客戶案例丨某大型能源集團重構企業身份管理體系 筑牢特權賬號安全防線
特權賬號,是通往企業數據大門的“鑰匙”。一旦特權賬號被竊取,企業關鍵IT資產和數據資源就對攻擊者“城門洞開”。特權賬號如此重要,企業對特權賬號的管理卻難言規范。首先,企業的特權賬號往往分布散、數量多、權限大,缺乏統一的管理平臺和規范的管理機制,導致賬號資源混亂、密碼策略難以落地。其次,特權賬號普遍多人共享,責任難以落實到人,不利于風險監測和追蹤溯源。面對特權賬號管理難題,某大型能源集團(以下簡稱“A集團”)選擇與芯盾時代攜手,重構企業身份管理體系,基于“身份”構建新型特權賬號管理系統,消除身份管理中的“運維壁壘”,讓身份信息貫穿運維管理全流程。
項目背景
A集團作為行業龍頭企業,不斷提升業務數字化水平,建設了多個業務應用。隨著網絡設備、業務應用、安全設備的持續增加,A集團面臨著員工身份管理和特權賬號管理的多重挑戰:1.員工身份源分散,身份管理不統一A集團在不同時期先后建立了多個身份管理平臺,分別納管不同業務應用的員工身份。這些平臺的擴展能力有限,難以對接新的應用,造成IT系統內多個平臺、多個應用的身份源并存。運維人員需同時管理多個身份系統,員工需要使用多個賬號,既增加運維工作量、影響員工的操作體驗,又造成了安全隱患。2.業務應用認證方式不一,安全性不足由于多個身份管理平臺并行,員工需要采用不同的認證方式,反復登錄不同的平臺和應用。為了簡化操作,員工普遍選擇簡化密碼、復用密碼,身份認證的安全性難以保證。3.特權賬號管理能力不足,責任落實不到人A集團的特權賬號普遍多人共用,特權賬號的登錄、操作行為難以管理、追溯,管理責任落實不到具體的人。為了提升保證IT運維的安全性,A集團部署了堡壘機,但仍舊無法實現特權賬號的加密存儲和定期改密。4.缺少風險管控體系,無法管控身份側風險受限于身份源混亂,以及有身份管理平臺訪問控制能力不足,A集團無法基于身份信息實施進行細粒度的訪問控制,也無法對各個業務應用的敏感數據進行脫密處理,給數據安全造成了不利影響。方案設計
芯盾時代根據A集團的IT架構與實際需求,結合豐富的大型企業身份安全項目經驗,基于自主研發的用戶身份與訪問管理平臺(IAM)、特權賬號管理系統化(PAM)、應用安全網關(ECG),為其建立了統一身份管理平臺,全面提升身份安全水平。方案功能與設計如下:1.芯盾時代用戶身份與訪問管理平臺(IAM):利用IAM替換原有的身份管理平臺,整合原本分散的身份源,基于HR系統為員工生成唯一可信身份。IAM接管所有業務應用的身份認證、權限管理、安全審計,最終實現身份信息、身份認證、權限管理、安全審計的“四個統一”,并提供應用門戶和單點登錄功能,員工只需認證一次就能登錄所有權限內的應用。2.芯盾時代特權賬號管理系統(PAM):利用IAM提供的員工身份信息,將特權賬號與運維人員身份相關聯。由PAM統一管理所有特權賬號,對賬號集中加密存儲,實施定期改密。3.芯盾時代應用安全網關(ECG):由ECG統一代理業務應用的訪問流量,基于身份信息實施細粒度的動態訪問控制,對訪問流量中的敏感數據進行脫敏處理。客戶價值
統一身份認證平臺建成后,A集團實現了員工身份、特權賬號的規范化管理,在提升身份安全能力的同時,為員工、運維人員提供了更好的操作體驗。1.建立統一身份管理平臺,員工身份規范化管理改造完成后,A集團為每一名員工生成了唯一的可信數字身份,建立了規范化的身份管理制度,明確了責任部門,既實現了對下屬企業的統一身份管理,提升了組織管理能力,又統一了業務應用的身份信息,提升了IT管理能力。借助統一身份管理平臺,管理員能夠在同一個后臺配置各個業務應用的認證策略、訪問權限,實現IT的運維的“歸口管理”;能夠對員工的每一次訪問行為進行統一審計,讓身份信息貫穿業務訪問的全流程。2.全局實施雙因素認證,提升身份安全水平統一身份管理平臺接管網絡設備、業務應用的認證模塊后,A集團實現了全局的雙因素認證,提升了身份認證的安全性。芯盾時代為A集團建立了統一應用門戶,配合單點登錄功能,員工只需認證一次,就能在門戶中直接進入有權限的業務應用,實現“一次認證,全網通行”。3.搭建特權賬號管理系統,提升安全管理能力改造完成后,A集團建立了“IAM+PAM+堡壘機”的運維管理架構:IAM基于唯一的可信數字身份,將每一個特權賬號與運維人員的身份信息相關聯,讓每一次運維操作可以追溯到人;所有特權賬號由PAM集中加密存儲,按照策略定期改密,提升特權賬號的安全性;運維人員通過統一應用門戶登錄堡壘機后,從PAM實時獲取網絡設備、業務應用、和安全設備的特權賬號密碼,堡壘機中不存儲密碼,保證了運維操作的安全性。改造過程中,A集團重新梳理了特權賬號資產,優化了IT運維制度,IT運維更加規范,為后續的信息化建設奠定了基礎。4.動態監測身份安全風險,保障業務應用安全訪問應用安全網關(ECG)統一代理應用訪問流量后,A集團能夠綜合身份、設備、時間、網絡等信息實施細粒度的動態訪問控制,對非常用設備訪問、非常用網絡訪問等風險行為實施二次認證、阻斷等控制措施。ECG能夠自動偵測流量中的敏感數據,按照預定策略對敏感數據進行脫敏,避免數據泄露。芯盾視點
數字化轉型背景下,對員工數字身份的管理能力是企業IT管理能力、組織管理能力的重要組成部分。企業在進行身份安全建設時必須具備全局視角,統籌各種與員工身份相關的IT建設項目。A集團的此次改造,將特權賬號管理納入員工身份管理體系之中,不但提升了運維工作的可控性、安全性,還打破長久以來對運維管理的技術壁壘,提升運維管理的規范性,能夠更好的保護企業資產和業務安全,為企業信息化建設提供長遠保障。
往期 · 推薦
客戶案例丨芯盾時代助力某大型能源央企建設“統一身份認證平臺” 重構數字化轉型安全基石
客戶案例丨華夏基金:以數字化身份建設,支撐企業數字化轉型
客戶案例丨安信證券:券商數字化轉型 “身份安全”要先行
中國日報社×芯盾時代丨以“身份安全”為基石,助力國家級媒體信息化建設
原文標題:客戶案例丨某大型能源集團重構企業身份管理體系 筑牢特權賬號安全防線
文章出處:【微信公眾號:芯盾時代】歡迎添加關注!文章轉載請注明出處。
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
芯盾時代
+關注
關注
0文章
191瀏覽量
1812
原文標題:客戶案例丨某大型能源集團重構企業身份管理體系 筑牢特權賬號安全防線
文章出處:【微信號:trusfort,微信公眾號:芯盾時代】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
賽思×廣東移動 | 賽思攜手國內最大運營商省公司,筑牢超1.1億用戶移動通信安全防線!
賽思攜手廣東移動,增強核心骨干同步網授時性能,筑牢移動網絡安全每一道防線,讓時間“黑客”無機可乘!
