全球百強(qiáng)藥企豪森藥業(yè)：數(shù)字身份安全，數(shù)字化業(yè)務(wù)才安全

數(shù)字化轉(zhuǎn)型的深入發(fā)展，讓企業(yè)數(shù)字身份管理的內(nèi)涵與外延發(fā)生了諸多變化。如何從傳統(tǒng)的“碎片化、靜態(tài)化、粗放化”的身份管理走向“集中化、動態(tài)化、精細(xì)化”的數(shù)字身份治理與管理，是數(shù)字化轉(zhuǎn)型時代每一家企業(yè)亟需突破的第一步。

豪森藥業(yè)作為國內(nèi)抗腫瘤和精神類藥物研發(fā)和生產(chǎn)的領(lǐng)軍企業(yè)，也是數(shù)字化轉(zhuǎn)型的先行者。在持續(xù)加大醫(yī)藥研發(fā)投入的同時，為與全球先進(jìn)準(zhǔn)入水平保持動態(tài)一致，豪森藥業(yè)持續(xù)按照國際先進(jìn)標(biāo)準(zhǔn)設(shè)計和建立生產(chǎn)設(shè)施和生產(chǎn)線，并與數(shù)字時代同步，加速信息化、數(shù)字化系統(tǒng)應(yīng)用建設(shè)，形成了覆蓋核心業(yè)務(wù)的30+業(yè)務(wù)系統(tǒng)與近2萬員工身份的內(nèi)生“數(shù)字世界”。

然而，在這個“數(shù)字世界”中，應(yīng)用系統(tǒng)之間的賬號管理卻彼此獨(dú)立，人員身份信息分散管控。數(shù)字身份管理呈現(xiàn)碎片化、靜態(tài)化、粗放化的管理態(tài)勢，給企業(yè)數(shù)字化轉(zhuǎn)型與全球化發(fā)展帶來新挑戰(zhàn)。

PART ONE

4大難題：

數(shù)字身份管理難，安全風(fēng)險凸顯

要想進(jìn)入豪森藥業(yè)內(nèi)生“數(shù)字世界”，需要一個入口+一個可信的“數(shù)字身份”。然而，不統(tǒng)一的入口與數(shù)字身份，帶來了各種辦公、管理與安全問題。

傳統(tǒng)IT架構(gòu)中，每個業(yè)務(wù)應(yīng)用都有獨(dú)立的身份管理模塊。這就意味著豪森藥業(yè)在不斷新建業(yè)務(wù)應(yīng)用系統(tǒng)同時，就會給員工帶來一個新身份。

也就是說，30多個業(yè)務(wù)應(yīng)用系統(tǒng)，對應(yīng)30多個數(shù)字身份賬戶、密碼。而由于醫(yī)藥行業(yè)的特殊屬性，每個應(yīng)用系統(tǒng)密碼都需要進(jìn)行復(fù)雜密碼設(shè)置。這就導(dǎo)致每個員工需要使用多套復(fù)雜度高的密碼，去登錄多個不同應(yīng)用系統(tǒng)。

這種分散式的身份管理，對員工而言，記憶密碼難度大、操作還復(fù)雜。對管理者而言，每新建一個系統(tǒng)就要一次員工“登記造冊”，并配合員工“入轉(zhuǎn)調(diào)離”對30多個業(yè)務(wù)系統(tǒng)依次進(jìn)行調(diào)整，管理難且工作量大。

由于數(shù)字身份管理的碎片化與各業(yè)務(wù)系統(tǒng)互不相通，導(dǎo)致一個業(yè)務(wù)應(yīng)用系統(tǒng)自成一個世界，對應(yīng)一個網(wǎng)址入口/門戶。員工平均每天要在十幾個應(yīng)用系統(tǒng)上來回切換網(wǎng)址。而每進(jìn)入一個應(yīng)用系統(tǒng)，又要進(jìn)行一次賬號密碼的登錄認(rèn)證。

這種N個入口，反復(fù)認(rèn)證的繁瑣登錄體驗與認(rèn)證方式，致使很多員工往往選擇多個應(yīng)用系統(tǒng)使用同一密碼。這無疑給企業(yè)帶來了安全隱患。此外，這種靜態(tài)賬號密碼認(rèn)證方式也無法有效應(yīng)對愈加復(fù)雜的安全威脅與管控要求。

數(shù)字身份管理的碎片化，又間接導(dǎo)致權(quán)限管理難問題。眾所周知，權(quán)限是根據(jù)用戶“身份”來控制其訪問某些信息項的機(jī)制。而根據(jù)權(quán)限的粒度劃分與最小權(quán)限授權(quán)原則，又可以進(jìn)一步細(xì)化權(quán)限劃分與精細(xì)化管控。

然而，身份信息的分散與業(yè)務(wù)系統(tǒng)的割裂，豪森藥業(yè)需要在不同業(yè)務(wù)系統(tǒng)進(jìn)行相應(yīng)的授權(quán)操作與訪問控制策略，即N個業(yè)務(wù)應(yīng)用系統(tǒng)要N次授權(quán)。

這種基于業(yè)務(wù)系統(tǒng)的授權(quán)，又往往受制于業(yè)務(wù)系統(tǒng)本身性能影響，如有的業(yè)務(wù)應(yīng)用自身就不支持復(fù)雜的權(quán)限管理模型，無法做到更加細(xì)粒度的權(quán)限管控，難以滿足企業(yè)數(shù)字化安全發(fā)展新需求。

PART TWO

7大建設(shè)：

簡化數(shù)字身份管理，加固身份安全

豪森藥業(yè)選擇的派拉軟件統(tǒng)一數(shù)字身份治理與管理平臺，通過“理數(shù)據(jù)、定規(guī)章、納單點(diǎn)、強(qiáng)認(rèn)證、授權(quán)限、全審計、自服務(wù)”七位一體的建設(shè)思路，一次性有效解決“數(shù)字身份”管理與安全難題，實現(xiàn)數(shù)字身份管理的集中化、動態(tài)化、精細(xì)化，讓員工更安全、便捷地進(jìn)入企業(yè)內(nèi)生“數(shù)字世界”，并幫助豪森藥業(yè)重構(gòu)整個數(shù)字身份安全防護(hù)體系，筑牢企業(yè)數(shù)字化轉(zhuǎn)型安全基石。

在梳理數(shù)據(jù)基礎(chǔ)上，派拉軟件為豪森藥業(yè)定制統(tǒng)一身份認(rèn)證規(guī)范、統(tǒng)一身份管理規(guī)范、應(yīng)用帳號管理規(guī)范、帳號管理集成技術(shù)標(biāo)準(zhǔn)、應(yīng)用集成接口規(guī)范與集成指引等系列規(guī)章制度。

通過細(xì)化管理規(guī)則，提前統(tǒng)籌把控身份管理與安全問題，結(jié)合數(shù)字身份治理與管理平臺，將身份與訪問管理制度線上化與流程化，有效保障企業(yè)數(shù)字身份管理與安全的強(qiáng)落地，并為后續(xù)更多新業(yè)務(wù)應(yīng)用系統(tǒng)集成與身份管理提供標(biāo)準(zhǔn)化抓手。

通過統(tǒng)一權(quán)限管控，管理員可在一個后臺對所有數(shù)字身份進(jìn)行統(tǒng)一授權(quán)。通過對業(yè)務(wù)應(yīng)用系統(tǒng)重要程度等級劃分，將訪問權(quán)限根據(jù)需求不斷細(xì)化到每個應(yīng)用、菜單欄、行、列，甚至數(shù)據(jù)級等。基于最小權(quán)限分配原則，結(jié)合用戶實體行為分析，匹配相應(yīng)的訪問控制策略，實現(xiàn)動態(tài)化、細(xì)粒度授權(quán)。

此外，管理員可在后臺可視化查看全體員工的數(shù)字身份與權(quán)限一覽圖，便于管理員或領(lǐng)導(dǎo)查看企業(yè)整體員工身份、角色、職責(zé)、權(quán)限等具體情況，快速審查權(quán)限漏洞，避免越權(quán)訪問。

PART THREE

1大宗旨：

數(shù)字身份安全，數(shù)字化業(yè)務(wù)才安全

經(jīng)過上述7大建設(shè)內(nèi)容，豪森藥業(yè)在其內(nèi)生“數(shù)字世界”中形成了集中化、動態(tài)化、精細(xì)化的數(shù)字身份與訪問控制管理。

這就好比給這個數(shù)字世界打好了地基。未來，這個數(shù)字世界里的人員變動、業(yè)務(wù)新增或改動、每天數(shù)以萬計的用戶在數(shù)字世界中頻繁的業(yè)務(wù)往來交互，它都能秩序井然、有條不紊地安全高效運(yùn)行。

這也正是身份安全作為保護(hù)企業(yè)IT資產(chǎn)和數(shù)據(jù)免受內(nèi)外部威脅的第一道安全防線的重要意義。

數(shù)字身份，一把進(jìn)入未來更龐大、更復(fù)雜數(shù)字世界的“鑰匙”。當(dāng)這把鑰匙在開啟數(shù)字世界或其中任意一道門時，都有一個前提——安全可信。

豪森藥業(yè)攜手派拉軟件共建的安全價值亦在于此——數(shù)字身份安全，數(shù)字化業(yè)務(wù)才安全！