項(xiàng)目背景
A集團(tuán)作為行業(yè)龍頭企業(yè),不斷提升業(yè)務(wù)數(shù)字化水平,建設(shè)了多個(gè)業(yè)務(wù)應(yīng)用。隨著網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、安全設(shè)備的持續(xù)增加,A集團(tuán)面臨著員工身份管理和特權(quán)賬號(hào)管理的多重挑戰(zhàn):1.員工身份源分散,身份管理不統(tǒng)一A集團(tuán)在不同時(shí)期先后建立了多個(gè)身份管理平臺(tái),分別納管不同業(yè)務(wù)應(yīng)用的員工身份。這些平臺(tái)的擴(kuò)展能力有限,難以對(duì)接新的應(yīng)用,造成IT系統(tǒng)內(nèi)多個(gè)平臺(tái)、多個(gè)應(yīng)用的身份源并存。運(yùn)維人員需同時(shí)管理多個(gè)身份系統(tǒng),員工需要使用多個(gè)賬號(hào),既增加運(yùn)維工作量、影響員工的操作體驗(yàn),又造成了安全隱患。2.業(yè)務(wù)應(yīng)用認(rèn)證方式不一,安全性不足由于多個(gè)身份管理平臺(tái)并行,員工需要采用不同的認(rèn)證方式,反復(fù)登錄不同的平臺(tái)和應(yīng)用。為了簡(jiǎn)化操作,員工普遍選擇簡(jiǎn)化密碼、復(fù)用密碼,身份認(rèn)證的安全性難以保證。3.特權(quán)賬號(hào)管理能力不足,責(zé)任落實(shí)不到人A集團(tuán)的特權(quán)賬號(hào)普遍多人共用,特權(quán)賬號(hào)的登錄、操作行為難以管理、追溯,管理責(zé)任落實(shí)不到具體的人。為了提升保證IT運(yùn)維的安全性,A集團(tuán)部署了堡壘機(jī),但仍舊無(wú)法實(shí)現(xiàn)特權(quán)賬號(hào)的加密存儲(chǔ)和定期改密。4.缺少風(fēng)險(xiǎn)管控體系,無(wú)法管控身份側(cè)風(fēng)險(xiǎn)受限于身份源混亂,以及有身份管理平臺(tái)訪問控制能力不足,A集團(tuán)無(wú)法基于身份信息實(shí)施進(jìn)行細(xì)粒度的訪問控制,也無(wú)法對(duì)各個(gè)業(yè)務(wù)應(yīng)用的敏感數(shù)據(jù)進(jìn)行脫密處理,給數(shù)據(jù)安全造成了不利影響。方案設(shè)計(jì)
芯盾時(shí)代根據(jù)A集團(tuán)的IT架構(gòu)與實(shí)際需求,結(jié)合豐富的大型企業(yè)身份安全項(xiàng)目經(jīng)驗(yàn),基于自主研發(fā)的用戶身份與訪問管理平臺(tái)(IAM)、特權(quán)賬號(hào)管理系統(tǒng)化(PAM)、應(yīng)用安全網(wǎng)關(guān)(ECG),為其建立了統(tǒng)一身份管理平臺(tái),全面提升身份安全水平。方案功能與設(shè)計(jì)如下:1.芯盾時(shí)代用戶身份與訪問管理平臺(tái)(IAM):利用IAM替換原有的身份管理平臺(tái),整合原本分散的身份源,基于HR系統(tǒng)為員工生成唯一可信身份。IAM接管所有業(yè)務(wù)應(yīng)用的身份認(rèn)證、權(quán)限管理、安全審計(jì),最終實(shí)現(xiàn)身份信息、身份認(rèn)證、權(quán)限管理、安全審計(jì)的“四個(gè)統(tǒng)一”,并提供應(yīng)用門戶和單點(diǎn)登錄功能,員工只需認(rèn)證一次就能登錄所有權(quán)限內(nèi)的應(yīng)用。2.芯盾時(shí)代特權(quán)賬號(hào)管理系統(tǒng)(PAM):利用IAM提供的員工身份信息,將特權(quán)賬號(hào)與運(yùn)維人員身份相關(guān)聯(lián)。由PAM統(tǒng)一管理所有特權(quán)賬號(hào),對(duì)賬號(hào)集中加密存儲(chǔ),實(shí)施定期改密。3.芯盾時(shí)代應(yīng)用安全網(wǎng)關(guān)(ECG):由ECG統(tǒng)一代理業(yè)務(wù)應(yīng)用的訪問流量,基于身份信息實(shí)施細(xì)粒度的動(dòng)態(tài)訪問控制,對(duì)訪問流量中的敏感數(shù)據(jù)進(jìn)行脫敏處理。客戶價(jià)值
統(tǒng)一身份認(rèn)證平臺(tái)建成后,A集團(tuán)實(shí)現(xiàn)了員工身份、特權(quán)賬號(hào)的規(guī)范化管理,在提升身份安全能力的同時(shí),為員工、運(yùn)維人員提供了更好的操作體驗(yàn)。1.建立統(tǒng)一身份管理平臺(tái),員工身份規(guī)范化管理改造完成后,A集團(tuán)為每一名員工生成了唯一的可信數(shù)字身份,建立了規(guī)范化的身份管理制度,明確了責(zé)任部門,既實(shí)現(xiàn)了對(duì)下屬企業(yè)的統(tǒng)一身份管理,提升了組織管理能力,又統(tǒng)一了業(yè)務(wù)應(yīng)用的身份信息,提升了IT管理能力。