东软特权账号系统携统一身份管理系统 帮您有效管理内网账号

不管什么黑客组织,其最终目标都是攻入内网。为了达到这一目的,他们首先会获取一个内部账号,甚至是管理员账号,然后将该特权账号提权至更高权限,入侵更多的网络设备,在内网中自由寻找攻击跳板。

特权账号是在IT环境中普遍存在并且有着极高价值的数字资产,其主要存在在Linux系统、Windows系统、Unix系统、DB数据库、网络设备、中间件、应用系统、应用系统脚本中。是IT系统中最具价值,并且能够直接接触最高等级数据的、最重要的途径。

而且账号管理也有相关合规要求:

信息系统安全等级保护基本要求GBT22239-2008:

应建立审批程序,按照审批程序执行审批过程,应记录审批过程并保存审批文档;口令应有复杂度要求并定期更换;应授予完成任务所需的最小权限;应及时删除多余的、过期的帐户;

外部人员访问受控区域前得到授权或审批,由专人全程陪同或监督。

数据库管理系统安全技术要求GBT20273-2006:

敏感数据,如口令、密钥等,不应在程序或文档中以明文形式存在;

金融服务信息安全指南GBT27910—2011:

保证系统访问的可核查性是至关重要的,知道谁被授权访问,知道个人访问了什么,知道什么时候访问发生了;很多不同类型的用户访问金融机构的信息和信息系统,需要确切识别谁在试图获得访问权限;

金融信用信息基础数据库用户管理规范 JR/T 0115-2014:

因密码保管不善、密码更改不及时而导致信息安全事故的,泄露密码的用户及其所在单位应承担相应的责任。

东软根据多年来安全经验,将东软特权账号系统(PIM)和东软统一身份管理系统(NABH)进行结合,提供了安全解决方案,契合企事业单位的业务需求。

图1  PIM方案构成

该方案具有以下特点:

密码安全保险库

PIM通过密码安全保险库及安全服务接口,与资源目标系统进行账号和口令的管理对接,包括各类系统、设备和业务应用,确保口令生成、存储、传输和使用的安全。

PIM可采用专业加密机硬件,对系统特权账号密码进行加密,数据加解密、随机密码生成等运算在硬件中完成,符合金融等行业的高安全保障需求。

密码安全策略管理

根据企业需要,PIM可灵活执行信息安全规范所要求的各种密码策略,例如适合不同安全级别系统的密码复杂度策略、适合不同机构的密码安全使用策略,包括多人分段密码策略、一次一密、定期自动改密、流程触发改密等。

风险监控分析

PIM能够对所有角色和人员的系统操作行为进行审计,对所有账号和密码的敏感操作进行记录,并对异常行为进行分析识别。

PIM能够全面掌握特权账号的使用状态、领用分配情况、密码变动情况,能够根据定义的策略和流程进行合规性检查。

PIM对目标资源系统的账号状态进行跟踪管理,发现目标资源系统的账号存在异常,例如失效账号、影子账号、异常建立账号。

特权账号使用控制与审计

PIM管理目标资源的特权账号和密码,将特权账号密码直接提供给安全运维模块进行登录,运维用户只需要经过PIM的身份验证,便可使用特权账号进行系统安全运维。特权账号密码信息全程由PIM系统掌控,用户无需接触特权账号密码,提升特权账号密码的安全保护。

该方案功能实现如下:

账号上收/监控

图2  账号上收/监控功能

通过上收功能将系统、数据库、网络设备等IT信息系统或设备中的账号进行上收。

对账号进行分类管理并实行与之相匹配的策略管理。

通过改密策略对特权账号进行改密。

对纳入管理的系统进行账号观测扫描,及时发现可疑账号,并通知管理员处理。

账号使用控制

图3  账号使用控制功能

当需要使用特权账号对操作系统、DB或者其他IT信息系统进行操作时,需要通过工作流的方式,提出使用申请(填写使用事由),在经过核查审批后进行领用。领用方式可根据特权账号所匹配的策略进行领用,支持明文领用、密文领用、分段领用、自动代填;账号使用结束后将触发策略对使用过的特权账号密码进行变更。并且同时记录使用特权账号在IT系统中操作的详细过程。

账号管理

图4  账号管理功能

提供物理硬件部署方案:

图5  方案部署

PIM采用集群模式部署,对外提供虚拟IP;

PIM的所有配置及口令信息均通过国密算法进行加密后存储在用户的数据库环境,数据库系统支持Oracle和MySql;

PIM通过标准接口与统一身份管理系统集成,实现运维用户的口令代填;

PIM可管理用户环境中所有的主机、数据库、网络/安全设备、应用系统帐户。

强大的功能实现需要先进的技术支持,东软PIM提供专业密码技术数据加密、全面风险监控、强化认证、人员权责制约分离、会话加密防、篡改审计等领先业内的技术。

东软特权账号系统应用广泛,配合东软统一身份管理系统使用,建设特权帐号风险分析系统以及运维风险分析系统,可以应用在各个行业,符合等保合规要求,给企事业单位带来高效的网络安全保证。

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