作者：戴尔软件事业部亚太区及日本副总裁Barrie Sheer

       首席信息官必须确保合适的人通过适当的工具访问他们所需要的数据，他们需要通过身份认证和访问管理（IAM，IdentITy and access management）来完成这一重要任务。IAM可能很复杂。它涉及用户管理以及与之相关的一切，包含多种系统和账户管理背后所涵盖的业务流程和规则；以及与超级用户和管理员访问相关的业务风险和机遇。如果做得不好，IAM会成为生产力黑洞或安全漏洞。

        这里，我们将会讲述IAM的重要性以及它可以帮助企业实现的价值：

真相一：安全是稳定的基石
        任何试图应对安全问题却没有一个基本战略的人都会发现自己必败的命运——在枪林弹雨中疲于奔命，似乎永远看不到尽头。首席信息官应将其IAM方案建立在一套适用于所有系统的IT策略基础之上。其中包括由适当访问系统和数据所需的一切元素组成的单一用户身份来确保他具有访问系统和数据所需要的身份和资格，一套控制访问并界定用户的参数，以及将管理权赋予那些清楚了解什么人需要访问怎样的系统和数据，而不只是系统管理员来确认谁应该有权限访问数据和系统。

       任何一个用户都有可能在众多系统上拥有几十个不用的身份，每个系统在这些身份内都需要不同的属性或管理权限。这些交错的因素成为首席信息官面临的一大挑战。戴尔软件身份认证和访问管理（IAM）解决方案可以帮助用户切实管理用户的访问权限和活动。

真相二：黑客是不可避免的 
       要想看到每个用户和每个接入点的可疑活动是不可能的。尽管防火墙、密码、粉碎文件等正常安全措施是必要的，但是IAM可以从内部监管的角度提高安全的胜算。例如，采用一个自动化、业务驱动型、基于策略的，可配置的解决方案可确保不出现任何对企业数据和系统的可被利用的不恰当访问。

真相三：用户写下自己的密码，但是不会记住自己的密码
       为了记住自己的众多密码，员工往往会写下自己的密码，并将它们放在自己的办公区域。无论对用户的监控力度有多大，无论公司的安全政策有多么统一、强大，一旦密码落入坏人手上，就没有安全性可言了。通过在IAM政策中采用单点登录（SSO）技术，首席信息官能够避免与密码相关的漏洞。

真相四：内部威胁是一个问题
       近几年最具破坏性、最高调的安全漏洞都是内部人员使用特权访问来做坏事的后果。某些人盗取并公布关键数据。另一些人则设置时间炸弹来破坏系统。这样的案例最近在中国的金融行业有所出现。

       超级用户账户是必须的，所以我们必须要有确保超级用户账户安全的保护措施。在实际工作中，企业努力确保关键IT任务能够高效及时地完成，所以“借用”管理员密码的情况时有发生，这就造成了一定的风险。更好的方法就是永远不要将全能密码交到任何人手里，而是采用特权账户管理的安全措施来根据策略自动发送密码，并且能够完全看到特定时段特定用户的相关活动。此外，如果有可能，建议采用最小特权访问模式，将一个完整管理凭证的子集分配给各个管理员，使其刚好具有足够的权限来完成所需要的工作。

真相五：将工作流程发送到云中并不意味着能奇迹般地使其更易定义或理解
       仅仅因为一些东西存储在云中，并不能降低对相同安全考量的需求。这些安全考量是内部部署IAM的基石。事实上，良好IAM的许多关键方面——特别是统一、业务驱动型和基于策略的工作流程——在迁移出数据中心时会变得更加重要。

       当IAM的这些方面能够由业务部门而不是IT部门进行统一、自动化并控制时，部署细节——无论是在内部还是云中——都会变得更加可管理。首席信息官必须将IAM解决方案就绪情况考虑在内，以便应对云中的数据和应用程序。