球盟会(中国)

特权账号管理系统

特权账号管理系统是一款系统账号安全管理软件(简称PAM),是在客户IT环境中建立特权账号库,统一管理和发现特权账号,集中保护和定期更换账号密码,帮助客户掌握特权账号动态分布,持续跟踪特权账号活动。产品核心功能: 资产账号管理,用户认证授权,特权会话管控,操作审计,应用身份及应用特权管理、取密服务。

联系销售

产品概述

“特权账号”是数据中心内部,分布在主机、网络设备、数据库等资产上具有较高访问权限的账号,衍生到一切资产上具有可访问权限的账号。作为IT基础设施的身份凭据,特权账号通常具有文件操作、修改配置、访问数据、启停服务、开关机器等权限,控制了特权账号也就掌握承载的业务系统的生杀大权。 随着信息化的开展,需要使用特权账号的机器和应用程序的数量不断增加,攻击面也越来越大。广大IT数据中心资产管理者也面临着对资产账号底数不清、风险不明、管控难、维护难、合规难等一系列安全挑战,因此需要一款以特权账号为管理对象,实现资产账号统一管理、凭证集中保护、管控特权会话、消除应用内嵌账号硬编码、满足等保密评合规要求的特权账号管理产品。

产品功能

用户管理和认证

  • 实现组织和用户的信息管理维护,用户角色管理,定义各个角色功能权限,支持三员模式;
  • 实现用户账密、GM证书、LDAP、专用钉钉、企业钉钉扫码认证,支持短信验证码、OTP(软令牌)、令牌组合因子认证;
  • 支持与4A实现组织组织用户同步及单点登录。

特权账号管理

  • 分组管理资产,配置资产组管理员,按照管理员的数据权限维护资产账号、扫描巡检、账号改密、访问控制、会话审计、取密应用;
  • 给予批量或按网络扫描方式批量纳管主机、网络设备、安全设备、物联网设备等资产;
  • 实现创建、禁用、启用、刷新、移除账号权生命周期管理(账号刷新主要从资产同步账号信息),支持批量导入管理账号,管理账号允许顺利获得普通账号跳转登录;
  • 具备账号发现能力,顺利获得手动或定时任务对目标设备/对象发起扫描,并输出扫描结果,形成资产账号底数;
  • 手动或按照纳管策略自动纳管账号,允许托管账号密码;
  • 支持自定义资产账号密码策略,配置密码强度设置、有效期;系统采用根密钥->主密钥->数据密钥的三层级密钥保护机制保护资产账号密码,支持顺利获得密码卡和接入密码机保护系统根密钥;
  • 支持主机、网络设备、安全设备、中间件等主流类型改密,支持创建改密任务,允许自定义密码本,改密前输出改密计划邮件,完成输出改密任务执行报告;
  • 内置资产巡检任务,分组分段多线程执行资产账号扫描任务,无须在资产上安装插件,不会影响资产正常运作,顺利获得远程登录资产读取账号数据,部署实施时仅需要开通资产账号管理端口或远程访问端口策略,可以不改变应用系统的网络拓扑结果;
  • 具备完善的账号风险识别引擎,主动发现和提示包括长期未登录僵尸账号、新账号(幽灵账号)、长期未改密、弱密码、访问绕行、账号所属组变化、账号被删除、账号密码过期、管理账号认证失败、网络问题等账号风险和异动。内置风险评估模型对巡检进行评分,并输出资产巡检报告;
  • 给予数据大屏,展示资产数量、账号数量、凭证数量、托管密码总量,动态展示子在资产各类型占比、账号分布;展示各类账号风险数量,风险资产占比和TOP100排名。风险账号明细支持按系统名称、账号名、IP、类型、角色、账号创建时间、账号状态等导出。

特权会话访问

  • 实现单用户(一对多)/团队(多对多)/动态授权(ABAC)配置用户资产访问权限;
  • 临时性工单授权(JIT)工单申请和审批和给予临时任务指派功能,授予运维用户短期访问授权,到期自动移除授权;
  • 支持签出明文密码工单,工单关闭后自动重置回收密码;
  • 具备字符会话命令拦截、数据库会话SQL链接、RDP剪切板和驱动器重定向控制、以及文件传输管控等细粒度会话管控能力;
  • 支持顺利获得分享会话链接和站内邀请等方式实现多人协作运维;
  • 实现Web页面方式进行SSH/TELNET/SFTP/FTP/VNC/RDP以及主流数据库资产运维无须借助应用发布服务器;
  • 实现Web类资产运维代理及精准到DOM级输入框代填和按钮点击;
  • 支持主流本地运维工具访问资产,具备GMSSH会话代理能力。

应用内嵌账号管理

  • 应用身份管理以及订阅内嵌账号授权关系,支持按照应用部署场景定义实例,每个应用实例标识不同的身份。
  • 给予快速集成多语言SDK帮助应用快速接入PAM取密;例如为JAVA数据库应用给予JDBC插件,实现远程取密、动态换密、双账号轮转;Ansible、Jenkins给予取密插件、脚本给予CLI工具;
  • 为取密应用给予高安全身份指纹生成机制,确保应用身份不被冒用;
  • 针对推送类型的应用给予账号改密后主动推送服务,包括Nacos/Apollo配置/Windows凭据管理器/DBLink等应用类型。
  • 给予应用配置托管服务,支持应用侧拉取或平台主动推送将配置文件同步到指定的主机目录。

监控审计

  • 支持在线会话监控和终止会话。
  • 支持历史会话审计,包括录像回放、指令、SQL、文件操作审计;
  • 详细记录PAM用户认证日志和资产会话认证日志;
  • 平台管理日志,记录详细操作用户、操作时间、源IP、操作类型、操作对象、操作结果以及日志防篡改签名。
  • 应用取密日志记录取密应用名称、实例部署位置、身份标签、取密时间、取密结果等,包括身份鉴别异常情况。

产品特性

  • 产品给予灵活可配置的高安全身份认证方式和认证异常禁用、登录通知等安全措施;
  • 产品集中管理和维护资产账号,实现主流资产类型账号全生命周期管理;
  • 支持纳管主流资产账号改密和托管,采用GM算法保护存储资产账号密码;
  • 产品具备完善的账号风险识别和账号异动信息检测能力;
  • 产品特权会话功能满足符合等保2.0运维审计要求:用户鉴权、访问控制和安全审计;
  • 产品给予消除应用内嵌账号凭据硬编码解决方案;
  • 产品支持启用“三员”模式管理;
  • 产品顺利获得公安测评中心和保密测评中严格鉴定《网络安全专用产品安全检测证书》;
  • 产品取得《密码动态更换方法、装置、计算机设备和存储介质》发明专利;
  • 产品安全合规使用密码技术,满足密评要求;
  • 产品支持单机部署、热备部署及集群部署。

产品参数

外观规格2U
网络接口4个10/100/1000Mb 自适应接口;1个千兆管理网口;支持扩展2/4个万兆光口
电源双模块冗余电源,支持断电保护备份等机制
内存≥64G,整机最大支持 128GB
硬盘≥32T,支持存储空间扩展

产品白皮书

白皮书下载:球盟会(中国)特权账号管理系统-产品白皮书.pdf

球盟会(中国)软件旗下众多安全产品,邀您体验

分析更多