少妇的浪荡小黄说,厨房修理工玩弄娇妻影视,18禁日本黄无遮挡禁漫画

特權(quán)賬號(hào)，是通往企業(yè)數(shù)據(jù)大門的“鑰匙”。一旦特權(quán)賬號(hào)被竊取，企業(yè)關(guān)鍵IT資產(chǎn)和數(shù)據(jù)資源就對攻擊者“城門洞開”。特權(quán)賬號(hào)如此重要，企業(yè)對特權(quán)賬號(hào)的管理卻難言規(guī)范。首先，企業(yè)的特權(quán)賬號(hào)往往分布散、數(shù)量多、權(quán)限大，缺乏統(tǒng)一的管理平臺(tái)和規(guī)范的管理機(jī)制，導(dǎo)致賬號(hào)資源混亂、密碼策略難以落地。其次，特權(quán)賬號(hào)普遍多人共享，責(zé)任難以落實(shí)到人，不利于風(fēng)險(xiǎn)監(jiān)測和追蹤溯源。面對特權(quán)賬號(hào)管理難題，某大型能源集團(tuán)（以下簡稱“A集團(tuán)”）選擇與芯盾時(shí)代攜手，重構(gòu)企業(yè)身份管理體系，基于“身份”構(gòu)建新型特權(quán)賬號(hào)管理系統(tǒng)，消除身份管理中的“運(yùn)維壁壘”，讓身份信息貫穿運(yùn)維管理全流程。

項(xiàng)目背景

A集團(tuán)作為行業(yè)龍頭企業(yè)，不斷提升業(yè)務(wù)數(shù)字化水平，建設(shè)了多個(gè)業(yè)務(wù)應(yīng)用。隨著網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、安全設(shè)備的持續(xù)增加，A集團(tuán)面臨著員工身份管理和特權(quán)賬號(hào)管理的多重挑戰(zhàn)：1.員工身份源分散，身份管理不統(tǒng)一A集團(tuán)在不同時(shí)期先后建立了多個(gè)身份管理平臺(tái)，分別納管不同業(yè)務(wù)應(yīng)用的員工身份。這些平臺(tái)的擴(kuò)展能力有限，難以對接新的應(yīng)用，造成IT系統(tǒng)內(nèi)多個(gè)平臺(tái)、多個(gè)應(yīng)用的身份源并存。運(yùn)維人員需同時(shí)管理多個(gè)身份系統(tǒng)，員工需要使用多個(gè)賬號(hào)，既增加運(yùn)維工作量、影響員工的操作體驗(yàn)，又造成了安全隱患。2.業(yè)務(wù)應(yīng)用認(rèn)證方式不一，安全性不足由于多個(gè)身份管理平臺(tái)并行，員工需要采用不同的認(rèn)證方式，反復(fù)登錄不同的平臺(tái)和應(yīng)用。為了簡化操作，員工普遍選擇簡化密碼、復(fù)用密碼，身份認(rèn)證的安全性難以保證。3.特權(quán)賬號(hào)管理能力不足，責(zé)任落實(shí)不到人A集團(tuán)的特權(quán)賬號(hào)普遍多人共用，特權(quán)賬號(hào)的登錄、操作行為難以管理、追溯，管理責(zé)任落實(shí)不到具體的人。為了提升保證IT運(yùn)維的安全性，A集團(tuán)部署了堡壘機(jī)，但仍舊無法實(shí)現(xiàn)特權(quán)賬號(hào)的加密存儲(chǔ)和定期改密。4.缺少風(fēng)險(xiǎn)管控體系，無法管控身份側(cè)風(fēng)險(xiǎn)受限于身份源混亂，以及有身份管理平臺(tái)訪問控制能力不足，A集團(tuán)無法基于身份信息實(shí)施進(jìn)行細(xì)粒度的訪問控制，也無法對各個(gè)業(yè)務(wù)應(yīng)用的敏感數(shù)據(jù)進(jìn)行脫密處理，給數(shù)據(jù)安全造成了不利影響。

