CN110572279A - 特权账号安全管理系统 - Google Patents

特权账号安全管理系统 Download PDF

Info

Publication number
CN110572279A
CN110572279A CN201910770110.9A CN201910770110A CN110572279A CN 110572279 A CN110572279 A CN 110572279A CN 201910770110 A CN201910770110 A CN 201910770110A CN 110572279 A CN110572279 A CN 110572279A
Authority
CN
China
Prior art keywords
account
module
management
node
management unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910770110.9A
Other languages
English (en)
Inventor
董明
杨达盛
邓帧恒
刘博�
潘明政
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Haiyi Information Security Technology Co Ltd
Original Assignee
Guangzhou Haiyi Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Haiyi Information Security Technology Co Ltd filed Critical Guangzhou Haiyi Information Security Technology Co Ltd
Priority to CN201910770110.9A priority Critical patent/CN110572279A/zh
Publication of CN110572279A publication Critical patent/CN110572279A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种特权账号安全管理系统,包括相互连接的节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元;节点管理单元用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;账号管理单元用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;访问控制单元用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限。本发明能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。

Description

特权账号安全管理系统
技术领域
本发明涉及IT安全领域,特别涉及一种特权账号安全管理系统。
背景技术
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。但管理者也是无可奈何,因为没有很好的自动化、可扩展、高可靠技术平台,能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露,最终发生数据泄露事件。
痛点1:目前市面上没有纯净的特权账号管理系统,都是基于跳板机或堡垒机架构开发,无法适应分布式、软件化、多动态的部署要求。
痛点2:目前市面上,没有产品技术能够涵盖各种类型特权账号密码的自动化校验、改密甚至重置(找回密码)。最多见的为操作系统、关系型数据库的账号。而品牌繁多的网络安全设备、自开发Web应用、云平台、虚拟化、容器化等管理员权限账号,往往是无法支持自动校验、改密、重置的。
痛点3:市面上的产品,往往都是固化代码形式,如需适配新型对象时,需要重新开发,版本稳定性难以保证,且成本极高。
痛点4:DevOps敏捷开发过程中,催生大量自动化工具,特权账号会散落在这些工具上,密码明文落地与账号使用审计分散往往也是让管理员头疼的事情。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理的特权账号安全管理系统。
本发明解决其技术问题所采用的技术方案是:构造一种特权账号安全管理系统,包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
在本发明所述的特权账号安全管理系统中,所述节点管理单元进一步包括:
节点权限模块:用于把用户分配至节点时能对节点拥有何种权限及功能的管理;
节点目录模块:用于新增、修改或删除节点目录;
所述节点权限模块和节点目录模块相互连接。
在本发明所述的特权账号安全管理系统中,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
在本发明所述的特权账号安全管理系统中,所述访问控制单元进一步包括:
账号密码模块:用于新增、修改与管理账号密码箱对象,为账号存储提供逻辑独立空间,同时提供基于密码箱集合的访问使用授权。
在本发明所述的特权账号安全管理系统中,所述会话监控单元进一步包括:
历史会话模块:用于为用户提供过往账号被连接会话的查询服务,快速定位会话记录及操作命令,并能回放录像;
实时会话模块:用于为用户提供当前进行中的账号连接会话查询服务,实现按需观看、终止、暂停、恢复和回放;
所述历史会话模块和实时会话模块相互连接。
在本发明所述的特权账号安全管理系统中,所述审计管理单元进一步包括:
账号日志模块:用于负责记录特权账号相关的日志,并提供用户查询相关日志;所述特权账号相关的日志至少包括账号生命周期管理事件、用户使用情况和操作命令记录;
密码箱日志模块:用于负责记录账号密码箱相关的日志;所述账号密码箱相关的日志至少包括密码箱内容变更事件和密码箱授权变更事件;
节点日志模块:用于负责记录节点相关的日志;所述节点相关的日志至少包括节点内容变更事件和节点授权变更事件;
所述账号日志模块、密码箱日志模块和节点日志模块相互连接。
在本发明所述的特权账号安全管理系统中,所述审批管理单元进一步包括:
我的申请模块:用于负责记录用户自身提交的申请单,记录内容至少包括申请理由、操作内容、申请时间窗口、申请操作对象、审批人和连接情况;
待我审批模块:用于负责查看需要用户进行同意或拒绝的申请单;
所述我的申请模块和待我审批模块相互连接。
在本发明所述的特权账号安全管理系统中,所述系统设置单元进一步包括:
账号策略模块:用于为账号管理单元提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板;
