某某理工大学
项目需求:
特权账号管理需满足IT运维安全稳定运行的管理目标。集中管理各种运维应用软件,集中管理各个运维子系统(B/S,C/S)集中管理账号口令权限,集中巡检和操作审计。支持单点登录和多因素身份验证,支持账号口令自动化更新支持国密的加密传输和加密存储,满足合规审计的要求。
纳管范围:
要求支持纳管的资产类型应包括不限于Linux、Windows、Unix、DB2、Oracle、MSSQL、Mysql、达梦数据库、人大金仓数据库、神州通用数据库、postgresql、samba、AD 域控、weblogic 控制台、websphere控制台、Cisco、Huawei、中兴、紫光、H3C网络设备 ;大华、海康摄像头设备、华为云、阿里云、腾讯云控制台;
管理痛点及难点:
1.无法实现运维应用系统(众多品牌的安全产品)Web方式访问用户和密码定时修改;当前的堡垒机不具备基于web方式的密码自动代填和改密能力。
2.无法实现基于 chrome、IE、Navicat、PLSQL等第三方运维工具集中管理和发布;当前的堡垒机无法实现这些运维工具的自助式应用发布,集中管理。
3.安全厂商自身防御, 准入系统、入侵检测系统、上网行为管理系统 web 访问方式无法实现用户和密码代填,集中改密也只能针对部分应用;当前的堡垒机无集中管理这些安全厂商系统的能力;
4.部分运维人员存在使用绿色版本第三方运维客户端的情况、这些运维工具软件是木马、病毒主要温床,易成为黑客攻击的跳板,这也是为什么在内网严格隔离网络环境中,数据也会中勒索病毒的原因之一;需集中管控运维工具软件,确保运维工具软件安全可信。当前的堡垒机无法实现这些运维软件的集中应用发布和安全管控。
解决方案:
建立一个真正的100%覆盖全校区网络和信息系统的统一运维账号合规管理门户(“无盲区和盲点“),集中管理、控制和记录全校区网络和信息系统运维用户授权,实现运维操作前有授权、后有审计,实现密码策略执行自动化、结果可视化,提升整体安全性的同 时,满足等保合规的安全要求。实现全校区“无盲区、无盲点 ”的资产纳管全覆盖。
该平台具有如下特点:
1.对于运维接入终端进行零信任准入控制;
2.多因素动态口令加强身份验证
3.运维人员接入数据中心后,控制数据交换双向通道权限,降低来自接入运维终端的安全隐患;
4.对运维人员访问控制进行流程审批,精细化管理运维人员权限。
5.全校区IT资源和应用统一准入管理(B/S,C/S 均无限制条件)、动态鉴权和最小化权限管理、密码保险库、智能运维和自动化改密、统一操作审计等。
6.传输和存储均采用国密算法,满足国密合规需求。
技术优势:
1、基于web的管理员控制台的密码自动代填。
2、基于web的管理员控制台的密码自动改密。
3、双网隔离实现终端侧与数据中心侧的数据通道的安全隔离。
4、集中工具软件应用发布实现终端工具软件的安全合规。
5、集中纳管所有类型应用系统无需开发,实现单点登录,统一运维。
6、实现视频监控系统(海康威视、大华威视)的账号密码权限合规,实现一机一密,自动改密。
某某农业大学
项目需求:
1、目前已经有了堡垒机,满足了等保要求,但是使用起来有诸多不完善的地方,存在以下安全问题亟需解决:
基于web的诸多安全设备也需要操作审计,目前这些设备的操作审计属于管理“盲区”,审计记录不完整。
历年HW,攻防演练结果已经证明,这些安全设备自身存在web漏洞无法消除。
这些安全设备账号口令没有管用分离,浏览器自动保存口令,口令分散保存,易泄露,
弱口令、共享口令普遍存在,出现问题以后,责任主体不清,难追责。
账号口令难以做到定期自动更新。
2、与此同时,堡垒机需要运维人员多次输入口令,使用过程中需要安装各种浏览器插件,有时候存在兼容性问题,影响工作连续性,运维效率低。
3、校内很多信息化系统的管理员控制台多人共享口令,易泄露,需要上收口令,实现管理员口令的管用分离,加强精细化访问控制和权限管理,重要系统增加流程审批,完整的操作审计便于追溯。
项目实施:
建立一套完整统一的信息化运维操作门户,搭建了特权账号管理系统PAM,PAM能实现各种基于web安全设备及其他系统的集中密码代填和纳管,安全加固web系统和平台,定期自动更新口令,操作有审计,身份有验证,权限有控制,审批有流程,口令无须记,数据有隔离,口令定期改,高效且安全。
PAM与现有堡垒机共存的管理模式,在高校行业是首创,可以很好地弥补堡垒机的安全运维短板,提升运维效率,增强信息化系统整体安全性,满足等保合规的要求。
未来规划:“所有的鸡蛋不能放在一个筐子里 ”,密码是重要运维核心资产,PAM 是集中存储密码的保险柜,需要分隔离域,分区部署,降低整体安全风险。拟增加 PAM 设备数量,划分隔离域,降低校园网整体安全风险,计划将网络设备,安全设备,云平台,存储系统,数据库云平台通过防火墙设立隔离域,每个隔离域分别部署一套PAM 系统,作为各个区域的运维统一入口,密码可用不可见,消除外部接入和数据交换带来的安全隐患,增强信息化系统整体安全防护能力。
附项目截图示例: