客户案例丨某大型能源集团重构企业身份管理体系筑牢特权账号安全防线-电子发烧友网

特权账号，是通往企业数据大门的“钥匙”。一旦特权账号被窃取，企业关键IT资产和数据资源就对攻击者“城门洞开”。特权账号如此重要，企业对特权账号的管理却难言规范。首先，企业的特权账号往往分布散、数量多、权限大，缺乏统一的管理平台和规范的管理机制，导致账号资源混乱、密码策略难以落地。其次，特权账号普遍多人共享，责任难以落实到人，不利于风险监测和追踪溯源。面对特权账号管理难题，某大型能源集团（以下简称“A集团”）选择与芯盾时代携手，重构企业身份管理体系，基于“身份”构建新型特权账号管理系统，消除身份管理中的“运维壁垒”，让身份信息贯穿运维管理全流程。

项目背景

A集团作为行业龙头企业，不断提升业务数字化水平，建设了多个业务应用。随着网络设备、业务应用、安全设备的持续增加，A集团面临着员工身份管理和特权账号管理的多重挑战：1.员工身份源分散，身份管理不统一A集团在不同时期先后建立了多个身份管理平台，分别纳管不同业务应用的员工身份。这些平台的扩展能力有限，难以对接新的应用，造成IT系统内多个平台、多个应用的身份源并存。运维人员需同时管理多个身份系统，员工需要使用多个账号，既增加运维工作量、影响员工的操作体验，又造成了安全隐患。2.业务应用认证方式不一，安全性不足由于多个身份管理平台并行，员工需要采用不同的认证方式，反复登录不同的平台和应用。为了简化操作，员工普遍选择简化密码、复用密码，身份认证的安全性难以保证。3.特权账号管理能力不足，责任落实不到人A集团的特权账号普遍多人共用，特权账号的登录、操作行为难以管理、追溯，管理责任落实不到具体的人。为了提升保证IT运维的安全性，A集团部署了堡垒机，但仍旧无法实现特权账号的加密存储和定期改密。4.缺少风险管控体系，无法管控身份侧风险受限于身份源混乱，以及有身份管理平台访问控制能力不足，A集团无法基于身份信息实施进行细粒度的访问控制，也无法对各个业务应用的敏感数据进行脱密处理，给数据安全造成了不利影响。

方案设计

芯盾时代根据A集团的IT架构与实际需求，结合丰富的大型企业身份安全项目经验，基于自主研发的用户身份与访问管理平台（IAM）、特权账号管理系统化（PAM）、应用安全网关（ECG），为其建立了统一身份管理平台，全面提升身份安全水平。方案功能与设计如下：1.芯盾时代用户身份与访问管理平台（IAM）：利用IAM替换原有的身份管理平台，整合原本分散的身份源，基于HR系统为员工生成唯一可信身份。IAM接管所有业务应用的身份认证、权限管理、安全审计，最终实现身份信息、身份认证、权限管理、安全审计的“四个统一”，并提供应用门户和单点登录功能，员工只需认证一次就能登录所有权限内的应用。2.芯盾时代特权账号管理系统（PAM）：利用IAM提供的员工身份信息，将特权账号与运维人员身份相关联。由PAM统一管理所有特权账号，对账号集中加密存储,实施定期改密。3.芯盾时代应用安全网关（ECG）：由ECG统一代理业务应用的访问流量，基于身份信息实施细粒度的动态访问控制，对访问流量中的敏感数据进行脱敏处理。

客户价值

统一身份认证平台建成后，A集团实现了员工身份、特权账号的规范化管理，在提升身份安全能力的同时，为员工、运维人员提供了更好的操作体验。1.建立统一身份管理平台，员工身份规范化管理改造完成后，A集团为每一名员工生成了唯一的可信数字身份，建立了规范化的身份管理制度，明确了责任部门，既实现了对下属企业的统一身份管理，提升了组织管理能力，又统一了业务应用的身份信息，提升了IT管理能力。借助统一身份管理平台，管理员能够在同一个后台配置各个业务应用的认证策略、访问权限，实现IT的运维的“归口管理”；能够对员工的每一次访问行为进行统一审计，让身份信息贯穿业务访问的全流程。2.全局实施双因素认证，提升身份安全水平统一身份管理平台接管网络设备、业务应用的认证模块后，A集团实现了全局的双因素认证，提升了身份认证的安全性。芯盾时代为A集团建立了统一应用门户，配合单点登录功能，员工只需认证一次，就能在门户中直接进入有权限的业务应用，实现“一次认证，全网通行”。3.搭建特权账号管理系统，提升安全管理能力改造完成后，A集团建立了“IAM+PAM+堡垒机”的运维管理架构：IAM基于唯一的可信数字身份，将每一个特权账号与运维人员的身份信息相关联，让每一次运维操作可以追溯到人；所有特权账号由PAM集中加密存储，按照策略定期改密，提升特权账号的安全性；运维人员通过统一应用门户登录堡垒机后，从PAM实时获取网络设备、业务应用、和安全设备的特权账号密码，堡垒机中不存储密码，保证了运维操作的安全性。改造过程中，A集团重新梳理了特权账号资产，优化了IT运维制度，IT运维更加规范，为后续的信息化建设奠定了基础。4.动态监测身份安全风险，保障业务应用安全访问应用安全网关（ECG）统一代理应用访问流量后，A集团能够综合身份、设备、时间、网络等信息实施细粒度的动态访问控制，对非常用设备访问、非常用网络访问等风险行为实施二次认证、阻断等控制措施。ECG能够自动侦测流量中的敏感数据，按照预定策略对敏感数据进行脱敏，避免数据泄露。

