根据最新的统计资料,信息系统11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密,而从恶意攻击的特点来看,70%的攻击来自组织内部。尤其面对拥有管理权限的系统账户与口令,如没有一种技术手段来控制其操作,则可能出现越权或违规操作行为,并导致信息泄露、数据篡改、系统故障等一系列问题。因此对系统账户和口令的管理被认为是企业IT架构最关键的组成部分之一,用以防止来自内部,外部的信息安全威胁,满足政府和行业的法规要求。为积极有效地应对信息安全威胁,政府出台了相关的法令法规,企业或者机构对正确、科学的管理系统的账户与口令也越来越重视起来。
口令安全管理系统(PSMS)是按照(中华人民共和国网络安全法》《密码法》,《数把安全法》,关键基础设施保护条例等法律法规相关要求,能够对网络信息运营单位的运行业务系统,及其相关网络硬件等环境涉及到账户及其密码进行符合性强化功施,运用国密算法、国产加密体系和加密芯片等技术手段,为运营者提供身份识别、加密算法、应用和传输存储等可信安全防护。
1、口令管理功能
口令安全管理系统提供了账户口令统一安全存储、自动定期修改,用户权限划分、自动发现账户等核心功能。让企业便捷地保护、管理和更改各种类型资源的管理账户口令。
为了做到这些,口令安全管理系统通过双重加密将所有口令集中安全存储,并配置访问和维护管理机制,并对所有口令的授权、更改、使用等活动进行详细审计。
口令安全管理系统通过安全的连接远程登录目标系统实现自动化账户管理功能,无需在被管理系统上安装任何插件。
4.2口令管理策略
可自定义包括口令长度、口令中包含最小的大写字母数量、小写字母数量、阿拉伯数字数量、特殊字符数量、口令相似度、口令有效期等内容的口令策略,并确保每个系统账户的口令都配置相应的策略。
4.3全面的账户审查
口令安全管理系统针对管理的账户,能够及时发现账户的异常,并通知给管理员,提醒管理员关注这些账户并进行相应的处理。
l 僵尸账户:发现长期没人使用的账户,提醒管理员及时清理,避免遗留信息导致安全问题,也避免浪费账户。
l 共享账户:发现多人共用同一账户的情况,提醒管理员关注账户滥用问题。
l 隐藏账户:分析发现网络、应用、设备中存在的隐藏账户,提醒管理员进行关注。
l 幽灵账户:发现没有关联的账户,及时清理,避免遗留信息导致安全问题。
l 孤儿账户:发现没有人使用的账户,提醒管理员及时清理。
l 失效账户:系统中存在的,但是远程资源中并没有此账户,提醒管理员及时清除。
4.4资源的管理
(1)广泛的资源类型
口令安全管理系统支持多种资源类型,并且针对不支持的操作系统,用户可采用SSH命令集方式进行管理。
(2)资源的所有权管理
资源的负责人可以将资源一键转给其他管理员,这些资源的属性不会发生改变,并且原负责人将无法再访问这些资源。
(3)代理人模式
用户可将自己的账号交给其他人进行管理,用户可自定义设置代理时间到期自动收回代理权限,代理人可以帮助自己进行资源的管理。
4.5超管和元老院模式
口令安全管理系统提供了超管和元老院两种管理方式。超管模式为集权式管理,超级管理员可以查看系统所有资源的口令。元老院模式为权限分离式管理,元老通过提议和表决来查看系统所有资源的口令。你可以根据需求自行选择一种模式,切换模式后超级管理员和元老会失效。
4.6访问控制策略
口令安全管理系统通过访问控制策略来授予用户对口令的访问权限。管理员可以根据不同需求建立不同的策略来控制用户可以访问口令的范围、时间及使用权限。同时可以设定用户使用口令是否需要审批,并设定对应的审批人。多条访问控制策略使用并集方式生效,可以充分灵活地匹配企业中各类访问控制需求。
4.7远程会话管理
口令安全管理系统远程会话功能支持远程登录多种系统,用户可通过远程会话自动跳转登录到目标设备,防止恶意软件的直连传播,使用户在终端无需安装软件即可实现单点登录。
l 支持SSH、RDP、VNC、Telnet、Kubernetes等多种连接方式
