< Terminology >
IAM專業術語庫
我們使用的身份和訪問管理術語及概念的在線定義
-
IAM
IAM
Identity and Access Management,身份管理與訪問控制,能有效控制人或物等不同類型用戶訪問行為和權限的技術框架,是一套全面的身份治理體系,包含身份管理、訪問權限控制、身份認證、自適應的多因素智能融合認證、電子身份創建與回收的自動化管控、訪問行為審計、權限互斥的合規管理以及確保實時預警和有效防范的風險管理機制。 -
身份聯邦
身份聯邦
Identity Federation,指多個應用間進行身份互信,實現身份聯邦認證。 -
2C管理
2C管理
To Customers,指對企業擁有消費者、客戶的身份管理。 -
2B管理
2B管理
To Business Partners,指對企業經銷商、供應商等合作伙伴的身份管理。 -
社交認證
社交認證
指應用身份驗證通過與社交軟件互信,用社交軟件進行身份驗證的技術,如微信、QQ、微博、釘釘等。 -
用戶畫像
用戶畫像
提供多維度基礎屬性、到訪意圖及行業變化趨勢,幫助用戶洞悉目標群體,鎖定熱點走向,優化內容運營,并可通過全網分析洞察潛在流量,深度挖掘畫像價值。 -
數字身份
數字身份
Digital Identity,在數字世界中,通過IAM技術將物理世界身份與數字世界的身份進行映射,是個人、組織或設備在網絡空間中使用的在線或網絡身份。 -
SCIM
SCIM
System for Cross-domain Identity Management,是一種開放標準旨在簡化身份數據的推送和管理。在不同數據存儲的系統之間,特別是不同域下的SaaS應用之間,以快速、便捷、成本較低的方式實現身份數據同步的需求越來越多。 -
身份認證
身份認證
通過CA數字證書、指紋、動態口令等不同的安全認證方式解決“你是誰”的身份驗證與識別問題。 -
2E管理
2E管理
To Employees,指對企業內部員工的身份管理。 -
融合認證
融合認證
旨在打造一套通用的認證平臺,組織可以通過統一架構快速獲取不同的認證方法(包括生物識別認證、非生物認證、標準認證協議)新的認證服務即插即用,并可提供統一API,一次對接,全局使用,同時框架提供靈活認證編排、認證安全等級劃分,方便組織靈活調度認證方式。 -
設備指紋
設備指紋
指可以用于唯一標識出該設備的設備特征或者獨特的設備標識,通過獲取關聯設備的硬件、系統、網絡、狀態等信息,通過專有加密算法,賦予其唯一的設備標識符,并注冊為信任設備,將用戶身份與設備指紋信息進行關聯、綁定,提升認證安全等級。 -
IDM
IDM
Identity Management,身份管理,是指用于識別、認證、授權個人或團體的管理流程。 -
CAS
CAS
Central Authentication Service,中央認證服務,是耶魯大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法。 -
身份憑證
身份憑證
指用戶用以獲取信息資源訪問權的標識,如用戶的口令、公鑰基礎設施(PKI)證書,生物特征信息(指紋、虹膜、人臉、聲紋等)。 -
IoT身份管理
IoT身份管理
是指對物聯網設備的管理,實現人與物、物與物的身份管控,實現對物品、設備身份的智能化感知、識別和管理。 -
FIDO
FIDO
Fast IDentity Online,是一套輕量級身份鑒別框架協議,由U2F(Universal Second Factor,通用第二因素)、UAF (Universal Authentication Framework,通用認證框架)、FIDO2協議構成。 -
UBA
UBA
User Behavior Analytics,用戶行為分析,指基于特定規則、機器學習算法等技術對用戶行為進行全面分析,可在身份欺詐、金融詐騙、敏感數據訪問、精準營銷等場景應用。 -
AM
AM
Access Management,指用于控制網絡訪問過程的技術。為防止對信息系統的未經授權的訪問,應當有正規的程序來控制對信息系統和服務的訪問權限分配。 -
OAuth2.0
OAuth2.0
是一個開放標準,允許用戶授權第三方移動應用訪問他們存儲在另外的服務提供者上的信息,而不需要將用戶名和密碼提供給第三方移動應用或分享他們數據的所有內容。 -
孤兒賬號
孤兒賬號
又稱幽靈賬號,系統中存在但無法被關聯到具體人員的賬號。 -
用戶生命周期管理
用戶生命周期管理
是指維護和更新數字身份的一整套過程和技術,實現員工入職、調崗、離職、返聘、退休等人事變動過程中身份同步、配置、撤銷和對用戶屬性、憑證及權益的管理,實現企業數字身份的常態化、精準化、自動化、安全化管理。 -
ABAC
ABAC
