近年來，我國保險(xiǎn)行業(yè)對外開放的步伐持續(xù)提速，吸引眾多外資保險(xiǎn)公司加速布局中國市場。

作為全球保險(xiǎn)巨頭，某外資保險(xiǎn)集團(tuán)（以下簡稱“X保險(xiǎn)”）將中國市場視為重中之重。通過股權(quán)收購、戰(zhàn)略投資、設(shè)立新公司等方式，X保險(xiǎn)的業(yè)務(wù)版圖從壽險(xiǎn)、健康險(xiǎn)擴(kuò)展到財(cái)險(xiǎn)，基本完成了直保端、渠道端、服務(wù)端的全鏈條覆蓋，在華業(yè)務(wù)持續(xù)快速增長。

支撐X保險(xiǎn)在中國“搶灘登陸”的是其強(qiáng)大的數(shù)字化能力。借助一個(gè)個(gè)數(shù)字化業(yè)務(wù)應(yīng)用，X保險(xiǎn)建立了高效、可靠、靈活的業(yè)務(wù)體系，推動(dòng)風(fēng)險(xiǎn)管理、市場營銷、客戶服務(wù)等工作高效運(yùn)轉(zhuǎn)。

項(xiàng)目背景

隨著X保險(xiǎn)在中國持續(xù)發(fā)力，新的業(yè)務(wù)應(yīng)不斷上線，“數(shù)字身份”的管理難題日益突出，給其造成了一系列困擾。

1.多實(shí)體、多分支架構(gòu)，身份信息無法統(tǒng)一管理

為了擴(kuò)張業(yè)務(wù)版圖，X保險(xiǎn)設(shè)立了中國總部和多家子公司，還通過股權(quán)收購參股了多家公司，形成了多實(shí)體、多分支的組織架構(gòu)。在數(shù)字化建設(shè)中，X保險(xiǎn)的中國總部、子公司、參股公司分別建立了多個(gè)業(yè)務(wù)應(yīng)用。這些應(yīng)用由不同公司管理運(yùn)維，全集團(tuán)員工共同使用。運(yùn)維人員不但要管理本公司的人員信息，還要滿足外公司人員的訪問需求，只能在每個(gè)業(yè)務(wù)應(yīng)用中都建立一套身份信息和組織架構(gòu)，導(dǎo)致身份數(shù)據(jù)散、亂、雜，無法實(shí)現(xiàn)標(biāo)準(zhǔn)化管理。

2.身份管理依賴人工，效率、安全難以保障

由于缺乏統(tǒng)一的身份管理體系，X保險(xiǎn)的員工在入職、離職、職務(wù)變動(dòng)時(shí)，需要HR將信息同步給本公司和外公司的運(yùn)維人員，由運(yùn)維人員在不同的應(yīng)用中手動(dòng)創(chuàng)建、刪除賬戶，調(diào)整賬戶權(quán)限。這導(dǎo)致身份信息管理的鏈條長、節(jié)點(diǎn)多、時(shí)效慢，容易造成僵尸賬號、孤兒賬號。

3.權(quán)限管理不夠嚴(yán)格，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)

由于各個(gè)業(yè)務(wù)應(yīng)用的權(quán)限管理能力不一，運(yùn)維人員只能單獨(dú)配置應(yīng)用的權(quán)限管理模型、訪問控制策略，難以實(shí)現(xiàn)對業(yè)務(wù)資源的分級化、精細(xì)化管控，也無法實(shí)現(xiàn)基于風(fēng)險(xiǎn)信息的動(dòng)態(tài)權(quán)限管理。

4.行業(yè)、總部雙重監(jiān)管，合規(guī)建設(shè)迫在眉睫

作為外資保險(xiǎn)公司，X保險(xiǎn)不但要滿足我國網(wǎng)絡(luò)安全法律法規(guī)、保險(xiǎn)行業(yè)監(jiān)管制度的相關(guān)要求，還需要接受集團(tuán)總部的合規(guī)審計(jì)。X保險(xiǎn)迫切希望妥善解決“數(shù)字身份”的管理難題，同時(shí)滿足行業(yè)、總部對身份認(rèn)證、訪問控制、權(quán)限管理的要求，為數(shù)字化戰(zhàn)略打好基礎(chǔ)。

方案設(shè)計(jì)

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，在IAM市場的占有率穩(wěn)居前列，在金融行業(yè)IAM市場處于領(lǐng)導(dǎo)地位，在銀行、保險(xiǎn)、信托、證券領(lǐng)域擁有豐富的身份安全建設(shè)經(jīng)驗(yàn)。X保險(xiǎn)經(jīng)過全面考察，選擇與芯盾時(shí)代合作，基于芯盾時(shí)代用戶身份與訪問管理平臺(tái)（IAM），建設(shè)統(tǒng)一身份管理平臺(tái)。方案設(shè)計(jì)與功能如下：

