身份管理聯(lián)盟最佳實(shí)踐
人不是生活在真空之中,公司也不應(yīng)該這樣。為了在當(dāng)今的市場(chǎng)上取得成功,金融公司不得不重新思考他們的商業(yè)運(yùn)作模式。對(duì)傳統(tǒng)實(shí)體金融公司而言,他們已經(jīng)意識(shí)到利用所有的人事、系統(tǒng)和服務(wù)資源為公司內(nèi)部的信息服務(wù)這種策略已經(jīng)過(guò)時(shí),游戲規(guī)則已經(jīng)開(kāi)始改變了。為了維持高效率、低成本的商業(yè)運(yùn)作,他們不得不開(kāi)始尋找第三方合作伙伴來(lái)扮演那些不再增加價(jià)值的角色,比如效益管理、人力資源、信息中心、旅游服務(wù)、保險(xiǎn)和股票估價(jià)。
雖然商業(yè)領(lǐng)袖們很容易明白這些關(guān)系的價(jià)值,比如支付給專家更低的工資,但是實(shí)現(xiàn)起來(lái)卻比較困難。PCI DSS和 HIPAA等都明確規(guī)定將嚴(yán)懲入侵以及傳輸含有敏感信息、金融信息和個(gè)人信息的數(shù)據(jù)。另外,美國(guó)具體處理違約通知條例表明,企業(yè)應(yīng)為個(gè)人信息以及金融信息泄露負(fù)責(zé),即使這是由第三方的安全缺陷造成的。出于這些風(fēng)險(xiǎn)考慮,許多金融公司選擇將信息保存在公司內(nèi)部以保證其安全性,但是允許他們的合作伙伴來(lái)管理這些數(shù)據(jù)。這就導(dǎo)致身份管理聯(lián)盟技術(shù)的興起,OASIS的安全聲明標(biāo)記語(yǔ)言(SAML)就是其中的一種。然而,就像90年代的公鑰基礎(chǔ)設(shè)施(PKI)的發(fā)展一樣,采用“信任通道”的安全策略來(lái)管理企業(yè)與其合作伙伴的合作仍然滯后于商業(yè)發(fā)展的需要。
身份管理聯(lián)盟
身份管理聯(lián)盟發(fā)展滯后是有一些原因的。其中最主要的原因是金融公司與其合作伙伴之間缺乏如何進(jìn)行“信任通道”的合同規(guī)范。沒(méi)有適當(dāng)?shù)暮贤?guī)范,公司就沒(méi)有辦法確定采用第三方之后給他們帶來(lái)的風(fēng)險(xiǎn),如果第三方違反條例后他們的責(zé)任會(huì)在多大程度上得到緩解。
另一個(gè)主要問(wèn)題是,在身份管理聯(lián)盟中,一個(gè)身份管理服務(wù)供應(yīng)商要向多家合作伙伴提供信息身份管理服務(wù)。而運(yùn)作這么多的身份管理要經(jīng)過(guò)很多版本的多項(xiàng)條約,管理的復(fù)雜性不言而喻,所以很少有公司愿意成為身份管理服務(wù)供應(yīng)商。
而信任關(guān)系信息傳輸過(guò)程中的主要技術(shù)也是造成管理復(fù)雜性的一部分原因。數(shù)據(jù)聯(lián)合技術(shù)的采用使得“安全聲明”的傳輸?shù)靡酝瓿伞?shù)據(jù)聯(lián)合技術(shù)包括:安全聲明標(biāo)記語(yǔ)言和自由聯(lián)盟(Liberty Alliance,一個(gè)致力于解決數(shù)字身份問(wèn)題的業(yè)界聯(lián)盟)的身份認(rèn)證聯(lián)盟框架(ID-FF),這兩者都是切實(shí)可行的解決方案。現(xiàn)在已有三個(gè)版本的安全聲明標(biāo)記語(yǔ)言被金融產(chǎn)業(yè)采用,它們分別是:V1.0、V1.1 和V2.0;還有兩個(gè)版本的ID-FF被采用:V1.1 和V1.2。雖然它們都是可行的,但是互相之間卻不兼容。這就需要公司支持多種技術(shù),甚至所有的技術(shù)。
最后,很難保證第三方能通過(guò)正確的授權(quán)進(jìn)行系統(tǒng)查看和管理金融公司的信息。
身份認(rèn)證聯(lián)盟的關(guān)鍵考慮因素
怎么才能使身份認(rèn)證管理的效率提高呢?可以根據(jù)以下這些步驟:
◆了解商業(yè)內(nèi)容 ——在公司尋找合作伙伴之前必須了解外包公司的職能,并將其分類,戰(zhàn)略性的運(yùn)作必須排除在外包考慮之外。
◆了解工作流程——一個(gè)尋找外部合作伙伴的公司,必須了解其合作伙伴進(jìn)入和離開(kāi)公司業(yè)務(wù)的關(guān)鍵點(diǎn)。公司還必須知道數(shù)據(jù)是會(huì)繼續(xù)在自己的限制范圍之內(nèi)還是會(huì)被合作伙伴帶走。要反映新的商業(yè)運(yùn)作流程,就必須對(duì)現(xiàn)有的工序和程序進(jìn)行適當(dāng)修改。