方案設(shè)計(jì)

芯盾時(shí)代根據(jù)A集團(tuán)的IT架構(gòu)與實(shí)際需求，結(jié)合豐富的大型企業(yè)身份安全項(xiàng)目經(jīng)驗(yàn)，基于自主研發(fā)的用戶身份與訪問管理平臺(tái)（IAM）、特權(quán)賬號(hào)管理系統(tǒng)化（PAM）、應(yīng)用安全網(wǎng)關(guān)（ECG），為其建立了統(tǒng)一身份管理平臺(tái)，全面提升身份安全水平。方案功能與設(shè)計(jì)如下：1.芯盾時(shí)代用戶身份與訪問管理平臺(tái)（IAM）：利用IAM替換原有的身份管理平臺(tái)，整合原本分散的身份源，基于HR系統(tǒng)為員工生成唯一可信身份。IAM接管所有業(yè)務(wù)應(yīng)用的身份認(rèn)證、權(quán)限管理、安全審計(jì)，最終實(shí)現(xiàn)身份信息、身份認(rèn)證、權(quán)限管理、安全審計(jì)的“四個(gè)統(tǒng)一”，并提供應(yīng)用門戶和單點(diǎn)登錄功能，員工只需認(rèn)證一次就能登錄所有權(quán)限內(nèi)的應(yīng)用。2.芯盾時(shí)代特權(quán)賬號(hào)管理系統(tǒng)（PAM）：利用IAM提供的員工身份信息，將特權(quán)賬號(hào)與運(yùn)維人員身份相關(guān)聯(lián)。由PAM統(tǒng)一管理所有特權(quán)賬號(hào)，對賬號(hào)集中加密存儲(chǔ),實(shí)施定期改密。3.芯盾時(shí)代應(yīng)用安全網(wǎng)關(guān)（ECG）：由ECG統(tǒng)一代理業(yè)務(wù)應(yīng)用的訪問流量，基于身份信息實(shí)施細(xì)粒度的動(dòng)態(tài)訪問控制，對訪問流量中的敏感數(shù)據(jù)進(jìn)行脫敏處理。

