CA身份认证解决方案介绍

面对新的安全挑战，企业用户需要实施整体的安全管理策略。在整体的安全策略下面，企业的IT安全将于ERP、HR、e-mail等业务系统更加紧密地集成起来，并通过一个统一的、可视化的安全总控中心来把任何可能的安全漏洞（物理安全和信息安全）都管理起来，从而极大地降低管理者的工作量和管理难度，形成一个整体地安全管理体系。这就是CA的eTrust整体安全管理解决方案所提倡的内容。

在整体的安全管理下面，管理员无需考虑在统一的安全策略之下使用的功能模块来自哪一家厂商，各个安全环节中的所有功能都将集成在统一的可视化的界面中。当进行一次病毒的升级，或者创建和删除一个用户，对其一用户的安全审计和跟踪等任务时，管理员只须进行一次操作，即可自动对所有关联的模块和系统进行相应的设定和改变。通过这样的管理手段，企业将可以减少维护费用，节省管理时间，降低对管理人员的技术要求，同时又能及时反映企业各个地方的安全漏洞。

在这里，我们先看一个例子：

一个员工离开原公司半年后，他仍然还能通过原来的账户访问有关的信息和资源，原来的e-mail信箱也可以照样使用。为什么？因为这名员工离开公司后，人事部门虽然已经将他除了名，但在IT系统里面相应的多个用户授权却没有被及时删掉。据统计，每个员工在公司里注册的用户最多达17个之多，如e-mail账号、登录内部网络账号、访问企业特定应用的账号等。当员工数量越来越多时，管理员是不可能对每一个离开公司的员工的系统账号进行彻底删除的。只要留下一个没有删除的账号，就会给系统留下后门。这就是CA的身份识别所要解决的问题。

对用户的身份识别管理分为两个方面，一是企业内部的用户，二是来自企业外部的用户，即合作伙伴和供应商等。相对而言，对内部用户的访问管理比对外部用户的管理来得容易，原因在于当外部用户访问公司资源的时候，大部分都是通过WEB。而通过Intranet对内部用户的管理容易实现，但对Internet的外部用户的管理却困难得多。而CA是当前唯一一家可以同时对这两种用户都进行管理的厂商。

CA公司eTrust 身份识别管理解决方案可以管理企业身份识别的各个环节，自员工工作、合作伙伴签约客户访问系统开始，就追踪和管理所有关系。而随着身份的变更，eTrust身份识别管理可以自动实现所要求的系统访问变更，并且启动所有的工作流程和批准过程。

eTrust身份识别解决方案包括：

eTrust Admin: 跨企业安全系统和目录提供简便的、高效的身份识别和资源管理。

eTrust Single Sign-on: 自动实现用户对企业应用和系统的安全访问。

eTrust Directory : 为大规模、业务关键型目录服务应用程序提供一个极具伸缩性的库方案。

eTrust OCSPro: 提供一个可扩展的分布式在线证书状态协议响应器。

eTrust PKI: 为商业交易提供一个可靠、可信赖的机制。

eTrust Admin采用CA的成熟技术，可以为企业范围内的用户管理提供强有力的可扩展解决方案。此解决方案可通过单个的用户界面在地理分布广泛的多个安全系统和目录上提供端到端的管理。这一强大的工具能够生成、修改和删除多个环境中的用户和相关对象，提供基于角色的管理，保证整个企业内安全等级的统一，可以有效地跟踪安全设置，同时可以简化机构和人员变化带来的全局修改。

eTrust Admin能为企业提供立竿见影的优势：

降低管理费用。eTrust Admin缩短了花费在用户和账号管理上的时间，降低了相关费用。系统管理员只需作一次修改然后这些修改即可自动配置和应用到企业内所有相应目录。只管的图形界面也使得eTrust Admin容易操作，最大程度降低了培训成本。

提供生产效率和反映能力。由于该解决方案在提供自动批示流程、基于策略的方法和“海量”变更功能的同时，提供了单一地点和形式的管理，管理员能对企业结构的变化做出快速相应，并将反映时滞最小化。

在当今分布式计算环境中，用户每天都需要登录到许多不同的应用和系统。每个系统一般都要求遵照一定的安全程序，即要求用户输入用户ID和口令。用户访问的系统越多，出错的可能性就越大，安全性相应地也就越低。在互联网上，如果对某公司站点的访问过于复杂或者被认为是不安全的，那么，客户或合作伙伴就可能会减少他们的交易量，这就将有损这家公司的底线营收。

eTrust. Single Sign-On能通过一次登录自动访问包括Web在内的所有授权的企业级应用和系统，从而提高了整体安全性。这一解决方案使用户无需记忆多种登录过程、用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率和利润。

