特权账号安全管理系统产品白皮书

海颐特权账号安全管理系统

产品白皮书

烟台海颐软件股份有限公司

二〇一四年九月

声明

版权声明

烟台海颐软件股份有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归烟台海颐软件股份有限公司所有。未得到烟台海颐软件股份有限公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明

本手册依据现有信息制作，其内容如有更改，恕不另行通知。烟台海颐软件股份有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但本公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

目录

前言 (1)

一、现状分析 (2)

1.1 特权账号都有哪些？ (2)

1.2 特权账号安全管理存在哪些难点？ (2)

二、特权账号的安全管理需求 (4)

2.1 特权账号密码管理 (4)

2.2 特权账号权限管理 (4)

2.3 特权账号操作管理 (4)

三、特权账户安全管理的基本要求 (5)

四、海颐特权账号安全管理系统 (6)

4.1 产品模块 (6)

4.1.1 EPV介绍 (7)

4.1.2 PSM介绍 (8)

4.1.3 AIM介绍 (9)

4.1.4 OPM介绍 (9)

4.1.5 SKM介绍 (9)

4.2 产品功能 (10)

4.2.1 账号管理功能 (10)

4.2.2 身份认证集成 (10)

4.2.3 授权管理功能 (10)

4.2.4 审计管理功能 (11)

4.2.5 单点登录功能 (11)

4.3 产品优势 (13)

4.4 逻辑架构 (14)

4.5 物理架构 (15)

4.6 建设蓝图 (17)

4.7 故障应急处理 (17)

4.7.1 故障转移 (17)

4.7.2 应急处理 (18)

前言

本文档详细介绍了海颐特权账号安全管理系统（HaiYi-PAS），HaiYi-PAS 让企业用户可以安全地、自动化地管理企业特权账号，包括各种操作系统平台、数据库系统、各种网络设备的管理密码以及业务系统中间件密码，提供审计和日志功能，图形化显示当前企业总体特权账号密码信息统计和密码使用情况。

目标读者

CIO、CISO、COO、风险管理专员、信息安全架构师、数据库安全工程师、网络安全工程师、安全审计工程师等。

略缩语

本文档使用下列缩略语：

EPV 企业密码保险库 Enterprise Password Vault

PSM 特权会话管理 Privileged Session Management

AIM 应用账号管理 Application Identity Management OPM 请求式特权管理 On-Demand Privileged Manager

CPM 密码策略管理 Central Password Manager

PVWA 密码保险库WEB访问应用 Password Vault Web Access

定义说明

Vault 密码保险库

Replicator 复制器

一、现状分析

1.1 特权账号都有哪些？

1)各类主机操作系统的管理账号，如AIX、WINDOWS、LINUX……

2)各类数据库系统的管理账号,如ORACLE、SQLSERVER、DB2……

3)各类中间件系统管理账号：如WEBSHPERE、WEBLOGIC、TOMCAT……

4)各种网络设备的管理账号,如路由器、交换机、VPN……

5)各种安全系统和设备管理账号：防火墙、入侵检测、防病毒……

6)应用系统内嵌账号：应用系统源码、配置文件、中间件中的数据库访问

账号、API接口账号……

7)业务前台管理账号：核心业务系统前台的管理账号、批量数据下载账号、

用户管理账号……

1.2 特权账号安全管理存在哪些难点？

企业的服务器、数据库和业务系统众多，特权账号无处不在，管理人员无法对这些有形资产、无形资产进行有效的、统一的管理。特权账号安全管理存在着以下几个难点问题：

（一）、特权账号密码管理

1、密码还是属于人为管理，以文件形式记录在电脑上，没有安全的存

储，存在的极大的安全隐患；

2、密码缺少统一管理，运维人员（内部与外部）也会掌握一批账号密

码；

3、很多系统的密码设置都会相同以便于记忆，甚至一个业务系统相关

的设备、中间件、系统都采用同一个密码；

4、特权账号密码没有定期校验机制，可用性没有保障；

5、在中间件、应用代码和配置文件中配置静态的数据库密码，这部分

数据库密码无法管理；

6、虽然管理策略对密码有明确的安全基线要求，但由于管理的分散性，安全基线的落实难以全面到位。

（二）、特权账号权限管理

1、大部分账号没有推行最小权限原则，root或者管理员权限被大量发放，并且是在没有规范管理和审计的情况下；

2、部分特权账号被多人共享，而这些共享的人员往往并非是应该获得该账号完全权限的人员；

3、由于第三方运维人员更换较为频繁，许多运维管理账号的交接无法有效管控，特权账号可能被离开的第三方人员使用。

（三）、特权账号操作管理

1、特权账号存在共享情况，对安全事件进行分析时，不能准确定位具体责任人；

2、由于管理的分散性，大部分特权账号的越权或滥权操作不能实时告警和自动策略阻断。

二、特权账号的安全管理需求

基于上述分析，我们建议建立统一的特权账号管理和单点登录机制，达到以下目标：

2.1 特权账号密码管理

1)强制推行运行中心特权账号密码管理的安全策略，包括一次性密码、强

口令、排他性密码及密码版本保存等；

2)可周期性自动重置密码；

3)建立完善可控的特权账号与密码的申请、审批、发放及回收的机制；

4)密码的传输应使用安全的加密协议；

5)定期检查密码一致性，并为不一致的情况提供处理机制；

6)建立全网统一的特权账号密码安全管理策略及技术体系，并得以贯彻实

施。

2.2 特权账号权限管理

1)在当前还不能真正实现对所有特权账号进行权限最小化控制的情况下，

通过对特权账号操作行为进行全面监控审计达到有效的权限管理目标；

2)从机制上杜绝共享账号的存在；

3)第三方运维人员离岗后，即使掌握了原来的一些特权账号也不能再继续

使用。

2.3 特权账号操作管理

1)彻底解决共享账号带来的操作审计信息失真，实现账号与责任人的一一

对应，确保安全事件可以准确定位；

2)实现对特权账号的越权或滥权操作实时告警和自动策略阻断。

三、特权账户安全管理的基本要求

通过实施特权账号安全管理，对全网络信息系统的账号及基于这些账号所进行的特权会话强化为系统化自动化的集中安全管理模式（账号管理、身份认证、统一授权、单点登录、统一审计），进一步完善符合监管的信息安全和风险管理手段，提升主动防御能力，降低敏感信息外泄的风险。具体要求如下所述：

