统一认证身份系统在管理上满足企业安全合规性要求

shilu

　　认证服务
　　员工可以代表身份的唯一标识在系统与系统、用户与系统、用户与用户之间建立起一种信任关系,从而保证了系统的安全性。人员的认证标识包含：手机、指纹、人脸、互联网账号（QQ、微信、微博、支付宝等）、工号、AD账号、邮箱、门禁卡、一卡通账号等；
　　认证内容包含员工的身份信息、员工的办公环境。员工的应用系统访问权限。人们需要既能保护住隐私又能验明自身的方法，我们需要通过人员的信息能够清晰描绘出人员的画像，以便确立该员工的身份：
　　1. 通过员工指纹、人脸能够判断该人员是为我企业员工，还是外部访客；
　　2. 通过员工****面貌、工龄、岗级、荣誉证书、职称等信息判断该员工可以享受什么样的公司福利、社会福利、国家福利、社会公益活动等；
　　3. 通过员工手机号码、支付宝、微信等信息判断该员工是否可以进入内部停车场停车并支付，饭堂吃饭付费等；
　　4. 通过工卡、指纹、人脸等信息判断该员工可以办公的楼层、可以使用的办公电话、办公PC、打印机、可以访问的应用系统等；
　　5. 员工通过指纹识别可以使用公共PC、公共电话、打印机等公共资源
　　认证方式的发展历程：LADP目录服务--->集中身份验证服务--->双因子认证2FA--->多因素认证MFA--->生物特征身份认证-->…；
　　目前流行的认证手段包含：AD域、Kerberos、OpenLdap、CA、U-Key、OTP、SMS、人脸、指纹、IOT、Oauth、CAS、OIDC、LTPA、SAML等等。
　　企业保护
　　统一认证身份系统的建设目标是为企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务,管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理,有效提高整个企业的管理和运行效率，并使企业在管理上满足企业安全合规性要求。
　　1、授权清晰
　　1) 临时访客应该授权哪些楼层；可以连接哪个网络
　　2) 出差的到下属单位或集团的员工可以访问哪些楼层
　　3) 退休返聘人员可以访问哪些协同办公系统
　　4) 外服人员人员使用哪些办公电话、打印机
　　5) 员工自身清晰自己访问的系统权限
　　2、安全审计
　　1) 避免了传统认证方式所带来的弱口令风险
　　2) 人员离职后及时关闭所有权限避免恶意访问所带来的数据泄露风险
　　3) 清晰统计各单位、各部门、各人员的权限开通情况
　　4) 清晰统计各部门人员打印机打印次数、打印纸张
　　3、规范性
　　1) 建立各类人员生命周期管理规范制度
　　2) 建立应用系统权限安全访问规范
　　3) 建立IDC服务器等特权账号访问安全规范
　　4) 所有特权账号密码统一管理、定期改密、使用前申请、使用中监控、使用后审计
　　5) 避免系统中影子账号、僵尸账号存在