芯盾时代具备全栈零信任身份安全产品和服务能力：

芯盾时代IAM能够适配大企业用户复杂的应用访问需求，提供云端、互联网端、企业内网全场景的身份访问安全接入能力；

芯盾时代IAM能够理解大企业用户的身份差异，为内部用户、合作方和生态链伙伴、外部等用户提供丰富、安全、便捷的访问授权和认证服务；

芯盾时代IAM能够兼容大企业复杂的IT环境，对各类核心IT资产提供集中的身份访问控制能力，支持大企业信创发展，保护企业IT资产投资；

芯盾时代IAM能够帮助企业打通割裂的身份管理流程，规范企业身份管理体系，简化企业身份运维操作，助力企业实现新质生产力的效率提升。

全栈零信任授权模型

大企业提升生产运营流程数字化运转效率的同时，也面临内外部复杂用户使用业务系统潜在的业务和数据泄露风险。企业统一身份管理体系需要能够对用户进行自动化细粒度授权，并对用户业务访问过程中用户终端、网络链路、应用负载、API、服务器等各业务环节，进行实时动态授权控制，确保授予最小安全权限。

为满足企业权限管理工作的灵活性、准确性、自动化需求，身份授权控制模型也在持续演化，通常认为演进路线是ACL-RBAC-ABAC-PBAC。

芯盾时代IAM系统立足零信任安全体系，除支持ACL、RBAC、ABAC、PBAC权限控制模型外，为实现对用户业务全流程持续进行最小安全授权控制的目标，内置CARTA安全框架流程，并通过切面控制机制，落地PBAC和CARTA模型的权限控制措施。能够满足不同用户、全业务场景、全业务流程权限控制需求。

• ACL（访问控制列表）模型能力：芯盾时代IAM对应用资源，维护和管理权限定义列表，记录可以对这项资源执行操作（只读/读写/执行等）的用户权限关系。企业应用不再维护用户权限关系数据。当用户访问应用资源时，应用向IAM申请，并检查这个列表中是否有关于当前用户的访问权限，从而确定当前用户可否执行相应的操作。
• RBAC（基于角色的访问控制）模型能力：是实施面向企业安全策略的一种有效的访问控制方式。芯盾时代IAM系统管理的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。将用户和权限进行分离，彼此相互独立，使权限的授予更加灵活。能够适配企业细粒度的授权管理需求。
• ABAC（基于属性的访问控制）模型能力：ABAC使用实体属性核心概念对主体、客体、权限及授权约束进行统一定义管理。芯盾时代IAM系统管理支持通过为四类属性定义和约束用户权限和访问：主体属性（如用户通过部门、岗位、职级等主体属性定义的用户组），环境属性（如访问 IP、访问时间等），行为属性（异常登录、异常操作、高频行为等）和对象属性（应用类型等），并实现灵活和可扩展的访问权限控制。
• PBAC（基于策略的访问控制）模型能力：PBAC授权不依赖于任何特定的实现（如XACML），通过自然语言定义策略直接约束用户授权，不再需要用户组等中间的链接，直接定义用户和资源之间和授权链接策略。芯盾时代IAM具备场景化规则引擎来定义和决策用户与资源之间的授权策略（PAP+PDP），并通过认证控制插件和切面控制机制（PEP）执行权限控制策略。
• CARTA(持续自适应风险和信任评估)安全架构：超越单纯的RBAC和ABAC授权模型，能够持续对用户访问实时进行持续的上下文感知安全评估。芯盾时代IAM具备CARTA安全框架流程能力，能够在用户访问全流程中持续监测并使用用户终端、环境、行为、资源属性的访问关系数据，分析用户身份权限风险，给出实时处置策略。
• 切面控制机制：芯盾时代IAM切面控制机制，能对用户业务访问全流程中任意环节，代理并监测用户身份、设备、行为数据，执行对用户差异化权限控制手段，落实CARTA和PBAC控制策略。

移动身份安全能力

大企业经过统一身份管理，为用户提供便捷的业务流程支撑服务。身份的安全性至关重要，保证用户本人的认证授权安全性、有效性和便利性，是芯盾时代始终坚持的目标，并已具备深厚的专利技术支撑。

芯盾时代IAM系统具备对用户手机终端的唯一性识别、用户密钥的安全生成、存储、调用，以及手机安全环境的检测。将用户手机打造成移动U盾，大幅提升用户认证的安全性：

1. 优秀的识别能力：芯盾时代IAM设备指纹专利技术深厚，精准识别Andirod、IOS、鸿蒙各版本操作系统环境参数、安全风险，设备唯一性识别能力国内领先。
2. 完备的密码生态：芯盾时代IAM移动端内置安全密码插件通过商用密码二级认证（软件最高级别），满足等保三级移动端密码技术的使用要求。
3. 安全的使用环境：有效检测拖库撞库、人脸识别绕过、屏幕共享、通话状态等用户设备端风险，保证用户登录认证和业务操作的安全。

身份管理经验

芯盾时代IAM系统服务国内众多央企、集团企业，对大企业在统一身份管理需求痛点理解深刻，交付经验丰富，能够真正帮助企业打通信息流程数字化孤岛，规范人员身份安全管理、提升人员使用效率和企业生产效率。

• 身份治理经验：某央企集团组织机构复杂，人员类型多，现存账号体系混乱。芯盾时代针对对接的27个应用系统，共48528个原始账号，经过账号清理、反馈、再清理工作，同步完成集成系统初始账号映射和权限数据的整理。
• 权限治理经验：某集团企业权限管理分散，在各应用系统和原身份管理系统中维护500余角色和1000多个岗位定义，企业权限集中管理和配置困难。芯盾时代协助客户，通过权限调研和规划设计，进行权限模型和权限管理流程设计治理，整改设计后的权限模型中配置不超过100套标准角色和岗位模型，并通过芯盾时代权限中心实现自动化授权管理流程。
• 认证服务经验：某集团企业拥有60余万用户，众多业务系统存在内外网访问需求，而用户认证只有账号密码和短信方式。企业认证安全能力不足，人员操作繁琐，无法保证重要应用的认证安全程。芯盾时代IAM系统为用户提供多因素认证中心，用户可通过扫码、推送、令牌等方式认证操作，且可对用户从外网访问重要应用进行二次增强认证。系统日均提供认证服务23.3万次，拦截登录撞库3万余次。
• 流程集成对接经验：某生产制造集团企业，机构众多，经常需要机构间人员派驻，以及合作方员工入驻。由于非本机构人员身份的复杂性，和系统使用需求差异，人事和IT管理脱节，人员申请审批后，需要各应用管理员自行逐个开通/冻结人员账号权限，管理繁琐且易出错。芯盾时代IAM帮助企业打通IT审批流程和人员管理流程，通过身份模型和授权模型配置流适配人员类型，对接OA流程引擎。实现人员权限的自动实时配置：人员入场，应用权限实时按需开通；人员离场/离职，应用权限实时冻结/延时冻结。帮助企业“跨系统流程集成,业务申请流程与授权集成处理,让业务更专注于合规性审核”。