產生背景
PIM伺服器在一個安全的環境存儲、分發、變更和審計企業級的敏感數據。
傳統密碼管理手段的弊端:
•密碼存儲不安全,存在安全漏洞
•無法控制超級用戶許可權
•缺乏許可權級別控制機制
•無法追蹤密碼的使用歷史
•無法實施標準的密碼管理策略
•分散粗放的管理方式
PIM伺服器為存儲、管理和共享密碼提供一個安全的系統平台,能夠有效解決以上問題,保障企業IT設施的密碼安全。
主要功能
•管理和組織 Manage and Organize
創建、分享和管理企業敏感數據。使用嵌套的目錄結構組織敏感數據,可在任何層級上指定用戶許可權,跟蹤敏感數據的使用情況形成完整的審計報告。提供一個功能強大的面板簡化用戶操作。
•實時賬號管理 Real-time Management
賬號密碼被更改的時候實時通知你的IT團隊,用戶可以根據實際網路環境定製密碼更改時間表。你也可以定製通知、警報,當管理員更新密碼時,用戶將立即得到提示,相關憑證也將自動及時更新。
•集成 Integration
PIM能實現與活動目錄集成,並提供其它集成選項。支持RDP與PuTTY啟動器,提供iPhone、Android和WP移動平台實現對企業賬號的管理,Firefox擴展,CRM綜合,Cisco設備管理,同時用戶可以從其它應用程式導入賬號信息。
•合規Compliance
PIM非常重視合規性管理,使用PIM賬號管理平台可以幫助企業符合“信息系統安全等級保護”、“SOX”、“PCI DSS”等法律法規、行業標準對企業密碼管理的要求。
•安全 Secure
PIM使用多項頂級安全特性來實現企業敏感數據的安全。包括:AES 256加密算法對私密信息的完全加密,雙因素認證,長度超過100個字元的複雜密碼,以及更多其它安全特性。另外,PIM還使用獨特的“雙鎖”功能來加固敏感數據的安全。
•災難恢復 Disaster Recovery
如何抵禦災難?不用擔心,PIM支持自動的應用程式目錄和資料庫備份,同時你可以使用SQL資料庫鏡像來實時備份存儲的所有數據。在緊急情況下,你可以“Break The Glass”。
PIM功能介紹
PIM系統功能是根據IT用戶的反饋和要求開發——所以他們最實用的:
集中保存密碼 | 企業多會有各種IT密碼,必須妥善保管,以防密碼泄露。PIM採用AES256或SHA-512高強度的加密算法對企業敏感數據進行加密,集中存儲,構建企業的密碼保險柜。 |
特權賬號管理 | 可以管理Windows系統中的Windows系統的Administrator、Unix/Linux的root、Cisco設備的enable、SQL的sa、Oracle的sys、MySql的root等管理員密碼。 |
預裝多種密碼管理模板 | PIM預裝32種模板來配置密碼等敏感信息,除常見的企業中各種硬體設備、軟體系統的用戶賬號外,模板甚至包括:銀行賬戶、信用卡號碼、檔案附屬檔案等。 |
自定義密碼管理模板 | 用戶可以自定義模板來滿足企業不同類型敏感數據的需求,密鑰模組支持完全自定義,包括:自動密碼更改、啟動遠程對話、密碼生成和檔案附屬檔案等高級屬性。 |
套用到套用的密碼管理 | 任何套用或腳本可以通過PIM提供的應用程式接口獲取密碼,連線到其它應用程式或資料庫。 |
集成AD/LDAP | 目前大多數的公司都使用活動目錄(Active Directory)標準來管理IT資產,如:伺服器、工作站、印表機和用戶等。密鑰伺服器(PIM)的活動目錄集成功的提供了同步活動目錄用戶和組的信息並支持活動目錄身份驗證,可以基於AD用戶和AD組來設定特權賬號的訪問許可權。 |
