芯盾時(shí)代：構(gòu)建新型身份管理體系，筑牢數(shù)字安全屏障

在企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)程中，“身份”作為聯(lián)通物理世界和數(shù)字世界的橋梁，重要性日益凸顯。如果對(duì)數(shù)字身份的管理能力不足，不但增加員工的負(fù)擔(dān)，影響業(yè)務(wù)運(yùn)轉(zhuǎn)，還有可能帶來(lái)網(wǎng)絡(luò)安全隱患，威脅企業(yè)的業(yè)務(wù)安全。在此背景下，建設(shè)適應(yīng)新網(wǎng)絡(luò)環(huán)境、新業(yè)務(wù)模式的身份管理體系，并與原有網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)應(yīng)用充分融合，成為了企業(yè)數(shù)字化轉(zhuǎn)型的必修課。

關(guān)于寧波金融資管

寧波金融資產(chǎn)管理股份有限公司（以下簡(jiǎn)稱“寧波金融資管”）成立于2017年2月，是經(jīng)寧波市人民政府批準(zhǔn)設(shè)立，由中國(guó)銀監(jiān)會(huì)核準(zhǔn)公告，開展轄內(nèi)金融企業(yè)不良資產(chǎn)批量收購(gòu)處置業(yè)務(wù)的地方資產(chǎn)管理公司。目前，公司的經(jīng)營(yíng)版圖以寧波為中心，輻射長(zhǎng)三角、珠三角，在福州、南京、廣州等地設(shè)立辦事處。

項(xiàng)目背景

作為重要的地方資產(chǎn)管理公司（AMC），寧波金融資管以“服務(wù)于區(qū)域金融風(fēng)險(xiǎn)化解、服務(wù)于困境企業(yè)幫助扶持、服務(wù)于實(shí)體經(jīng)濟(jì)轉(zhuǎn)型升級(jí)”為使命，穩(wěn)步推進(jìn)信息化建設(shè)，取得了良好的效果。但隨著業(yè)務(wù)應(yīng)用持續(xù)增加，一系列身份管理難題隨之而來(lái)。

1.身份信息不統(tǒng)一，帶來(lái)管理難題

寧波金融資管建立了OA、財(cái)務(wù)管理系統(tǒng)、數(shù)據(jù)分析系統(tǒng)、生態(tài)圈系統(tǒng)等多個(gè)業(yè)務(wù)應(yīng)用。這些應(yīng)用由不同的廠商承建，系統(tǒng)架構(gòu)不一，擁有不同的身份管理模塊。這導(dǎo)致寧波金融資管的IT系統(tǒng)中存在多個(gè)身份源，員工的身份信息不互通、不互認(rèn)，形成了一個(gè)個(gè)管理孤島，無(wú)法實(shí)現(xiàn)對(duì)各個(gè)業(yè)務(wù)應(yīng)用身份認(rèn)證、訪問(wèn)權(quán)限、審計(jì)日志的統(tǒng)一管理，既推高了運(yùn)營(yíng)成本、增加了IT運(yùn)維的工作量，也無(wú)法讓身份信息貫穿業(yè)務(wù)訪問(wèn)全流程，讓信息流、數(shù)據(jù)流在IT系統(tǒng)中高效流轉(zhuǎn)。

2.多套賬號(hào)密碼，員工操作不便

由于業(yè)務(wù)應(yīng)用眾多，寧波金融資管的員工需要安裝多個(gè)客戶端、記錄多個(gè)應(yīng)用的網(wǎng)址，并使用不同的賬號(hào)密碼，單獨(dú)登錄各個(gè)應(yīng)用。這既影響了員工的操作體驗(yàn)，也容易促使員工為不同的賬號(hào)設(shè)置相同的密碼，造成安全隱患。

3.身份認(rèn)證不安全，威脅業(yè)務(wù)安全

寧波金融資管的業(yè)務(wù)應(yīng)用多采用賬號(hào)+密碼的認(rèn)證方式，無(wú)法針對(duì)不同的登錄場(chǎng)景實(shí)施動(dòng)態(tài)認(rèn)證，也無(wú)法根據(jù)風(fēng)險(xiǎn)信息自適應(yīng)調(diào)整訪問(wèn)權(quán)限。

方案設(shè)計(jì)

芯盾時(shí)代根據(jù)寧波金融資管的實(shí)際需求，基于自主研發(fā)的用戶身份與訪問(wèn)管理平臺(tái)（IAM）為其建立統(tǒng)一身份認(rèn)證平臺(tái)，實(shí)現(xiàn)對(duì)身份信息、身份認(rèn)證、訪問(wèn)權(quán)限、審計(jì)日志的統(tǒng)一管理。 方案功能與設(shè)計(jì)如下：

