通过前期能力建设，集团企业统一身份安全管理体系，具备了适配组织业务协同要求，进行标准化、细粒度、安全高效的身份管理能力。本阶段在此基础上为企业的全面数字化转型，提供身份安全闭环能力建设，帮助企业将身份安全管理体系能力最大化：

• 扩展身份安全管理场景，从业务运营支撑向 IT 运维管理扩展。从保障业务权限和使用安全、向保障数据流转安全延伸；

• 延伸身份权限管理向量，从身份到应用权限的管理能力，延伸至身份到 IT 资产权限的管理能力；

• 身份安全能力闭环，拉通各身份管理系统事前、事中、事后身份安全能力，综合分析判断，形成闭环的身份安全管控能力体系。

此建设阶段芯盾时代 IAM 基座系统通过扩展操作系统用户身份与访问管理系统（OIAM）、网络安全设备运维认证系统（AAA）、用户行为分析系统（UEBA）；为 EIAM 和 UAP 扩展应用账号回收流程和应用权限数据回收流程，并提供应用事后账号、权限合规分析能力；为 SDP 系统扩展运维访问管控能力。整个身份安全管理体系以 IAM 为统一身份基座，以 UEBA 为身份分析策略能力中心，协同运作：

• IAM 作为统一身份基座，为 OIAM、AAA 系统同步供应身份信息，帮助系统适配多维组织用户身份差异。提供统一多因素认证服务供 OIAM、AAA、PAM 系统调用。

• UEBA 作为用户风险策略中心，依托大数据 AI 技术架构，汇总各系统异构用户身份安全数据，综合事前、事中、事后风险特征，判断用户风险，为各系统提供风险处置策略，形成安全体系闭环能力。

• SDP 为用户安全入口、为管理员运维操作提供安全接入和用户端环境数据安全防护；

• 数据安全体系，建立数据存储安全、数据处理安全、数据交换安全、数据销毁安全管控能力，并依托数据安全咨询服务，实现全生命周期数据安全治理。

集团企业 IT 系统方面，此阶段需要集团各业务应用开发账号、权限数据回收接口，与身份安全体系完成数据回收联调；需要为网络设备调整认证所需的 radius/Tacas 协议配置，实现集中登录授权对接；调整各 IT 设备资源的特权账号管理配置，支持特权账号的扫描发现和托管流程。

信创操作系统身份管理（OIAM）能力建设 

为满足集团企业信创改造的发展，芯盾时代操作系统身份管理系统（OIAM）能够帮助企业无感替换 AD 域管系统。具备全面的兼容性，支持各种标准身份协议和组件，兼容集团企业各种信创和非信创操作系统、应用、设备。帮助企业将操作系统用户管理与认证纳入 IAM 统一管理范畴，实现业务域与办公域统一身份统一管理，全面提升身份管理能力。

芯盾时代 OIAM 具备微软 AD 的所有核心能力，提供操作系统的系统加域、账号认证、组策略管理功能，兼容 Windows Server 2008 R2 AD DC 规格，企业可以平滑无感的完成微软 AD 的替换。

凭借对 LDAP、AD、RSAT、Samba 等标准协议和组件全面的支持性，OIAM 能够无缝接入 Ubuntu、CentOS、RedHat 等 Linux 系统和统信 UOS、麒麟 KylinOS 等国产操作系统，以及邮箱、VPN、云桌面、SaaS 应用、有线网络设备等异构的应用和设备。

特权账号管理能力（PAM）建设 

集团企业数字化发展推动 IT 系统的快速建设，IT 资产数量和类型快速增加，特权账号成为对 IT 系统运维使用权限的管理入口哦，并成为运维安全的基本条件。而特权账号分布散，种类杂，数量多，权限高的特点也成为集中管理的难题。

芯盾时代特权账号管理系统（PAM），为企业建立特权账号全生命周期管理体系，帮助企业发现特权账号、管理特权用户、识别账号风险、全局定期改密、完善安全审计，全面提升对特权账号的管理能力。

芯盾时代 PAM 系统内具备国密数字密码保险库、密码管理系统、账号应用集中管理系统三大技术组件：

• 国密数字密码保险库 Vault ：保存特权账户密码、访问控制策略、密码管理策略

• 密码管理系统 CPM ：实现了针对操作系统、网路设备、数据库、Web 应用、目录服务器、中间件等类型密码修改，密码修改成功后保存在 Vault 中

• 账号应用集中管理系统 DSM ：实现对终端类、窗口类、远程桌面、浏览器等资产应用集中管理、授权、访问、审计，从 Vault 中获取用户密码实现密码代填。

网络 IT 运维认证安全能力建设

集团企业数字化程度提升使企业网络不断升级扩容，持续的建设过程形成设备厂家众多、设备在网时间跨度长、服务支撑程度不一的客观情况，并对运维管理带来统一身份安全挑战。

网安设备统一运维认证（AAA）能力建设

芯盾时代通过部署网络安全设备统一运维认证系统（AAA），并对接在 EIAM 安全基座，实现拉通集团多维组织用户身份体系，和多因素统一安全认证能力，为对集团企业对异构网络安全设备管理提供统一认证管理服务。

