Gartner在针对21家大型企业所做的关于身份识别与访问管理(IAM)的调研时得出了这样的结论:具有1万名员工的企业在实施IAM解决方案之后三年的时间里,投资回报可达到近300%。
而由于IAM的应用,不仅能为用户带来更低的管理成本,信息安全风险发生的概率也会随之降低,对法规也有了更好的遵从,并能更快地交付增值的IT服务,而最为重要的是,能为企业实现IT投资价值的最大化。因此,在全球企业逐步迎来部署IAM热潮的同时,随着中国企业国际化步伐的加快,关注的目光也都投向了IAM。
“管理工作从45分钟降至了5分钟,而且此项工作不再要求安全管理员的技能了,具备基本办公技能的人员即可完成这样的操作。”肖氏超级市场的系统安全及前台系统高级经理保罗·弗朗西斯说。
肖氏超级市场在英格兰的公司,包括办公室、配电中心以及零售商店内约1400名员工在使用个人电脑,这对于公司的信息技术安全队伍而言,意味着一项源源不断的管理任务,其中包括建立、更改或删除账户。
虽然安全管理已相当熟练,但肖氏超级市场安全小组还是把大部分时间都花费在了明确用户的权利以及需要调用的各种资源上。而且还出现过这样的情况,当某个员工离开原公司后仍然还能通过原来的账户访问企业内部的信息和资源,原来的邮箱也仍然可以使用,这样所带来可能将是严重的安全隐患。
而通过使用身份管理系统后,肖氏超级市场取消了与用户管理相关的那些单调乏味的工作,使其安全管理员能够把宝贵的时间投入到了更重要的工作中去,更重要的是使系统更安全了。
事实上,身份识别与访问管理所能做的还不只是这些,它还可以把企业应用的其他系统资源都集中地整合起来,所以对于大型的行业用户来说已经是迫切的需求,在国外是这样,国内也是如此。
收购——让市场初步形成
2006年DTI信息安全违反调查显示,平均每5家大企业中就有1家由于身份管理问题遭受安全侵袭,小企业要稍微好一些。可见,身份管理带来的挑战日趋严峻。
事实上,身份管理并不是一个新问题,身份管理市场主要是在2003年出现的,在当年身份管理产品及服务就达到了一定的规模。而随着安全界的变化,身份管理带来的问题越来越严重:移动计算和远程访问越来越多,再加上无线网络的飞速增长,以及对应用程序访问需求增长,网络被未授权访问的几率显著增加;同时,员工访问机密信息带来内部威胁的频率持续增高。
伴随着这些严峻的挑战,身份管理市场稳步、快速地增长着,并逐步形成了稳定、成熟的市场规模。据IDC预计,到2009年身份识别与访问管理市场将达到近40亿美元的规模。而目前在这个市场上角逐的厂商主要包括CA、IBM、Novell、Oracle、BMC、Sun、微软等巨头。
有一个很有趣的现象,这些在身份管理市场已经站住了脚的厂商都先后展开收购热潮。IBM应该是在这个领域动手最早的巨头,早先它们就收购了专注于身份和访问管理软件的Access 360,而后IBM又收购了身份识别软件供应商SRD继续扩展其信息管理软件系列的功能;CA吃下的身份管理名家Netegrity,进一步完善了其eTrust身份识别与访问管理产品体系;Oracle收购Oblix公司,而Oblix是一家领先的身份管理安全性解决方案开发商,并且其产品适用于多种不同的环境;BMC收购了Calendra来强化其产品在身份管理方面的力量,前段时间BMC又把OpenNetwork收入囊中。
这些大大小小的收购意味着什么呢?
