精诚瑞宝·精诚精诠·精诚集团
繁體中文  |  
产品与解决方案
产品与解决方案-> 自有产品-> 产品方案

特权账号统一管理解决方案  2015-05-12

业务背景

 

企业的服务器、数据库和业务系统众多,特权账号无处不在,管理人员无法 对这些有形资产、无形资产进行有效的、统一的管理。特权账号安全管理存在着 以下几个难点问题:

1)特权账号密码管理问题

密码还是属于人为管理,以文件形式记录在电脑上,没有安全的存储,存在的极大的安全隐患;

密码缺少统一管理, 运维人员(内部与外部)也会掌握一批账号密码;

很多系统的密码设置都会相同以便于记忆,甚至一个业务系统相关 的设备、 中间件、系统都采用同一个密码;

特权账号密码没有定期校验机制,可用性没有保障;

在中间件、 应用代码和配置文件中配置静态的数据库密码,这部分数据库密码无法管理;

虽然管理策略对密码有明确的安全基线要求,但由于管理的分散性, 安全基线的落实难以全面到位。

2)特权账号权限管理问题

大部分账号没有推行最小权限原则, root 或者管理员权限被大量发放,并且是在没有规范管理和审计的情况下;

部分特权账号被多人共享, 而这些共享的人员往往并非是应该获得 该账号完全权限的人员;

由于第三方运维人员更换较为频繁,许多运维管理账号的交接无法有效管控,特权账号可能被离开的第三方人员使用。

3)特权账号操作审计问题

特权账号存在共享情况, 对安全事件进行分析时,不能准确定位具 体责任人;

由于管理的分散性,大部分特权账号的越权或滥权操作不能实时告 警和自动策略阻断。

 

方案概述

 

通过实施特权账号安全管理,对全网络信息系统的账号及基于这些账号所进行的特权会话强化为系统化自动化的集中安全管理模式(账号管理、身份认证、 统一授权、单点登录、统一审计),进一步完善符合监管的信息安全和风险管理 手段,提升主动防御能力,降低敏感信息外泄的风险。 具体要求如下所述:

统一特权账号安全访问门户,对所有特权账号及密码进行统一的管理、 统一的安全策略、 统一的技术框架;

新服务器上线即纳入特权账号管理;

新业务应用上线配合部署特权账户安全管理系统,将相关数据库账号纳 入自动管理范畴;

定期扫描分布账号快照,通过匹配,发现未管理的特权账号;

依靠统一日志平台及时发现特权账号的新增、 删除、 权限修改和密码更 新等;

分布式架构使得总部即能实现安全策略的下发。总部对分部的账号管理 具有很强的控制能力;

可以节约大量的人力成本来对密码进行管理,在提高了安全性的情况下, 人员的工作效率还更高,实现了管理的创新与技术的创新;

无需再关注弱密码的问题, 只要定期的清理特权账号,以发现未符合流 程审批的特权账号创建及可疑账号的创建,并定期对各单位进行考核。

 

方案架构

 

 

方案优势

 

►对特权账号进行集中管理,包括集中的存储、集中的访问授权和集中的密码自动化更改等。

能够提供专门的密码安全存储方案。 拥有专业技术 Vault 密 码保险箱,确保密码和审计信息的安全存储和分享。

具有广泛的程序开发语言和平台支持性。

采用分布式部署架构,所有敏感数据只存储在密码保险箱中。

采用无代理部署,不需要在企业的服务器上安装任何的代理 程序。

虚拟环境中自动发现特权账号, 方便管理维护。

 

方案组件

 

►Cyber-ark

♦EPV  企业密码保鲜库

♦PSM 特权会话管理

♦AIM  应用账号管理

♦OPM 请求式账号管理

♦SKM  SSH密钥管理

版权所有 2017 精诚瑞宝计算机系统有限公司 粤ICP备07501181号 粤公网安备 44010602002237号
X
客户留言
留言标题:
联系姓名:
联系电话:
留言内容: