CN112818335A - 特权账号安全运维管控方法 - Google Patents
特权账号安全运维管控方法 Download PDFInfo
- Publication number
- CN112818335A CN112818335A CN202110203187.5A CN202110203187A CN112818335A CN 112818335 A CN112818335 A CN 112818335A CN 202110203187 A CN202110203187 A CN 202110203187A CN 112818335 A CN112818335 A CN 112818335A
- Authority
- CN
- China
- Prior art keywords
- account
- unified
- privileged
- management
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种特权账号安全运维管控方法,包括:对账号统一集中管理:扫描获取账号统一存储进行集中管理;配置统一管理密码安全策略;配置统一账号管理策略:自定义用户组策略;配置统一认证方式;设置统一单点登录方式:当检测到被授权的用户进入被管理设备,自动调用特权账号密码保险库中的密码直接进入被管理设备,无需输入账号密码,实现单点登录的方式进行管理;配置统一授权与访问控制策略:对用户的角色配置访问控制策略;对特权会话进行监控和阻断:配置用户角色定义允许和禁止的命令策略对特权会话进行实时控制;对特权会话进行统一审计:对所有用户的活动进行统一审计,进行字符和录像记录。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种特权账号安全运维管控方法。
背景技术
随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的系统与不同背景的运维人员的行为给信息系统安全带来较大风险,主要表现在:
1.多个用户使用同一个账号。这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能多用户共享同一账号。如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。
2.一个用户使用多个账号。目前,一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度。
3.缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于最小权限分配原则的用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。
4.无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。
5.传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。
传统的账号管理系虽然很好的解决了账号的统一管理问题,然而依然无法满足用户需求,例如,自然人、非自然人的账号管理功能,针对关联账号具有完备的对接机制。传统的账号管理系统只关注管理自然人账号,用户提出产品的对接的功能,一般不提供开放性接口,新增需求定制开发。传统设备密码管理机制只是附属功能之一,核心是操作监控与审计,这给用户带来困扰如何满足客户要求,对特权账号安全管理成为新的函待解决问题。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种特权账号安全运维管控方法。
为了实现上述目的,本发明的实施例提供一种特权账号安全运维管控方法,包括:
步骤S1,对账号统一集中管理:扫描获取账号统一存储进行集中管理,对被管理设备的账号密码配置策略实现密码定期自动变更;
步骤S2,配置统一管理密码安全策略:对步骤S1中集中管理的账号的密码的更新频率进行统一管理;
步骤S3,配置统一账号管理策略:自定义用户组策略,用户账户与组权限绑定、自动权限绑定;
步骤S4,配置统一认证方式:将设备进行统一管理后用户通过特权账号平台进行认证登录,避免非法用户进入被管理设备;
步骤S5,设置统一单点登录方式:当检测到被授权的用户进入被管理设备,自动调用特权账号密码保险库中的密码直接进入被管理设备,无需输入账号密码,实现单点登录的方式进行管理;
步骤S6,配置统一授权与访问控制策略:对用户的角色配置访问控制策略,所述访问控制策略用于实现对用户的实时会话控制、命令控制、协议控制、访问权限的控制;
步骤S7,对特权会话进行监控和阻断:配置用户角色定义允许和禁止的命令策略,使得用户在允许的命令范围执行操作,当用户使用被禁止的操作则向用户发送警告信息、中断会话;
步骤S8,对特权会话进行实时控制:定义被授权的用户的使用时间、使用地点,根据被授权的用户硬件信息产生唯一授权密钥只在规定范围使用,其他无效;
