【2007.04.16 CNET】企業內部資訊安全成重點

原文位置：http://taiwan.cnet.com/news/software/0,2000064574,20114044,00.htm
(以下所有內容版權屬於原刊登媒體) 記者馬培治／台北報導

IDC報告指出，員工是企業在管理威脅時，最缺乏信心的部份。

研究機構IDC針對亞太地區（日本除外）企業進行的調查報告指出，雖然安全軟體市場仍集中在傳統的防毒、防間諜程式上，但企業擔心「內賊」卻可能導致身份識別與存取管理（Identity and Access Management，IAM）未來高度成長區塊，IDC企業應用分析師陳志杰說。

IDC報告預測，亞太地區（日本除外）的IAM市場規模將持續成長，由2005年的1.6億美元，到2010年的3.7億美元，五年的年複合成長率預計達18.3％。

所謂IAM，根據IDC定義，是指一套完整的解決方案，藉由已建檔的身份，來定義系統中的使用者（例如員工或客戶）並可控制、管理其存取權限。IAM的管理範圍則包括：網路單一登入（Web single sign-on, SSO）、主機單一登入（host SSO）、使用者權限分配（user provisioning）、進階帳號管理（advanced authentication）、舊式系統授權（legacy authorization）及目錄服務管理（directory services）等。

看好身份識別與存取權限管理的市場，CA（組合國際）便推出了新版IAM解決方案，並將和四家企業級方案策略夥伴(ESP)：敦陽、精誠、邑泰、凌群合作，在台推廣IAM市場。

CA（組合國際）技術顧問林宏嘉指出過去安全觀點的不足。他說，過去業界就安全議題探討的多半是「防禦」的概念，也就是如何防範外面的威脅、駭客進入內部竊取資料或攻擊，「但如果是內部的合法使用者做非法的事呢？」

林宏嘉進一步解釋，傳統的安全控管都只著重在如log資料報表一類的表象，卻忽略了「人」的角色。他以防火牆為例說：「防火牆是可以管制IP位址，但是卻管不到人。Log報表或許可以看到有哪些非法IP位址進出，但卻看不到隱藏在報表之下的使用者行為模式。」

他舉例，如果有員工在半夜用合法身份傳送資料出去，這種異常的行為模式即是傳統安全控管思維所無法控管的。

CA全球身份識別與存取管理產品市場行銷總監Matthew Gardiner則解釋，以員工為例，從被公司雇用、轉調、升職等一直到離開公司，不同階段扮演了不同的角色，在內部系統上亦有不同的存取權限。

以往權限改變都得靠人工來設定，太耗費成本，也不能做到即時管理，他說，導入IAM便能協助企業自動化管理使用者身份識別與存取權限，節省成本並控管好內部安全。

CA大中國區產品市場行銷經理謝春穎則舉例，以往IT人員有15％至30％的時間都耗費在協助其他員工重設密碼，在組織規模小的時候，以人力管理或許還能勝任，但隨著員工人數增加、公司內部使用的系統更多更複雜，便更能展現採用IAM的好處。

甫推出新版IAM解決方案產品的CA樂觀看待本地市場。CA諮詢顧問總監韓文雄便說，有法規遵循壓力的銀行和需保護機密技術的高科技廠商，對於身份與存取權限控管有一定需求，會是CA主要的目標市場。

林宏嘉則進一步補充，電信業及醫療業由於掌握龐大的客戶資料或病歷，也會是推廣的重點目標。

國內市場

但分析師陳志杰對台灣市場的看法則相對保守。他說，雖然沒有在國內做過精確調查，但他認為國內目前有導入IAM的企業頂多一成，「且多半是大型企業或政府才會投資IAM。」

對於人數較少的中小企業來說，導入IT進行身份識別與存取權限管理不見得必要，而國內產業形態又是以中小企業為主，陳志杰就表示，台灣的IAM市場可望暫時不會下探到中小型企業。

話雖如此，他仍指出企業對IAM的需求仍在，尤其是員工流動率高或為流動性(mobile)工作環境的企業，例如保險公司，員工不一定只在公司內的電腦上存取資訊，便很需要IAM。他解釋，離職業務員很可能就在缺乏控管下把客戶資料一起帶走，對公司造成傷害。

CA推出的IAM解決方案包括了強調聯合憑證能力的eTrust SiteMinder 6.0 SP5、簡化內外使用者與職銜控管的CA Identity Manager 8.1 SP1、可跨越虛擬作業系統與主機系統的eTrust Access Control 8 SP1、可將單一簽入落實於用戶端應用程式的eTrust Single Sign-On 8.1，以及讓安全證策引擎延伸至內部開發之應用程式的CA Embedded Entitlements Manager 8.2。

除了CA，IBM、BMC、HP、Novell及Oracle等廠商亦都提供了IAM的解決方案。