Scorpio權限控管系統─ 提昇系統權限控管能力

撰文 |

密碼統一容易遭竊  密碼太多背不起來

朋友小蕙打來哭訴著她的錢包不見了,裡頭的千元大鈔不見就算了,連錢包裡幾張提款卡裡的錢也一併被盜領一空。我驚叫著:「怎麼會呢?!妳的密碼這麼好猜喔!」她邊哭邊用哽咽的聲音說:「我…我怕太多密碼會記不住,就都用我的生日來做密碼…身分證也在錢包裡,小偷一猜就猜到了嘛!」
大學死黨小瑩在一家生產衛星導航器材的外商公司擔任會計,她經常向我抱怨,公司因耽心重要的財務資料易遭外洩或被竊取,強制規定他們一星期得重設一次密碼。每天上班打開電腦的第一件事,就是想密碼!從她的腦袋瓜裡努力地擠出、回想自己要登入哪個系統的密碼是什麼!但終究還是宣告失敗,經常被系統鎖住不得使用是常有的事,打電話找MIS告知密碼更是家常便飯的事!小瑩說:「雖然我有一本記事本記錄系統的密碼,但妳幫我評評理,一星期就重設一次,我處理別的事情還得到不同的系統裡才行,這麼多密碼誰分的清楚啊!」
上述的談話內容真是讓人啞口無言!的確,人的腦袋容量就是這麼有限,除非我們的頭腦裡有一套系統能讓我們記憶多組的帳號密碼,否則,光想靠我們現有的腦容量要進行密碼管理,還真是一件傷腦筋的事!或許提款卡遭到盜用早已不是什麼重大新聞,但密碼的保護是一道重要的關卡,面對為數眾多的提款卡,多數的人可能會跟我的朋友小蕙一樣,把密碼設得一樣,為防止忘記,使用自己的身分證字號、生日以為密碼因應,殊不知,將密碼設的過於簡單或是有跡可循,其實是很容易讓有心人士猜中;但如果每個密碼都設的不一樣時,自己又該如何記得住這些密碼呢?!
在資安事件頻傳的今日,受到先前多起銀行資料外洩事件的影響,使得資料的安全保護變得格外重要。不論是單一企業、大型企業或連鎖企業,對內如何增強組織成員對資安平台的信心、對外如何贏得客戶及合作夥伴的信賴,不讓好不容易才建構起來的企業形象在一夕之間化為烏有,企業e化對於資訊安全的要求需事先有一套完整、縝密的規劃。而建置一套可讓數十套系統彼此間可以互通,而使用者端僅需藉由一套簡單的單一簽入(Single Sing-On)機制登入系統使用,已成為企業e化的首要工作。

目前面臨的問題

多數企業不知如何導入
根據一份由PKI中華台北推動委員會針對目前台灣企業PKI建置現況與模式的資料顯示,40%已導入PKI的企業,其專案建置約需花費半年至一年的時間。雖然企業e化已行之有年,多數的企業亦早已建置多套的應用系統以協助營運與日常作業,但由於導入PKI的時間長且成本不低,以及企業不知如何導入PKI應用,導致多數的企業對於導入PKI這項計畫並未感到急迫的需要。

使用者須記憶多組密碼  IT人員維護不易

另一個最常見的情況,是使用者為使用不同的應用系統必須不斷地執行登入、登出的動作,才能完成被交待完成的工作。有些使用者為省去記憶過多的帳號密碼的困擾,統一在各應用系統登入一致的帳號密碼;有些使用者耽心密碼遭人?用,索性在不同的應用系統設定不同的帳號密碼,唯一的缺點是必須將各組帳號資料記下,以避免混淆;更有甚者,有些企業因耽心機密資料遭竊,嚴格規定組織成員必須定時修改密碼,以符合公司資訊安全的規範。
對於使用者而言,必須針對不同的作業系統及應用系統而牢記、輸入多組的帳號密碼,著實是件苦差事;對於應用系統開發人員必須因應各個子系統的權限管理問題,撰寫不同的權限管理機制,浪費人力及時間的成本;而對於系統管理者而言,當人員或組織發生異動時,必須花費更多的時間與精力維護各個系統的帳號密碼,實在不勝其擾。上述的工作,不僅內容繁瑣且欠缺效率,一旦發生疏漏,發生帳號密碼外洩或已離職人員的系統使用權限設定尚未取消,勢必造成企業資訊安全防護網上的大漏洞。
企業的資訊安全除了必須做到作業系統與應用系統的授權管理之外,更必須為擾人複雜的權限管理問題建構一個簡單、彈性、易於維護、具高度整合、安全性的權限控管機制,才能輕省上述的使用者、應用系統開發人員及系統管理者等人員的工作負荷及壓力,提昇工作效率與品質,而這些均可藉由叡揚資訊研發的『Scorpio權限控管系統』得到紓解。

