身份管理與接入控制指導建議書

身份管理與接入控制指導建議書目錄2身份管理與訪問控制方案介紹電信行業(yè)身份管理與訪問控制需求分析電信行業(yè)身份管理與接入控制需求分析3《身份管理與接入控制指導建議書》主要討論了身份配置或取消身份配置、認證和聯(lián)合、接入控制與用戶配置文件管理、合規(guī)性等幾個重要的身份和訪問管理(IAM)功能。這些功能對于云中身份的有效管理至關(guān)重要。本圖片來自網(wǎng)絡(luò)電信行業(yè)身份管理與接入控制需求分析4隨著電信行業(yè)的迅速發(fā)展，應(yīng)用系統(tǒng)不斷增加，企業(yè)內(nèi)部和外部的用戶數(shù)量在指數(shù)級增長。企業(yè)在進行應(yīng)用系統(tǒng)整合階段，往往忽略了系統(tǒng)的賬號信息整合。而系統(tǒng)整合的一個重要基礎(chǔ)就是帳號信息的統(tǒng)一管理、集中授權(quán)、單點登錄認證和身份安全審計。目前分散的賬號信息管理、密碼管理、授權(quán)管理模式，使得用戶帳號管理、認證授權(quán)工作變得費時而安全漏洞聚集。電信行業(yè)身份管理與接入控制需求分析5應(yīng)用系統(tǒng)繁多，且不同的業(yè)務(wù)系統(tǒng)有獨立的認證、授權(quán)和審計系統(tǒng)，并且由相應(yīng)的系統(tǒng)管理員負責維護和管理。一方面造成用戶賬號的創(chuàng)建，更改，刪除流程復(fù)雜，在用戶管理的工作量不斷加大，另一方面用戶需要記住不同的用戶名和密碼，不但用戶使用不便，登錄和認證信息的經(jīng)常丟失也致使管理員工作負擔加重。電信行業(yè)身份管理與接入控制需求分析6由于缺乏統(tǒng)一的身份管理平臺，難以管理系統(tǒng)運維帳號，超級用戶賬號共享的現(xiàn)象普遍存在。賬號的多人共用，不僅在發(fā)生安全事故時，難確定賬號的實際使用者，在平時也難于對賬號的擴散范園進行控制，容易造成安全漏洞。電信行業(yè)身份管理與接入控制需求分析7每個系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限，缺乏企業(yè)全局的、集中統(tǒng)一的資源授權(quán)管理平臺，無法嚴格按照最小權(quán)限原則分配權(quán)限，系統(tǒng)的安全性無法得到充分保證。電信行業(yè)身份管理與接入控制需求分析8隨著系統(tǒng)的增多，用戶經(jīng)常需要在各個系統(tǒng)之問切換，每次從一個系統(tǒng)切換到另一系統(tǒng)時，都需要輸入相應(yīng)的用戶名和口令進行登錄。給用戶的工作帶來不便，影響了工作效率。用戶為便于記憶口令會采用較簡單或相同的的口令，危害到系統(tǒng)的安全性。電信行業(yè)身份管理與接入控制需求分析9由于各系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的，缺乏集中統(tǒng)一的系統(tǒng)訪問審計。無法對支撐系統(tǒng)進行綜合分析，不能及時發(fā)現(xiàn)入侵和賬號違規(guī)使用行為。身份管理與訪問控制方案介紹10IBM身份管理和訪問控制方案，一個得到國際，國內(nèi)業(yè)界實際驗證的身份管理平臺，通過提供集中的用戶認證和授權(quán)管理來構(gòu)建應(yīng)用的安全域，通過對所有系統(tǒng)中的賬號信息進行整合，使得系統(tǒng)和安全管理人員可以對用戶和各種資源進行集中管理、集中認證、集中權(quán)限分配、集中審計，從技術(shù)上保證安全策略的實施，用戶還可用單一賬號訪問所有需要使用的系統(tǒng)。身份管理與訪問控制方案介紹11IBM身份管理系統(tǒng)統(tǒng)一了用戶信息的管理工作和用戶與實際業(yè)務(wù)之問的關(guān)系。身份管理的主要目的就是讓用戶更方便和更高效地建立用戶在企業(yè)IT環(huán)境中的身份，使得用戶可以盡早地使用企業(yè)的IT資源，為企業(yè)創(chuàng)造價值，它包括了用戶身份的整個生命周期的自動化管理以及圍繞用戶管理的各種業(yè)務(wù)流程的自動化，對于眾多的最終用戶而言，身份管理系統(tǒng)又提供了一個可以自