建恒信安特权账号管理系统PAM_全生命周期账号安全管控平台

立即咨询

立即试用

商务合作

建恒信安特权账号管理系统PAM

建恒信安特权账号管理系统PAM，整合全生命周期账号安全管控平台与密码安全存储管理功能。支持特权账号全流程管控、密码自动轮换及操作审计追溯，助力企业筑牢账号安全防线，提升特权账号管理合规性与风险防控能力。

立即咨询

关于特权账号

何为特权账号？

Gartner 发布的《Guidance for Privileged Access Management》中，术语“特权账号”是数据中心内部，分布在主机、网络设备、数据库等资产上具有较高访问权限的账号，衍生到一切资产上具有可访问权限的账号

十大安全项目之首

特权账号的管理作为数据资产防护极为关键的环节，已经在 2018 年、 2019 年连续两年被 Gartner 评为十大安全项目之首，但目前国内对特权账号安全的认识仍处于早期

账号登录的安全性

产品概述

特权账号——账号改密与威胁分析 icon

账号异常分析能力

通过计划周期性扫描与分析，有效发现弱口令、僵尸账号、幽灵账号、长期未改密账号等高风险账号及其分布情况，无需手动导出结果，可自动化推送指定管理员邮箱或FTP服务器

账号改密能力

基于多线程改密技术和改密脚本自定义能力，有效解决百万级账号周期改密，windows、linux、数据库、网络设备等资产通过灵活的自定义改密脚本进行周期改密；自定义口令复杂度，批量改密、批量拨测校验密码，临时查看口令和历史记录等功能满足不同用户的个性化改密需求

特权账号——密码保险箱安全存储 icon

安全特性：

自主研发的动态加密卡加密技术

密码保险箱独立存储机制

密码算法自定义能力

（SM4/3DES/AES）

管理特性：

与账号列表查看口令关联更安全

历史密码保存次数自定义配置

口令查看后自定义改密配置

基于组织架构的多保险箱管理

特权账号——应用对接及审计 icon

密码获取

通过标准化API接口管理，自定义选择接口加密算法（AES\3DES\SM4）、接口有效时间范围，基于规则和授权方式灵活定义账号密码获取范围，自定义设置不同应用的密码获取，通过web页面下载秘钥导入对应应用，实现应用对接的可控，可管

接口审计

为账号密码的接口请求，提供可视化全面审计；可查看详细信息。例如：接口名称、来源IP、请求时长、返回信息、请求时间、异常信息

特权账号——异常行为检测及处置 icon

账号异常登录检测

通过计划周期性扫描与分析，有效发现被绕行账号、非工作日访问账号、频繁登录账号这些高风险账号及其分布情况，无需手动导出结果，可自动化推送指定管理员邮箱或FTP服务器

处理能力

通过资源台账改密或者锁定的操作加强账号的安全性；另外通过配置访问控制策略，只允许特定的IP地址或用户组访问服务器；实时监控和审计所有用户的操作，包括登录、命令执行等；采用多因素认证或对用户进行授权管理来限制其访问权限等操作可以来杜绝异常行为的出现

特权账号——全生命周期管理 icon

创建

账号发现与分析（弱口令、僵尸账号、幽灵账号、后门账号）

使用

运维登录（web登录和工具登录）、接口调用和临时查看

修改

手动改密、自动改密、批量修改

控制

接口控制，图形策略、字符策略、文件传输策略

审计

接口审计、配置审计、运维审计、计划日志记录

产品优势一

灵活部署
集群弹性部署
两地三中心多活部署
总分分级部署
云虚拟化部署

产品优势二

数据库代理技术
支持数据库运维的录像与SQL语句双重审计，同时支持按照sql语句的定点回放及sql语句的阻断；支持数据库协议代理支持本地数据库客户端单点登录，同时支持数据库命令级审计和命令控制。

实现数据库命令级审计，支持的数据库类型包括：Oracle、SQL Server、IBM DB2、Sybase、IBM Informix、MySQL、PostgreSQL、Tbase，不需采用数据镜像方式实现，以免增加部署的复杂性和网络负担

通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果，并支持通过按照SQL语句进行图形录像的定位回访功能。并可支持mysql、postger、oracle三种数据库的sql命令阻断功能

