某某铁路局

管理现状：    

·密码还是属于人工管理，以文件形式记录在电脑上，存在泄露风险。 

·密码缺少统一管理，运维人员（内部与外包人员）均掌握大量的账号密码，且经常出现 密码不同步现象。

·很多系统的密码设置都会采用相同密码，且存在弱口令现象。

·密码缺乏校验机制，可用性没有安全保障。

·密码长度，复杂度，变更周期未能完全满足相关安全等保要求，每年均被提出整改意见。

·大部分账号没有推行最小权限原则，root 或者管理员权限被大量发放，并且是在没有规范管理和审计的情况下。 

·部分特权账号被多人共享，而这些共享的人员往往并非是应该获得该账号完全权限的人 员（包含外包人员）。

·由于第三方外包运维人员更换较为频繁，许多运维管理账号的交接无法有效管控，账号 密码存在未能及时修改更换的风险，账号密码可能被离开的第三方人员记忆，保存，使用。 

部署范围：

特权账号管理系统为其数据中心内网提供安全运维保障。 

部署方式：

物理旁路部署，使用特权账号管理系统实现目前所有被纳管对象的特权账号密码登录代填，密码定期自动化更新、单点登录及集中审计等运维安全管理。

PAM系统全面纳管总局数据中心全部重要系统的特权账号密码管理（包括堡垒机无法纳管的存储交换机，DB2数据库，AIX小机系统及各种基于WEB访问的网络设备，安全设备），提供给总局一个“统一的，集中的，安全的”特权账号密码管理解决方案。

完全满足信息安全部门对“特权账号生命周期管理”的理解和需求，而且关键组件的主备，灾难恢复，高可用部署，可以确保总局的特权账号管理是一个真正“企业级应用”解决方案。