前言

随着農村金融體制改革的(de)深入發展，确保農信社穩健發展，嚴守系統性風險的(de)底線越來越重要。近年(nián)來各類監管舉措紛紛出台，2021年(nián)監管層繼續保持強監管、嚴懲治的(de)态勢，穿透式監管不斷深入。這都對農信社的(de)發展提出了新的(de)考驗。

項目簡介：

某省農村信用社聯合社（以下簡稱省農信社）是國(guó)務院深化農村信用社改革以來率先挂牌成立的(de)省級聯社。近年(nián)來，随着省農信社各類金融業務的(de)快速發展和(hé)信息化設備數量的(de)不斷增加，信息化安全要求也不斷提高(gāo)，目前所管理(lǐ)的(de)設備數量已經超過20000台，原有(yǒu)的(de)賬号口令、權限認證、審計管理(lǐ)措施已不能滿足目前及未來發展的(de)要求。

當前使用設備2014年(nián)上線，由于底層無法升級，在賬号管理(lǐ)、API同步、大并發性能需求、統一(yī)部署等方面，已經不能滿足省農信社的(de)使用需求以及相關部門的(de)監管要求。主要痛點如(rú)下：

項目痛點：

1、授權數量不足：大量的(de)新增設備沒有(yǒu)納入統一(yī)運維平台，授權數量不能滿足要求；

2、賬号安全隐患：現存賬号與實際賬号差異化嚴重，存在安全隐患，無法定期同步；

3、業務升級受限：前期設備軟硬一(yī)體部署，性能、存儲有(yǒu)限，版本不一(yī)緻，無法升級和(hé)集中配置；

4、平台協作障礙：目前無法與CMDB、ITSM等自(zì)動化平台對接，用戶、資産、權限無法自(zì)動同步；

5、原有(yǒu)堡壘機(jī)無法完全覆蓋需求：原有(yǒu)堡壘機(jī)為(wèi)基于一(yī)體機(jī)架構體系下的(de)運維審計平台，随着數據量的(de)增加，不能完全滿足當前省農信社的(de)核心需求。

帕拉迪特權身份訪問安全管理(lǐ)系統解決方案：

2014年(nián)帕拉迪與省農信社首次達成戰略合作，從運維管理(lǐ)側協助省農信社進行(xíng)全面的(de)信息化建設，在其數字化轉型過程中起到了關鍵性的(de)作用。随着省農信社內(nèi)部各方面基礎建設的(de)完善與發展中的(de)需求，2021年(nián)帕拉迪結合《中華人民共和(hé)國(guó)網絡安全法》、《信息安全等級保護管理(lǐ)辦法》等相關安全制度的(de)要求，針對目前的(de)一(yī)系列管理(lǐ)運維痛點，為(wèi)省農信社量身打造了基于零信任的(de)集群化特權身份訪問安全管理(lǐ)系統解決方案。

方案部署：

本方案共部署八套特權身份訪問安全管理(lǐ)系統，其中集群中心配置雙機(jī)，其餘系統配置為(wèi)節點。部署拓撲圖如(rú)下：

關鍵技術：

1、 構建集群化管理(lǐ)平台，支持大并發、分級部署；

2、 全面接管用戶賬号台賬，實現全面自(zì)動化；

3、 全通道(dào)文件傳輸控制，防止數據傳輸洩漏；

4、 分級分權管理(lǐ)方式。

項目收益：

1、提高(gāo)統一(yī)運維能力：建立統一(yī)登錄入口，提供多節點配置，支持全省農信社運維人員超大并發環境下同時運維，提高(gāo)省農信社安全事件應急響應能力；

2、特權賬号管理(lǐ)升級：構建賬号管理(lǐ)自(zì)動化模型，實現托管設備的(de)賬号全生命周期管理(lǐ)，幫助省農信社健全賬戶風險共享機(jī)制，形成風險防範合力，确保省農信社及時發現并限制可(kě)疑賬戶業務；

3、提高(gāo)賬号登錄安全性：建立高(gāo)細粒度用戶認證體系，針對省農信社客群人數多、資金運用靈活、需求差異化等不同的(de)場景特點，最大限度地(dì)保證省農信社用戶登錄的(de)安全性和(hé)抗抵賴性；

4、降低(dī)業務辦理(lǐ)風險：建立敏感數據高(gāo)精度安全控制體系，保證省農信社線上業務辦理(lǐ)得到實時監控分析，大幅度降低(dī)欺詐風險；

5、提高(gāo)平台協作效率：建立智能API接口，完成與雲管平台、CMDB、ITIL/ITSM等平台無縫對接，提高(gāo)省農信社多平台協作管理(lǐ)特權賬号的(de)效率；

6、快速響應客群服務需求：打造分級分權的(de)管理(lǐ)體系，将管理(lǐ)權限下放到省農信社各網點，實行(xíng)最小化權限理(lǐ)念，保證省農信社各級人員之間工作配置流程高(gāo)效，達到快速響應各類金融服務需求的(de)目的(de)；

7、提高(gāo)數據庫存量：打造PAM集群無縫化擴容模塊，減輕數據庫負載壓力，滿足後期省農信社數據增量需求。