系统同时支持 Radius 和 Tacas+认证协议，能够兼容华为、华三、思科、深信服、奇安信等主流网安厂商设备，对用户运维登录提供统一的认证、授权、审计功能，防止非法用户登录设备与未授权操作，实现集中、安全的网络设备管理：

• 认证：确认访问网络用户的身份，判断访问者是否合法。

• 授权：对用户赋予权限，限制用户可以使用的服务。

• 计费：记录用户使用网络服务操作，实现网络审计和计费。

IT 系统运维接入安全能力建设

集团企业 IT 系统分布在多个网段，重要性和安全性不同。为满足管理员在内/外网环境，通过一台设备上访问任意（可管控）网段的 IT 系统并运维操作的需求。芯盾时代零信任 SDP 系统提供统一接入控制、和用户端运维工具及数据信息的隔离保护，支撑高效统一的 IT 运维工作的开展，

为此，在 SDP 零信任系统平台已实现能力基础上，扩展管理员 IT 运维安全接入能力。通过扩展用户端安全沙箱，配合各网段零信任网关安全接入能力，在控制器的统一调度下，实现管理员对不同业务域、不同安全级别 IT 应用和 IT 资产进行运维管理所需的统一认证接入、开发运维环境隔离、数据文件隔离需求。

• 通过统一身份管理体系，判断管理员身份和业务管理权限，根据用户授权，为单用户授予多个的安全空间权限。

• 绑定与准入：建立“用户-（单）设备-（多）安全空间-（多）网段”的绑定关系。

• 空间加载：当用户在任意设备上登录客户端时，基于安全沙箱，根据用户授权加载对应的(多个)已授权空间，各沙箱空间分别安全对应系统开发运维工具，并实现数据和文件的运行和存储隔离。

• 数据安全防护：在访问过程中，客户端与服务端建立双向加密隧道，实现数据的安全加密传输。对用户的行为进行管控（拷贝、截图、打印、下载等）。安全空间数据与本地数据隔离，并进行加密处理。

多因素身份安全综合分析（UEBA）闭环能力建设

统一身份安全管理体系为集团企业价值链运作提供了体系化、场景化的各身份安全管理系统和管理能力。各身份管理系统在身份、权限、认证、审计能力各有侧重，而用户身份的使用贯穿企业价值链运作全链条，单一系统难以对用户实体形成立体、全局的风险分析和防控能力。

芯盾时代 UEBA 在集团企业统一身份安全管理体系中，通过对接全面用户身份数据，基于多维度用户综合分析风险分析能力和风险处置策略，串联各身份管理系统，形成闭环身份安全能力体系。

芯盾时代 UEBA 基于大数据 AI 技术能力，根据多因素身份安全方法论，综合分析管理体系用户事前（用户终端环境风险数据、数据安全用户情报数据）、事中（用户实时认证行为、用户业务实时会话）、事后安全信息（各系统审计日志、账号合规审计信息、权限合规审计信息），形成用户风险详情。并通过处置策略联动 IAM、SDP、数据安全体系，通过认证授权、会话控制、数据流转控制的不同控制能力层级，对用户形成身份安全立体闭环控制能力。

为实现接入统一身份安全体系异构用户安全数据，综合分析事前、事中、事后差异化风险特征，形成立体风控策略的目的，芯盾时代 UEBA 提供了由数据接入、指标计算、双擎驱动的用户风险研判系统架构：

• 数据接入子系统：提供对各管理系统数据对接机制，接入实时、离线用户身份数据，管理数据接入范围，进行数据清洗、去重标准化处理。

• 指标计算系统：基于流式计算引擎，对接风险分析引擎和机器学习模型数据消费需求，对大时间跨度异构数据进行指标预计算。

• 风险分析引擎：以场景化规则策略，对用户业务全流程提供多维度风险判断。

• 机器学习引擎：通过场景化机器学习模型，挖掘用户隐藏风险，分析用户习惯特征。

• 风险管理子系统：综合双擎判断结果，联动统一身份管理体系各系统，提供用户风险综合处置策略，和用户风险态势分析能力。