کارکنان مرکز تماس شرکت Bellsouth اغلب برای پاسخ به یک مشتری باید به چند برنامه کاربردی دسترسی داشته باشند. آنها هر بار باید یک اسم رمز جدید را تایپ نموده و یا چندین بار آن را وارد کنند.این کار سبب طولانیتر شدن مدت زمان مکالمه میشود. همانطور که میدانید در مراکز تماس بیشترین مخارج صرف نیروی انسانی میشود و تلف شدن زمان به معنای صرف هزینه بیشتر است. راه حل Bellsouth برای این مشکل، پروژه مدیریت هویت میباشد که امکان دستیابی به پر استفادهترین برنامههای شرکت با یک رمز ورود را برای کارکنان این مرکز فراهم میسازد. احتمالا پروژه Bellsouth با تعریف صنعت IT از مدیریت هویت واقعی کاملا مطابقت ندارد. این تعریف، نه تنها شامل استفاده از یک رمز ورود میباشد، بلکه احرازهویت قوی (اثبات هویت کاربر) و امکان دستیابی مبتنی بر وظیفه یا قاعده (امکان دسترسی به دیتا و برنامههای مناسب به صورت اتوماتیک) را نیز در بر میگیرد. اما در تعریف صنعت IT نیز بعضی موارد در نظر گرفته نشده است. این مدیریت هویت در دنیای واقعی است، جاییکه مدیران ارشد امنیت زندگی و کار میکنند. Mark Johnson از CISO میگوید که شرکت Halliburton از یک روش مرحله به مرحله برای تعیین وظیفه کاربر نهایی استفاده میکند. شرکتها دو سوال مهم از کارکنان و شرکای تجاری خود میپرسند: چه مسئولیتی دارید؟ و چه منابعی برای انجام دادن کار خود نیاز دارید؟ این پرسشها به نظر ساده هستند اما وقتی با صدها یا هزاران کارمند، مشتری، بانک اطلاعاتی و سیستم سروکار داشته باشید، در مییابید که پاسخ به چنین سوالاتی کمی پیچیدهتر میشود. هدف مدیریت هویت ساده کردن و اتوماتیک نمودن این پاسخهاست. در حقیقت در تبلیغات اولیه ادعا میشد که تکنولوژی فوق میتواند چنین مشکلاتی را به طور کامل حل کند. اما اولین انتخاب کنندگان آن دریافتند که پیادهسازی کامل سیستم مشکلات جدی را ایجاد خواهد نمود زیرا آنها برای نصب سیستمها، ابزارها، سیستمهای بیومتریک، برنامههای ورود به سیستم با یک اسم رمز منفرد، نرمافزارهای جریان کار و تعدادی دیگر از تکنولوژیها، دچار دردسر شدند. اکنون مدیران ارشد امنیت انتظارات خود را کاهش دادهاند و از این بابت بسیار خشنود میباشند. کافیست از تعدادی از شرکتها بخواهید تا پروژههای مدیریت هویت خود را برایتان شرح دهند و متوجه خواهید شدکه پاسخهای آنها بسیار متفاوت هستند و هر کدام پروژه خاص خود را دارند. به عنوان مثال Bellsouth تعداد رمزهای ورود را کاهش داده، Halliburton از روش فراهمسازی استفاده میکند و شرکت بوئینگ از شبکههای مبتنی بر کارتهای هوشمند و نیز تجهیزات دستیابی استفاده مینماید. John Lyons، مدیر بخش سرویسها و سیستمهای هویت شرکت بوئینگ میگوید: "بسیاری از افراد اصطلاح مدیریت هویت رابا بیدقتی به کار میگیرند. من فکر میکنم این اصطلاح یک اصطلاح آکادمیک است. مدیریت هویت به مدل کار تجاری هر شرکت مربوط میشود". مطمئنا Lyons موضوع مهمی را عنوان کرده است. در بعضی موارد یک پروژه