特权安全管理解决方案

数据中心存在的问题建立集中的数据中心安全运营管理，向云模式靠拢逻辑上将人与目标设备分离，全局唯一 标识，隐藏设备管理帐号

；将数据包围在数据中心，离线数据以脱敏或加密的方式存在；通过实施 体系转变传统IT安全的 响应模式，建立面向用户的集中、主动的安全管控模式；现在过去转变关注数据中心安全专网DDoS流量过滤/行为管理IPS

防御区-数据中心数据脱敏终端办公区IDS

检测账号安全管理数据中心运维区边界内网

交换机边界安全内网安全基于业务的审计风险评估与渗透测试IP生命周期管理、接口管理安全大数据分析/可视化SOC/4A地市接入区开发第 接入区外部DMZ区Web应用网关数据中心交换机ISP1ISP2链路LBSDMZ区开发测试区异地容灾互联单位典型数据中心安全视图2014年国内外安全事件层出不穷①

1月，韩国发生金融行业最大规模

及约2000万用户，共1亿多条

被个人信息泄密事件，涉，，最多的用户有19项个人信息被

了，多名高管因此事引咎辞职。②3月23日凌晨，携程被爆安全支付日志可遍历量用户 信息

，其中包括持卡人

、，因此导致大号、号、卡CVV码、6位卡Bin。③

7月24日，欧洲

遭到网络开的外部 的数据库，窃取了该行，上1.5亿攻破了该行公者的电子邮件在内的和联络人的细节信息。电子邮件、部分街道地址和部分未加密数据被利用。④

9月，

家得宝公司确认其支付系统遭到网络5600万张

的信息

，这比去年发生在，将近有的客户数据

事件还要严重。⑤

10月2日

，

大通银行承认7600万家庭和700万小企业的相关信息被

。身在南欧的 取得、住址、银行信息也遭到大通数十个服务器的登入权和电邮地址等个人信息，。受影响者人数占限，偷走银行客户的与这些用户相关的

人口的四分之一。安全

之APTn.xls”；公司展开进一步A中g

server）遭，攻料并以FTP传送至远邮A件PT全，称附：A件dv名anc为ed

“Per2s0is1t1entRTehcrerautitm其中AP一T是位指员高级工的将持其续从性，中是取针出对来特定阅读织，的被多方当时的位的；e是F一la种sh以的商0业d和ay

（的的C网VE络-

类1-别0，60通9）命常使用先进的

对特定目标进行长期持续性的网络B蔽o等tN特e点t的；C&C服务器的破坏，而是以步步为重每一”个人特物定，目标紧，接不着相管也无理法员通相过一黑次；1.者cur给ID窃R取S案A例的：母公司EMC的4名员工发送了两组2011年3月，EMC公司下属的

公司，部分2.A在PT（拿S高e到c级urS持IeD续技c性u术r渗I及D述，被

者其

导对致使很用多使Se用curID的3.

SecurID作为认据

络的公司受到，重要资料取。持续性同发性个人终端突破向量多社工0DAY通道加密缓慢长期社工跳板APT最终的目标就是特权账号长期窃取控制深度渗透获取凭据是成功的必要条件Mandiant,

M-Trends

and

APT1

Report都涉“…100%

的信息及到了凭据丢失“高级持续性

APT首先尽各种可能找到可以利用的

账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务

的账号。新的网络战场:在你的内网中超过90％的企业已经及发生过安全事件的由“我可以在

停止一切网络

” 性变为“我不能停止一切在网络 。”网络的重点转移到了关键资产的主动防护实时检测正在进行的70％是要防止安全事件-以及是最昂贵的和意外的

人員“任何人在位于 存取，并拥有 技术能力，就能把 资料找出来”事实不言自明：你也将会受到攻击及破坏没有绝对安全性这样的事情者时刻会变得更加聪明和改变战术负责任和持续投资在资讯科技的企业将继续受到影响100%所有的受害者已有的防94%94%的安全事件是由第416416天是APT在未被发报告出来 现之前已在网络的 隐藏且活跃的时间100%所有的安全事件会涉及 取的用户账号Mandiant,2013帐号“取得你的重要信息必由”资产一旦被 ，所有路向都会通住帐号网络设备主机数据库SystemsIntegrationPartnersTemporaryStaffCloudServiceProvidersOff

