企业级密码管理系统又称PMS(Password Manager Software)服务器,PMS服务器是一款值得信赖的企业级密码管理解决方案,用于管理服务器、数据库、网络设备以及各种应用程序的密码,帮助IT管理人员集中存储密码信息、安全共享账号(尤其是特权账号)、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用,实现企业密码的安全管理和使用。
使用PMS服务器,你和你的同事可以在一个集中的、基于网络的账号密码存储库中控制访问企业的账号信息。同时PMS服务器提供用户以一种安全的方式访问控制密码及其它敏感数据。
PMS服务器在一个安全的环境存储、分发、变更和审计企业级的敏感数据。
典型案例
北京该科技公司是服务于数字技术有限公司是国内领先的移动数据业务运营服务提供商,为移动电信运营商提供包括产品、内容、营销、拓展和技术在内的专业服务。由该科技公司推出的电商平台部署在南京,由80多台服务器以及相关的软硬件设备组成。数十个企业内部和外部临时用户,600多个软、硬件系统账号形成了极其复杂的使用环境。给IT管理员、企业CIO对敏感信息的管理带来了极大的压力。
IT部门急需一款管理系统对所有的用户账号(尤其是特权账号)进行统一管理;对某些关键服务器、信息系统的账号进行安全加固;能共享某些系统的管理员账号但要求能够责任到人;根据企业密码策略定制安全密码(如:50个字符带有特殊符号的密码);对某些重点服务器能够进行访问审批控制;能够及时回收离岗、离职、外部人员的访问凭证;能够对用户的访问形成完整的审计报告。
1.1.2、解决方案
PMS为该企业的商务平台环境提供了完整的安全解决方案,主要设置如下:
1)WEB场的方式部署两台PMS应用,对PMS后台数据库进行镜像。确保了系统的持续可用性,以及灾难恢复能力。
2)使用PMS “发现”功能对域进行扫描,托管了域中服务器的本地和服务账号。
3)对PMS用户进行分组,如:管理员组、数据库管理员组、外包人员组、临时用户组、等等。针对每个组设置访问权限。
4)对托管的账号根据服务器资产的重要程度进行分组,如:普通服务器、数据库服务器、重点数据库服务器、高风险服务器、等等。
5)将特权账号共享给使用用户并设置相应的访问权限。
6)对重要的服务器(如:高风险服务器)设置高强度密码策略(如:50个长度、带有特殊字符的密码)并进行密码更换。
7)对高风险的服务器的管理员账号设置30天过期及过期后自动修改密码功能。
8)对重要的服务器的特权账号进行双锁设置对安全进行加固,启用签入/签出功能使用户已独占的方式访问服务器,并开启对话记录对特权账户的访问过程进行全程监控。
9)对高风险服务器启用访问审批功能,对此类服务器的访问必须经过两人以上的管理人员审批。
10)设置并订阅报表,对用户和账号进行审计。如:外部人员具有的访问权限;离岗、离职人员的账号使用情况;每个用户具有什么样的权限;等等。
PMS集中管控了电商环境的账号信息,尤其对一些重点服务器进行了安全加固。共享账号功能为一些特权账号的共享提供了现实的解决方法。审计功能使得对企业重要IT系统的访问提供了安全保障,符合了等级保护对电商平台的基本要求,实现了责任到人。强大的报表功能使得企业的IT管理人员以及CIO能够及时获得第一手企业IT资产的人员及运维资料。PMS的实施为企业IT部门对资产管理节约了大量的时间成本,节省了部门费用。
该企业是一家拥有数十亿美元规模的电信技术领先厂商, 它提供端到端的电信解决方案和高质量的服务, 产品覆盖固定、移动网络、宽带接入、智能光网络、多媒体解决方案和网络应用。它拥有一个国际级研发中心,可全面进入企业全球技术库, 开发应用于中国和出口到全球客户的原创技术。
位于上海的研发中心目前有500多位外包技术人员使用中心内部的50多台Linux服务器进行日常开发。外包人员通过两种途径访问中心服务器1)通过Nis(Network Information Service)账号远程访问Linux服务器;2)使用VNC远程控制服务器。此外外包人员还需要使用FTP来传输文件。研发中心的服务器存放了大量的企业敏感信息,上海该企业实验室急需一种方案对所有外包用户的权限进行控制,并对其行为进行审计,而且还需要通过一种途径考核这些外包技术人员的业绩。
5.2.2、解决方案
PMS提供的账号管理、跟踪、审计的功能非常好的满足了研发中心的需求。
1)通过两台WEB服务器部署PMS应用场,将PIM数据库部署成簇环境,保证PMS应用的可持续性。
2)托管所有外包技术人员的Nis账号并改密,确保外包人员只能通过PMS访问后台服务器。
3)为用户定制VNC启动器,托管并更改所有VNC访问密码使得外包人员只能通过PMS提供的VNC启动器远程访问后台服务器,对用户行为进行日志。
4)为用户定制SFTP启动器,使得外包人员必须通过PMS访问FTP,进行文件传输动作。
5)通过PMS共享功能,共享管理员账号。
6)为所有服务器的访问打开对话记录功能,对外包人员的访问进行全程监控。
7)对高危服务器设置双锁功能,并启用访问审批流程。
8)对研究室SQL Server、Oracle数据库的管理员账号进行托管,并开启对话记录功能。
9)为临时人员的访问开启双因素认证功能。
10)为客户定制多种报表对外包人员的业绩进行考核,如:外包技术人员账号的使用频率、技术人员使用服务器的对话时长、外包人员每日工作时间段趋势图、等等。
PMS系统的使用完全解决了上海该企业研发中心的难题,实现了1)服务器、数据库账号托管,确保密码不外泄;2)为内部资料提供了安全保障;3)全程审计外包技术人员的使用过程;4)通过报表对人员的工作进行考核;5)解放了IT管理人员的工作;6)为研发中心节约了管理经费。通过一年多的实际使用PIM系统已经获得了上海贝尔阿尔卡特管理层的一致认可。
针对江苏省2014年度对于教育部门信息系统等级保护的要求,以及苏州市教育局颁发的“教育系统信息资产管理办法”规定,某教育局需要对局内30多台服务器及重要信息系统的数据库账号进行安全管理、定期对用户和账号进行审计。
1.3.2、解决方案
PMS为该教育局IT环境提供了完整的安全解决方案,主要设置如下:
1)对PMS用户进行分组,如:管理员组、数据库管理员组、临时用户组、等等。针对每个组设置访问权限。
2)针对重点服务器设置了长度为25及特殊字符的密码策略。
3)重点服务器进行安全加固,如:双锁、访问审批流程、等。
4)托管了所有信息系统后台数据库的管理账号(如:sa)。并对高危数据库访问开启了对话记录功能。
5)对PMS所有临时用户组的账号开启了双因素认证。
6)使用IP范围限制,设置了用户只能在指定的网络内访问PMS。
7)通过PMS发布重要信息系统。
8)定制报表,定期对特权账号进行行为审计。
PMS服务器为该教育局提供了集中安全的密码管理环境。并对敏感信息的使用进行了访问控制。审计贯穿IT资源(如:服务器、数据库、网络设备和应用程序)使用的各个方面,通过PMS服务器能够确切地知道谁有权访问信息以及什么时候使用了这些信息。为该教育局的IT部门建立了密码管理“最佳实践”,并满足了对相关政策的合规要求。