某某信息中心

管理现状：

目前有40个基于web的业务系统需要集中管理，实现单点登录，无密码登录，缩小暴露面，满足操作审计的管理要求。

但是由于一部分系统的原开发商服务到期，无法联系或无源代码提供，不能通过开发业务系统适配接口和协议，满足这些系统的单点登录和无密码登录的业务要求。

传统的IAM开发适配实现单点登录需要的人天以人年计算，周期长，风险高，容易出现系统接口协议不能适配，无法对接的情况。

技术方案：

通过PAM平台，实现密码自动代填，仅用一周时间，就实施完成了所有 40个业务系统的无密码集中登录，任何人员无需记忆和输入密码即可安全访问业务系统。

从而实现缩小暴露面，集中登录，集中审计，集中身份验证，集中授权的业务系统单点登录集中管理的安全管理要求。

技术优势：

无需开发即可实现各种基于 web 的业务系统单点登录，集中管理，无需记忆密码即可登录访问，提升了远程接入的整体安全性，满足了操作审计的合规要求。

某某广东产业互联网

项目需求：

建立一套特权账号管理系统，补充完善堡垒机纳管范围不足的局限性，当前堡垒机不能实现系统的定期改密，无法满足等保合规要求，同时对部分联通自研应用的管理员控制台纳管无法满足要求。

具体技术要求如下：

1.规范账号口令权限的安全使用；

2.消除弱口令，共享账号口令的安全隐患；

3.降低滥用、越权使用账号口令带来的风险；

4.消除终端接入侧数据交换的安全风险；

5.建立完善的特权账号密码轮换机制；

6.建立国密数字密码保险库存放关键数据;

7.建设特权账号管理的高可用或灾备能力，建立完善的账号口令备份机制；

8.针对各类资源的特权账号密码，PAM采用多重加密（对称和非对称加密算法） 的方式存储于密码保险库中，用户可以异地加密方式对密码进行多路径多副本的数据备份，保证数据的完整性和可用性，支持SM国密算法，进一步提高账号密码存储安全和数据的机密性；

9.安全管理员可以根据审计合规要求制定密码策略，包括密码修改、密码验证、重置，以及历史密码回退等功能，以满足用户对账号密码管理的安全要求；

10.建立账号口令安全管控机制，覆盖账号生成、属性变更、账号存储、账号使用、口令轮换、账号注销等账号全生命周期的各个环节，建立和完善一套完整的账号口令合规基线。

项目技术价值：

本系统提供给联通一个“统一的，集中的，安全的”安全运维管理解决方案。完全满足信息安全部门对“特权账号生命周期管理”的理解和需求，而且关键组件的主备，灾难恢复， 高可用部署，可以确保特权账号管理是一个真正“企业级应用”解决方案。