客户案例丨华夏基金:以数字化身份建设支撑企业数字化转型

发表时间: 2024-02-09 作者: 客户案例

  在企业中,任何一个人都有各自的“身份”。董事长、研发总监、IT运维……每个“身份”都有对应的职责和权限。当公司开始数字化转型,这些“身份”必然映射到数字化系统之中,成为联通人与业务应用的纽带。企业想要数字化转型,提升业务效率,必须先解决“数字化身份”建设问题。

  作为基金行业数字化转型先行者,不可避免的遇见了“数字化身份”建设难题。凭借过硬的研发能力,华夏基金自研了多个核心业务应用,辅以外购的OA等应用,形成了自主可控的业务应用体系,构建了覆盖各种业务场景

  。这座“大厦”支撑着华夏基金管理超1.77万亿规模的庞大资产,服务超2亿户客户,稳居境内最大基金管理

  想要进入华夏基金的“数字化业务大厦”,离不开一个可信的“数字化身份”。在现实世界中,人的“身份”具有天然唯一性,难以仿冒,容易确认,便于管理。但在数字化系统中,“身份管理”却面临种种难题。

  在传统IT架构中,每个业务应用都有独立的身份管理模块,为员工生成“数字化身份”。随着华夏基金的业务应用增多,员工的“数字化身份”也在增多。由于身份信息在各个应用中分散管理,员工只能同时拥有N个“身份”,使用N组账号密码,反复登录N个系统。对于员工而言,这就像每天都带着一大串钥匙上班,每开一扇门都要使用不相同的钥匙。对于管理者来说,每一个员工的每一把钥匙都要登记造册,还要为新员工发钥匙,为升职员工换钥匙,回收离职员工的钥匙。如果能建立唯一的“数字化身份”,员工和管理者都将更加轻松。

  身份认证是员工使用业务应用的第一道关卡,目的是“证明你是你”。华夏基金的业务应用有不同的认证方式,账号密码、短信验证码、动态口令……员工想要进入“数字化业务大厦”的不同房间,必须用不同的方式反复开锁。为了简化认证环节,很多员工选择多个应用使用同一密码,或将密码设置得尽量简单,这无疑给公司能够带来了安全隐患。

  访问权限,是指按照每个用户“身份”来限制其访问某些信息项的机制。简单来说,就是根据员工的“身份”来决定哪些房间可以进,哪些房间不可以进。权限又分为一级权限、二级权限、三级权限,分别对应应用、功能和数据,决定员工能打开哪个房间、哪个文件柜、查阅柜里的哪份文件。

  访问权限管理一般根据两个条件来实现,一是用户在预定义的组(比如研发部、项目组)中的身份,二是用户的属性(比如访问时间、所用设备)。由于身份信息不互通,管理员只能在每个业务应用中单独建立一套甚至多套组织架构,设置单独的访问控制策略。有的业务应用自身不支持复杂的权限管理模型,也不支持二级权限和三级权限的管理,实现最小化授权也就无从谈起。

  访问日志是组织对安全事件进行事后追溯、定位问题原因及划分事故责任的重要手段。在“数字化业务大厦”中,管理员需要记录每一个访问者的每一次操作。受限于业务应用的分散性,“大厦”中的每一个房间都有单独的“访客登记本”,有些存放的文件柜还要单独登记。一旦需要对访问进行追溯,管理员需要单独审计每一个业务应用的访问日志,既影响审计效率,也容易遗漏安全隐患。

  ,建设统一身份认证系统,一次性解决四大“数字化身份”建设难题,重构业务安全体系的身份安全基座。芯盾时代基于华夏基金的IT架构与实际要,结合丰富的IAM建设经验,为华夏基金量身定制了

  、统一账号服务、统一认证服务、统一授权服务、统一应用服务、统一审计服务。

  横向纳管所有业务应用的用户身份与访问权限,实现用户身份、认证方式、权限管理、日志审计的“四个统一”。

  使身份信息纵向贯穿业务访问全流程,实现数据资产身份化,夯实零信任架构的基石。

  借助统一身份认证系统,华夏基金建立了规范的用户身份管理体系,让员工进入公司的“数字化业务大厦”时更安全、更便捷。

  域为员工生成唯一身份标识,并利用标准身份协议将身份信息同步至各个业务应用,让员工使用一个身份登录所有业务应用。这相当于企业统一了“数字化业务大厦”中所有房间的门锁

  ,员工只需一把钥匙就能进入各个房间。凭借统一身份管理能力,华夏基金实现了基于身份的业务应用标准化管理。

  借助WEB门户、移动认证与门户,华夏基金统一了业务应用的访问地址,员工只需在门户中认证一次,即可借助单点登录功能直接访问有权限的业务应用,无需反复认证,实现了“一次认证,全网通行”。借助移动认证App,华夏基金为员工提供了账号密码、动态口令、人脸识别、App扫码等多种认证方式,管理员可按重要等级为不同应用设置不同的认证策略,为重要应用开启开次二次认证,全方面提升身份认证环节的安全性。

  实现统一身份认证后,员工进入华夏基金的“数字化业务大厦”时,只需在大厦入口进行一次身份核验,就能免检进入有权限的房间,大幅度的提高工作效率。

  与此同时,借助芯盾时代的“设备指纹”功能,华夏基金实现了员工身份与设备的强绑定。当员工使用非常用设备登录时,系统自动采取强认证策略,减少账号泄露带来的安全风险。

  统一身份认证系统提供了跨业务应用的统一管理后台,管理员能够一站式实现员工身份创建、变更、销户的全生命周期管理,建立各种维度的组织架构,统一配置各个业务应用的一级、二级、三级访问权限,按照应用和数据重要等级设置访问控制策略,实现基于风险行为的动态授权。

  在统一管理后台的支撑下,“数字化业务大厦”的管理员能够为每个员工生成一份全“大厦”通用的“介绍信”,员工是什么身份、是哪个部门的成员、能进哪些房间、能打开哪些文件柜、能查阅文件柜中的哪份文件一目了然。这既减少了管理员的工作量,提升了运维工作效率,也减少了僵尸账号、孤儿账号,避免了越权访问,提升了企业的身份安全水平。

  凭借统一身份认证系统提供的统一访问日志,管理员能够打破各个业务应用之间的信息壁垒,以身份为线索,追溯管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源操作行为,让每一次访问都透明可见。在可视化后台的支持下,管理员能快速生成可视化分析报表,形成对业务访问的闭环管理。

  实现统一审计管理之后,“数字化业务大厦”的管理员能够为每一个员工配置一个行为记录仪,追溯员工的每一个行为,让风险行为无所遁形。

  有了统一身份认证系统,华夏基金的“数字化业务大厦”虽然每天来客众多、业务繁忙,却秩序井然、安全高效,业务安全得到了有力保障,企业的数字转型战略稳步推进,能够为投资人提供优质的投资理财

  当前,数字化的经济加快速度进行发展,金融行业作为国民经济的命脉和枢纽,在数字化的经济中占了重要地位。华夏基金的“数字化身份”建设,不但对自身数字化转型意义重大,也为基金行业、乃至金融行业的数字化转型提供了重要参考。

版权所有  安博电竞(中国)官方网站  |  营业执照  |  技术支持:网站地图  |  免责声明  |  皖ICP备2021001185号-1