如今，對提供訪問和管理在線信息服務(wù)的業(yè)務(wù)需求日益增長，數(shù)據(jù)中心也變得更加復雜，并且往往包括物理和虛擬系統(tǒng)，兼具傳統(tǒng)和云應(yīng)用。如何管理用戶身份、訪問和信息使用的復雜性是企業(yè)面臨的艱巨挑戰(zhàn)。由于缺乏集中的安全控制，大多數(shù)企業(yè)無法采用虛擬化、云計算這樣的新一代技術(shù)，從而無法迅速推出新的在線服務(wù)以支持業(yè)務(wù)拓展。

CA Technologies中國區(qū)安全方案戰(zhàn)略規(guī)劃架構(gòu)師徐英培表示：“應(yīng)用于管理或自動化中的技術(shù)應(yīng)當成為業(yè)務(wù)的推動者，這在設(shè)置安全控制方面亦是如此。安全孤島這樣的常見問題，增加了企業(yè)無法一致執(zhí)行安全策略的風險。因此，創(chuàng)建賬戶和身份，以及分配訪問權(quán)限的自動化進程，對確保安全和提高效率至關(guān)重要。同時，自動化令收集和分析信息變得更加簡單，也進一步降低了企業(yè)合規(guī)的成本。”

如今的虛擬環(huán)境中，具有過度特權(quán)的管理用戶可能會令業(yè)務(wù)應(yīng)用癱瘓，獲得企業(yè)或客戶的機密信息，甚至可能通過讓整個數(shù)據(jù)中心崩潰的方式潛在地破壞企業(yè)業(yè)務(wù)。我們都曾看到過因為特權(quán)用戶濫用特權(quán)而造成重大損失的事件。因此，對于控制和追蹤用戶如何訪問企業(yè)關(guān)鍵IT資源，特權(quán)用戶管理是最基礎(chǔ)的。特權(quán)用戶管理的第一步是管理特權(quán)賬戶（如管理員）自身的訪問。企業(yè)應(yīng)確保對每一個特權(quán)用戶的問責，以便可以將每一個特定操作（例如在日志文件中）與具體的人相聯(lián)系。同時，若特權(quán)用戶管理密碼功能可以提供一次性使用的動態(tài)管理密碼，則可以有效提高安全性，并幫助簡化企業(yè)的合規(guī)審計程序。此外，職責劃分則能夠有效減少特權(quán)訪問，幫助企業(yè)確保特權(quán)用戶只執(zhí)行相關(guān)系統(tǒng)中的必要操作。

CA Technologies 基于內(nèi)容感知的身份認證與訪問管理（IAM）解決方案提供了一套集成功能，可以在企業(yè)的物理、虛擬和云環(huán)境中，確保正確的用戶通過正確的方式訪問正確的信息。傳統(tǒng)的IAM系統(tǒng)只管理用戶身份和訪問，并不能夠提供充分保護，無法防止用戶濫用訪問過的信息。而CA Technologies基于內(nèi)容感知的方法不僅能控制信息訪問，還能控制信息使用，可以有效避免疏忽或惡意意圖造成的信息使用不當對企業(yè)造成的災(zāi)難性影響。

CA Technologies基于內(nèi)容感知的身份認證與訪問管理（IAM）解決方案能夠提供特權(quán)用戶管理能力，其核心CA ControlMinder包括以下幾個模塊：
·特權(quán)用戶密碼管理（PUPM）
·UNIX身份認證代理（UNIX Authentication Broker）
·用戶活動報告模塊（User Activity Reporting Module）
·會話錄音（Session Recording）

CA ControlMinder提供了控制特權(quán)用戶操作的粒度級別，使每一個特權(quán)用戶只執(zhí)行必要的操作。在這種粒度控制下，企業(yè)可以有效管理特權(quán)賬戶，減少企業(yè)的整體風險暴露，從而使控制成為業(yè)務(wù)的推動者，而不僅僅是抑制劑。

實現(xiàn)對特權(quán)用戶的可視性和控制之后，培養(yǎng)這些用戶群的責任感非常重要。會話錄音（Session Recording）是一項重要的功能，能夠提供特權(quán)用戶在系統(tǒng)中操作的完整記錄，就像交通攝像頭能夠確保高速公路上的良好交通行為一樣。同時，它可以在操作發(fā)生的時間點再次采取權(quán)限以了解實際發(fā)生的事件。此外，其元數(shù)據(jù)搜索功能還可以對需要調(diào)查的特定操作執(zhí)行關(guān)鍵詞、自由文本搜索和快速縮放。換句話說，會話錄音不僅提供了監(jiān)控和錄音功能，而且可以提供用戶行為鑒定功能。作為會話錄音功能的有力補充，用戶活動報告模塊（User Activity Reporting Module）則可對所有用戶活動能力進行報告和合并。這兩種功能能夠把所有用戶活動事件合并到一個集中圖表中，以實現(xiàn)對用戶活動的監(jiān)控、報告、重播和調(diào)查。

風險減緩的另一個要求是確保一致性，尤其針對具有混合UNIX 和Windows基礎(chǔ)設(shè)施的數(shù)據(jù)中心環(huán)境。Windows環(huán)境通常會連接到活動目錄（Active Directory）管理帳戶，然而UNIX系統(tǒng)是孤島，容易導致這些系統(tǒng)管理賬戶無法一致管理。 CA ControlMinder的UNIX身份認證代理（UNIX Authentication Broker）功能，通過允許活動目錄（Active Directory）中的賬戶登錄到UNIX系統(tǒng)，徹底解決了這個問題，進而減少在個人UNIX系統(tǒng)下創(chuàng)建賬戶的需要。

徐英培補充道：“可靠性和可視性是實現(xiàn)特權(quán)賬戶管理優(yōu)化和效益的基礎(chǔ)。CA Technologies基于內(nèi)容感知的身份認證與訪問管理解決方案能夠幫助企業(yè)確保正確的用戶在正確的時間通過正確的方式訪問正確的信息。目前，超過1500個的全球領(lǐng)先企業(yè)正在使用CA Technologies基于內(nèi)容感知的IAM解決方案，企業(yè)可以依靠我們遠離內(nèi)外部威脅，并滿懷信心地拓展業(yè)務(wù)?！?/P>

CA Technologies即將于8月9日舉辦亞太及日本地區(qū)CA Expo · 2012 北京大會，51CTO將對本次會議進行視頻圖文直播，敬請關(guān)注。

直播頁面地址：http://cloud.51cto.com/exp/caexpo2012/zhibo/