1)统一特权账号安全访问门户，对所有特权账号及密码进行统一的管理、

统一的安全策略、统一的技术框架；

2)新服务器上线即纳入特权账号管理；

3)新业务应用上线配合部署特权账户安全管理系统，将相关数据库账号纳

入自动管理范畴；

4)定期扫描分布账号快照，通过匹配，发现未管理的特权账号；

5)依靠统一日志平台及时发现特权账号的新增、删除、权限修改和密码更

新等；

6)分布式架构使得总部即能实现安全策略的下发。总部对分部的账号管理

具有很强的控制能力；

7)可以节约大量的人力成本来对密码进行管理，在提高了安全性的情况下，

人员的工作效率还更高，实现了管理的创新与技术的创新；

8)无需再关注弱密码的问题，只要定期的清理特权账号，以发现未符合流

程审批的特权账号创建及可疑账号的创建，并定期对各单位进行考核；

9)应用程序账号密码集中管理，建立可扩展的应用程序账号安全平台。

四、海颐特权账号安全管理系统

4.1 产品模块

HaiYi-PAS 套件由5个部分组成：

●EPV – 企业密码保险库

基于海颐软件独有的密码保险库技术，为企业密码提供安全的密码存储解决方案。同时，EPV负责为用户提供管理和使用界面，执行企业

密码安全策略。企业密码保险库可根据特权账号安全策略控制密码访问

人员和访问时间。这一自动化处理可节省时间，减少出现的错误率，符

合审计和规范要求。

●PSM – 特权会话管理

特权会话管理可隔离、控制并监控特权用户访问和行为，可提供单一访问控制点，防止恶意软件跳转到目标系统，并记录每一按键和鼠标

操作，实施连续监控。可提供完整会话记录，具有搜索、定位和敏感事

件警告功能。实时监控确保特权访问受到连续保护，并可在发现可疑事

件时实时终止会话。

●AIM – 应用账号管理

解决固化在代码中的用户密码信息的管理问题，HaiYi-PAS的应用账号管理可满足高端企业对可用性和业务连续性的需求，甚至是在复杂

的分布式网络环境中。HaiYi-PAS具有广泛的程序开发语言和平台支持

性。

●OPM – 请求式特权管理

集中管理和监控特权用户和账号，类似root这样的UNIX/Linux 系统用户的权限使用可以被细颗粒地管理，并且命令行本身和输出记录

将被记录。该安全的企业级解决方案为所有超级用户活动提供统一的相

关日志。可根据角色和任务对所有超级用户进行持续监控。

●SKM – SSH密钥管理

帮助企业把SSH密钥的安全性和管理纳入更广泛的特权帐户的安全策略。它保证了用户在使用SSH应用时密钥的安全产生、传输和存储，

严格控制对密钥的访问工作流程，以及提供跟踪并报告密钥使用情况。

4.1.1 EPV介绍

EPV让企业容易地保护、管理和更新所有类型的特权账号密码，包括服务器、数据库、虚拟化设备、网络设备和应用程序。为了做到这些，EPV对所有密码建立集中的安全存储、访问和维护管理机制，并且对所有对密码的访问活动进行详细审计和跟踪。EPV包含4个主要组件：

●密码保险库(Vault) – 这是一个为企业特权账号密码提供安全的集

中存储、保护和管理访问的仓库。Vault 构建于坚固的加密技术，提供

多层次的安全机制，保证最高的安全要求。Vault部署为冗余的主备

Vault。

●CPM – CPM为多种目标系统的特权账号密码提供更新，包括各种路由

器、数据库、服务器、目录服务和固化于应用程序中的密码。包括Z/OS、

OS390、AS400、Windows Server、AIX、HP-UX、Solaris、SuSE Linux、

Redhat Linux、Sco Unix；数据库包括各版本的SQL Server、Oracle、

Sybase ASE、Sybase IQ、DB2、Informix、MySQL;以及各种网络设备/

安全设备，包括Cisco、Juniper、华为等。可以和常见工具及其他系

统和设备进行集成，起到密码修改、验证、更正的目的。

●Windows GUI 客户端- 此客户端允许管理员访问和配置EPV系统，包括

设置用户信息，定义系统访问等等。

●Password Vault Web Access （PVWA） – 这个基于Web的界面允许

IT人员能够快速地获取目标系统的特权账号密码。

4.1.2 PSM介绍

具备审计的功能，具有一系列丰富的产品特点：

●安全和审计

加强企业的安全策略和工作流程，例如双重控制发起会话，提交一个合理的工单系统，控制会话持续时间等；；

基于HTTPS的安全访问允许本地和远程访问企业的被管设备；

根据企业策略和最终用户角色开启会话记录；

单点登录发起特权会话无需暴露特权账号密码。

●特权会话记录

PSM的硬盘录像机回放式的记录特权会话，应对事件的分析和司法审查： SSH会话击键日志以及Oracle/MSSQL会话命令审计；

用“时间点”的方式搜索特权事件，观看其中一段会话记录；

单台服务器支持超过100个并发会话记录，存储为高度压缩格式；

可扩展性和负载均衡、高可用性；

隐私规则的支持，允许当会话开始录制时在屏幕上通知用户。

●企业级架构

中央管理和存储分布式体系架构，提供统一管理、审计和监控界面；

能够与企业基础设施进行集成，包括目录服务、用户管理和验证、SIEM、SNMP、Syslog以及SMTP。

4.1.3 AIM介绍

AIM解决了在应用程序代码、配置文件和脚本中的密码存储、审计、管理的难题，使所有的高度敏感密码，集中和安全地存放在HaiYi-PAS的密码保险库中。利用这种独特的技术，企业能够符合内审和外审的合规性要求，做到密码定期更换，并且可以监控对所有系统、数据库、应用程序的特权访问。

