甘肅電投：“三化”改造踐行者

甘肅省電力投資集團有限責任公司（甘肅省投資集團有限責任公司）是省政府出資設立的國有大型投資公司和國有資本投資公司改組試點單位。集團圍繞全省傳統(tǒng)優(yōu)勢產業(yè)、戰(zhàn)略性新興產業(yè)、重大基礎設施規(guī)劃實施項目，堅持“綠色發(fā)展”理念，持續(xù)發(fā)展新動能，打造全省“水火油氣風光核”絲綢之路現代能源綜合示范基地戰(zhàn)略。經過30多年的改革發(fā)展，打造了能源和現代服務業(yè)兩大產業(yè)，形成了電力熱力、能源化工、數據信息、產業(yè)置業(yè)、會展文創(chuàng)、產業(yè)金融等6大板塊。

集團公司積極貫徹落實“三化”改造，但在改造過程中信息化系統(tǒng)的大量建設也帶來了新的問題，如人員信息分散、接入方式不統(tǒng)一、認證方式不安全、數據來源的不一致、系統(tǒng)維護困難等。為助力集團內部多業(yè)務板塊高效協(xié)同，賦能管理和服務提質增效，提升集團信息化改造水平。甘肅電投攜手派拉軟件搭建統(tǒng)一數字身份管理平臺（IAM），有效的改善和解決用戶跨組織跨平臺的信息對稱問題，為集團提供賬號全生命周期管理，實現各信息系統(tǒng)單點登錄，提高訪問安全等級，合理分配集團資源，也為“三化”的改造提供支撐和保障。

針對目前VPN認證形式單一的問題，統(tǒng)一身份認證通過與VPN的集成，將認證與網絡連接分離，同時提供更高強度的認證手段，防止攻擊者通過弱口令、暴力撞庫等攻擊黑入內網，造成數據泄露。

當用戶在外網環(huán)境遠程辦公時，不需要直接連接VPN，先訪問統(tǒng)一身份認證系統(tǒng)，使用手機號+短信驗證碼、釘釘掃碼、用戶名+密碼+滑塊驗證碼進行強身份認證，認證成功后通過SSO插件自動完成VPN撥號連接，進入內網環(huán)境。由于所有連接都是通過統(tǒng)一身份認證系統(tǒng)來完成的，所以對于來自外網的訪問都能做到可控可管可查。滿足“三化”改造對于加強信息安全技術應用，提高信息安全防護能力，對信息的安全運行進行全方位監(jiān)控的要求。

釘釘作為甘肅電投的辦公平臺，除了日常即時通訊、協(xié)同辦公以外，還可以與IAM進行集成，統(tǒng)一甘肅電投各業(yè)務系統(tǒng)在移動端的入口。

IAM系統(tǒng)通過統(tǒng)一帳號管理，將公司人員信息以SDK方式完成與釘釘通訊錄同步。同時將發(fā)布在釘釘內的應用與IAM系統(tǒng)進行認證整合，當用戶在釘釘中點擊訪問業(yè)務系統(tǒng)時，可以直接免密完成認證，從而實現移動端單點登錄，為移動辦公帶來流暢體驗，提高了辦公自動化程度和綜合管理水平。

Acount (賬號管理): 定義集團統(tǒng)一的帳號規(guī)則，建立以人為中心，實現人員的創(chuàng)建、修改、停用、啟用等一系列全周期管理。

Authentication (認證管理): 建立甘肅電投統(tǒng)一認證中心，提供多因素認證方式，實現應用訪問的安全登錄。

Authorization (授權管理): 基于角色和流程，構建甘肅電投統(tǒng)一授權模型，實現應用系統(tǒng)權限的集中管控。

Audit (審計管理): 對身份管理行為、平臺操作行為、授權行為、用戶訪問行為進行集中審計，為事后追責提供可查機制。

Application (員工自助管理): 建立甘肅電投員工自助服務中心，員工可以自助修改個人信息、找回密碼、修改密碼、認證方式綁定，極大減輕賬號運維工作量。