發現 | 發現功能允許PIM伺服器查詢活動目錄(AD)來掃描域(Domain)里的所有設備。PIM可以將賬號映射到所有偵測到的設備上。這個功能也可以非常容易地找到那些還沒有被PIM託管的設備上的賬號。 |
管理服務賬號 | 服務賬號(Service Accounts)是網路中比較容易受攻擊的一種賬號,該種類型賬號的密碼一般不會改變,而且被很多人知道,甚至是普通員工。PIM的發現功能可以掃描你的網路,並定位服務賬號在什麼地方被使用。如:Windows services、 Windows Scheduled Tasks、 configuration files (.config, .ini, etc.)、COM+ Applications、IIS App Pools 。當服務賬號被修改時,使用此賬號的服務也將自動更新憑證。 |
密碼所有權與共享 | 密鑰可以在用戶組和指定的用戶間共享,解決了企業賬號被多個人員使用無法進行問責的難題。共享可以在查看密鑰的頁面進行配置。 |
基於角色的訪問控制 | 基於角色的訪問控制可以確保對敏感信息訪問基於嚴格的粒度。使得很容易將職責分配給第三方,如諮詢人員、審計人員、外包人員、等等。PIM伺服器默認包含三種角色:Administrator、User、Read only User。每個角色包含不同的訪問許可權。每個PIM用戶/組可以綁定一個或多個角色。 |
密碼訪問流程控制 | 提供批准機制、時間限制、並發控制等全面的流程。 |
賬號過期檢測 | 任何一個被PIM託管的賬號都可以通過模板設定過期間隔以及指定賬號到期後哪個欄位需要進行修改。比如:Active Directory類型的賬號,密碼欄位設定為每90天到期。如果90天后密碼沒有進行修改,賬號狀態將顯示為過期。 |
心跳測試 | 心跳測試功能使得通過你公司的網路實時監控憑證成為可能。PIM可以每隔一段時間自動測試一個賬號(憑證)的有效性,並通知管理員是否憑證在PIM平台的外部被修改。心跳測試也會在管理員修改賬號密碼時通知賬號的所有者。 |
遠程改密 | 遠程改密與賬號過期功能密切相關,賬號過期後結合遠程密碼修改功能,PIM自動生成賬號密碼,並自動完成遠程改密的過程。目前支持目前市面上大多數IT系統的改密。 |
密碼歷史跟蹤 | PIM能夠跟蹤密碼的歷史記錄。並且如果需要PIM能夠為所有的賬號欄位保留歷史信息。這個功能在你恢復計算機系統的時候,非常有幫助。 |
自動登錄到目標系統、網站 | 直接從PIM界面自動登錄到目標系統、網站和套用,無需複製和貼上密碼。 |
遠程登錄 | 用戶可以不通過外掛程式或代理軟體,從瀏覽器安全發起Windows RDP、SSH以及Telnet。 |
實時通知敏感數據修改通知 | 你可以選擇敏感數據被修改時傳送郵件通知,如密碼的修改,更改共享許可權,密碼過期,多次失敗登錄等事件。 |
獨占模式訪問賬號 | 當賬號被簽出的時候,PIM賦予用戶獨占訪問該賬號的功能。用戶也可以設定賬號簽入的時候自動更新密碼,也稱作“一次性密碼”。當賬號被簽入的時候,將自動生成隨機密碼並將該密碼更新到遠程設備上。 |
IP位址限制 | 控制用戶訪問PIM伺服器的場所——配置IP位址的範圍。這允許你限制用戶對PIM伺服器的訪問,而不需要通過VPN等其它技術來實現。 |
會話錄屏 | 錄製密碼使用的過程,包括整個操作會話,便於日後的審計管理。 |
全面的審計報告 | PIM審計報告包括用戶審計報告、賬號審計報告。 1)用戶審計報告:用戶審計報告可以使你輕鬆的評估賬號的脆弱性,特別是當雇員離職以後;當發現賬號訪問漏洞的時候,你可以通過PIM立即終止所以的訪問許可;用戶審計報告符合企業內部和外部的信息安全的合規要求。 2)賬號審計報告:賬號審計報告關注特定的賬號,用戶通過監控賬號的訪問情況來保護企業的敏感信息。 |
報告計畫 | 使用報表的“心跳檢測”選項,通過郵件通知形式的報表將只傳送有內容的報表檔案。這個非常有用的選項可以用來定製一些特殊的事件——如:傳送郵件報告哪些用戶一天瀏覽超過50個敏感數據,沒有達到這個數字的報表將不被傳送。 |
雙因素身份認證 | PIM伺服器允許管理員指定需要雙因素認證的用戶,並這些用戶登錄PMP系統需要兩級認證。第一級認證是通常的本地認證或AD/LDAP認證,第二級認證有多種選項。 |
集成RADIUS認證 | 集成RADIUS,提供PIM用戶一種更健壯的、安全級別更高的身份認證。很多行業(特別是外企)要求應用程式登錄過程使用RADIUS身份認證。 |
雙鎖認證 | 雙鎖提供了一個額外的密鑰來加密數據,並為每位用戶設定了一個額外的密碼。私鑰、公鑰加密技術使你可以安全地在用戶之間共享訪問使用雙鎖的數據。 |
高安全、可用性框架 | Web伺服器集群是指同時部署多台伺服器來運行PIM系統,集群提供了負載均衡和高可用性。在災難恢復場景中,Web伺服器集群的關鍵作用是可以自動轉移請求到沒有發生故障的伺服器上,確保沒有停機時間(NO downtime)。此外,負載均衡技術通過多個伺服器同時處理請求的能力也提高了PIM的性能。 |
PowerShell集成 | 管理員上傳自定義的PowerShell腳本功能,為PIM依賴關係及簽入/簽出提供了極大的靈活性。 |
自動備份 | 密鑰伺服器支持整站(應用程式目錄,可選)和資料庫備份,管理員可以為備份設定一個計畫任務。當自動備份失敗時PIM將傳送給管理員一封通知郵件。 |
不受限的管理模式 | 在緊急情況下允許管理員訪問所有的PIM伺服器中的敏感數據(不管是否對這些敏感數據具有訪問許可權)。系統對不受限的管理模式進行審計,當該功能被訪問的時候通過事件訂閱可以自動發出郵件通知告警。 |
等級保護合規 | PIM伺服器,作為企業級的密碼管理工具能夠幫助你的企業達到合規要求,如:信息系統安全等級保護、SOX、PCI DSS、FIPS 140等規範。 |
版本更新
2011第一個版本發布 1.0.1
2012發布版本2.0.1
2013發布版本3.0.1,此版本支持對基於UNIX系統設備訪問的命令行審計
同年發布版本3.0.3,支持對服務賬號的掃描
2014發布版本3.2.0,實現對AD域和LADP的集成
目前版本8.2.5
相關安全規範
1、信息系統安全等級保護
挑戰
信息系統安全等級保護對企業IT資產管理、使用IT資產的人員管理、操作規範以及審計報告進行了嚴格的規定。使企業達到信息系統安全等級保護的要求是一項極具挑戰的工作。因此為企業內部建設一個安全的軟、硬體環境尤其重要,這個環境是指:網路、作業系統、資料庫、伺服器、防火牆和路由器等等。還應包括不同類型用戶對這些資源的使用的監管及審計。
從IT安全上來講,實施信息系統安全等級保護的組織應該具有的安全機制包括:
1. 訪問控制。
2. 標識與鑑別。
3. 數據完整性。
4. 數據保密性。
5. 可用性。
6. 不可否認性。
7. 審計。
8. 加密。
9. 安全保障機制。
3PIM 管理系統能提供什麼幫助?
