密码自动化管理让您的企业密码管理符合行业标准

      如何通过工具使得企业的密码账号尤其是特权账号管理符合国家、行业标准？天锐企业级密码管理系统可以帮助你回答该问题，2022/3/31号天锐企业级密码管理系统新版本上线了，该版本完善并细化了报表功能。

      企业级密码管理系统又称PMS（Password Manager Software）服务器，PMS服务器是一款值得信赖的企业级密码管理解决方案，用于管理服务器、数据库、网络设备以及各种应用程序的密码，帮助IT管理人员集中存储密码信息、安全共享账号（尤其是特权账号）、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用，实现企业密码的安全管理和使用。使用PMS服务器，你和你的同事可以在一个集中的、基于网络的账号密码存储库中控制访问企业的账号信息。同时PMS服务器提供用户以一种安全的方式访问控制密码及其它敏感数据。

      PMS服务器在一个安全的环境存储、分发、变更和审计企业级的敏感数据。

相关安全规范

1.1、信息系统安全等级保护

挑战

信息系统安全等级保护对企业IT资产管理、使用IT资产的人员管理、操作规范以及审计报告进行了严格的规定。使企业达到信息系统安全等级保护的要求是一项极具挑战的工作。因此为企业内部建设一个安全的软、硬件环境尤其重要，这个环境是指：网络、操作系统、数据库、服务器、防火墙和路由器等等。还应包括不同类型用户对这些资源的使用的监管及审计。 

从IT安全上来讲，实施信息系统安全等级保护的组织应该具有的安全机制包括：

1. 访问控制。

2. 标识与鉴别。

3. 数据完整性。

4. 数据保密性。

5. 可用性。

6. 不可否认性。

7. 审计。

8. 加密。

9. 安全保障机制。 

PIM管理系统能提供什么帮助？

²  基于角色的权限控制用来管理企业密码和其它敏感信息。

²  使用AES 256加密技术安全集中存储企业密码和敏感数据。

²  根据等级保护对人员管理的规章制度，在PMS中可以根据企业业务需要对用户进行分类（如：外部客户、临时用户），并设置用户对IT资产的访问权限及过期时间。

²  密码共享功能，你可以将特权账号共享给其它用户，结合PMS的访问控制实现完全责任到人。

²  结合账号过期密码自动更改功能，最大限度保护企业敏感数据，对用户账号管理流程进行了完全自动化的控制。

²  重要资源的访问审批流程，使得企业的资源访问符合等级保护的规范。

²  应用程序发布，让PMS托管你的重要信息系统。

²  数据库访问监控，PMS可以对数据库访问进行完全监控。

²  如果密码被擅自更改，完整的审计、报告以及心跳检测技术使得管理人员能够轻松的知道谁访问、访问了什么、什么时候访问了这些信息。

²  管理控制，事件订阅包括邮件通知技术。使得IT管理员、CIO以及企业管理层及时获知IT资产运行及维护的状态。

²  签入\签出功能，它允许用户已独占的方式访问特定的账户，并且能够在访问结束（签入账号）时自动更改密码凭证。

²  PIM使用独特的双锁技术保护高度机密的信息。

²  SIEM和RSA集成。

²  远程访问，直接从PMS发起对远程设备的连接（支持RDP、SSH及Telnet协议）使得工作流程更加简单。

²  对话记录能够精确的记录用户远程访问信息系统和特权账号的所作所为。

²  对话监控，让你可以随时终端非法对话。

²  详细的报表让你获知任何你想要了解的信息，如：特权用户的实际分配权限是否与特权用户清单符合；离职人员的权限清单及指定范围内有没有访问敏感信息；等等；

²  报表支持完全自定义。

²  报表计划让你可以定期获取审计报告（用户审计、账号审计、等）。

²  应用程序及数据库完全备份、以及数据库镜像，使得灾难恢复具有保障。

²  PMS可以实现应用程序簇、数据库簇部署，系统持续性得以保障。

²  PMS API使得你可以消除外部（如：配置文件）的密码信息，降低了泄密风险。

      以及更多其它功能 …..