芯盾视点

数字化转型背景下，对员工数字身份的管理能力是企业IT管理能力、组织管理能力的重要组成部分。企业在进行身份安全建设时必须具备全局视角，统筹各种与员工身份相关的IT建设项目。A集团的此次改造，将特权账号管理纳入员工身份管理体系之中，不但提升了运维工作的可控性、安全性，还打破长久以来对运维管理的技术壁垒，提升运维管理的规范性，能够更好的保护企业资产和业务安全，为企业信息化建设提供长远保障。

往期 · 推荐

客户案例丨芯盾时代助力某大型能源央企建设“统一身份认证平台” 重构数字化转型安全基石

客户案例丨华夏基金：以数字化身份建设，支撑企业数字化转型

客户案例丨安信证券：券商数字化转型 “身份安全”要先行

中国日报社×芯盾时代丨以“身份安全”为基石，助力国家级媒体信息化建设

原文标题：客户案例丨某大型能源集团重构企业身份管理体系筑牢特权账号安全防线

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

芯盾时代

芯盾时代

+关注

关注
0

文章
158

浏览量
1732

原文标题：客户案例丨某大型能源集团重构企业身份管理体系筑牢特权账号安全防线

文章出处：【微信号：trusfort，微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

超星未来通过ISO 26262功能安全管理体系ASIL D认证

近日，独立第三方检测、检验和认证机构德国莱茵TÜV集团（以下简称“TÜV莱茵”）正式向超星未来颁发 ISO 26262 功能安全管理体系 ASIL D 认证证书。

发表于 04-18 10:30 •114次阅读

超星未来通过ISO 26262功能<b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>ASIL D认证

光莆股份通过能源管理体系认证，绿色战略步入新里程

为早日实现我国碳达峰、碳中和的战略导向和目标，光莆坚定步入绿色发展轨道，构建完善的能源管理体系。

发表于 04-17 14:45 •158次阅读

光莆股份通过<b class='flag-5'>能源管理体系</b>认证，绿色战略步入新里程

和芯星通获ISO14001环境管理和ISO45001职业健康安全管理体系认证

近日，和芯星通正式通过ISO14001环境管理体系认证和ISO45001职业健康安全管理体系认证，标志着公司管理体系在制度化、规范化、精细化方面迈上新台阶，综合

发表于 04-09 18:25 •367次阅读

和芯星通获ISO14001环境<b class='flag-5'>管理</b>和ISO45001职业健康<b class='flag-5'>安全</b><b class='flag-5'>管理体系</b>认证

广芯微电子通过ISO26262功能安全管理体系认证

2024年3月25日，独立第三方检测、检验和认证机构德国莱茵TÜV集团（简称“TÜV莱茵”）正式向广芯微电子（广州）股份有限公司（简称“广芯微”）颁发ISO 26262 功能安全管理体系ASIL

发表于 04-07 10:48 •171次阅读

特权账号管理的那些坑，芯盾时代PAM帮你踩平！

特权账号，是指数据中心内部，分布在主机、网络设备、数据库等资产上具有较高访问权限的账号，衍生到一切资产上具有可访问权限的账号。

发表于 03-21 11:44 •365次阅读

<b class='flag-5'>特权</b><b class='flag-5'>账号</b><b class='flag-5'>管理</b>的那些坑，芯盾时代PAM帮你踩平！

中标喜讯 | 芯盾时代中标某上市能源集团以零信任实现动态身份访问及权限管控

规范化管理体系，不断提升企业业务系统的可用性和安全性。项目背景随着集团不断提升业务数字化水平，各种业务应用、用户数量、网络设备等也在不断增长，信息

发表于 12-19 10:10 •260次阅读

中标喜讯 | 芯盾时代中标某上市<b class='flag-5'>能源</b><b class='flag-5'>集团</b> 以零信任实现动态<b class='flag-5'>身份</b>访问及权限管控