步骤S9,对特权会话进行统一审计:对所有用户的活动进行统一审计,进行字符和录像记录。
进一步,在所述步骤S1中,对账号进行统一集中管理,包括对主账号和从账号内的全部账号属性进行管理,其中,主账号用于标识自然人的唯一ID;从账号用于标识资源信息。
进一步,在所述步骤S2中,所述配置统一管理密码安全策略,包括:配置密码复杂度策略、针对不同设备制定不同的改密计划,设定所述改密计划的自动改密周期,对改密结果进行加密保护,配置一次一密策略。
进一步,在所述步骤S4中,所述配置统一认证方式,包括:统一身份认证采用LDAP、Radius、AD域或数字证书认证方式。
进一步,在所述步骤S6中,统一授权管理设计多级别授权方式,授权企业管理员存入特权凭证,获得授权的使用者,在执行工作或遇上任何紧急状況下,登入及登出特权账号。
进一步,在所述步骤S7中,管理员实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员随时手工中断违规操作会话。
进一步,在所述步骤S8中,对授权用户的操作会话实时监视,并在终端会话后生成审计报告。
进一步,在所述步骤S9中,设计查询功能,根据异常事件或一般事件条件进行组合查询,并对审计信息进行分析统计,其结果以报表或图形的方式进行展现
根据本发明实施例的特权账号安全运维管控方法,对业务系统中的服务器、终端、数据库、网站、网络设备、安全设备、监控摄像头账号(自然人账号、机器账号等)的安全管理,实现对凭证进行自动化管理。本发明的主要功能包括:对被管理系统内的所有设备、数据库等账号收纳采集,对其使用账号密码要求的复杂度设置策略,定期自动修改符合密码复杂程度要求的密码,定期自动验证改密后是否能够正常使用。特权账号管理系统提供与第三方认证系统集成的开发接口,对用户在通过特权账号管理平台管理系统设备时分配权限,实现访问控制,对通过特权账号管理平台下运维人员的操作记录、使用记录进行审计、定期可生产各类清单、操作记录回溯。对被授权的账户进行实时检测,系统感知到不合规操作时发出预警信号、中断会话连接。
本发明针对目前特权账号安全管理存在的不足,面向企业的密码安全管理软件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种系统账号、文档、数字证书等。帮助集中存储密码信息、安全共享密码、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用,实现企业密码的安全管理和使用。让企业很容易地保护,管理和更新所有类型的特权密码,从路由设备到服务器到数据库,以及各种类型的应用程序和脚本程序。为了做到这些,系统对所有密码建立集中的安全存储,访问和维护管理机制,并且对所有对密码的访问活动进行详细审计和跟踪。
本发明使得用户可以用平台登录账户管理特权账号,利用管理平台查看自身的资产,针对特权账号网络中的各个系统设备,管理命令实现对用户操作进行录屏,系统单独设计了密码保险库,对特权账号单独防护、进行对密码保险库设计了多种方式容灾备份,系统设计了HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。对密码保险库数据备份采取DR部署由两个节点组成,分为主机节点和备机节点,主备之间通过心跳线进行主备状态监测和数据实时同步,主机节点一旦断开,备机节点会立刻启动,无需人工干预,从而实现业务的不间断运行。保障账号的安全同时也提高了工作效率。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的特权账号安全运维管控方法的流程图;
图2为根据本发明实施例的特权账号安全运维管理系统系统部署与系统的详细流程图;
图3为根据本发明实施例的特权账号生命周期管理流程与系统的步骤示意图;
图4为根据本发明实施例的特权账号安全运维管理系统的模块图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
本发明涉及互联网技术领域中特权账号账号管理,对特权账号管理的方法、存储安全性。本发明提供的特权账号安全运维管控方法,可以应用于账号管理平台,账号管理平台对风险较高的特权账号实施集中管理,实现运维人员身份认证、运维操作和访问控制、设备密码的统一管理。
本发明实施例的特权账号安全运维管控方法,可以保障特权账号密码保险库安全可靠,能够统一管理用户在各个应用系统中的账号信息以及访问权限,实现集中的用户访问痕迹跟踪和审计,加强运维操作的事前授权、事中监控和事后审计,进一步降低企业的运维操作风险,提高运维工作效率,保障各信息系统安全、稳定、高效运行。
如图1所示,本发明实施例的特权账号安全运维管控方法,包括:
步骤S1,对账号统一集中管理:通过手工收集及平台自动发现自动扫描账号统一收纳在特
权账号管理平台集中管理,对被管理设备的账号密码配置策略实现密码定期自动变更。由最高权限管理员定义策略给予需要运维的角色账号进行审批,运维人员通过特权账号管理平台对被管理设备进行运维,以单点登录的方式进行管理无需手动填写密码。