连接策略模块:用于为用户提供所有账号的单点登录时所需工具的统一定制发布;
门户设置模块:用于管理员设置平台自身门户功能参数;所述平台自身门户功能参数至少包括搜索范围定义和参数别名;
自编属性参数模块:用于管理员编制平台各功能所需的字典项;
所述账号策略模块、连接策略模块、门户设置模块和自编属性参数模块相互连接。
实施本发明的特权账号安全管理系统,具有以下有益效果:由于设有节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元,本发明能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明特权账号安全管理系统一个实施例中的结构示意图。
图2为所述实施例中节点管理单元的结构示意图;
图3为所述实施例中账号管理单元的结构示意图;
图4为所述实施例中访问控制单元的结构示意图;
图5为所述实施例中会话监控单元的结构示意图;
图6为所述实施例中审计管理单元的结构示意图;
图7为所述实施例中审批管理单元的结构示意图;
图8为所述实施例中系统设置单元的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明特权账号安全管理系统实施例中,该特权账号安全管理系统的结构示意图如图1所示。图1中,该特权账号安全管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7;其中,节点管理单元1用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理。
账号管理单元2用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作。具体而言,针对背景技术中的痛点2及痛点4提到的需要进行密码自动化校验、改密甚至重置(找回密码)的特权账号类型繁多、内嵌至DevOps工具、代码、程序常见同时难以管理。例如,持续集成工具Jenkins工具会内嵌云平台的开发访问密钥,意味着密钥容易暴露于工具配置中,且难以被审计使用情况,也不利于定期轮换密钥的维护工作。那么账号管理单元2都能很好地解决以上难点。另外,用户即人类需要对这些新型账号凭证使用时,通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。
访问控制单元3用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力,为账号存储提供逻辑独立空间,密码箱。同时提供基于密码箱集合对用户、进行的访问使用授权。
会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。
审计管理单元5用于为审计部门提供日志查询,该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之,审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。
审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元具备插件化扩展能力,满足对接外部工单系统平台需求。
系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。
本发明通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7,能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。
图2为本实施例中节点管理单元的结构示意图,图2中,该节点管理单元1进一步包括相互连接的节点权限模块11和节点目录模块12;其中,节点权限模块11用于把用户分配至节点时能对节点拥有何种权限及功能的管理,分配后,将为其余单元或模块提供基于目录范围的账号搜索、用户搜索等。节点目录模块12用于新增、修改或删除节点目录,一般为部门管理员、公司管理员、小组管理员提供自身目录路径的目录管理服务。
图3为本实施例中账号管理单元的结构示意图,图3中,该账号管理单元2进一步包括相互连接的账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23和细粒度分享模块24;另外,账号轮换模块21、内嵌依赖同步模块22、单点登录连接模块23与系统设置单元7、节点管理单元1、审批管理单元6和审计管理单元5相互连接。
其中,账号轮换模块21用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理,如周期校验、改密,遇错自动重置等。账号轮换模块21与系统设置单元7的账号策略模块71(参见图8,后续会进行详细介绍)互联后,根据账号策略模块71定义的账号策略,实施对目标特权账号的账号密码自动轮换,且不限目标账号类型。目前支持账号类型已包含且不限于操作系统账号、数据库账号、网络安全设备账号、虚拟化控制台账号、云平台控制台账号、容器化管理员账号、DevOps工具控制台账号、应用中间件控制台账号(非操作系统账号)、开发接口程序访问密钥账号等等。
内嵌依赖同步模块22用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上。内嵌依赖同步模块22与账号轮换模块21互联,负责把账号轮换模块21中的账号主体实施同步推送至所需的内嵌依赖位置,如系统服务、配置文件、工具设置、数据库表项等中。同时,内嵌依赖同步模块22也能为程序代码中的内嵌密码代码提供相关开发语言包,取替代码中的明文密码,实现程序取密无需硬编码,且能审计、限制、隔离取密程序的身份合法性与安全性。
单点登录连接模块23用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,提高安全性,而且,能实现持续性监控及审计能力。单点登录连接模块23与系统设置单元7的连接策略模块72(参见图8,后续会进行详细介绍)互联后,为用户提供账号的一键单点登录服务,并能实现自定义登录工具的登录逻辑,具备文件上下传控制、文本复制粘贴控制、快速克隆连接等能力。
细粒度分享模块24用于为用户提供基于账号级细粒度的分享能力,灵活满足临时授权使用的需要。
图4为本实施例中访问控制单元的结构示意图,图4中,该访问控制单元3进一步包括账号密码模块31,账号密码模块31用于新增、修改与管理账号密码箱对象,为账号存储提供逻辑独立空间,同时提供基于密码箱集合的访问使用授权。账号密码箱模块31分别与系统设置单元7和节点管理单元1相互连接。
图5为本实施例中会话监控单元的结构示意图,图5中,该会话监控单元4进一步包括相互连接的历史会话模块41和实时会话模块42;其中,历史会话模块41用于为用户提供过往账号被连接会话的查询服务,快速定位会话记录及操作命令,并能回放录像;实时会话模块42用于为用户提供当前进行中的账号连接会话查询服务,实现按需观看、终止、暂停、恢复和回放等干预行为。