ShoreDevelopersContractorsInternalUsers用户外包开发者承包商云服务供应商临时系统集成商合作伙伴哪一个是攻击者?哪一个是授权用户？4大关键步骤预防APT先把企业内的

帐号找出来然后把

帐号妥善地保护及管理比如最小权限控制、职责分离等控制，

和监测对于目标服务器和数据库上的使用对

帐号的实时分析，

和响应到正在进行的数据中心到底有多少账号操作系统ZOS/UNIX/Linux/WIN/AD安全设备网络设备数据库

DB2/Oracle/MSSQLTeradata应用 应用部署中间件WebSphere,WebLogic系统服务应用内嵌的账号虚拟化管理Windows的Cluster服务、计划任务、中都需要绑定域账号设备中的root或者enable账号管理 比如备份， 等系统的管理员账号账号管理要求登录会同操作会同变更/事件/服务不合规提醒每90天修改不同于前7个密码版本一次一密

最近N个不在同一位置出现相同的字符特殊字符大小写长度强化账号一次一密使用后N小时过期随 码，无人知晓，防每天梳理数据中心的账号列表，

不合规安全控制团队进入

常态化，智能化高频度账号回顾与梳理管理类账号、应用内嵌类账号不同管理接口：zos,ssh,odbc,http,win等管理范围全面、不允许知晓双因素认证双人会同、分段变更管理账号使用作严格控制•操作会话与命令行回溯账号使用尽量减少使用特定任务不允许使用，或将所需剥离出账号最小权限原则账号管理最佳实践–要点与难点账号建立使用申请与账号使用账号审计账号回收1、把用户作为一种特殊而关键的资产，具有资产属性特征的生命周期；2、建立 的安全管理机制，逐步覆盖所有重要用户，实现对用户从生成到注销的全生命周期 与审计；3、利用PDCA思想，建立整个生命周期管理过程，覆盖

账号管理的各个环节。（计划、执行、检查、行动）解决方案思路网络设备，响账号的主动保护，应账号的用户可以使用主动保护只有责任到人权限最小化定向24小时不间断地账号

行为检测高风险活动工业控制系统Hypervisors数据库/应用系统终端设备社交实时响应会话终止账号使用情况可以做为外部者外部外部者外部者1、建立用户台账；2、安全责任；3、自动策略合规；4、操作全程 ；5、快速审计溯源；6、 分析；主要提供以下功能：1、用户自动发现（资产盘点）2、用户列表（资产

）3、用户变更报告（资产变化）4、可视化用户分布图（资产位置）建立用户台账主要提供以下功能：1、 门户，单点登录，防止绕行；2、责任到人：主账号与自然人的唯一性关联，确保责任

；3、责任变更：随同 岗位变更、工作职责变更、离职等情况，用户进行相应变更或回收。安全责任主要提供以下功能：1、 进行集中托管，使 远离

；2、 进行自动更改，满足安全和合规要求；3、关键操作实现双人会同，分段

；4、所有 操作留痕，满足合规性审计要求；5、用户权限应用级命令级细粒度管理，实现权限最小化自动的策略合规性主要提供以下功能：1、操作会话从建立到中断被全程监控，并有详细操作留痕；2、实时 ，高危命令告警与提示；3、无论命令行还是图形界面操作，都可以细化到命令级别的日志记录；4、对于 执行操作，识别并记录中 令；5、对操作的 记录要进行细化分段，以利于审计；操作全程主要提供以下功能：1、防篡改的详细审计日志2、能够通过关键字段快速地查找到相关的日志记录和操作