具体的,对账号进行统一集中管理,包括对主账号和从账号在内的全部账号属性进行管理,其中,主账号用于标识自然人的唯一ID;从账号用于标识资源信息。
主账号的初始用户基础信息可来源于现存的权威身份数据源(如HR系统)。主账号的范围包括内部员工账号和外部供应商、厂商代维人员账号。账号的属性管理涵盖了和用户身份相关的基本信息、组织信息、时效策略、密码策略、角色标识等内容。
步骤S2,配置统一管理密码安全策略:对步骤S1中集中管理的账号的密码的更新频率进行统一管理。
具体的,配置统一管理密码安全策略,包括:配置密码复杂度策略、针对不同设备制定不同的改密计划,设定改密计划的自动改密周期,对改密结果进行高强度加密保护,配置一次一密策略。
统一管理密码安全策略:在特权账号管理平台中被托管的账号可以对密码的更新频率逐一管理,密码的更改方式也可以是密码自动更改、手动更改、随机更改;密码的历史版本也可以在平台上设置保留,最多支持保留10个历史密码。
步骤S3,配置统一账号管理策略:自定义用户组策略,用户账户与组权限绑定、自动权限绑定。
步骤S4,配置统一认证方式:将设备进行统一管理后用户通过特权账号平台进行认证登录,避免非法用户进入被管理设备。
具体的,配置统一认证方式,包括:统一身份认证采用LDAP、Radius、AD域或数字证书等认证方式,均可灵活配置。支持SSO功能,运维人员一次登陆,即可访问所有目标资源,无需二次输入用户名、口令信息。采用双因素认证的强身份认证来控制访问关键目标资源。
统一认证方式:正常运维方式是直接连接设备输入用户名密码的方式进行管理,本发明将设备进行统一管理后用户通过特权账号平台进行认证登录,完全性的避免了非法用户进入被管理设备。
步骤S5,设置统一单点登录方式:当检测到被授权的用户进入被管理设备,自动调用特权账号密码保险库中的密码直接进入被管理设备,无需输入账号密码,实现单点登录的方式进行管理。
步骤S6,配置统一授权与访问控制策略:对用户的角色配置访问控制策略,访问控制策略用于实现对用户的实时会话控制、命令控制、协议控制、访问权限的控制。
具体的,统一授权管理设计多级别授权方式,授权企业管理员存入特权凭证,获得授权的使用者,在执行工作或遇上任何紧急状況下,登入及登出特权账号。具体功能包括:
·以多层级结构,灵活控制凭证存取管理模组
·审核、追踪指令
·支持多因素验证
·多层级双控制核准工作程序
·应用灵活API,可与外部工单系统或报修系统软件整合。
步骤S7,对特权会话进行监控和阻断:配置用户角色定义允许和禁止的命令策略,使得用户在允许的命令范围执行操作,当用户使用被禁止的操作则向用户发送警告信息、中断会话。
具体的,管理员实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员随时手工中断违规操作会话。
在本步骤中,提供完整的操作过程的录像,以及命令行模式下的所有命令的检索功能,方便审计员快速定位操作过程中是否具有违规命令的操作。同时,审计员可以实时查看运维人员的操作情况,掌握运维人员的工作情况系统能够以视频回放方式,可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
步骤S8,对特权会话进行实时控制:定义被授权的用户的使用时间、使用地点,根据被授权的用户硬件信息产生唯一授权密钥只在规定范围使用,其他无效。
在本步骤中,对授权用户的操作会话实时监视,并在终端会话后生成审计报告。
具体的,特权会话实时控制:定义被授权的用户的使用时间、使用地点,根据被授权的用户硬件信息产生唯一授权密钥只能在规定范围使用,其他无效。授权用户的操作会话实时监视,并终端会话后产生审计报告。
步骤S9,对特权会话进行统一审计:对所有用户的活动进行统一审计,进行字符和录像记录。
具体的,设计查询功能,根据异常事件或一般事件条件进行组合查询,并对审计信息进行分析统计,其结果以报表或图形的方式进行展现。
系统设计查询功能,可以按异常事件查询,也可以按一般事件组合查询。并对审计信息进行分析统计,其结果以报表或图形的方式进行展现,以利于安全事件的快速、直观把握。
具体的,本发明提供了统一审计功能,审计用户对应用系统访问的情况,为后续发生安全事件时提供一个可追查的机制。为管理员提供了一个统一的监控平台。
下面结合图2至图4对本发明的若干功能进行说明:
如图2所示,特权账号登录和密码管理步骤如下:
步骤S1:管理人员通过WEB登录特权账号平台系统获取账号列表发起登录管理服务器的登录请求;
步骤S2通过会话管理读取存储在密码库的管理密码,利用系统服务连接需要管理的业务系同,查看系统运行参数和工作状态,并通过会话管理服务记录对系统所做的操作。
步骤S3:登录web业务设置多重认证方式:AD/LDAP认证、RSA认证等;
步骤S4:系统设置备机制,对存储的密码进行安装DR备份服务器,对存储的密码进行备份。
步骤S5:系统设置改名机制,根据等保要求、要求系统密码复杂度、密码定期改密,系统可自动改密。
