有声,好看的小说完本推荐,好看的历史书籍推荐

特權(quán)賬號，是通往企業(yè)數(shù)據(jù)大門的“鑰匙”。一旦特權(quán)賬號被竊取，企業(yè)關(guān)鍵IT資產(chǎn)和數(shù)據(jù)資源就對攻擊者“城門洞開”。特權(quán)賬號如此重要，企業(yè)對特權(quán)賬號的管理卻難言規(guī)范。首先，企業(yè)的特權(quán)賬號往往分布散、數(shù)量多、權(quán)限大，缺乏統(tǒng)一的管理平臺和規(guī)范的管理機制，導致賬號資源混亂、密碼策略難以落地。其次，特權(quán)賬號普遍多人共享，責任難以落實到人，不利于風險監(jiān)測和追蹤溯源。面對特權(quán)賬號管理難題，某大型能源集團（以下簡稱“A集團”）選擇與芯盾時代攜手，重構(gòu)企業(yè)身份管理體系，基于“身份”構(gòu)建新型特權(quán)賬號管理系統(tǒng)，消除身份管理中的“運維壁壘”，讓身份信息貫穿運維管理全流程。

項目背景

A集團作為行業(yè)龍頭企業(yè)，不斷提升業(yè)務(wù)數(shù)字化水平，建設(shè)了多個業(yè)務(wù)應(yīng)用。隨著網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、安全設(shè)備的持續(xù)增加，A集團面臨著員工身份管理和特權(quán)賬號管理的多重挑戰(zhàn)：1.員工身份源分散，身份管理不統(tǒng)一A集團在不同時期先后建立了多個身份管理平臺，分別納管不同業(yè)務(wù)應(yīng)用的員工身份。這些平臺的擴展能力有限，難以對接新的應(yīng)用，造成IT系統(tǒng)內(nèi)多個平臺、多個應(yīng)用的身份源并存。運維人員需同時管理多個身份系統(tǒng)，員工需要使用多個賬號，既增加運維工作量、影響員工的操作體驗，又造成了安全隱患。2.業(yè)務(wù)應(yīng)用認證方式不一，安全性不足由于多個身份管理平臺并行，員工需要采用不同的認證方式，反復登錄不同的平臺和應(yīng)用。為了簡化操作，員工普遍選擇簡化密碼、復用密碼，身份認證的安全性難以保證。3.特權(quán)賬號管理能力不足，責任落實不到人A集團的特權(quán)賬號普遍多人共用，特權(quán)賬號的登錄、操作行為難以管理、追溯，管理責任落實不到具體的人。為了提升保證IT運維的安全性，A集團部署了堡壘機，但仍舊無法實現(xiàn)特權(quán)賬號的加密存儲和定期改密。4.缺少風險管控體系，無法管控身份側(cè)風險受限于身份源混亂，以及有身份管理平臺訪問控制能力不足，A集團無法基于身份信息實施進行細粒度的訪問控制，也無法對各個業(yè)務(wù)應(yīng)用的敏感數(shù)據(jù)進行脫密處理，給數(shù)據(jù)安全造成了不利影響。

方案設(shè)計

芯盾時代根據(jù)A集團的IT架構(gòu)與實際需求，結(jié)合豐富的大型企業(yè)身份安全項目經(jīng)驗，基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）、特權(quán)賬號管理系統(tǒng)化（PAM）、應(yīng)用安全網(wǎng)關(guān)（ECG），為其建立了統(tǒng)一身份管理平臺，全面提升身份安全水平。方案功能與設(shè)計如下：1.芯盾時代用戶身份與訪問管理平臺（IAM）：利用IAM替換原有的身份管理平臺，整合原本分散的身份源，基于HR系統(tǒng)為員工生成唯一可信身份。IAM接管所有業(yè)務(wù)應(yīng)用的身份認證、權(quán)限管理、安全審計，最終實現(xiàn)身份信息、身份認證、權(quán)限管理、安全審計的“四個統(tǒng)一”，并提供應(yīng)用門戶和單點登錄功能，員工只需認證一次就能登錄所有權(quán)限內(nèi)的應(yīng)用。2.芯盾時代特權(quán)賬號管理系統(tǒng)（PAM）：利用IAM提供的員工身份信息，將特權(quán)賬號與運維人員身份相關(guān)聯(lián)。由PAM統(tǒng)一管理所有特權(quán)賬號，對賬號集中加密存儲,實施定期改密。3.芯盾時代應(yīng)用安全網(wǎng)關(guān)（ECG）：由ECG統(tǒng)一代理業(yè)務(wù)應(yīng)用的訪問流量，基于身份信息實施細粒度的動態(tài)訪問控制，對訪問流量中的敏感數(shù)據(jù)進行脫敏處理。