图6为本实施例中审计管理单元的结构示意图,图6中,该审计管理单元5进一步包括相互连接的账号日志模块51、密码箱日志模块52和节点日志模块53;其中,账号日志模块51用于负责记录特权账号相关的日志,并提供用户查询相关日志;该特权账号相关的日志至少包括账号生命周期管理事件、用户使用情况和操作命令记录,换言之,该特权账号相关的日志包括但不限于账号生命周期管理事件、用户使用情况、操作命令记录等内容。
密码箱日志模块52用于负责记录账号密码箱相关的日志;该账号密码箱相关的日志至少包括密码箱内容变更事件和密码箱授权变更事件,换言之,该账号密码箱相关的日志包括但不限于密码箱内容变更事件、密码箱授权变更事件。
节点日志模块53用于负责记录节点相关的日志;该节点相关的日志至少包括节点内容变更事件和节点授权变更事件,换言之,该节点相关的日志包括但不限于节点内容变更事件、节点授权变更事件。
图7为本实施例中审批管理单元的结构示意图,图7中,该审批管理单元6进一步包括相互连接的我的申请模块61和待我审批模块62;其中,我的申请模块61用于负责记录用户自身提交的申请单,记录内容包括但不限于申请理由、操作内容、申请时间窗口、申请操作对象、审批人和连接情况等信息;待我审批模块62用于负责查看需要用户进行同意或拒绝的申请单。
图8为本实施例中系统设置单元的结构示意图,图8中,该系统设置单元7进一步包括相互连接的账号策略模块71、连接策略模块72、门户设置模块73和自编属性参数模块74;账号策略模块71、连接策略模块72、自编属性参数模块74和账号管理单元2相互连接。
其中,账号策略模块71用于为账号管理单元2提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板,满足用户自开发、新型账号类型的管理需求,解决背景技术中痛点2和痛点3的难题,具体而言,账号策略模块71用于管理员自定义账号管理相关策略参数,并提供基于插件化导入、自助开发调试等服务。
连接策略模块72用于为用户提供所有账号的单点登录时所需工具的统一定制发布,其可以解决背景技术中的痛点2和痛点3,因为虽然账号密码已经被管理起来,但面对用户使用的需求,依然需要专门的工具定制发布能力模块,来提供服务,防止账号密码落地至用户手上。连接策略模块72还用于管理员自定义与发布单点登录相关能力的策略参数,并提供基于插件化导入、自助开发调试等服务。
门户设置模块73用于管理员设置平台自身门户功能参数,如:一些搜索范围定义和参数别名等。自编属性参数模块74用于管理员编制平台各功能所需的字典项。
总之,通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7,使得本发明能够自动化管理企业的特权账号,且能让用户在不接触密码的前提下进行单点登录使用,同时还能针对云、DevOps、容器化等环境下的特权账号做灵活的、插件式的账号管理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种特权账号安全管理系统,其特征在于,包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
2.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述节点管理单元进一步包括:
节点权限模块:用于把用户分配至节点时能对节点拥有何种权限及功能的管理;
节点目录模块:用于新增、修改或删除节点目录;
所述节点权限模块和节点目录模块相互连接。
3.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
4.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述访问控制单元进一步包括:
账号密码模块:用于新增、修改与管理账号密码箱对象,为账号存储提供逻辑独立空间,同时提供基于密码箱集合的访问使用授权。
5.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述会话监控单元进一步包括:
历史会话模块:用于为用户提供过往账号被连接会话的查询服务,快速定位会话记录及操作命令,并能回放录像;
实时会话模块:用于为用户提供当前进行中的账号连接会话查询服务,实现按需观看、终止、暂停、恢复和回放;
所述历史会话模块和实时会话模块相互连接。
6.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述审计管理单元进一步包括:
账号日志模块:用于负责记录特权账号相关的日志,并提供用户查询相关日志;所述特权账号相关的日志至少包括账号生命周期管理事件、用户使用情况和操作命令记录;
密码箱日志模块:用于负责记录账号密码箱相关的日志;所述账号密码箱相关的日志至少包括密码箱内容变更事件和密码箱授权变更事件;
节点日志模块:用于负责记录节点相关的日志;所述节点相关的日志至少包括节点内容变更事件和节点授权变更事件;
所述账号日志模块、密码箱日志模块和节点日志模块相互连接。
7.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述审批管理单元进一步包括:
我的申请模块:用于负责记录用户自身提交的申请单,记录内容至少包括申请理由、操作内容、申请时间窗口、申请操作对象、审批人和连接情况;
待我审批模块:用于负责查看需要用户进行同意或拒绝的申请单;
所述我的申请模块和待我审批模块相互连接。
8.根据权利要求1所述的特权账号安全管理系统,其特征在于,所述系统设置单元进一步包括:
账号策略模块:用于为账号管理单元提供所有特权账号的管理策略定制,并能提供插件化能力导入新的账号策略模板;
连接策略模块:用于为用户提供所有账号的单点登录时所需工具的统一定制发布;
门户设置模块:用于管理员设置平台自身门户功能参数;所述平台自身门户功能参数至少包括搜索范围定义和参数别名;
自编属性参数模块:用于管理员编制平台各功能所需的字典项;
所述账号策略模块、连接策略模块、门户设置模块和自编属性参数模块相互连接。
CN201910770110.9A 2019-08-20 2019-08-20 特权账号安全管理系统 Pending CN110572279A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910770110.9A CN110572279A (zh) 2019-08-20 2019-08-20 特权账号安全管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910770110.9A CN110572279A (zh) 2019-08-20 2019-08-20 特权账号安全管理系统