مدیریت هویت محدود بر طبق نیاز شرکت به پروژه گستردهتری تبدیل میشود. در بعضی شرکتها نیز از همان پروژههای محدود استفاده میشود. به هر حال وقتی نیازهای شرکت تجاری گسترده و جزییات پروژه مشخص گردد، هر دو حالت میتوانند مفید واقع شوند. ● کاهش تعداد اسم رمز در اکثر شرکتهای بزرگ اسم رمزهای زیادی مورد استفاده قرار میگیرند. Roberta Witty، قائممقام بخش تحقیقات گارتنر میگوید: "یک کاربر متوسط تقریبا پانزده ID و اسم رمز دارد که تمامی آنها در زمانهای مختلف منقضی خواهند شد. در نتیجه بخش پشتیبان با سیلی از تقاضا برای یادآورهای اسم رمز مواجه میشود. کاهش تعداد اسم رمز در آغاز پروژه مدیریت هویت برای اکثر شرکتها ثمر بخش بوده و مزیت آن فورا آشکار میشود. به عنوان مثال شرکت موتورولا با استفاده از دایرکتوریهای کاربر موجود تعداد اسم رمزها را برای دهها تن از هزاران کارمند خود کاهش داده و کارمندان این شرکت تنها از دو اسم رمز (یک اسم رمز برای سرویسهای وب و دیگری برای ویندوز) استفاده میکنند. موضوع این است که واژه "منفرد" در "اسم رمز منفرد" نباید شما را فریب دهد. ثابت شده که کاهش تعداد اسم رمز برای بعضی از برنامهها مشکلاتی را به همراه خواهد داشت.طبق ادعای Bellsouth پروژه مدیریت هویت این شرکت (کاهش اسم رمز) منفعت دیگری نیز دارد و آن افزایش سرعت در زمان سرویسدهی میباشد. Monique Shivanandan قائممقام بخش استراتژی IT و استمرار تجارت و امنیت شرکت Bellsouth میگوید: "در یک محیط بسیار حساس مراکز تماس کوتاه بودند. هر تماس تا حد ممکن بسیار حیاتی میباشد. بنابراین اگر اجباری برای استفاده از چندین اسم رمز برای برنامههای مختلف وجود نداشته باشد، هم در زمان و هم در هزینه صرفهجویی خواهد شد". شرکت Bellsouth از ژانویه ۲۰۰۳ بیست درصد از پر استفادهترین برنامههای خود را به برنامههایی با یک اسم رمز منفرد تبدیل نموده و قصد دارد تا برنامههای باقیمانده را نیز در طی برنامه زمانبندیشان تغییر دهد. (البته تا زمانیکه تضاد و ناسازگاری ایجاد نشود). ● فراهم سازی به عنوان راهکار ثانویه راهکار Bellsouth نشان میدهد که پروژههای مدیریت هویت کنونی دارای یک نتیجه مشترک هستند. کسانی که یک کار قابل مدیریت را آغاز نموده و موفق میشوند، کمکم سیستم خود را گسترش داده و کارهای اضافی را دراین رابطه انجام میدهند. Shivanadan میگوید: "تقریبا از شروع پروژه کاهش تعداد اسم رمز شرکت مدیران IT کاربردهای جدید برای مدیریت همچون فراهمسازی، مدیریت جریان کار، مدیریت موجودی، مدیریت آسیبپذیری و احراز هویت چند عاملی (شامل بیومتریک) را مورد بررسی قرار دادند. ما انواع موارد تجاری را شناسایی نموده و دیگر مکانهایی که امکان پیشرفت در آنها وجود داشت را تعیین کردیم. به عنوان مثال یک سیستم فراهمسازی نیز میتواند به عنوان روش نظارت بر دستیابی مورد استفاده قرار گیرد. شما میتوانید با ایجاد یک ساختار هویت معمولی این سیستم را مستقر ساخته و بدین ترتیب هزینه مدیریت account را کاهش