近年來，我國保險行業(yè)對外開放的步伐持續(xù)提速，吸引眾多外資保險公司加速布局中國市場。

作為全球保險巨頭，某外資保險集團(tuán)（以下簡稱“X保險”）將中國市場視為重中之重。通過股權(quán)收購、戰(zhàn)略投資、設(shè)立新公司等方式，X保險的業(yè)務(wù)版圖從壽險、健康險擴(kuò)展到財險，基本完成了直保端、渠道端、服務(wù)端的全鏈條覆蓋，在華業(yè)務(wù)持續(xù)快速增長。

支撐X保險在中國“搶灘登陸”的是其強(qiáng)大的數(shù)字化能力。借助一個個數(shù)字化業(yè)務(wù)應(yīng)用，X保險建立了高效、可靠、靈活的業(yè)務(wù)體系，推動風(fēng)險管理、市場營銷、客戶服務(wù)等工作高效運轉(zhuǎn)。

項目背景

隨著X保險在中國持續(xù)發(fā)力，新的業(yè)務(wù)應(yīng)不斷上線，“數(shù)字身份”的管理難題日益突出，給其造成了一系列困擾。

1.多實體、多分支架構(gòu)，身份信息無法統(tǒng)一管理

為了擴(kuò)張業(yè)務(wù)版圖，X保險設(shè)立了中國總部和多家子公司，還通過股權(quán)收購參股了多家公司，形成了多實體、多分支的組織架構(gòu)。在數(shù)字化建設(shè)中，X保險的中國總部、子公司、參股公司分別建立了多個業(yè)務(wù)應(yīng)用。這些應(yīng)用由不同公司管理運維，全集團(tuán)員工共同使用。運維人員不但要管理本公司的人員信息，還要滿足外公司人員的訪問需求，只能在每個業(yè)務(wù)應(yīng)用中都建立一套身份信息和組織架構(gòu)，導(dǎo)致身份數(shù)據(jù)散、亂、雜，無法實現(xiàn)標(biāo)準(zhǔn)化管理。

2.身份管理依賴人工，效率、安全難以保障

由于缺乏統(tǒng)一的身份管理體系，X保險的員工在入職、離職、職務(wù)變動時，需要HR將信息同步給本公司和外公司的運維人員，由運維人員在不同的應(yīng)用中手動創(chuàng)建、刪除賬戶，調(diào)整賬戶權(quán)限。這導(dǎo)致身份信息管理的鏈條長、節(jié)點多、時效慢，容易造成僵尸賬號、孤兒賬號。

3.權(quán)限管理不夠嚴(yán)格，存在數(shù)據(jù)泄露風(fēng)險

由于各個業(yè)務(wù)應(yīng)用的權(quán)限管理能力不一，運維人員只能單獨配置應(yīng)用的權(quán)限管理模型、訪問控制策略，難以實現(xiàn)對業(yè)務(wù)資源的分級化、精細(xì)化管控，也無法實現(xiàn)基于風(fēng)險信息的動態(tài)權(quán)限管理。

4.行業(yè)、總部雙重監(jiān)管，合規(guī)建設(shè)迫在眉睫

作為外資保險公司，X保險不但要滿足我國網(wǎng)絡(luò)安全法律法規(guī)、保險行業(yè)監(jiān)管制度的相關(guān)要求，還需要接受集團(tuán)總部的合規(guī)審計。X保險迫切希望妥善解決“數(shù)字身份”的管理難題，同時滿足行業(yè)、總部對身份認(rèn)證、訪問控制、權(quán)限管理的要求，為數(shù)字化戰(zhàn)略打好基礎(chǔ)。

方案設(shè)計

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，在IAM市場的占有率穩(wěn)居前列，在金融行業(yè)IAM市場處于領(lǐng)導(dǎo)地位，在銀行、保險、信托、證券領(lǐng)域擁有豐富的身份安全建設(shè)經(jīng)驗。X保險經(jīng)過全面考察，選擇與芯盾時代合作，基于芯盾時代用戶身份與訪問管理平臺（IAM），建設(shè)統(tǒng)一身份管理平臺。方案設(shè)計與功能如下：

