一、项目背景

某全球领先的汽车零部件制造企业：

● 分布在全球的多个工厂和研发中心

● 多个工业控制系统（ICS）和SCADA系统

● 混合云环境（本地数据中心 + AWS）

● 使用 SAP、MES、PLM 等关键制造系统

● 多个特权账户（管理员、服务账户、运维账户）

二、面临的挑战

随着工业4.0的发展，该制造企业逐步将IT与OT（运营技术）系统融合，以提升生产效率和自动化水平。然而，这也带来了新的安全风险：

● 特权账户管理混乱：大量本地管理员账户、服务账户、第三方运维账户未统一管理，存在密码共享、硬编码密码等问题。

● 工业控制系统（ICS）暴露风险：ICS/SCADA系统的访问权限未集中管控，存在未经授权的访问隐患。

● 合规性压力：面临 ISO 27001、NIST、GDPR、NIS2 等多项安全与数据保护法规要求。

● 第三方访问风险：供应商和承包商频繁访问工厂系统进行维护，缺乏有效的访问控制与审计。

● 内部威胁与横向移动风险：攻击者一旦获取一个特权账户，可横向移动至关键制造系统，造成生产中断。

三、解决方案：

客户选择 CyberArk Privileged Access Management (PAM) 解决方案，以实现对特权账户的集中化、自动化、细粒度控制。

部署架构

● CyberArk Vault：作为特权账户和凭证的安全存储中心。

● Privileged Session Manager（PSM）：用于记录和审计所有特权会话。

● Application Identity Manager（AIM）：用于安全地管理应用程序和服务账户的凭据。

● Endpoint Privilege Manager（EPM）：用于限制终端上的特权使用，防止滥用。

● CyberArk Identity（原Alero）：为远程第三方提供零信任的访问方式，无需VPN。

● CyberArk Discovery & Audit（D&A）：自动发现企业中的特权账户和资产。

关键部署内容

● ICS/SCADA系统特权账户集中管理：所有SCADA系统、PLC控制器、MES系统的管理员账户均纳入CyberArk Vault管理；每次访问均需通过双因素认证并记录会话。

● 服务账户与自动化脚本管理：使用 AIM 模块实现服务账户自动密码轮换，避免硬编码密码带来的安全风险。

● 工厂IT系统与MES系统访问控制：工厂IT管理员访问MES、SAP等系统时，必须通过CyberArk PSM进行会话代理，所有操作均被录像与审计。

● 第三方运维访问控制：第三方承包商通过 CyberArk Identity（Alero）远程访问系统，访问权限基于角色控制（RBAC），访问过程全程录像。

● 特权终端管理：使用 EPM 模块对工厂IT终端进行权限控制，防止用户滥用本地管理员权限安装恶意软件。

四、成果与收益

五、客户评价

“CyberArk 帮助我们实现了对制造环境中特权账户的全面控制，特别是在ICS系统和第三方访问方面，极大提升了我们的整体安全态势。我们不仅满足了监管要求，也增强了对潜在攻击的防御能力。”