Scorpio跨平台整合技術  提供多元的認證機制

叡揚資訊深耕應用系統開發的領域有近二十年之久,對於應用系統間的權限控管整合有相當深入地研究,而推出這套『Scorpio權限控管系統』。在整個權限控管機制上,遵循美國國家標準局RBAC(Role Base Access Control)規格,權限的設定嚴謹且具彈性,系統管理者可依據企業運作情況進行權限的調整,協助企業的應用系統能有統一且整合的權限控管平台。不但可支援Windows 平台,更推出可跨平台的JAVA版本,讓Scorpio可控管各平台上的JAVA AP-Sever之應用系統,亦可與LDAP整合,同時可將以MS技術與JAVA開發的WebAP在同一套權限機制下進行管理,達到跨平台的絕佳境界。
一份統計資料結果指出,系統管理者在其每日的工作中,高達60%至70%的比例是在處理帳號密碼相關的事情,現在,透過Scorpio的協助,所有應用系統的權限均可集中由Scorpio控管,系統管理者只需熟悉一套控管模式便能處理各個應用系統的權限管理問題;而使用者則只需記憶一組帳號密碼,即可使用各個應用系統。一套『Scorpio權限控管系統』讓使用者不用再記一大堆的帳號密碼,也讓系統管理者不必再花費多餘的時間處理帳號密碼等事,企業的成員都能將其精力及注意力專心投入策略專案,提高工作效率。


在身分驗證(Authentication)方面,Scorpio提供多元的認證機制,不但可與PKI機制完全整合,亦可搭配指紋辨識系統,以指紋方式來達成身分認證的目的,提高系統安全性。其整合流程如下圖所示。


Server端產生一個亂數的Challenge傳給Client端(
&   )
Client端利用Private Key對該Challenge產生一個Response傳給Server端(這個動作即為簽章)(   )
Server端詢問CA取得該使用者的Public Key檢驗該Response是否符合當初的Challenge(   )
確認後取得使用者對應Scorpio之使用者帳號,進入Scorpio之系統,之後的應用系統登入權與其內的功能權限的檢查則交由Scorpio來做管理。(   &    )
在整個驗證過程中,Client端的Private Key不需要離開Client端即可驗證是否為本人,如此更可確保使用者Private Key的安全性,同時又能達到使用者身分的確認目的。
就在企業對於e化議題喧騰沸沸揚揚之際,企業確實需要一個跨各應用系統平台的權限控管機制─『Scorpio權限控管系統』,除了能協助成員利用單一帳號密碼來使用企業資源,提昇IT使用效率;新進同仁的帳號設定或離職員工的取消設定,只消幾分鐘即可輕鬆完成,也能提供控制系統存取權限的能力,保護機密資料不外洩,同時達到節省企業人力、時間成本與杜絕安全漏洞的三贏效益。—

Java程式開發的最佳夥伴

 DevPartner for Java & OptimalJ  訓練課程

為解決您長久以來,尋尋覓覓一套既方便又能迅速導入的Java開發工具的困擾,及協助您開發出能真正以業務為導向的Java應用系統。為此,叡揚資訊特舉辦「OptimalJ & DevPartner for Java訓練課程」以回饋長久以來支持與使用OptimalJ的客戶。OptimalJ為一套以建立模型開發服務導向(Service Oriented Architecture)的Java應用系統開發工具,更搭配DevPartner for Java超優秀的除錯與效能分析,能協助您以最節省的時間輕鬆開發出最合用、最穩定的Java應用程式,對於工具的操作更可以快速上手。
於93年10月12日的訓練課程,叡揚資訊特與巨匠電腦合作。課程的主題邀請到叡揚資訊資深系統工程師劉正陽為學員介紹「J2EE最佳開發工具Compuware OptimalJ」,會中更提供上機實作,以Model-Driven pattern-based方法迅速建立SOA程式,藉由實機操作方式,讓學員親身體驗OptimalJ之強大功能,更能對該工具之應用能有更深地了解與認識。