◆確定信息敏感度——公司必須清楚各個(gè)職能中包含的信息種類,其中是否包含敏感信息、金融信息或者個(gè)人信息。公司還需要清楚有無(wú)與這些信息相關(guān)的法律法規(guī)。公司必須與可能的合作伙伴共同決定接觸這些信息的人員是否需要其他的背景,在被授權(quán)接觸這些信息之前是否需要其他的確認(rèn)。最后,公司必須決定這些信息有沒(méi)有價(jià)值,如果出現(xiàn)信息丟失或者泄露時(shí),有沒(méi)有必要采取補(bǔ)救措施。
◆確定準(zhǔn)入合作方的資源要求——一旦公司知道每個(gè)職能包含怎樣的信息,就必須制定合作方進(jìn)行職能管理的權(quán)限:身份管理聯(lián)盟技術(shù)的行政身份,管理聯(lián)盟關(guān)系的管理身份,使用聯(lián)盟服務(wù)的應(yīng)用服務(wù)和項(xiàng)目的系統(tǒng)準(zhǔn)入以及使用聯(lián)盟技術(shù)的終端用戶的權(quán)限。
◆定義安全聲明,確保信息安全——在得知了信息敏感性和訪問(wèn)需求后,金融公司就有能力定義合同義務(wù)、安全控制和通信需要,以確保合作伙伴的授權(quán)用戶可以安全地就與業(yè)務(wù)功能有關(guān)的信息進(jìn)行交流。這些都應(yīng)傳達(dá)給合作伙伴公司征求同意。
◆確定安全聲明協(xié)議需要溝通渠道的支持——在這一點(diǎn)上,公司應(yīng)該與它的合作伙伴確定合適的協(xié)議——安全聲明標(biāo)記語(yǔ)言、自由身份認(rèn)證聯(lián)合框架,或兩者都有——并且各個(gè)版本都將要予以支持。如有可能,該協(xié)議的最新版本應(yīng)該是用來(lái)提供給請(qǐng)求者盡可能多的信息量,他們將在與金融公司的信息交互發(fā)揮作用。
這一點(diǎn)會(huì)很有爭(zhēng)論。金融公司理所當(dāng)然想支持一個(gè)最小的協(xié)議以減少他們的支持成本,而合作伙伴想支持他們所使用的標(biāo)準(zhǔn)。另外還存在合作伙伴不具備任何聯(lián)合能力的風(fēng)險(xiǎn)。雖然不是最佳選擇,但其他方法可能需要授權(quán),如同步登陸/密碼信息,但這應(yīng)該被視為一種短期減損控制。在任何情況下,只要是同意的就應(yīng)該納入到合同中和未來(lái)的遷移,即從用戶名/密碼到安全聲明標(biāo)記語(yǔ)言在未來(lái)的兩年應(yīng)該與將會(huì)蒙受的損失和轉(zhuǎn)換的時(shí)間表一起歸檔。
◆定義審計(jì)水平和報(bào)告要求——金融公司與它的合作伙伴共同確定審計(jì)和報(bào)告的水平是十分必要的,這可以確保合同條款和條件的規(guī)定。
◆定義如何管理溝通渠道——如果金融組織不希望提供身份服務(wù),它必須把這一責(zé)任推給合伙人或?qū)で髧?guó)際知名公司,如平安身份認(rèn)證公司,它為公司及其合作伙伴提供第三方聯(lián)合經(jīng)營(yíng)服務(wù)。利用第三方企業(yè)的明顯優(yōu)勢(shì)是它可以提供聯(lián)系到一家公司的所有合作伙伴,并且在必要的時(shí)候進(jìn)行協(xié)議轉(zhuǎn)換,而該公司不用承擔(dān)正在進(jìn)行的聯(lián)系和管理費(fèi)用。缺點(diǎn)是,公司必須為使用該合作伙伴的服務(wù)做額外的預(yù)算。
◆制定計(jì)劃——在達(dá)成一項(xiàng)合作伙伴如何接觸金融公司以及它會(huì)履行什么職能的協(xié)議后,該公司應(yīng)建立一個(gè)執(zhí)行計(jì)劃,包括時(shí)間表、所需資源、結(jié)構(gòu)變化、流程定義、籌資模式和商業(yè)抗辯理由。這些在執(zhí)行之前都應(yīng)該經(jīng)過(guò)專門的渠道正式批準(zhǔn)。
在理解了與第三方合作如何有利于公司,以及理解了圍繞使用他們的服務(wù)而制定的周密計(jì)劃之后,金融公司可以降低為他們的股東、客戶和合作伙伴提供優(yōu)化服務(wù)的風(fēng)險(xiǎn)。雖然通訊部分只在一個(gè)方面起作用,但如果沒(méi)有它,你的系統(tǒng)將繼續(xù)在真空中工作,而其他金融行業(yè)將把你的公司遠(yuǎn)遠(yuǎn)拋在后面。
【編輯推薦】