1.2、企业内部控制基本规范

2010年，财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号——信息系统》中第十二条明确要求“企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。”

 PMS服务器是一个基于网络的密码管理工具来帮助组织达到企业内部控制合规。除了帮助企业建立安全的敏感数据存储库，PMS服务器允许用户对敏感信息进行共享及访问控制，PMS强大的报表功能能够让企业及时获取用户以及用户对IT资产访问权限的信息，定期进行用户审计和账号审计。通过使用PMS服务器，企业内部控制基本规范是可以实现的。

1.3、支付卡行业数据安全标准（PCI DSS）

挑战和解决方案

      使用PMS管理软件可以实现三个 PCI DSS的主要规则，PCI DSS要求公司：

      1）建立并维护一个安全的网络环境。

      2）不使用任何设备供应商提供的密码。

      3）能够追踪和监控所有对网络资源的访问以及持卡人的数据。

      保护持卡人信息是 PCI DSS合规的基础。如果你的组织存储持卡人信息，就必须对与这些与持卡人信息进行交互的应用程序所涉及的数据库、服务器和服务账户使用严格的密码管理准则。正确符合 PCI DSS对密码的要求，如：密码长度、复杂度以及定期变更密码。使用 PMS服务器，可以自动创建大型的、复杂的密码（如：随机二百个字符的密码），并且可以在指定的时间表自动变更密码。并且PMS对密码的访问进行完全的访问控制和审计。 

      监控和维护全面的审计记录对 PCI DSS合规尤其重要，对记录彻底的审计使得组织能够验证安全需求是否达到了要求。PMS服务器可以提供详细的审计信息以及支持完全自定义的报表工具，组织可以通过PMS得到一个彻底的快照，如：谁正在访问敏感信息？在什么地方访问？什么时候？为什么？从PIM发起的对话甚至可以进行视频记录，对对话进行回放可以显示每一个发生在对话中的动作。

PCI DSS与 PMS 对照表

.4、萨班斯法案（SOX）

挑战

实现SOX合规对许多上市公司来说是一个相当大的挑战。没有标准的答案（最佳实践）来指导组织达到合规，每年企业将花费大量的成本用来尝试符合SOX合规。唯一存在的指导原则是SOX规则要求信息应该透明、防篡改、完全审计和具有详细的操作日志。那么问题是：企业如何才能达到SOX的要求？

SOX法案定义了企业高管的责任，如：CEO、CFO,和CIS / CISOs等等。SOX法包含这样一项规定，即要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制。这些企业的高管通常将责任分配给员工来完成SOX审计的需求，通常管理员级别的员工将真正进行内部控制，如：访问和存储敏感信息、财务文件及基础设施的密码。为SOX审计收集正确的信息可能需要花费几周甚至几个月的时间，并在多部门之间产生许多成本。 

      SOX合规中具体的与IT相关职责包括，需要:

ü  集中并安全存储所以类型的敏感信息（加密）。

ü  对用户访问组织内部的信息给出详细的报告。

ü  对拥有特权账号的用户活动进行详细的报告。

ü  防篡改审计日志。

ü  访问限制/所有者特权/共享（基于认证&权限）。

ü  详细的访问日志，强调活动的执行过程。

ü  定期变更密码以及定期产生报表。

ü  提供访问特权信息和系统功能的双重控制。

ü  创建自定义报告。

ü  提醒/通知安全漏洞检测。

n  Access / change in access

n  用户角色的变化/敏感信息/特权

n  密码过期

n  登录/注销/失败的登录尝试

ü  灾难恢复的规定。

ü  连续/高可用性。

解决方案

      PMS服务器是一个基于网络的密码管理工具来帮助组织达到SOX合规。除了安全的敏感数据存储库，PMS服务器允许用户对敏感信息进行访问控制，对各种企业IT资源的访问密码进行自动更改，如：服务器、数据库、网络设备和应用程序。审计贯穿应用程序使用的各个方面，PMS服务器使组织能够确切地知道谁有权访问信息以及什么时候使用了这些信息。通过建立密码管理“最佳实践”以及优化使用PMS服务器，SOX合规是可以实现的。