据调查显示，平均每5家大型企业中就有1家由于身份管理问题遭受安全侵袭。大型企业人员复杂，流动性大，因此有时出现员工在未授权的情况下访问数据、获取或滥用机密信息、财政盗窃或诈骗、伪装或钓鱼攻击等情况，曾有一家大银行因此损失上百万美元。

作为并不是新问题的企业困顿的身份管理现状，如何保护机密信息、对抗间谍软件和间谍行为；如何管理企业员工对内部信息的访问权限；如何在信息系统数量快速增长的情况下，避免产生权限漏洞？下面，笔者以某金融企业为例，探析TRS IDS是如何支撑TRS其他产品进入复杂的企业内网环境，保障企业信息安全的。

某金融企业内设办公室、市场部、财务部、IT部、人力资源部、呼叫中心等十多个部门，在全国各大主要城市设有办事处。2010年，其与TRS合作，使用TRS Portal+TRS WCM +TRS IDS建设内网门户。

一、面临的问题

☆ 复杂的网络环境

该金融企业有万余人，鉴于对内部信息安全的考虑，他们对信息系统的运行和管理，有着非常严格的规范。

在网络管理上，网络由两部分组成：

● 业务网段：是业务人员工作网段，仅限于相关业务人员能够接入。

● 办公网段：用于日常办公，所有员工和被允许的相关人员均可接入。

两个网段之间只能通过由IBM公司提供的系统相连接。该系统可看作是一个可编程的、功能强大的安全网关，如果未经过该系统的授权，两个网段将无法进行通信联系。

两个网段内的工作站中，都由MicroSoft的AD 域服务器进行控制。想要登录工作站，必须先在MicroSoft AD创建相应的账号。其中，业务网段的AD中的账号和办公网段AD帐号相对独立，可根据需要建立联系。

二、解决方案

在具体应用中，TRS的产品都部署在了办公网段。AD是唯一用户和组织的出处，所有的组织机构和人员（包括人员的密码）都由专门的部门在AD中进行维护。针对这种情况，TRS产品考虑两类问题的处理：

● 历史用户

为了确保AD中已有的历史用户能够正常地登录TRS WCM和TRS Portal，TRS IDS采用外部源 的方式，直接接到办公网段的AD中，这样AD中的已有用户可以直接使用原有用户名和密码登录与TRS IDS集成的系统。

● 新增的用户和组织

对于新增加的用户需要由TRS IDS同步到TRS WCM和TRS Portal中进行预授权，删除的用户要 通知TRS WCM和TRS Portal进行处理，AD中的组 织结构需要同步到TRS WCM中等要求，TRS IDS 提供了一个可以单独部署的AD用户组织同步模块，这个模块会每天对AD进行一次扫描，将当天新增/已删除用户和组织通知给TRS WCM和TRS Portal进行处理

☆ 身份认证和单点登录

每个用户使用AD的账号登录工作站以后，打开浏览器访问内网门户时，即处于已登录状态，无需再次输入用户名和密码。并从安全考虑，不允许在工作站上部署任何客户端。

我们通过和IBM系统进行了集成，由于都支持 相同的协议，而且内网门户已经与TRS IDS集成， 因此请求会先被TRS IDS拦截，TRS IDS解析IBM SSO规范的LTPA token，找到其对应的AD用户，执行登录。

另外，在已经登录的AD工作站上，访问与TRS IDS集成的应用，无需再次输入用户名和密码就能处于已登录的状态。

☆ 已有大量用户的应用集成

在具体应用中，还会有其他一些应用要和TRS IDS进行集成，以便在TRS Portal中展现资源内容。 对于用户已经有帐号的系统的集成，TRS IDS采用 “代理登录的方式”进行处理。主要有以下几点：

● 应用不需要和TRS IDS进行集成，也不需要进行任何改动；

● TRS IDS提供了统一的页面，用户自行绑定TRS IDS账号与各个系统中的账号和密码的关系；

● 用户需登录应用时，点击TRS IDS提供的链接， TRS IDS会取出应用中对应的账号和密码，通过浏览器进行提交；

● TRS IDS将这些应用名和密码同步TRS Portal，TRS Portal需要取应用资源时，可以根据用户名和密码自行执行一次登录，或者直接调用应用本身提供的API获取资源。

三、收获

● TRS IDS在某金融企业的成功应用，再次证明了在规范的大企业中，面对网络结构复杂，各种历史遗留系统、异构系统多的IT环境，TRS IDS有能力屏蔽掉这种复杂性，为公司产品提供有效支撑。

●在身份认证领域，有很多国际规范，比如Kerberos、SAML、IBM SSO规范等，这些国际规范都已经成熟。研究、支持这些规范，能够使我们和其他厂商的产品实现互联互通。在大企业中往往有很多这类基础设施，此时凸显了我们支持国际规范的价值。