专家称Oracle和SAP对其身份和访问管理功能明显不同的销售方式反映了这两家行业巨头间长期存在的经营哲学差异。

　　身份和访问管理功能都是Oracle和SAP应用程序安全策略的核心，波士顿AMR研究机构的研究室主任Ian Finley称。但在很大程度上这就是两家长期竞争对手之间的不同之处。

　　Oracle――在过去几年中收购了一些身份和访问管理公司并对其进行整合将其系统作为Fusion Middleware软件包的一部分――希望客户知道其身份和访问管理套件可以单独购买，该套件能与多个厂商的数据库和应用程序共同工作，Finley说。

　　另一方面，SAP将其身份和访问管理功能作为NetWeaver和ECC套件的一部分推向市场，他补充道，即使有客户专门为安全目的购买NetWeaver其数量也极少。

　　“要购买安全系统的客户不会购买NetWeaver，因为事实上该系统相当庞大并被设计为运行整个SAP套件，你不能只是单独购买安全功能，”Finley说。“SAP会称他们有一些公司客户在单独使用NetWeaver，但在其约35000名客户中可能只有不到50名客户在单独使用NetWeaver。

　　在技术方面，SAP寻求一种强健但复杂的安全解决方案，专家称。该方案的安装运行可能非常费时，他们说，但一旦系统就位，无论是与互联网相关的或是其他安全问题都基本不可能出现。专家称Oracle采取了一种相比略为简单的安全问题整体解决方案。

　　“进行SAP的安全配置更为复杂，但在允许用户采取的限制方式方面也更为灵活，”英国Turnkey咨询有限公司的创始董事Richard Hunt说，该公司专注于SAP安全问题。“当然，这种程度的灵活性也给客户带来了共同的问题，即创建难以管理和维护的高度复杂的安全解决方案。”

　　评估应用程序安全的重大威胁

　　身份和访问管理正变得越来越重要，Finley说，尤其是在最近几年中对美国退伍军人事务部和TJX公司这些组织的数据泄露事件的高调报道的冲击下。

　　“身份和访问管理的基本概念就是你需要控制谁实际上能够访问你的系统和数据，”Finley说。“身份和访问管理技术要做的另一件事情就是允许你在系统中快速添加或删除用户。如果华尔街在上午10:02分解雇了80名经纪人，你需要立刻关闭所有这些人的访问。”

　　从系统中迅速删除用户的功能很重要，专家称，因为内部威胁仍是应用程序安全的最大危险之一。“内部安全威胁可能是有意的或是无意的，但无论是哪种情况它们都会对组织造成严重的破坏和经济损失，”Hunt说。“我们经常发现人们忽略了对角色进行配置以适当地限制雇员的访问以及分离不相容的职责――例如进入银行账户细节和运行工资程序。”

　　另一个重要的安全关注焦点是应用程序“后门”，休斯顿企业应用程序咨询机构EnterSys Group LP的常务董事Corwin Slack称。这些后门通常是开发人员为了论断故障而建立的，但它们有时却最终溜入了产品，这时它们可能被用于绕开控制。后门也可能为黑客的恶意程序创建和利用。例如，臭名昭著的Nimda蠕虫就是通过Code Red留下的后门进入系统的。

　　建立生态系统

　　Oracle在解决身份和访问管理的方法上可能更为开放，Finley称，但这并不是说其不希望客户将其身份和访问管理套件作为使用其他Oracle应用程序的基础。他说，Oracle和SAP的一个相似之处就是两家公司都在努力构建一个生态系统，该系统鼓励终端用户和商业合作伙伴在他们各自的应用程序集上进行标准化。

　　“SAP和Oracle真正在做的是摆脱这种应用程序特定的安全解决方案并将其转为一个可被称为安全产品的单独的层，它们可以将此安全产品在各个不同的应用程序中统一应用，”Finley解释道。“它们之所以这样做是因为这样简化了安全管理，同时也创造了利用这些产品创建一个软件厂商生态系统的机会，这些软件厂商将在它们的平台上发布产品。”