客戶證言
基于零信任構(gòu)筑數(shù)字身份安全管理平臺是長江電力數(shù)字化轉(zhuǎn)型中不可或缺的一環(huán),它為企業(yè)提供了統(tǒng)一、安全、高效的身份安全管理基石,幫助企業(yè)更好應(yīng)對快速變化的業(yè)務(wù)環(huán)境,提升競爭力并實(shí)現(xiàn)安全合規(guī)可持續(xù)發(fā)展。此次,與派拉軟件攜手,是加快實(shí)現(xiàn)長江電力數(shù)字化轉(zhuǎn)型目標(biāo)和愿景至關(guān)重要的一步。
長江電力,全球第一水電公司,擁有中國最優(yōu)水資源,運(yùn)營管理著烏東德、白鶴灘、溪洛渡、向家壩、三峽、葛洲壩六座梯級電站。
其中5座位列全球前12大水電站。水電裝機(jī)容量全球排名第一,達(dá)7179.5萬千瓦。所屬電站均為國家重要戰(zhàn)略工程,在防洪、發(fā)電、航運(yùn)、補(bǔ)水等方面具有不可替代的重要地位,為我國經(jīng)濟(jì)社會綠色發(fā)展提供了強(qiáng)勁動(dòng)能。
一直以來,長江電力緊跟國家戰(zhàn)略,持續(xù)推動(dòng)高質(zhì)量發(fā)展,聚焦主業(yè),依法合規(guī)、科技創(chuàng)新、內(nèi)部改革,從產(chǎn)業(yè)鏈條、能源結(jié)構(gòu)、業(yè)務(wù)形態(tài)、發(fā)展區(qū)域等維度全面數(shù)字化創(chuàng)新轉(zhuǎn)型變革,進(jìn)一步鞏固長江電力世界水電行業(yè)引領(lǐng)者地位。
01
數(shù)字化轉(zhuǎn)型下的
身份安全、數(shù)據(jù)安全與安全合規(guī)
隨著長江電力數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn),“云大物移”等新興技術(shù)不斷應(yīng)用,應(yīng)用場景和業(yè)務(wù)需求愈發(fā)豐富多變,接入互聯(lián)網(wǎng)的用戶群體、設(shè)備種類、應(yīng)用端點(diǎn)也越來越多。
不同身份的人、不同樣式的設(shè)備、不同類型的應(yīng)用程序......在復(fù)雜的IT環(huán)境與業(yè)務(wù)交互中盤根錯(cuò)節(jié)交織一起,使得用戶訪問關(guān)系愈加錯(cuò)綜復(fù)雜。
此外,業(yè)務(wù)系統(tǒng)向外延伸并對外提供多種數(shù)據(jù)服務(wù)場景不斷增加,云端部署和數(shù)據(jù)共享更是長江電力數(shù)字化轉(zhuǎn)型基本特征,促使越來越多應(yīng)用上云。
這一進(jìn)程促進(jìn)了資源的開放與共享,但也不可避免地?cái)U(kuò)大了企業(yè)資產(chǎn)暴露面,從而增加了受潛在攻擊的途徑和維度,隨之而來的數(shù)據(jù)安全風(fēng)險(xiǎn)越大。
與此同時(shí),近幾年國家陸續(xù)出臺了各種法規(guī)政策。其中《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》及《網(wǎng)絡(luò)安全法》更是共同明確了企業(yè)在信息安全方面需要遵守的各項(xiàng)安全準(zhǔn)則,安全合規(guī)成長江電力數(shù)字化轉(zhuǎn)型新挑戰(zhàn)。
02
基于零信任的
前端操作可信、后端身份實(shí)名訪問
攜手派拉軟件,長江電力完成了統(tǒng)一身份認(rèn)證管理平臺的全面升級研發(fā),引入零信任概念,依托派拉軟件零信任網(wǎng)關(guān)、IAM平臺、API網(wǎng)關(guān)等系列產(chǎn)品,建立零信任數(shù)字身份安全治理體系,實(shí)現(xiàn)以“用戶為中心”,建設(shè)“前端操作可信,后端身份實(shí)名”的認(rèn)證與訪問安全管理體系。
1
全局的用戶身份管理平臺