本发明实施例公开了特权账号生命周期管理流程与系统的步骤示意图,参见图3所示。
Ml:申请账户管理员统一授权给登录系统,用于用户提供登录管理操作系统、网络设备、数据库等维护系统;
M2:特权账号生命周期管理流程,用户利用授权账号信息单点登录到系统;
M3:该账号登录到系统后对该账号得所有操作进行实时监控录像;
M4:账号完成所有操作后,对分配得账号得权限进行收回;
M5:撰写和提交运维报告,对系统进行了什么操作,系统自动生成。
图4为本发明较佳实施方式的特权账号安全运维管理系统的模块图。
N1:登录web界面,通过管理员登录设计了用户管理、角色管理、权限管理、资源管理、策略管理、日志管理、报表管理、告警管理。
N2:登录普通用户,是通过管理员分配给普通用户相关权限,比如可以管理哪些资源,流程管理等。
N3:中间层是我们设计的核心服务层,主要分为四大类用户管理、认证的管理、授权管理、审计管理,给用户分配账号,通过认证方式实施单点登录,根据管理员的授权我们的资源进行管理业务系统,对系统设备操作进行审计留存。
N4:系统单独设计了特权凭证保险库,存储密码。该密码库进行了安全加固和灾备。
N5:拿到密码凭证后通过接口管理层登录到我们要管理的系统中去。
本发明实施例的特权账号安全运维管控方法,设计的API接口,方便与工单等系统对接,支持C++、.NET、Java多平台部署方式,单臂、双臂及分布式部署方式,适应多业务场景。产品设计远程访问目标主机的会话连接,系统均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。
本发明实施例中,特权账号管理系统是以软件形态的管理系统,安全数字保险库为基础的密码管理是系统核心,操作监控室特权账号生命周期管理功能的一部分;通过系统的部署实施建立完整的特权账号管理机制。
本发明采用七层安全防护的数字保险技术,确保特权账号密码的机密性。覆盖数据中心95%以上的特权账号,包括:虚拟平台、应用内嵌、网络安全设备、工控系统、视频监控、机顶盒等。
本发明的冗余性和容错采用本地热备+异地容灾+支持多种冷备方式,自带数据备份机制,确保特权账号密码完整性和可用性。所有部署了本发明的特权账号管理的用户均可对特权账号密码进行托管,具体实现如下功能:
密码自动更改:支持所有的市场上主流产品。
密码自动校验:支持自动校验,保证特权账号密码可用性。
密码自动同步:在发现密码校验不一致时,可自动同步两端密码,确保特权账号密码可用性,限定密码更改时段:根据策略所定时间段(可选择夜间、星期对目标服务器上进行修改)。
一次性密码:当密码被查看后1个小时(可配置)后被自动修改。
密码版本:可存储所有历史密码版本,在需要时可以检索和恢复。
访问控制:可基于时间,地点(ip),及工作流对用户进行认证及授权。
独占式访问:可以限定某一个特权账号某一时间只能被1个用户访问。
可见通过对正在进行的攻击发出准确的实施报警,显著缩短攻击者的机会窗口并减少损失(APT最佳防御)、借助开箱即用,集成提升现有SIEM解决方案的价值、通过方便直观的图形和表格来快速评估基线配置文件和异常现象、通过会随环境变化而不断调整基线行为配置文件的自主学习算法(机器学习),让威胁检测适应不断变化的环境、借助有关特权用户模式和活动的有价值数据来改善审查流程。
本发明实施例公开了默认账号设置的智能家居网络远程管理与诊断方法,参见图4。相对上述实施例,对技术方案作了进一步的说明和优化。具体的,本发明中默认账号设置的智能家居网络远程管理与诊断方法与系统包含以下步骤:
S1:智能家居服务器远程登录
通过远程登录终端Mi采用智能家居服务平台登录账户向智能家居远程管理平台服务器M2发送登录请求;
智能家居远程管理平台服务器M2执行步骤S12相应步骤S5中的登录请求,并向Mi公布M4的参数信息和运行状况。
软件部署、采用F5负载均衡,可按需灵活增加或减少负载能力。支持异地的分布式网络的生成环境,并只需要部署一套系统,策略,日志,密码数据集中管理、基于统一安全保险库的WEB门户分布式部署、前置F5群集,密码保险库支持高可用模式,数据实时同步,自动切换密码保险库支持异地灾备,自动同步。
本发明实施例的特权账号安全运维管控方法,具有以下优点:
通过给用户提供账号安全运维管理控制平台的方式,使得用户可以用对应的平台登录进行对资产进行管理,利用管理平台资产对应得账号,所有密码实现自动化管理,公司获得对关键系统特权帐号的掌控权,关键组件的高可用性群集,灾难恢复,分布式部署,可以实时分析和统一审计用户信息系统所有主机操作系统、网络设备、安全设备、数据库等发生的事件,同时对用户内部人员的操作行为进行全面的审计、监控,消除了传统审计系统中的盲点,使企业对运维人员的操作过程,能做到事前防范、事中控制、事后审计的能力。帮助用户真正系统化、流程化、规范化落地特权账号的管理工作。