借助統(tǒng)一身份管理平臺(tái),管理員能夠在同一個(gè)后臺(tái)配置各個(gè)業(yè)務(wù)應(yīng)用的認(rèn)證策略、訪問權(quán)限,實(shí)現(xiàn)IT的運(yùn)維的“歸口管理”;能夠?qū)T工的每一次訪問行為進(jìn)行統(tǒng)一審計(jì),讓身份信息貫穿業(yè)務(wù)訪問的全流程。2.全局實(shí)施雙因素認(rèn)證,提升身份安全水平統(tǒng)一身份管理平臺(tái)接管網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用的認(rèn)證模塊后,A集團(tuán)實(shí)現(xiàn)了全局的雙因素認(rèn)證,提升了身份認(rèn)證的安全性。芯盾時(shí)代為A集團(tuán)建立了統(tǒng)一應(yīng)用門戶,配合單點(diǎn)登錄功能,員工只需認(rèn)證一次,就能在門戶中直接進(jìn)入有權(quán)限的業(yè)務(wù)應(yīng)用,實(shí)現(xiàn)“一次認(rèn)證,全網(wǎng)通行”。3.搭建特權(quán)賬號(hào)管理系統(tǒng),提升安全管理能力改造完成后,A集團(tuán)建立了“IAM+PAM+堡壘機(jī)”的運(yùn)維管理架構(gòu):IAM基于唯一的可信數(shù)字身份,將每一個(gè)特權(quán)賬號(hào)與運(yùn)維人員的身份信息相關(guān)聯(lián),讓每一次運(yùn)維操作可以追溯到人;所有特權(quán)賬號(hào)由PAM集中加密存儲(chǔ),按照策略定期改密,提升特權(quán)賬號(hào)的安全性;運(yùn)維人員通過統(tǒng)一應(yīng)用門戶登錄堡壘機(jī)后,從PAM實(shí)時(shí)獲取網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、和安全設(shè)備的特權(quán)賬號(hào)密碼,堡壘機(jī)中不存儲(chǔ)密碼,保證了運(yùn)維操作的安全性。改造過程中,A集團(tuán)重新梳理了特權(quán)賬號(hào)資產(chǎn),優(yōu)化了IT運(yùn)維制度,IT運(yùn)維更加規(guī)范,為后續(xù)的信息化建設(shè)奠定了基礎(chǔ)。4.動(dòng)態(tài)監(jiān)測(cè)身份安全風(fēng)險(xiǎn),保障業(yè)務(wù)應(yīng)用安全訪問應(yīng)用安全網(wǎng)關(guān)(ECG)統(tǒng)一代理應(yīng)用訪問流量后,A集團(tuán)能夠綜合身份、設(shè)備、時(shí)間、網(wǎng)絡(luò)等信息實(shí)施細(xì)粒度的動(dòng)態(tài)訪問控制,對(duì)非常用設(shè)備訪問、非常用網(wǎng)絡(luò)訪問等風(fēng)險(xiǎn)行為實(shí)施二次認(rèn)證、阻斷等控制措施。ECG能夠自動(dòng)偵測(cè)流量中的敏感數(shù)據(jù),按照預(yù)定策略對(duì)敏感數(shù)據(jù)進(jìn)行脫敏,避免數(shù)據(jù)泄露。芯盾視點(diǎn)
數(shù)字化轉(zhuǎn)型背景下,對(duì)員工數(shù)字身份的管理能力是企業(yè)IT管理能力、組織管理能力的重要組成部分。企業(yè)在進(jìn)行身份安全建設(shè)時(shí)必須具備全局視角,統(tǒng)籌各種與員工身份相關(guān)的IT建設(shè)項(xiàng)目。A集團(tuán)的此次改造,將特權(quán)賬號(hào)管理納入員工身份管理體系之中,不但提升了運(yùn)維工作的可控性、安全性,還打破長(zhǎng)久以來(lái)對(duì)運(yùn)維管理的技術(shù)壁壘,提升運(yùn)維管理的規(guī)范性,能夠更好的保護(hù)企業(yè)資產(chǎn)和業(yè)務(wù)安全,為企業(yè)信息化建設(shè)提供長(zhǎng)遠(yuǎn)保障。
往期 · 推薦
客戶案例丨芯盾時(shí)代助力某大型能源央企建設(shè)“統(tǒng)一身份認(rèn)證平臺(tái)” 重構(gòu)數(shù)字化轉(zhuǎn)型安全基石
客戶案例丨華夏基金:以數(shù)字化身份建設(shè),支撐企業(yè)數(shù)字化轉(zhuǎn)型
客戶案例丨安信證券:券商數(shù)字化轉(zhuǎn)型 “身份安全”要先行
中國(guó)日?qǐng)?bào)社×芯盾時(shí)代丨以“身份安全”為基石,助力國(guó)家級(jí)媒體信息化建設(shè)
原文標(biāo)題:客戶案例丨某大型能源集團(tuán)重構(gòu)企業(yè)身份管理體系 筑牢特權(quán)賬號(hào)安全防線
文章出處:【微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
芯盾時(shí)代
+關(guān)注
關(guān)注
0文章
181瀏覽量
1798
原文標(biāo)題:客戶案例丨某大型能源集團(tuán)重構(gòu)企業(yè)身份管理體系 筑牢特權(quán)賬號(hào)安全防線
文章出處:【微信號(hào):trusfort,微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論