金融业在政策支持及自主驱动下,金融信创取得快速发展。从2020年开始,三期试点已扩容至5000余家,进入全面推广阶段。而基金行业信创建设与银行、证券、保险这些试点行业相比,进展较为缓慢。


基金行业信创当前面临的问题

与多家基金客户沟通后,宁盾发现基金行业的信创建设处于刚起步阶段。一方面,受政策驱动,刚开始进行OA系统、邮件系统等办公应用的国产化改造,并且仅有少量(甚至没有)信创服务器/操作系统计算机。另一方面,因安全驱动,新采购的设备/计算机终端需满足三级等保中主机安全测评要求


由此可以概括出当前基金行业信创存在的一些共性需求:

  • 存量、新增应用/终端需统一管控并满足安全合规要求;
  • 出于安全考虑,新增应用、操作系统终端不能对接已有的微软AD;
  • 既有的Windows终端不想做改动,微软AD继续用于管控存量终端;
  • 为后续完整替代微软AD做场景性方案验证及技术储备。


因此,基金行业客户信息安全部门在调研统一身份认证系统时,要求既能够与微软AD并行,又能满足三级等保合规要求,来对接新增的信创应用、设备和计算机。


统一身份认证系统应有哪些特质?

那么哪种统一身份认证系统能满足基金行业客户要求?经过与多位基金客户信息安全负责人沟通,宁盾认为统一身份认证系统应具备以下特质:

  • 标准化:应基于标准LDAP协议、API接口快速对接信创应用、设备、终端;
  • 兼容性:既能为新增信创应用/设备/终端提供统一认证与管理,还应兼容既有的身份认证系统与IT基础设施;
  • 高可用:身份认证系统属于基础设施,必须具备高可用性,支持HA、异地多活等高可靠部署;
  • 场景全:除了对接应用,还需支持对接网络设备、操作系统等IT基础设施;
  • 扩展功能:具备自助改密服务、MFA 多因素认证、SSO 单点登录等能力。


此外,与微软AD并行,统一身份认证系统就必须通过三个核心场景测试:

  • 终端接入管理:Windows和信创终端的统一认证;
  • 应用接入管理:几个应用无缝对接;
  • VDI接入认证:主流云桌面厂商对接。


宁盾身份域管解决方案

金融信创之基金行业信创统一身份认证建设方案_身份认证

宁盾身份域管以LDAP目录服务为核心,具备身份目录存储管理、网络/应用/终端接入的统一认证管理、MFA 多因素认证及运维管理、安全接口等能力,帮助企业解决因国产化改造而产生的混合IT基础设施的统一认证与管理问题。目前,宁盾身份域管主要应用在替换国外身份管理系统(如微软AD、IBM、Apache等)及企业新建身份目录场景。


在基金行业信创改造中,宁盾身份域管解决方案体现为:

与微软AD并存,接管新增信创应用/设备

金融信创之基金行业信创统一身份认证建设方案_金融信创_02

不改变原有架构,宁盾身份域管从AD同步组织架构和用户信息,为新增的国产应用(OA、邮箱、VDI等)、终端及网络设备提供LDAP身份认证与管理。使用户习惯保持一致,不增加新账号密码。同样支持以宁盾身份域管为主身份源管理平台,向AD同步用户。


扩展功能模块,满足等保安全要求

金融信创之基金行业信创统一身份认证建设方案_AD域替换_03

针对三级等保中关于主机安全测评的9项要求,宁盾身份域管有着独特的增强能力。


客户方案

某基金管理有限公司当前有国产的OA系统、邮件系统、VPN、少部分国产操作系统终端及数百台网络设备需要统一管理,AD继续管理Windows终端及其他业务系统,不打算接管新增的应用和终端。


宁盾身份域管在此项目中充当“国产微软AD”,从微软AD同步组织架构和用户身份,接管OA、邮箱、VPN、麒麟操作系统及网络设备的统一身份认证与权限管理。由于宁盾身份域管与泛微、Coremail、深信服、麒麟、统信等均已通过兼容性测试验证,因此对接起来十分顺畅,测试效果也得到信息安全部门领导的认可,目前正在进行下一步合作。