陕西汽车控股集团有限公司(以下简称“陕汽集团”),中国领先的商用车制造集团,位列中国企业500强,前身是始建于 1968 年的陕西汽车制造厂。
集团旗下拥有 100 余家参控股子公司、2.5 万名员工,荣获“国家级绿色工厂”“国家科技进步二等奖”等多项国家荣誉,并连续多年入榜“中国 500 最具价值品牌”。
在全球化战略方面,陕汽集团已形成覆盖 140 多个国家和地区的国际化网络,在“一带一路”沿线布局 17 个本地化工厂、40 个海外营销区、190+ 经销商、550+ 服务网点、43 个配件中心库,构建起完整的全球服务体系。
.png)
随着全球业务持续扩张,陕汽集团内部组织形态、用户角色类型、供应链协同方式正加速演化为多系统、多身份、多场景并行的复杂生态。
在这一背景下,身份治理已经从“后台 IT 能力”上升为支撑大型制造企业全球化运营的战略级数字底座。
为适配未来业务发展,陕汽集团携手派拉软件启动IAM(身份与访问管理)平台全面升级项目,构建面向全集团、全生态、全角色的统一身份治理体系,加速企业数字化、全球化战略落地。
01
背景与挑战:陕汽迈向全域身份治理的关键窗口期
早在2017年,陕汽集团就与派拉软件合作建设首代 IAM 系统,实现了用户身份管理与 53 套核心系统的统一认证。
但随着规模与业务复杂度持续增长,传统身份体系暴露出越来越多的结构性挑战:
1
风险防御压力倍增,安全边界消失
随着业务从线下走向线上、从园区走向全球,远程协作、移动办公、跨区域作业使“身份成为新边界”;弱密码、撞库、凭证泄露等攻击方式愈发频繁,供应链账户风险显著增加;
员工、承包商、经销商、供应商、海外服务人员等身份类型急剧增加,身份生命周期管理难度倍增。
IAM 不再是“能登录就行”,而必须承担“身份可信、安全可控”的核心责任。
2
底座+应用+场景升级,对IAM提出新要求
陕汽集团的数字化正在从“系统上线”进入“系统深度协同与一体化治理”阶段。
这意味着:身份底座必须支持更大量级、更复杂系统接入;多因素认证、细粒度权限、访问行为监控等能力从“可选”变为“标配”;多端、多场景访问要求身份体验统一、便捷、安全。
IAM 从“入口系统”被提升为集团数字化体系的基础设施。
3
法规驱动身份治理从“可做”变为“必做”
国家对数据安全和关键信息基础设施的管理逐年加强,《网络安全法》《数据安全法》《个人信息保护法》以及信息系统等级保护要求,对身份识别、权限最小化、分级授权、行为审计等提出明确要求。
而陕汽集团部分系统仍存在强认证不足,账号共享、弱密码风险,审计记录不连续,没有形成制度化权限治理流程等问题,对未来的审计检查构成风险。
面临上述“安全、业务、合规”三重驱动力,陕汽集团决定对 IAM 系统进行全面升级,构建能够支撑企业未来业务发展的统一身份管理中心。
02
IAM升级方案:构建覆盖全场景的统一身份治理能力体系
本次 IAM 升级遵循“安全可信、统一规范、全场景覆盖、可持续运营”四大原则,围绕身份、账号、认证、审计、应用集成等能力进行全面提升。
.png)
结合陕汽集团业务特性,升级方案聚焦六大能力建设方向:
1
全应用单点集成与标准统一
陕汽集团系统多、类型复杂,本次 IAM 升级重点在原本接入53个系统基础上,进一步扩展了应用集成能力——进一步扩大下游应用系统接入范围,实现应接尽接,完成全应用系统的单点登录与数据同步,减少重复账号维护。
此外,通过一套完整的持续的用户管理规范及应用集成接入规范体系,为企业提供标准化接口,使供应链系统、厂商系统等可按需扩展“新增账号”“权限同步”等能力,让企业统一认证入口全面落地,减少应用重复建设成本,提高系统接入效率。
2
身份全生命周期自动化管理
在身份生命周期管理上,进一步强化了身份主数据与业务系统之间的联动能力,实现端到端的自动化管理。
例如,入职时,系统自动开通默认应用账号,并同步到 ESB;调岗/轮岗时,自动回收旧角色权限,分配新权限;离职时,自动停用全部账号,避免权限遗留......