•基於角色的許可權控制用來管理企業密碼和其它敏感信息。
•使用AES 256加密技術安全集中存儲企業密碼和敏感數據。
•根據等級保護對人員管理的規章制度,在PIM中可以根據企業業務需要對用戶進行分類(如:外部客戶、臨時用戶),並設定用戶對IT資產的訪問許可權及過期時間。
•密碼共享功能,你可以將特權賬號共享給其它用戶,結合PIM的訪問控制實現完全責任到人。
•結合賬號過期密碼自動更改功能,最大限度保護企業敏感數據,對用戶賬號管理流程進行了完全自動化的控制。
•重要資源的訪問審批流程,使得企業的資源訪問符合等級保護的規範。
•應用程式發布,讓PIM託管你的重要信息系統。
•資料庫訪問監控,PIM可以對資料庫訪問進行完全監控。
•如果密碼被擅自更改,完整的審計、報告以及心跳檢測技術使得管理人員能夠輕鬆的知道誰訪問、訪問了什麼、什麼時候訪問了這些信息。
•管理控制,事件訂閱包括郵件通知技術。使得IT管理員、CIO以及企業管理層及時獲知IT資產運行及維護的狀態。
•簽入\簽出功能,它允許用戶已獨占的方式訪問特定的賬戶,並且能夠在訪問結束(簽入賬號)時自動更改密碼憑證。
•PIM使用獨特的雙鎖技術保護高度機密的信息。
•SIEM和RSA集成。
•遠程訪問,直接從PIM發起對遠程設備的連線(支持RDP、SSH及Telnet協定)使得工作流程更加簡單。
•對話記錄能夠精確的記錄用戶遠程訪問信息系統和特權賬號的所作所為。
•對話監控,讓你可以隨時終端非法對話。
•詳細的報表讓你獲知任何你想要了解的信息,如:特權用戶的實際分配許可權是否與特權用戶清單符合;離職人員的許可權清單及指定範圍內有沒有訪問敏感信息;等等;
•報表支持完全自定義。
•報表計畫讓你可以定期獲取審計報告(用戶審計、賬號審計、等)。
•應用程式及資料庫完全備份、以及資料庫鏡像,使得災難恢復具有保障。
•PIM可以實現應用程式簇、資料庫簇部署,系統持續性得以保障。
•PIM API使得你可以消除外部(如:配置檔案)的密碼信息,降低了泄密風險。
•以及更多其它功能 …..
2、企業內部控制基本規範
2010年,財政部、證監會、審計署、銀監會、保監會印發的《企業內部控制套用指引第18號——信息系統》中第十二條明確要求“企業應當建立用戶管理制度,加強對重要業務系統的訪問許可權管理,定期審閱系統賬號,避免授權不當或存在非授權賬號,禁止不相容職務用戶賬號的交叉操作。”
PIM伺服器是一個基於網路的密碼管理工具來幫助組織達到企業內部控制合規。除了幫助企業建立安全的敏感數據存儲庫,PIM伺服器允許用戶對敏感信息進行共享及訪問控制,PIM強大的報表功能能夠讓企業及時獲取用戶以及用戶對IT資產訪問許可權的信息,定期進行用戶審計和賬號審計。通過使用PIM伺服器,企業內部控制基本規範是可以實現的。
3、支付卡行業數據安全標準(PCI DSS)
挑戰和解決方案
使用PIM管理軟體可以實現三個 PCI DSS的主要規則,PCI DSS要求公司:
1)建立並維護一個安全的網路環境。
2)不使用任何設備供應商提供的密碼。
3)能夠追蹤和監控所有對網路資源的訪問以及持卡人的數據。
保護持卡人信息是 PCI DSS合規的基礎。如果你的組織存儲持卡人信息,就必須對與這些與持卡人信息進行互動的應用程式所涉及的資料庫、伺服器和服務賬戶使用嚴格的密碼管理準則。正確符合 PCI DSS對密碼的要求,如:密碼長度、複雜度以及定期變更密碼。使用 PIM伺服器,可以自動創建大型的、複雜的密碼(如:隨機二百個字元的密碼),並且可以在指定的時間表自動變更密碼。並且PIM對密碼的訪問進行完全的訪問控制和審計。
監控和維護全面的審計記錄對 PCI DSS合規尤其重要,對記錄徹底的審計使得組織能夠驗證安全需求是否達到了要求。PIM伺服器可以提供詳細的審計信息以及支持完全自定義的報表工具,組織可以通過PIM得到一個徹底的快照,如:誰正在訪問敏感信息?在什麼地方訪問?什麼時候?為什麼?從PIM發起的對話甚至可以進行視頻記錄,對對話進行回放可以顯示每一個發生在對話中的動作。
PCI DSS與 PIM 對照表