；3、支持丰富的自定义审计报告和图形展现。快速的溯源，主要提供以下功能：1、自动学习 操作行为特征并建模（基于时间、位置、操作命令等的度关联）；2、对异常高权限操作行为进行告警及时发现 行为；3、可以灵活自定义告警策略和告警方式（支持邮件、

）账号安全管理方案架构险库企业保会话管理应用管理按需分配管理WEB门户主策略管理器安全数字保险库分析（PTA）基础技术平台主动管控组件分析保护响应Key管理账号扫描引擎流程安全策略账号报告控制账号提供使用DR服务器PROVIDER邮件服务器动态口令服务器电子签名同步账号管理控制目标设备net

|SSH

|

RloginFTP

|SFTP

|

Win

Term应用系统网络设备数据库主机生命周期账号账号日志/审计会话控制控制命令控制管理员员工第离职员工基础认证多因素认证外部认证OTPPKIBioSmart

CardLDAPSSORADIUS认证

单一用户界面用户。。ID/PWIP/MAC。。CyberArkCyberArk应用内嵌系统逻辑架构图强大的目标支持能力ADSunOneNovelUNIX

KerberosUNIX

NIS数据库Central

Policy

Manager服务器控制和系统通用接口操作系统WindowsUnix/LinuxAS400OS390HPUXTru64NonStopESXOVMSOracleMSSQLDB2InformixSybaseMySQLAny

ODBCFW1,SPLATIPSOPIXNetscreenFortiGateProxySGHMCHPiLOALOMDigi

CMDRACSSH/

netODBCWindowsRegistryConf

fileTextfile应用SAPWebSphereWebLogicWindows:ServicesScheduled

TasksIIS

App

PoolsIIS

AnonymousCOM+Oracle

Application

ERPSystemCenter

ConfigurationManagerDatabase

columns网络设备CiscoJuniperNorAlcaQuntumF5企业IT环境Web应用系统WEB界面基础技术平台基础平台概述主策略管理器所有策略控制策略通过 界面管理和设置覆盖整个组织的为用户提供基于角色的控制安全数字保险库七层安全机制保护 凭证和文件为为所有凭证和文件提供高度安全的集中化存贮会话审计数据提供可控的高度安全存贮保险库账号扫描引警发现网络内的 账号看到哪些账号未受公司策略管控无论本地、域和服务关联账号基础平台功能说明功能好处通过单一的设施满足所有

账号安全管控要求发现组织所有的 账号集中设置和 所有策略七层安全机制保护敏感凭证和文件把所有会话活动数据存贮在防篡改的保险库中理解当前 账号安全状态，并制定围绕数据的风险管控计划强制实行覆盖整个组织的 策略，达到安全强化和合规的目标。使组织绝大多数关键资产被成功的风险最小化满足合规性要求,防止 行为人隐藏其行为踪迹单一平台可以获得最优的管控效果主动管控组件主动管控:五大组件网络设备主机Mainframes数据库应用安全设施Websites/Web

Apps云设施企业保险库(EPV)企业

保险库企业资源安全存贮*****更替终端用户WEB门户企业

保险库(EPV)功能说明功能好外把所有集中存贮在高安全性的保险库中降低因丢失或统非导致的

系风险基于角色和策略对和共享账号进行控制仅允许系统，主动管控生命周期，包括创建、更替和销毁强化主动更用户和应用降低 程度。安全性，满足要求替的合规性要求生命周期管理过程自动化无须人工干预，降低IT运营压力提供所有和使用的行为报告完整的轨迹审计满足合规性要求，确保 不被乱用。主机ainframes数据库应用云设施SSH