根据本发明实施例的特权账号安全运维管控方法,对业务系统中的服务器、终端、数据库、网站、网络设备、安全设备、监控摄像头账号(自然人账号、机器账号等)的安全管理,实现对凭证进行自动化管理。本发明的主要功能包括:对被管理系统内的所有设备、数据库等账号收纳采集,对其使用账号密码要求的复杂度设置策略,定期自动修改符合密码复杂程度要求的密码,定期自动验证改密后是否能够正常使用。特权账号管理系统提供与第三方认证系统集成的开发接口,对用户在通过特权账号管理平台管理系统设备时分配权限,实现访问控制,对通过特权账号管理平台下运维人员的操作记录、使用记录进行审计、定期可生产各类清单、操作记录回溯。对被授权的账户进行实时检测,系统感知到不合规操作时发出预警信号、中断会话连接。
本发明针对目前特权账号安全管理存在的不足,面向企业的密码安全管理软件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种系统账号、文档、数字证书等。帮助集中存储密码信息、安全共享密码、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用,实现企业密码的安全管理和使用。让企业很容易地保护,管理和更新所有类型的特权密码,从路由设备到服务器到数据库,以及各种类型的应用程序和脚本程序。为了做到这些,系统对所有密码建立集中的安全存储,访问和维护管理机制,并且对所有对密码的访问活动进行详细审计和跟踪。
本发明使得用户可以用平台登录账户管理特权账号,利用管理平台查看自身的资产,针对特权账号网络中的各个系统设备,管理命令实现对用户操作进行录屏,系统单独设计了密码保险库,对特权账号单独防护、进行对密码保险库设计了多种方式容灾备份,系统设计了HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。对密码保险库数据备份采取DR部署由两个节点组成,分为主机节点和备机节点,主备之间通过心跳线进行主备状态监测和数据实时同步,主机节点一旦断开,备机节点会立刻启动,无需人工干预,从而实现业务的不间断运行。保障账号的安全同时也提高了工作效率。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (8)
1.一种特权账号安全运维管控方法,其特征在于,包括如下步骤:
步骤S1,对账号统一集中管理:扫描获取账号统一存储进行集中管理,对被管理设备的账号密码配置策略实现密码定期自动变更;
步骤S2,配置统一管理密码安全策略:对步骤S1中集中管理的账号的密码的更新频率进行统一管理;
步骤S3,配置统一账号管理策略:自定义用户组策略,用户账户与组权限绑定、自动权限绑定;
步骤S4,配置统一认证方式:将设备进行统一管理后用户通过特权账号平台进行认证登录,避免非法用户进入被管理设备;
步骤S5,设置统一单点登录方式:当检测到被授权的用户进入被管理设备,自动调用特权账号密码保险库中的密码直接进入被管理设备,无需输入账号密码,实现单点登录的方式进行管理;
步骤S6,配置统一授权与访问控制策略:对用户的角色配置访问控制策略,所述访问控制策略用于实现对用户的实时会话控制、命令控制、协议控制、访问权限的控制;
步骤S7,对特权会话进行监控和阻断:配置用户角色定义允许和禁止的命令策略,使得用户在允许的命令范围执行操作,当用户使用被禁止的操作则向用户发送警告信息、中断会话;
步骤S8,对特权会话进行实时控制:定义被授权的用户的使用时间、使用地点,根据被授权的用户硬件信息产生唯一授权密钥只在规定范围使用,其他无效;
步骤S9,对特权会话进行统一审计:对所有用户的活动进行统一审计,进行字符和录像记录。
2.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S1中,对账号进行统一集中管理,包括对主账号和从账号内的全部账号属性进行管理,其中,主账号用于标识自然人的唯一ID;从账号用于标识资源信息。
3.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S2中,所述配置统一管理密码安全策略,包括:配置密码复杂度策略、针对不同设备制定不同的改密计划,设定所述改密计划的自动改密周期,对改密结果进行加密保护,配置一次一密策略。
4.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S4中,所述配置统一认证方式,包括:统一身份认证采用LDAP、Radius、AD域或数字证书认证方式。
5.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S6中,统一授权管理设计多级别授权方式,授权企业管理员存入特权凭证,获得授权的使用者,在执行工作或遇上任何紧急状況下,登入及登出特权账号。
6.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S7中,管理员实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员随时手工中断违规操作会话。
7.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S8中,对授权用户的操作会话实时监视,并在终端会话后生成审计报告。
