En 400-6655-581
2
返回
> 合作案例 > 能源化工

長江電力:智慧能源企業(yè)用「身份」管控,為「安全」發(fā)電!

                                                                  
 

關(guān)于長江電力

 

中國長江電力股份有限公司(簡稱長江電力,股票代碼600900)是經(jīng)國務(wù)院批準(zhǔn),由中國長江三峽集團(tuán)有限公司作為主發(fā)起人設(shè)立的股份有限公司。長江電力是世界水電行業(yè)的引領(lǐng)者,主要從事水力發(fā)電、配售電以及海外電站運(yùn)營、管理、咨詢及投融資業(yè)務(wù),是中國最大的電力上市公司和全球最大的水電上市公司。


自2002年長江電力成立以來,公司信息化系統(tǒng)大規(guī)模應(yīng)用,特別是各生產(chǎn)單位使用的自動(dòng)化、監(jiān)控系統(tǒng)在公司電力生產(chǎn)中發(fā)揮著關(guān)鍵作用,但是信息化系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)信息系統(tǒng)的數(shù)量不斷增加,長江電力在各系統(tǒng)的用戶身份管理、運(yùn)維環(huán)節(jié)面臨著如下挑戰(zhàn):

 

1-多訪問入口、多套帳號密碼,用戶體驗(yàn)差;

2-分散式帳號和認(rèn)證管理,運(yùn)維難度大;

3-密碼管理困難,密碼/口令傳輸存在風(fēng)險(xiǎn);

4-各系統(tǒng)安全體系重復(fù)建設(shè),成本高,維護(hù)難;


為了解決以上管理難題和業(yè)務(wù)困擾,長江電力攜手派拉軟件,建立了統(tǒng)一身份與任務(wù)管理平臺(IAM平臺),形成統(tǒng)一規(guī)范的應(yīng)用賬號管理體系,提供一個(gè)更加貼近業(yè)務(wù)需求、自動(dòng)化、安全、可審計(jì)的身份管理系統(tǒng),提高長江電力信息系統(tǒng)的安全防護(hù)能力。

 

長江電力IAM建設(shè)亮點(diǎn)

“身份”集中管

建立權(quán)威身份數(shù)據(jù)源

IAM平臺全面集成集團(tuán)E-HR系統(tǒng)和ECN系統(tǒng),實(shí)現(xiàn)內(nèi)部員工與外部供應(yīng)商身份數(shù)據(jù)的全面打通,建立長江電力唯一權(quán)威身份數(shù)據(jù)源,向下游系統(tǒng)集中供應(yīng)身份數(shù)據(jù),實(shí)現(xiàn)從核心數(shù)據(jù)源到各應(yīng)用系統(tǒng)間的身份數(shù)據(jù)的同步。

數(shù)據(jù)同步靈活機(jī)動(dòng)

組織崗位賬號同步功能,可實(shí)現(xiàn)根據(jù)情況按照需要,同步指定范圍的組織和賬號,而無需每次都全量同步,提高了同步的效率,縮短了同步的時(shí)間,降低了同步失敗的概率和風(fēng)險(xiǎn),實(shí)現(xiàn)了組織崗位賬號按需同步,靈活機(jī)動(dòng)。

 

“認(rèn)證”集中管

單點(diǎn)登錄,統(tǒng)一訪問

IAM平臺與各個(gè)系統(tǒng)單點(diǎn)集成,實(shí)現(xiàn)了對各個(gè)系統(tǒng)在平臺的歸集、排序和認(rèn)證校驗(yàn),減少了進(jìn)入應(yīng)用系統(tǒng)的步驟,提升用戶登錄效率。同時(shí)拋棄原有明文密碼傳輸、接口校驗(yàn)的認(rèn)證方式,采用OAuth2.0、SAML、OIDC等標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)應(yīng)用單點(diǎn)登錄認(rèn)證,加強(qiáng)應(yīng)用系統(tǒng)單點(diǎn)登錄認(rèn)證通道安全;

