登录
数字化转型之身份治理项目实践
2021.11.19
2520
南京南瑞继保电气有限公司
一、案例背景:
南京南瑞继保电气有限公司(简称“南瑞继保”)主要从事电网、电厂和各类工矿企业的电力保护控制及智能电力装备的研发和产业化,是国家能源局“国家能源电力控制保护技术研发(实验)中心”的依托单位。
南瑞继保是中宣部确定的全国自主创新重大典型宣传企业,连年被评为国家重点高新技术企业和国家规划布局内的重点软件企业,获全国五一劳动奖状、江苏省企业创新奖等荣誉。公司现有聘用员工2500余人,其中博士、硕士研究生800余人,超过员工总数的30%。中国工程院沈国荣院士担任公司董事长。
南瑞继保总部设在南京,在南京和常州两地建有4个科研和产业化基地,在北京、广州、西安等8个地区设有国内区域销售和技术服务中心,在香港、美国、英国、印度、尼日利亚等地设立了各大洲的国际分支机构和本地化的技术服务中心。
以务实解决实际问题为创新理念,南瑞继保在继电保护、电网安全稳定控制、特高压交直流输电和柔性交直流输电等领域取得了一批支撑和引领行业发展的研发成果。迄今已完成重大研究开发项目251项,获得国家科技进步特等奖1项、一等奖1项、二等奖4项,国家技术发明二等奖2项,省部级科技进步一等奖21项;获国家发明专利授权789项,登记计算机软件著作权602项;主导和参与发布国际标准13项、国家标准107项、行业标准120项。公司核心产品市场占有率高,继电保护产品在220kV及以上电压等级的国内市场占有率超过40%,产品广泛应用于三峡输变电、“西电东送”、北京奥运、上海世博、杭州G20等国家重点工程。公司的继电保护、电网安全稳定控制、高压交直流输电控制保护等技术打破了国外公司的长期技术和产品垄断,以其先进性、实用性和可靠性,提高了我国电网安全稳定运行水平。
南瑞继保以公司总体规划和两化融合体系要求为指导,全面贯彻落实“做精主业,外延发展”的发展战略,对数字化转型工作非常重视,将业务数字化作为顶层设计常抓不放;充分利用现代信息技术促进和保障公司发展和目标实现,支持各业务系统的建设,服务公司业务创新,建立电力控制领域高科技企业信息化、数字化的运营与决策支持体系,全面提升公司核心竞争能力。公司于2020年开展两化融合管理体系建设工作,并于同年顺利通过两化融合体系审核,获颁体系证书,全面开启数字化转型工作。
公司信息中心与业务部门紧密合作,有序推进公司数字化转型规划,充分论证实施方案,加强数字化技术在公司各个环节的应用,以提升公司的生产效率以及管理水平,助推公司各项业务向集约化、数字化、智能化转型,为满足公司各业务场景的信息化需求,公司建设了多个信息系统,随着业务发展,系统使用效率和信息安全管控的需求逐步提升,面临如下一些问题:
1、用户信息未统一管理,存在多种账号和凭证,让系统用户在面临高要求的安全管控时,操作较为繁琐,造成系统使用满意度降低;
2、认证方式未统一,无法有效提升信息安全风险防范手段和响应速度;系统登录日志存在割裂现象,过程无法追溯;
3、各系统账号与权限对接方式不一致,仅有少量环节实现了自动化管理;
4、无法可视化管理和审计用户的操作行为,提前防范预警有效性较低;
5、人员组织架构调整时,缺乏即时/临时授权的高效流程和管控手段;
6、未能提供用户密码自助管理、多因素认证、统一登录等个性化服务;
7、欠缺对外部用户、临时用户的有效管控方式,信息安全风险较高。
公司大部分系统有独立的账号权限管理模块,面临各系统架构的多样化,运维工作体量巨大,耗时耗力。在信息安全管理要求的推动下,统一身份认证与访问管理(IAM)行业迅速发展,技术标准和管理思想日趋成熟,通过引进IAM系统来指导和推进系统用户管理、加强统一认证的意识,能有效加快公司信息安全管控工作进程,降低统一身份认证与访问管理的综合成本。
二、案例概述:
公司各应用系统中,由于业务系统实际使用与组织管理的需求存在差异,如多岗位、临时应用权限配置等,目前并行维护了两套组织机构,一套由人力资源维护,是其他组织架构的人员、部门等信息的基础来源。一套是信息系统组织架构,定期从HR系统同步基础数据,基于HR组织架构进行微调(主要为员工岗位、外包外协人员),以满足人员实际岗位细分、多岗位流程处理、权限控制和临时性事务等需求。两套组织机构有各自的着重点,相辅相成,共同支撑公司各业务系统的安全管控,结合此情况,经过公司各业务部门深入讨论,确定主要业务需求:
