在巴西,全国上下每年运输 3,800 多万吨农业、钢铁和矿物产品,他们是如何做到的?
VLI 需要 8,000 公里的铁路、100 辆机车、6,700 节列车车厢、8 个联运码头、4 个地处战略要地的航运港口、8,000 名员工以及 1,000 个承包商。
物流和运输非常复杂,所面临的挑战远远不只将产品从一个地点运送到另一个地点那么简单。作为一个由铁路、港口和码头组成的综合物流系统的所有者和运营商,VLI 必须满足政府对合规性、安全性、安保措施以及其他因素颁布的各项法规。
为了遵守巴西的陆路交通运输行业国家监管机构 - 巴西国家陆路交通局(Agencia Nacional de Transportes Terrestres,简称 ANTT)制定的铁路法规,VLI 必须展示如何安全地管理他们的列车和铁路。此外,在 2014 年,该公司转型为控股公司,这种商业模式除了需要遵守某些运营和安全规则以外,还会受到很多治理法律和法规的约束。
“我们是一家需要遵守很多政府法规的公司,”VLI 首席信息安全官 (CISO) Thiago Galvao 解释道。“在巴西,港口法规要求我们实施与安全性相关的具体控制措施和流程。最终,这些法规要落实到技术上,因此身份管理对我来说非常重要。”
改进的响应时间
VLI 将用户访问请求的响应时间从 5 天缩短到几秒钟,减幅高达 99%
最大限度降低安全风险
借助 IBM Security 解决方案,VLI 最大限度地降低了恶意软件和勒索软件攻击风险
在货物装卸过程中,卡车司机和铁路运营商必须反复登录到这些系统以访问报告和交易,这样就延缓了此流程的速度并降低了生产力。该公司尽管拥有庞大的 IT 和开发团队,但依然无法追踪或跟踪那些访问 VLI 服务器的特权用户。需要花费数周时间才能帮助新员工入职并授权他们访问系统和应用程序,因为这一过程需要手动完成。该公司还依赖劳动密集型的纸质流程来管理用户生命周期以及执行与用户访问相关的其他控制。
当 Galvao 于 2018 年加入该公司时,他很快意识到该公司需要使用身份和访问管理 (IAM) 解决方案。“在过去,我们没有任何身份管理措施,”他说道。“我执行了一次评估,并向董事会展示了风险,以及建立一个用户访问控制系统的重要性。”
当为身份治理和管理 (IGA) 计划选择提供商时,VLI 采用了一个为期六个月的细致过程。该项目的一个关键驱动因素是业务支持;具体来说,正确的用户必须能够在正确的时间访问正确的资源。最终,VLI 选择了 IBM,这要归因于他们在当地的影响力和支持、产品和服务的广度以及解决方案的成本效益。
“我们启动了 RFP(需求建议书)流程,并研究了很多解决方案,”Galvao 回忆道。“我们确立了一些场景。我们制定了一些基准。我们研究了解决方案是如何集成的。我们还创建了一些记分卡。”
他继续道:“我们决定选择 IBM 的原因有很多:技术、在当地提供的支持以及价格。我们验证了技术集成,并且证实该解决方案非常适合我们。我们确认 IBM 能够达到我们的期望。不过,我还必须在巴西得到支持,因为我们也需要与他们保持关系。IBM 关注了我们。第三个原因是价格。因此,我们对 IBM 进行了大量投资。”
如今,VLI 已成为 IBM 的第一个部署了 IBM Security 身份和访问管理产品组合中的所有解决方案的客户。为了帮助进行集成和部署,VLI 向 IBM 业务合作伙伴 Qriar 寻求帮助,Qriar 是一家专门从事网络安全解决方案的技术公司。从最初的 RFP 响应阶段开始,Qriar 一直在与 VLI 合作。Qriar 在整个项目中与该公司合作,从规划和定义架构一直到根据客户的需求和最佳实践部署、安装、配置和自定义 IBM 产品。
VLI 分四个阶段部署了这些解决方案。第一阶段始于 2019 年 9 月,并在两个月后结束,以 IGA 为侧重点。在此期间,该公司部署了 IBM Security Verify Governance 软件和 Microsoft Azure Active Directory 平台。IBM 软件帮助以往的劳动密集型流程(例如访问认证、访问请求和密码管理)实现了自动化。它还提供了详细的报告和重新认证活动,以确保用户只获得他们开展工作时所需的访问权限。
在第二阶段,VLI 部署了 IBM 特权访问管理套件中的三个解决方案:IBM Security Verify Privilege Vault、IBM Security Verify Privilege Manager for Client 以及 IBM Security Verify Privilege Manager for Server 技术。IBM Security Verify Privilege Vault 软件无需使用共享特权用户密码,因此有助于保护 VLI 最敏感的服务器。会话记录功能会记录服务器上执行的所有操作,因此提供了全面的审计跟踪并帮助 VLI 遵循严格的身份治理要求。
IBM Security Verify Privilege Manager 技术可减少在端点上拥有管理权限的非管理员用户的数量,因此帮助 VLI 最大限度地降低了恶意软件和勒索软件攻击的风险。VLI 还可以配置受信任和不受信任的应用程序和命令的列表,并自定义上报策略。
在第三阶段,VLI 部署了企业版和虚拟企业版的 IBM Security Verify Access(前身为 IBM Security Access Manager 软件,简称 ISAM)以及 IBM Security Directory Suite Enterprise Edition 技术。
