让网络少些虚假多些详实

除了市场潜在的诱惑力，IAM在实际应用中也显示出越来越迫切的需求。随着企业网络中业务应用的不断增加，每一种应用可能都有自己的认证方法和对访问的控制，这就需要IT管理人员花费更多的时间，管理不同的系统以及数据库信息，对这些信息以及目录服务的管理导致身份管理的工作量急速增长，这不仅仅意味着人员成本的上升，更重要的是，出现错误、非法访问的几率也大大增加，对企业而言，这可能就意味着关键数据受到严重的安全威胁。

而以往为了解决使用者的身份识别，解决纷争和辩论的程序常常需要手动的回顾机器地址，例如，MAC和TCP/IP地址。这个可能涉及到多个网络服务和IT人员去解决一些步骤。在有独立DHCP、DNS和直接的数据储存的大的网络，需展开远距离，花费大量的时间解决使用者机器的地址。另外由于传统的身份识别和访问管理在使用上非常复杂，在价格上也是相当昂贵，每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法，不但难管理、难配置、难输入、难同步、易出错，而且会造成“政出多门、相互矛盾”。而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构。传统的身份识别和访问管理（IAM）在使用上非常复杂，在价格上也是相当昂贵，早已无法胜任如此复杂的系统，因此基于身份认证的网络安全管理器将会越来越被企业所利用，势不可挡。

为了解决以上问题，A10公司一直致力于身份识别与访问管理（IAM）方面的研究和开发，并推出了IDsentrie产品。为了更加详细的了解网络实名身份市场发展的状况以及IDsentrie产品的更多特性，CWEEK独家采访了A10公司的中国区总经理俞飏先生。

记者：IDsentrie是一种什么产品？如何解决网络身份不明确所带来的安全问题？
俞飏：IDsentrie采用统一管理的方法，通过集成四个基于身份的管理组件，创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台，从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。IDsentrie有四个主要组件：实名制的网络认证管理平台（AAA）、实名制的动态主机配置管理（DHCP）、实名制的网络行为监察及记录（IEM）以及协同管理用户和网络安全设备的统一身份管理引擎（UIM）。客户可以独立地启用每个IDsentrie组件，创建适合其需要的身份管理解决方案。

记者：除了主要组件之外，IDsentrie还具有哪些特性，使之在统一认证和账户管理方面凸显优势？IDsentrie如何增强企业安全性？
俞飏：IDsentrie可解决很多IT人士日常面临的有关身份和认证管理的复杂问题。IDsentrie的主要特点是帮助企业客户实现了从IP网络向ID网络的自然过渡；IDsentrie的四大功能组件使企业实现了通过一个统一的硬件平台对网络安全进行更加有效的管理。例如，有些客户如果对其RADIUS认证解决方案满意，可以使用IDsentrie中的统一身份管理引擎集中管理和同步第三方外部数据库。另一些用户可以安装IDsentrie中的网络认证管理平台，使接入控制和代理认证服务相统一，并使认证日志报表、审计和告警相关联。IDsentrie还有一个好处就是：它可以灵活地在已有的网络体系中部署。客户可以安装一个组件或多个组建使之匹配，或者只是使用IDsentrie特性增强其既有体系。

IDsentrie可通过多种方式增强安全性。为保护原有或不安全的在公司内的主机认证信息，认证代理可用于前端认证过程，将用户与接入数据库直接屏蔽。统一身份管理平台的集中供应同步全部数据库信息，允许管理员快速查看企业的所有用户账户信息，从而保证信息一致性。这有助于鉴别非授权和过期账户，防止其非授权接入。防火墙日志分析器将用户行为与身份信息相关联，从而提供增强的定位问题能力并加速了鉴定行为，以解决关键的网络和安全问题。IDsentrie增强的操作系统和特制硬件可抵抗通常对运行在通用PC平台上基于软件的解决方案有效的攻击。

记者：部署IDsentrie解决方案有哪些好处？
俞飏：身份管理正迅速成为企业安全和接入管理的基本组成部分。部署IDsentrie智能综合身份管理解决方案，可以提升效率，降低管理成本，减少错误，增强安全性，提高可视性，消除复杂度，实现一致性。IDsentrie可在很短的投资回报（ROI）周期内获得切实的好处。

记者：IDsentrie产品最常用的部署场景有哪些？
俞飏：由于IDsentrie特性非常灵活，IDsentrie既可作为单一目的解决方案使用，也可作为统一的解决方案使用。IDsentrie智能身份管理系统提供安全授权认证、用户账户管理、防火墙行为监控。IDsentrie可作为主用身份数据库支持企业级RADIUS授权认证，也可作为现有授权认证体系的补充。客户的现有数据库，例如LDAP或活动目录，可把IDsentrie作为备份解决方案，提供更好的安全性、更高的可靠性、授权认证代理、统一管理、复杂的日志和报表。

记者：IDSentire与传统身份管理解决方案，如IBM Tivoli、CA等比较有何不同？IDsentrie有助于解决哪些问题？
俞飏：IBM、CA等身份管理解决方案只能针对应用层管理，例如IBM的Tivoli只能针对软件进行管理。而IDsentrie不仅能对应用层进行安全管理，对网络层同样可以管理。同时，IDsentrie更可以将应用层和网络层统一管理，集中处理。如用户接入点、UNIX主机和应用等。所以IDsentrie可以解决企业日常供应和管理其身份资源时遇到的很多复杂的管理、安全和终端用户问题。

另外，IDsentrie与其他复杂的基于软件的解决方案相比，其起步成本很低，而后者需要定制、咨询以及高功率服务器硬件。由于IDsentrie是一个“拜访性”解决方案，只需几小时或几天内就可以安装完毕，而其他复杂的解决方案可能需要几周或几个月才能完全实现其价值。IDsentrie解决了管理多个分散数据库时日常运行的问题，为管理员提供了一个集中管理平台，简化了账户管理。

记者：如何确保实名制身份是可信的？身份信息是否存在被冒用的可能？如何才能避免？
俞飏：关键机制是把IP地址、MAC地址和网络端口三者绑定起来，不是只根据IP地址来记录用户信息，因为IP地址可以重新分配，而MAC地址是随网卡定义的，全世界唯一，所以针对用户把其IP和MAC绑定起来，所以实名制身份是真实可信的。

IDsentrie的DHCP模块中，具有MAC地址黑名单的功能。例如，当某个员工的笔记本电脑被盗或遗失，管理员可以将该电脑的MAC地址列入黑名单，不论是谁拿到这台电脑都无法登录公司局域网，哪怕是有正确的用户名和密码。当这台电脑确实被找回，使用者与管理员确认可以重新恢复MAC地址的使用时，管理员可以将这台机器恢复设置访问权限。（责任编辑：王海旭）