多因素身份認(rèn)證

將動(dòng)態(tài)口令、二維碼掃描、人臉識別方式集成進(jìn)現(xiàn)有的掌上長電APP,使用能通過掌上長電APP任選一種方式進(jìn)行身份的認(rèn)證。同時(shí)保留傳統(tǒng)的用戶名密碼的方式的登錄認(rèn)證,同時(shí)采用動(dòng)態(tài)滑塊認(rèn)證方式,防范惡意攻擊行為。

 

“權(quán)限”集中管

集團(tuán)分級分權(quán)管理

IAM平臺分級分域管理功能,支持組織架構(gòu)、用戶數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)的分級分權(quán)管理;集團(tuán)管理員可以管理所有用戶、組織架構(gòu)、賬號信息;子公司管理員可管理權(quán)限內(nèi)的的組織、用戶、賬號信息。既滿足長江電力集團(tuán)集中化管理需要,也滿足分轄管理的需求。

帳號權(quán)限集中管控

IAM平臺通過用戶崗位角色進(jìn)行自動(dòng)化權(quán)限分配;員工離開工作崗位后,管理員通過IAM平臺可一鍵停用賬號,并對該賬號所關(guān)聯(lián)的所有系統(tǒng)進(jìn)行清權(quán)操作,無需多系統(tǒng)后臺重復(fù)清權(quán),有效規(guī)避離職員工的賬號風(fēng)險(xiǎn);

 

“審計(jì)”可追溯

公共賬號審計(jì)

部分應(yīng)用存在多人共用帳號情況,對于此類公共帳號,IAM平臺中可通過主從賬號映射授權(quán)的方式可以將一個(gè)賬號與多個(gè)用戶的登錄賬號建立映射授權(quán)關(guān)系,在同一時(shí)間段用戶同時(shí)使用公共賬號時(shí)也可以進(jìn)行實(shí)名制審計(jì),從而保障所有操作的可追溯性。

用戶訪問審計(jì)

IAM平臺提供了一個(gè)集中存儲中心以日志的形式記錄用戶所有操作。審計(jì)人員、安全管理人員可以隨時(shí)查看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。同時(shí)審計(jì)功能可以記錄所有用戶帳號管理的行為,節(jié)省審計(jì)時(shí)間,加快審計(jì)人員響應(yīng)速度。

 

用戶“自助化”

自助帳號申請

用戶可通過IAM平臺自助申請應(yīng)用系統(tǒng)賬號,各層級相關(guān)領(lǐng)導(dǎo)線上審批通過后,審批通過后IAM自動(dòng)開通相應(yīng)應(yīng)用賬號。線上流程化申請,提高帳號開通效率,簡化了信息部門的運(yùn)維工作壓力。

自助帳號服務(wù)

IAM平臺用戶自助解鎖、找回密碼功能,同時(shí)IAM可通過人臉識別、動(dòng)態(tài)口令、短信碼的方式進(jìn)行身份的鑒定,保障自助操作為本人操作,防止惡意自助所帶來的安全風(fēng)險(xiǎn)。自助功能改變了原有人為線下找信息部申請的方式,極大的提高運(yùn)維效率,同時(shí)優(yōu)化用戶體驗(yàn)。


連續(xù)數(shù)年在基礎(chǔ)設(shè)施和系統(tǒng)建設(shè)方面的持續(xù)投入,讓長江電力在信息化能力方面打下了良好的基礎(chǔ),逐步實(shí)現(xiàn)了企業(yè)精益生產(chǎn)、精細(xì)化管理、精準(zhǔn)考核等方面的業(yè)務(wù)管理需要;而企業(yè)信息安全作為數(shù)字化轉(zhuǎn)型的基礎(chǔ),亦是長江電力信息化布局中的重要一環(huán)。此次攜手派拉軟件構(gòu)建IAM管理平臺,打通了長江電力應(yīng)用系統(tǒng)身份體系,為長江電力的信息安全體系打下了扎實(shí)基礎(chǔ),更進(jìn)一步深化了企業(yè)內(nèi)部的信息化進(jìn)程!