1.利用芯盾時(shí)代IAM，對X保險(xiǎn)IT系統(tǒng)中分散的身份數(shù)據(jù)進(jìn)行治理，基于AD域和HR系統(tǒng)形成標(biāo)準(zhǔn)化的身份數(shù)據(jù)，為全集團(tuán)提供唯一的身份源；通過IAM的標(biāo)準(zhǔn)化數(shù)據(jù)接口，與總部、子公司、參股公司的所有業(yè)務(wù)應(yīng)用對接，接管所有業(yè)務(wù)應(yīng)用的身份管理，實(shí)現(xiàn)跨網(wǎng)、跨域、跨應(yīng)用的統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、統(tǒng)一安全審計(jì)。

2.為X保險(xiǎn)建立統(tǒng)一應(yīng)用門戶，集成所有業(yè)務(wù)應(yīng)用的訪問入口，配合單點(diǎn)登錄功能，實(shí)現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

客戶價(jià)值

借助統(tǒng)一身份管理平臺(tái)，X保險(xiǎn)建立了跨網(wǎng)、跨域、跨應(yīng)用的身份管理體系，不但提升了對“數(shù)字身份”的管理水平，為數(shù)字化建設(shè)打好了基礎(chǔ)，還為運(yùn)維人員、普通員工提供更好的數(shù)字化工具，提升了運(yùn)維、辦公效率。目前，X保險(xiǎn)的核心業(yè)務(wù)應(yīng)用已全部接入統(tǒng)一身份管理平臺(tái)，取得了良好的應(yīng)用效果。

1.統(tǒng)一管理身份信息，建立標(biāo)準(zhǔn)化管理機(jī)制

統(tǒng)一身份管理平臺(tái)投入使用后，X保險(xiǎn)構(gòu)建了覆蓋全中國區(qū)的員工身份管理體系，能夠?yàn)槊總€(gè)員工生成唯一可信的數(shù)字身份，建立了自動(dòng)化流轉(zhuǎn)的用戶全生命周期管理機(jī)制。借助平臺(tái)，員工可以使用一個(gè)賬號登錄集團(tuán)的所有業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，運(yùn)維人員可以一站式完成員工身份信息的創(chuàng)建與調(diào)整，統(tǒng)一設(shè)置多個(gè)應(yīng)用的訪問權(quán)限、審計(jì)多個(gè)應(yīng)用的訪問日志，大幅減少運(yùn)維工作量，提升工作效率。

2.訪問權(quán)限自助申請，業(yè)務(wù)訪問更加安全

芯盾時(shí)代為X保險(xiǎn)建立了自助服務(wù)中心，由不同公司的運(yùn)維人員擔(dān)任負(fù)責(zé)建設(shè)運(yùn)維的業(yè)務(wù)應(yīng)用的管理員。當(dāng)員工需要開通某一應(yīng)用的訪問權(quán)限，或因職務(wù)變動(dòng)需要變更訪問權(quán)限，只需在自助服務(wù)中心提出申請，由對應(yīng)的管理員審批即可。借助此功能，X保險(xiǎn)建立了層次清晰、分工明確的員工身份管理機(jī)制。

統(tǒng)一身份管理平臺(tái)支持ACL、RBAC、ABAC等多種權(quán)限管理模型，X保險(xiǎn)能夠?qū)崿F(xiàn)業(yè)務(wù)資源的“最小化授權(quán)”，并根據(jù)身份、設(shè)備、行為的風(fēng)險(xiǎn)信息，動(dòng)態(tài)執(zhí)行放行、拒絕、二次認(rèn)證、權(quán)限收斂等訪問控制策略，確保業(yè)務(wù)訪問的安全性。

3.統(tǒng)一業(yè)務(wù)域與辦公域，簡化員工操作流程

將AD域作為身份源后，X保險(xiǎn)的員工可以用一個(gè)身份登錄終端設(shè)備和業(yè)務(wù)系統(tǒng)。借助統(tǒng)一應(yīng)用門戶和單點(diǎn)登錄功能，員工在登錄終端設(shè)備后，無需再次認(rèn)證即可登入應(yīng)用門戶，直接訪問權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，“一次認(rèn)證，全網(wǎng)通行”。

4.滿足內(nèi)外合規(guī)要求，支撐企業(yè)數(shù)字化建設(shè)

芯盾時(shí)代的全線產(chǎn)品均滿足網(wǎng)絡(luò)安全等級保護(hù)、密碼應(yīng)用安全性測評，以及保險(xiǎn)行業(yè)各種監(jiān)管文件、國標(biāo)、行標(biāo)的要求。借助統(tǒng)一身份管理平臺(tái)，X保險(xiǎn)全面提升了身份安全能力，降低了數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，順利通過了內(nèi)外部的合規(guī)審計(jì)，從而提升整體安全水平。

芯盾視點(diǎn)

隨著我國金融業(yè)對外開放持續(xù)深入，將會(huì)有更多外資銀行、保險(xiǎn)、信托、證券公司進(jìn)入中國市場。芯盾時(shí)代在金融行業(yè)IAM市場處于領(lǐng)導(dǎo)地位，客戶案例眾多，實(shí)踐經(jīng)驗(yàn)豐富，產(chǎn)品方案久經(jīng)考驗(yàn)，已經(jīng)為多家外資金融機(jī)構(gòu)提供服務(wù)，是外資金融機(jī)構(gòu)身份安全建設(shè)的理想選擇。