面對新的安全挑戰，企業用戶需要實施整體的安全管理策略。在整體的安全策略下面，企業的IT安全將于ERP、HR、e-mail等業務系統更加緊密地集成起來，并通過一個統一的、可視化的安全總控中心來把任何可能的安全漏洞（物理安全和信息安全）都管理起來，從而極大地降低管理者的工作量和管理難度，形成一個整體地安全管理體系。這就是CA的eTrust整體安全管理解決方案所提倡的內容。

在整體的安全管理下面，管理員無需考慮在統一的安全策略之下使用的功能模塊來自哪一家廠商，各個安全環節中的所有功能都將集成在統一的可視化的界面中。當進行一次病毒的升級，或者創建和刪除一個用戶，對其一用戶的安全審計和跟蹤等任務時，管理員只須進行一次操作，即可自動對所有關聯的模塊和系統進行相應的設定和改變。通過這樣的管理手段，企業將可以減少維護費用，節省管理時間，降低對管理人員的技術要求，同時又能及時反映企業各個地方的安全漏洞。

在這里，我們先看一個例子：

一個員工離開原公司半年后，他仍然還能通過原來的賬戶訪問有關的信息和資源，原來的e-mail信箱也可以照樣使用。為什么？因為這名員工離開公司后，人事部門雖然已經將他除了名，但在IT系統里面相應的多個用戶授權卻沒有被及時刪掉。據統計，每個員工在公司里注冊的用戶最多達17個之多，如e-mail賬號、登錄內部網絡賬號、訪問企業特定應用的賬號等。當員工數量越來越多時，管理員是不可能對每一個離開公司的員工的系統賬號進行徹底刪除的。只要留下一個沒有刪除的賬號，就會給系統留下后門。這就是CA的身份識別所要解決的問題。

對用戶的身份識別管理分為兩個方面，一是企業內部的用戶，二是來自企業外部的用戶，即合作伙伴和供應商等。相對而言，對內部用戶的訪問管理比對外部用戶的管理來得容易，原因在于當外部用戶訪問公司資源的時候，大部分都是通過WEB。而通過Intranet對內部用戶的管理容易實現，但對Internet的外部用戶的管理卻困難得多。而CA是當前唯一一家可以同時對這兩種用戶都進行管理的廠商。

CA公司eTrust 身份識別管理解決方案可以管理企業身份識別的各個環節，自員工工作、合作伙伴簽約客戶訪問系統開始，就追蹤和管理所有關系。而隨著身份的變更，eTrust身份識別管理可以自動實現所要求的系統訪問變更，并且啟動所有的工作流程和批準過程。

eTrust身份識別解決方案包括：

eTrust Admin: 跨企業安全系統和目錄提供簡便的、高效的身份識別和資源管理。

eTrust Single Sign-on: 自動實現用戶對企業應用和系統的安全訪問。

eTrust Directory : 為大規模、業務關鍵型目錄服務應用程序提供一個極具伸縮性的庫方案。

eTrust OCSPro: 提供一個可擴展的分布式在線證書狀態協議響應器。

eTrust PKI: 為商業交易提供一個可靠、可信賴的機制。

eTrust Admin采用CA的成熟技術，可以為企業范圍內的用戶管理提供強有力的可擴展解決方案。此解決方案可通過單個的用戶界面在地理分布廣泛的多個安全系統和目錄上提供端到端的管理。這一強大的工具能夠生成、修改和刪除多個環境中的用戶和相關對象，提供基于角色的管理，保證整個企業內安全等級的統一，可以有效地跟蹤安全設置，同時可以簡化機構和人員變化帶來的全局修改。

eTrust Admin能為企業提供立竿見影的優勢：

降低管理費用。eTrust Admin縮短了花費在用戶和賬號管理上的時間，降低了相關費用。系統管理員只需作一次修改然后這些修改即可自動配置和應用到企業內所有相應目錄。只管的圖形界面也使得eTrust Admin容易操作，最大程度降低了培訓成本。

提供生產效率和反映能力。由于該解決方案在提供自動批示流程、基于策略的方法和“海量”變更功能的同時，提供了單一地點和形式的管理，管理員能對企業結構的變化做出快速相應，并將反映時滯最小化。

在當今分布式計算環境中，用戶每天都需要登錄到許多不同的應用和系統。每個系統一般都要求遵照一定的安全程序，即要求用戶輸入用戶ID和口令。用戶訪問的系統越多，出錯的可能性就越大，安全性相應地也就越低。在互聯網上，如果對某公司站點的訪問過于復雜或者被認為是不安全的，那么，客戶或合作伙伴就可能會減少他們的交易量，這就將有損這家公司的底線營收。

eTrust. Single Sign-On能通過一次登錄自動訪問包括Web在內的所有授權的企業級應用和系統，從而提高了整體安全性。這一解決方案使用戶無需記憶多種登錄過程、用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產效率和利潤。