(1)增强用户全生命周期管理
对所有应用系统用户身份信息进行集中管理,提供从入职到离职的全生命周期管理功能,包括岗位调整、出差、交接等;当员工提出离职时,管理员可“一键封锁”权限,将员工的应用权限停用,规避风险;
(2)提高工作效率
统一凭据管理后,打通各个系统的组织架构,整合人员、角色、部门、权限的管理方式,打通业务流程;实现跨系统的认证及单点登录功能,员工只需要一次登录认证,即能访问具有权限的各系统,降低重复登录的工作,提高访问效率;
(3)用户权限管控方式灵活高效
建立统一的账号权限视图,快速获取员工身份账号及权限情况,高效管理孤儿账号、僵尸账号、共用账号等情况;提高管控力度,提供有效的用户登录及关键操作的日志记录和审计能力;
(4)新员工入职配合
新员工入职后,集中处理相关系统账号,解决账号不一致、处理周期长、身份信息差异等问题;提出有效方案,解决见习期员工身份和实际岗位不一致,导致权限存在差异的问题;
(5)员工临时调岗管理
解决调岗时账号权限调整不及时问题(临时性岗位调动造成的部门权限与岗位业务要求的差异),提高人工审查和调整效率;优化多岗位的权限管理;
(6)外包外协人员访问控制
实现外部人员(含临时访客)账号及权限的有效管理,通过操作审计机制,实现系统操作日志查询和追溯能力;
(7)满足安全云访问要求
实现应用系统统一入口的云端部署,增强系统云端访问认证安全,提高钉钉、亿方云等SaaS系统用户的安全控制能力。
在此基础上,确定了用户认证数字化转型的基本目的:
通过统一身份及访问管理系统的实施,实现“统一身份、集中管理、简化应用、保障安全”的目的,打破各系统独立认证的格局,建立统一的认证和账号权限管理体系。
建设目标示例一(用户认证管理):
建设目标示例二(账号权限控制):
三、安全技术应用情况:
经过5个月的实施工作,项目组基于竹云统一身份管理(iDaaS+BIM)平台,实现了对14套系统的集成登录和导航,实现了公司信息系统内外部用户的统一身份和认证管理。
通过IAM系统的实施,建立了统一的用户管理和认证平台,理顺了各系统用户的身份数据和同步逻辑,多项系统的登录行为得到有效管控,员工登录体验得到有效提升。
同时,按中台系统的整体规划,IAM系统的实施填补了中台的统一认证能力,进一步提升了中台功能的技术和应用完备性。完善了公司信息化建设,从业务、技术、数据层面实现了完备的单点登录和应用集成方案。
四、客户反馈效果:
从管理层面,实现了账号生命周期管理,通过多源汇聚,将多套应用系统的用户进行集成:主动适配HR、AD/LDAP、Mis/OA、数据库等身份源系统,通过推送或抓取方式对各系统账号进行实时同步;基于灵活的同步流服务,实现了人员账号的自动开通、关停、修改和权限管控,有效避免离职员工账号未关停所引发的安全隐患。
1、加强信息安全管控
身份管理是信息安全管理的核心要素之一,通过集中管理用户身份信息,结合密码、动态口令、数字证书等因素,可对用户和场景进行分级管控;通过IAM系统的实施和推广使用,在多个方面提高了信息安全管理水平。
(1)信息系统用户数据得到有效管理
首先是统一了用户标识,为公司所有信息系统用户进行了实名化管理,目前采用员工工号作为标识(外部人员为手机号);第二是提供了身份管理机制,通过用户标识与组织架构属性的结合,构成了用户身份,进而可以推广应用于各信息系统的权限管理。
将信息系统用户信息和登录行为进行统一管理,可以实现用户在多个系统登录权限的一键关停;同时,随着IAM系统的推广,逐步回收重要(一级)信息系统自带的账号和密码,降低因操作遗漏、密码复杂度等问题引起的信息安全风险。
(2)多因素认证机制
实现了认证,对信息系统用户是否拥有对应的身份提供了可控的识别过程。通过图形校验、二维码、通知推送等多种二次认证方式,为公司系统安全提供了灵活的管理手段。
实现了凭证管理,即认证过程中需要校验的身份属性,目前来说提供了手机、账号密码、动态口令、钉钉等,未来,还可以通过技术扩展在此平台实现指纹、声纹、面部等生物特征校验。
(3)统一的安全策略管理功能
