信托，金融產(chǎn)業(yè)四大支柱之一。目前，全國僅有66家持牌信托機構(gòu)，每一家都掌管著大量資金，在資本市場有著舉足輕重的地位。

某信托公司（以下簡稱“G信托”）作為央企控股的“國字號”信托，以數(shù)字化賦能財富管理業(yè)務(wù)，利用數(shù)字化技術(shù)精準定位客戶、重構(gòu)服務(wù)方式，助力體驗優(yōu)化、決策支撐、管理提升。在強大的數(shù)字化能力支撐下，G信托在中國信托業(yè)協(xié)會開展的行業(yè)評級中連續(xù)多年獲評A級，ROE水平連續(xù)多年位居行業(yè)前十。

項目背景

G信托基于自身的數(shù)字身份管理現(xiàn)狀，對統(tǒng)一身份認證系統(tǒng)提出了管理、安全、效率、合規(guī)四方面的需求。

1.管理需求

隨著數(shù)字化轉(zhuǎn)型持續(xù)深入，G信托的業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、辦公設(shè)備不斷增加。這些應(yīng)用和設(shè)備擁有各自的身份管理模塊，導(dǎo)致IT系統(tǒng)中的身份信息散、亂、雜，形成一個個信息孤島。G信托希望建立標準化、跨應(yīng)用的身份管理體系，將現(xiàn)實中的身份信息、組織架構(gòu)映射到IT系統(tǒng)之中，實現(xiàn)組織管理與IT管理的對齊。

2.安全需求

由于各種應(yīng)用、設(shè)備的身份認證、訪問權(quán)限、安全日志分散管理，G信托難以難以建立覆蓋全域的權(quán)限管理模型、訪問控制策略，落實“最小化授權(quán)”，對跨應(yīng)用訪問行為的追溯能力也存在不足。

3.效率需求

G信托員工在辦公中需要使用不同的賬號密碼，通過不同的客戶端、Web頁面登錄各個業(yè)務(wù)應(yīng)用，操作異常繁瑣。運維人員需要通過不同的管理后臺，開通、注銷員工賬號，調(diào)整訪問權(quán)限，運維工作量大、效率低。

4.合規(guī)需求

近年來，金融行業(yè)的網(wǎng)絡(luò)安全監(jiān)管日趨正規(guī)化、嚴格化、常態(tài)化。G作為央企控股的信托公司，需要滿足網(wǎng)絡(luò)安全等級保護測評、密碼應(yīng)用安全性測評的嚴格要求，保障數(shù)字化建設(shè)自主可控。

方案設(shè)計

芯盾時代在金融行業(yè)IAM市場占據(jù)領(lǐng)導(dǎo)地位，項目經(jīng)驗豐富，深厚客戶好評。針對G信托的需求，芯盾時代基于自主研發(fā)的用戶身份與訪問管理平臺（IAM），幫助其建立了統(tǒng)一身份認證系統(tǒng)，幫助其全面提升身份安全水平。方案功能與設(shè)計如下：

1.用戶身份與訪問管理平臺（IAM）：利用芯盾時代IAM對業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備中的身份信息進行統(tǒng)一治理，以AD域為身份源，為每個員工生成唯一的可信數(shù)字身份，形成權(quán)威的組織架構(gòu)。通過IAM的標準化數(shù)據(jù)接口，與所有應(yīng)用和設(shè)備對接，統(tǒng)一管理應(yīng)用和設(shè)備的身份認證、訪問權(quán)限和審計日志。

2.統(tǒng)一應(yīng)用門戶：集成所有業(yè)務(wù)應(yīng)用的訪問入口，配合單點登錄功能，實現(xiàn)“一次認證、全網(wǎng)通行”。

客戶價值

統(tǒng)一身份認證系統(tǒng)建成后，G信托建立了統(tǒng)一化、標準化、自動化的身份管理體系，不但提升了IT管理能力，還強化了網(wǎng)絡(luò)安全防線，提升了辦公、運維效率，為數(shù)字化轉(zhuǎn)型構(gòu)筑了身份安全基石。

