海颐特权账号安全管理系统产品白皮书.docx

1、海颐特权账号安全管理系统产品白皮书 海颐特权账号安全管理系统 白皮书烟台海颐软件股份有限公司 二一五年八月声明版权声明烟台海颐软件股份有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归烟台海颐软件股份有限公司所有。未得到烟台海颐软件股份有限公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。烟台海颐软件股份有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但本公司不对本手册中的遗漏、不准确或错误导致的损失和损害承

2、担责任。前言本文档详细介绍了海颐特权账号安全管理系统（HaiYi-PAS），HaiYi-PAS让企业用户可以安全地、自动化地管理企业特权账号，包括各种操作系统平台、数据库系统、各种网络设备的管理密码以及业务系统中间件密码，提供审计和日志功能，图形化显示当前企业总体特权账号密码信息统计和密码使用情况。目标读者CIO、CISO、COO、风险管理专员、信息安全架构师、数据库安全工程师、网络安全工程师、安全审计工程师等。略缩语本文档使用下列缩略语：EPV 企业密码保险库 Enterprise Password VaultPSM 特权会话管理 Privileged Session ManagementD

3、DM 动态数据脱敏 Dynamic Data Masking AIM 应用账号管理 Application Identity ManagementOPM 请求式特权管理 On-Demand Privileged Manager SKM SSH秘钥管理 SSH Key ManagerPTA 特权威胁分析 Privileged Threat Analytics CPM 密码策略管理 Central Password ManagerPVWA 密码保险库WEB访问应用 Password Vault Web Access定义说明Vault 密码保险库 Replicator 复制器一、 现状分析1.1 特

4、权账号都有哪些？1) 各类主机操作系统的管理账号，如AIX、WINDOWS、LINUX2) 各类数据库系统的管理账号,如ORACLE、SQLSERVER、DB23) 各类中间件系统管理账号：如WEBSHPERE、WEBLOGIC、TOMCAT4) 各种网络设备的管理账号,如路由器、交换机、VPN5) 各种安全系统和设备管理账号：防火墙、入侵检测、防病毒6) 应用系统内嵌账号：应用系统源码、配置文件、中间件中的数据库访问账号、API接口账号业务前台管理账号：核心业务系统前台的管理账号、批量数据下载账号、用户管理账号1.2 特权账号安全管理存在哪些难点？企业的服务器、数据库和业务系统众多，特权账号

5、无处不在，管理人员无法对这些有形资产、无形资产进行有效的、统一的管理。特权账号安全管理存在着以下几个难点问题：（一）、特权账号密码管理1、密码还是属于人为管理，以文件形式记录在电脑上，没有安全的存储，存在的极大的安全隐患；2、密码缺少统一管理，运维人员（内部与外部）也会掌握一批账号密码；3、很多系统的密码设置都会相同以便于记忆，甚至一个业务系统相关的设备、中间件、系统都采用同一个密码；4、特权账号密码没有定期校验机制，可用性没有保障；5、在中间件、应用代码和配置文件中配置静态的数据库密码，这部分数据库密码无法管理；6、虽然管理策略对密码有明确的安全基线要求，但由于管理的分散性，安全基线的落实难

6、以全面到位。（二）、特权账号权限管理1、大部分账号没有推行最小权限原则，root或者管理员权限被大量发放，并且是在没有规范管理和审计的情况下；2、部分特权账号被多人共享，而这些共享的人员往往并非是应该获得该账号完全权限的人员；3、由于第三方运维人员更换较为频繁，许多运维管理账号的交接无法有效管控，特权账号可能被离开的第三方人员使用。（三）、特权账号操作管理1、特权账号存在共享情况，对安全事件进行分析时，不能准确定位具体责任人；2、由于管理的分散性，大部分特权账号的越权或滥权操作不能实时告警和自动策略阻断，如SQL语句。二、特权账号的安全管理需求基于上述分析，我们建议建立统一的特权账号管理和单点

7、登录机制，达到以下目标：2.1 特权账号密码管理1) 强制推行运行中心特权账号密码管理的安全策略，包括一次性密码、强口令、排他性密码及密码版本保存等；2) 可周期性自动重置密码；3) 建立完善可控的特权账号与密码的申请、审批、发放及回收的机制；4) 密码的传输应使用安全的加密协议；5) 定期检查密码一致性，并为不一致的情况提供处理机制；6) 建立全网统一的特权账号密码安全管理策略及技术体系，并得以贯彻实施。2.2 特权账号权限管理1) 在当前还不能真正实现对所有特权账号进行权限最小化控制的情况下，通过对特权账号操作行为进行全面监控审计达到有效的权限管理目标；2) 从机制上杜绝共享账号的存在；3

8、) 第三方运维人员离岗后，即使掌握了原来的一些特权账号也不能再继续使用。2.3 特权账号操作管理1) 彻底解决共享账号带来的操作审计信息失真，实现账号与责任人的一一对应，确保安全事件可以准确定位；2) 实现对特权账号的越权或滥权操作实时告警和自动策略阻断。三、特权账户安全管理的基本要求通过实施特权账号安全管理，对全网络信息系统的账号及基于这些账号所进行的特权会话强化为系统化自动化的集中安全管理模式（账号管理、身份认证、统一授权、单点登录、统一审计），进一步完善符合监管的信息安全和风险管理手段，提升主动防御能力，降低敏感信息外泄的风险。具体要求如下所述：1) 统一特权账号安全访问门户，对所有特权

9、账号及密码进行统一的管理、统一的安全策略、统一的技术框架；2) 新服务器上线即纳入特权账号管理；3) 新业务应用上线配合部署特权账户安全管理系统，将相关数据库账号纳入自动管理范畴；4) 定期扫描分布账号快照，通过匹配，发现未管理的特权账号；5) 依靠统一日志平台及时发现特权账号的新增、删除、权限修改和密码更新等；6) 分布式架构使得总部即能实现安全策略的下发。总部对分部的账号管理具有很强的控制能力；7) 可以节约大量的人力成本来对密码进行管理，在提高了安全性的情况下，人员的工作效率还更高，实现了管理的创新与技术的创新；8) 无需再关注弱密码的问题，只要定期的清理特权账号，以发现未符合流程审批的

10、特权账号创建及可疑账号的创建，并定期对各单位进行考核；9) 应用程序账号密码集中管理，建立可扩展的应用程序账号安全平台。四、海颐特权账号安全管理系统4.1 产品模块HaiYi-PAS 套件由6个主动空管组件组成： EPV 企业密码保险库基于海颐软件独有的密码保险库技术，为企业密码提供安全的密码存储解决方案。同时，EPV负责为用户提供管理和使用界面，执行企业密码安全策略。企业密码保险库可根据特权账号安全策略控制密码访问人员和访问时间。这一自动化处理可节省时间，减少出现的错误率，符合审计和规范要求。 PSM 特权会话管理特权会话管理可隔离、控制并监控特权用户访问和行为，可提供单一访问控制点，防止恶

11、意软件跳转到目标系统，并记录每一按键和鼠标操作，实施连续监控。可提供完整会话记录，具有搜索、定位和敏感事件警告功能。实时监控确保特权访问受到连续保护，并可在发现可疑事件时实时终止会话。 DDM 动态数据脱敏符合数据隐私条款和内部审核要求，大幅降低数据外泄风险，保护个人和敏感信息。同时支持分布式、外包运营及云端启用，以空前便捷的架构，跨所有应用系统、备份、复制、数据仓库、开发和DBA工具,迅速获得投资回报。节省时间，无需变更应用系统源代码或数据库。针对每个业务单元的监管或业务要求,轻松定制数据库安全性解决方案。在正式和非正式环境下提供安全访问,提升外包和生产支持人员的生产力。 AIM 应用账号管

12、理解决固化在代码中的用户密码信息的管理问题，HaiYi-PAS的应用账号管理可满足高端企业对可用性和业务连续性的需求，甚至是在复杂的分布式网络环境中。HaiYi-PAS具有广泛的程序开发语言和平台支持性。 OPM 请求式特权管理集中管理和监控特权用户和账号，类似root这样的UNIX/Linux系统用户的权限使用可以被细颗粒地管理，并且命令行本身和输出记录将被记录。该安全的企业级解决方案为所有超级用户活动提供统一的相关日志。可根据角色和任务对所有超级用户进行持续监控。 SKM SSH密钥管理帮助企业把SSH密钥的安全性和管理纳入更广泛的特权帐户的安全策略。它保证了用户在使用SSH应用时密钥的安

13、全产生、传输和存储，严格控制对密钥的访问工作流程，以及提供跟踪并报告密钥使用情况。4.1.1 EPV介绍EPV让企业容易地保护、管理和更新所有类型的特权账号密码，包括服务器、数据库、虚拟化设备、网络设备和应用程序。为了做到这些，EPV对所有密码建立集中的安全存储、访问和维护管理机制，并且对所有对密码的访问活动进行详细审计和跟踪。EPV包含4个主要组件： 密码保险库(Vault) 这是一个为企业特权账号密码提供安全的集中存储、保护和管理访问的仓库。Vault 构建于坚固的加密技术，提供多层次的安全机制，保证最高的安全要求。Vault部署为冗余的主备Vault。 CPM CPM为多种目标系统的特权

14、账号密码提供更新，包括各种路由器、数据库、服务器、目录服务和固化于应用程序中的密码。包括Z/OS、OS390、AS400、Windows Server、AIX、HP-UX、Solaris、SuSE Linux、Redhat Linux、Sco Unix；数据库包括各版本的SQL Server、Oracle、Sybase ASE、Sybase IQ、DB2、Informix、MySQL;以及各种网络设备/安全设备，包括Cisco、Juniper、华为等。可以和常见工具及其他系统和设备进行集成，起到密码修改、验证、更正的目的。 Windows GUI 客户端- 此客户端允许管理员访问和配置EPV系

15、统，包括设置用户信息，定义系统访问等等。 Password Vault Web Access （PVWA） 这个基于Web的界面允许IT人员能够快速地获取目标系统的特权账号密码。 4.1.2 PSM介绍具备审计的功能，具有一系列丰富的产品特点： 安全和审计 加强企业的安全策略和工作流程，例如双重控制发起会话，提交一个合理的工单系统，控制会话持续时间等； 基于HTTPS的安全访问允许本地和远程访问企业的被管设备； 根据企业策略和最终用户角色开启会话记录； 单点登录发起特权会话无需暴露特权账号密码。 特权会话记录PSM的硬盘录像机回放式的记录特权会话，应对事件的分析和司法审查： SSH会话击键日志

16、以及Oracle/MSSQL会话命令审计； 用“时间点”的方式搜索特权事件，观看其中一段会话记录； 单台服务器支持超过100个并发会话记录，存储为高度压缩格式； 可扩展性和负载均衡、高可用性； 隐私规则的支持，允许当会话开始录制时在屏幕上通知用户。 企业级架构 中央管理和存储分布式体系架构，提供统一管理、审计和监控界面； 能够与企业基础设施进行集成，包括目录服务、用户管理和验证、SIEM、SNMP、Syslog以及SMTP。4.1.3 DDM介绍Dynamic Data Masking动态数据脱敏模块，能实时将敏感信息动态脱敏，并阻止、审核及警示访问敏感信息的终端用户、IT 人员和外包团队，同

17、时确保高度遵循隐私条款。动态数据脱敏依各种数据隐私法律和法规的规定,防止终端用户、客户、合作伙伴、生产支持人员、DBA、海外和外包员工访问与其工作无关的企业敏感商业信息与个人信息。 实时采取动态脱敏、打乱、隐藏、封锁、审查资料等多重安全行动，并对XX的使用情况发出警示 限制终端使用者和 IT 人员对屏幕、表格、行列和数据库的存取级别 使用角色式存取控制,实施以 Active Directory 群组、LDAP、身份存取管理、 角色和职责 为基础的使用者存取权限 阻止 (Block) 对一般应用程序帐户XX的使用,并告知使用者 防止XX的 DDL、DML 和 DCL 指令,并控制终端使用者的临时

18、查询 根据职责分工作出详细的审核记录与警报 保持业务应用程序的功能性外观、一致性及完整性,同时对储存在数据库中的数据值不做任何变更。4.1.4 AIM介绍AIM解决了在应用程序代码、配置文件和脚本中的密码存储、审计、管理的难题，使所有的高度敏感密码，集中和安全地存放在HaiYi-PAS的密码保险库中。利用这种独特的技术，企业能够符合内审和外审的合规性要求，做到密码定期更换，并且可以监控对所有系统、数据库、应用程序的特权访问。4.1.5 OPM介绍OPM通过策略集中控制操作系统特权命令，对UNIX/Linux/Windows基于个人的特权命令作精细化访问控制，替代了SUDO与Windows组策略

19、的方案，使得类似的控制具有企业级、集中化、简单管理和强化审计能力的特点。工作方式如下：1) 特权账号管理员在PVWA中定义IT人员相应的策略（命令行的黑白名单）；2) IT管理员通过传统的方式登录UNIX/Linux/Windows服务器；3) OPM Provider读取相应的策略，并缓存在本地；4) 当IT人员需要执行某些特权命令时，进行部分提权完成任务，同时OPM Provider会将此提权命令进行记录；5) 审计人员可以通过文本对IT管理员的命令进行审计。4.1.6 SKM介绍SKM保持与企业一致的安全策略，能够保障企业SSH密钥安全、更新和控制访问。该解决方案还提供了强大的访问控制，

