中国海油统一身份管理认证平台建设项目入选《ISC 2022十年网安行业代表性案例》之能源行业优秀案例

中国海油信息化工作始终紧紧围绕公司战略发展目标要求，在信息基础设施、信息安全保障以及信息化管理等方面不断发展。在进行信息系统建设的同时，集团进一步强化在信息化标准、规范、制度及信息化基础设施的建设，并逐步开展了核心业务信息系统的配套建设和改造，但在统一身份管理方面，未形成全中国海油的统一用户安全策略；在认证管理方面，各系统间认证信息难以共享，系统建设成本与效率需要优化提升。因此，建立全方位动态、纵深防御的能源系统安全保障体系，已成为中国海油当前信息化工作的重点内容。

竹云为中国海油构建了以自研软件为基础的统一身份管理认证平台，实现自主可控，满足等保 2.0、《中华人民共和国网络安全法》等法规对于身份管控、认证能力的要求。安全性上结合密码平台，实现数据储存、传输、签名的国密加密，针对 B/S、C/S、APP、H5 不同架构系统提供基于国密算法的双因素认证服务 ；稳定性上基于中国海油的 PaaS、IaaS 平台，实现北京、上海两地三中心的高可用分布式架构 ；并为员工、供应商、回收商、外部合作伙伴、财务机器人提供电子身份与应用账号全生命周期集中管理能力以及多 种主流多因素认证能力（口令、短信、OTP、CA 证书、扫码等）。

安全性高：通过平台自身安全、业务安全、数据安全等角度的安全设计和符合等保要求的攻击防范设计，为应用提供安全可靠的认证服务以应对暴力破解等安全风险，总体防护效果得到验证。

稳定性强：构建高可用架构，基于国密算法构建可靠的统一认证及移动安全平台。 

用户范围广：已具备对员工、互联网用户、外部合作伙伴、机器人提供数字身份与应用账号全生命周期集中管理能力。 

认证能力多样：已具备多种主流多因素认证能力（口令、短信、扫码、动态口令、CA 证书等），已实现PC 端和移动端融合认证及访问控制，可为应用提供安全的双因素认证能力。

集成方式丰富：OAuth、SAML、RESTful、JWT 等对接能力已交付，实现内网、外网应用集成。

中国海油统一身份管理认证平台在业务上实现了跨应用系统访问，为“管理云”、“生产云”、“销售云”的数字化建设提供支撑 ；基于统一身份的用户认证行为风险服务，支撑应用基础安全性，在如下几个方面取得了较好效果。

降低成本：平台提供与人事事件联动的用户全生命周期管理能力，实现用户一键入职、一键离职、职权联动、自助密码修改等自动化能力，可大幅度降低运维时间及成本。

效率提升：平台可提升安全管理水平，基于用户全生命周期的管理能力提供 身份自动化管理 ；基于动态访问控制的统一认证提供用户访问过程的全局管控 ；基于用户认证行为风险管控能力的引入，实现了用户访问过程的事前预警、事中控制及事后追溯的全流程风险管控。

安全合规：可快速满足等保 2.0 等法律法规和监管要求。平台为海油每个用户建立一个唯一的数字身份，基于数字身份实现对企业 IT 资源访问的全流程管理，对身份数据和访问行为的全过程审计合规及动态风险管理。

身份管理是数字化转型的必要条件，是组织信息化的顶层设计以及信息化管理的重要支撑部分。数字化转型需要更加灵活、易用、高扩展性的信息化平台载体，身份管理有效将人员、组织、流程、数据等信息资产纳入数字共享生态系统，高效打通信息孤岛，提高效率，加强安全，降低成本，满足法规政策。