对许许多多机构而言，任何经济衰退都将带来新的风险。这些麻烦很大一部分会来自于机构中所雇佣的员工：企业为了增强其获利能力缩减企业规模无疑会引发员工内心的恐慌，有可能导致其在未经授权的情况下，将敏感信息保存在某些防护不到位的应用系统上；企业缩编雇佣临时工的比例有可能会增加，而在忠诚度上，临时雇员当然无法与全职工作人员相比。

    正是出于上述考虑，很多专业IT安全运维人员将身份识别和访问管理（ IAM ）作为最优先考虑的技术手段。在调研机构Forrester发布的年度报告中显示（《国内企业IT安全——2008至2009年》）：在对安全方面有决策能力的人员进行调查后发现在未来一年中，对IT安全机构而言，认为身份识别和访问管理是一个重要或者是非常重要的问题所占比重达到了82%。

    同时Forrester的预测，IAM市场将由2006年的26亿美元的市场规模成长到2014年的123亿美元的大市场。

    员工的忠诚度与信息安全程度呈正比

    从信息安全角度来看，临时雇员的确存在问题。尽管这些临时雇员在劳动力成本上较之专职雇员要低一些，尤其是体现在管理成本方面——无论是雇佣与解雇都很方便，几乎没有任何的法律纠纷。

    可是有一点不得不承认——这些临时雇佣者或许会带来更多的风险。多数情况下，这些临时雇员不可能像专职人员那样对所就职公司具有很高的忠诚度。因此他们可能对一些信息安全异常状况视而不见，更甭提主动像相关部分报告了。

    正是这样，更加要求我们这些信息安全工作者加强对这些临时雇员在信息安全意识、习惯等方面的培训力度，对其网络行为也需加强监督管理。其管理强度应该不低于对企业专职人员要求水平。

    还有就是临时雇员的流失率要远远高于专职人员。为了企业实现有效管理，就需要IT运维人员对这些来来去去的人的网络权限进行频繁地设定调整。其工作量可想而知，这无疑是一项繁重的工作。

    对于现在就职于企业的专职员工而言，假若他们对自己今后的职位未来的发展感到担忧的话，则会存在同样的安全风险。这些对未来不抱希望的员工可能会做出监守自盗甚至是有意识破坏公司内部重要信息的行为。这时对应用程序以及关键数据进行监测并记录就显得至关重要了，尤其是当某些员工当企业进行较大规模裁员时。

    身份识别和访问管理无疑是解决上述这些问题的非常好的解决办法之一：集中式访问管理的监督和应用程序的权限管理机制；先进的基于角色的访问控制管理机制可对临时人员使用权限进行快速、统一安全的赋予与解除。越来越多的SaaS应用程序中开始支持联名账户的使用，这些应用很多是采用IAM（身份认证与访问管理）组织提供的IAM主机托管服务。

    集中式访问管理提高安全性的同时降低成本。访问控制解决方案可集中管理访问应用程序和相关数据。许多这类解决方案还集成在非网络应用之中，如桌面、电话和交互式语音应答（ IVR ）等。这些过去谁都可访问的数据则开始受到严格的管理与控制。近来，身份识别和访问管理技术具有更多的适应性，更多的是从风险角度进行评判，这让你可以用更多的维度更细的颗粒度对访问控制进行管理。

    包括IP地址定位、Mac地址识别，交易类型以及单点登录（ SSO ）在内的多种技术手段无疑提高了和用户密码质量。因为用户密码具有唯一性，需要有更高质量的密码要。这也使得密码遗失（或者遗忘）后恢复变得容易许多，同时还减少了相关数据密码被破解的风险。没有集中式访问管理，如果一个密码的安全受到威胁，这就意味着系统上其它与之相关的密码都需要重新设置。假若所有关联应用只有一个密码的话，重设这个密码之后就会对所有的应用程序进行重新保护。

    SaaS综合应用可谓是IAM外包使用的一个典型代表。SaaS的应用程序可以无缝集成到企业的IAM生态系统中，并配置用户账户。这样做主要是可以从新巩固身份管理的基础。这种重构身份服务是相当普遍的，如果处理得当的话，它可以以较低的成本创建一个可重复使用的架构。这一身份织构成或许被部分甚至是全部外包给身份认证与访问控制管理的安全服务提供商（ MSSPs ），如Covisint、FuGen、Simeio Solutions、Symplified、VeriSign和Wipro等。

    在目前经济时代背景下需要我们密切关注的是，很多IT企业已经部署了IAM方案以帮助其降低自身成本：首先是对IT实现了包括添加、修改和删除用户功能在内自动化管理。其次是对企业关键资源审计并纠正错误是需要付出成本，我们要做的就是尽量减少这方面的支出，这包括ERP系统、Web和客户端应用程序等；避免或降低成本数据被破坏是主要手段。

    尽管IAM会帮助企业消减运营成本，但这方面的安全预算在企业中也是很难得到充分保障。为了能够在内部让公司较为顺利地通过这方面的预算，信息安全主管们应该准备一份部署IAM所需预算费用的详尽清单并提供与之相关的信息安全规划。这份清单也可作为企业遇到突发事件（系统崩溃或数据遭遇破坏等）后应急措施之一。若要公司能批复你的预算，你还应该在这份清单中列出较为精准的统计数字。

    衡量IAM效果十分简单，这个指标就是其价值转换能力。没有任何比减少呼叫中心消减成本更能体现IAM项目价值贡献的了。由于请求帮助的电话减少，用户需要审核的数量也随之减少，正是这些需求的减少消减了成本的支出。这还有一个额外的好处就是将相同数量用户的生产效率大大提升了（在用户需要进行认证的时候再也无需等待两到三周的时间来获得批准了）。

    若不从经济角度考虑，我们应将IAM看做关键性的基础设施，而不仅仅是一个应用程序。设想一下，假若贵公司的Web访问管理的关键系统停止工作，它通常意味着企业业务也将停止运作。人们应对这个基础设施负责，因为它是不可或缺的，应该确保其在商务活动中持续得到应用。

    IAM应用应该是在以实际应用为基础，在此之上进行实施。IAM系统采集到的信息（包括企业内部系统和企业相关的SSO单点登录系统访问日志，基于角色的访问控制策略应用状况的统计数据）可以作为直接依据提交给公司，以便于公司高层管理者就是否需要使用外包等事项进行决策。

    高级管理层可能从具体的商业价值和成本效益分析两个方面来评判IAM项目；可以肯定的是，假若这个IAM项目不能在短期内取得效果，又与企业商业价值没有太多关联的话，这个项目一定会被撤销。

    而执行层面的管理人员也将利用IAM建立更为详尽的审查制度，从而进一步确保企业整体系统的安全性。对新来的临时员工进行快速配置，对所有登录申请都进行强制访问管理控制，在SaaS应用中进一步增强身份认证及访问控制功能，从而避免新的发现出现。