Attribute Base Access Control,基于屬性的訪問控制,是將訪問控制的主體、客體、環境、行為的相關屬性作為策略依據,對系統內部實體安全特征進行統一建模,通過屬性間關系的定義來描述授權和訪問控制約束,支持細粒度和大規模的訪問控制。 -
有效賬號
有效賬號
指可關聯到具體人員且經常使用,同時需滿足組織內部賬號管理規范。 -
AD
AD
Active Directory,是指Windows服務器操作系統中的目錄服務, 提供了一系列集中管理和訪問網絡資源的目錄服務功能。 -
TBAC
TBAC
是指維護和更新數字身份的一整套過程和技術,實現員工入職、調崗、離職、返聘、退休等人事變動過程中身份同步、配置、撤銷和對用戶屬性、憑證及權益的管理,實現企業數字身份的常態化、精準化、自動化、安全化管理。 -
IDaaS
IDaaS
Identity as a Service,旨在為組織提供統一身份管理、統一認證、單點登錄、智能風險控制、安全合規審計、身份大數據等云端身份安全服務能力,保護企業的一切連接,為數字身份安全賦能,實現為互聯網應用、企業自建應用及云端SaaS應用身份安全保駕護航。 -
RBAC
RBAC
Role-Based Access Control,基于角色的訪問控制,權限與角色相關聯,用戶通過被授予適當角色而獲得角色對應的權限。 -
SSO
SSO
Single Sign On,單點登錄,是一種幫助用戶快捷訪問網絡中多個站點的安全通信技術,認證一次即可訪問有權限的其它應用系統,不需記憶多個口令密碼。 -
SAML
SAML
Security Assertion Markup Language,安全聲明標記語言,是一個基于XML的標準,用于在不同的安全域(之間交換認證和授權數據。在SAML標準定義了身份提供者(Identity provider)和服務提供者(service provider),這兩者構成了不同的安全域。SAML是OASIS組織安全服務技術委員會的產品。 -
重復賬號
重復賬號
指在應用系統有一個以上賬號被同時使用。 -
權限管理
權限管理
指根據系統設置的安全規則或者安全策略,用戶可以訪問而且只能訪問自己被授權的資源,權限管理分為功能級權限管理、數據級權限管理。 -
僵尸賬號
僵尸賬號
指賬號被關聯至具體人員,但長期未被使用且賬號狀態正常,如離職賬號。 -
PAM
PAM
Privilege Account Management,特權賬號管理,指對系統運維賬號包括服務器、中間件、數據庫、網絡安全設備、防火墻等賬號進行生命周期管控,實現事前預警、事中阻斷、事后審計三種維度的安全保護。 -
LDAP
LDAP
Lightweight Directory Access Protocol,是一種基于X.500的跨平臺標準協議,能夠提供非匿名的訪問方式和不同層次的訪問控制來確保事務的安全,是身份認證領域中經常使用的技術。
< REGULATIONS >
政策與行業法規
國際、國內相關政策法規對身份安全都有明確要求
-
《中國網絡安全法》
《網絡安全法》明確提出,國家實施網絡可信身份戰略,網絡可信身份認證體系是網絡安全的核心。支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。推動已有的網絡身份認證體系的互聯互通,建立跨平臺的網絡可信身份體系。
-
《國家網絡安全等級2.0標準》
2019年5月10日,網絡安全等級保護制度2.0標準正式發布,實施時間為2019年12月1日。國標等保2.0的身份安全標準分三部分:身份鑒別、訪問控制、安全審計。
-
《GDPR-通用數據保護條例》
GDPR要求所有組織對個人數據的使用,必須征得個人的同意,而且個人可隨時收回使用權;要求企業必須梳理其當前個人信息資產分布,確保用戶有唯一地方可以修正這些信息;在用戶的要求下,用戶數據可以從一個組織轉移到其他組織。
-
《PSD2》
PSD2是從支付層面,把一些特特性開放給消費者。PSD2對安全要求的環節非常多,包含用戶、終端、邊緣、框架。基礎架構還包括了CIA、加密。PSD2將風險分析作為必須驗證的環節。風險要素包含物理位置、IP地址、工作時間、設備ID、設備指紋、用戶屬性等。
< RIGID DEMAND >
為什么IAM是各行業的剛需
-
政務領域
政務數據共享是基礎,數據安全是重中之重。
-
制造行業
通過IAM體系,打造可信設備、可信用戶與可信產品的全鏈條身份安全體系。
-
軍工行業
信息技術自主可控是保障網絡主權、維護信息安全的前提。
-
汽車行業
建立以客戶為中心的生態系統,利用大數據驅動企業管理智能化。
-
地產行業
身份管理,互聯互通,賦能地產行業數字化轉型。
-
建筑行業
建立以工程項目為中心的身份安全管控體系。
