身份识别和安全的相辅相成——阴和阳

　　中国的阴阳符号通常用来表示两种力量之间的平衡并形成和谐一致。这一古老的符号为身份识别和安全的结合提供了一个很好的比喻。其作为IT条例的补充，可确保业务整合和流程的安全，同时提高生产效率。这样，身份识别和安全可以通过以下方式自动进行用户管理并降低风险：

　　允许外部人员安全地访问网络和应用。“外部人员”可以是远程员工、现场承包商或是亚洲供应商— 通常会认为他们是通过因特网与内部IT资产如网络、服务器、应用和文件相连。为了使这些用户获得更高的生产效率，同时保持高级别的安全性，大型企业需要强大的用户配置、验证、统一的身份识别功能以及检测技术，如微软的网络访问保护（NAP）。

　　包含数据安全性。在旧的身份识别管理领域中，“身份识别”一词专门用来指人，但是为了业务的可实施性，身份识别与安全的联姻已经超越了人类的范畴。而在新的阴阳世界中，身份识别就分类而言，已经扩大到数据认证以及相关的安全性政策。为了保护数据的机密性和完整性，同时满足网络业务流程的灵活性和增加的风险，这种细分是很有必要的。

　　身份识别与授权和安全策略的结合。当用户获准访问网络或应用时，按照用户的角色和职责限制其访问活动就显得非常重要。而这些往往通过网络控制如防火墙和访问控制表以及自定义个人应用的随机方式来完成。这一对等流程损害了安全性，还无法进行扩展。当身份识别和安全实现统一时，网络和应用访问政策执行视角色而定，且其自动化程度会更高。

　　审核使用情况和行为。由于人依旧是“安全链中最薄弱的环节”，因此，对用户进行监管以发现和审查可疑或恶意行为就非常重要。当供应商的应收账款管理人员将SQL问题提交给公司会计系统中的请求路径时，安全管理员将会立即得到通知并需要了解有关该用户使用方式的历史数据，以及标记有时间的审计报告，以避免抵赖事件的出现。

　　检测并防止安全事故。随着网络中越来越多的用户、设备以及协议加入，基本的安全分级/内容过滤、异常检测和预防体系相比现在会更加重要。大型企业必须将其安全防御与关键性技术如防火墙、IDS/IPS、应用防火墙、DLP、电子邮件网关以及终端安全软件相联系。

　　值得注意的是，只有通过完整的技术堆栈从网络到应用层实现身份识别和信息安全的集成，这些功能才能够得以实现。如果没有这种一体化，大型企业需要为特定用户定制服务，并制定细分访问策略，以及实时检测高级别的安全攻击，而这些企业对企业来说都是难题。