SDP解决方案在金融企业中的应用案例
  • 2020.06.18
  • 1563
  • 上海缔安科技股份有限公司

客户需求

 

客户通过统一的资产配置管理平台、统一的共享服务和信息技术平台,实现价值管理的优化组合,满足最终客户综合的金融保险服务需求。随着集团业务的持续发展,集团人员规模也相应增加。为适应业务快速发展的需求,集团业务系统和网络等IT基础架构也需要进行相应的平滑升级。

 

现状

 

在项目立项之前的原始环境中,客户在A地和B地均设置了IDC数据中心,并均运用了虚拟化技术。因此网络边界很难通过单一的防火墙进行防护。内部应用服务器较多且位于不同网段,而对于员工来说,仅关心是否能使用指定应用。

 

期望

 

  • 有效地实现边界防护,保证两地服务器的安全性;
  • 保证用户访问应用的安全性,实现基于应用的访问授权;
  • 员工有可能同时访问分布在两地的应用,为优化用户体验,需要实现双站点统一登录,客户端同屏显示双站点的应用。

 

解决方案

 
经过需求分析,我们发现缔安SDP解决方案能有效地满足客户需求,它为企业提供以身份为中心的安全网络平台,具有灵活的可扩展性。
 
1)架构及主要组件
 
  • SDP认证服务器

SDP控制器,提供标准接口,复用企业内部原有认证系统,实现对用户的身份认证,通过后才可建立与云网关的连接。

 
  • SDP客户端

SDP发起主机,用户通过SDP客户端发起访问请求。两地的授权应用统一展示,所见即所用。应用默认通过内置安全浏览器打开,沙盒模式与国密算法提高安全性;内置必需插件,兼容多种浏览器内核,达到最佳用户体验。

 
  • SDP网关SDP

接收主机,贴近服务器放置,并将企业应用服务器隐藏在后方。在经过SDP认证服务器认证后,实现SDP网关与服务器在授信区域的数据交换。

 

图:架构及主要组件
 
2)工作流
 
让我们以张三为例,他是一家保险企业中的销售人员,经常出差,但又需要访问企业内部的费控系统,CRM系统和OA系统。
首先,张三在SDP客户端输入账号和密码,传递给SDP认证服务器进行认证。SDP认证服务器需要验证以下信息:
 
  • 用户名、密码匹配(企业原认证服务器)
  • 硬件码匹配
  • 地址位置正常(可选)
  • 登录时间正常(可选)
 
SDP认证服务器确认信息均无误,即返回给SDP客户端有效令牌。然后,SDP客户端在获取令牌后,确认了可连接的SDP网关身份,并将令牌发送至对应SDP网关要求连接。SDP网关与SDP认证服务器确认了令牌有效性后,接收了此次连接,并将张三权限内的应用返回给SDP客户端。而对于张三而言,他会看到SDP客户端界面上显示了他所需要访问的应用图标,并通过安全浏览器顺利地访问。
 
为了保证安全,在此过程中所有的数据传输,都是端到端加密的。此外,由于认证是基于身份的,因此即使在SDP客户端已经登录状态下,张三用本地的浏览器打开,也无法访问应用服务器。