信息资源存在的价值就是被合理访问。如果重要的资源因为害怕被非法访问而泄漏，就干脆完全拒绝被访问，从而使得需要访问的也无法访问，这样的信息资源就丧失了存在的价值，严重阻碍我们的信息化建设的进程。因此建立信息安全体系，需要身份认证与管理技术和企业的业务流程密切结合，保证系统中的数据资源只能被有权限的“人”访问，未经授权的“人”无法访问数据；防止伪造身份认证手段，访问者身份等非法措施，从而保证信息资源的安全。
在信息安全体系中，身份认证与管理是整个信息安全体系的基础。先来看看身份认证与管理的现实含义。
标识和认证
 身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界，每个人都拥有少有的物理身份。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证物理身份与数字身份相对应呢？在信息安全中，验证一个人的身份主要有三种方式：一是根据你所知道的信息来证明身份（what you know），他知道的内容可以是一个密码，个人身份号码，自己的乳名，或一把锁的密码等。通过他知道的内容来进行认证是最经济的，但这种方法的不利方面就是其他人也能很容易获得这个信息然后对系统进行非授权的访问；二是根据你所拥有的物品来证明身份(what you have) ，假设某一物品只有某人才有，比如印章等，通过出示该物品也可以确认个人的身份，但证明容易丢失或被盗，从而导致非授权访问；三是直接根据你少有的身体特征来证明身份(who you are)，比如指纹、面貌，视网膜，语音等。
这三种方式仅通过一个条件来验证一个人的身份，称之为单因子认证。由于只使用一种条件判断用户的身份，单因子认证很容易被仿冒。而双因子认证或加强认证是通过组合两种或多种不同条件（如通过密码和芯片组合）来证明一个人的身份，安全性有了明显提高。如你不仅需要知道什么，同时还需要证明你是谁，或你拥有什么等。因此在高级别的信息体系中，一般都采用双因子或多因子认证。
 集成身份管理
 身份认证是身份管理的基础。在完成了身份认证之后，接下来需要进行身份管理。
 在许多企业里，某个员工离开原公司后仍然还能通过原来的账户访问企业内部信息和资源，原来的信箱仍然可以使用。为什么会出现这种现象呢？原因在于，当员工离开公司后，尽管人事部门将其除名，但在IT系统中相应的多个用户授权却没有被及时删除。
 据统计，每个员工在公司里注册的用户账号最多可以达到17个之多，如E-mail账号、登录内部网络账号、访问企业特定应用的账号等。当员工数量越来越多时，管理员不可能对每一个离职员工的系统账号进行彻底删除。只要存在一个没有被删除的账号，就会给系统留下后门。身份管理系统能够解决以上问题。
自员工工作加入公司、合作伙伴签约后，身份管理系统就开始追踪和管理所有的关系。随着身份的变更，身份识别管理可以自动实现所要求的访问变更，并且启动所有的工作流程和批准过程。对于一个内部用户而言，身份识别管理的时间跨度从员工加入公司开始直到这名员工离开公司。进入公司后，新员工最先接触的系统是人力资源系统，然后会获得门卡、办公设备等工具，然后还会获得网络的授权，通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商，而身份管理系统可以把这些资源都集中起来。新员工的资料一旦添加到人力资源管理系统之后，系统就会自动生成各种口令和授权，基于Web的授权也可以在这个流程中一次性完成，而且还会把这名员工在公司里所做的任何访问都记录下来。当员工离开时，网管员只需将其从人力资源管理系统中删除，身份识别管理系统就会自动地到所有的后台系统中把与该员工相关的授权全面删除，这是一个非常自动化的过程，也是目前企业推崇的身份管理系统模型。
身份认证扩展含义
随着信息安全技术的发展，全面安全需要系统级安全解决方案的保证，而在系统级安全解决技术的潮流中，身份认证与管理又被赋予了其特殊的扩展和应用。身份认证不再只是传统中的三种认证方式或加强认证， 访问者的安全状态等因素也成为认证的一个因子。
 安全状态信息
自面世以来，病毒和蠕虫就不断的扰乱企业业务的正常运作，造成停机，数据丢失，业务中断不断地打补丁等。如何减少病毒和蠕虫对企业运作的干扰，是企业目前最急需解决的课题。传统的防病毒软件有他存在的必要性和作用，但其局限性也很清楚，一旦网络中有几台易损主机接入网络，就很可能很快蔓延到全网，而这些易损主机可能是合法的员工，其身份认证是完全符合要求的，这种情况下，我们传统的身份认证方法无法提供足够的安全保护。  如果我们能在源头上进行控制，即防止易损主机接入正常网络。在主机接入正常网络之前，能够检查它是否符合企业最新制定的安全策略，将不符合安全策略的可疑主机或有问题的主机隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施满足企业的安全策略为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头，保护全网安全。这种全新的系统级安全解决方案，在安全理念上进行了伟大的创新：首先将终端系统安全，网络控制，身份认证和策略控制等不同的系统有机的结合为一个整体，实现了真正的安全系统框架；其次将终端的安全状态等因素作为认证的一个因子，对传统身份认证和管理技术的创新和扩展，从而实现了一种全新的认证模式和安全系统模型，大大提高了系统的安全等级。
NAC网络准入控制技术
思科公司所倡导的NAC网络准入控制技术就是系统级安全解决方案的实例。访问主机的安全凭证信息成为NAC网络准入控制技术的关键，也是扩展的身份认证技术的真实体现。NAC计划是思科与领先防病毒安全厂商协作的结果，其中包括Network Associates、Symantec和Trend Micro，国内的瑞星和金山等。
具体看看NAC的技术实现，如下图所示，NAC系统共包括三个主要组件：

• 访问主机安全软件（AV-防病毒软件，Cisco Security Agent-思科安全代理）与 Cisco Trust Agent —(思科可信代理)，思科可信代理从多个安全软件客户端收集访问主机安全状态信息，例如防病毒厂商的软件版本、机器等级和签名文件等级，操作系统类型、补丁和热修复等，然后将这些信息传送到相连的思科网络，在那里实施准入控制决策。
• 网络访问设备 ——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。
• AAA服务器/策略服务器——负责访问主机的身份认证，同时负责评估来自网络设备的访问主机安全状态信息，参考来自于AV防病毒策略服务器的策略判断，决定应该使用哪种接入控制策略。

NAC网络准入控制技术在传统身份认证的基础上，进行了有效的扩展，将访问主机的安全状态信息，如防病毒厂商的软件版本、机器等级和签名文件等级，操作系统类型、补丁和热修复等作为访问控制的要素之一，从而实现广泛意义上的身份识别与控制。在控制SARS病毒传播期间，乘坐飞机等公共交通工具，除了机票，身份证，登机牌等必须的身份认证外，还需要测量体温，体温符合正常范围，才允许登机，这里，体温就成了扩展身份认证的实例。
随着NAC网络准入控制技术的进一步完善，扩展身份认证的的关键－安全状态信息将进一步扩展，如主机系统是否被人注入了间谍软件，木马程序，黑客攻击等信息，都可能成为安全状态信息的体现，从而实现更深层次的全网安全保护，为企业信息化建设做出应有的贡献。