PCI DSS需求 | PIM伺服器實現 |
1)安裝和維護一個防火牆用來保護持卡人信息。 | 所有的網路憑證被集中存儲在PIM伺服器,並且每個管理員擁有自己的登錄賬號。訪問特權賬號(如:網路賬號密碼)能夠被控制和監控。 |
2)不要使用設備供應商提供的默認系統密碼以及其它的安全參數。 | 使用PIM伺服器可以生成隨機的、長的、複雜的密碼。並且可以根據需要為自動更改Windows賬號及服務賬號的密碼設定一個時間表。 |
3)保護持卡人的數據。 | PIM 加密存儲敏感數據。同時,通過PIM提供的APIs來消除程式中的密碼信息。 |
4)在開放的網路中加密傳輸持卡人數據。 | PIM 使用AES 256技術加密敏感數據。 |
5)使用和定期更新防毒軟體或程式。 | (* PIM不提供支持) |
6)開發、運維安全的系統和應用程式。 | 使用PIM技術並集合安全信息和事件管理(SIEM)工具、雙因素身份認證和網路安全掃描能最大限度的提升系統和應用程式使用安全。並且PIM伺服器的審計跟蹤、報告以及賬號立即到期的功能也大大方便對雇員流動和離職時對企業重要密碼數據的管控。 |
7)限制對持卡人數據的訪問。 | 用戶可以完全自定義PIM的角色和許可權,嚴格控制對PIM伺服器的訪問。 |
8)為每位訪問計算機的用戶分配一個唯一的ID。 | 每個PIM用戶都有獨立的登錄賬號,PIM對用戶訪問敏感信息進行了完全的審計問責。 |
9)限制對持卡人數據的物理訪問。 | 秘密伺服器安裝靈活,可以很容易地定製你的網路配置。 |
10)跟蹤和監視所有對網路資源和對持卡人數據的訪問。 | PIM 對訪問敏感數據進行全面審計並生成健壯的報表。對話記錄甚至可以監控用戶使用密碼做了些什麼。 |
11)定期測試系統的安全性。 | 用心跳測試功能自動檢查網路密碼的有效性,確保PIM伺服器存儲正確的憑證數據。 |
12)為員工和承包商維持正確的信息安全策略。 | PIM 伺服器可以作為強有力的信息安全策略的一部分。 |
4、薩班斯法案(SOX)
挑戰
實現SOX合規對許多上市公司來說是一個相當大的挑戰。沒有標準的答案(最佳實踐)來指導組織達到合規,每年企業將花費大量的成本用來嘗試符合SOX合規。唯一存在的指導原則是SOX規則要求信息應該透明、防篡改、完全審計和具有詳細的操作日誌。那么問題是:企業如何才能達到SOX的要求?
SOX法案定義了企業高管的責任,如:CEO、CFO,和CIS / CISOs等等。SOX法包含這樣一項規定,即要求 CEO 和 CFO 必須證明其公司擁有適當的內部控制。這些企業的高管通常將責任分配給員工來完成SOX審計的需求,通常管理員級別的員工將真正進行內部控制,如:訪問和存儲敏感信息、財務檔案及基礎設施的密碼。為SOX審計收集正確的信息可能需要花費幾周甚至幾個月的時間,並在多部門之間產生許多成本。
SOX 合規中具體的與IT相關職責包括,需要:
•集中並安全存儲所以類型的敏感信息(加密)。
•對用戶訪問組織內部的信息給出詳細的報告。
•對擁有特權賬號的用戶活動進行詳細的報告。
•防篡改審計日誌。
•訪問限制/所有者特權/共享(基於認證&許可權)。
•詳細的訪問日誌,強調活動的執行過程。
•定期變更密碼以及定期產生報表。
•提供訪問特權信息和系統功能的雙重控制。
•創建自定義報告。
•提醒/通知安全漏洞檢測。
•Access / change in access
•用戶角色的變化/敏感信息/特權
•密碼過期
•登錄/註銷/失敗的登錄嘗試
•災難恢復的規定。
•連續/高可用性。
解決方案
PIM伺服器是一個基於網路的密碼管理工具來幫助組織達到SOX合規。除了安全的敏感數據存儲庫,PIM伺服器允許用戶對敏感信息進行訪問控制,對各種企業IT資源的訪問密碼進行自動更改,如:伺服器、資料庫、網路設備和應用程式。審計貫穿應用程式使用的各個方面,PIM伺服器使組織能夠確切地知道誰有權訪問信息以及什麼時候使用了這些信息。通過建立密碼管理“最佳實踐”以及最佳化使用PIM伺服器,SOX合規是可以實現的。