身分安全是信任的基礎

網際網路的風潮下，為了要使用各種應用系統和網站服務，許多人開始過著擁有多組帳號、密碼的生活。而在行動應用當道的現在，人人上網門檻大幅降低，你只要有一臺智慧型手機或平板電腦，就能連到網際網路，也因此需要使用到帳號、密碼，例如Apple iOS裝置搭配Apple ID，而Android裝置則運用了Google帳號。

除此之外，對一般人而言，還會在很多場合必須輸入帳號、密碼，例如：電子郵件、即時通訊、社群網站、網路銀行、線上購物網站；如果是你在企業內部環境工作，每天在使用桌上型電腦或筆電開始進行文書作業之前，需輸入帳號、密碼，以便登入公司網路，存取檔案伺服器與共用印表機。

實體環境上，我們也經常會接觸到身分驗證有關的程序。例如，到銀行ATM進行提款或轉帳，插入金融卡之後，需要鍵入密碼；使用信用卡進行消費交易時，需要以筆簽名或輸入密碼；進出商業大樓或各機關團體園區時，需配戴識別證；去醫院看診時，需攜帶健保卡驗證身分；而出入他國時，護照與簽證查核更是少不了的程序。

無論是數位世界或實體環境，要確保彼此之間的信任關係，仰賴強健的身分保護措施。在實作原則上，其實都不脫許多人所熟知的3A：認證（Authentication）、授權（Authorization）、稽核（Auditing）。因此，每當我要跟同事討論到何謂企業級IT管理系統，以及如何了解其功能和特色時，通常也會環繞著這些話題。

例如，因為企業需要面對許多使用者，包括基層員工、高階主管、訪客、合作廠商，因此IT應用系統大多需支援多人同時上線使用，這就牽涉到使用者身分管理，除了這些系統本身內建的帳號、密碼系統，能否整合Windows AD或LDAP目錄服務，通常是必備的條件。

而系統的存取授權管理上，則是跟不同的使用者角色，以及對應的權限配置有關。

至於所謂的稽核，主要的作用是希望能夠掌握系統過去與現在發生的各種事件，因此需要提供充分的記錄、彙整與搜尋功能，甚至能做到統計分析。

上述這些安全性機制，可以在IT系統裡面內建，但也可以做成獨立的產品。以後者來說，我們過去報導出來最多的應是郵件稽核系統，也曾介紹一些安全事件管理系統（SEM或SIEM）。今年我們還特別針對使用者行為分析（User Behavior Analytics，UBA）的產品，製作了採購大特輯。

至於權限管控的部份，兩年前，我們曾就特權帳號（高權限使用者）的管理為題，探究市面上的相關產品，而這些解決方案提供的功能，也和上述的SEM、UBA有著高度相似、甚至功能相互重疊的情況。

相較之下，針對身分驗證管理的獨立產品，似乎遲遲沒有受到市場青睞。幾家大型軟體廠商都有解決方案。例如，微軟去年推出了Identity Manager 2016，而其前身是2012年推出的Forefront Identity Manager 2010 R2；Oracle也有一系列Identity Management解決方案，區分為目錄服務、存取管理、身分治理、行動環境等應用。

以伺服器虛擬化平臺聞名的VMware，由於他們併購了Airwatch，在去年發表了VMware Identity Manager，今年6月推出Workspace ONE平臺，顯然是想從企業BYOD、行動裝置端的使用者單一身分管理，延伸至桌面虛擬化與端點管理，後市可期！

 相關報導  2016身分保衛戰開打！