集中的客户管理:eTrust Directory提供了单一的、分布式和高度安全的客户的账户关系信息库。这些信息和关系通常来自不兼容的遗留系统和办公应用系统。
ISP用户管理:eTrust Directory骨干网能为ISP用户身份、关系、组织和安全细节提供通用参考。
全面的集成:eTrust Directory在集成不兼容的后端办公系统时更显出其价值,它可以提供一个安全、分布式的集中信息存储库。
eTrust OCSPro借助特殊应用政策处理,分布式和负载平衡吞吐量管理以及与目录服务和相关公共密钥基础架构(PKI)元素的强大集成功能,可以提供可伸缩的分布式OCSP responder implementation。eTrust OCSPro作为唯一的商用OCSP Responder在OCSP固有的强大功能之上建立。eTrust OCSPro还拥有用于基础架构内进行成功布置所必需的可操作特性。通过eTrust OCSPro使用OCSP来提供证书信息,能使所有的PKI系统用户明显受益:
对于系统设计人员来说,支持成功实施PKI系统所需的复杂系统规则。可扩展的OCSP支持隐私范围的扩展,这是证书信息检查过程的一部分;可以保护企业隐私,保持所有证书信息事务的详细审计纪录,集中进行客户管理,允许将证书信息保存在目录中,即所有客户和服务信息的中央存储库里。控制取消过程,可通过在目录中保存证书信息或按需发布CRLs来保持实时的证书信息;而对客户来讲,可以简化操作、紧凑审计记录并有效利用带宽。
此外,eTrust OCSPro与eTrust Directory全面集成,能提供实时的状态查阅。使用目录存储配置信息和访问证书状态使OCSP响应器能充分利用与eTrust Directory相关的所有好处,包括发布、性能和复制、可用性等。
eTrust PKI提供了世界级的企业安全访问解决方案,可以满足日益增长的访问控制、私密性和易用性的要求。它提供了企业内的强有力的用户认证和数字证书管理功能,方便了与企业系统的快速集成,为企业提供有效实施PKI所必需的管理能力。eTrust PKI降低了不健全或错误的证书管理所带来的安全风险,同时也了保障最佳安全运营的持续成本。
中国建设银行新疆分行在其银行总控系统的建设中,为加强系统级的安全访问控制,选用了CA的eTrust Access Control 和eTrust Single Sign-On。eTrust Access Control完成了该行关键业务主机上的网络访问控制、用户登录控制、用户权限控制、系统资源访问控制和安全审计。eTrust Single Sign-On主要用于新疆建行系统用户的口令更改和签到服务,目的是减少口令更改和系统签到的工作量,防止人为事故的发生。
据安全专家预测,对用户进行基于角色(ROLE)的管理将成为安全技术的一个发展趋势,CA的身份识别管理正是这样一种基于角色的用户管理。也就是说,管理员无须知道某一员工叫什么名字,而是根据员工在公司的角色和身份来定义。比如做市场的员工,就只能拥有市场部员工的权限;做销售的,就只能访问销售人员才能看到的内容。一旦员工的角色发生变化,管理人员只需要调整员工的角色,对该员工的授权就可以相应地发生变化,而无须一个系统、一个模块地去调整了。因此,基于角色的管理使用起来非常方便。CA在身份识别管理方面还提供了许多工具的集成,包括生物安全识别技术(如虹膜、指纹)、PKI、单点登录等等。用户只要输入自己的识别信息,其他系统的身份识别都可以通过后台来完成,这就大大方便了管理员的管理。
另外,CA还在业界第一个提出了身份识别生命周期管理的概念。对于一个内部用户而言,身份识别的生命周期是指从员工加入公司开始,直到这名员工离开公司的这段时间。一名员工从进入公司开始,最先接触的系统可能是人事系统(HR),然后他会获得门卡、办公设备等工具,然后他还会获得网络的授权,通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商,现在通过CA的身份识别系统,可以把它们都集成起来。这名员工一旦添加到HR系统之后,系统就会自动地生成各种口令和授权,基于WEB的授权也可以在这个流程中一次性完成,而且还会把这名员工在公司里所做的任何访问都记录下来。当这个人离开的时候,我们只要把他从HR系统里删除,身份识别管理系统就会自动地到所有的后台系统中把与这个人有关的授权都删掉,这就避免了漏删、错删事件的发生。这是一个非常自动化的过程。
