客户案例丨华夏基金：以数字化身份建设，支撑企业数字化转型

芯盾时代 2023-08-14 828

描述

在企业中，每个人都有各自的“身份”。董事长、研发总监、IT运维……每个“身份”都有对应的职责和权限。当企业开始数字化转型，这些“身份”必然映射到数字化系统之中，成为联通人与业务应用的纽带。企业想要数字化转型，提升业务效率，必须先解决“数字化身份”建设问题。华夏基金作为基金行业数字化转型先行者，不可避免的遇见了“数字化身份”建设难题。凭借过硬的研发能力，华夏基金自研了多个核心业务应用，辅以外购的OA等应用，形成了自主可控的业务应用体系，构建了覆盖各种业务场景“数字化业务大厦”。这座“大厦”支撑着华夏基金管理超1.77万亿规模的庞大资产，服务超2亿户客户，稳居境内最大基金管理公司之一。但是，这座“大厦”内的业务应用互不相通，人员信息割裂，形成了一个个“身份孤岛”，给数字化转型造成了新的挑战。

“数字化业务大厦”的身份管理难题

想要进入华夏基金的“数字化业务大厦”，离不开一个可信的“数字化身份”。在现实世界中，人的“身份”具有天然唯一性，难以仿冒，容易确认，便于管理。但在数字化系统中，“身份管理”却面临种种难题。1.“数字化身份”的唯一性难题在传统IT架构中，每个业务应用都有独立的身份管理模块，为员工生成“数字化身份”。随着华夏基金的业务应用增多，员工的“数字化身份”也在增多。由于身份信息在各个应用中分散管理，员工只能同时拥有N个“身份”，使用N组账号密码，反复登录N个系统。对于员工而言，这就像每天都带着一大串钥匙上班，每开一扇门都要使用不同的钥匙。对于管理者来说，每一个员工的每一把钥匙都要登记造册，还要为新员工发钥匙，为升职员工换钥匙，回收离职员工的钥匙。如果能建立唯一的“数字化身份”，员工和管理者都将更加轻松。2．“数字化身份”的认证难题身份认证是员工使用业务应用的第一道关卡，目的是“证明你是你”。华夏基金的业务应用有不同的认证方式，账号密码、短信验证码、动态口令……员工想要进入“数字化业务大厦”的不同房间，必须用不同的方式反复开锁。为了简化认证环节，很多员工选择多个应用使用同一密码，或将密码设置得尽量简单，这无疑给企业带来了安全隐患。3.“数字化身份”的权限管理难题访问权限，是指根据用户“身份”来限制其访问某些信息项的机制。简单来说，就是根据员工的“身份”来决定哪些房间可以进，哪些房间不可以进。权限又分为一级权限、二级权限、三级权限，分别对应应用、功能和数据，决定员工能打开哪个房间、哪个文件柜、查阅柜里的哪份文件。访问权限管理一般根据两个条件来实现，一是用户在预定义的组（比如研发部、项目组）中的身份，二是用户的属性（比如访问时间、所用设备）。由于身份信息不互通，管理员只能在每个业务应用中单独建立一套甚至多套组织架构，设置单独的访问控制策略。有的业务应用自身不支持复杂的权限管理模型，也不支持二级权限和三级权限的管理，实现最小化授权也就无从谈起。4.“数字化身份”的审计难题访问日志是组织对安全事件进行事后追溯、定位问题原因及划分事故责任的重要手段。在“数字化业务大厦”中，管理员需要记录每一个访问者的每一次操作。受限于业务应用的分散性，“大厦”中的每一个房间都有单独的“访客登记本”，有些存放机密文件的文件柜还要单独登记。一旦需要对访问进行追溯，管理员需要单独审计每一个业务应用的访问日志，既影响审计效率，也容易遗漏安全隐患。

统一身份认证系统：五层八块，一横一纵

华夏基金选择了使用芯盾时代的用户身份与访问管理平台（IAM）,建设统一身份认证系统，一次性解决四大“数字化身份”建设难题，重构业务安全体系的身份安全基座。芯盾时代基于华夏基金的IT架构与实际需要，结合丰富的IAM建设经验，为华夏基金量身定制了“五层八块，一横一纵”的统一身份管理系统。

五层：即5个逻辑层，分别为业务层、接口层、服务层、功能层、数据层。八块：即8个功能模块，分别为WEB门户、移动认证与门户、管理中心、统一账号服务、统一认证服务、统一授权服务、统一应用服务、统一审计服务。一横：横向纳管所有业务应用的用户身份与访问权限，实现用户身份、认证方式、权限管理、日志审计的“四个统一”。一纵：使身份信息纵向贯穿业务访问全流程，实现数据资产身份化，夯实零信任架构的基石。

数字化身份管理，从未如此简单

借助统一身份认证系统，华夏基金建立了规范的用户身份管理体系，让员工进入公司的“数字化业务大厦”时更安全、更便捷。1.唯一身份，全网通用利用IAM对业务应用中分散的身份数据进行统一治理，基于AD域为员工生成唯一身份标识，并利用标准身份协议将身份信息同步至各个业务应用，让员工使用一个身份登录所有业务应用。这相当于企业统一了“数字化业务大厦”中所有房间的门锁规格，员工只需一把钥匙就能进入各个房间。凭借统一身份管理能力，华夏基金实现了基于身份的业务应用标准化管理。2.一次认证，全网通行借助WEB门户、移动认证与门户，华夏基金统一了业务应用的访问地址，员工只需在门户中认证一次，即可借助单点登录功能直接访问有权限的业务应用，无需反复认证，实现了“一次认证，全网通行”。借助移动认证App，华夏基金为员工提供了账号密码、动态口令、人脸识别、App扫码等多种认证方式，管理员可按重要等级为不同应用设置不同的认证策略，为重要应用开启开次二次认证，全面提升身份认证环节的安全性。实现统一身份认证后，员工进入华夏基金的“数字化业务大厦”时，只需在大厦入口进行一次身份核验，就能免检进入有权限的房间，大幅提升工作效率。与此同时，借助芯盾时代的“设备指纹”功能，华夏基金实现了员工身份与设备的强绑定。当员工使用非常用设备登录时，系统自动采取强认证策略，减少账号泄露带来的安全风险。3.统一后台，精细授权统一身份认证系统提供了跨业务应用的统一管理后台，管理员能够一站式实现员工身份创建、变更、销户的全生命周期管理，建立各种维度的组织架构，统一配置各个业务应用的一级、二级、三级访问权限，按照应用和数据重要等级设置访问控制策略，实现基于风险行为的动态授权。在统一管理后台的支撑下，“数字化业务大厦”的管理员能够为每个员工生成一份全“大厦”通用的“介绍信”，员工是什么身份、是哪个部门的成员、能进哪些房间、能打开哪些文件柜、能查阅文件柜中的哪份文件一目了然。这既减少了管理员的工作量，提升了运维工作效率，也减少了僵尸账号、孤儿账号，避免了越权访问，提升了企业的身份安全水平。4.一份日志，全盘审计凭借统一身份认证系统提供的统一访问日志，管理员能够打破各个业务应用之间的信息壁垒，以身份为线索，追溯管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源操作行为，让每一次访问都透明可见。在可视化后台的支持下，管理员能够快速生成可视化分析报表，形成对业务访问的闭环管理。实现统一审计管理之后，“数字化业务大厦”的管理员能够为每一个员工配置一个行为记录仪，追溯员工的每一个行为，让风险行为无所遁形。

身份安全，业务才安全

有了统一身份认证系统，华夏基金的“数字化业务大厦”虽然每天来客众多、业务繁忙，却秩序井然、安全高效，业务安全得到了有力保障，企业的数字转型战略稳步推进，能够为投资人提供优质的投资理财产品和服务。当前，数字经济快速发展，金融行业作为国民经济的命脉和枢纽，在数字经济中占据重要地位。华夏基金的“数字化身份”建设，不但对自身数字化转型意义重大，也为基金行业、乃至金融行业的数字化转型提供了重要参考。

往期 · 推荐

客户案例丨安信证券：券商数字化转型 “身份安全”要先行

中国日报社×芯盾时代丨以“身份安全”为基石，助力国家级媒体信息化建设

重庆银行×芯盾时代丨统一身份管理，建设标准化业务安全体系

客户案例丨芯盾时代助力某大型央企信息化建设，破解大型企业身份管理难题

原文标题：客户案例丨华夏基金：以数字化身份建设，支撑企业数字化转型

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

打开APP阅读更多精彩内容