欢乐颂第二季,如何发布网络小说,玄幻小说改编的电视剧

特權賬號，是通往企業數據大門的“鑰匙”。一旦特權賬號被竊取，企業關鍵IT資產和數據資源就對攻擊者“城門洞開”。特權賬號如此重要，企業對特權賬號的管理卻難言規范。首先，企業的特權賬號往往分布散、數量多、權限大，缺乏統一的管理平臺和規范的管理機制，導致賬號資源混亂、密碼策略難以落地。其次，特權賬號普遍多人共享，責任難以落實到人，不利于風險監測和追蹤溯源。面對特權賬號管理難題，某大型能源集團（以下簡稱“A集團”）選擇與芯盾時代攜手，重構企業身份管理體系，基于“身份”構建新型特權賬號管理系統，消除身份管理中的“運維壁壘”，讓身份信息貫穿運維管理全流程。

項目背景

A集團作為行業龍頭企業，不斷提升業務數字化水平，建設了多個業務應用。隨著網絡設備、業務應用、安全設備的持續增加，A集團面臨著員工身份管理和特權賬號管理的多重挑戰：1.員工身份源分散，身份管理不統一A集團在不同時期先后建立了多個身份管理平臺，分別納管不同業務應用的員工身份。這些平臺的擴展能力有限，難以對接新的應用，造成IT系統內多個平臺、多個應用的身份源并存。運維人員需同時管理多個身份系統，員工需要使用多個賬號，既增加運維工作量、影響員工的操作體驗，又造成了安全隱患。2.業務應用認證方式不一，安全性不足由于多個身份管理平臺并行，員工需要采用不同的認證方式，反復登錄不同的平臺和應用。為了簡化操作，員工普遍選擇簡化密碼、復用密碼，身份認證的安全性難以保證。3.特權賬號管理能力不足，責任落實不到人A集團的特權賬號普遍多人共用，特權賬號的登錄、操作行為難以管理、追溯，管理責任落實不到具體的人。為了提升保證IT運維的安全性，A集團部署了堡壘機，但仍舊無法實現特權賬號的加密存儲和定期改密。4.缺少風險管控體系，無法管控身份側風險受限于身份源混亂，以及有身份管理平臺訪問控制能力不足，A集團無法基于身份信息實施進行細粒度的訪問控制，也無法對各個業務應用的敏感數據進行脫密處理，給數據安全造成了不利影響。

方案設計

芯盾時代根據A集團的IT架構與實際需求，結合豐富的大型企業身份安全項目經驗，基于自主研發的用戶身份與訪問管理平臺（IAM）、特權賬號管理系統化（PAM）、應用安全網關（ECG），為其建立了統一身份管理平臺，全面提升身份安全水平。方案功能與設計如下：1.芯盾時代用戶身份與訪問管理平臺（IAM）：利用IAM替換原有的身份管理平臺，整合原本分散的身份源，基于HR系統為員工生成唯一可信身份。IAM接管所有業務應用的身份認證、權限管理、安全審計，最終實現身份信息、身份認證、權限管理、安全審計的“四個統一”，并提供應用門戶和單點登錄功能，員工只需認證一次就能登錄所有權限內的應用。2.芯盾時代特權賬號管理系統（PAM）：利用IAM提供的員工身份信息，將特權賬號與運維人員身份相關聯。由PAM統一管理所有特權賬號，對賬號集中加密存儲,實施定期改密。3.芯盾時代應用安全網關（ECG）：由ECG統一代理業務應用的訪問流量，基于身份信息實施細粒度的動態訪問控制，對訪問流量中的敏感數據進行脫敏處理。

客戶價值

統一身份認證平臺建成后，A集團實現了員工身份、特權賬號的規范化管理，在提升身份安全能力的同時，為員工、運維人員提供了更好的操作體驗。1.建立統一身份管理平臺，員工身份規范化管理改造完成后，A集團為每一名員工生成了唯一的可信數字身份，建立了規范化的身份管理制度，明確了責任部門，既實現了對下屬企業的統一身份管理，提升了組織管理能力，又統一了業務應用的身份信息，提升了IT管理能力。借助統一身份管理平臺，管理員能夠在同一個后臺配置各個業務應用的認證策略、訪問權限，實現IT的運維的“歸口管理”；能夠對員工的每一次訪問行為進行統一審計，讓身份信息貫穿業務訪問的全流程。2.全局實施雙因素認證，提升身份安全水平統一身份管理平臺接管網絡設備、業務應用的認證模塊后，A集團實現了全局的雙因素認證，提升了身份認證的安全性。芯盾時代為A集團建立了統一應用門戶，配合單點登錄功能，員工只需認證一次，就能在門戶中直接進入有權限的業務應用，實現“一次認證，全網通行”。3.搭建特權賬號管理系統，提升安全管理能力改造完成后，A集團建立了“IAM+PAM+堡壘機”的運維管理架構：IAM基于唯一的可信數字身份，將每一個特權賬號與運維人員的身份信息相關聯，讓每一次運維操作可以追溯到人；所有特權賬號由PAM集中加密存儲，按照策略定期改密，提升特權賬號的安全性；運維人員通過統一應用門戶登錄堡壘機后，從PAM實時獲取網絡設備、業務應用、和安全設備的特權賬號密碼，堡壘機中不存儲密碼，保證了運維操作的安全性。改造過程中，A集團重新梳理了特權賬號資產，優化了IT運維制度，IT運維更加規范，為后續的信息化建設奠定了基礎。4.動態監測身份安全風險，保障業務應用安全訪問應用安全網關（ECG）統一代理應用訪問流量后，A集團能夠綜合身份、設備、時間、網絡等信息實施細粒度的動態訪問控制，對非常用設備訪問、非常用網絡訪問等風險行為實施二次認證、阻斷等控制措施。ECG能夠自動偵測流量中的敏感數據，按照預定策略對敏感數據進行脫敏，避免數據泄露。

芯盾視點

數字化轉型背景下，對員工數字身份的管理能力是企業IT管理能力、組織管理能力的重要組成部分。企業在進行身份安全建設時必須具備全局視角，統籌各種與員工身份相關的IT建設項目。A集團的此次改造，將特權賬號管理納入員工身份管理體系之中，不但提升了運維工作的可控性、安全性，還打破長久以來對運維管理的技術壁壘，提升運維管理的規范性，能夠更好的保護企業資產和業務安全，為企業信息化建設提供長遠保障。

往期 · 推薦

客戶案例丨芯盾時代助力某大型能源央企建設“統一身份認證平臺” 重構數字化轉型安全基石

客戶案例丨華夏基金：以數字化身份建設，支撐企業數字化轉型

客戶案例丨安信證券：券商數字化轉型 “身份安全”要先行

中國日報社×芯盾時代丨以“身份安全”為基石，助力國家級媒體信息化建設

原文標題：客戶案例丨某大型能源集團重構企業身份管理體系筑牢特權賬號安全防線

文章出處：【微信公眾號：芯盾時代】歡迎添加關注！文章轉載請注明出處。

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規問題，請聯系本站處理。舉報投訴