芯盾時代：構(gòu)建新型身份管理體系，筑牢數(shù)字安全屏障

在企業(yè)數(shù)字化轉(zhuǎn)型的進程中，“身份”作為聯(lián)通物理世界和數(shù)字世界的橋梁，重要性日益凸顯。如果對數(shù)字身份的管理能力不足，不但增加員工的負擔，影響業(yè)務運轉(zhuǎn)，還有可能帶來網(wǎng)絡安全隱患，威脅企業(yè)的業(yè)務安全。在此背景下，建設適應新網(wǎng)絡環(huán)境、新業(yè)務模式的身份管理體系，并與原有網(wǎng)絡架構(gòu)、業(yè)務應用充分融合，成為了企業(yè)數(shù)字化轉(zhuǎn)型的必修課。

關(guān)于寧波金融資管

寧波金融資產(chǎn)管理股份有限公司（以下簡稱“寧波金融資管”）成立于2017年2月，是經(jīng)寧波市人民政府批準設立，由中國銀監(jiān)會核準公告，開展轄內(nèi)金融企業(yè)不良資產(chǎn)批量收購處置業(yè)務的地方資產(chǎn)管理公司。目前，公司的經(jīng)營版圖以寧波為中心，輻射長三角、珠三角，在福州、南京、廣州等地設立辦事處。

項目背景

作為重要的地方資產(chǎn)管理公司（AMC），寧波金融資管以“服務于區(qū)域金融風險化解、服務于困境企業(yè)幫助扶持、服務于實體經(jīng)濟轉(zhuǎn)型升級”為使命，穩(wěn)步推進信息化建設，取得了良好的效果。但隨著業(yè)務應用持續(xù)增加，一系列身份管理難題隨之而來。

1.身份信息不統(tǒng)一，帶來管理難題

寧波金融資管建立了OA、財務管理系統(tǒng)、數(shù)據(jù)分析系統(tǒng)、生態(tài)圈系統(tǒng)等多個業(yè)務應用。這些應用由不同的廠商承建，系統(tǒng)架構(gòu)不一，擁有不同的身份管理模塊。這導致寧波金融資管的IT系統(tǒng)中存在多個身份源，員工的身份信息不互通、不互認，形成了一個個管理孤島，無法實現(xiàn)對各個業(yè)務應用身份認證、訪問權(quán)限、審計日志的統(tǒng)一管理，既推高了運營成本、增加了IT運維的工作量，也無法讓身份信息貫穿業(yè)務訪問全流程，讓信息流、數(shù)據(jù)流在IT系統(tǒng)中高效流轉(zhuǎn)。

2.多套賬號密碼，員工操作不便

由于業(yè)務應用眾多，寧波金融資管的員工需要安裝多個客戶端、記錄多個應用的網(wǎng)址，并使用不同的賬號密碼，單獨登錄各個應用。這既影響了員工的操作體驗，也容易促使員工為不同的賬號設置相同的密碼，造成安全隱患。

3.身份認證不安全，威脅業(yè)務安全

寧波金融資管的業(yè)務應用多采用賬號+密碼的認證方式，無法針對不同的登錄場景實施動態(tài)認證，也無法根據(jù)風險信息自適應調(diào)整訪問權(quán)限。

方案設計

芯盾時代根據(jù)寧波金融資管的實際需求，基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）為其建立統(tǒng)一身份認證平臺，實現(xiàn)對身份信息、身份認證、訪問權(quán)限、審計日志的統(tǒng)一管理。 方案功能與設計如下：

1.用戶身份與訪問管理平臺（IAM）：利用IAM對寧波金融資管的身份數(shù)據(jù)進行統(tǒng)一治理，以OA為權(quán)威的身份數(shù)據(jù)源；IAM統(tǒng)一納管所有業(yè)務應用的身份管理，向各個應用同步身份信息，進而實現(xiàn)實現(xiàn)各個業(yè)務應用的統(tǒng)一認證管理、統(tǒng)一權(quán)限管理和統(tǒng)一審計管理；

2.認證認證SDK：在移動辦公App中集成身份認證SDK，實現(xiàn)全局多因素認證。

客戶價值

統(tǒng)一身份認證平臺建成后，寧波金融資管建立了一站式、標準化、全功能的身份管理體系，身份安全水平大幅提升，員工的操作體驗更佳，取得了良好的應用效果。

1.統(tǒng)一員工身份，實現(xiàn)標準化管理

借助統(tǒng)一身份管理平臺，寧波金融資管整合了系統(tǒng)內(nèi)零散的身份數(shù)據(jù)，為每一個登錄業(yè)務應用的人員創(chuàng)建唯一的可信數(shù)字身份，形成了權(quán)威的組織用戶體系，建立了用戶、權(quán)限、應用賬號自動化流轉(zhuǎn)機制，運維人員能夠一站式完成賬號的創(chuàng)建和注銷、認證策略的設定、訪問權(quán)限的調(diào)整、安全日志的審計，身份管理能力顯著提升。 芯盾時代為寧波金融資管編制了標準的接口規(guī)范，便于后續(xù)建設的業(yè)務應用持續(xù)接入身份認證平臺，為信息化建設提供長久的支撐。

2.簡化員工操作，消除安全隱患

芯盾時代為寧波金融資管建設了統(tǒng)一應用用戶，員工只需登錄門戶，就能借助單點登錄功能直接訪問自身權(quán)限內(nèi)的應用，實現(xiàn)“一次認證，全網(wǎng)通行”。管理員可以按照應用的重要程度設置不同的認證策略，對訪問重要應用的員工進行二次認證，實現(xiàn)應用分類、分級管理，兼顧應用安全與使用體驗。

3.實施多因素認證，提升身份安全

寧波金融資管的移動辦公App集成身份認證SDK后，具備了多因素認證能力，運維人員可以根據(jù)應用的重要等級、員工訪問行為風險情況，實施分級認證策略，通過動態(tài)口令、指紋識別、人臉識別、App掃碼等認證方式提升安全認證級別，進一步保證身份認證的安全性，避免身份泄露帶來的安全風險。

芯盾視點

隨著數(shù)字化轉(zhuǎn)型的深入，越來越多的企業(yè)開始部署IAM。IAM不但能夠為企業(yè)把好網(wǎng)絡入門關(guān)，提升身份認證的安全性，更能夠從用戶接入企業(yè)網(wǎng)絡的第一刻起就監(jiān)測用戶的每一次操作行為，強化網(wǎng)絡安全防線，為數(shù)字化轉(zhuǎn)型構(gòu)筑安全基石。芯盾時代在IAM市場的占有率穩(wěn)居前列，產(chǎn)品與服務久經(jīng)考驗，是企業(yè)建設身份管理體系的理想選擇。

審核編輯：劉清