客戶價(jià)值

統(tǒng)一身份認(rèn)證平臺(tái)建成后，A集團(tuán)實(shí)現(xiàn)了員工身份、特權(quán)賬號(hào)的規(guī)范化管理，在提升身份安全能力的同時(shí)，為員工、運(yùn)維人員提供了更好的操作體驗(yàn)。1.建立統(tǒng)一身份管理平臺(tái)，員工身份規(guī)范化管理改造完成后，A集團(tuán)為每一名員工生成了唯一的可信數(shù)字身份，建立了規(guī)范化的身份管理制度，明確了責(zé)任部門，既實(shí)現(xiàn)了對下屬企業(yè)的統(tǒng)一身份管理，提升了組織管理能力，又統(tǒng)一了業(yè)務(wù)應(yīng)用的身份信息，提升了IT管理能力。借助統(tǒng)一身份管理平臺(tái)，管理員能夠在同一個(gè)后臺(tái)配置各個(gè)業(yè)務(wù)應(yīng)用的認(rèn)證策略、訪問權(quán)限，實(shí)現(xiàn)IT的運(yùn)維的“歸口管理”；能夠?qū)T工的每一次訪問行為進(jìn)行統(tǒng)一審計(jì)，讓身份信息貫穿業(yè)務(wù)訪問的全流程。2.全局實(shí)施雙因素認(rèn)證，提升身份安全水平統(tǒng)一身份管理平臺(tái)接管網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用的認(rèn)證模塊后，A集團(tuán)實(shí)現(xiàn)了全局的雙因素認(rèn)證，提升了身份認(rèn)證的安全性。芯盾時(shí)代為A集團(tuán)建立了統(tǒng)一應(yīng)用門戶，配合單點(diǎn)登錄功能，員工只需認(rèn)證一次，就能在門戶中直接進(jìn)入有權(quán)限的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。3.搭建特權(quán)賬號(hào)管理系統(tǒng)，提升安全管理能力改造完成后，A集團(tuán)建立了“IAM+PAM+堡壘機(jī)”的運(yùn)維管理架構(gòu)：IAM基于唯一的可信數(shù)字身份，將每一個(gè)特權(quán)賬號(hào)與運(yùn)維人員的身份信息相關(guān)聯(lián)，讓每一次運(yùn)維操作可以追溯到人；所有特權(quán)賬號(hào)由PAM集中加密存儲(chǔ)，按照策略定期改密，提升特權(quán)賬號(hào)的安全性；運(yùn)維人員通過統(tǒng)一應(yīng)用門戶登錄堡壘機(jī)后，從PAM實(shí)時(shí)獲取網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、和安全設(shè)備的特權(quán)賬號(hào)密碼，堡壘機(jī)中不存儲(chǔ)密碼，保證了運(yùn)維操作的安全性。改造過程中，A集團(tuán)重新梳理了特權(quán)賬號(hào)資產(chǎn)，優(yōu)化了IT運(yùn)維制度，IT運(yùn)維更加規(guī)范，為后續(xù)的信息化建設(shè)奠定了基礎(chǔ)。4.動(dòng)態(tài)監(jiān)測身份安全風(fēng)險(xiǎn)，保障業(yè)務(wù)應(yīng)用安全訪問應(yīng)用安全網(wǎng)關(guān)（ECG）統(tǒng)一代理應(yīng)用訪問流量后，A集團(tuán)能夠綜合身份、設(shè)備、時(shí)間、網(wǎng)絡(luò)等信息實(shí)施細(xì)粒度的動(dòng)態(tài)訪問控制，對非常用設(shè)備訪問、非常用網(wǎng)絡(luò)訪問等風(fēng)險(xiǎn)行為實(shí)施二次認(rèn)證、阻斷等控制措施。ECG能夠自動(dòng)偵測流量中的敏感數(shù)據(jù)，按照預(yù)定策略對敏感數(shù)據(jù)進(jìn)行脫敏，避免數(shù)據(jù)泄露。

芯盾視點(diǎn)

數(shù)字化轉(zhuǎn)型背景下，對員工數(shù)字身份的管理能力是企業(yè)IT管理能力、組織管理能力的重要組成部分。企業(yè)在進(jìn)行身份安全建設(shè)時(shí)必須具備全局視角，統(tǒng)籌各種與員工身份相關(guān)的IT建設(shè)項(xiàng)目。A集團(tuán)的此次改造，將特權(quán)賬號(hào)管理納入員工身份管理體系之中，不但提升了運(yùn)維工作的可控性、安全性，還打破長久以來對運(yùn)維管理的技術(shù)壁壘，提升運(yùn)維管理的規(guī)范性，能夠更好的保護(hù)企業(yè)資產(chǎn)和業(yè)務(wù)安全，為企業(yè)信息化建設(shè)提供長遠(yuǎn)保障。

往期 · 推薦

客戶案例丨芯盾時(shí)代助力某大型能源央企建設(shè)“統(tǒng)一身份認(rèn)證平臺(tái)” 重構(gòu)數(shù)字化轉(zhuǎn)型安全基石

客戶案例丨華夏基金：以數(shù)字化身份建設(shè)，支撐企業(yè)數(shù)字化轉(zhuǎn)型

客戶案例丨安信證券：券商數(shù)字化轉(zhuǎn)型 “身份安全”要先行

中國日報(bào)社×芯盾時(shí)代丨以“身份安全”為基石，助力國家級媒體信息化建設(shè)

原文標(biāo)題：客戶案例丨某大型能源集團(tuán)重構(gòu)企業(yè)身份管理體系筑牢特權(quán)賬號(hào)安全防線

文章出處：【微信公眾號(hào)：芯盾時(shí)代】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報(bào)投訴