金融科技是技术驱动的金融创新,旨在运用现代科技成果改造或创新金融产品、经营模式、业务流程等,推动金融发展提质增效(该定义由金融稳定理事会 FSB 于 2016 年提出,目前已成为全球共识)。
中国银行业改革开放以来的信息化建设历程,为新时期的数字化转型奠定了坚实基础,时至今日,全行业对科技的投入在不断增加。
在当下的移动互联、数据智能时代,银行主要业务的线上化程度越来越高,前台需要更快地响应客户需求、优化客户体验,而后台始终要保证稳定、安全、合规等核心要求,风控中台在大型金融机构中的应用日益增强,它强调底层数据和能力的打通,为银行数字化管理构建整体化的风控思路和策略。
技术的迭代更新日新月异,其快速发展对现有的安全防御体系提出了更高的要求。对于 IT 系统安全极为严苛的金融服务场景,随着安全意识进一步提升,对“零信任”安全架构的需求愈发强烈。遵循零信任架构“永不信任且始终验证”的原则,软硬件架构每一层都需要实现安全防护避免攻破。则必须时刻随着网络环境的变化升级安全能力。不仅如此,要在技术上确保,即使任意点被入侵,系统也可以保证数据安全、不被窃取,而且,可以从行为上定位、发现入侵行为并进行自主的防御。
01 实践方案:全栈、全场景的金融数字身份
- 全栈细颗粒度级技术支持
当前,一个业务系统的网络边界已经变得非常模糊,并不是所有的访问都通过物理部署的网关进行访问控制。以身份和访问管理为基础的零信任架构取代网络成为技术设施的新边界,构建全新的安全防御体系架构。基于云的 API 化等原生能力,银行业可以对身份权限进行统一的认证和授权,并可以在动态环境中授予不同人不同权限,实现精细化管理,让任何人在任何时间、任何地点,都可以正确、安全、便捷地访问正确的资源。
Authing 为银行风控中台提供统一的安全策略管理,同时面向开发技术人员提供了策略引擎的 API/SDK ,保证集中管控的同时具备灵活的扩展性。在银行体系中 1000+ 应用内,实现每个应用对于安全策略和需求的差异化管理,满足银行老旧应用、自研系统等的全栈细粒度技术需求,可以实现跨平台、跨终端、跨语言的全栈身份解决方案。
复杂场景的统一权限管理:Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务,帮助解决银行业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题,打造科学的权限治理体系,整合银行资源,实现用户、应用、设备、服务器、操作系统、 API 权限可管、可控和可视。
- 全场景账号一次登录
近年来,在金融科技加持和客户体验创新的共同驱动下,数字化转型已成为银行业共识,加上新冠疫情倒逼,促使银行基于线上化、数字化、场景化、生态化的发展模式更加清晰。
银行系统中,动辄数百上千应用体系,登录入口多、设备多,登录方式多,员工用户登录体验差,企业统一管理难度大,没有打通行内应用系统,每个应用都有独立的身份管理体系,无法实现碎片化身份整合。Authing 一个账号登录所有应用的单点登录 SSO 解决方案,实现行内员工一次登录,就可以访问其他所有相互信任的应用系统,打破应用系统之间的集成和协作壁垒,整合管理应用系统的身份资源,实现多端多设备多登录管控。
Authing 的风控中台包括:策略配置、动态评估、监控告警、行为分析、行为溯源等能力,提供了 "事前"、"事中"、"事后" 全链路的服务。基于 Authing 风控中台的能力,帮助行内完成了自适应多因素认证、动态授权等多重维度的安全保障。
- 全生命周期运维管理
随着银行业的发展,行内应用和人员数量不断增加。员工入离职、组织架构调整,行内的应用账号体系错综复杂,管理员手动操作账号的工作量陡增。同时,缺乏统一的账号管理控制方案也会给系统安全带来隐患。
Authing 自动化的账号生命周期管理(Lifecycle Management,简称 LCM) 代替手动式账号管理,是将信息部(科技部) IT 人员从繁琐复杂的身份信息管理工作中解放出来的关键,同时也可以通过及时关停人员账号和减少授权错误率来提升银行业整体的业务安全系数。
提高生产力并降低成本
无需按下按钮,无需等待。从创建到删除的自动化访问。利用所需的资源来使员工快速启动并运行,并为 IT 团队腾出时间来进行更大的项目。 快速安全的预配置。自动化的访问管理不仅可以节省时间,还可以节省成本。
降低复杂度
采用自动化流程并解决复杂性。银行内部通过部署风控中台,包括中心化的统一身份供给平台,行内应用作为辐射模型的端点,每一个应用端点与统一身份供给平台连接,以确保各个身份之间的身份不会相互冲突,且消除了行内人员变更相关的手动流程。
更为安全合规
从员工入职起,所有的账号分配和收回都有自动化流程保证,避免员工被手动分配到越权账号或者离职后账号没有被收回导致银行信息泄漏的安全风险。除此之外,在账号分配和收回等生命周期操作的流程中的每一个环节都有相应日志记录,保证银行流程的安全与合规。
02 实践总结
Authing 的风控中台基于零信任安全理念,以保护银行资源安全为目标,通过保护数字世界中“人”的身份安全,实现保护行内核心信息资产和金融资产的安全目标,解决当今 IT 环境下的业务风险问题。
Authing 为某大型股份制商业银行提供的风控中台核心内容包括:
- 不再以边界作为信任条件,对银行内所有应用和访问进行信任评估和动态访问控制;
- 针对所有访问资源的请求,进行多因素认证、动态授权、降权、数据防泄漏、密码防爆破等多重维度的安全保障,让每个核心后台应用程序都拥有自己的身份验证机制,实现银行在安全合规上的需求;
- 将银行内部 1000+ 应用完成统一身份认证和单点登录;
- 提供统一的安全策略管理,同时面向开发技术人员提供了策略引擎的 API/SDK ,保证集中管控的同时具备灵活的可扩展性;
- 【风控中台】覆盖了基于身份管理的策略配置、动态评估、监控告警、行为分析、行为溯源等能力,提供了“事前”、“事中”、“事后”全链路的服务。
项目效果评估:
-
所有内部业务系统使用同一套用户数据,减少了重复、繁琐,业务系统管理权的操作。
-
通过实现人(生物活体认证)、设备(设备绑定)、应用三个点的认证,保障了业务认证的安全最大化。
-
实现了应用权限的合理分配,通过对部门、用户组、用户访问、用户权限的管理,通过限制用户访问应用的权限,有效的限制了跨权限访问的痛点,极大的降低了信息泄露的风险。
-
对接内部 1000 多个应用系统,员工无需再记录不同地址账密,实现了一个账户登录所有应用,极大的减少了由于密码泄露带来的安全隐患。
-
通过统一的审计日志实现了各应用系统审计,从全局审计用户的登录以及应用使用情况,极大的提高了管理人员对用户审计的效率。
随着数据应用技术的不断推陈出新,应用场景的不断丰富,风控中台的能力也会随着演化提升。未来, Authing 将继续加强零信任架构和身份安全管理的能力,拓展数字化创新思维,以积极开放的态度拥抱数字化转型所带来的提升风控价值的机会。