海瑞思雙工位電解液質譜檢漏解決方案為新能源汽車產業持續發展筑牢安全防線
。 海瑞思,作為密封泄漏檢測行業的佼佼者,響應市場需求,以HM-200在線質譜分析儀為核心,打造鋰電池漏液一站式解決方案,精準高效檢測,助力電池廠家嚴守質量關,為新能源汽車產業持續發展筑牢安全
新能源光伏工廠的安全防線——安科瑞母線槽紅外測溫上線
難題,成為了保障工廠安全的關鍵防線。隨著技術的不斷發展和應用,相信這一安全防線將更加堅固,為我國新能源光伏產業的蓬勃發展保駕護航,助力國家早日實現碳達峰、碳中和目標。
芯海科技榮獲ISO/IEC 27001信息安全管理體系認證
近日,芯海科技成功獲得國際知名認證機構德國萊茵TüV集團頒發的ISO/IEC 27001信息安全管理體系認證。這一認證不僅標志著芯海科技在信息安全管
芯盾時代:構建新型身份管理體系,筑牢數字安全屏障
在企業數字化轉型的進程中,“身份”作為聯通物理世界和數字世界的橋梁,重要性日益凸顯。如果對數字身份的管理能力不足,不但增加員工的負擔,影響業務運轉,還有可能帶來網絡
芯海科技榮獲ISO/IEC 27001信息安全管理體系認證
近日,芯海科技(股票代碼:688595)榮獲國際知名認證機構德國萊茵TüV集團頒授的ISO/IEC 27001信息安全管理體系認證。這一認證標志著芯海科技在信息安全
發表于 05-22 11:13
?206次閱讀
芯海科技榮獲ISO/IEC?27001信息安全管理體系認證
近日,芯海科技(股票代碼:688595)榮獲國際知名認證機構德國萊茵TüV集團頒授的ISO/IEC27001信息安全管理體系認證。這一認證標志著芯海科技在信息安全
季豐電子成功通過ISO/IEC 27001信息安全管理體系認證!
上海季豐電子股份有限公司成功通過萊茵認證機構ISO/IEC 27001信息安全管理體系認證!
昂寶電子獲得ISO 26262功能安全管理體系ASIL D認證證書
全球知名的國際認證機構德國萊茵TüV集團(以下簡稱“TüV萊茵”)正式向昂寶電子(上海)有限公司(以下簡稱“昂寶電子”)頒發ISO 26262 功能安全管理體系ASIL D認證證書,標志著昂寶電子已成功建立車規產品完整的開發流程
超星未來通過ISO 26262功能安全管理體系ASIL D認證
近日,獨立第三方檢測、檢驗和認證機構德國萊茵TüV集團(以下簡稱“TüV萊茵”)正式向超星未來頒發 ISO 26262 功能安全管理體系 ASIL D 認證證書。
廣芯微電子通過ISO26262功能安全管理體系認證
2024年3月25日,獨立第三方檢測、檢驗和認證機構德國萊茵TüV集團(簡稱“TüV萊茵”)正式向廣芯微電子(廣州)股份有限公司(簡稱“廣芯微”)頒發ISO 26262 功能安全管理體系ASIL D
特權賬號管理的那些坑,芯盾時代PAM幫你踩平!
特權賬號,是指數據中心內部,分布在主機、網絡設備、數據庫等資產上具有較高訪問權限的賬號,衍生到一切資產上具有可訪問權限的賬號。
中標喜訊 | 芯盾時代中標某上市能源集團 以零信任實現動態身份訪問及權限管控
規范化管理體系,不斷提升企業業務系統的可用性和安全性。 項目背景 隨著集團不斷提升業務數字化水平,各種業務應用、用戶數量、網絡設備等也在不斷增長,信息
加特蘭通過ISO/IEC 27001信息安全管理體系認證
近日,加特蘭正式通過德國萊茵TüV ISO/IEC 27001:2013信息安全管理體系認證,標志著加特蘭建立了全面的信息安全管理體系框架,信息安全
工商網監
評論