数字化转型的深入发展,让企业数字身份管理的内涵与外延发生了诸多变化。如何从传统的“碎片化、静态化、粗放化”的身份管理走向“集中化、动态化、精细化”的数字身份治理与管理,是数字化转型时代每一家企业亟需突破的第一步。
豪森药业作为国内抗肿瘤和精神类药物研发和生产的领军企业,也是数字化转型的先行者。在持续加大医药研发投入的同时,为与全球先进准入水平保持动态一致,豪森药业持续按照国际先进标准设计和建立生产设施和生产线,并与数字时代同步,加速信息化、数字化系统应用建设,形成了覆盖核心业务的30+业务系统与近2万员工身份的内生“数字世界”。
然而,在这个“数字世界”中,应用系统之间的账号管理却彼此独立,人员身份信息分散管控。数字身份管理呈现碎片化、静态化、粗放化的管理态势,给企业数字化转型与全球化发展带来新挑战。
PART ONE
4大难题:
数字身份管理难,安全风险凸显
要想进入豪森药业内生“数字世界”,需要一个入口+一个可信的“数字身份”。然而,不统一的入口与数字身份,带来了各种办公、管理与安全问题。
N个数字身份账号,唯一性难保证
传统IT架构中,每个业务应用都有独立的身份管理模块。这就意味着豪森药业在不断新建业务应用系统同时,就会给员工带来一个新身份。
也就是说,30多个业务应用系统,对应30多个数字身份账户、密码。而由于医药行业的特殊属性,每个应用系统密码都需要进行复杂密码设置。这就导致每个员工需要使用多套复杂度高的密码,去登录多个不同应用系统。
这种分散式的身份管理,对员工而言,记忆密码难度大、操作还复杂。对管理者而言,每新建一个系统就要一次员工“登记造册”,并配合员工“入转调离”对30多个业务系统依次进行调整,管理难且工作量大。
N个入口反复认证,工作难度加剧
由于数字身份管理的碎片化与各业务系统互不相通,导致一个业务应用系统自成一个世界,对应一个网址入口/门户。员工平均每天要在十几个应用系统上来回切换网址。而每进入一个应用系统,又要进行一次账号密码的登录认证。
这种N个入口,反复认证的繁琐登录体验与认证方式,致使很多员工往往选择多个应用系统使用同一密码。这无疑给企业带来了安全隐患。此外,这种静态账号密码认证方式也无法有效应对愈加复杂的安全威胁与管控要求。
N个系统独立授权,权限管理难
数字身份管理的碎片化,又间接导致权限管理难问题。众所周知,权限是根据用户“身份”来控制其访问某些信息项的机制。而根据权限的粒度划分与最小权限授权原则,又可以进一步细化权限划分与精细化管控。
然而,身份信息的分散与业务系统的割裂,豪森药业需要在不同业务系统进行相应的授权操作与访问控制策略,即N个业务应用系统要N次授权。
这种基于业务系统的授权,又往往受制于业务系统本身性能影响,如有的业务应用自身就不支持复杂的权限管理模型,无法做到更加细粒度的权限管控,难以满足企业数字化安全发展新需求。
N个系统独立审计,审计管理难
同理,对于企业组织用来对安全事件进行事后追溯、定位问题原因及划分责任的重要手段——访问日志审计,碎片化的身份管理与业务应用系统,致使管理员无法对全业务系统访问日志进行统筹审计,难以关联各业务系统访问日志,更好地快速定位问题所在。这也间接导致管理员审计效率无法提升,还容易遗漏安全隐患。
PART TWO
7大建设:
简化数字身份管理,加固身份安全
豪森药业选择的派拉软件统一数字身份治理与管理平台,通过“理数据、定规章、纳单点、强认证、授权限、全审计、自服务”七位一体的建设思路,一次性有效解决“数字身份”管理与安全难题,实现数字身份管理的集中化、动态化、精细化,让员工更安全、便捷地进入企业内生“数字世界”,并帮助豪森药业重构整个数字身份安全防护体系,筑牢企业数字化转型安全基石。