20、以确保只有授权用户才能访问私钥，以及报告功能来审核密钥的使用。SKM具有以下功能特点： SSH密钥安全存储在密码保险库里； 强有力地对SSH密钥的访问控制； SSH密钥自动更新/轮换功能； 详细的SSH密钥使用报告。4.1.6 PTA介绍PTA会自动创建(机器学习)特权用户和特权账户的行为配置文件,并且在系统中自行维护基线配置文件。典型行为随着时间而更改,基线配置文件会根据这些更改进行调整。系统随后会自动查找与基线配置文件存在的偏差,以找出恶意行为。 解决方案会自动检测每个异常并加以评分,然后再根据事件的关联性来确定威胁级别。警报会立即通过电子邮件发送,其中包括了事件的详细信息以及 PTA系统

21、的链接,从而让安全人员能够深度探讨并进一步查看。 PTA始终处于一个不断向周围环境学习的稳定状态下,在这样的环境下, 其报警效果会得到不断的提升。这个持续的适应过程造就了当今市场上最佳的威胁报警系统。PTA具有以下功能特点： 基于特有的算法进行分析检测并中断攻击,从而消除对攻击签名或沙盒的知识依赖； 通过对正在进行的攻击发出准确的实时报警,显著缩短攻击者的机会窗口并减少损失； 借助开箱即用，集成提升现有SIEM 解决方案的价值； 通过方便直观的图形和表格来快速评估基线配置文件和异常现象； 及时访问关于攻击的详细信息,加快补救速度； 通过会随环境变化而不断调整基线行为配置文件的自主学习算法,让威

22、胁检测适应不断变化的环境； 借助有关特权用户模式和活动的有价值数据来改善审查流程； 作为独立产品或特权账户安全解决方案的一部分提供完整的特权行为分析功能。 4.2 产品功能4.2.1 账号管理功能 账号集中管理特权账号从创建、授权、发布、使用、冻结、解冻及回收等一系列生命周期的管理以及用户集中管理。 灵活快速查询机制 账号密码批量导入 密码自动修改 密码策略可手动定义。 密码定期验证策略，保证密码一致性 日志防篡改 密码历史版本保留 一次性密码策略4.2.2 身份认证集成支持LDAP、Radius、数字证书等认证方式，均可灵活配置，可以根据用户、受管系统级别、特权账号用途等角度分别定义和配置认

23、证强度。4.2.3 授权管理功能 角色授权在平台层面的用户创建，可细分到用户是否具备增加保险柜的权限、是否具备审计人员的权限、是否具备增加平台用户的权限、是否具备重置平台用户密码的权限、是否具备解锁平台用户的权限、是否具备配置AD映射关系的权限、是否具备备份系统和还原系统的权限等。在实际运维操作中，可对角色权限进行非常精细化的定义。对于账号管理平台，可包含：平台管理员、特权账号管理员、特权账号使用者、审计员这四类角色。平台管理员有管理整个平台服务和配置的权限，特权账号管理员有管理系统账号及密码配置的权限，特权账号使用者可以登录受管系统，审计员可以定制查看审计报表。 访问控制未授权用户需登录某受

24、管系统时，可由该用户在平台上发起登录申请，平台可主动提醒受管系统管理员有新的登录申请，并由该受管系统管理员或其它有权限审批的用户审批后可登录。对于如上的登录申请审批，可以灵活定制，针对部分系统账号设定为申请审批的登录模式，也可针对部分账号不设定申请审批的模式。4.2.4 审计管理功能 账号使用审计平台可设定专门的审计人员（只具备审计功能，不能查看密码）用以审计：用户登录受管系统信息、用户登录申请和审批信息、账号密码变更记录、密码一致性检查、密码修改日期检查、密码复杂度检查、用户角色及权限分配、账号分配、账号清单、用户身份认证方式等。 审计信息查询审计记录的查询可在浏览器中输入任意的组合进行查询

25、检索。 录像审计针对所有单点登录方式，均实现录像审计。 操作命令审计用户登录受管系统后的所有系统行为都可进行操作日志记录和屏幕录像。并支持操作回放，包括字符回放或视频回放。 报表管理统计报表可分为5个大类进行报表的自动生成。审计报表可进行灵活的定制。4.2.5 单点登录功能 统一登录界面平台提供Web方式的统一登录界面。 特权单点登录单点登录的操作系统包括各版本的Windows Server、Unix（如AIX、HP-UX、Solaris、Sco Unix ）、 Linux（如SuSE Linux、Redhat Linux）等, 数据库包括各版本的SQL Server、Oracle、Sybas

