關(guān)于長江電力
中國長江電力股份有限公司(簡稱長江電力,股票代碼600900)是經(jīng)國務(wù)院批準(zhǔn),由中國長江三峽集團(tuán)有限公司作為主發(fā)起人設(shè)立的股份有限公司。長江電力是世界水電行業(yè)的引領(lǐng)者,主要從事水力發(fā)電、配售電以及海外電站運營、管理、咨詢及投融資業(yè)務(wù),是中國最大的電力上市公司和全球最大的水電上市公司。
自2002年長江電力成立以來,公司信息化系統(tǒng)大規(guī)模應(yīng)用,特別是各生產(chǎn)單位使用的自動化、監(jiān)控系統(tǒng)在公司電力生產(chǎn)中發(fā)揮著關(guān)鍵作用,但是信息化系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)信息系統(tǒng)的數(shù)量不斷增加,長江電力在各系統(tǒng)的用戶身份管理、運維環(huán)節(jié)面臨著如下挑戰(zhàn):
1-多訪問入口、多套帳號密碼,用戶體驗差;
2-分散式帳號和認(rèn)證管理,運維難度大;
3-密碼管理困難,密碼/口令傳輸存在風(fēng)險;
4-各系統(tǒng)安全體系重復(fù)建設(shè),成本高,維護(hù)難;
為了解決以上管理難題和業(yè)務(wù)困擾,長江電力攜手派拉軟件,建立了統(tǒng)一身份與任務(wù)管理平臺(IAM平臺),形成統(tǒng)一規(guī)范的應(yīng)用賬號管理體系,提供一個更加貼近業(yè)務(wù)需求、自動化、安全、可審計的身份管理系統(tǒng),提高長江電力信息系統(tǒng)的安全防護(hù)能力。
長江電力IAM建設(shè)亮點
“身份”集中管
建立權(quán)威身份數(shù)據(jù)源
IAM平臺全面集成集團(tuán)E-HR系統(tǒng)和ECN系統(tǒng),實現(xiàn)內(nèi)部員工與外部供應(yīng)商身份數(shù)據(jù)的全面打通,建立長江電力唯一權(quán)威身份數(shù)據(jù)源,向下游系統(tǒng)集中供應(yīng)身份數(shù)據(jù),實現(xiàn)從核心數(shù)據(jù)源到各應(yīng)用系統(tǒng)間的身份數(shù)據(jù)的同步。
數(shù)據(jù)同步靈活機(jī)動
組織崗位賬號同步功能,可實現(xiàn)根據(jù)情況按照需要,同步指定范圍的組織和賬號,而無需每次都全量同步,提高了同步的效率,縮短了同步的時間,降低了同步失敗的概率和風(fēng)險,實現(xiàn)了組織崗位賬號按需同步,靈活機(jī)動。
“認(rèn)證”集中管
單點登錄,統(tǒng)一訪問
IAM平臺與各個系統(tǒng)單點集成,實現(xiàn)了對各個系統(tǒng)在平臺的歸集、排序和認(rèn)證校驗,減少了進(jìn)入應(yīng)用系統(tǒng)的步驟,提升用戶登錄效率。同時拋棄原有明文密碼傳輸、接口校驗的認(rèn)證方式,采用OAuth2.0、SAML、OIDC等標(biāo)準(zhǔn)協(xié)議實現(xiàn)應(yīng)用單點登錄認(rèn)證,加強應(yīng)用系統(tǒng)單點登錄認(rèn)證通道安全;
多因素身份認(rèn)證
將動態(tài)口令、二維碼掃描、人臉識別方式集成進(jìn)現(xiàn)有的掌上長電APP,使用能通過掌上長電APP任選一種方式進(jìn)行身份的認(rèn)證。同時保留傳統(tǒng)的用戶名密碼的方式的登錄認(rèn)證,同時采用動態(tài)滑塊認(rèn)證方式,防范惡意攻擊行為。
“權(quán)限”集中管
集團(tuán)分級分權(quán)管理
IAM平臺分級分域管理功能,支持組織架構(gòu)、用戶數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)的分級分權(quán)管理;集團(tuán)管理員可以管理所有用戶、組織架構(gòu)、賬號信息;子公司管理員可管理權(quán)限內(nèi)的的組織、用戶、賬號信息。既滿足長江電力集團(tuán)集中化管理需要,也滿足分轄管理的需求。
帳號權(quán)限集中管控
IAM平臺通過用戶崗位角色進(jìn)行自動化權(quán)限分配;員工離開工作崗位后,管理員通過IAM平臺可一鍵停用賬號,并對該賬號所關(guān)聯(lián)的所有系統(tǒng)進(jìn)行清權(quán)操作,無需多系統(tǒng)后臺重復(fù)清權(quán),有效規(guī)避離職員工的賬號風(fēng)險;
公共賬號審計
部分應(yīng)用存在多人共用帳號情況,對于此類公共帳號,IAM平臺中可通過主從賬號映射授權(quán)的方式可以將一個賬號與多個用戶的登錄賬號建立映射授權(quán)關(guān)系,在同一時間段用戶同時使用公共賬號時也可以進(jìn)行實名制審計,從而保障所有操作的可追溯性。
用戶訪問審計
IAM平臺提供了一個集中存儲中心以日志的形式記錄用戶所有操作。審計人員、安全管理人員可以隨時查看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。同時審計功能可以記錄所有用戶帳號管理的行為,節(jié)省審計時間,加快審計人員響應(yīng)速度。
用戶“自助化”
自助帳號申請
用戶可通過IAM平臺自助申請應(yīng)用系統(tǒng)賬號,各層級相關(guān)領(lǐng)導(dǎo)線上審批通過后,審批通過后IAM自動開通相應(yīng)應(yīng)用賬號。線上流程化申請,提高帳號開通效率,簡化了信息部門的運維工作壓力。
自助帳號服務(wù)
IAM平臺用戶自助解鎖、找回密碼功能,同時IAM可通過人臉識別、動態(tài)口令、短信碼的方式進(jìn)行身份的鑒定,保障自助操作為本人操作,防止惡意自助所帶來的安全風(fēng)險。自助功能改變了原有人為線下找信息部申請的方式,極大的提高運維效率,同時優(yōu)化用戶體驗。
連續(xù)數(shù)年在基礎(chǔ)設(shè)施和系統(tǒng)建設(shè)方面的持續(xù)投入,讓長江電力在信息化能力方面打下了良好的基礎(chǔ),逐步實現(xiàn)了企業(yè)精益生產(chǎn)、精細(xì)化管理、精準(zhǔn)考核等方面的業(yè)務(wù)管理需要;而企業(yè)信息安全作為數(shù)字化轉(zhuǎn)型的基礎(chǔ),亦是長江電力信息化布局中的重要一環(huán)。此次攜手派拉軟件構(gòu)建IAM管理平臺,打通了長江電力應(yīng)用系統(tǒng)身份體系,為長江電力的信息安全體系打下了扎實基礎(chǔ),更進(jìn)一步深化了企業(yè)內(nèi)部的信息化進(jìn)程!