4.1.4 OPM介绍

OPM通过策略集中控制操作系统特权命令，对UNIX/Linux/Windows基于个

人的特权命令作精细化访问控制，替代了SUDO与Windows组策略的方案，使得类似的控制具有企业级、集中化、简单管理和强化审计能力的特点。工作方式如下：

1)特权账号管理员在PVWA中定义IT人员相应的策略（命令行的黑白名单）；

2)IT管理员通过传统的方式登录UNIX/Linux/Windows服务器；

3)OPM Provider读取相应的策略，并缓存在本地；

4)当IT人员需要执行某些特权命令时，进行部分提权完成任务，同时OPM

Provider会将此提权命令进行记录；

5)审计人员可以通过文本对IT管理员的命令进行审计。

4.1.5 SKM介绍

SKM保持与企业一致的安全策略，能够保障企业SSH密钥安全、更新和控制访问。该解决方案还提供了强大的访问控制，以确保只有授权用户才能访问私钥，以及报告功能来审核密钥的使用。SKM具有以下功能特点：

SSH密钥安全存储在密码保险库里；

强有力地对SSH密钥的访问控制；

SSH密钥自动更新/轮换功能；

详细的SSH密钥使用报告。

4.2 产品功能

4.2.1 账号管理功能

●账号集中管理

特权账号从创建、授权、发布、使用、冻结、解冻及回收等一系列生命周期的管理以及用户集中管理。

●灵活快速查询机制

●账号密码批量导入

●密码自动修改

●密码策略可手动定义。

●密码定期验证策略，保证密码一致性

●日志防篡改

●密码历史版本保留

●一次性密码策略

4.2.2 身份认证集成

支持LDAP、Radius、数字证书等认证方式，均可灵活配置，可以根据用户、受管系统级别、特权账号用途等角度分别定义和配置认证强度。

4.2.3 授权管理功能

●角色授权

在平台层面的用户创建，可细分到用户是否具备增加保险柜的权限、是否具备审计人员的权限、是否具备增加平台用户的权限、是否具备重

置平台用户密码的权限、是否具备解锁平台用户的权限、是否具备配置

AD映射关系的权限、是否具备备份系统和还原系统的权限等。

在实际运维操作中，可对角色权限进行非常精细化的定义。对于账号管理平台，可包含：平台管理员、特权账号管理员、特权账号使用者、

审计员这四类角色。平台管理员有管理整个平台服务和配置的权限，特

权账号管理员有管理系统账号及密码配置的权限，特权账号使用者可以

登录受管系统，审计员可以定制查看审计报表。

●访问控制

未授权用户需登录某受管系统时，可由该用户在平台上发起登录申请，平台可主动提醒受管系统管理员有新的登录申请，并由该受管系统

管理员或其它有权限审批的用户审批后可登录。对于如上的登录申请审

批，可以灵活定制，针对部分系统账号设定为申请审批的登录模式，也

可针对部分账号不设定申请审批的模式。

4.2.4 审计管理功能

●账号使用审计

平台可设定专门的审计人员（只具备审计功能，不能查看密码）用以审计：用户登录受管系统信息、用户登录申请和审批信息、账号密码

变更记录、密码一致性检查、密码修改日期检查、密码复杂度检查、用

户角色及权限分配、账号分配、账号清单、用户身份认证方式等。

●审计信息查询

审计记录的查询可在浏览器中输入任意的组合进行查询检索。

●录像审计

针对所有单点登录方式，均实现录像审计。

●操作命令审计

用户登录受管系统后的所有系统行为都可进行操作日志记录和屏幕录像。并支持操作回放，包括字符回放或视频回放。

●报表管理

统计报表可分为5个大类进行报表的自动生成。审计报表可进行灵活的定制。

4.2.5 单点登录功能

●统一登录界面

平台提供Web方式的统一登录界面。

●特权单点登录

单点登录的操作系统包括各版本的Windows Server、Unix（如AIX、HP-UX、Solaris、Sco Unix ）、 Linux（如SuSE Linux、Redhat Linux）等, 数据库包括各版本的SQL Server、Oracle、Sybase ASE、Sybase IQ、Informix、MySQL等。

●丰富的客户端

平台支持各种客户端登录工具的单点登录。字符类客户端登录工具包括SecureCRT、Netterm, 图形类客户端登录工具包括XManager、

SQL*plus、PL/SQL Developer、Sybase Central、isql、MSSQL Studio Management、VMWare vClient等。