随着企业网络开始向合作伙伴、用户、供应商等开放,身份管理不再仅仅是一个独立的问题,而是要从基础设施软件层次就需要考虑的问题。这也许正是巨头们纷纷展开收购潮,进入身份管理领域的一个重要原因。身份识别与访问管理正在被重新定义为企业基础设施的组成部分,而不再只是单点式的解决方案。
整合已经成为身份管理所必须要走的路。将认证、目录服务、自动配置和用户与访问管理等技术捆绑在一起,可以使企业降低管理费用、增加安全性、保护隐私以及帮助企业更趋于规范性,这样的整合是有利于广大用户的。
而与推动独立厂商技术向前发展的速度相比,整合正在以更快的速度向前发展。现在市场上的独立厂商已经越来越少了,整合使得身份管理市场更快地向前发展,这个市场随着“大鱼吃小鱼”式的收购已经初步形成。
CA产品经理谢春颖表示:“过去,许多厂商都让自己的产品适应于各种国际标准,为的是可以和众多厂商的产品集成在一起,而现在,单一厂商开发的身份管理套件将逐步成为这一领域的主流。”
多重因素促市场快速升温
据Gartner在美国银行的一项应用案例调查显示,80%的美国银行员工拥有6个或者更多的ID密码,而28%的员工甚至拥有12个或者更多的密码。同一用户在不同的应用中产生了越来越多的多重身份,这会使企业暴露于多种严重威胁和漏洞之下,不少CIO们都在抱怨。
另外,随着在线应用的增加,建立账户和管理用户权限的工作负荷越来越重,经常需要根据各种情况变更账户的权限(如人员变更、职位变化、网络环境等),这让管理者的工作变得更加复杂。而更为重要的是,如果某一用户是企业许多产品和服务的客户,由于无法识别其身份,企业可能会因此丧失了商机。
CA相关负责人表示:“企业所面临的巨大压力,使得身份识别与访问管理已经成为了像防病毒和漏洞管理一样重要的管理手段。为了减少安全隐患,企业必须对其有效管理。”
相信应用的需求已经成为身份识别与访问管理市场快速升温的首要因素。而萨班斯法案的出台,也让身份识别与访问管理搭了一趟顺风车,使其市场更加红火起来。
在记者采访的过程中,几家厂商都不约而同地提及了法规遵从对于身份管理市场极大的促进作用,甚至记者能从中感觉出厂商所带有的一丝得意,或许各种行业法规的要求真的能给这个市场注入一针强兴剂。
Novell中国区技术顾问王飞说:“从2006年开始,有了这样一个新的趋势——身份管理增加了很大比重的一块新内容,就是身份管理对政策、法规的遵循。尤其是在美国上市的企业要求遵从萨班斯法案,而其他的一些行业也有着自己的行业法规。现在身份管理对于法规的遵循,导致了这一市场有个新的兴奋点。”
由于这些法规要求企业能有效地保护客户信息,同时客户也希望个人隐私不被侵犯,这就要求身份管理解决方案能够堵住安全漏洞,拦住那些无意中被泄露的敏感信息,以免被没有权限的人看到。
而在中国,各种政策和行业法规也正在逐渐加大对企业的管理力度,而且伴随着企业内部各部门之间以及企业之间的合作越来越多的要求,身份管理也开始有了越来越多的需求。
还有一点是我们不得不提到的,身份管理市场的升温也受到了企业业务要求的重要影响。CIO杂志和普华永道的报告表明,IT安全是亚洲企业面临的重大挑战。这主要归结于亚太地区企业对基于Web应用的依赖性急剧增长,但对相应的身份识别与访问管理流程和基础架构的关注却不足。
CA公司身份识别与访问管理市场总监Matthew Gardiner表示:“安全威胁对企业的破坏程度要远远大于直接的财务损失,例如它可能导致企业面临诉讼威胁和品牌的弱化。而企业内外边缘层的日趋模糊带来了全新的挑战,要求企业拥有更加全面的身份识别与访问管理解决方案。”
行业应用为主中小企业也很关注
正是由于上面所提到的这些原因,促使整个身份识别与访问管理市场的迅速成长。也因为身份管理自身的这些特点,使得其在金融、通信、制造、政府等重点行业的应用需求最为广泛。而这些重点行业对于身份管理应用的迫切性,使得它们成为提供身份管理解决方案的厂商们重点突击的对象。
而在这其中应用身份管理最早的是金融行业,因为需要遵循的法规相对更多一些,需要通过身份管理的应用来保障企业的数据安全。当然也不仅是金融行业,其他的大型行业用户的需求也越来越迫切,这种趋势不仅是在国际上,在中国也同样如此。
“身份管理这个市场已经在逐渐扩展了,不但国际性的大型行业用户在逐步部署,也包括国内的行业用户。”Novell中国区技术顾问王飞告诉记者,“在国内,大的行业,比如金融、电信等,对身份管理都有比较广泛的需求,特别是因为现在法规遵从成为了一种必须。在萨班斯法案对美国上市公司的强行要求提出来以后,包括医疗服务卫生领域等也有了自己的法规,就法规的要求来讲是要加强对内部控制,最重要的是确保系统的安全,怎样才能确保人员在访问过程中认证、授权等管理是一个安全的过程呢?这就是身份管理。”
据王飞介绍,在身份管理市场,Novell已经将金融、电信、电力等行业市场作为重点突破的对象,而教育、能源等行业也是Novell实施身份管理比较多的领域。
CA相关负责人也表示:“按照中国现在这种IT信息化发展程度来说,最好的就是电信、金融等大型行业,它们应用信息化系统的时间最久,也最先发现了一些问题,这些问题迫使他们开始关注身份管理。”
而对于政府部门而言,身份识别与访问管理产品有着更广泛的适应性,在解决政府部门设施与信息安全性问题的同时,也可以解决政府部门所面临的另一个重要挑战——增加政府运作的开放性与透明性。记者一直在跟踪我国的电子政务工作,对这一点可以说是深有体会:一方面,需要严格防止不适当的人接触到政府部门的要害设施和资源;另一方面,获得正确授权的人又必须以更为方便和安全的方式使用政府设施和资源。
相信随着我国政府部门内部和跨部门的协作越来越多,与外界的承包商以及其他地区、城市、国家的政府部门之间的互动与协作越来越普遍,对于身份管理的需求也会日益迫切,所以政府部门也是国内身份管理市场中很重要的一部分。
当然除了这些大型的行业客户外,中小企业也不是完全没有市场。Novell就表示,随着中小企业对身份管理的需求的加大,它们也会越来越重视并逐步加入到部署的行列。
网友评论