26、e ASE、Sybase IQ、Informix、MySQL等。 丰富的客户端平台支持各种客户端登录工具的单点登录。字符类客户端登录工具包括SecureCRT、Netterm, 图形类客户端登录工具包括XManager、SQL*plus、PL/SQL Developer、Sybase Central、isql、MSSQL Studio Management、VMWare vClient等。 双人会同登录受管理的系统时，管理员A只能具备申请使用密码的权限，而管理员B只能具备审批的权限。当同时有三个人对系统进行运维时，可设定一人申请使用密码，其他两人中任意一人审批即可实现会同登录功能。同时，平台还

27、可设定最少需要多人都审批了才可以获得密码的使用功能（默认为1人）。 实时监控运维操作人在管理员桌面上进行操作时，审计人员可在审计桌面上观看操作过程。如果监控发现异常行为，审计人员可将运维操作人员的连接中断。4.2.6 核心数据防护动态数据脱敏确保了 IT 人员和业务用户双方,仅在必须知晓的情况下, 方可通过应用程序与工具访问客户个人信息，是实现敏感数据的脱敏、高危SQL语句拦截、数据操作审计等。 动态数据库脱敏功能 采用SQL Proxy 技术,动态拦截SQL指令,并按设置的脱敏策略去识别规则修改调整SQL指令,不更改数据库实际内容。 可根据数据库、数据表及栏位名称,定义数据的自动脱敏去识别规

28、则,并可使用数据库支持的内置参数 (User Define Function) 进行脱敏设置。 支持正则表示式 (Regular Expression) 来比对SQL指令。 数据库栏位內容，提供部份、替代、条件式判断等方式进行脱敏处理。脱敏使用字符,支持中英文各种标准字符,例如:英文(*/ 星号)。 可对英文主键值资料(例:身分证)去识别化。 提供数据表 (Table) 的数据库栏位脱敏去识別功能,同時提供 *、? 等万用字符, 弹性设置数据表及栏位名称。 提供中英文编码的脱敏去识别功能,支援 BIG5 与 Unicode 编码。 可根据数据库使用者ID、连接数据库的应用名称、主机名称、时间、

29、SQL指令关键字等多重条件组合,来定义不同的动态脱敏策略。 数据库存取控管功能 可根据数据库连接端口 (Port)、数据库名称、数据库用户、源主机名称、访问应用程序名称、SQL指令所含特殊按键字等参数多重条件,来决定使用的动态脱敏控制规则。 可控制特定数据库使用者,能否执行哪些SQL指令,例如:SELECT、INSERT、UPDATE、DELETE、CREATE TABLE、DROP TABLE 等等。 数据库读写审计记录功能可完整记录原始SQL指令与经规则匹配后动态调整脱敏变更后的SQL指令内容 审计记录內容包含:日期、时间、源主机名称、数据库用户名称、应用程序名称、原始SQL指令、匹配的规

30、则名称等。 4.3 产品优势 HaiYi-PAS对特权账号进行集中管理，包括集中的存储、集中的访问授权和集中的密码自动化更改等。 HaiYi-PAS能够提供专门的密码安全存储方案。拥有专业技术Vault密码保险箱，确保密码和审计信息的安全存储和分享。 对敏感数据访问进行有效的控制与脱敏，防止误操作与核心数据外泄。 HaiYi-PAS具有广泛的程序开发语言和平台支持性。 HaiYi-PAS采用分布式部署架构，所有敏感数据只存储在密码保险箱中。 HaiYi-PAS采用无代理部署，不需要在企业的服务器上安装任何的代理程序。 虚拟环境中自动发现特权账号,方便管理维护。4.4 逻辑架构下图描述了用户（管

31、理员）使用HaiYi-PAS访问被管理系统的示意图，每一个组件分别安装于一台服务器上（具体部署时，PSM/PVWA/CPM可以共存于一台服务器）。1) IT管理员通过浏览器访问PVWA：进行审计、密码获取、单点登录。2) 单点登录时，浏览器打开至PSM服务器的RDP连接，由PSM自动代填密码，为管理员打开至目标服务器的会话，包括SSH、RDP、Oracle、DB2、FTP等。3) 审计人员通过PVWA查询在线会话后，亦可登录PSM进行同步监控在线会话。4) 会话结束后PSM服务器将相关录像及操作文本上传至密码保险库中。5) 如果存在密码被查询后，CPM会在一段时间后对目标服务器上的账号进行密码重置。6) EPV Replicator作为EPV套件自带软件，将Vault数据以加密