●双人会同

登录受管理的系统时，管理员A只能具备申请使用密码的权限，而管理员B只能具备审批的权限。当同时有三个人对系统进行运维时，可设定一人申请使用密码，其他两人中任意一人审批即可实现会同登录功能。

同时，平台还可设定最少需要多人都审批了才可以获得密码的使用功能（默认为1人）。

●实时监控

运维操作人在管理员桌面上进行操作时，审计人员可在审计桌面上观看操作过程。如果监控发现异常行为，审计人员可将运维操作人员的连接中断。

4.3 产品优势

●HaiYi-PAS对特权账号进行集中管理，包括集中的存储、集中的访问授

权和集中的密码自动化更改等。

●HaiYi-PAS能够提供专门的密码安全存储方案。拥有专业技术Vault密

码保险箱，确保密码和审计信息的安全存储和分享。

●HaiYi-PAS具有广泛的程序开发语言和平台支持性。

●HaiYi-PAS采用分布式部署架构，所有敏感数据只存储在密码保险箱中。

●HaiYi-PAS采用无代理部署，不需要在企业的服务器上安装任何的代理

程序。

●虚拟环境中自动发现特权账号,方便管理维护。

下图描述了用户（管理员）使用HaiYi-PAS访问被管理系统的示意图，每一个组件分别安装于一台服务器上（具体部署时，PSM/PVWA/CPM可以共存于一台服务器）。

1)IT管理员通过浏览器访问PVWA：进行审计、密码获取、单点登录。

2)单点登录时，浏览器打开至PSM服务器的RDP连接，由PSM自动代填密

码，为管理员打开至目标服务器的会话，包括SSH、RDP、Oracle、DB2、

FTP等。

3)审计人员通过PVWA查询在线会话后，亦可登录PSM进行同步监控在线会

话。

4)会话结束后PSM服务器将相关录像及操作文本上传至密码保险库中。

5)如果存在密码被查询后，CPM会在一段时间后对目标服务器上的账号进

行密码重置。

6)EPV Replicator作为EPV套件自带软件，将Vault数据以加密形式定期

导出，后续企业备份软件可以保存并导入移动硬盘用于未来恢复。

●总部部署主备Vault服务器各1台，为Vault故障出现切换，两台

Vault之间数据通过HaiYi-PAS自带软件DR Service进行数据同步。

●PVWA/CPM安装在两台服务器上，通过NLB对IIS Web站点（PVWA应用）

进行负载均衡，PSM安装在两台服务器上，2个PSM和PVWA组件均为活动状态，相关配置依据PVWA设定。由用户即时连接的PVWA来决定使用当前的PSM作为单点登录。

●CPM/PVWA/PSM组件均配置中均可指定两个Vault地址，所以当主Vault

出现异常，备用Vault托管其他组件发来的请求。

●在所有受管系统上，不需要安装任何代理程序，CPM和PSM均通过常用

协议（WMI、SSH、ODBC）等方式和受管系统互联。

●当两个Vault均出现故障时，能够利用Replicator备份数据来恢复系

统。恢复过程：重新安装1台Windows服务器，安装Vault服务，进行

数据导入。当操作系统准备后，恢复数据时间为15分钟。

4.6建设蓝图

根据海颐软件以往的实施经验，我们建议从EPV/PSM入手，通过加强密码管理、对特权账号的操作审计以及利用OPM降低特权账号的使用频率，形成初步完整的特权账号管理方案；在未来账号管理成熟度充足时逐步利用AIM覆盖应用内嵌账号。

4.7 故障应急处理

4.7.1 故障转移

若实际发生故障则通过以下几种切换访问方式：

●主Vault故障：备Vault自动启动，相关组件自动切换到备Vault中，

无需人工干预。但是已有PVWA会话需要重新连接，PSM会话不受影响。

●PVWA故障：PVWA存在多个服务器，并进行负载均衡，故障时将去除负

载均衡服务器上的一个IP地址。

●CPM故障：通过Windows 集群技术，自动切换到备机中。