通過構(gòu)建全局身份管理視圖,實(shí)現(xiàn)組織高效協(xié)同的零信任數(shù)字身份認(rèn)證平臺。對接企業(yè) EPMS 系統(tǒng)形成企業(yè)用戶身份數(shù)據(jù)源的匯聚,集中管理和存儲用戶身份、組織、崗位、角色等信息。
這些信息為平臺在用戶訪問過程中提供了身份驗(yàn)證、用戶授權(quán)和訪問控制功能,完成用戶全生命周期管理。
此外,對外提供標(biāo)準(zhǔn)的API,結(jié)合身份管理工具或自動(dòng)化腳本,實(shí)現(xiàn)不同系統(tǒng)用戶賬號及時(shí)同步集成,確保用戶在各系統(tǒng)中的賬號信息一致。
基于用戶身份,提供集中的安全管理策略,如用戶賬號密碼安全策略、用戶全生命周期自動(dòng)化管理策略、基于用戶訪問行為的控制策略等,統(tǒng)一規(guī)范和標(biāo)準(zhǔn),便于集中監(jiān)管。
2
多因素認(rèn)證加固企業(yè)安全
通過新平臺升級建設(shè),摒棄了傳統(tǒng)的靜態(tài)口令登錄認(rèn)證方式,采用更加安全、便捷的人臉、app 掃碼、短信、OPT 動(dòng)態(tài)口令、指紋等認(rèn)證手段,提升企業(yè)訪問安全,減少弱口令風(fēng)險(xiǎn)。
同時(shí),整合用戶在訪問過程中留下的獨(dú)特足跡,包括訪問時(shí)段、驗(yàn)證手段、設(shè)備 MAC 地址、IP 地址等信息,并借助智能風(fēng)險(xiǎn)評估 AI 模型,在累積了一定規(guī)模用戶登錄行為數(shù)據(jù)后,系統(tǒng)能有效辨析出登錄環(huán)境是否異常,檢測是否有賬號非法侵入或篡改等跡象。
在此基礎(chǔ)上,系統(tǒng)利用動(dòng)態(tài)自適應(yīng)風(fēng)險(xiǎn)評估機(jī)制,適時(shí)調(diào)整個(gè)性化的安全驗(yàn)證流程。一旦識別到潛在的安全威脅,將立即強(qiáng)化認(rèn)證要求,觸發(fā)安全認(rèn)證方式,增加驗(yàn)證層次,保障用戶賬號安全。
3
全鏈路可視化安全合規(guī)審計(jì)
提供全鏈路可視化集中審計(jì),通過日志記錄、日志收集與存儲、實(shí)時(shí)監(jiān)控與警報(bào)、用戶行為分析、合規(guī)性報(bào)告、審計(jì)策略和流程、日志只讀性保護(hù)、審計(jì)和監(jiān)控等系列手段監(jiān)測和跟蹤企業(yè)內(nèi)外網(wǎng)用戶訪問活動(dòng),幫助長江電力快速識別潛在安全問題、滿足合規(guī)性要求,并及時(shí)應(yīng)對安全事件。
4
智能便捷的用戶自助服務(wù)管理
統(tǒng)一的用戶信息自助管理智能服務(wù),用戶可自助管理賬號與個(gè)人信息,如修改/重置/找回密碼、更新個(gè)人信息、查看賬號操作記錄和審計(jì)日志等,及時(shí)了解個(gè)人賬號的活動(dòng)情況和安全狀態(tài),在加強(qiáng)賬號信息安全的同時(shí),減輕企業(yè)管理成本,提升整體賬號管理效率,大大提升了用戶的使用體驗(yàn)和用戶滿意度。
03
堅(jiān)固的身份安全管理與訪問監(jiān)控體系賦能轉(zhuǎn)型
隨著基于零信任的數(shù)字身份安全認(rèn)證管理平臺建設(shè)完成,長江電力構(gòu)建了企業(yè)集中化的用戶身份數(shù)據(jù)管理樞紐,加強(qiáng)了對身份治理、認(rèn)證機(jī)制及風(fēng)險(xiǎn)管控功能的優(yōu)化;
實(shí)現(xiàn)企業(yè)范圍內(nèi)所有用戶的全面管理,打造出更為堅(jiān)固的認(rèn)證服務(wù)生態(tài)系統(tǒng)和網(wǎng)絡(luò)身份管理體系,增強(qiáng)了 IT系統(tǒng)操作敏捷性,業(yè)務(wù)和安全需求響應(yīng)更加高效敏捷,不斷驅(qū)動(dòng)企業(yè)數(shù)字化管理水平和效能的升級。