CISS要点访问控制.docx

标识是一种能够确保主体（用户、程序或进程）就是它所宣称的那个实体的方法。标识可以通过一些证明来确认，这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识，并且主体的行为被记录在案。逻辑访问控制是用于标识、认证、授权和稽核的工具，它是执行对系统、程序、进程和信息的访问控制策略的软件组件。一个人的身份需要在认证的过程中确定。认证通常包含有两步：输入公共信息（用户名、工作证号、账号或部门ID),然后输入私人信息（固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中，输入公共信息是一个标识的过程，而输入私人信息是一个认证的过程。有三种认证的方式：他知道的内容，他持有的证明，他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。强化认证（strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。在安全领域，确定身份有三个关键因素：唯一性、非描述性和签发。ID卡可认为是一种标识签发形式的安全因素。身份管理包括用不同的产品以自动化方法标识、认证和授权用户，还包括用户账户管理、访问控制、密码管理、单点登录功能、管理用户账户权限，以及审计和监控所有这些项目。安全管理不仅必须理解整个身份管理，而且还必须理解构成整个企业身份管理解决方案的各种技术。管理身份需要管理唯一标识的实体、它们的特征、证书和权利。目录多数目录采用一种分层式的数据库格式，基于X.500标准和某种协议，如轻量级目录访问协议（LDAP)，允许主体和应用程序与目录进行交互。目录中的客体由目录服务管理。目录服务允许管理员配置和管理网络中的标识、认证、授权和访问控制。目录中的客体用命名空间标记和标识。每种目录服务都采用某种方法标识和命名它们管理的客体。在基于由LDAP访问的X.500标准的数据库中，目录服务为每个客体分配标识名（DN)。每个标识名代表与某个客体有关的一组属性，作为一个条目保存在目录中。目录服务管理目录中的条目和数据，并通过实施访问控制和身份管理功能执行配置的安全策略。身份管理中使用的目录是一种为读取和有哪些信誉好的足球投注网站操作而进行过优化的专用数据库软件，它是身份管理解决方案的主要组件。这是因为所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都保存在这一个位置^当其他身份管理软件需要执行它们的功能（授权、访问控制、分配权限）时，就有了一个集中的位置来获取它们所需的信息。许多身份管理产品的主要作用是建立元目录（meta-directory)或虚拟目录（virtual directory)。元目录从不同的来源收集必要的信息，并将它们保存在一个中央目录中，这为企业中所有用户的数字身份信息提供了一个统一的视图。元目录定期与所有身份存储库同步，以确保企业中的所有应用程序和身份管理组件使用必威体育精装版的信息。Web访问管理体系架构通常由一个Web服务器群组（许多台服务器)、一个包含用户账户和属性的目录、一个数据库、若干个防火墙以及一些路由器组成，所有这些设备都采用一种分层的基础架构。WAM工具还提供一个单点登录功能，以便一旦用户在某个Web站点通过认证，他能够访问不同的基于Web的应用程序和资源，而不必多次登录。如果某款产品在Web环境中提供单点登录功能，当用户访问不同的资源时，该产品必须持续追踪用户的认证状态和安全上下文（Security Context)。账户管理产品允许管理员管理不同系统中的用户账户。要求用户提交新账户请求，这个请求通常由员工的经理批准。然后系统自动建立账户，或者生成一个报告，由技术人员创建账户。请求被提交给一位经理(或者任^负责批准请求的人员），经理批准请求，然后再对各种账户进行修改。用户配置（User Provisioning)是指为响应业务流程而创建、维护和删除存在于一个或几个系统、目录或应用程序中的用户对象和属性。用户配置软件中包括以下一个或几个组件：变更传播（Change Propagation)、自助式工作流程、统一化用户管理、委派式用户管理和联合变更控制。用户对象表示员工、承包商、供应商、合作伙伴、客户或其他服务对象。服务包括电子邮件、访问数据库、访问文件系统或大型主机等。建立目录是为了保存用户和资源信息。一个元数据目录从网络的不同位置提取身份信息，允许身份管理流程从这个位置获得完成任务所需的数据。用户管理工具在用户身份的整个生命周期对其进行控制并提供配置。密码管理工具防止因为用户遗忘密码而造成生产力下降。单点登录技术，使内部用户在访问企业资源时只需认证一次。Web访问管理工具为外部用户提供单点登录服务，并控制对基于Web的资源的访问。用户资料更新多数公司并不只是保存与用