دهید. یکی از ویژگیهای این سیستم، آن است که فرآیند به کارگیری یک کارمند جدید با تمامی منابع کوتاه شده و به جای چند روز تا یک هفته به یک ساعت تقلیل مییابد. اما پروژه فراهمسازی برای Bellsouth مشکلات فنی را ایجاد نمود. در حال حاضر استفاده از این تکنولوژی در تعداد زیادی از برنامههای کاربردی (به دلیل مدل middleware-agent که این گونه برنامهها استفاده میکنند)، صرفنظر از زمان صرف شده برای تعیین منابع مورد نیاز هر کارمند در اولین محل، با مشکلاتی همراه است. اما اگر شرکتها پروژه فراهمسازی خود را با شناسایی تعداد کمی از پر استفادهترین برنامهها آغاز نمایند، این تکنولوژی چندان ناامید کننده نخواهد بود. در ضمن آنها نباید در مورد تعداد وظایفی که سیستم میتواند بپذیرد، نگران باشند. وظایف در مدیریت هویت از مفهوم حیاتی برخوردارند. یک وظیفه (role) توصیف کاری است که به حق دسترسی خاصی مربوط میشود. به عنوان مثال یک وظیفه که به عنوان "منابع انسانی" تعریف شده، میتواند حق دسترسی مناسب به مجموعهای از برنامههای HR و لیست دستمزدها را فراهم سازد. هنگامی که یک کارمند جدید بخش HR کار خود را آغاز میکند، مدیر سیستم که اشتراک شبکه کارمند را ایجاد میکند، میتواند به جای تنظیم دسترسی به یکیک برنامهها، وظیفه "HR" را به او تخصیص دهد. شرکت Nextel Communications که از نرمافزار فراهمسازی Xellerate از شرکت Thor Technologies استفاده میکند با تعیین چهار وظیفه اصلی پروژه خود را آغاز نمود: کارکنان، پیمانکاران، شرکای تجاری و مشتریان. این چهارگروه به سه سرویس رایج و پر استفاده یعنی برنامه پست الکترونیک، شبکه LAN و اینترنت دسترسی دارند. Tom Deffect مدیر معماری و استراتژی IT شرکت Nextel میگوید: "ما قصد داریم در وقت مناسب از روش کاملتری که جزییات را در برمیگیرد استفاده کنیم، به عنوان مثال تعیین مسئولیت کارکنان و اینکه آیا آنها مسئول بخش فروش هستند یا در بخش روابط عمومی فعالیت میکنند مهم است. بدین ترتیب بهتر میتوان منابع را با عملکردهای شغلی خاص کارکنان سازگار نمود. Witty معتقد است که تعریف نقشهای بیشمار میتواند مشکلات شدیدی ایجاد نماید. او میگوید: "شرکتهایی که برای کل بخشهای خود وظایفی را ایجاد میکنند (در مقایسه با یک برنامه یا یک بخش) کمکم متوجه میشوند که تعداد وظایف ایجاد شده به تعداد کارکنان شرکت میباشد و حفظ و نگهداری این فرآیند بسیار مشکل است زیرا تجارت همیشه در حال تغییر یافتن است. بنابراین در ابتدا باید تعداد نقشها و ظایف تعیین شده محدود باشد و پروژه مدیریت هویت به عنوان یک فرآیند قابل تغییر در نظر گرفته شود". در حقیقت این نوع اعمال فراهم سازی قاعده مهم دیگری را آشکار میسازند. در حالیکه مدیریت هویت میتواند شامل محصولات و تکنولوژیهای بیشمار باشد، اما بیشتر به فرآیندهای تجاری مربوط میشود. Gerry Gebel تحلیلگر ارشد گروه Burton میگوید: "تنظیم و اتوماتیکسازی دستیابی به تمام سیستمهایی که افراد برای انجام دادن کار