中国某工业电器巨头的「信息安全」建设之路

当前，世界正处在从工业经济向数字经济转型过渡的大变革时代，智能制造作为新一代信息技术与工业生产深度融合的产物，是驱动新一轮科技革命与产业变革的重要力量。

在工业化与信息化深度融合的背景下，制造业数字化转型如火如荼，各种数字化技术开始应用到企业的管理变革和业务创新中。随着“触网”的不断深入，企业所面临的网络安全形势也日趋多变复杂，信息安全成了企业数字化转型过程中的必修课。

因此，如何应对信息化建设过程中所面临的信息安全风险和挑战，守护企业核心资产安全，也成为当下必须面对和解决的问题。

随着多年来的不断发展，某电器集团在信息化建设过程中，逐渐出现了业务系统数量不断增长、运维复杂度增加、人员越来越多难以集中管理等问题，目前主要存在如下挑战：

■ IT用户：用户需要记住每个应用系统的登录入口及用户名密码，容易造成混淆；

■ 账号管理：对账号的管理仍然停留在手工操作阶段；

■ 重复建设：每个应用系统都有独立的用户管理系统。

▼ 实践方案：基于零信任架构的身份管理方案

零信任作为一种全新的网络安全服务架构，以信任评估为基础，强调动态信任，需要基于持续性的实体信任评估，对认证和授权的信息基础进行动态重构。同时，我国工信部也将“零信任安全”列入当前关键技术积极推进中，将安全能力运用至各个业务场景，为个人、企业、国家信息安全提供更好的保障。

#01 构建精细化的动态权限管理

派拉为某电器集团构建基于身份的主从账号管理体系，实现员工、临时人员、经销商等用户的全面身份化管控。

■ 解决用户入职，对各应用系统访问权限的开通和管控问题；

■ 解决用户离职或异常，需要在每个系统进行关闭账号的问题；

■ 解决应用系统中容易出现僵尸账号而无法确认的问题。

通过构建集中化的身份治理体系替代运维人员传统的手工账号管理方式，为其构建用户身份和账号之间一一对应的映射关系，由单一的必须是域用户才能使用系统的局限突破到用户可以是非域用户，并基于最小权限原则，在动态的环境中对不同的人授予不同的权限，实现以身份为中心的动态自适应访问控制。

#02 用户认证智能化管控

派拉为某电器集团构建企业级的统一认证服务，同步各个业务系统之间的身份数据，减少初始化的工作投入和成本投入。

■ 解决用户要记住多个应用的用户名和密码的困扰；

■ 解决AD域用户能够打开电脑就能访问相关应用系统的问题。

通过构建快速集成的身份认证平台，由单一的ladp认证变成支持多种主流认证方式，保证“一次账号、一个密码、一次认证”，并基于大数据和AI算法等，根据用户登录的设备、网络、时间等进行智能化分析，判断用户登录认证风险等级，实时检测当前用户认证环境，实现安全、可靠的认证管理模式。

#03 建立可视化的审计管理

派拉为某电器集团提供可视化的审计报表功能，通过收集、记录和管理用户认证、用户访问、帐号管理操作行为，实现实名制、可追溯的安全访问审计，便于进行统一的用户访问行为分析，降低了管理难度。

■ 从用户视角对用户的操作行为进行审计；

■ 从应用视角对用户的访问进行访问审计；

■ 从安全合规性及法规方面考虑满足审计要求。

通过构建集中的用户审计模块，针对用户登入登出信息、权限使用和数据访问行为进行统计和分析，实现用户角色、用户权限及行为的全方位可视化统计分析和管理。

▼

派拉基于零信任架构的身份管理方案为某电器集团提供一套完整的持续的用户管理规范及运营规范体系，通过互联网与产业链上下游在线业务开展，有效提升企业决策效率，实现高质量发展的新动能，助力某电器集团大步迈向“数字电器2.0”阶段。