理数据:一次梳理,身份全清
通过对豪森药业各应用系统数字身份历史数据的全面梳理,了解企业数字身份管理现状,清除各种孤儿账号、影子账号、僵尸账号等各类风险账号。基于利旧准则,在摸清豪森药业已有身份数据与管理情况后,结合企业实际数字身份管理要求,为后续制定数字身份治理与管理的规范制度做好数据调研基础。
定规章:细化规则,统筹把控
在梳理数据基础上,派拉软件为豪森药业定制统一身份认证规范、统一身份管理规范、应用帐号管理规范、帐号管理集成技术标准、应用集成接口规范与集成指引等系列规章制度。
通过细化管理规则,提前统筹把控身份管理与安全问题,结合数字身份治理与管理平台,将身份与访问管理制度线上化与流程化,有效保障企业数字身份管理与安全的强落地,并为后续更多新业务应用系统集成与身份管理提供标准化抓手。
纳单点:一个身份,全网通用
在统一数字身份管理规章制度的基础上,派拉软件帮助豪森药业快速打通企业30多个业务系统,实现内生“数字世界”的统一访问——单点登录。与此同时,将过去分散在各业务系统的身份管理统一集中化管控,确保企业员工在内生“数字世界”中身份的唯一性。员工仅凭借一个身份,即可跨浏览器无感知安全便捷地访问所有业务应用系统,提升效率的同时优化员工办公体验。
强认证:一次认证,便捷通行
借助统一门户与单点登录,员工只需在门户中认证一次,即可直接访问权限范围内的业务应用,无需反复认证。在认证技术上,强化认证安全能力,如管理员可根据业务应用的重要程度,进行认证策略的定制化部署,如开启二次认证等。在提升员工体验上,提供多种更加安全便捷的登录认证方式,如短信验证码、企业微信扫码、AD域认证、静态口令等。
授权限:一个后台,精细授权
通过统一权限管控,管理员可在一个后台对所有数字身份进行统一授权。通过对业务应用系统重要程度等级划分,将访问权限根据需求不断细化到每个应用、菜单栏、行、列,甚至数据级等。基于最小权限分配原则,结合用户实体行为分析,匹配相应的访问控制策略,实现动态化、细粒度授权。
此外,管理员可在后台可视化查看全体员工的数字身份与权限一览图,便于管理员或领导查看企业整体员工身份、角色、职责、权限等具体情况,快速审查权限漏洞,避免越权访问。
全审计:一份日志,全盘审计
通过统一身份治理与管理平台,对豪森药业30+业务应用系统进行统一安全审计,打破过去各业务系统独立审计的困局,实现一份日志,即可追溯管理员、用户在整个内生“数字世界”从点击链接进入到登录、认证、访问、操作等全流程行为与轨迹,让每一次访问可视化、透明化,帮助管理员快速全方位分析风险漏洞。
自服务:一个中心,便捷服务
通过构建用户统一自助服务中心,企业员工可以在线快速自主提交信息修改、密码找回/修改、账号权限调整等申请,管理员通过配置自动化审批与人工+智能化决策,快速进行审批与授权等操作。此外,管理员在后台,根据企业人员的入转调离快速进行人员的创建、修改、停用、启用等一系列数字身份与访问控制全周期管理。
PART THREE
1大宗旨:
数字身份安全,数字化业务才安全
经过上述7大建设内容,豪森药业在其内生“数字世界”中形成了集中化、动态化、精细化的数字身份与访问控制管理。
这就好比给这个数字世界打好了地基。未来,这个数字世界里的人员变动、业务新增或改动、每天数以万计的用户在数字世界中频繁的业务往来交互,它都能秩序井然、有条不紊地安全高效运行。
这也正是身份安全作为保护企业IT资产和数据免受内外部威胁的第一道安全防线的重要意义。
数字身份,一把进入未来更庞大、更复杂数字世界的“钥匙”。当这把钥匙在开启数字世界或其中任意一道门时,都有一个前提——安全可信。
豪森药业携手派拉软件共建的安全价值亦在于此——数字身份安全,数字化业务才安全!