借助eTrust Single Sign-On，用户只需一次认证—— 无论是用户ID 和口令或数字证书，一旦认证完成，用户就能访问所有被授权的系统，包括客户机/服务器和基于Web 的技术。系统或安全管理员无需修改或干涉用户登录就能实施安全控管。在多种关键的第三方用户认证方法的支持下， eTrust Single Sign-On 使管理员能够根据被保护资源的敏感程度加强和定制登录过程。

eTrust Directory是业界依靠的适用于大规模业务关键型目录服务应用的解决方案。eTrust Directory是唯一通过使用商用RDBMS提供有保障的性能和可靠性的目录解决方案，可支持超过一百万条项目以及每秒1000次的搜索。

eTrust Directory可为客户提供众多的功能：

客户论证和授权：eTrust Directory凭借其骨干结构，能够通过利用数字证书和智能卡进行客户认证，从而保护Internet访问服务，而且处理速率非常高。

集中的客户管理：eTrust Directory提供了单一的、分布式和高度安全的客户的账户关系信息库。这些信息和关系通常来自不兼容的遗留系统和办公应用系统。

ISP用户管理：eTrust Directory骨干网能为ISP用户身份、关系、组织和安全细节提供通用参考。

全面的集成：eTrust Directory在集成不兼容的后端办公系统时更显出其价值，它可以提供一个安全、分布式的集中信息存储库。

eTrust OCSPro借助特殊应用政策处理，分布式和负载平衡吞吐量管理以及与目录服务和相关公共密钥基础架构（PKI）元素的强大集成功能，可以提供可伸缩的分布式OCSP responder implementation。eTrust OCSPro作为唯一的商用OCSP Responder在OCSP固有的强大功能之上建立。eTrust OCSPro还拥有用于基础架构内进行成功布置所必需的可操作特性。通过eTrust OCSPro使用OCSP来提供证书信息，能使所有的PKI系统用户明显受益：

对于系统设计人员来说，支持成功实施PKI系统所需的复杂系统规则。可扩展的OCSP支持隐私范围的扩展，这是证书信息检查过程的一部分；可以保护企业隐私，保持所有证书信息事务的详细审计纪录，集中进行客户管理，允许将证书信息保存在目录中，即所有客户和服务信息的中央存储库里。控制取消过程，可通过在目录中保存证书信息或按需发布CRLs来保持实时的证书信息；而对客户来讲，可以简化操作、紧凑审计记录并有效利用带宽。

此外，eTrust OCSPro与eTrust Directory全面集成，能提供实时的状态查阅。使用目录存储配置信息和访问证书状态使OCSP响应器能充分利用与eTrust Directory相关的所有好处，包括发布、性能和复制、可用性等。

eTrust PKI提供了世界级的企业安全访问解决方案，可以满足日益增长的访问控制、私密性和易用性的要求。它提供了企业内的强有力的用户认证和数字证书管理功能，方便了与企业系统的快速集成，为企业提供有效实施PKI所必需的管理能力。eTrust PKI降低了不健全或错误的证书管理所带来的安全风险，同时也了保障最佳安全运营的持续成本。

中国建设银行新疆分行在其银行总控系统的建设中，为加强系统级的安全访问控制，选用了CA的eTrust Access Control 和eTrust Single Sign-On。eTrust Access Control完成了该行关键业务主机上的网络访问控制、用户登录控制、用户权限控制、系统资源访问控制和安全审计。eTrust Single Sign-On主要用于新疆建行系统用户的口令更改和签到服务，目的是减少口令更改和系统签到的工作量，防止人为事故的发生。

据安全专家预测，对用户进行基于角色（ROLE）的管理将成为安全技术的一个发展趋势，CA的身份识别管理正是这样一种基于角色的用户管理。也就是说，管理员无须知道某一员工叫什么名字，而是根据员工在公司的角色和身份来定义。比如做市场的员工，就只能拥有市场部员工的权限；做销售的，就只能访问销售人员才能看到的内容。一旦员工的角色发生变化，管理人员只需要调整员工的角色，对该员工的授权就可以相应地发生变化，而无须一个系统、一个模块地去调整了。因此，基于角色的管理使用起来非常方便。CA在身份识别管理方面还提供了许多工具的集成，包括生物安全识别技术（如虹膜、指纹）、PKI、单点登录等等。用户只要输入自己的识别信息，其他系统的身份识别都可以通过后台来完成，这就大大方便了管理员的管理。

另外，CA还在业界第一个提出了身份识别生命周期管理的概念。对于一个内部用户而言，身份识别的生命周期是指从员工加入公司开始，直到这名员工离开公司的这段时间。一名员工从进入公司开始，最先接触的系统可能是人事系统（HR），然后他会获得门卡、办公设备等工具，然后他还会获得网络的授权，通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商，现在通过CA的身份识别系统，可以把它们都集成起来。这名员工一旦添加到HR系统之后，系统就会自动地生成各种口令和授权，基于WEB的授权也可以在这个流程中一次性完成，而且还会把这名员工在公司里所做的任何访问都记录下来。当这个人离开的时候，我们只要把他从HR系统里删除，身份识别管理系统就会自动地到所有的后台系统中把与这个人有关的授权都删掉，这就避免了漏删、错删事件的发生。这是一个非常自动化的过程。