芯盾时代：构建新型身份管理体系，筑牢数字安全屏障

在企业数字化转型的进程中，“身份”作为联通物理世界和数字世界的桥梁，重要性日益凸显。如果对数字身份的管理能力不足，不但增加员工的负担，影响业务运转，还有可能带来网络安全隐患，威胁企业的业务安全。在此背景下，建设适应新网络环境、新业务模式的身份管理体系，并与原有网络架构、业务应用充分融合，成为了企业数字化转型的必修课。

关于宁波金融资管

宁波金融资产管理股份有限公司（以下简称“宁波金融资管”）成立于2017年2月，是经宁波市人民政府批准设立，由中国银监会核准公告，开展辖内金融企业不良资产批量收购处置业务的地方资产管理公司。目前，公司的经营版图以宁波为中心，辐射长三角、珠三角，在福州、南京、广州等地设立办事处。

项目背景

作为重要的地方资产管理公司（AMC），宁波金融资管以“服务于区域金融风险化解、服务于困境企业帮助扶持、服务于实体经济转型升级”为使命，稳步推进信息化建设，取得了良好的效果。但随着业务应用持续增加，一系列身份管理难题随之而来。

1.身份信息不统一，带来管理难题

宁波金融资管建立了OA、财务管理系统、数据分析系统、生态圈系统等多个业务应用。这些应用由不同的厂商承建，系统架构不一，拥有不同的身份管理模块。这导致宁波金融资管的IT系统中存在多个身份源，员工的身份信息不互通、不互认，形成了一个个管理孤岛，无法实现对各个业务应用身份认证、访问权限、审计日志的统一管理，既推高了运营成本、增加了IT运维的工作量，也无法让身份信息贯穿业务访问全流程，让信息流、数据流在IT系统中高效流转。

2.多套账号密码，员工操作不便

由于业务应用众多，宁波金融资管的员工需要安装多个客户端、记录多个应用的网址，并使用不同的账号密码，单独登录各个应用。这既影响了员工的操作体验，也容易促使员工为不同的账号设置相同的密码，造成安全隐患。

3.身份认证不安全，威胁业务安全

宁波金融资管的业务应用多采用账号+密码的认证方式，无法针对不同的登录场景实施动态认证，也无法根据风险信息自适应调整访问权限。

方案设计

芯盾时代根据宁波金融资管的实际需求，基于自主研发的用户身份与访问管理平台（IAM）为其建立统一身份认证平台，实现对身份信息、身份认证、访问权限、审计日志的统一管理。 方案功能与设计如下：

1.用户身份与访问管理平台（IAM）：利用IAM对宁波金融资管的身份数据进行统一治理，以OA为权威的身份数据源；IAM统一纳管所有业务应用的身份管理，向各个应用同步身份信息，进而实现实现各个业务应用的统一认证管理、统一权限管理和统一审计管理；

2.认证认证SDK：在移动办公App中集成身份认证SDK，实现全局多因素认证。

客户价值

统一身份认证平台建成后，宁波金融资管建立了一站式、标准化、全功能的身份管理体系，身份安全水平大幅提升，员工的操作体验更佳，取得了良好的应用效果。

1.统一员工身份，实现标准化管理

借助统一身份管理平台，宁波金融资管整合了系统内零散的身份数据，为每一个登录业务应用的人员创建唯一的可信数字身份，形成了权威的组织用户体系，建立了用户、权限、应用账号自动化流转机制，运维人员能够一站式完成账号的创建和注销、认证策略的设定、访问权限的调整、安全日志的审计，身份管理能力显著提升。 芯盾时代为宁波金融资管编制了标准的接口规范，便于后续建设的业务应用持续接入身份认证平台，为信息化建设提供长久的支撑。

2.简化员工操作，消除安全隐患

芯盾时代为宁波金融资管建设了统一应用用户，员工只需登录门户，就能借助单点登录功能直接访问自身权限内的应用，实现“一次认证，全网通行”。管理员可以按照应用的重要程度设置不同的认证策略，对访问重要应用的员工进行二次认证，实现应用分类、分级管理，兼顾应用安全与使用体验。

3.实施多因素认证，提升身份安全

宁波金融资管的移动办公App集成身份认证SDK后，具备了多因素认证能力，运维人员可以根据应用的重要等级、员工访问行为风险情况，实施分级认证策略，通过动态口令、指纹识别、人脸识别、App扫码等认证方式提升安全认证级别，进一步保证身份认证的安全性，避免身份泄露带来的安全风险。

芯盾视点

随着数字化转型的深入，越来越多的企业开始部署IAM。IAM不但能够为企业把好网络入门关，提升身份认证的安全性，更能够从用户接入企业网络的第一刻起就监测用户的每一次操作行为，强化网络安全防线，为数字化转型构筑安全基石。芯盾时代在IAM市场的占有率稳居前列，产品与服务久经考验，是企业建设身份管理体系的理想选择。

审核编辑：刘清