账号支持“启用、停用、禁用”等动态管理,后续启停可通过门户自助完成,并自动归档变更日志,实现跨系统、跨部门的身份一致性管理,减少 IT 大量手工操作,提升安全可控性。
3
风险账号检测与账号管理
针对集团内跨系统存在的历史遗留问题,本次建设强化了账号资产治理能力。针对平台本身及下游应用的僵尸账号、孤儿账号、空账号等风险账号自动检测识别,并设置自动处理策略,如自动停用或提示管理员审核。
.png)
结合可视化数据报表,在线查看企业账号情况与管控,做到定期筛选、形成报表、按需停用,从根本上减少无主账号、沉睡账号等风险账号带来的潜在攻击面,满足安全与合规要求。
4
弱密码监测与强密码设置
弱密码是企业账号安全中最常见、最容易被攻击者利用的漏洞。本次建设重点强化了密码强度策略、弱密码检测与治理机制。
系统提供密码自动检测识别,对未达标的账号自动提示或禁用;提供密码检测接口,支持业务系统主动调用,获取弱密码检测结果;支持输出检测报表,便于安全团队进行集中治理与审计留痕。
.png)
在密码策略管理上,根据企业要求,统一定制密码策略,包括密码强度构成、生命周期、密码错误处置策略等,全面满足网络安全等级保护要求。
此外,结合自助化密码修改、找回等自主服务,让用户可以自助解决基础问题,无需长时间等待或多次沟通,减少对IT管理人员依赖,降低了企业的人力成本。
5
多因素认证与风险监测
针对企业关键系统、高权限人员和高敏操作,派拉软件为其建设了企业级二次认证模块,提供多因子融合认证功能,包括支持动态口令、扫码、人脸、声纹、指纹等业内多种安全认证能力,可灵活设置“登录时二次验证”与“按场景触发二次认证”;
.png)
第三方系统可调用 IAM 的认证服务,在未接入 SSO 的情况下也能获得强认证支持,解决当前用户多账户、多密码、多处访问,传统账号密码登录的方式对于员工不方便等痛点,并提升身份可信度,符合等级保护对“多因子认证”的强制要求。
6
日志收集与审计能力完善
为提升审计能力,本次建设还重点强化了日志上报、存储与追溯体系——第三方系统登录日志统一传输至 IAM;日志保存时间不少于一年;
支持认证、操作、权限变更日志统一归档审计等,构建可追溯、可审计的身份行为链路,为等保评测、内部审计、事件追踪提供完整证据链。
03
价值落地:IAM 成为陕汽数字化体系的核心安全底座
本次 IAM 升级不仅是技术优化,更是陕汽集团智慧制造与全球化战略的关键基础建设。
正如陕汽集团IAM项目负责人所说:“数字身份是企业数字化网络安全与促进企业高效运转的核心控制点,是保障智能制造和全球协同的关键安全基础设施。”
通过此次升级,陕汽集团成功实现了从“系统分散”到“身份统一”;从“账号管理”到“全域身份治理”;从“可用”到“可信、可控、可审计”......
为未来云化架构、智能制造协同、供应链数字化以及全球业务拓展筑牢坚实安全基础。
未来,派拉软件将继续与陕汽集团深化合作,在零信任架构、身份安全、AI 安全等方向持续创新,为陕汽集团打造更加稳定、可信、可持续发展的数字安全体系。
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
一体化零信任
运维安全
数据安全治理
远程办公安全
国产化替代
企业合规管控
数字化集成平台
数字化员工门户
热门文章
