身分與存取權限管理需求浮現

雖然身分管理的觀念已經談了很多年，市面上的身分認證、身分管理與單一登入的產品也不在少數，卻都是一些小公司提供零星而單一的工具產品，不具備跨平臺的整合能力，尤其是單一登入解決方案發揮的效益有限，通常僅止於「代登入」，以致於市場接受度並不高。

這幾年，主要系統大廠紛紛傳出併購身分認證方案供應商的消息，包括HP買下Batimore、TruLogica的身分管理技術，CA併購Netegrity，BMC併購Control-SA/eProvision和Calendra，昇陽併購WaveSet，IBM併購Access 360以及甲骨文併購Oblix等等，相當熱鬧。

隨即不斷有大廠發表身分認證解決方案，這一個身分管理的產品熱潮似乎就此展開，CA、HP、IBM、微軟、Novell、BMC、甲骨文、Red Hat、RSA、昇陽等等無一缺席，但現階段大多侷限於管理自家或某些特定系統的產品，具有跨平臺能力的產品並不多。

作業環境越複雜，IAM需求越大

根據IDC（國際數據資訊）所定義的身分識別與存取管理（Identity and Access Management，IAM），是指那些透過已建檔的身分ID、結合使用者權限，透過辨識系統辨認使用者並控制管理存取權限的解決方案。管理的範圍包括系統、網路與主機的單一登入、使用者資料管理與認證、新舊系統驗證、關鍵基礎架構及目錄服務管理等等。

企業組織成長，IT規模與架構也隨之增長，從作業系統、電子郵件系統、資料庫，到ERP、CRM、BI、供應鏈、網路服務等應用程式、內外部網路等作業環境越來越複雜。員工、供應商、企業夥伴和客戶等使用者越來越多，系統、應用程式、資料庫、網路服務及Intranet和Extranet網站間的身分與資料存取權限管理，如何精確掌控？成為企業面臨的一大「內憂」問題。

企業資料失竊事件頻傳，資料管理出現大漏洞

尤其員工對於機密資料保存的疏失可能導致帳號、密碼、甚至是公司的機密資料被竊。或是因為要登入不同系統、應用程式或網路服務時，需要不同ID帳號密碼，增加工作流程的延宕。企業就算強制規範密碼的使用，密碼管理成問題，一個員工從就職到離職，如何以最簡易的方式管理身分與存取權限？

企業當然也面臨所謂的「外患」，不管是混合式病毒、網路釣魚、Phishing還是間諜或木馬等惡意程式攻擊，大部分的目的都在竊取企業或個人重要的資料。今年以來，美國企業資料失竊事件頻傳，顯示企業資訊架構普遍存在重大安全漏洞，面臨機密檔案防護的安全威脅。

企業資料被竊取的途徑不外乎駭客入侵、資料傳輸出現漏洞、內部人員不當行為等，這讓企業必須正視身分與資料存取權限的管理問題。美國政府除了積極制定聯邦法律，像是加利福尼亞法案1356與1950，約束企業強化自身的資料防護體系，針對不同行業也有不同的法律加以規範。

美法案強制規範企業必須保護資料安全

美國爆發安隆 (Enron)作假帳的風波之後，美國以沙賓法案（Sarbanes-Oxley Act，SarbOx，SOA）規定企業必須以文件形式記錄各項財務政策和工作流程，以改善過去的財務工作流程與報告，以加強企業內部管理，因此企業必須更有效的自動化進行工作流程、協同合作、文件記錄與管理。美國金融服務法 (Gramm-Leach-Bliley Act，GLBA) 則強制要求金融機構設保護客戶資料的措施。

1996年通過的HIPAA（Health Insurance Portability and Accountability Act）法案，就針對醫療保險體系的安全與隱私進行保護，明定資訊系統應符合管理程序(Administrative procedure)、實體防護(Physical safeguards)、技術安全服務(Technical security services)、技術安全機制(Technical security mechanisms) 等4個面向的安全要求。

而個人資料保護與電子文件法案（Personal Information Protection and Electronic Documents Act，PIPEDA）保護像會員名單等個人私密資料被企業洩漏。歐盟則有歐盟隱私權保護法（European Union Privacy，EUPA），日本有個人情報保護法（JPIPA），臺灣政府則有剛通過施行的「電腦處理個人資料保護法」來規範公務機關或非公務機關的資料保密。

大廠們推出的解決方案，很努力規畫出產品未來的「美麗願景」，多宣稱自己有包山包海的跨平臺能力，但實際上目前技術仍在發展初期。

IDC資深分析師曹永暉表示，隨著企業IT環境日益複雜，對身分管理的需求已經浮現，可以看出市場熱度正在醞釀。但因為業界標準尚未確立，建立標準又不是單一廠商的事情，仍有很多技術性問題等待解決，市場到真正成熟還有1～2年的發展時間，大廠們最後的決勝關鍵將取決於整合能力。

在與國際金融機制接軌的壓力下，臺灣已有些屬於「資訊先進」的大型金控率先導入IAM。就算一般的企業還沒做好準備，除了密切觀察市場的變化，每個新專案評估都要考慮到身分與存取權限管理，尤其是相容性等因素，現有的建置將牽涉到未來的管理，這對企業來說是需要仔細評估的問題。文⊙高雅欣