身份管理聯盟最佳實踐
人不是生活在真空之中,公司也不應該這樣。為了在當今的市場上取得成功,金融公司不得不重新思考他們的商業運作模式。對傳統實體金融公司而言,他們已經意識到利用所有的人事、系統和服務資源為公司內部的信息服務這種策略已經過時,游戲規則已經開始改變了。為了維持高效率、低成本的商業運作,他們不得不開始尋找第三方合作伙伴來扮演那些不再增加價值的角色,比如效益管理、人力資源、信息中心、旅游服務、保險和股票估價。
雖然商業領袖們很容易明白這些關系的價值,比如支付給專家更低的工資,但是實現起來卻比較困難。PCI DSS和 HIPAA等都明確規定將嚴懲入侵以及傳輸含有敏感信息、金融信息和個人信息的數據。另外,美國具體處理違約通知條例表明,企業應為個人信息以及金融信息泄露負責,即使這是由第三方的安全缺陷造成的。出于這些風險考慮,許多金融公司選擇將信息保存在公司內部以保證其安全性,但是允許他們的合作伙伴來管理這些數據。這就導致身份管理聯盟技術的興起,OASIS的安全聲明標記語言(SAML)就是其中的一種。然而,就像90年代的公鑰基礎設施(PKI)的發展一樣,采用“信任通道”的安全策略來管理企業與其合作伙伴的合作仍然滯后于商業發展的需要。
身份管理聯盟
身份管理聯盟發展滯后是有一些原因的。其中最主要的原因是金融公司與其合作伙伴之間缺乏如何進行“信任通道”的合同規范。沒有適當的合同規范,公司就沒有辦法確定采用第三方之后給他們帶來的風險,如果第三方違反條例后他們的責任會在多大程度上得到緩解。
另一個主要問題是,在身份管理聯盟中,一個身份管理服務供應商要向多家合作伙伴提供信息身份管理服務。而運作這么多的身份管理要經過很多版本的多項條約,管理的復雜性不言而喻,所以很少有公司愿意成為身份管理服務供應商。
而信任關系信息傳輸過程中的主要技術也是造成管理復雜性的一部分原因。數據聯合技術的采用使得“安全聲明”的傳輸得以完成。數據聯合技術包括:安全聲明標記語言和自由聯盟(Liberty Alliance,一個致力于解決數字身份問題的業界聯盟)的身份認證聯盟框架(ID-FF),這兩者都是切實可行的解決方案。現在已有三個版本的安全聲明標記語言被金融產業采用,它們分別是:V1.0、V1.1 和V2.0;還有兩個版本的ID-FF被采用:V1.1 和V1.2。雖然它們都是可行的,但是互相之間卻不兼容。這就需要公司支持多種技術,甚至所有的技術。
最后,很難保證第三方能通過正確的授權進行系統查看和管理金融公司的信息。
身份認證聯盟的關鍵考慮因素
怎么才能使身份認證管理的效率提高呢?可以根據以下這些步驟:
◆了解商業內容 ——在公司尋找合作伙伴之前必須了解外包公司的職能,并將其分類,戰略性的運作必須排除在外包考慮之外。
◆了解工作流程——一個尋找外部合作伙伴的公司,必須了解其合作伙伴進入和離開公司業務的關鍵點。公司還必須知道數據是會繼續在自己的限制范圍之內還是會被合作伙伴帶走。要反映新的商業運作流程,就必須對現有的工序和程序進行適當修改。
◆確定信息敏感度——公司必須清楚各個職能中包含的信息種類,其中是否包含敏感信息、金融信息或者個人信息。公司還需要清楚有無與這些信息相關的法律法規。公司必須與可能的合作伙伴共同決定接觸這些信息的人員是否需要其他的背景,在被授權接觸這些信息之前是否需要其他的確認。最后,公司必須決定這些信息有沒有價值,如果出現信息丟失或者泄露時,有沒有必要采取補救措施。
◆確定準入合作方的資源要求——一旦公司知道每個職能包含怎樣的信息,就必須制定合作方進行職能管理的權限:身份管理聯盟技術的行政身份,管理聯盟關系的管理身份,使用聯盟服務的應用服務和項目的系統準入以及使用聯盟技術的終端用戶的權限。
◆定義安全聲明,確保信息安全——在得知了信息敏感性和訪問需求后,金融公司就有能力定義合同義務、安全控制和通信需要,以確保合作伙伴的授權用戶可以安全地就與業務功能有關的信息進行交流。這些都應傳達給合作伙伴公司征求同意。
◆確定安全聲明協議需要溝通渠道的支持——在這一點上,公司應該與它的合作伙伴確定合適的協議——安全聲明標記語言、自由身份認證聯合框架,或兩者都有——并且各個版本都將要予以支持。如有可能,該協議的最新版本應該是用來提供給請求者盡可能多的信息量,他們將在與金融公司的信息交互發揮作用。
這一點會很有爭論。金融公司理所當然想支持一個最小的協議以減少他們的支持成本,而合作伙伴想支持他們所使用的標準。另外還存在合作伙伴不具備任何聯合能力的風險。雖然不是最佳選擇,但其他方法可能需要授權,如同步登陸/密碼信息,但這應該被視為一種短期減損控制。在任何情況下,只要是同意的就應該納入到合同中和未來的遷移,即從用戶名/密碼到安全聲明標記語言在未來的兩年應該與將會蒙受的損失和轉換的時間表一起歸檔。
◆定義審計水平和報告要求——金融公司與它的合作伙伴共同確定審計和報告的水平是十分必要的,這可以確保合同條款和條件的規定。
◆定義如何管理溝通渠道——如果金融組織不希望提供身份服務,它必須把這一責任推給合伙人或尋求國際知名公司,如平安身份認證公司,它為公司及其合作伙伴提供第三方聯合經營服務。利用第三方企業的明顯優勢是它可以提供聯系到一家公司的所有合作伙伴,并且在必要的時候進行協議轉換,而該公司不用承擔正在進行的聯系和管理費用。缺點是,公司必須為使用該合作伙伴的服務做額外的預算。
◆制定計劃——在達成一項合作伙伴如何接觸金融公司以及它會履行什么職能的協議后,該公司應建立一個執行計劃,包括時間表、所需資源、結構變化、流程定義、籌資模式和商業抗辯理由。這些在執行之前都應該經過專門的渠道正式批準。
在理解了與第三方合作如何有利于公司,以及理解了圍繞使用他們的服務而制定的周密計劃之后,金融公司可以降低為他們的股東、客戶和合作伙伴提供優化服務的風險。雖然通訊部分只在一個方面起作用,但如果沒有它,你的系統將繼續在真空中工作,而其他金融行業將把你的公司遠遠拋在后面。
【編輯推薦】