密钥管理SSH

密钥管理Unix/Linux

资源终端用户WEB门户安全存贮Priv.密钥更替与分发SSH

密钥管理功能说明功能好处把SSH密钥集中存贮在高度安全的保险库中系统降低SSH密钥被的非或盗用导致风险。Unix/Linux系统，用户和应用降低程度。对用户或应用使用的SSH密钥进行基于 仅允许角色和策略的 控制自动更替SSH密钥对并向目标系统分发公钥消除人工干预，限制 用户通过操作窗口使用已泄密密钥。审计SSH密钥的使用，并提供报表。完整的轨迹审计满足合规性要求，确保特权密钥不被乱用。网络设备主机Mainframes数据库应用安全设施Websites/Web

Apps云设施会话管理(PSM)

会话管理企业资源终端用户WEB门户会话管理器*Layered

with

Enterprise

PasswordVault会话管理(PSM)功能说明功能好处无须向用户 凭证的情况下，用户可以连接需要 的系统。防止用户在绕过会话 的情况下直接访问 系统。防止用户终端的

到

目标系统。通过安全的跳板服务器把所有的连接变成独立的 会话。在安全跳板服务器上 所有会话。无须在终端安装任何时会话的情况下获得实能力对每个记录和详细会话进行审计日志。获得完整的审计记录，满足合规性要求，快速定位处理安全事件。所有会话记录和审计日志都被安全存贮在防篡改的数字保险库中。防止对审计日志的非 ，以满足合规性要求，确保用户不能编辑或删除其行为踪迹。网络设备主机Mainframes数据库应用安全设施Websites/Web

Apps云设施安全存贮和SSH密钥更替*****类型系统内嵌账号客户关系管理系统人力资源系统系统应用管理应用

管理企业资源应用WebSphereWebLogicIIS

/

.NETLegacy

/HomegrownUserName

=

“app”Password

=

“y7qeF$1”Host

=“6”ConnectDatabase(Host,

UserName,

Password)UserName

=

GetUserName()Password

=

GetPassword()Host

=GetHost()ConnectDatabase(Host,

UserName,

Password)应用

识别功能（AIM）说明功能好处更替用动态凭证替换硬编码 和本地存贮SSH密钥自动更替应用凭证，并更新对应系统使变更有效。在提供目标系统凭证前把应用进行认证并加入保险库。在每个被管理系统上对应用凭证进行加密缓存可以按照需求对多个应用进行集中部署或在每台应用服务器上进行本地部署系统凭证以减少安全

，满足合规性要求在减少IT运营压力的同时降低风险，满足合规要求。防止潜在的非 应用 系统降低响应延时，用安全存贮的本地凭证确保高可用性灵活的部署能力，满足业务和应用的可用性需求UnixLinux目标资源Windows

WindowsServer

PC

OS按需分配的(OPM)管理按需分配的 管理终端用户3.

有效策略4.

授予权限:用户标准提升的不允许的1.发送权限提升请求2.

用户认证按需分配的管理(OPM)功能说明功能好处基于用户限制管理权限，强制权限最小化用户可以在符合策略的基础上进行按需的自动提升权限。在使用提权的会话中，会对所有管理行为进行审计记录应用白可以允许在指定系统中持续运行。集中管理所有 策略基于角色的管理权限限制可以有效减少通过自动提升权限保证IT运营效率和记录所有提权行为和操作，以发现潜在 ，满足合规性要求简化IT流程，强化应用管控，减少威胁。强制在整个组织内

实施权限最小化策略，有效管理风险，满足合规性要求。分析（PTA）分析(PTA)正常异常ALERT:SIEM

&CyberArk行为分析SIEM

解决方案登录信息目标系统数据目标:从噪声中发现信号.使SOC可以快速定位严重的告警.行为分析:

具有自我学习能力的智能统计分析模型，基于自有算法、登录信息和兼容SIEM模块 的目标系统数据分析（PTA）功能说明功能好处分析所有账号登录数据，学习和建立用户行为模型理解用户行为模型有助于发现异常和可疑活动通过SIEM目标系统数据，建立目标系统的活动模型通过账号管理系统和SIEM进行异常活动告警。使用动态习自有算法分析用户和系统活动识别最严重的事件，使之不被大量基于规则的选区信息