Publications (1)

Publication Number Publication Date
CN110572279A true CN110572279A (zh) 2019-12-13

Family

ID=68774034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910770110.9A Pending CN110572279A (zh) 2019-08-20 2019-08-20 特权账号安全管理系统

Country Status (1)

Country Link
CN (1) CN110572279A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112818335A (zh) * 2021-02-23 2021-05-18 山东铭云信息技术有限公司 特权账号安全运维管控方法
CN113468579A (zh) * 2021-07-23 2021-10-01 挂号网(杭州)科技有限公司 数据访问方法、装置、设备和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109388921A (zh) * 2017-08-10 2019-02-26 顺丰科技有限公司 一种统一用户权限管理平台及运行方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
徐浩平: "特权账号生命周期管理-HaiYi-PAS介绍", 《HTTPS://WENKU.BAIDU.COM/VIEW/E6B3FCD26429647D27284B73F242336C1FB93041》 *
海颐软件: "海颐特权账号安全管理系统产品白皮书", 《HTTPS://WENKU.BAIDU.COM/VIEW/4F5C4F740166F5335A8102D276A20029BD64638E.HTML》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112818335A (zh) * 2021-02-23 2021-05-18 山东铭云信息技术有限公司 特权账号安全运维管控方法
CN113468579A (zh) * 2021-07-23 2021-10-01 挂号网(杭州)科技有限公司 数据访问方法、装置、设备和存储介质

Similar Documents

Publication Publication Date Title
US11431495B2 (en) Encrypted file storage
CN110543464B (zh) 一种应用于智慧园区的大数据平台及操作方法
US7814075B2 (en) Dynamic auditing
US7831570B2 (en) Mandatory access control label security
CN110957025A (zh) 一种医疗卫生信息安全管理系统
US20140201811A1 (en) Cross-Domain Security For Data Vault
Srinivasan Is security realistic in cloud computing?
US20060248085A1 (en) Data vault
US20060248083A1 (en) Mandatory access control base
Viega Building security requirements with CLASP
US10108809B2 (en) Applying rights management policies to protected files
US9053343B1 (en) Token-based debugging of access control policies
CN114003943B (zh) 一种用于机房托管管理的安全双控管理平台
CN110719298A (zh) 支持自定义更改特权账号密码的方法及装置
CN110717176A (zh) 可在线更改应用内嵌特权账号的方法及装置
CN110572279A (zh) 特权账号安全管理系统
CN110474916A (zh) 面向Web应用提供特权账号的方法及装置
CN109902497A (zh) 一种面向大数据集群的访问权限管理方法及系统
CN113162950A (zh) 一种基于i国网的移动应用二次权限认证与管理系统
CN110708298A (zh) 集中管理动态实例身份和访问的方法及装置
CN110708299A (zh) 特权集中管理并实现动态主机互信认证的方法及装置
CN110737906A (zh) 无感切换中间件连接池特权账号的方法及装置
Ngo et al. Serverless computing architecture security and quality analysis for back-end development
Ma et al. Study on access control for cloud storage security
Kadebu et al. A security requirements perspective towards a secured nosql database environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191213

RJ01 Rejection of invention patent application after publication