8.如权利要求1所述的特权账号安全运维管控方法,其特征在于,在所述步骤S9中,设计查询功能,根据异常事件或一般事件条件进行组合查询,并对审计信息进行分析统计,其结果以报表或图形的方式进行展现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110203187.5A CN112818335A (zh) | 2021-02-23 | 2021-02-23 | 特权账号安全运维管控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110203187.5A CN112818335A (zh) | 2021-02-23 | 2021-02-23 | 特权账号安全运维管控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112818335A true CN112818335A (zh) | 2021-05-18 |
Family
ID=75865174
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110203187.5A Pending CN112818335A (zh) | 2021-02-23 | 2021-02-23 | 特权账号安全运维管控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112818335A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113347202A (zh) * | 2021-06-25 | 2021-09-03 | 南方电网科学研究院有限责任公司 | 一种集中账号管控平台的账号识别管理系统 |
CN113407931A (zh) * | 2021-06-29 | 2021-09-17 | 厦门新同事科技有限公司 | 一种密码管理方法、装置和输入终端 |
CN113792285A (zh) * | 2021-08-05 | 2021-12-14 | 广东核电合营有限公司 | 一种核电站业务权限控制方法、装置及终端设备 |
CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
CN116257266A (zh) * | 2022-11-22 | 2023-06-13 | 浙江御安信息技术有限公司 | 一种Linux系统主机自动化安全加固方法和设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130298186A1 (en) * | 2012-05-03 | 2013-11-07 | Sap Ag | System and Method for Policy Based Privileged User Access Management |
CN110516434A (zh) * | 2019-08-12 | 2019-11-29 | 广州海颐信息安全技术有限公司 | 特权账号扫描系统 |
CN110572279A (zh) * | 2019-08-20 | 2019-12-13 | 广州海颐信息安全技术有限公司 | 特权账号安全管理系统 |
CN111797382A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种特权账号的权限控制管理方法 |
CN112214772A (zh) * | 2020-09-16 | 2021-01-12 | 广州海颐信息安全技术有限公司 | 一种特权凭证集中管控与服务系统 |
-
2021
- 2021-02-23 CN CN202110203187.5A patent/CN112818335A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130298186A1 (en) * | 2012-05-03 | 2013-11-07 | Sap Ag | System and Method for Policy Based Privileged User Access Management |
CN110516434A (zh) * | 2019-08-12 | 2019-11-29 | 广州海颐信息安全技术有限公司 | 特权账号扫描系统 |
CN110572279A (zh) * | 2019-08-20 | 2019-12-13 | 广州海颐信息安全技术有限公司 | 特权账号安全管理系统 |
CN111797382A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种特权账号的权限控制管理方法 |