提供基于用户登录场景灵活设置安全策略的机制,可参考用户设备、IP和地点等多维度因素,通过有效的身份判定,有效管控用户的登录行为(由于IAM系统目前仅支持内网使用,所以此功能暂未发挥作用)。
通过IAM系统,用户在公司所有的系统登录情况都得到有效记录。认证过程追溯、账户行为安全审计得以实现:详细记录和管理所有用户登录行为和IT操作行为,及时提示异常登录、预警风险行为。
密码和登录策略的灵活设置,支持自定义的密码长度、复杂程度、轮换次数和过期时限管理;支持自定义多种登录策略,有效抵御恶意访问,如:开启二次认证,提高登录安全系数。
2、提升用户体验
信息系统的用户身份服务以用户为中心,在接受统一管控的基础上,提供了充分的用户自助能力,系统使用人员可自行完成用户属性维护、密码重置、第三方身份整合、多因素认证绑定等操作。
由于用户可以通过多种方式进行自助身份管理,也无需记忆多套用户名和密码,因此IAM系统的密码强度可以设置为较高的安全等级。
同时,由于钉钉、短信等验证方式的引入,提高了系统认证的方便性。
南京南瑞继保电气有限公司(简称“南瑞继保”)主要从事电网、电厂和各类工矿企业的电力保护控制及智能电力装备的研发和产业化,是国家能源局“国家能源电力控制保护技术研发(实验)中心”的依托单位。
南瑞继保是中宣部确定的全国自主创新重大典型宣传企业,连年被评为国家重点高新技术企业和国家规划布局内的重点软件企业,获全国五一劳动奖状、江苏省企业创新奖等荣誉。公司现有聘用员工2500余人,其中博士、硕士研究生800余人,超过员工总数的30%。中国工程院沈国荣院士担任公司董事长。
南瑞继保总部设在南京,在南京和常州两地建有4个科研和产业化基地,在北京、广州、西安等8个地区设有国内区域销售和技术服务中心,在香港、美国、英国、印度、尼日利亚等地设立了各大洲的国际分支机构和本地化的技术服务中心。
以务实解决实际问题为创新理念,南瑞继保在继电保护、电网安全稳定控制、特高压交直流输电和柔性交直流输电等领域取得了一批支撑和引领行业发展的研发成果。迄今已完成重大研究开发项目251项,获得国家科技进步特等奖1项、一等奖1项、二等奖4项,国家技术发明二等奖2项,省部级科技进步一等奖21项;获国家发明专利授权789项,登记计算机软件著作权602项;主导和参与发布国际标准13项、国家标准107项、行业标准120项。公司核心产品市场占有率高,继电保护产品在220kV及以上电压等级的国内市场占有率超过40%,产品广泛应用于三峡输变电、“西电东送”、北京奥运、上海世博、杭州G20等国家重点工程。公司的继电保护、电网安全稳定控制、高压交直流输电控制保护等技术打破了国外公司的长期技术和产品垄断,以其先进性、实用性和可靠性,提高了我国电网安全稳定运行水平。
南瑞继保以公司总体规划和两化融合体系要求为指导,全面贯彻落实“做精主业,外延发展”的发展战略,对数字化转型工作非常重视,将业务数字化作为顶层设计常抓不放;充分利用现代信息技术促进和保障公司发展和目标实现,支持各业务系统的建设,服务公司业务创新,建立电力控制领域高科技企业信息化、数字化的运营与决策支持体系,全面提升公司核心竞争能力。公司于2020年开展两化融合管理体系建设工作,并于同年顺利通过两化融合体系审核,获颁体系证书,全面开启数字化转型工作。
公司信息中心与业务部门紧密合作,有序推进公司数字化转型规划,充分论证实施方案,加强数字化技术在公司各个环节的应用,以提升公司的生产效率以及管理水平,助推公司各项业务向集约化、数字化、智能化转型,为满足公司各业务场景的信息化需求,公司建设了多个信息系统,随着业务发展,系统使用效率和信息安全管控的需求逐步提升,面临如下一些问题:
1、用户信息未统一管理,存在多种账号和凭证,让系统用户在面临高要求的安全管控时,操作较为繁琐,造成系统使用满意度降低;
2、认证方式未统一,无法有效提升信息安全风险防范手段和响应速度;系统登录日志存在割裂现象,过程无法追溯;
3、各系统账号与权限对接方式不一致,仅有少量环节实现了自动化管理;
4、无法可视化管理和审计用户的操作行为,提前防范预警有效性较低;
5、人员组织架构调整时,缺乏即时/临时授权的高效流程和管控手段;
6、未能提供用户密码自助管理、多因素认证、统一登录等个性化服务;
7、欠缺对外部用户、临时用户的有效管控方式,信息安全风险较高。
公司大部分系统有独立的账号权限管理模块,面临各系统架构的多样化,运维工作体量巨大,耗时耗力。在信息安全管理要求的推动下,统一身份认证与访问管理(IAM)行业迅速发展,技术标准和管理思想日趋成熟,通过引进IAM系统来指导和推进系统用户管理、加强统一认证的意识,能有效加快公司信息安全管控工作进程,降低统一身份认证与访问管理的综合成本。
二、案例概述:
公司各应用系统中,由于业务系统实际使用与组织管理的需求存在差异,如多岗位、临时应用权限配置等,目前并行维护了两套组织机构,一套由人力资源维护,是其他组织架构的人员、部门等信息的基础来源。一套是信息系统组织架构,定期从HR系统同步基础数据,基于HR组织架构进行微调(主要为员工岗位、外包外协人员),以满足人员实际岗位细分、多岗位流程处理、权限控制和临时性事务等需求。两套组织机构有各自的着重点,相辅相成,共同支撑公司各业务系统的安全管控,结合此情况,经过公司各业务部门深入讨论,确定主要业务需求:
(1)增强用户全生命周期管理
对所有应用系统用户身份信息进行集中管理,提供从入职到离职的全生命周期管理功能,包括岗位调整、出差、交接等;当员工提出离职时,管理员可“一键封锁”权限,将员工的应用权限停用,规避风险;
(2)提高工作效率
统一凭据管理后,打通各个系统的组织架构,整合人员、角色、部门、权限的管理方式,打通业务流程;实现跨系统的认证及单点登录功能,员工只需要一次登录认证,即能访问具有权限的各系统,降低重复登录的工作,提高访问效率;
(3)用户权限管控方式灵活高效
建立统一的账号权限视图,快速获取员工身份账号及权限情况,高效管理孤儿账号、僵尸账号、共用账号等情况;提高管控力度,提供有效的用户登录及关键操作的日志记录和审计能力;
(4)新员工入职配合
新员工入职后,集中处理相关系统账号,解决账号不一致、处理周期长、身份信息差异等问题;提出有效方案,解决见习期员工身份和实际岗位不一致,导致权限存在差异的问题;
(5)员工临时调岗管理
解决调岗时账号权限调整不及时问题(临时性岗位调动造成的部门权限与岗位业务要求的差异),提高人工审查和调整效率;优化多岗位的权限管理;
(6)外包外协人员访问控制
实现外部人员(含临时访客)账号及权限的有效管理,通过操作审计机制,实现系统操作日志查询和追溯能力;
(7)满足安全云访问要求
实现应用系统统一入口的云端部署,增强系统云端访问认证安全,提高钉钉、亿方云等SaaS系统用户的安全控制能力。
在此基础上,确定了用户认证数字化转型的基本目的:
通过统一身份及访问管理系统的实施,实现“统一身份、集中管理、简化应用、保障安全”的目的,打破各系统独立认证的格局,建立统一的认证和账号权限管理体系。
| 4A | 说 明 |
| 统一身份 | 身份统一管理:用户身份统一管理(含外部人员、临时访客) 数据集中管理:结合中台系统,提供准确的用户主数据 流程效率管理:优化账号与授权流程管理 |
| 统一认证 | 访问安全管理:集中访问入口管理和访问控制策略配置 访问安全加强:多种安全认证,适应不同业务场景,实现多因素认证方式 安全预警与监控:事前、事中、事后一体化访问安全预警和审核机制 |
| 统一审计 | 制度规范:用户命名规范、应用整合接入规范、安全策略标准、访问准入规范 组织职责:平台管理员职责、运维职责、分级管理职责等 审计管理:合规预警与监控 |
| 统一授权 | 准入授权:基于应用准入的访问授权 细粒度授权:基于角色、数据、菜单等多维权限管控 权限策略:高效权限控制与分配,实现集中授权和权限互斥管理 |
经过5个月的实施工作,项目组基于竹云统一身份管理(iDaaS+BIM)平台,实现了对14套系统的集成登录和导航,实现了公司信息系统内外部用户的统一身份和认证管理。
| 序号 | 功能项目 | 功能说明 |
| 1 | 用户管理 | 通过中台,对HR系统与其他信息系统进行解耦,组织架构按规范的接口进行同步,内部员工的账号和组织信息统一管理。 提供外协单位人员和组织架构管理。 |
| 2 | 安全管理 | 数据安全、接口安全、组件系统安全、网络安全、安全审计,符合公司内部的安全漏洞扫描要求。 |
| 3 | 统一认证管理 | 实现各个应用系统的统一认证 |
