一方面要應付數據量的快速增長、有效地保護數據資源、簡化數據資源管理,另一方面又要控制IT成本,這是企業機構普遍面臨的挑戰。
近年來,許多企業機構都希望通過實施ILM(Information Lifetime Management,信息生命周期管理)來解決上述問題。然而,大家所采用的ILM方法,并沒有很好地幫助那些以動態信息為中心的企業機構。一定是有某種東西被忽略,才會導致這種情況的發生。那個被忽略的東西就是——身份認證管理。
ILM的普遍問題
目前,大多數廠商提供給企業機構的ILM解決方案雖然都強調了層次化的存儲系統,但卻是以靜態的方式來構建,并沒有充分考慮到數據的動態性和雙向訪問。或許更重要的問題在于,當今的ILM技術沒有對安全性給以足夠的重視,因為關于數據安全性的考慮都集中在加密方面,而不是設法在數據的完整生命周期中實現有效的管理控制。
在信息時代,整個社會的所有活動無一不是以數據為基礎,而數據安全方面的事故常常成為世界級的新聞事件。但是,這些新聞事件遠遠不是實際問題的全部,僅僅是一些深層問題的表象反映而已。真正的問題在于,我們對于數據訪問管理與控制能力的薄弱程度遠遠超過我們的想象。
ILM的起源來自現實需求,也就是說,數據應該根據其在生命周期中所處的階段來用不同的手段進行管理。這種技術在相當大的程度上改善了數據管理方式,但是當今普遍流行的ILM仍然有很多局限性,主要體現在以下幾個方面:
• 僅僅專注于通過層次化的存儲策略來降低成本,缺乏綜合性的方法;
• 數據的遷移基本上是單方向的,即從主存儲磁盤向附屬的磁盤或者磁帶庫,缺乏反向的“激活”能力;
• 缺乏多種不同的產品來分別實現數據的分類、管理和遷移,特別是在歸檔和備份時更是如此;
• 僅僅解決數據遷移和保持力問題,對數據訪問能力缺乏關注。
對于那些面臨著數據快速增長、數據管理越來越復雜的企業機構,Sun可以提供更好的控制管理手段,覆蓋數據的整個生命周期,其經濟有效性、可用性和法規依從性都首屈一指,而在其中起到關鍵作用的就是身份認證管理(Identity Management)技術。
身份認證管理所解決的問題決不僅僅限于“哪個用戶具有哪些數據的訪問權限”,而是充分考慮到在當今數字時代中實現數據使用、共享和訪問的所有方式,并且為整個數據生命周期提供訪問控制的藍圖。Sun的解決方案可以提供順暢的自動化控制手段,幫助企業機構通過身份認證的方式實現數據管理。這種控制手段可以顯著降低當前的存儲和運作成本,同時讓這些數據在未來發揮更大的作用。
身份認證主導的ILM
問題的關鍵在于如何理解“生命周期”。特別要注意,不能僅僅局限于“數據的生命周期”,而且要注意到“用戶的生命周期”。也就是說,數據在其生命周期的不同階段應該怎樣來分別處理?用戶在其生命周期的不同階段應該被賦予怎樣的權限和方式來訪問數據?
當一個新員工加入企業機構之后,首先需要為其分配文件存儲空間。當現有員工被調動職位或者調整職責,就需要改變其對相關資料的訪問權限。當有員工離職,就需要對其原有數據進行歸檔并確保其安全性。身份認證管理可以確保這些數據得到安全、正確的處理,并且根據不斷變化的應用需求將其存放在最經濟有效的存儲資源中。
在Sun公司看來,這就是“由身份認證主導的ILM”,而且將這個理念作為其ILM解決方案的核心哲學觀點,由此重新思考信息及其使用者之間的相互關系。身份認證主導的ILM提供了一種簡明的機制,確保了企業信息的可信度和安全性。
以這種觀念為基礎,Sun公司將其業界領先的Identity Management(身份認證管理)、Data Management(數據管理)和Compliance(依從性)技術集成起來,幫助企業機構通過實施整個生命周期的全面管理來更好地保護其數據資源。
身份認證與訪問權限管理應該是ILM戰略的重要因素,但是這一點并沒有引起大多數ILM解決方案提供商的足夠重視。對于許多號稱ILM的存儲廠商來說,“安全的訪問”只不過是“加密”的同義詞。加密只是數據安全的一個方面,Sun公司在這方面的表現十分出色。
但是,利用加密來進行數據訪問控制只是初級階段。即便是解決好了加密問題,還是需要準確地控制“誰有權限來訪問哪些數據”,其中最大的挑戰之一在于,用戶很容易就能通過出人意料的特殊方式獲得數據的訪問權,甚至可能誤打誤撞地獲得某些信息資源。
同時,數據的訪問權限也必須根據不同的人和應用系統來加以區別管理,必須考慮到生成這些數據的人所擁有的特殊角色和職責。隨著這些人員在企業中的角色不斷變換,包括不同的職位、不同的部門、不同的公司,他們對于數據的訪問權限也必須隨之改變。
身份認證管理的第一個層次是安全性,而第二個層次則是幫助企業解決數據量增長中所遇到的難題。身份認證主導的數據管理具有將企業人員角色與信息生命周期管理相結合的獨特能力。
例如,Sun公司身份認證管理主導的數據管理解決方案可以實現用戶訪問權限分配以及應用軟件、文件系統和物理設備等不同層次上的存儲資源分配的自動化。這種自動化將會使訪問管理十分順暢,簡化依從性,改善數據的安全性。
更進一步,這種解決方案還可以對應用軟件、文件系統和物理存儲設備的分配結果進行審計。當某個員工從企業離職,身份認證管理機制就可以自動觸發一個流程,對這些人員相關的信息進行歸檔和備份。而且,這些數據的保密級別將會自動升高,從而防止因為不當的信息外泄而產生對企業機構不利的“新聞事件”。
綜上所述,如果沒有身份認證管理,這樣的ILM解決方案充其量不過是較為經濟的數據備份方案。只有將身份認證管理引入數據管理,在使用者和數據之間建立恰如其分的關聯,才是真正意義上的ILM。
