一、案例背景:
越秀地产成立于1983年,1992年于香港上市,是全国第一批成立的综合性房地产开发企业之中国第一代商品房的缔造者,拥有全球首只投资于中国内地物业的香港上市房产基金,38年来,越秀地产坚守“成就美好生活”品牌使命。因为公司内部分工日趋细化,同时多元化的业务发展了(如物业服务、康养产业、长租公寓、城市更新等),所以在公司如何管理内部在建设100余套信息系统,以及打破它们跨微信、钉钉等多个生态的应用成为信息化发展的一个难题。
越秀统一身份管理平台的搭建,主要围绕统一账号管理、统一认证服务、权限管理、集中风险管控、审计功能的服务能力,从而满足越秀地产对于账号安全、认证安全等方面实现,具体如下:
统一账号管理:实现统一用户账号、组织管理,包括内部员工、合作伙伴派驻人员、外包公司人员、临时人员的账号进行管理,逐步建设一个统一的用户身份管理体系;建立新一套账号名称规则,与现有员工号做关联,实现主从账号管理,避免被外部组织通过猜测员工号规则进行恶意攻击的“盗号”风险。
统一认证管理:以账号管理体系为基础,实现内部业务系统的统一认证,包括手机短信和账号密码验证。支持不同强度、不同因素的认证方式,并与越秀地产现有的SSO体系认证互信整合,最终完全替换已有的认证系统,让用户在登录验证过程中仅通过此平台一次登录,可安全单点登录到有权访问的各类应用系统。
同岗同权限管理:整合越秀地产应用系统权限资源,实现信息系统权限集中管控,实现分级分权管理、合规互斥管理,细粒度权限管理,实现对信息系统权限资源进行风险级别的定义,对用户授权过程进行多维度的风险评估,提高权限风险分析与管控能力。
集中风险管控:实现对用户登录、访问业务系统的行为的数据收集;建立风险识别体系,实现事前风险防范。基于事先预设好的风险管理规则,实时计算任意访问的风险评分,对用户访问元数据进行控制,对用户的访问行为进行实时评估;当系统检测到风险时,提供包括风险告警、风险实时展示和增强认证的手段,以保护资源的安全。
审计监控管控:建立完善的日志功能,实现完整的人员账号行为日志记录,实现日志归档、日志查询功能;对用户的认证及应用访问情况进行记录和审计,通过集中收集、存储和管理用户在业务系统中活动的审计信息,对身份、权限、资源的集中审计和分析,并形成审计报表。
二、方案概述:
随着越秀地产业务的发展,应用系统越来越多,种类越来越复杂,认证需求多样化,为实现系统的多因素认证、二次认证、风险预警以及统一权限管理等功能,需建立一套统一集中、完善有效、高可用性的统一身份管理平台,实现对用户身份全生命周期的集中管理,改善用户体验,促进应用系统账号的管理规范化和标准化。
三、案例与安全技术相关的应用
越秀地产统一身份平台核心功能包括:包括统一身份管理、统一认证管理、统一权限管理、智能监控预警以及用户合规审计四大类。同时系统建设过程中采用了字段级别的数据加密,管理员可根据业务需要、自定义扩展属性,并对扩展属性设置相应加密/脱敏级别,支持SHA256、SM2等加密算法,避免用户隐私信息在被非法访问或脱库后泄露,隐私字段、加密算法支持自定义。对于用户手机号、邮箱、身份证号等敏感信息,以明文存储,但在一般模式下对外传输或展示时进行脱敏处理,降低用户敏感信息被非法扩散的风险。网络传输安全,平台提供端到端传输数据包在服务端及客户端设备到用户设备之间,建立了一个安全的通道。
身份管理方案设计:通过身份平台实际用户入职、离职、调岗、返聘等各种过程下的用户账户权限的调整,可根据策略,自动调整业务系统中的相应角色与权限信息,从而减少人为干预,自动化流程,提升准确性与管理效率。
