肖洪波：谁动了我的信息？

肖洪波：大家下午好！很高兴今天下午能够跟大家构想一下CA在访问管理中的问题。我们建立了很多的防病毒包括是不应该进入到我们系统里访问的一些意外，对于在我们企业内部我们是不是可以让合适的人去访问合适的系统，这是我们需要解决的一个问题。我在看之前给大家共享一下CA公司在这些年的一些变化。CA是板于1976年，大概有30多年的历史。我们在连续九个季度里面都获得了非常大的增长，2009年CA公司也确定了在中国去扩大研发中心和国内的一些行业和专业的合作伙伴，为客户提供解决方案。

大家可能会想EITM，这是CA针对企业的管理提的一整套方案，大家可能是提供ERP或者是CRM的解决方案，ERP是把我们企业里面的制造、财务和人力的一些资源统一化，提供了一个统一的企业管理的平台，从而为我们的CFO提供支撑。CRM是把我们的营销和服务整合在一起，为我们的营销平台提供支持。这个对于我们IT部门来说我们是给很多的其他业务部门比如说像生产部门或者是营销部门，市场部门，我们提供了信息化，但是很多时候我们是耕了别人的地，荒了自己的田，CA提出了一个统一的简单的自动化的解决方案，有一个统一的服务的视角，通过16个方案模型为我们企业去提供IT的治理、管理和安全，帮助我们的CIO管理企业里面的基础架构。

我们今天给大家共享的是CA在IM方面的解决方案，这是CA16个模型中的一个。对于我们企业的应用来讲，今天会有非常多的用户不仅仅是我们内部的用户，包括给我们提供方便的网上银行。针对与我们现在出现的越来越多的用户还有越来越的应用，这个应用包括了国产的OA，ERP、CRM等一些应用，用户和应用之间的关系变得非常的复杂，会产生非常多的信息。每一个应用都会有相应的帐号信息，一个用户在不同的系统里面会产生帐号，在不同的系统里面还会有一些相应的信息。

这时候有一个问题了，针对于这些角色，我们怎么样进行管理？我们现在建立的应用都是一些烟囱式的应用，每一个应用在开发的时候会开发一套自己的认证或者是授权这样的模块，有相应的决策和管理。我举一个例子来讲，对于ERP领域，这个领域会有非常多的决策，当我们做决策的时候有可能会把一些有冲突的决策做出来，比如说定价人员和销售人员，这个人员在系统里面可以修改产品的价格，修改完了以后进行相应的交易，交易完了以后重新把价格调回来。这个对我们的业务来讲是非常大的威胁，怎么样去有效的管理我们应用里面设计的这些角色，可能我们用防火墙，用IBS，IBS把很多人都挡在了我们系统外面，进入到我们系统里面的人的权限是不是适当的，我们是不是对他进行了有效的管理，这是我们现在很多的应用面临的一个问题。

我把几个问题做了一个简单的罗列，第一个问题就是说涉及到职责的问题，我们的角色和身份管理混乱，刚才严主任也讲了。实际上这个问题在我们今天的企业里面依然存在，不仅仅是防火墙的问题，很多时候我们很多人都知道操作系统的帐号，我们没有办法审计说今天哪个人通过系统访问了我的信用卡，或者是访问了我的一些和财务相关的东西，我们怎么样能够按照角色管理的体系去规划，什么样的人应该有什么样的角色，在我们的系统里应该进行什么样的操作。

另外一个问题就是无法统一应用的安全控制，因为我们今天是一种管理应用的方式来管理的，我们开发一个应用就做一套安全的体系，做自己的认证，做自己的授权和角色，可能会基于相应的体系。开发商在设计这些授权的模型或者是认证的模型的时候有可能会存在缺陷，同样的一个问题就是说我们上线之后这些应用开发的人员是不是还有能力，或者是不是还有权限去修改里面的安全模块，还是说这个安全的模块，安全的这种认证和授权的策略应该由我们企业里面统一的安全部门来进行管理，是不是要把应用的安全和应用逻辑分开，由不同的部门来进行管理。

第三，用户需要有更好的体验。当我们提供了几百个方式提供给用户的时候，他们有可能会忘记，为什么要在墙上贴上一个表呢？因为总会忘记口令，我可能只会记住其中的三个、五个，或者是用生日或者电话号码作为口令。但是用户同时又希望自己有很好的体验，我登陆一次可以访问所有有权限的这些系统，怎么样能够基于一个统一的安全模型为我们用户去提供这样更好的用户体验。另外一点就是建立应用系统的统一的认证和授权的权限管理。

最后一点是应用用户的行为审计。总体的说起来我们需要回答这么几个问题，针对我们在企业里面的信息，比如说盗窃的问题到底是外面的黑客到我们的系统里来把我们的系统偷走，还是说我们有内贼，把这个信息窃取出去直接在市场上销售。刚才严主任提到了很多身份信息在市场上有明码标价，我们个人的手机信息在市场上也是明码标价的，你的手机信息包括你个人的信息都可以买得到。这些都是一些非常宝贵的资源。

第二，访问了什么样的资源，在我们的系统里发生了什么事情。第三是怎么样发现问题。所以CA的解决方案是提出了统一考虑企业里面应用安全的这样一个应用的逻辑和安全的逻辑分开。通过统一的安全策略的管理去简化用户对用户的管理，对用户认证的管理，对用户权限的管理以及对用户的行为审计。下面我会从几个方面给大家介绍CA的解决方案是如何解决这些问题的。

CA的产品线主要是分为三条产品线，今天给大家介绍三条产品线里的一条，叫身份和访问管理的方案，这里面又分了三个解决方案，第一个叫身份的生命周期管理，我们在企业就是客户在应用系统里的数据身份，从创建到身份的变更到身份的终止去解决这个问题。在我们的很多企业里面实际上有一些因为身份管理出现的问题，有人离开我们企业了，但是他还拥有我们企业里面的一些帐号，可以登录到我们的系统里访问一些关键词，可以去修改，也可以去网上销售，怎么样对我们企业里面的钥匙，相当于我们做了很多的防盗门，像防火墙等这些，这个身份是我们系统的一个钥匙，我们要对这个钥匙进行一个流程化、决策化的管理。

第二个部分是针对我们企业里面的数据和资源的防护，怎么样针对我们的Windows的开发实现分角色的管理，而不是在我的系统里面什么都可以做，可以登到系统里面，去做相应的一些资源的操作。

第三个部分是针对外部上的一些业务安全，因为我们现在越来越多的会提供外部的应用，比如说网上银行，我们把这些推给客户的时候是不是也把网络安全带给了客户。第一个问题就是CA的身份的生命周期的管理解决方案叫ILM，这个方案帮我们处理了几个大方面的问题。第一个是决策的管理，第一个问题就是去做这种角色的挖掘或者是权限的清理过程，以前我们的企业里面做了非常多的角色，可能是管理比较混乱，这个时候已经产生了一些角色，在我们的角色解决方案里面有很多针对像SAP这样的产品的SOD的一些模板，值得分离的一些模板，它会帮我们去发现说有哪些不恰当的权限，我们赋予给了同一个人，这样避免一些业务上的风险。还会根据我们企业里面的用户和权限的关系推荐了一种决策的模型，可以参照这个角色模型设计企业里面的角色，同时会提供角色的分析和报告。

这个角色模型建立完了以后会自动的加载到后面的帐号管理的平台里面去，在帐号管理的平台里面会处理用户和角色之间的关系，通过这个角色模型把用户的身份自动的加载到以前的目标人群中，这是用户的整个生命周期的管理，包括用户的开通，用户的变更一直到用户的终止，这样的话就不会出现说这个用户已经离开企业了，他的身份还在我们企业里面，我们只要在这个平台里面把这个用户删除掉，所有的信息会自动的终止。

还有一方面是安全的合规，比如说现在很多企业去做合规，有很重要的一点就是要做职责分离，SOD，这个时候如果有这样的产品，我们可以很容易的向审计人员证明我们确实已经执行了我们有相应的报告。身份管理平台身份的管理的请求有几个方面，第一个可以和企业的人力资源系统相集成，比如说时间的信息，而身份管理平台关注的是这个用户在企业的整个生命周期里面的权限，权限管理的生命周期。这个信息我们举一个例子来讲，比如说有一个新员工入职了，在HR系统里加了一个用户，根据身份管理平台里面的流程设定这个人是一个什么样的角色，应该哪个业务单元的人做审批，可能是业务的一个角色。这个流程我相信在于我们很多的企业里面已经有一些手动的流程，我们今天是填一个表单，叫相应的负责任做一个审批，这个系统可以把我们的流程自动化。当审批通过之后可以把这个信息加到中间黄色的部分，就是我们目标的系统，从而实现生命周期的真正的用户管理。

这些所有的用户管理的行为都会被审计下来，大家可以看底下的审计人员，所有用户身份的变动如果添加了用户，删除了用户，这些都会被审计下来。当审计人员去问你的时候，比如说财务系统里面你做了哪些变更，是不是有人加了一些用户，进行了一些操作，这样可以提供一个非常完整的报告给相应的人员。

刚才介绍的是身份的生命周期管理，下面介绍针对web环境，现在我们很多用户会通过外部环境访问我们的业务。我们有几种提供方式，第一种是用户通过浏览器来访问我们的用户，就是上面写到的web访问管理，我们提供一个认证管理的平台，根据应用对安全的需求统一的定，通过安全策略的设定把相应的这种方式分配下来，这是CA的产品关注解决的一个问题。在这个基础之上实现基于策略的授权管理，另外一个面我们的企业还有可能会和它的合作伙伴去做协作，如果提供了一个网上服务的网商银行，但是我和其他公司合作，我希望用户在不同的合作伙伴之间也可以实现登陆，这样的话CA也可以帮他去实现这个联盟服务。

CA在2005年收购了一家公司，它的产品是核心的一整套的解决方案，这个产品的核心是性能非常好的策略服务器，通过这个策略服务器来保护我们的web应用，可以保护到非常细的资源，比如说针对页面和页面里面的一些图片进行保护，对于一些应用服务器可以控制到应用服务器里面的像DGBC的查询和方法，都可以采取不用开发的方式，通过策略的配置去实现授权。这个平台和刚才的身份管理平台也完全紧密的结合在一起，这样的话当我们在生命管理平台里面分配到相应的角色之后会通过前端的访问控制平台来决定这个决策可以访问哪些资源，这样的话就把身份管理、访问管理紧密的结合在一起。

第三个模块是针对于我们底层的数据和资源的层面，因为对于这些系统来讲，对于超级管理员基本上什么事情都可以做的，而且我们现在对于超级管理员用户的管理，很多用户都知道超级管理员可以到系统里做一些不合规的操作，这个产品是希望能够帮助企业消除非授权的访问。当比如说有人希望在系统里面做一些安装应用的时候，你不需要再给他帐号，只是发一些权限，临时的发给他们，他不需要入口，只需要提供一个命令，这个时候只需要输入他本身自己的口令，就可以临时的获得部分权限去做他的操作。而他做完这个事情之后，人家立刻就给收回了。

另外一点是增强职责的分离，会把操作系统划分成三权分立的系统，系统管理员、安全管理员和审计员，包括进入到后台系统之后不可以终止审计的进程，只有审计员可以对审计的信息进行管理，但是不可以删除掉审计的信息。安全管理员只是负责安全策略的一些定义，应用的管理员可以进行管理应用。

解决方案可以根据我们对于底层系统的分析划分一下安全的策略，比如说我们有一系列的服务器，虽然可能是不同品牌的，但是他们都是做系统服务器的，数据库服务器我们会提供哪些的安全的保护，这个时候我们可以针对数据库服务器来做，应用服务器是另外的解决方案，去保证我们系统的安全，提供了统一的策略下发功能，提供上百台的服务器安全策略。这是我们的一个成功案例，是万事达卡，大家有兴趣的话可以关注一下。这个是一个天津运营商，是为在线数千万记的在线用户提供web环境的认证和授权。这是他的安全的架构师讲的，任何和身份管理相关的错误都将伤害我们的形象，客户希望我们能够提供安全的服务，而不希望因为身份盗窃这样的事件而担心。

大家可以看到这是一个非常大量的访问，每个月超过了几百万的登录，每天也可以非常大量的事物在做，有一个非常好的认证和授权。另外我们在国内的银行也有四大银行内部的访问和授权管理，都是我们CA来帮助他们实现的。

我们今天给大家介绍的CA的安全产品线里面的一部分就是身份管理，以及部分的安全信息管理，谢谢大家！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。