خود مورد استفاده قرار میدهند کار بسیار غیرفنی میباشد. این کار در محیط سازمانی بیشتر یک اقدام اجتماعی محسوب میشود. شما باید بدانید که عملکرد شرکت چگونه است و چگونه میتوانید برای توسعه این فرآیندها از تکنولوژی استفاده کنید". ● مراحل کار Halliburton یک نمونه از شرکتی است که در این مسیر پیشرفت کرده است. این شرکت نزدیک به ۱۰۰ ویژگی کاربر شامل کد کشور، مرکز هزینه، خط سرویس محصول و نوع کارمند را در سیستم فراهم سازی مبتنی بر وظیفه خود تعریف کرده است. سیستم Halliburton از سه محصول universal ldp از شرکت Identity Integration Server، OpenNetwork Technologies و Ultimus BPM مایکروسافت برای فراهم سازی، تغییر اسم رمز، مدیریت جریان کاری و واگذاری منابع استفاده میکند. Mark Johnson ازHalliburton CISO میگوید: "ما از یک روش کلینگر برای مدیریت هویت استفاده نمودهایم. روش ما دستیابی به اطلاعات در همه جا، هر زمان و توسط هر شخص میباشد و برای تکمیل آن باید احراز هویت و دستیابی مناسب را در هنگام نیاز برای کارکنان فراهم سازیم". اما کار جمعآوری اطلاعات برای Halliburton با مشکلاتی همراه است. این شرکت دارای صدهزار نفر کارمند است که البته تنها نیمی از آنها از کامپیوتر استفاده میکنند . شرکت Halliburton هم اکنون با تقسیمبندی پروژه به بخشهای قابل درک ریسک موجود در پیچیدگی آن را کنترل میکند. اولین مرحله، ایجاد اشتراکهای stub است که تنها به کاربران منابع اصلی (همچون ویندوز، پورتال کارمند، آموزش آنلاین، سیستم مرو کارآیی، برنامه پست الکترونیک، ذخیرهسازی و دستیابی راه دور) اختصاص دارند. این اشتراکها با به کار گرفته شدن یک کارمند جدید و معرفی او به سیستم SAP شرکت به طور اتوماتیک ایجاد میشوند.در مراحل بعد سرورهای واگذاری منابع در آسیا و اروپا عرضه خواهند شد و زمان پاسخ به تقاضاهای فراهمسازی جدید را سرعت خواهند بخشید. در اوایل سال آینده چند برنامه کاربردی دیگر در زیر ساخت قرار گرفته و در طی زمان توسعه برنامههای جدید و نیز ارتقا زمانبندی شده برنامههای کاربردی دیگر نیز مشمول پروژه خواهند شد. Johnson میگوید، افرادی که به دیتا SAP HR ما دسترسی دارند در تمام مدت تغییراتی مثل افزایش یا حذف کارکنان را ایجاد مینمایند. سیستم این تغییرات را اعمال نموده و آنها را شش بار در روز توزیع میکند. تا قبل از این، تمام تغییرات که تقریبا به ۲۰۰۰ تغییر در روز میرسید به طور دستی انجام میشد و اگر زمان صرف شده برای هر تغییر را یک دقیقه در نظر بگیریم کل تغییرات ۲۰۰۰ دقیقه به طول میانجامید. این زمان برابر با کار تمام وقت سه کارمند میباشد. Phebe Waterfield تحلیلگر امنیتی گروه Yankee میگوید: با فراهمسازی هر برنامه از تعداد مکانهایی که مدیر سیستم باید برای خنثی نمودن فراهمسازی (deprovision) اشتراک به طور دستی مورد جستجو قرار دهد کم میشود. خنثی نمودن اشتراک یک کاربر یک تا چهار ساعت طول میکشد و تازه پس از آن نمیتوانید مطمئن باشید که تمام آنها را باطل ساختهاید یا خیر؟ ● کاهش خطر کاهش تعداد اسم رمز از نظر امنیتی بسیار مفید است زیرا با وجود یک یا تعداد محدودی اسم رمز احتمال خطر برای کاربران کاهش مییابد (زیرا بسیاری از کاربران اسمهای رمز را یادداشت نموده یا در فایلی بر روی هارددیسک ذخیره میکنند) اما از طرف دیگر تنها یک نقطه ورود به تمامی سیستمهای تخصیص یافته به آن اسم رمز وجود خواهد داشت که این نیز خطر دیگری را ایجاد مینماید. به همین دلیل Shivanandan در حال حاضر مشغول ارزیابی بیومتریک به عنوان لایه اضافی احراز هویت در شرکت محل کارخود میباشد.بیمارستان Episcopal در هوستون در سال ۲۰۰۱ استفاده از کارتهای هوشمند را با کاهش تعداد اسم رمز همراه نمود. Curtis Burkhart تحلیلگر ارشد سیستم در گروه Physician Information System Management میگوید: از آنجاییکه ایستگاههای کاری در سراسر راهروها پخش بودند تعداد ۹۲۲ پزشک بیمارستان وقت بسیار زیادی را صرف احراز هویت در هر کامپیوتر میکردند. بیمارستان با استفاده از Authenticated Single Sign-on از شرکت BNX systems پروفایل کاربر پزشکان را با یک بانک اطلاعاتی منفرد تلفیق نموده ودسترسی به پنج برنامه بسیار پر استفاده را با یک اسم رمز و نیز کارتهای هوشمند (برای احراز هویت) برای آنها فراهم میسازد. البته پزشکان هنوز باید برای استفاده از هر کامپیوتر به آن وارد یا از آن خارج شوند (با اسم رمز) اما فرآیند خواندن کارت توسط یک خواننده صفحه کلید و وارد کردن یک شماره PIN انتخابی سبب میشود در کمتر از ۵ ثانیه با برنامه پر استفاده کار کنند. در نهایت Burkhardt بسیار تمایل داشت تا از کارتهای Proximity که به عنوان ابزارهای کنترل کننده دستیابی عمل میکنند و زمان بیشتری را برای پزشکان صرفهجویی مینمایند، استفاده کند. اما استفاده از این ابزارها نیازمند هزینه جایگزینی سختافزار بوده و در حال حاضر چنین امکانی وجود ندارد. اما شرکت Boeing چنین کاری را انجام میدهد. این شرکت در پروژه مدیریت هویت خود کارتهای دستیابی ترکیبی (منطقی- فیزیکی) برای تقریبا ۱۵۶۰۰۰ کارمند در سراسر جهان عرضه نموده است. در اواخر سال ۲۰۰۱ گروه امنیتی Boeing قصد داشتند یک نشان Proximity مشترک را برای انواع نشانهای مختلف که در سراسر شرکت گسترش یافته بود، (در نتیجه مجموعهای از تلفیقات) جایگزین سازند. استفاده از سختافزار جدید قابل توجیه بود زیرا هزینه نگهداری از مارکهای مختلف خواننده نشان برای تمامی کارتها را کاهش میداد. در همان زمان تیم امنیتی فنی یک پروژه احراز هویت مجزا را مورد بررسی قرار میداد. در این پروژه از گواهینامههای دیجیتالی مبنی بر RSA X.۵۰۹ سطح بالا برای رسیدن به امنیت بیشتر در دسترسی به منابع اطلاعاتی استفاده میشد. Sharon Lindley مدیر برنامه پروژه میگوید: مدیران اجرایی عقیده داشتند که ادغام پروژهها در یکدیگر نتیجه بهتری خواهد داشت. Boeing قصد دارد تا پایان سال جاری ۳۵۰۰۰ نشان Proximity و کارتهای هوشمند را به صورت ترکیبی عرضه کند (البته تعداد ۱۳۰۰۰ از این ابزار تا ماه سپتامبر آماده شد) شرکت باقیمانده ابزار را در سال ۲۰۰۵ عرضه خواهد کرد.Lyons میگوید: ما فکر میکنیم که حتی اسم رمزهای بسیار پیچیده نیز بسیار ضعیف عمل میکنند.