业务应用同步用户数据或自建用户数据，数据的使用无明确规范，进而存在大量脱管的账户，产生身份账户安全隐患

员工需要记住多个业务系统的账户及密码，加上机构对账户密码的复杂度及修改周期要求，员工使用账户做认证时会产生困难。

业务系统需要对接用户账户数据时，缺乏完善的用户中心及对接手段，开发用户同步数据环节及后续用户数据更新方面存在问题。

1、应支持用户身份标识和用户鉴别； 2、系统用户采用用户名和用户标识符标识用户身份，并确保在系统整个生命周期内用户标识的唯一性； 3、在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

自主访问控制： 1、应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并将这些权限的部分或全部授予其他用户； 2、自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级和（或）记录或字段级； 3、自主访问操作包括对客体的创建、读、写、修改和删除等。标记和强制访问控制： 1、在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。 2、强制访问控制的粒度应达到主体为用户级，客体为文件、数据库表级； 3、应确保安全计算环境的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。

1、安全审计应记录应用系统的相关安全事件； 2、安全审计记录应包括安全事件的主体、客体、时间、类型和结果等内容； 3、安全审计应提供审计记录查询、分类、分析和存储保护； 4、安全审计应确保对特定安全事件进行报警； 5、安全审计应确保审计记录不被破坏或非授权访问； 6、系统应为安全管理中心提供接口，对不能由系统独立处理的安全事件，提供由授权主体调用的接口。