1.利用芯盾時代IAM，對X保險IT系統(tǒng)中分散的身份數(shù)據(jù)進(jìn)行治理，基于AD域和HR系統(tǒng)形成標(biāo)準(zhǔn)化的身份數(shù)據(jù)，為全集團(tuán)提供唯一的身份源；通過IAM的標(biāo)準(zhǔn)化數(shù)據(jù)接口，與總部、子公司、參股公司的所有業(yè)務(wù)應(yīng)用對接，接管所有業(yè)務(wù)應(yīng)用的身份管理，實現(xiàn)跨網(wǎng)、跨域、跨應(yīng)用的統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、統(tǒng)一安全審計。

2.為X保險建立統(tǒng)一應(yīng)用門戶，集成所有業(yè)務(wù)應(yīng)用的訪問入口，配合單點登錄功能，實現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

客戶價值

借助統(tǒng)一身份管理平臺，X保險建立了跨網(wǎng)、跨域、跨應(yīng)用的身份管理體系，不但提升了對“數(shù)字身份”的管理水平，為數(shù)字化建設(shè)打好了基礎(chǔ)，還為運維人員、普通員工提供更好的數(shù)字化工具，提升了運維、辦公效率。目前，X保險的核心業(yè)務(wù)應(yīng)用已全部接入統(tǒng)一身份管理平臺，取得了良好的應(yīng)用效果。

1.統(tǒng)一管理身份信息，建立標(biāo)準(zhǔn)化管理機(jī)制

統(tǒng)一身份管理平臺投入使用后，X保險構(gòu)建了覆蓋全中國區(qū)的員工身份管理體系，能夠為每個員工生成唯一可信的數(shù)字身份，建立了自動化流轉(zhuǎn)的用戶全生命周期管理機(jī)制。借助平臺，員工可以使用一個賬號登錄集團(tuán)的所有業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，運維人員可以一站式完成員工身份信息的創(chuàng)建與調(diào)整，統(tǒng)一設(shè)置多個應(yīng)用的訪問權(quán)限、審計多個應(yīng)用的訪問日志，大幅減少運維工作量，提升工作效率。

2.訪問權(quán)限自助申請，業(yè)務(wù)訪問更加安全

芯盾時代為X保險建立了自助服務(wù)中心，由不同公司的運維人員擔(dān)任負(fù)責(zé)建設(shè)運維的業(yè)務(wù)應(yīng)用的管理員。當(dāng)員工需要開通某一應(yīng)用的訪問權(quán)限，或因職務(wù)變動需要變更訪問權(quán)限，只需在自助服務(wù)中心提出申請，由對應(yīng)的管理員審批即可。借助此功能，X保險建立了層次清晰、分工明確的員工身份管理機(jī)制。

統(tǒng)一身份管理平臺支持ACL、RBAC、ABAC等多種權(quán)限管理模型，X保險能夠?qū)崿F(xiàn)業(yè)務(wù)資源的“最小化授權(quán)”，并根據(jù)身份、設(shè)備、行為的風(fēng)險信息，動態(tài)執(zhí)行放行、拒絕、二次認(rèn)證、權(quán)限收斂等訪問控制策略，確保業(yè)務(wù)訪問的安全性。

3.統(tǒng)一業(yè)務(wù)域與辦公域，簡化員工操作流程

將AD域作為身份源后，X保險的員工可以用一個身份登錄終端設(shè)備和業(yè)務(wù)系統(tǒng)。借助統(tǒng)一應(yīng)用門戶和單點登錄功能，員工在登錄終端設(shè)備后，無需再次認(rèn)證即可登入應(yīng)用門戶，直接訪問權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，“一次認(rèn)證，全網(wǎng)通行”。

4.滿足內(nèi)外合規(guī)要求，支撐企業(yè)數(shù)字化建設(shè)

芯盾時代的全線產(chǎn)品均滿足網(wǎng)絡(luò)安全等級保護(hù)、密碼應(yīng)用安全性測評，以及保險行業(yè)各種監(jiān)管文件、國標(biāo)、行標(biāo)的要求。借助統(tǒng)一身份管理平臺，X保險全面提升了身份安全能力，降低了數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險，順利通過了內(nèi)外部的合規(guī)審計，從而提升整體安全水平。

芯盾視點

隨著我國金融業(yè)對外開放持續(xù)深入，將會有更多外資銀行、保險、信托、證券公司進(jìn)入中國市場。芯盾時代在金融行業(yè)IAM市場處于領(lǐng)導(dǎo)地位，客戶案例眾多，實踐經(jīng)驗豐富，產(chǎn)品方案久經(jīng)考驗，已經(jīng)為多家外資金融機(jī)構(gòu)提供服務(wù)，是外資金融機(jī)構(gòu)身份安全建設(shè)的理想選擇。