产品优势三

策略控制
通过限制和监控网络访问权限，保护企业的网络系统和数据免受未经授权的访问和攻击

产品优势四

全面的审计能力
通过特权账号管理审计结合运维用户的实际审计共同来分析能够及时发现和应对潜在的安全威胁，全方位审计记录便于事后溯源

产品优势五

HTML5&控件
支持HTML5方式登录同时支持控件方式登录运维与审计页面支持水印

产品优势六

一键快速运维
单点登录支持一键快速登录和通过历史记录快速登录运维资源支持协同运维

产品优势七

灵活的资源扩展属性
支持按照资源的相同属性设置扩展属性策略相同属性资源可自动添加至授权岗位

产品优势八

特权账号管理能力
密码保险箱的多种加密方式以及二次认证保障账号的安全性；账号分析能力，可定期扫描高风险账号、账号状态等

产品优势九

资源台账
用户可在资源台账页面进行跟踪和管理各种资源下的账号，可及时对各种异常账号进行发现、分析和决策处理，从而减少对企业的损失

产品优势十

先进的图形代理协议
先进的图形审计技术，实现了图形审计的画质，帧间隔，压缩比等自主选择配置。录像文件大幅缩减。

产品优势十一

内嵌改密
支持多种改密类型支持windows服务计划、linux的配置文件、数据库应用程序容器调用数据实现关联改密

产品优势十二

优化应用程序密码引用
支持提供接口或开发SDK解决账号密码明文存储泄露的问题满足合规要求

产品优势十三

密码外发
密码外发接口将密码用加密方式通过接口去发送到对方系统，降低了密码泄露的风险，便捷地与其他系统进行集成，实现统一的密码管理，提高系统的安全性和灵活性

产品优势十四

其他
请求状态、驱动管理功能为账号的改密和账号安全保驾护航

技术优势——机器人模拟技术 icon

通过机器人模拟用户改密，从打开网页输入链接，到在页面输入用户名和密码登录，再到成功登入系统后输入密码进行改密。这种技术突破能力节约了大量人工成本

技术优势——单用户模式 icon

多人共用账号时会出现账号抢占，会话中断，账号被谁使用、是否正在使用等未知情况，影响工作效率。PAM提供单用户模式，创建运维会话连接时仅允许1个用户独占使用，避免账号抢占，使用完毕后释放账号

PAM解决存在绕行运维风险 icon

PAM解决账号密码的管理落地 icon

PAM定制能力强，满足运维未来发展趋势 icon

应用场景

场景一：公安部HW/行业HW/大型集团内部攻防演练/重保

案例：辽宁省电力/中国工商银行

应用背景

最常被利用的的账号问题：
1、IT资源账号的弱口令（123456/123.com）

2、伪强口令问题（公司首字母+com/键盘输入前两列）
3、初始化默认口令（有一定复杂度，但通常都是公开查到的）
4、多个系统设置相同的账号口令5、存储在个人终端上的txt文件
6、长期无人使用的僵尸账号、幽灵账号7、应用系统配置文件的明文密码

PAM能力

1、行动前的账号风险排查，包括：弱口令、僵尸账号、幽灵账号、长期未改密账号等账号风险的发现与预警。以及风险账号的处置，包括弱口令、长期未改密账号的自动改密，僵尸账号、幽灵账号的批量删除等。2、行动中的账号风险监控，通过计划管理，对资源权限变更账号、密码被篡改的账号、系统上新增的未知账号等潜在风险账号进行实时发现和监控

应用场景

场景二：日常运维管理场景

案例：中国人保/光大银行

应用背景

运维场景下账号管理痛点：
1、有特权账号密码，绕过堡垒机直接登录目标资源
2、在测试环境中临时创建测试账号，清除不及时而且都是弱口令
3、账号口令共享使用，难以追溯和定位责任人4、特权账号维护现状都是人工改密，密码重复,易出错，且难以实现90天改一次密码的合规要求5、资源运维存在多入口，可通过控制台web进行运维，只能通过web人工进行改密

PAM能力

1、基于账号发现功能，可以对已知的资产进行账号梳理，并对过期、多余的账号进行批量删除建立账号台账。通过立即改密回收所有运维账号的口令，避免绕行系统
2、对核心基础设施资源进行定期扫描分析，可以及时发现新增账号、长期未登录账号及账号权限的变化，及时发现越权行为或可以绕过审计系统的违规账号
3、通过改密规则和改密周期，实现定期自动改密，满足合规要求，提升账号安全

4、通过机器人模拟技术实现模拟人工访问web控制台、点击菜单按钮、输入口令进行改密

应用场景

场景三：金融数据中心/集团企业网络安全场景

案例：工商银行/邮储银行/光大银行

应用背景

数据中心和集团企业安全管理痛点：
金融数据中心总部和各分行难以实现集中管理1、.和集中审计，对分行进行安全指导和策略下发管理

2、金融总部和分行网络互通，集团企业和二三级单位网络互通，都面临着之下而上攻击风险，攻击者通过拿下分行，再攻击到集团核心系统

PAM能力

1、通过集群模式部署，可以支撑金融数据中心百万级的特权账号管理需求，同时基于多域部署可以实现配置策略下发和特权账号密码集中安全存储和集中审计

2、通过账号风险全局监控，持续检测核心资产的弱口令、僵尸账号、幽灵账号、长期未改密账号等风险账号，并生成图形化报表，系统管理员可以监测到整个集团的账号风险及其分布情况，并责令相关部门进行整改

产品价值

加强信息安全