-
密碼管理系統
鎖定
企業級密碼管理系統又稱PIM(Privileged Identity Management)服務器,PIM服務器是一款值得信賴的企業級密碼管理解決方案,用於管理服務器、數據庫、網絡設備以及各種應用程序的密碼,幫助IT管理人員集中存儲密碼信息、安全共享賬號(尤其是特權賬號)、實施標準的密碼策略、跟蹤密碼訪問歷史、控制用户非法使用,實現企業密碼的安全管理和使用。
使用PIM服務器,你和你的同事可以在一個集中的、基於網絡的密鑰存儲庫中控制訪問企業的賬號信息。同時PIM服務器提供用户以一種安全的方式訪問控制密碼及其它敏感數據。
- 中文名
- 企業級密碼管理系統
- 外文名
- Privileged Identity Management
- 別 名
- PIM
密碼管理系統產生背景
PIM服務器在一個安全的環境存儲、分發、變更和審計企業級的敏感數據。
傳統密碼管理手段的弊端:
- 密碼存儲不安全,存在安全漏洞
- 無法控制超級用户權限
- 缺乏權限級別控制機制
- 無法追蹤密碼的使用歷史
- 無法實施標準的密碼管理策略
- 分散粗放的管理方式
PIM服務器為存儲、管理和共享密碼提供一個安全的系統平台,能夠有效解決以上問題,保障企業IT設施的密碼安全。
密碼管理系統主要功能
- 管理和組織 Manage and Organize
創建、分享和管理企業敏感數據。使用嵌套的目錄結構組織敏感數據,可在任何層級上指定用户權限,跟蹤敏感數據的使用情況形成完整的審計報告。提供一個功能強大的面板簡化用户操作。
- 實時賬號管理 Real-time Management
賬號密碼被更改的時候實時通知你的IT團隊,用户可以根據實際網絡環境定製密碼更改時間表。你也可以定製通知、警報,當管理員更新密碼時,用户將立即得到提示,相關憑證也將自動及時更新。
- 集成 Integration
PIM能實現與活動目錄集成,並提供其它集成選項。支持RDP與PuTTY啓動器,提供iPhone、Android和WP移動平台實現對企業賬號的管理,Firefox擴展,CRM綜合,Cisco設備管理,同時用户可以從其它應用程序導入賬號信息。
- 合規Compliance
- 安全 Secure
PIM使用多項頂級安全特性來實現企業敏感數據的安全。包括:AES 256加密算法對私密信息的完全加密,雙因素認證,長度超過100個字符的複雜密碼,以及更多其它安全特性。另外,PIM還使用獨特的“雙鎖”功能來加固敏感數據的安全。
- 災難恢復 Disaster Recovery
如何抵禦災難?不用擔心,PIM支持自動的應用程序目錄和數據庫備份,同時你可以使用SQL數據庫鏡像來實時備份存儲的所有數據。在緊急情況下,你可以“Break The Glass”。
PIM功能介紹
PIM系統功能是根據IT用户的反饋和要求開發——所以他們最實用的:
集中保存密碼 | 企業多會有各種IT密碼,必須妥善保管,以防密碼泄露。PIM採用AES256或SHA-512高強度的加密算法對企業敏感數據進行加密,集中存儲,構建企業的密碼保險櫃。 |
特權賬號管理 | 可以管理Windows系統中的Windows系統的Administrator、Unix/Linux的root、Cisco設備的enable、SQL的sa、Oracle的sys、MySql的root等管理員密碼。 |
預裝多種密碼管理模板 | PIM預裝32種模板來配置密碼等敏感信息,除常見的企業中各種硬件設備、軟件系統的用户賬號外,模板甚至包括:銀行賬户、信用卡號碼、文件附件等。 |
自定義密碼管理模板 | 用户可以自定義模板來滿足企業不同類型敏感數據的需求,密鑰模塊支持完全自定義,包括:自動密碼更改、啓動遠程對話、密碼生成和文件附件等高級屬性。 |