OneID方案设计:OneID是通过统一的实体识别和连接,打破数据孤岛,实现数据通融。用户、设备等业务实体,在对应的业务数据中,会被映射为唯一识别(UID)上,其各个维度的数据通过这个UID进行关联。各个部门、业务、产品对业务实体的UID的定义和实现不一样,使得数据间无法直接关联,成为了数据孤岛。基于手机号、身份证、邮箱、设备ID等信息,结合业务规则、机器学习、图算法等算法,进行 ID-Mapping,将各种 UID 都映射到统一ID上。通过这个统一ID,便可关联起各个数据孤岛的数据,实现数据通融,以确保业务分析、用户画像等数据应用的准确和全面。
越秀地产用户或客户账号创建时,根据存在的身份ID、手机号、邮箱生成唯一ID,通过HASH加密,并保存其它可能的影响身份的属性作为后期的数据融合,其它属性用Json串存储方便动态扩展。示例:
oneID |
身份ID |
手机号 |
邮箱 |
其它 |
无需编码组合XXXX-XXXX-xxxx |
4XXX0421XXXX |
13xxxxxxx9 |
XXXXXX@163.com |
{"address":"xxx区xx街168号"} |
可以通过设置强融合字段,比如注册用户的手机号或者身份ID相同时,按照客户,员工,供应商领域提供融合服务,结合融合规则的配置根据不同的业务系统需求进行融合。
此外关于跨系统及跨业务类型关联时需要按照客户,员工,供应商领域融合一次数据,完成用户数据的OneID融合。OneId:统一身份平台中的用户ID,用来区分用户为唯一自然人的ID,可以用来查询用户的个人信息,用于与应用系统账号ID做关联,实现用户/客户数据之间的拉通。
多组织管理方案设计:当越秀地产相关系统有新增组织的需求时,子管理员可以按选中的不同组织类型不同的层级的组织推送组织给指定的应用系统。比如选中“越秀地产总部”,则推送这个组织下的所有下级组织给业务系统。
身份数据湖方案设计:身份数据湖是是面向大数据架构的公共服务,数据提取允许连接器从其他数据源获取数据并将其加载到数据湖中。处理所有类型的结构化、半结构化和非结构化数据,围绕管理组织中使用的数据的可用性、安全性和完整性的过程。设计业务数据模型后并在数据库中设计应用策略,业务数据发生变更时,更新模型数据;安全性需要在数据湖的每一层实现。它从存储、发掘和消费开始。它应支持使用易于浏览的GUI和仪表盘访问数据的各种工具。身份验证、计费、授权和数据保护是数据湖安全的一些重要特性。数据质量是数据湖架构的重要组成部分。数据被用于提取商业价值。从质量差的数据中洞察会导致低质量的洞察结果。
四、客户效果反馈:
系统建设前越秀地产客户、供应商、员工未形成统一身份和统一认证体系,未实现用户身份、用户属性、用户行为、用户生命周期的统一集约化管理,且认证方式单一、安全级别较低。2021年系统建设后,统一身份平台成为越秀地产系统安全基础设施之一,主要管理效益如下:
另外一个方面,通过标准规范的业务操作,从用户的角度发现数据质量问题,后端倒推前端,总结问题,改善应用体验,从而提升客户满意度和公司美誉度。
将系统建设得更加坚固、稳定,具备更强大的服务能力,推广应用系统,通过统一身份平台的建设,提升越秀地产管理的效率。
平台建设后覆盖越秀地产百万量级用户、客户、业主、数百应用系统,集中建设身份管理和认证管理系统避免了各系统重复建设,节约了时间和经济成本。
可以预见随着越秀地产的不断发展,越秀统一身份平台将来扩大应用集成范围,推广实施更多板块、子公司使用系统,其它价值如下:
账户分类:同时统一身份平台建设明确了内部用户、外包人员、公共账户标准体系,避免了安全隐患。
密码自动化管理:建立统一密码标准,解决了跨越产品间的密码管理机制。
划分认证分级:针对分类账户的认证安全访问机制。
认证能力提升:增加了多因子认证,避免数据泄露风险。