“数字化业务大厦”的身份管理难题
想要进入华夏基金的“数字化业务大厦”,离不开一个可信的“数字化身份”。在现实世界中,人的“身份”具有天然唯一性,难以仿冒,容易确认,便于管理。但在数字化系统中,“身份管理”却面临种种难题。1.“数字化身份”的唯一性难题在传统IT架构中,每个业务应用都有独立的身份管理模块,为员工生成“数字化身份”。随着华夏基金的业务应用增多,员工的“数字化身份”也在增多。由于身份信息在各个应用中分散管理,员工只能同时拥有N个“身份”,使用N组账号密码,反复登录N个系统。对于员工而言,这就像每天都带着一大串钥匙上班,每开一扇门都要使用不同的钥匙。对于管理者来说,每一个员工的每一把钥匙都要登记造册,还要为新员工发钥匙,为升职员工换钥匙,回收离职员工的钥匙。如果能建立唯一的“数字化身份”,员工和管理者都将更加轻松。2.“数字化身份”的认证难题身份认证是员工使用业务应用的第一道关卡,目的是“证明你是你”。华夏基金的业务应用有不同的认证方式,账号密码、短信验证码、动态口令……员工想要进入“数字化业务大厦”的不同房间,必须用不同的方式反复开锁。为了简化认证环节,很多员工选择多个应用使用同一密码,或将密码设置得尽量简单,这无疑给企业带来了安全隐患。3.“数字化身份”的权限管理难题访问权限,是指根据用户“身份”来限制其访问某些信息项的机制。简单来说,就是根据员工的“身份”来决定哪些房间可以进,哪些房间不可以进。权限又分为一级权限、二级权限、三级权限,分别对应应用、功能和数据,决定员工能打开哪个房间、哪个文件柜、查阅柜里的哪份文件。访问权限管理一般根据两个条件来实现,一是用户在预定义的组(比如研发部、项目组)中的身份,二是用户的属性(比如访问时间、所用设备)。由于身份信息不互通,管理员只能在每个业务应用中单独建立一套甚至多套组织架构,设置单独的访问控制策略。有的业务应用自身不支持复杂的权限管理模型,也不支持二级权限和三级权限的管理,实现最小化授权也就无从谈起。4.“数字化身份”的审计难题访问日志是组织对安全事件进行事后追溯、定位问题原因及划分事故责任的重要手段。在“数字化业务大厦”中,管理员需要记录每一个访问者的每一次操作。受限于业务应用的分散性,“大厦”中的每一个房间都有单独的“访客登记本”,有些存放机密文件的文件柜还要单独登记。一旦需要对访问进行追溯,管理员需要单独审计每一个业务应用的访问日志,既影响审计效率,也容易遗漏安全隐患。统一身份认证系统:五层八块,一横一纵
华夏基金选择了使用芯盾时代的用户身份与访问管理平台(IAM),建设统一身份认证系统,一次性解决四大“数字化身份”建设难题,重构业务安全体系的身份安全基座。芯盾时代基于华夏基金的IT架构与实际需要,结合丰富的IAM建设经验,为华夏基金量身定制了“五层八块,一横一纵”的统一身份管理系统。五层:即5个逻辑层,分别为业务层、接口层、服务层、功能层、数据层。八块:即8个功能模块,分别为WEB门户、移动认证与门户、管理中心、统一账号服务、统一认证服务、统一授权服务、统一应用服务、统一审计服务。一横:横向纳管所有业务应用的用户身份与访问权限,实现用户身份、认证方式、权限管理、日志审计的“四个统一”。一纵:使身份信息纵向贯穿业务访问全流程,实现数据资产身份化,夯实零信任架构的基石。数字化身份管理,从未如此简单
借助统一身份认证系统,华夏基金建立了规范的用户身份管理体系,让员工进入公司的“数字化业务大厦”时更安全、更便捷。1.唯一身份,全网通用利用IAM对业务应用中分散的身份数据进行统一治理,基于AD域为员工生成唯一身份标识,并利用标准身份协议将身份信息同步至各个业务应用,让员工使用一个身份登录所有业务应用。这相当于企业统一了“数字化业务大厦”中所有房间的门锁规格,员工只需一把钥匙就能进入各个房间。凭借统一身份管理能力,华夏基金实现了基于身份的业务应用标准化管理。2.一次认证,全网通行借助WEB门户、移动认证与门户,华夏基金统一了业务应用的访问地址,员工只需在门户中认证一次,即可借助单点登录功能直接访问有权限的业务应用,无需反复认证,实现了“一次认证,全网通行”。借助移动认证App,华夏基金为员工提供了账号密码、动态口令、人脸识别、App扫码等多种认证方式,管理员可按重要等级为不同应用设置不同的认证策略,为重要应用开启开次二次认证,全面提升身份认证环节的安全性。实现统一身份认证后,员工进入华夏基金的“数字化业务大厦”时,只需在大厦入口进行一次身份核验,就能免检进入有权限的房间,大幅提升工作效率。与此同时,借助芯盾时代的“设备指纹”功能,华夏基金实现了员工身份与设备的强绑定。当员工使用非常用设备登录时,系统自动采取强认证策略,减少账号泄露带来的安全风险。3.统一后台,精细授权统一身份认证系统提供了跨业务应用的统一管理后台,管理员能够一站式实现员工身份创建、变更、销户的全生命周期管理,建立各种维度的组织架构,统一配置各个业务应用的一级、二级、三级访问权限,按照应用和数据重要等级设置访问控制策略,实现基于风险行为的动态授权。在统一管理后台的支撑下,“数字化业务大厦”的管理员能够为每个员工生成一份全“大厦”通用的“介绍信”,员工是什么身份、是哪个部门的成员、能进哪些房间、能打开哪些文件柜、能查阅文件柜中的哪份文件一目了然。这既减少了管理员的工作量,提升了运维工作效率,也减少了僵尸账号、孤儿账号,避免了越权访问,提升了企业的身份安全水平。4.一份日志,全盘审计凭借统一身份认证系统提供的统一访问日志,管理员能够打破各个业务应用之间的信息壁垒,以身份为线索,追溯管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源操作行为,让每一次访问都透明可见。在可视化后台的支持下,管理员能够快速生成可视化分析报表,形成对业务访问的闭环管理。实现统一审计管理之后,“数字化业务大厦”的管理员能够为每一个员工配置一个行为记录仪,追溯员工的每一个行为,让风险行为无所遁形。身份安全,业务才安全
有了统一身份认证系统,华夏基金的“数字化业务大厦”虽然每天来客众多、业务繁忙,却秩序井然、安全高效,业务安全得到了有力保障,企业的数字转型战略稳步推进,能够为投资人提供优质的投资理财产品和服务。当前,数字经济快速发展,金融行业作为国民经济的命脉和枢纽,在数字经济中占据重要地位。华夏基金的“数字化身份”建设,不但对自身数字化转型意义重大,也为基金行业、乃至金融行业的数字化转型提供了重要参考。
往期 · 推荐
客户案例丨安信证券:券商数字化转型 “身份安全”要先行
中国日报社×芯盾时代丨以“身份安全”为基石,助力国家级媒体信息化建设
重庆银行×芯盾时代丨统一身份管理,建设标准化业务安全体系
客户案例丨芯盾时代助力某大型央企信息化建设,破解大型企业身份管理难题
原文标题:客户案例丨华夏基金:以数字化身份建设,支撑企业数字化转型
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
全部0条评论
快来发表一下你的评论吧 !