密码管理系统
企业级密码管理解决方案
企业级密码管理系统又称PIM(Privileged Identity Management)服务器,PIM服务器是一款值得信赖的企业级密码管理解决方案,用于管理服务器、数据库网络设备以及各种应用程序的密码,帮助IT管理人员集中存储密码信息、安全共享账号(尤其是特权账号)、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用,实现企业密码的安全管理和使用。
产生背景
PIM服务器在一个安全的环境存储、分发、变更和审计企业级的敏感数据。
传统密码管理手段的弊端:
PIM服务器为存储、管理和共享密码提供一个安全的系统平台,能够有效解决以上问题,保障企业IT设施的密码安全。
主要功能
创建、分享和管理企业敏感数据。使用嵌套的目录结构组织敏感数据,可在任何层级上指定用户权限,跟踪敏感数据的使用情况形成完整的审计报告。提供一个功能强大的面板简化用户操作。
账号密码被更改的时候实时通知你的IT团队,用户可以根据实际网络环境定制密码更改时间表。你也可以定制通知、警报,当管理员更新密码时,用户将立即得到提示,相关凭证也将自动及时更新。
PIM能实现与活动目录集成,并提供其它集成选项。支持RDP与PuTTY启动器,提供iPhone、Android和WP移动平台实现对企业账号的管理,Firefox扩展,CRM综合,Cisco设备管理,同时用户可以从其它应用程序导入账号信息。
PIM非常重视合规性管理,使用PIM账号管理平台可以帮助企业符合“信息系统安全等级保护”、“SOX”、“PCI DSS”等法律法规、行业标准对企业密码管理的要求。
PIM使用多项顶级安全特性来实现企业敏感数据的安全。包括:AES 256加密算法对私密信息的完全加密,双因素认证,长度超过100个字符的复杂密码,以及更多其它安全特性。另外,PIM还使用独特的“双锁”功能来加固敏感数据的安全。
如何抵御灾难?不用担心,PIM支持自动的应用程序目录和数据库备份,同时你可以使用SQL数据库镜像来实时备份存储的所有数据。在紧急情况下,你可以“Break The Glass”。
PIM功能介绍
PIM系统功能是根据IT用户的反馈和要求开发——所以他们最实用的:
版本更新
2011第一个版本发布 1.0.1
2012发布版本2.0.1
2013发布版本3.0.1,此版本支持对基于UNIX系统设备访问的命令行审计
同年发布版本3.0.3,支持对服务账号的扫描
2014发布版本3.2.0,实现对AD域和LADP的集成
版本8.2.5
相关安全规范
1、信息系统安全等级保护
挑战
信息系统安全等级保护对企业IT资产管理、使用IT资产的人员管理、操作规范以及审计报告进行了严格的规定。使企业达到信息系统安全等级保护的要求是一项极具挑战的工作。因此为企业内部建设一个安全的软、硬件环境尤其重要,这个环境是指:网络、操作系统、数据库、服务器、防火墙和路由器等等。还应包括不同类型用户对这些资源的使用的监管及审计。
从IT安全上来讲,实施信息系统安全等级保护的组织应该具有的安全机制包括:
1. 访问控制。
2. 标识与鉴别。
3. 数据完整性。
4. 数据保密性。
5. 可用性。
6. 不可否认性。
7. 审计。
8. 加密。
9. 安全保障机制。
3PIM管理系统能提供什么帮助?
2、企业内部控制基本规范
2010年,财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号——信息系统》中第十二条明确要求“企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。”
PIM服务器是一个基于网络的密码管理工具来帮助组织达到企业内部控制合规。除了帮助企业建立安全的敏感数据存储库,PIM服务器允许用户对敏感信息进行共享及访问控制,PIM强大的报表功能能够让企业及时获取用户以及用户对IT资产访问权限的信息,定期进行用户审计和账号审计。通过使用PIM服务器,企业内部控制基本规范是可以实现的。
3、支付卡行业数据安全标准(PCI DSS)
挑战和解决方案
使用PIM管理软件可以实现三个 PCI DSS的主要规则,PCI DSS要求公司:
(1)建立并维护一个安全的网络环境。
(2)不使用任何设备供应商提供的密码。
(3)能够追踪和监控所有对网络资源的访问以及持卡人的数据。
保护持卡人信息是 PCI DSS合规的基础。如果你的组织存储持卡人信息,就必须对与这些与持卡人信息进行交互的应用程序所涉及的数据库、服务器和服务账户使用严格的密码管理准则。正确符合 PCI DSS对密码的要求,如:密码长度、复杂度以及定期变更密码。使用 PIM服务器,可以自动创建大型的、复杂的密码(如:随机二百个字符的密码),并且可以在指定的时间表自动变更密码。并且PIM对密码的访问进行完全的访问控制和审计。
监控和维护全面的审计记录对 PCI DSS合规尤其重要,对记录彻底的审计使得组织能够验证安全需求是否达到了要求。PIM服务器可以提供详细的审计信息以及支持完全自定义的报表工具,组织可以通过PIM得到一个彻底的快照,如:谁正在访问敏感信息?在什么地方访问?什么时候?为什么?从PIM发起的对话甚至可以进行视频记录,对对话进行回放可以显示每一个发生在对话中的动作。
PCI DSS与 PIM 对照表
4、萨班斯法案(SOX)
挑战
实现SOX合规对许多上市公司来说是一个相当大的挑战。没有标准的答案(最佳实践)来指导组织达到合规,每年企业将花费大量的成本用来尝试符合SOX合规。存在的指导原则是SOX规则要求信息应该透明、防篡改、完全审计和具有详细的操作日志。那么问题是:企业如何才能达到SOX的要求?
SOX法案定义了企业高管的责任,如:CEO、CFO,和CIS / CISOs等等。SOX法包含这样一项规定,即要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制。这些企业的高管通常将责任分配给员工来完成SOX审计的需求,通常管理员级别的员工将真正进行内部控制,如:访问和存储敏感信息、财务文件及基础设施的密码。为SOX审计收集正确的信息可能需要花费几周甚至几个月的时间,并在多部门之间产生许多成本。
SOX合规中具体的与IT相关职责包括,需要:
解决方案
PIM服务器是一个基于网络的密码管理工具来帮助组织达到SOX合规。除了安全的敏感数据存储库,PIM服务器允许用户对敏感信息进行访问控制,对各种企业IT资源的访问密码进行自动更改,如:服务器、数据库、网络设备和应用程序。审计贯穿应用程序使用的各个方面,PIM服务器使组织能够确切地知道谁有权访问信息以及什么时候使用了这些信息。通过建立密码管理“最佳实践”以及优化使用PIM服务器,SOX合规是可以实现的。
参考资料
最新修订时间:2023-12-23 17:57
目录
概述
产生背景
主要功能
参考资料