Cyber-ArkPIM特权密码管理模式-广东七色信息科技有限公司.DOC

Cyber-Ark PIM 特权帐号管理解决方案简介 广东七色信息科技有限公司 内容 1. 什么是PIM 2 1.1 什么是PIM 2 1.2 为什么要有好的PIM? 2 2. Cyber-Ark PIM 如何解决问题 4 2.1 特权帐号管理现状 4 2.2 Cyber-Ark PIM特权密码管理模式 4 2.2.2 安全的密码存储 6 2.2.3 自动化的密码管理 6 3. 再说流线型管理流程 9 什么是PIM 什么是PIM PIM(Priviliged Identity Management) ，特权帐号管理，属于帐号管理（Identity Management） 范畴，PIM主要针对“特权”帐号的管理，比如，Linux/Unix 的Root 帐号，Windows administrator帐号。 特权帐号类型： 通用/共享的管理员帐号 任何设备，平台，数据库，或者其他应用系统，都有一些必然存在的帐号，比如，Linux/Unix 的Root 帐号，Windows administrator帐号，Oracle Sys帐号，等等。这些帐号在IT人员之间分享，并且往往拥有极高权限。 一些权限比较大的个人帐号 有些个人帐号权限很大，或者这些帐号可以访问公司核心数据，它们也是需要得到很好管理的帐号。 比如，CFO 个人在信息系统中的帐号， DBA 的帐号，等等。 应用程序帐号 应用程序也需要“帐号/密码”去访问一些资源，比如，访问数据库中的数据，或者，访问其他应用程序。这些帐号的管理会更为麻烦，因为应用程序不像人，它们甚至缺乏最基本的管理能力，“帐号/密码”只能明文地写在代码或者配置文件中，密码的更改和同步如果缺少合适的自动化的解决方案，几乎无法做到。 特殊用途的帐号 在执行某些特定任务时需要一些特定的帐号，比如，在执行业务连续性或者灾难恢复任务时需要用到一些特殊的帐号，这些帐号的使用往往需要管理审批流程。 为什么要有好的PIM? 特权帐号和密码是通向信息系统的大门的钥匙。如果连大门的钥匙都管理不好，很难想象信息系统的管理水平能够达到安全要求。每个企业都有自己的PIM策略，它可能是人工的，也有可能已经部署了自动化的解决方案。比如，把密码存放在Excel表中，就是PIM的行为的一部分，只不过不够安全，也难以维护而已。 无论是从法规遵从，还是从提高企业信息系统的可管理性和安全性的角度，如果您不能确定您的信息系统处于“可管理”的状态，那么，您需要改善对特权帐号和密码的管理。更具体一点，如果您的信息系统管理存在以下缺点，那么，您需要一个更好的PIM解决方案来帮助您更好地管理特权帐号和密码这些企业信息系统最关键的资源. 您是否有渠道能够很容易地了解关键系统的被访问情况，谁什么时候通过什么帐号访问了什么系统。简单地说，对于特权帐号的访问，您是否有审计能力？如果没有，你的信息系统基本处于“非管理”状态，因为您没有“了解”的能力。 您是否能够了解一个系统有哪些人有访问的权限？也许您还不能够做到这一点，因为对一个系统的访问需要的帐号和密码可能是各个系统的负责人在管理，问题是，它自己可能也记不得到底有几个人从他这里拿过帐号和密码，他们给出这些帐号和密码后，获得这些帐号和密码的人后面会何时并如何访问这个系统，对于这些问题，系统的负责人也没有能力把握，即使需要付出很高的生产力和效率的代价。 您能否确定您的IT环境中的所有系统都在执行您认为安全的密码管理策略？对于特权密码的管理策略，您一定有很多想法，密码要定期更改，密码要足够长度，密码要足够复杂，密码存放要安全，如果有人申请使用某个密码，在释放密码后要适时更改密码，以保证该系统只能在合理的访问要求下被访问。。。所有这些，都是很好的想法，问题是： 如何执行？ 您也许会常常烦恼于如何平衡“安全/流程” 和 “效率/生产力”。 一些法规要求企业对信息系统要有很好的“内部控制”管理能力，您是否已经拥有了这种能力?如果您不能做到清楚： 谁（WHO） 在何时（WHEN） 因为什么原因（WHY） ，以何种方式（HOW），访问了什么（WHAT）系统，那么，您需要提升您的信息系统的可管理性和安全性。 Cyber-Ark PIM 如何解决问题 特权帐号管理现状 国内很多企业的特权帐号管理都处于很原始的人工阶段，无法在安全/流程 和 效率/生产率之间达到合理的平衡。 一般方法: 存储: Excel表, 物理保险柜, 笔记本, 柜子, 记忆, 固化在应用程序或者服务中 重设: 安排专门的IT人员处理, 一般以手工方式 知晓人员: IT人员, 网络操作人员, 帮助中心, 开发者等 一般存在问题: 知晓者众多，出现安全问题无从追究 密码经常不改 密码丢失 多个系统共用一个密码 密码简单 需