بنابراین ما هویت را با استفاده از گواهینامه X.۵۰۹ تعیین میکنیم. اینکار به سیستمهای احراز هویت ما امکان میدهد تا اطلاعات اضافی در مورد اشخاص را در دایرکتوری الکترونیکی جستجو نموده و نقش آنها را تعیین کنند. Boeing نیز مانند دیگر شرکتها پروژه خود را با عرضه کارتها توسعه میدهد و نقشهای کنونی در شرکت همان نقشهای اساسی هستند. منطق احراز هویت شرکت که به صورت داخلی تهیه شده تصمیمات خود را بر اساس اطلاعاتی همچون: آیا این شخص شهروند آمریکایی است؟ آیا این شخص کارمند Boeing است یا پیمانکار این شرکت؟ اخذ میکند. بنابراین اگر به عنوان مثال یک کارمند غیر مجاز بخواهد به اطلاعات طبقهبندی شده دسترسی پیدا کند، سیستم متوجه شده و دستیابی او را محدود میسازد. ● قضاوت نهایی در هر حال حاضر بحث برسر این است که تا زمانیکه نیازهای یک شرکت تعریف نشده هزینهای بابت سیستم مدیریت هویت صرف نشود. در حقیقت در گزارش اخیر کنسرسیوم Cutter بر این موضوع تاکید شده است. زیرا اگر در یک روش مرحله به مرحله، سیستم جدید نتواند توسعه یابد بین سیستمهای موجود ناسازگاری پیش آمده و یا اینکه مشکلاتی ایجاد میشود که بررسی دقیق آنها موجب صرف هزینههای کلان خواهد شد. اما به نظر میرسد که افراد رده بالا در شرکتها تمایل دارند در این مورد جدیدتر بوده و با سهلانگاری با آن برخورد نکنند. به عنوان مثال Boeing بر اساس نظریه یک پروژه مدیریت هویت واحد تصمیمگیری نخواهد کرد. این شرکت با دارا بودن مشخصه منطقی که برای امنیت خود مهم میباشد تصمیمات خود را بر اساس نظرات گردانندگان اصلی تجارت (که طبیعتا نظراتی مرتبط با قانون و مخالف با خطر میباشند) اخذ میکند. به عنوان مثال او نمیتواند با استفاده از یک نوع برنامه مبتنی بر وب برای سرویس گیرندگان و مشتریان خطوط هوایی موقعیت خود را به خطر بیاندازد (گر چه اینکار احتمالا سبب صرفهجویی در هزینههای شرکت میشود) بنابراین شرکت از یک سیستم دستیابی انحصاری و جداگانه و شبکه بخشبندی شده برای هر کدام از سرویس گیرندگان خود استفاده میکند. در نتیجه سیستم هویت کارمند/ پیمانکار همیشه مستقل خواهد بود. Lyon میگوید: شما باید مدیریت هویت را اجرا کنید. پس بهتر است که احراز هویت را به طور منطقی برای هر گروه به صورت جداگانه انجام داده و با گسترش آن در مورد منابع خاص هر گروه تصمیمگیری نمایید.به نظر میرسد که با وجود بیش از ۱۰۰ نوع سیستم مدیریت هویت موجود در بازار امروز نظریه Lypns کاملا مفهوم پیدا میکند. سازگار نمودن شرکت با امنیت ایده درستی نیست. در واقع این امنیت است که باید با شرایط کنونی شرکت متناسب باشد. با وجود گردانندگان منحصر به فرد شرکتهای تجاری هیچ تعجبی ندارد که زیر ساخت پروژههای مدیریت هویت تا این حد متفاوت باشد. |