前言

随著(zhe)農村(cūn)金融體制改革的深入發展，确保農信社穩健發展，嚴守系統性風險的底線越來越重要。近年(nián)來各類監管舉措紛紛出台，2021年(nián)監管層繼續保持強監管、嚴懲治的态勢，穿透式監管不斷深入。這都對農信社的發展提出了新的考驗。

項目簡介：

某省農村(cūn)信用社聯合社（以下(xià)簡稱省農信社）是國(guó)務院深化農村(cūn)信用社改革以來率先挂牌成立的省級聯社。近年(nián)來，随著(zhe)省農信社各類金融業(yè)務的快速發展和信息化設備數量的不斷增加，信息化安全要求也不斷提高(gāo)，目前所管理的設備數量已經超過20000台，原有的賬号口令、權限認證、審計管理措施已不能(néng)滿足目前及未來發展的要求。

當前使用設備2014年(nián)上(shàng)線，由于底層無法升級，在賬号管理、API同步、大并發性能(néng)需求、統一(yī)部署等方面，已經不能(néng)滿足省農信社的使用需求以及相(xiàng)關部門(mén)的監管要求。主要痛點如下(xià)：

項目痛點：

1、授權數量不足：大量的新增設備沒有納入統一(yī)運維平台，授權數量不能(néng)滿足要求；

2、賬号安全隐患：現存賬号與實際賬号差異化嚴重，存在安全隐患，無法定期同步；

3、業(yè)務升級受限：前期設備軟硬一(yī)體部署，性能(néng)、存儲有限，版本不一(yī)緻，無法升級和集中配置；

4、平台協作障礙：目前無法與CMDB、ITSM等自(zì)動化平台對接，用戶、資産、權限無法自(zì)動同步；

5、原有堡壘機(jī)無法完全覆蓋需求：原有堡壘機(jī)為(wèi)基于一(yī)體機(jī)架構體系下(xià)的運維審計平台，随著(zhe)數據量的增加，不能(néng)完全滿足當前省農信社的核心需求。

帕拉迪特權身份訪問安全管理系統解決方案：

2014年(nián)帕拉迪與省農信社首次達成戰略合作，從(cóng)運維管理側協助省農信社進行全面的信息化建設，在其數字化轉型過程中起到(dào)了關鍵性的作用。随著(zhe)省農信社内部各方面基礎建設的完善與發展中的需求，2021年(nián)帕拉迪結合《中華人民(mín)共和國(guó)網絡安全法》、《信息安全等級保護管理辦法》等相(xiàng)關安全制度的要求，針對目前的一(yī)系列管理運維痛點，為(wèi)省農信社量身打造了基于零信任的集群化特權身份訪問安全管理系統解決方案。

方案部署：

本方案共部署八套特權身份訪問安全管理系統，其中集群中心配置雙機(jī)，其餘系統配置為(wèi)節點。部署拓撲圖如下(xià)：

關鍵技(jì)術(shù)：

1、 構建集群化管理平台，支持大并發、分級部署；

2、 全面接管用戶賬号台賬，實現全面自(zì)動化；

3、 全通(tōng)道文件(jiàn)傳輸控制，防止數據傳輸洩漏；

4、 分級分權管理方式。

項目收益：

1、提高(gāo)統一(yī)運維能(néng)力：建立統一(yī)登錄入口，提供多(duō)節點配置，支持全省農信社運維人員(yuán)超大并發環境下(xià)同時運維，提高(gāo)省農信社安全事(shì)件(jiàn)應急響應能(néng)力；

2、特權賬号管理升級：構建賬号管理自(zì)動化模型，實現托管設備的賬号全生(shēng)命周期管理，幫助省農信社健全賬戶風險共享機(jī)制，形成風險防範合力，确保省農信社及時發現并限制可疑賬戶業(yè)務；

3、提高(gāo)賬号登錄安全性：建立高(gāo)細粒度用戶認證體系，針對省農信社客群人數多(duō)、資金運用靈活、需求差異化等不同的場景特點，最大限度地保證省農信社用戶登錄的安全性和抗抵賴性；

4、降低(dī)業(yè)務辦理風險：建立敏感數據高(gāo)精度安全控制體系，保證省農信社線上(shàng)業(yè)務辦理得到(dào)實時監控分析，大幅度降低(dī)欺詐風險；

5、提高(gāo)平台協作效率：建立智能(néng)API接口，完成與雲管平台、CMDB、ITIL/ITSM等平台無縫對接，提高(gāo)省農信社多(duō)平台協作管理特權賬号的效率；

6、快速響應客群服務需求：打造分級分權的管理體系，将管理權限下(xià)放(fàng)到(dào)省農信社各網點，實行最小(xiǎo)化權限理念，保證省農信社各級人員(yuán)之間工(gōng)作配置流程高(gāo)效，達到(dào)快速響應各類金融服務需求的目的；

7、提高(gāo)數據庫存量：打造PAM集群無縫化擴容模塊，減輕數據庫負載壓力，滿足後期省農信社數據增量需求。