客戶價值

統(tǒng)一身份認證平臺建成后，A集團實現(xiàn)了員工身份、特權(quán)賬號的規(guī)范化管理，在提升身份安全能力的同時，為員工、運維人員提供了更好的操作體驗。1.建立統(tǒng)一身份管理平臺，員工身份規(guī)范化管理改造完成后，A集團為每一名員工生成了唯一的可信數(shù)字身份，建立了規(guī)范化的身份管理制度，明確了責任部門，既實現(xiàn)了對下屬企業(yè)的統(tǒng)一身份管理，提升了組織管理能力，又統(tǒng)一了業(yè)務(wù)應(yīng)用的身份信息，提升了IT管理能力。借助統(tǒng)一身份管理平臺，管理員能夠在同一個后臺配置各個業(yè)務(wù)應(yīng)用的認證策略、訪問權(quán)限，實現(xiàn)IT的運維的“歸口管理”；能夠?qū)T工的每一次訪問行為進行統(tǒng)一審計，讓身份信息貫穿業(yè)務(wù)訪問的全流程。2.全局實施雙因素認證，提升身份安全水平統(tǒng)一身份管理平臺接管網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用的認證模塊后，A集團實現(xiàn)了全局的雙因素認證，提升了身份認證的安全性。芯盾時代為A集團建立了統(tǒng)一應(yīng)用門戶，配合單點登錄功能，員工只需認證一次，就能在門戶中直接進入有權(quán)限的業(yè)務(wù)應(yīng)用，實現(xiàn)“一次認證，全網(wǎng)通行”。3.搭建特權(quán)賬號管理系統(tǒng)，提升安全管理能力改造完成后，A集團建立了“IAM+PAM+堡壘機”的運維管理架構(gòu)：IAM基于唯一的可信數(shù)字身份，將每一個特權(quán)賬號與運維人員的身份信息相關(guān)聯(lián)，讓每一次運維操作可以追溯到人；所有特權(quán)賬號由PAM集中加密存儲，按照策略定期改密，提升特權(quán)賬號的安全性；運維人員通過統(tǒng)一應(yīng)用門戶登錄堡壘機后，從PAM實時獲取網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、和安全設(shè)備的特權(quán)賬號密碼，堡壘機中不存儲密碼，保證了運維操作的安全性。改造過程中，A集團重新梳理了特權(quán)賬號資產(chǎn)，優(yōu)化了IT運維制度，IT運維更加規(guī)范，為后續(xù)的信息化建設(shè)奠定了基礎(chǔ)。4.動態(tài)監(jiān)測身份安全風險，保障業(yè)務(wù)應(yīng)用安全訪問應(yīng)用安全網(wǎng)關(guān)（ECG）統(tǒng)一代理應(yīng)用訪問流量后，A集團能夠綜合身份、設(shè)備、時間、網(wǎng)絡(luò)等信息實施細粒度的動態(tài)訪問控制，對非常用設(shè)備訪問、非常用網(wǎng)絡(luò)訪問等風險行為實施二次認證、阻斷等控制措施。ECG能夠自動偵測流量中的敏感數(shù)據(jù)，按照預定策略對敏感數(shù)據(jù)進行脫敏，避免數(shù)據(jù)泄露。

芯盾視點

數(shù)字化轉(zhuǎn)型背景下，對員工數(shù)字身份的管理能力是企業(yè)IT管理能力、組織管理能力的重要組成部分。企業(yè)在進行身份安全建設(shè)時必須具備全局視角，統(tǒng)籌各種與員工身份相關(guān)的IT建設(shè)項目。A集團的此次改造，將特權(quán)賬號管理納入員工身份管理體系之中，不但提升了運維工作的可控性、安全性，還打破長久以來對運維管理的技術(shù)壁壘，提升運維管理的規(guī)范性，能夠更好的保護企業(yè)資產(chǎn)和業(yè)務(wù)安全，為企業(yè)信息化建設(shè)提供長遠保障。

往期 · 推薦

客戶案例丨芯盾時代助力某大型能源央企建設(shè)“統(tǒng)一身份認證平臺” 重構(gòu)數(shù)字化轉(zhuǎn)型安全基石

客戶案例丨華夏基金：以數(shù)字化身份建設(shè)，支撐企業(yè)數(shù)字化轉(zhuǎn)型

客戶案例丨安信證券：券商數(shù)字化轉(zhuǎn)型 “身份安全”要先行

中國日報社×芯盾時代丨以“身份安全”為基石，助力國家級媒體信息化建設(shè)

原文標題：客戶案例丨某大型能源集團重構(gòu)企業(yè)身份管理體系筑牢特權(quán)賬號安全防線

文章出處：【微信公眾號：芯盾時代】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