案例背景

为加速企业财务管理的智能化转型，某电力行业集团财务有限公司成功建设了一套覆盖集团全国成员单位3300名财务人员的网银系统及财务共享中心系统。随着集团网银业务及财务共享中心规模的迅速扩大，企业安全风险逐渐上升，各项问题也日益凸显。

传统的边界安全失去防御功能

传统的边界防护和静态可信认证难以保证准确安全。传统的网络安全构建在“信任”基础上，认为位于边界内部的网络是“可依赖”的，不存在身份欺骗和资源滥用等安全威胁。在实际应用中，基于网络边界建立的“信任”逐渐暴露出0day漏洞，原本依赖的边界防护演化为安全的致命弱点。仅通过简单认证用户身份、静态和粗粒度的访问控制，已经不足以满足当前的安全需求。即使随着边界安全模型产品的升级，仍无法有效阻止各种安全攻击。

专线建设成本高，运维困难

该集团网银系统通过互联网发布，面临着不断涌现的新型网络安全攻击，例如0day攻击、勒索病毒攻击以及供应链安全威胁等。财务共享系统通过集团广域网实现与27家共享中心数据的交互，但广域网通道存在故障难以定位，流量难以监控等问题，运维工作量较大，重复性工作较多。专线的建设及维护费用激增，亟需数字化智能化运维方案，提升安全保障工作效率。

方案简介

为解决资金管理信息系统在互联网及广域网的数据加密与身份认证难题，信安世纪联合该集团财务公司提出资金管理信息系统(RPA人工智能)密码应用建设方案。

方案包含商用密码技术、零信任架构、RPA流程机器人等前沿技术，以商用密码为基石，身份认证为基础，人工智能RPA为核心，零信任为体系，保障用户和设备的合法性。为网络中的人、设备、应用都赋予逻辑身份，并基于身份进行细粒度的权限设置和判定。

该方案曾荣获“工业和信息化领域商用密码典型建设方案”荣誉奖项。

RPA人工智能+商用密码

在密码应用的安全防护下，RPA人工智能可以7×24小时不间断工作，弥补了人员工作精力及工作时间有限的不足。对于那些操作流程标准化、重复性高且频繁、涉及结构化数据，以及数据电子化传输的各类工作均可使用RPA人工智能进行替代，降本增效的同时有效防止数据被篡改或泄漏。

RPA+零信任互相结合

利用人工智能算法，实时准确进行可信评估，有效进行身份验证。用户可信认证利用RPA机器人模拟人工对用户可信度评级，根据用户使用习惯、设备变更情况和使用时间变化动态计算信任值，提供不同强度的身份验证方式。

零信任+商用密码

以商用密码为核心提供数字化、智慧化的多维度身份认证，通过部署零信任SDP网关、签名验签服务器、银企互联安全网关等产品，依托IAM信任策略中心、零信任客户端、沙箱等系统，保证业务数据加密存储，实现通信双方的可信认证以及安全通讯。

方案价值

方案从物理环境层面、网络通信层面、设备计算层面、应用数据层面及管理制度等方面进行了密码应用设计，保障了集团财务公司密码安全应用的同时，节省了大量人力物力，在行业内具有灯塔效应，可以在同行业中迅速推广，具有极大的示范效应。

经济效益

本方案将三大技术有机结合，以商用密码技术为基础，依托零信任重新定义信任边界，借助RPA流程机器人实现持续的身份认证和动态访问控制。将节省千万级的共享中心等级保护三级建设费用、网络安全类信息化建设费用、专线建设费用及信息化维护人工费用。

社会效益

本方案将三大技术有机结合，能发现并解决各种身份欺诈风险及终端安全风险。同时，通过机器学习对未来风险进行预估，可以实时发现并解决企业用户新的行为风险，为企业新时期信息化建设或信息化数字转型提供了有效的安全保障。