除了简化身份验证架构以外,IBM Security Verify Access 软件还为基于 Web 和非基于 Web 的系统提供了单点登录 (SSO) 功能,以帮助提高生产线员工的生产力。在将来,该公司可以扩展他们的虚拟版本,以支持无需密码的多重身份识别或登录。借助 IBM Security Directory Suite 技术提供的稳健且可扩展的目录,VLI 可以存储内部和外部用户的身份,并利用强大的复制和高可用性功能。
如今,VLI 正处于第四阶段,该阶段会将他们的 IGI 解决方案与 SAP ERP 集成。最终,IBM 技术将连接到 10 多个关键 IT 系统和子系统。这些技术还有助于支持 VLI 的 IAM 标准,以便与其余的(现有和新增)应用程序集成。
通过部署 IBM Security 解决方案,从装货码头到盈利,VLI 取得了全面收益。
该软件帮助以往的劳动密集型流程(例如访问认证、访问请求和密码管理)实现了自动化。在过去,这些活动可能需要长达五天的时间,因此造成了延误并打击了员工的积极性。而现在,在经理批准之后,会自动授权访问请求,响应时间比以前缩短了 99%。
“我们拥有 8,000 名员工和大约 1,000 个承包商,”Galvao 解释道,“大约有 9,000 人需要访问我们的各个系统以进行列车调度。这对于时机把控至关重要 – 不能让到站的司机排队等待卡车卸货。他需要访问有关产品移动和交易的记录。”
通过消除与系统访问相关的延迟和挫败感,员工满意度和生产力得到了提高。“我们根据通过铁路运输的货物总重量来衡量我们的绩效,”Galvao 说道。“在 2020 年 4 月,我们创下了公司有史以来的最高记录。”
IBM 解决方案还帮助最大限度地降低了与网络威胁和未经授权的人员对系统进行的访问相关的风险。Galvao 总结道:“关键点在于降低风险和防范攻击。以前,从公司离职的用户仍有可能在系统中处于激活状态。这是因为我们没有相关标准。外部人员可能正在使用我们的系统,但我们不知道他们是谁。
“而现在,我拥有了控制措施。我们目前正在投资于身份解决方案并增加集成数量。”
VLI(ibm.com 外部链接)成立于 2011 年,总部位于巴西的贝洛奥里藏特 (Belo Horizonte),是该国领先的铁路物流解决方案运营商。该公司控制着一个由 8,000 多公里铁路、700 多辆机车、6,700 节列车车厢、4 个港口和 8 个联运码头组成并覆盖 10 个州的综合系统。该公司还在巴西的五个物流运输走廊开展了业务。VLI 致力于为工业、钢铁、农业和矿物行业提供服务。VLI 拥有大约 1,000 个承包商和 8,000 名员工。
关于 Qriar
Qriar(ibm.com 外部链接)总部位于巴西的圣保罗,致力于开发、集成、实施和自定义网络安全解决方案。他们的专业领域包括特权访问管理、身份治理和管理、用户身份验证和 API 安全管理。在 IBM Think Digital 2020 会议期间,该公司在 IBM Security 类别荣获了 IBM 卓越增长奖。该奖项旨在表彰表现优异、提供卓越客户体验和业务取得巨大增长的 IBM 业务合作伙伴。Qriar 成立于 2016 年。
法律
© Copyright IBM Corporation 2021. IBM Corporation, Security, New Orchard Road, Armonk, NY 10504
美国出品,2021 年 4 月。
IBM、IBM 徽标、ibm.com 以及 IBM Security 是 International Business Machines Corp. 在世界各地司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网站上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:https://www.ibm.com/cn-zh/legal/copytrade。
Microsoft、Windows、Windows NT 和 Windows 徽标是 Microsoft Corporation 在美国和/或其他国家/地区的商标。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
文中引用的性能数据和客户示例仅作演示说明之用。实际性能结果可能因具体配置和操作条件而异。本文档中的信息均“按原样”提供,不涉及任何明示或暗示的保证,包括适销性、特定用途适用性的任何保证,以及不侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
客户负责确保遵守适用的法律和法规。IBM 不提供任何法律咨询,也不声明或保证其服务或产品经确保客户遵循任何法律或法规。
良好安全实践声明:IT 系统安全涉及通过预防、检测和响应企业内部和外部的不当访问来保护系统和信息。不正当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不正当使用或访问。IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,且可能需要借助其他系统、产品或服务才能发挥最大作用。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。