| 4 | 统一导航功能 | 集成各个应用系统的单点登录和导航 |
| 5 | 用户自助功能 | 通过忘记密码功能进行自助找回密码; 自行管理绑定的手机号、钉钉、动态口令等信息。 |
| 6 | 多因素认证管理 | 通过微信实现动态口令二次验证、绑定与激活。 |
| 7 | 统一身份审计功能 | 登录认证审计、应用访问审计、身份操作日志、应用账号统计、用户机构统计、用户状态统计 |
| 8 | 密码策略 | 严格按照要求规范,支持密码长度8-16位; 密码规则:必须包含大写字母+小写字母+数字+特殊字符(四选三) |
同时,按中台系统的整体规划,IAM系统的实施填补了中台的统一认证能力,进一步提升了中台功能的技术和应用完备性。完善了公司信息化建设,从业务、技术、数据层面实现了完备的单点登录和应用集成方案。
- 通过对中台的技术扩展,支持快速安全地构建本地系统、云服务和移动应用的单点登录连接;基于业界标准协议提供API对接方案,支持多种语言和技术架构(C#、Java、Python、Node.js等)。
- 实现了与钉钉、企业微信、云服务的用户组织架构快速安全对接。
- 支持多种标准和非标准单点登录协议:OAuth、SAML 2.0、OIDC、CAS、ADFS、Radius等。
从管理层面,实现了账号生命周期管理,通过多源汇聚,将多套应用系统的用户进行集成:主动适配HR、AD/LDAP、Mis/OA、数据库等身份源系统,通过推送或抓取方式对各系统账号进行实时同步;基于灵活的同步流服务,实现了人员账号的自动开通、关停、修改和权限管控,有效避免离职员工账号未关停所引发的安全隐患。
1、加强信息安全管控
身份管理是信息安全管理的核心要素之一,通过集中管理用户身份信息,结合密码、动态口令、数字证书等因素,可对用户和场景进行分级管控;通过IAM系统的实施和推广使用,在多个方面提高了信息安全管理水平。
(1)信息系统用户数据得到有效管理
首先是统一了用户标识,为公司所有信息系统用户进行了实名化管理,目前采用员工工号作为标识(外部人员为手机号);第二是提供了身份管理机制,通过用户标识与组织架构属性的结合,构成了用户身份,进而可以推广应用于各信息系统的权限管理。
将信息系统用户信息和登录行为进行统一管理,可以实现用户在多个系统登录权限的一键关停;同时,随着IAM系统的推广,逐步回收重要(一级)信息系统自带的账号和密码,降低因操作遗漏、密码复杂度等问题引起的信息安全风险。
(2)多因素认证机制
实现了认证,对信息系统用户是否拥有对应的身份提供了可控的识别过程。通过图形校验、二维码、通知推送等多种二次认证方式,为公司系统安全提供了灵活的管理手段。
实现了凭证管理,即认证过程中需要校验的身份属性,目前来说提供了手机、账号密码、动态口令、钉钉等,未来,还可以通过技术扩展在此平台实现指纹、声纹、面部等生物特征校验。
(3)统一的安全策略管理功能
提供基于用户登录场景灵活设置安全策略的机制,可参考用户设备、IP和地点等多维度因素,通过有效的身份判定,有效管控用户的登录行为(由于IAM系统目前仅支持内网使用,所以此功能暂未发挥作用)。
通过IAM系统,用户在公司所有的系统登录情况都得到有效记录。认证过程追溯、账户行为安全审计得以实现:详细记录和管理所有用户登录行为和IT操作行为,及时提示异常登录、预警风险行为。
密码和登录策略的灵活设置,支持自定义的密码长度、复杂程度、轮换次数和过期时限管理;支持自定义多种登录策略,有效抵御恶意访问,如:开启二次认证,提高登录安全系数。
2、提升用户体验
信息系统的用户身份服务以用户为中心,在接受统一管控的基础上,提供了充分的用户自助能力,系统使用人员可自行完成用户属性维护、密码重置、第三方身份整合、多因素认证绑定等操作。
由于用户可以通过多种方式进行自助身份管理,也无需记忆多套用户名和密码,因此IAM系统的密码强度可以设置为较高的安全等级。
同时,由于钉钉、短信等验证方式的引入,提高了系统认证的方便性。
会员
活动
研究
教育认证
评估认证
关于我们
联系我们
微信号:csagcr
手机:19925407556
邮箱:info@c-csa.cn
手机:19925407556
邮箱:info@c-csa.cn