某某信息中心
管理现状:
目前有40个基于web的业务系统需要集中管理,实现单点登录,无密码登录,缩小暴露面,满足操作审计的管理要求。
但是由于一部分系统的原开发商服务到期,无法联系或无源代码提供,不能通过开发业务系统适配接口和协议,满足这些系统的单点登录和无密码登录的业务要求。
传统的IAM开发适配实现单点登录需要的人天以人年计算,周期长,风险高,容易出现系统接口协议不能适配,无法对接的情况。
技术方案:
通过PAM平台,实现密码自动代填,仅用一周时间,就实施完成了所有 40个业务系统的无密码集中登录,任何人员无需记忆和输入密码即可安全访问业务系统。
从而实现缩小暴露面,集中登录,集中审计,集中身份验证,集中授权的业务系统单点登录集中管理的安全管理要求。
技术优势:
无需开发即可实现各种基于 web 的业务系统单点登录,集中管理,无需记忆密码即可登录访问,提升了远程接入的整体安全性,满足了操作审计的合规要求。
某某广东产业互联网
项目需求:
建立一套特权账号管理系统,补充完善堡垒机纳管范围不足的局限性,当前堡垒机不能实现系统的定期改密,无法满足等保合规要求,同时对部分联通自研应用的管理员控制台纳管无法满足要求。
具体技术要求如下:
1.规范账号口令权限的安全使用;
2.消除弱口令,共享账号口令的安全隐患;
3.降低滥用、越权使用账号口令带来的风险;
4.消除终端接入侧数据交换的安全风险;
5.建立完善的特权账号密码轮换机制;
6.建立国密数字密码保险库存放关键数据;
7.建设特权账号管理的高可用或灾备能力,建立完善的账号口令备份机制;
8.针对各类资源的特权账号密码,PAM采用多重加密(对称和非对称加密算法) 的方式存储于密码保险库中,用户可以异地加密方式对密码进行多路径多副本的数据备份,保证数据的完整性和可用性,支持SM国密算法,进一步提高账号密码存储安全和数据的机密性;
9.安全管理员可以根据审计合规要求制定密码策略,包括密码修改、密码验证、重置,以及历史密码回退等功能,以满足用户对账号密码管理的安全要求;
10.建立账号口令安全管控机制,覆盖账号生成、属性变更、账号存储、账号使用、口令轮换、账号注销等账号全生命周期的各个环节,建立和完善一套完整的账号口令合规基线。
项目技术价值:
本系统提供给联通一个“统一的,集中的,安全的”安全运维管理解决方案。完全满足信息安全部门对“特权账号生命周期管理”的理解和需求,而且关键组件的主备,灾难恢复, 高可用部署,可以确保特权账号管理是一个真正“企业级应用”解决方案。