用户安全需求的不断提高正在使传统的密码系统渐渐过时。大多数IT部门都面临着一个无法更改的事实,那就是它们的企业现在应用的最新技术和应用程序与一些非常过时程序的共存。
而这其中最显著的就是企业在对应用程序的访问权进行控制时,还对用户名和密码的使用依然坚持和依赖。过去,在为数不是很多的用户对一个主机应用程序进行访问的情况下,通过用户名和密码的使用来控制用户对应用程序的访问权是可行的;但是,随着用户数量和应用程序数量的不断增加,在几千个用户需要对数百个应用程序进行访问的情况下,再使用用户名和密码来控制应用程序的访问权就非常的不合时宜了。
在这种情况下,IT部门要为每个用户规定他们对各个应用程序的访问权限,明确他们有权访问哪些程序,无权访问哪些程序;并且为每个应用程序的可访问用户重新设置并分发用户名和密码。这样一来,每个应用程序都会有多个不同的密码有效周期和多种不同的密码设置标准。每当有用户忘记了自己的密码并向服务台寻求帮助的时候,服务台的工作人员都要耗费一定的时间来解决问题,用户自己的工作也会受到影响。
LogicaCMG专门就问题解决方案提供咨询的顾问Paul Gribbon说,在打到服务台的求助电话中,有30-40%都涉及到密码的重置问题。
按照Atos Origin咨询伙伴Mark Jones的计算,如果一个企业有三万名员工,应用十二个应用程序,那么相应的就会有三十六万组用户名和密码需要管理。
Jones说:“一般来说,平均每个员工每年要在IT部门的帮助下对密码进行四次重新设置。而每次重新设置平均需要花费三分钟的时间。这样算起来,企业每年用于密码重置的时间就达到了14.4万小时;如果按照每小时10英镑的成本计算,企业每年在密码重置问题上的成本消耗就达到了140万英镑。”
而上面的数字反应的不仅仅是企业成本上的消耗,其中所暗示的安全问题更加令人担忧。有些用户因为怕忘记自己的用户名和密码而习惯把它们写在纸上,如果在这些用户的访问权被取消时IT部门没有成功的将这些用户名和密码删除,就会造成大量无主帐户仍然存在的局面。
Gribbon说,如果一个用户离开了公司,人力资源部门(HR)就有责任将它从员工名单中删除,并及时通报给IT部门。
他说:“如果IT部门不能及时了解员工已经离开公司的情况,就无法及时删除这些员工在系统中的用户名和对应的密码。有的时候一个员工已经离开公司五年甚至十年,可是他曾经使用的用户名和密码还依然存在。”
Butler Group高级分析家Andy Kellett认为,及时取消应用程序的访问权不仅仅是一个在员工离开企业时才要解决的问题。
他说:“我们在取消访问权方面所作的工作同授予访问权相比还远远不够。如果一个最初在财务部门工作的员工调职到了人力资源部门,然后又进入了企业的高级管理层,他所享有的网络访问权限会不断增多。但是,既然他已经不再在财务部门工作,他原来所享有的与财务工作相关的应用程序访问权就应该被取消。”
现在,一些规模较大的企业已经开始注意到这个问题,对网络访问权采取了更为严格的管理方法。一个员工要同时记住多组用户名和密码的问题,正在通过单一登录系统的使用得到解决,这个系统就像用户和应用程序之间的中间媒介一样发挥作用。
应用了这种单一登录系统,用户只需要记住唯一的一组用户名和密码,其他的工作就交给软件来完成了。从技术角度来看,要实现这一点可以有多种方法。其中包括:
企业单一登录系统,应用这一系统,用户只需要登录一次,系统就会在用户使用各个不同的应用程序时自动输入用户名和密码;
联合登录系统,这一系统能够和网络应用程序一起使用,通过标准网络协议的应用使一个应用程序上的用户认证在其他应用程序上同样有效。
单一登录系统的应用也存在着一个明显的缺陷,那就是它的应用在使服务台的工作量减小的同时,也使网络安全面临着更大的风险。因为对黑客只需要破解一组用户名和密码就能够登录多个不同的应用程序了。也正是出于这个原因,一些安装了单一登录系统的企业现在开始将这一系统同其他认证手段结合应用,例如同时应用智能卡或PIN等。
Computer Associates专门负责安全战略的副总裁Simon Perry说,还可以从另外一个角度来看待单一登录系统同其他认证手段的结合应用。很多企业都将单一登录系统的应用作为引进智能卡的一种简便方式。
他说:“你会听到很多企业在说:‘我们想要从ID和密码的应用过渡到智能卡和生物测定技术的应用’,但是这些企业都面临着一个问题,那就是需要在终端的应用程序重写上投入大量的精力。”
Perry说,为了避免重写终端应用程序,这些企业会安装一个单一登录系统,同智能卡技术结合应用,并逐步提高智能卡在新的认证系统中的作用,直到最后完全停止单一登录系统的使用。
但是,即使是这样,智能卡的安装应用成本仍然很高,特别是它需要内置智能卡读卡器的新的PC机的硬件支持。而其他一些解决方案,例如指纹识别器和虹膜扫描仪等生物测定设备的应用也同样成本昂贵,并且很多员工现在仍然觉得生物测定设备的应用会让人觉得很不舒服。
Perry说,尽管受Sarbanes-Oxley法案影响最大的70多家英国公司中已经有一些公司正在财务软件的访问上应用生物测定认证技术,具有强大认证功能的生物测定技术的应用还相对较少。
Ovum首席分析家Graham Titterington说,要想解决服务台工作人员在帮助用户重置密码方面工作量过大、成本过高的问题,还有一个折中的解决方案。那就是仍然为每个用户配置多组不同的用户名和密码,用来访问不同的应用程序,同时设置一个自助服务程序,一旦用户忘记了自己的密码,可以通过这个程序自己完成密码的重置。这个程序的应用需要具有强大认证功能(例如生物测定设备)的PC机的硬件支持。
企业还可以应用其他的一些系统来对访问权的授予和取消进行更为有效的管理。Mid-Sussex District Council拥有五百个用户和五到六个主要的应用程序以及众多小应用程序,它就是通过应用Novell的exteNd Director, Composer and Identity Manager的工作流程和身份管理软件来解决问题的。
Mid-Sussex系统支持小组负责人Howard Knowleden说,一旦人力资源部门为某个新员工建立了用户帐户,该用户的网络访问和电子邮件帐户以及其他一些帐户将自动得到建立。当有员工离开企业的时候,这一流程同样适用。
Knowleden说:“应用这一流程的好处在于,当有新用户进入公司的时候,公司已经为其准备好了个人帐户,当他们离开公司时,这些帐户将自动失效,这样一来离职员工就无法再进入公司的系统了。”
那么,为什么企业在经过了多年的困惑和徘徊之后,现在开始把系统访问控制和身份管理作为优先考虑的问题了呢?对此,Logica CMG的 Gribbon认为答案非常简单。
他说:“现在,法律法规的制订者已经开始加强对企业运营风险的规范和管理,由此系统访问控制和身份管理问题也就开始得到企业董事会的重视。因为如果他们不及时根据相应的法律法规作出调整,将可能面临牢狱之灾。”
Gribbon同时指出,对正在使用中的系统的数量和使用系统的用户的数量进行追踪也正在开始带来审计方面的问题。他说:“审计追踪和报告的质量还无法满足某些企业的需求。为此,这些企业开始被相应法律法规的制订者处以罚款。”
在受到Basel II严格约束而需要强大认证功能的财政金融部门,这种情况尤为突出。正如Atos Origin的Jones所指出的,从企业的角度来看,单一登录系统和双重认证技术应用最大的好处就在于它能够帮助企业对正在使用特定应用程序的用户进行追踪,具有更为强大的审计功能。
调研公司Freeform Dynamics的首席分析家David Perry说,看来我们最终将只能在用户名和密码的时代构筑起一道不太差劲的防火墙。这些用户名和密码显然不够安全。
他说:“即使是最聪明的人在工作特别繁忙的时候也有可能泄露用户名和密码信息。如果有黑客下定决心要进入只需要单一用户名和密码就可以登录的网络,在大多数情况下,他们是能够成功的。”