CN112214772A (zh) * | 2020-09-16 | 2021-01-12 | 广州海颐信息安全技术有限公司 | 一种特权凭证集中管控与服务系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113347202A (zh) * | 2021-06-25 | 2021-09-03 | 南方电网科学研究院有限责任公司 | 一种集中账号管控平台的账号识别管理系统 |
CN113407931A (zh) * | 2021-06-29 | 2021-09-17 | 厦门新同事科技有限公司 | 一种密码管理方法、装置和输入终端 |
CN113792285A (zh) * | 2021-08-05 | 2021-12-14 | 广东核电合营有限公司 | 一种核电站业务权限控制方法、装置及终端设备 |
CN113792285B (zh) * | 2021-08-05 | 2024-01-26 | 广东核电合营有限公司 | 一种核电站业务权限控制方法、装置及终端设备 |
CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
CN114500034B (zh) * | 2022-01-24 | 2023-01-31 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
CN116257266A (zh) * | 2022-11-22 | 2023-06-13 | 浙江御安信息技术有限公司 | 一种Linux系统主机自动化安全加固方法和设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105874767B (zh) | 检测来自在线服务的帐户的异常活动 | |
CN112818335A (zh) | 特权账号安全运维管控方法 | |
US11575736B2 (en) | System and method for providing data and application continuity in a computer system | |
US9049195B2 (en) | Cross-domain security for data vault | |
CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
US7814075B2 (en) | Dynamic auditing | |
US7831570B2 (en) | Mandatory access control label security | |
US7814076B2 (en) | Data vault | |
US7593942B2 (en) | Mandatory access control base | |
US8984651B1 (en) | Integrated physical security control system for computing resources | |
US10944759B2 (en) | Reducing risks associated with recertification of dormant accounts | |
CN103827878B (zh) | 自动化密码管理 | |
US10296182B2 (en) | Managed access graphical user interface | |
CN110875943A (zh) | 安全服务交付方法及相关装置 | |
CN106603488A (zh) | 一种基于电网统计数据搜索方法的安全系统 | |
US8561136B2 (en) | System to audit, monitor and control access to computers | |
Purba et al. | Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control | |
WO2002067173A1 (en) | A hierarchy model | |
JP2019087176A (ja) | 監視システム、監視方法、監視システム用プログラム | |
CN111651737A (zh) | 一种程序账号密码安全管理系统 | |
Blain et al. | Intrusion-tolerant security servers for Delta-4 | |
TWI470566B (zh) | 資訊安全單一帳號同步監控系統 | |
AU2002245006B2 (en) | A hierarchy model | |
Jahchan | Privileged User Management | |
Price | Access control systems and methodology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |