥，徐波.面向服務(wù)架構(gòu)研究綜述[J].情報(bào)科學(xué)，2009，27（8）：1269-1279.

[2] Jim Knutson，Heather Kreger.Web Services for J2EE. http：//www.huihoo.org/openweb/web_services_for_j2ee/index.shtml.html.2008

[3] Jean-Jacques Moreau，Canon Jeffrey Schlimmer.Web Ser-vices Description Language（WSDL）Version 1.2：Bindings.http：//www.w3.org/TR/2003/WD-wsdl12-bind-ings-20030124/.2008

作者簡(jiǎn)介：

涂 剛（1971-），男，碩士，副教授.研究領(lǐng)域：軟件技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)編程.

劉華清（1968-），男，本科，講師.研究領(lǐng)域：軟件技術(shù)，數(shù)據(jù)庫(kù)技術(shù).

陳振東（1969-），男，本科，講師.研究領(lǐng)域：多媒體技術(shù)，數(shù)據(jù)庫(kù)技術(shù).endprint