1.用戶身份與訪問(wèn)管理平臺(tái)（IAM）：利用IAM對(duì)寧波金融資管的身份數(shù)據(jù)進(jìn)行統(tǒng)一治理，以O(shè)A為權(quán)威的身份數(shù)據(jù)源；IAM統(tǒng)一納管所有業(yè)務(wù)應(yīng)用的身份管理，向各個(gè)應(yīng)用同步身份信息，進(jìn)而實(shí)現(xiàn)實(shí)現(xiàn)各個(gè)業(yè)務(wù)應(yīng)用的統(tǒng)一認(rèn)證管理、統(tǒng)一權(quán)限管理和統(tǒng)一審計(jì)管理；

2.認(rèn)證認(rèn)證SDK：在移動(dòng)辦公App中集成身份認(rèn)證SDK，實(shí)現(xiàn)全局多因素認(rèn)證。

客戶價(jià)值

統(tǒng)一身份認(rèn)證平臺(tái)建成后，寧波金融資管建立了一站式、標(biāo)準(zhǔn)化、全功能的身份管理體系，身份安全水平大幅提升，員工的操作體驗(yàn)更佳，取得了良好的應(yīng)用效果。

1.統(tǒng)一員工身份，實(shí)現(xiàn)標(biāo)準(zhǔn)化管理

借助統(tǒng)一身份管理平臺(tái)，寧波金融資管整合了系統(tǒng)內(nèi)零散的身份數(shù)據(jù)，為每一個(gè)登錄業(yè)務(wù)應(yīng)用的人員創(chuàng)建唯一的可信數(shù)字身份，形成了權(quán)威的組織用戶體系，建立了用戶、權(quán)限、應(yīng)用賬號(hào)自動(dòng)化流轉(zhuǎn)機(jī)制，運(yùn)維人員能夠一站式完成賬號(hào)的創(chuàng)建和注銷、認(rèn)證策略的設(shè)定、訪問(wèn)權(quán)限的調(diào)整、安全日志的審計(jì)，身份管理能力顯著提升。 芯盾時(shí)代為寧波金融資管編制了標(biāo)準(zhǔn)的接口規(guī)范，便于后續(xù)建設(shè)的業(yè)務(wù)應(yīng)用持續(xù)接入身份認(rèn)證平臺(tái)，為信息化建設(shè)提供長(zhǎng)久的支撐。

2.簡(jiǎn)化員工操作，消除安全隱患

芯盾時(shí)代為寧波金融資管建設(shè)了統(tǒng)一應(yīng)用用戶，員工只需登錄門戶，就能借助單點(diǎn)登錄功能直接訪問(wèn)自身權(quán)限內(nèi)的應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。管理員可以按照應(yīng)用的重要程度設(shè)置不同的認(rèn)證策略，對(duì)訪問(wèn)重要應(yīng)用的員工進(jìn)行二次認(rèn)證，實(shí)現(xiàn)應(yīng)用分類、分級(jí)管理，兼顧應(yīng)用安全與使用體驗(yàn)。

3.實(shí)施多因素認(rèn)證，提升身份安全

寧波金融資管的移動(dòng)辦公App集成身份認(rèn)證SDK后，具備了多因素認(rèn)證能力，運(yùn)維人員可以根據(jù)應(yīng)用的重要等級(jí)、員工訪問(wèn)行為風(fēng)險(xiǎn)情況，實(shí)施分級(jí)認(rèn)證策略，通過(guò)動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別、App掃碼等認(rèn)證方式提升安全認(rèn)證級(jí)別，進(jìn)一步保證身份認(rèn)證的安全性，避免身份泄露帶來(lái)的安全風(fēng)險(xiǎn)。

芯盾視點(diǎn)

隨著數(shù)字化轉(zhuǎn)型的深入，越來(lái)越多的企業(yè)開始部署IAM。IAM不但能夠?yàn)槠髽I(yè)把好網(wǎng)絡(luò)入門關(guān)，提升身份認(rèn)證的安全性，更能夠從用戶接入企業(yè)網(wǎng)絡(luò)的第一刻起就監(jiān)測(cè)用戶的每一次操作行為，強(qiáng)化網(wǎng)絡(luò)安全防線，為數(shù)字化轉(zhuǎn)型構(gòu)筑安全基石。芯盾時(shí)代在IAM市場(chǎng)的占有率穩(wěn)居前列，產(chǎn)品與服務(wù)久經(jīng)考驗(yàn)，是企業(yè)建設(shè)身份管理體系的理想選擇。

審核編輯：劉清