En 400-6655-581
2
返回
> 合作案例 > 能源化工

長江電力:智慧能源企業(yè)用「身份」管控,為「安全」發(fā)電!

                                                                  
 

關于長江電力

 

中國長江電力股份有限公司(簡稱長江電力,股票代碼600900)是經國務院批準,由中國長江三峽集團有限公司作為主發(fā)起人設立的股份有限公司。長江電力是世界水電行業(yè)的引領者,主要從事水力發(fā)電、配售電以及海外電站運營、管理、咨詢及投融資業(yè)務,是中國最大的電力上市公司和全球最大的水電上市公司。


自2002年長江電力成立以來,公司信息化系統(tǒng)大規(guī)模應用,特別是各生產單位使用的自動化、監(jiān)控系統(tǒng)在公司電力生產中發(fā)揮著關鍵作用,但是信息化系統(tǒng)建設的不斷發(fā)展,企業(yè)信息系統(tǒng)的數量不斷增加,長江電力在各系統(tǒng)的用戶身份管理、運維環(huán)節(jié)面臨著如下挑戰(zhàn):

 

1-多訪問入口、多套帳號密碼,用戶體驗差;

2-分散式帳號和認證管理,運維難度大;

3-密碼管理困難,密碼/口令傳輸存在風險;

4-各系統(tǒng)安全體系重復建設,成本高,維護難;


為了解決以上管理難題和業(yè)務困擾,長江電力攜手派拉軟件,建立了統(tǒng)一身份與任務管理平臺(IAM平臺),形成統(tǒng)一規(guī)范的應用賬號管理體系,提供一個更加貼近業(yè)務需求、自動化、安全、可審計的身份管理系統(tǒng),提高長江電力信息系統(tǒng)的安全防護能力。

 

長江電力IAM建設亮點

“身份”集中管

建立權威身份數據源

IAM平臺全面集成集團E-HR系統(tǒng)和ECN系統(tǒng),實現內部員工與外部供應商身份數據的全面打通,建立長江電力唯一權威身份數據源,向下游系統(tǒng)集中供應身份數據,實現從核心數據源到各應用系統(tǒng)間的身份數據的同步。

數據同步靈活機動

組織崗位賬號同步功能,可實現根據情況按照需要,同步指定范圍的組織和賬號,而無需每次都全量同步,提高了同步的效率,縮短了同步的時間,降低了同步失敗的概率和風險,實現了組織崗位賬號按需同步,靈活機動。

 

“認證”集中管

單點登錄,統(tǒng)一訪問

IAM平臺與各個系統(tǒng)單點集成,實現了對各個系統(tǒng)在平臺的歸集、排序和認證校驗,減少了進入應用系統(tǒng)的步驟,提升用戶登錄效率。同時拋棄原有明文密碼傳輸、接口校驗的認證方式,采用OAuth2.0、SAML、OIDC等標準協(xié)議實現應用單點登錄認證,加強應用系統(tǒng)單點登錄認證通道安全;

多因素身份認證

將動態(tài)口令、二維碼掃描、人臉識別方式集成進現有的掌上長電APP,使用能通過掌上長電APP任選一種方式進行身份的認證。同時保留傳統(tǒng)的用戶名密碼的方式的登錄認證,同時采用動態(tài)滑塊認證方式,防范惡意攻擊行為。

 

“權限”集中管

集團分級分權管理

IAM平臺分級分域管理功能,支持組織架構、用戶數據、應用系統(tǒng)數據的分級分權管理;集團管理員可以管理所有用戶、組織架構、賬號信息;子公司管理員可管理權限內的的組織、用戶、賬號信息。既滿足長江電力集團集中化管理需要,也滿足分轄管理的需求。

帳號權限集中管控

IAM平臺通過用戶崗位角色進行自動化權限分配;員工離開工作崗位后,管理員通過IAM平臺可一鍵停用賬號,并對該賬號所關聯(lián)的所有系統(tǒng)進行清權操作,無需多系統(tǒng)后臺重復清權,有效規(guī)避離職員工的賬號風險;

 

“審計”可追溯

公共賬號審計

部分應用存在多人共用帳號情況,對于此類公共帳號,IAM平臺中可通過主從賬號映射授權的方式可以將一個賬號與多個用戶的登錄賬號建立映射授權關系,在同一時間段用戶同時使用公共賬號時也可以進行實名制審計,從而保障所有操作的可追溯性。

用戶訪問審計

IAM平臺提供了一個集中存儲中心以日志的形式記錄用戶所有操作。審計人員、安全管理人員可以隨時查看這些記錄用戶、系統(tǒng)和應用的日志信息。同時審計功能可以記錄所有用戶帳號管理的行為,節(jié)省審計時間,加快審計人員響應速度。

 

用戶“自助化”

自助帳號申請

用戶可通過IAM平臺自助申請應用系統(tǒng)賬號,各層級相關領導線上審批通過后,審批通過后IAM自動開通相應應用賬號。線上流程化申請,提高帳號開通效率,簡化了信息部門的運維工作壓力。

自助帳號服務

IAM平臺用戶自助解鎖、找回密碼功能,同時IAM可通過人臉識別、動態(tài)口令、短信碼的方式進行身份的鑒定,保障自助操作為本人操作,防止惡意自助所帶來的安全風險。自助功能改變了原有人為線下找信息部申請的方式,極大的提高運維效率,同時優(yōu)化用戶體驗。


連續(xù)數年在基礎設施和系統(tǒng)建設方面的持續(xù)投入,讓長江電力在信息化能力方面打下了良好的基礎,逐步實現了企業(yè)精益生產、精細化管理、精準考核等方面的業(yè)務管理需要;而企業(yè)信息安全作為數字化轉型的基礎,亦是長江電力信息化布局中的重要一環(huán)。此次攜手派拉軟件構建IAM管理平臺,打通了長江電力應用系統(tǒng)身份體系,為長江電力的信息安全體系打下了扎實基礎,更進一步深化了企業(yè)內部的信息化進程!