借助eTrust Single Sign-On，用戶只需一次認證—— 無論是用戶ID 和口令或數字證書，一旦認證完成，用戶就能訪問所有被授權的系統，包括客戶機/服務器和基于Web 的技術。系統或安全管理員無需修改或干涉用戶登錄就能實施安全控管。在多種關鍵的第三方用戶認證方法的支持下， eTrust Single Sign-On 使管理員能夠根據被保護資源的敏感程度加強和定制登錄過程。

eTrust Directory是業界依靠的適用于大規模業務關鍵型目錄服務應用的解決方案。eTrust Directory是唯一通過使用商用RDBMS提供有保障的性能和可靠性的目錄解決方案，可支持超過一百萬條項目以及每秒1000次的搜索。

eTrust Directory可為客戶提供眾多的功能：

客戶論證和授權：eTrust Directory憑借其骨干結構，能夠通過利用數字證書和智能卡進行客戶認證，從而保護Internet訪問服務，而且處理速率非常高。

集中的客戶管理：eTrust Directory提供了單一的、分布式和高度安全的客戶的賬戶關系信息庫。這些信息和關系通常來自不兼容的遺留系統和辦公應用系統。

ISP用戶管理：eTrust Directory骨干網能為ISP用戶身份、關系、組織和安全細節提供通用參考。

全面的集成：eTrust Directory在集成不兼容的后端辦公系統時更顯出其價值，它可以提供一個安全、分布式的集中信息存儲庫。

eTrust OCSPro借助特殊應用政策處理，分布式和負載平衡吞吐量管理以及與目錄服務和相關公共密鑰基礎架構（PKI）元素的強大集成功能，可以提供可伸縮的分布式OCSP responder implementation。eTrust OCSPro作為唯一的商用OCSP Responder在OCSP固有的強大功能之上建立。eTrust OCSPro還擁有用于基礎架構內進行成功布置所必需的可操作特性。通過eTrust OCSPro使用OCSP來提供證書信息，能使所有的PKI系統用戶明顯受益：

對于系統設計人員來說，支持成功實施PKI系統所需的復雜系統規則?？蓴U展的OCSP支持隱私范圍的擴展，這是證書信息檢查過程的一部分；可以保護企業隱私，保持所有證書信息事務的詳細審計紀錄，集中進行客戶管理，允許將證書信息保存在目錄中，即所有客戶和服務信息的中央存儲庫里。控制取消過程，可通過在目錄中保存證書信息或按需發布CRLs來保持實時的證書信息；而對客戶來講，可以簡化操作、緊湊審計記錄并有效利用帶寬。

此外，eTrust OCSPro與eTrust Directory全面集成，能提供實時的狀態查閱。使用目錄存儲配置信息和訪問證書狀態使OCSP響應器能充分利用與eTrust Directory相關的所有好處，包括發布、性能和復制、可用性等。

eTrust PKI提供了世界級的企業安全訪問解決方案，可以滿足日益增長的訪問控制、私密性和易用性的要求。它提供了企業內的強有力的用戶認證和數字證書管理功能，方便了與企業系統的快速集成，為企業提供有效實施PKI所必需的管理能力。eTrust PKI降低了不健全或錯誤的證書管理所帶來的安全風險，同時也了保障最佳安全運營的持續成本。

中國建設銀行新疆分行在其銀行總控系統的建設中，為加強系統級的安全訪問控制，選用了CA的eTrust Access Control 和eTrust Single Sign-On。eTrust Access Control完成了該行關鍵業務主機上的網絡訪問控制、用戶登錄控制、用戶權限控制、系統資源訪問控制和安全審計。eTrust Single Sign-On主要用于新疆建行系統用戶的口令更改和簽到服務，目的是減少口令更改和系統簽到的工作量，防止人為事故的發生。

據安全專家預測，對用戶進行基于角色（ROLE）的管理將成為安全技術的一個發展趨勢，CA的身份識別管理正是這樣一種基于角色的用戶管理。也就是說，管理員無須知道某一員工叫什么名字，而是根據員工在公司的角色和身份來定義。比如做市場的員工，就只能擁有市場部員工的權限；做銷售的，就只能訪問銷售人員才能看到的內容。一旦員工的角色發生變化，管理人員只需要調整員工的角色，對該員工的授權就可以相應地發生變化，而無須一個系統、一個模塊地去調整了。因此，基于角色的管理使用起來非常方便。CA在身份識別管理方面還提供了許多工具的集成，包括生物安全識別技術（如虹膜、指紋）、PKI、單點登錄等等。用戶只要輸入自己的識別信息，其他系統的身份識別都可以通過后臺來完成，這就大大方便了管理員的管理。

另外，CA還在業界第一個提出了身份識別生命周期管理的概念。對于一個內部用戶而言，身份識別的生命周期是指從員工加入公司開始，直到這名員工離開公司的這段時間。一名員工從進入公司開始，最先接觸的系統可能是人事系統（HR），然后他會獲得門卡、辦公設備等工具，然后他還會獲得網絡的授權，通過授權訪問公司的資源。這些不同的應用系統可能來自于不同的廠商，現在通過CA的身份識別系統，可以把它們都集成起來。這名員工一旦添加到HR系統之后，系統就會自動地生成各種口令和授權，基于WEB的授權也可以在這個流程中一次性完成，而且還會把這名員工在公司里所做的任何訪問都記錄下來。當這個人離開的時候，我們只要把他從HR系統里刪除，身份識別管理系統就會自動地到所有的后臺系統中把與這個人有關的授權都刪掉，這就避免了漏刪、錯刪事件的發生。這是一個非常自動化的過程。