加特兰通过ISO/IEC 27001信息安全管理体系认证

近日，加特兰正式通过德国莱茵TÜV ISO/IEC 27001:2013信息安全管理体系认证，标志着加特兰建立了全面的信息安全管理体系框架，信息安全

发表于 11-30 11:38 •363次阅读

客户案例丨芯盾时代助力某大型能源央企建设“统一身份认证平台” 重构数字化转型安全基石

重大挑战。如何在提升身份安全水平的同时为后续信息化建设打好基础，是每一家能源企业的“必答题”。项目背景 某大型

发表于 10-18 15:50 •347次阅读

漫途水库大坝安全监测方案，筑牢水库安全防线！

漫途水库大坝安全监测方案，筑牢水库安全防线！

发表于 10-18 14:50 •569次阅读

数明半导体获ISO26262功能安全管理体系认证证书

8月15日，独立第三方检测、检验和认证机构德国莱茵 TÜV 集团（以下简称“ TÜV 莱茵”）正式授予上海数明半导体有限公司（以下简称“数明半导体”）ISO 26262 功能安全管理体系最高

发表于 08-24 09:26 •840次阅读

虹科顺利通过国家两化融合管理体系认证

近日，虹科顺利通过了国家两化融合管理体系认证，获得体系评定证书。这表明虹科已建立起两化融合管理体系，在管理创新、技术升级、数字化转型以及信息传输设备产品高效营销管控等公司发展的新型能力

发表于 07-31 22:17 •301次阅读

禾多科技通过ISO/SAE 21434汽车网络安全管理体系认证

近日，禾多科技正式通过ISO/SAE 21434:2021汽车网络安全管理体系认证，获得国际知名认证机构DNV颁发的认证证书。这标志着禾多科技研发管理体系再次获得业内权威认可，在自动驾驶技术研发、产品量产全生命周期的网络

发表于 07-15 10:59 •529次阅读

芯海科技通过ISO 26262功能安全管理体系ASIL D认证

6月16日，国际独立第三方检测、检验和认证机构德国莱茵TÜV集团（以下简称“TÜV莱茵”）为芯海科技（股票代码：688595）颁授ISO26262功能安全管理体系ASILD认证。这一认证标志

发表于 06-21 17:19 •334次阅读

隔空科技获德国莱茵TÜV ISO 26262功能安全管理体系认证证书！

隔空科技主要专注于微波毫米波雷达芯片研发及产业化，除了消费和工业领域，我们也在重点布局车载毫米波雷达，并于去年正式启动了功能安全管理体系建设，经过隔空科技全体成员的持续努力及TÜV莱茵专家团队的专业指引，我们建立并完善了公司的功能安全

发表于 06-19 15:59 •783次阅读

东软集团正式通过ISO/SAE 21434汽车网络安全管理体系认证

近日，东软集团正式通过ISO/SAE 21434汽车网络安全管理体系认证。国际知名认证机构SGS为东软颁发了证书。这是东软继通过A-SPICE（V3.1）CL3评估，TISAX AL3认证

发表于 06-19 09:21 •768次阅读

搜索历史

客户案例丨某大型能源集团重构企业身份管理体系筑牢特权账号安全防线

评论

超星未来通过ISO 26262功能安全管理体系ASIL D认证

光莆股份通过能源管理体系认证，绿色战略步入新里程

和芯星通获ISO14001环境管理和ISO45001职业健康安全管理体系认证

广芯微电子通过ISO26262功能安全管理体系认证

特权账号管理的那些坑，芯盾时代PAM帮你踩平！

中标喜讯 | 芯盾时代中标某上市能源集团以零信任实现动态身份访问及权限管控

加特兰通过ISO/IEC 27001信息安全管理体系认证

客户案例丨芯盾时代助力某大型能源央企建设“统一身份认证平台” 重构数字化转型安全基石

漫途水库大坝安全监测方案，筑牢水库安全防线！

数明半导体获ISO26262功能安全管理体系认证证书

虹科顺利通过国家两化融合管理体系认证

禾多科技通过ISO/SAE 21434汽车网络安全管理体系认证

芯海科技通过ISO 26262功能安全管理体系ASIL D认证

隔空科技获德国莱茵TÜV ISO 26262功能安全管理体系认证证书！

东软集团正式通过ISO/SAE 21434汽车网络安全管理体系认证

搜索历史

客户案例丨某大型能源集团重构企业身份管理体系 筑牢特权账号安全防线

评论

客户案例丨某大型能源集团重构企业身份管理体系筑牢特权账号安全防线