l 管理员可以加入远程会话中,发现恶意操作可及时终止会话
l 对账户使用操作进行录像,以满足日后审计的需求
l 智能录像压缩节省存储空间
l 支持通过远程会话进行上传和下载文件
l 管理员可以为资源配置命令策略,有效控制可执行的命令
l 支持数据库类型通过应用发布服务器进行远程会话
4.8 API用户管理
口令安全管理系统拥有丰富的接口与各类周边系统对接,同时可以和企业内部工单系统等集成,帮助企业实现自动化账户管理并为企业建立以口令安全管理系统为中心的账户管理平台。
4.9应用管理
口令安全管理系统支持通过连接数据库的方式,将应用系统的账户口令进行管理,查找应用系统中的弱口令并帮助用户生成符合策略的口令。
口令安全管理系统提供了浏览器插件,浏览器插件作为WEB应用系统的统一登录入口,用户使用浏览器可查看各种应用系统的账户口令及快捷登录到应用系统。
4.10可视化图表
口令安全管理系统提供了账户和用户仪表盘,将关于账户和用户的统计情况、活动性通过图表直观展示出来,还提供了账户和用户的报表方便审计员及时掌握企业账户的情况。
4.11实时报警和通知
口令安全管理系统提供了查看、共享或更改口令时实时通知和每日摘要的电子邮件,帮助您了解口令何时违反IT策略或口令过期时间。
4.12备份与恢复
l 为保障数据安全,系统每日自动备份全部数据到外部存储,保证灾难情况下仍然可以进行恢复。
l 通过计划任务定期自动执行数据备份。
l 备份中的所有数据都是经过加密存储的,与运行中的数据同样安全可靠。
l 通过恢复脚本快速地执行数据恢复。全部过程只需重新安装口令安全管理系统和恢复备份数据。
4.13安全机制
口令安全管理系统提供了在系统意外崩溃时的安全逃生机制,通过以下四步来实现:
l 每个配置过管理员账户的资源会自动添加一个不可更改的紧急账户;
l 系统内置了一个U盘,系统将所有资源的紧急账户备份到U盘中;
l 系统提供打印密码信封,密码信封中包含打开紧急账户文件的密钥;
使用密钥打开紧急账户文件获取到紧急账户及口令登录到远程资源。
4.14代理人
口令安全管理系统针对人员出差或需要协助管理时,提供了代理人功能。用户可以将账号交给其他用户代管,可以自定义设置代理时间和代理结束后是否重置口令。代理人可以切换到代理的账号进行操作管理。
4.15企业微信
口令安全管理系统企业微信应用提供以下功能:
l 口令安全管理系统支持使用企业微信扫码登录
l 口令下发:口令下发有两种方式,第一种:企业微信内部下发口令,管理员可将口令以应用消息的形式发送给其他用户,用户可通过应用进行查看口令,第二种:下发给企业微信外部用户,管理员通过生成二维码,将二维码发送给其他用户,用户进行扫码获取口令。
l 快速审批:管理员可通过企业微信应用快速审批口令访问请求和命令申请,及时响应其他用户的访问需求。
l 实时监控:管理员可通过企业微信应用随时监控在线会话,发现异常及时中断会话,保证资源安全。
l 资源和口令:用户可通过企业微信应用查看资源信息及口令。
四、产品优势
通过口令安全管理系统对政府与企业各系统各平台账户口令的全生命周期的管理来实现以下价值:
l 建立企业级口令库,具有安全保存企业所有管理账户口令的功能。(保证口令不丢失,满足网络安全法中数据安全相关要求)
l 统一集中管理账户与口令,实现口令的自动修改、发现和验证。(保证口令的准确性)
l 梳理和规范管理账户的使用对象,实现账户最小化权限分配准则。
(保证资源按需分配,满足等保2.0中访问控制的相关要求)
l 全方面审计管理账户口令的共享、使用、修改及各种操作。(实现一事一密、一人一密,满足等保2.0中安全审计的相关要求)
l 通过自动化的口令管理大大降低了手工定期修改、管理口令的人力成本。(避免弱口令的产生)
l 自动按合规要求(时间、口令强度)周期性重置口令。(满足等保2.0中身份鉴别信息具有复杂度要求并定期更换的要求)
l 提升对业务系统部署、更新的效率和安全性。(高效率低投入)
各行业