1.實現(xiàn)身份信息標準化管理

借助統(tǒng)一身份認證系統(tǒng)，G信托為每名員工生成唯一的可信數(shù)字身份，形成了權(quán)威的組織架構(gòu)，能夠?qū)F(xiàn)實中的身份信息、組織架構(gòu)映射到IT系統(tǒng)之中，讓身份信息貫穿業(yè)務(wù)訪問全流程，實現(xiàn)組織管理和IT管理的對齊。

芯盾時代幫助G信托制定了《賬號管理流程和辦法》、《應(yīng)用接入和集成規(guī)范》、《安全標準和接口規(guī)范》等管理制度、技術(shù)規(guī)范，幫助G信托高效、快速、有序的將更多應(yīng)用和設(shè)備接入統(tǒng)一身份認證系統(tǒng)，為企業(yè)數(shù)字化轉(zhuǎn)型深入演進不斷賦能。

2.全面提升身份安全水平

借助統(tǒng)一身份認證系統(tǒng)，G信托能夠?qū)嵤┤蚪y(tǒng)一的身份認證策略和權(quán)限管理模型。運維人員能夠?qū)I(yè)務(wù)資源進行分級管理，靈活應(yīng)用各種權(quán)限管理模型，根據(jù)身份、設(shè)備、行為等風(fēng)險信息，動態(tài)執(zhí)行放行、拒絕、二次認證、權(quán)限收斂等訪問控制策略，讓每一次訪問更安全可控。

針對公共賬號管理難題，芯盾時代IAM能夠?qū)⒐操~號與員工身份綁定，將公共賬號的訪問行為落實到人，消除管理盲區(qū)。芯盾時代IAM還提供“賬號委托”功能，支持員工將自身訪問權(quán)限委托給其他員工，避免和他人共享賬號密碼，減少了賬號泄露的風(fēng)險。

3.提升辦公、運維效率

統(tǒng)一身份認證系統(tǒng)投入使用后，G信托的管理層、普通員工、運維人員，以及外包人員、合伙伙伴，都切實感受到了芯盾時代IAM的便利性與實用性。

借助統(tǒng)一身份認證系統(tǒng)，員工在只需在電腦開機時完成身份認證，即可直接登入統(tǒng)一應(yīng)用門戶，在門戶內(nèi)直接訪問權(quán)限內(nèi)的CS、BS應(yīng)用，實現(xiàn)“一次認證、全網(wǎng)通行”。統(tǒng)一身份系統(tǒng)提供了強大的待辦功能，匯總了所有業(yè)務(wù)應(yīng)用的待辦通知，員工只需點擊即可跳轉(zhuǎn)到對應(yīng)應(yīng)用，操作更簡，體驗更佳。在系統(tǒng)中，員工可以自助完成修改個人信息、找回密碼、修改密碼等操作，無需繁瑣的審批流程。

借助統(tǒng)一身份認證系統(tǒng)，運維人員可以一站式完成員工身份信息的創(chuàng)建與調(diào)整，統(tǒng)一設(shè)置多個應(yīng)用的訪問權(quán)限、審計多個應(yīng)用的訪問日志，落實“最小化授權(quán)”，大幅減少運維工作量，提升工作效率。

4.滿足金融行業(yè)合規(guī)要求

芯盾時代IAM擁有完全自主知識產(chǎn)權(quán)，滿足網(wǎng)絡(luò)安全等級保護、密碼應(yīng)用安全性測評，以及信托行業(yè)各種監(jiān)管文件、國標、行標的要求。

芯盾視點

在企業(yè)數(shù)字化轉(zhuǎn)型過程中，安全與效率往往不可兼得。重安全，則效率受到影響；重效率，則安全無法保證。IAM作為企業(yè)重要的IT基礎(chǔ)設(shè)置，不但能夠提升企業(yè)的身份安全水平，防范圍繞身份展開的網(wǎng)絡(luò)攻擊，還能簡化操作流程，提升辦公、運維效率，做到安全與效率兼顧，為企業(yè)數(shù)字化轉(zhuǎn)型提供有力支撐。