應用到應用的密碼管理 | 任何應用或腳本可以通過PIM提供的應用程序接口獲取密碼,連接到其它應用程序或數據庫。 |
集成AD/LDAP | 大多數的公司都使用活動目錄(Active Directory)標準來管理IT資產,如:服務器、工作站、打印機和用户等。密鑰服務器(PIM)的活動目錄集成功的提供了同步活動目錄用户和組的信息並支持活動目錄身份驗證,可以基於AD用户和AD組來設置特權賬號的訪問權限。 |
發現 | 發現功能允許PIM服務器查詢活動目錄(AD)來掃描域(Domain)裏的所有設備。PIM可以將賬號映射到所有偵測到的設備上。這個功能也可以非常容易地找到那些還沒有被PIM託管的設備上的賬號。 |
管理服務賬號 | 服務賬號(Service Accounts)是網絡中比較容易受攻擊的一種賬號,該種類型賬號的密碼一般不會改變,而且被很多人知道,甚至是普通員工。PIM的發現功能可以掃描你的網絡,並定位服務賬號在什麼地方被使用。如:Windows services、 Windows Scheduled Tasks、 configuration files (.config, .ini, etc.)、COM+ Applications、IIS App Pools 。當服務賬號被修改時,使用此賬號的服務也將自動更新憑證。 |
密碼所有權與共享 | 密鑰可以在用户組和指定的用户間共享,解決了企業賬號被多個人員使用無法進行問責的難題。共享可以在查看密鑰的頁面進行配置。 |
基於角色的訪問控制 | 基於角色的訪問控制可以確保對敏感信息訪問基於嚴格的粒度。使得很容易將職責分配給第三方,如諮詢人員、審計人員、外包人員、等等。PIM服務器默認包含三種角色:Administrator、User、Read only User。每個角色包含不同的訪問權限。每個PIM用户/組可以綁定一個或多個角色。 |
密碼訪問流程控制 | 提供批准機制、時間限制、併發控制等全面的流程。 |
賬號過期檢測 | 任何一個被PIM託管的賬號都可以通過模板設置過期間隔以及指定賬號到期後哪個字段需要進行修改。比如:Active Directory類型的賬號,密碼字段設置為每90天到期。如果90天后密碼沒有進行修改,賬號狀態將顯示為過期。 |
心跳測試 | 心跳測試功能使得通過你公司的網絡實時監控憑證成為可能。PIM可以每隔一段時間自動測試一個賬號(憑證)的有效性,並通知管理員是否憑證在PIM平台的外部被修改。心跳測試也會在管理員修改賬號密碼時通知賬號的所有者。 |
遠程改密 | 遠程改密與賬號過期功能密切相關,賬號過期後結合遠程密碼修改功能,PIM自動生成賬號密碼,並自動完成遠程改密的過程。支持市面上大多數IT系統的改密。 |
密碼歷史跟蹤 | PIM能夠跟蹤密碼的歷史記錄。並且如果需要PIM能夠為所有的賬號字段保留歷史信息。這個功能在你恢復計算機系統的時候,非常有幫助。 |
自動登錄到目標系統、網站 | 直接從PIM界面自動登錄到目標系統、網站和應用,無需複製和粘貼密碼。 |
遠程登錄 | 用户可以不通過插件或代理軟件,從瀏覽器安全發起Windows RDP、SSH以及Telnet。 |
實時通知敏感數據修改通知 | 你可以選擇敏感數據被修改時發送郵件通知,如密碼的修改,更改共享權限,密碼過期,多次失敗登錄等事件。 |
獨佔模式訪問賬號 | 當賬號被簽出的時候,PIM賦予用户獨佔訪問該賬號的功能。用户也可以設置賬號簽入的時候自動更新密碼,也稱作“一次性密碼”。當賬號被簽入的時候,將自動生成隨機密碼並將該密碼更新到遠程設備上。 |
IP地址限制 | 控制用户訪問PIM服務器的場所——配置IP地址的範圍。這允許你限制用户對PIM服務器的訪問,而不需要通過VPN等其它技術來實現。 |
會話錄屏 | 錄製密碼使用的過程,包括整個操作會話,便於日後的審計管理。 |
全面的審計報告 | PIM審計報告包括用户審計報告、賬號審計報告。 1)用户審計報告:用户審計報告可以使你輕鬆的評估賬號的脆弱性,特別是當僱員離職以後;當發現賬號訪問漏洞的時候,你可以通過PIM立即終止所以的訪問許可;用户審計報告符合企業內部和外部的信息安全的合規要求。 2)賬號審計報告:賬號審計報告關注特定的賬號,用户通過監控賬號的訪問情況來保護企業的敏感信息。 |
報告計劃 | 使用報表的“心跳檢測”選項,通過郵件通知形式的報表將只發送有內容的報表文件。這個非常有用的選項可以用來定製一些特殊的事件——如:發送郵件報告哪些用户一天瀏覽超過50個敏感數據,沒有達到這個數字的報表將不被髮送。 |
雙因素身份認證 | PIM服務器允許管理員指定需要雙因素認證的用户,並這些用户登錄PMP系統需要兩級認證。第一級認證是通常的本地認證或AD/LDAP認證,第二級認證有多種選項。 |
集成RADIUS認證 | 集成RADIUS,提供PIM用户一種更健壯的、安全級別更高的身份認證。很多行業(特別是外企)要求應用程序登錄過程使用RADIUS身份認證。 |
雙鎖認證 | 雙鎖提供了一個額外的密鑰來加密數據,併為每位用户設置了一個額外的密碼。私鑰、公鑰加密技術使你可以安全地在用户之間共享訪問使用雙鎖的數據。 |
高安全、可用性框架 | Web服務器集羣是指同時部署多台服務器來運行PIM系統,集羣提供了負載均衡和高可用性。在災難恢復場景中,Web服務器集羣的關鍵作用是可以自動轉移請求到沒有發生故障的服務器上,確保沒有停機時間(NO downtime)。此外,負載均衡技術通過多個服務器同時處理請求的能力也提高了PIM的性能。 |
PowerShell集成 | 管理員上傳自定義的PowerShell腳本功能,為PIM依賴關係及簽入/簽出提供了極大的靈活性。 |
自動備份 | 密鑰服務器支持整站(應用程序目錄,可選)和數據庫備份,管理員可以為備份設置一個計劃任務。當自動備份失敗時PIM將發送給管理員一封通知郵件。 |
不受限的管理模式 | 在緊急情況下允許管理員訪問所有的PIM服務器中的敏感數據(不管是否對這些敏感數據具有訪問權限)。系統對不受限的管理模式進行審計,當該功能被訪問的時候通過事件訂閲可以自動發出郵件通知告警。 |
等級保護合規 | PIM服務器,作為企業級的密碼管理工具能夠幫助你的企業達到合規要求,如:信息系統安全等級保護、SOX、PCI DSS、FIPS 140等規範。 |
密碼管理系統版本更新
2011第一個版本發佈 1.0.1
2012發佈版本2.0.1
2013發佈版本3.0.1,此版本支持對基於UNIX系統設備訪問的命令行審計
同年發佈版本3.0.3,支持對服務賬號的掃描
2014發佈版本3.2.0,實現對AD域和LADP的集成
版本8.2.5
密碼管理系統相關安全規範
1、信息系統安全等級保護
挑戰
信息系統安全等級保護對企業IT資產管理、使用IT資產的人員管理、操作規範以及審計報告進行了嚴格的規定。使企業達到信息系統安全等級保護的要求是一項極具挑戰的工作。因此為企業內部建設一個安全的軟、硬件環境尤其重要,這個環境是指:網絡、操作系統、數據庫、服務器、防火牆和路由器等等。還應包括不同類型用户對這些資源的使用的監管及審計。
從IT安全上來講,實施信息系統安全等級保護的組織應該具有的安全機制包括:
1. 訪問控制。
2. 標識與鑑別。
3. 數據完整性。
4. 數據保密性。
5. 可用性。
6. 不可否認性。
7. 審計。
8. 加密。
9. 安全保障機制。
3PIM管理系統能提供什麼幫助?
- 基於角色的權限控制用來管理企業密碼和其它敏感信息。
- 使用AES 256加密技術安全集中存儲企業密碼和敏感數據。
- 根據等級保護對人員管理的規章制度,在PIM中可以根據企業業務需要對用户進行分類(如:外部客户、臨時用户),並設置用户對IT資產的訪問權限及過期時間。
- 密碼共享功能,你可以將特權賬號共享給其它用户,結合PIM的訪問控制實現完全責任到人。
- 結合賬號過期密碼自動更改功能,最大限度保護企業敏感數據,對用户賬號管理流程進行了完全自動化的控制。
- 重要資源的訪問審批流程,使得企業的資源訪問符合等級保護的規範。
- 應用程序發佈,讓PIM託管你的重要信息系統。
- 數據庫訪問監控,PIM可以對數據庫訪問進行完全監控。
- 如果密碼被擅自更改,完整的審計、報告以及心跳檢測技術使得管理人員能夠輕鬆的知道誰訪問、訪問了什麼、什麼時候訪問了這些信息。
- 管理控制,事件訂閲包括郵件通知技術。使得IT管理員、CIO以及企業管理層及時獲知IT資產運行及維護的狀態。
- 簽入\簽出功能,它允許用户已獨佔的方式訪問特定的賬户,並且能夠在訪問結束(簽入賬號)時自動更改密碼憑證。
- PIM使用獨特的雙鎖技術保護高度機密的信息。
- SIEM和RSA集成。
- 遠程訪問,直接從PIM發起對遠程設備的連接(支持RDP、SSH及Telnet協議)使得工作流程更加簡單。
- 對話記錄能夠精確的記錄用户遠程訪問信息系統和特權賬號的所作所為。
- 對話監控,讓你可以隨時終端非法對話。
- 詳細的報表讓你獲知任何你想要了解的信息,如:特權用户的實際分配權限是否與特權用户清單符合;離職人員的權限清單及指定範圍內有沒有訪問敏感信息;等等;
- 報表支持完全自定義。
- 報表計劃讓你可以定期獲取審計報告(用户審計、賬號審計、等)。
- 應用程序及數據庫完全備份、以及數據庫鏡像,使得災難恢復具有保障。
- PIM可以實現應用程序簇、數據庫簇部署,系統持續性得以保障。
- PIM API使得你可以消除外部(如:配置文件)的密碼信息,降低了泄密風險。
- 以及更多其它功能 …..
2、企業內部控制基本規範
2010年,財政部、證監會、審計署、銀監會、保監會印發的《企業內部控制應用指引第18號——信息系統》中第十二條明確要求“企業應當建立用户管理制度,加強對重要業務系統的訪問權限管理,定期審閲系統賬號,避免授權不當或存在非授權賬號,禁止不相容職務用户賬號的交叉操作。”
PIM服務器是一個基於網絡的密碼管理工具來幫助組織達到企業內部控制合規。除了幫助企業建立安全的敏感數據存儲庫,PIM服務器允許用户對敏感信息進行共享及訪問控制,PIM強大的報表功能能夠讓企業及時獲取用户以及用户對IT資產訪問權限的信息,定期進行用户審計和賬號審計。通過使用PIM服務器,企業內部控制基本規範是可以實現的。
3、支付卡行業數據安全標準(PCI DSS)
挑戰和解決方案
使用PIM管理軟件可以實現三個 PCI DSS的主要規則,PCI DSS要求公司:
(1)建立並維護一個安全的網絡環境。
(2)不使用任何設備供應商提供的密碼。
(3)能夠追蹤和監控所有對網絡資源的訪問以及持卡人的數據。
保護持卡人信息是 PCI DSS合規的基礎。如果你的組織存儲持卡人信息,就必須對與這些與持卡人信息進行交互的應用程序所涉及的數據庫、服務器和服務賬户使用嚴格的密碼管理準則。正確符合 PCI DSS對密碼的要求,如:密碼長度、複雜度以及定期變更密碼。使用 PIM服務器,可以自動創建大型的、複雜的密碼(如:隨機二百個字符的密碼),並且可以在指定的時間表自動變更密碼。並且PIM對密碼的訪問進行完全的訪問控制和審計。
監控和維護全面的審計記錄對 PCI DSS合規尤其重要,對記錄徹底的審計使得組織能夠驗證安全需求是否達到了要求。PIM服務器可以提供詳細的審計信息以及支持完全自定義的報表工具,組織可以通過PIM得到一個徹底的快照,如:誰正在訪問敏感信息?在什麼地方訪問?什麼時候?為什麼?從PIM發起的對話甚至可以進行視頻記錄,對對話進行回放可以顯示每一個發生在對話中的動作。
PCI DSS與 PIM 對照表
PCI DSS需求 | PIM服務器實現 |
1)安裝和維護一個防火牆用來保護持卡人信息。 | 所有的網絡憑證被集中存儲在PIM服務器,並且每個管理員擁有自己的登錄賬號。訪問特權賬號(如:網絡賬號密碼)能夠被控制和監控。 |
2)不要使用設備供應商提供的默認系統密碼以及其它的安全參數。 | 使用PIM服務器可以生成隨機的、長的、複雜的密碼。並且可以根據需要為自動更改Windows賬號及服務賬號的密碼設置一個時間表。 |
3)保護持卡人的數據。 | PIM加密存儲敏感數據。同時,通過PIM提供的APIs來消除程序中的密碼信息。 |
4)在開放的網絡中加密傳輸持卡人數據。 | PIM使用AES 256技術加密敏感數據。 |
5)使用和定期更新殺毒軟件或程序。 | (* PIM不提供支持) |
6)開發、運維安全的系統和應用程序。 | 使用PIM技術並集合安全信息和事件管理(SIEM)工具、雙因素身份認證和網絡安全掃描能最大限度的提升系統和應用程序使用安全。並且PIM服務器的審計跟蹤、報告以及賬號立即到期的功能也大大方便對僱員流動和離職時對企業重要密碼數據的管控。 |
7)限制對持卡人數據的訪問。 | 用户可以完全自定義PIM的角色和權限,嚴格控制對PIM服務器的訪問。 |
8)為每位訪問計算機的用户分配一個唯一的ID。 | 每個PIM用户都有獨立的登錄賬號,PIM對用户訪問敏感信息進行了完全的審計問責。 |
9)限制對持卡人數據的物理訪問。 | 秘密服務器安裝靈活,可以很容易地定製你的網絡配置。 |
10)跟蹤和監視所有對網絡資源和對持卡人數據的訪問。 | PIM對訪問敏感數據進行全面審計並生成健壯的報表。對話記錄甚至可以監控用户使用密碼做了些什麼。 |
11)定期測試系統的安全性。 | 用心跳測試功能自動檢查網絡密碼的有效性,確保PIM服務器存儲正確的憑證數據。 |
12)為員工和承包商維持正確的信息安全策略。 | PIM服務器可以作為強有力的信息安全策略的一部分。 |
4、薩班斯法案(SOX)
挑戰
實現SOX合規對許多上市公司來説是一個相當大的挑戰。沒有標準的答案(最佳實踐)來指導組織達到合規,每年企業將花費大量的成本用來嘗試符合SOX合規。存在的指導原則是SOX規則要求信息應該透明、防篡改、完全審計和具有詳細的操作日誌。那麼問題是:企業如何才能達到SOX的要求?
SOX法案定義了企業高管的責任,如:CEO、CFO,和CIS / CISOs等等。SOX法包含這樣一項規定,即要求 CEO 和 CFO 必須證明其公司擁有適當的內部控制。這些企業的高管通常將責任分配給員工來完成SOX審計的需求,通常管理員級別的員工將真正進行內部控制,如:訪問和存儲敏感信息、財務文件及基礎設施的密碼。為SOX審計收集正確的信息可能需要花費幾周甚至幾個月的時間,並在多部門之間產生許多成本。
SOX合規中具體的與IT相關職責包括,需要:
- 集中並安全存儲所以類型的敏感信息(加密)。
- 對用户訪問組織內部的信息給出詳細的報告。
- 對擁有特權賬號的用户活動進行詳細的報告。
- 防篡改審計日誌。
- 訪問限制/所有者特權/共享(基於認證&權限)。
- 詳細的訪問日誌,強調活動的執行過程。
- 定期變更密碼以及定期產生報表。
- 提供訪問特權信息和系統功能的雙重控制。
- 創建自定義報告。
- 提醒/通知安全漏洞檢測。
- Access / change in access
- 用户角色的變化/敏感信息/特權
- 密碼過期
- 登錄/註銷/失敗的登錄嘗試
- 災難恢復的規定。
- 連續/高可用性。
解決方案
PIM服務器是一個基於網絡的密碼管理工具來幫助組織達到SOX合規。除了安全的敏感數據存儲庫,PIM服務器允許用户對敏感信息進行訪問控制,對各種企業IT資源的訪問密碼進行自動更改,如:服務器、數據庫、網絡設備和應用程序。審計貫穿應用程序使用的各個方面,PIM服務器使組織能夠確切地知道誰有權訪問信息以及什麼時候使用了這些信息。通過建立密碼管理“最佳實踐”以及優化使用PIM服務器,SOX合規是可以實現的。
