一种特权账号管理中台系统的制作方法

本发明属于密码中台管理领域，特别涉及一种特权账号管理中台系统。

背景技术：

长期以来，由于it水平的限制，多数的特权账号保留于系统管理员手中，所以对于特权账号的管理仅仅停留于准入的管理和审计，但近年来，随着云计算、物联网、5g技术的发展，特权账号急剧增长，特权账号无处不在，各种物联网探测设备、自动化工具、大数据平台等等，it系统也无时不刻的关联或调用着特权账号，特权账号的全生命周期早已脱离手工保存和准入审计的范畴，需要特权账号管理中台系统实现南北向管理和消费的功能。

技术实现要素：

针对现有技术存在的不足，本发明目的是提供一种特权账号管理中台系统，以解决上述背景技术中提出的问题。

本发明的技术方案是这样实现的：一种特权账号管理中台系统，包括南向引擎、策略引擎和北向引擎，南向引擎用于对企业数据中心的特权账号；

策略引擎用于对特权账号的合规性进行检查和分析；

北向引擎用于解决南向引擎中纳管的特权账号的密码消费能力。

作为一优选的实施方式，南向引擎包括四部分，账号发现、账号管理、使用审计和威胁分析；

其中，账号发现用于对企业的账号进行实时或定时检测、扫描、发现，通过账号发现对某一个目标进行扫描，最终根据扫描出来的结果做一个数据分析，和图标呈现，使得企业或组织的人员通过扫描概况页面清楚的了解到他们特权账号的分布情况，扫描完成后将账号进行汇总，然后对账号进行评估、分类，并且将分类完成的特权账号主动的纳管至特权账号管理中台系统，做统一的自动化运维管理；

账号管理用于将企业资源中的特权账号进行统一的管理，实现统一单点登录、密码代填、权限划分，统一单点登录主要实现为用户提供统一的登录入口，并且登录时会进行身份的验证，能够保证访问人员的合法身份；密码代填主要实现在用户登录系统后，要访问目标端时，系统会自动帮我们代填，使用人员无需知道密码，保证了密码的安全性；权限划分主要实现对用户使用特权账号的权限做一个细粒度的划分，保证每个人的权限都是最小化、合理化的；

使用审计用于会话实时监控和审计，会话实时监控主要实现对登录系统后使用的会话过程都会被记录下来，并且系统还能实现操作人在a终端上进行操作时，审计人可在b终端上观看操作过程，如果认为该操作人的行为是不安全的，也控制干预，终止这个会话；审计主要实现会将会话使用的过程保存为视频或文本的方式，统一存储，供事后的追溯和溯源；

威胁分析用于对已接管各类系统的帐号去深入扩展网络信息和系统信息，通过分析学习监控对象的数据，判定异常行为产生威胁预警，并且会建立特权账号行为监控机制，实时检测、预警特权账号异常行为。

作为一优选的实施方式，策略引擎包括四部分，策略引擎一、策略引擎二、策略引擎三和策略引擎四；

其中，策略引擎一用于对特权账号访问的管控，例如企业中敏感的特权账号需要使用时，启用审批流程，只有通过上一级的负责人同意后，才能使用；或者企业中的第三方外部人员要使用账号时，设置一次性密码访问，当第三方人员使用完账号之后，就立即更改该账号的密码，保证密码的安全性，

策略引擎二用于对密码策略的管控，系统可根据所托管的不同目标设备和系统制定不同密码策略，在制定策略后，自动生成符合密码强度和复杂度要求的密码，实现满足合规性的要求，同时系统可设置定期的去验证密码、更改密码，设置完成后，系统会自动的去定期执行；

策略引擎三用于审计保留日期的管控，系统设置审计日志要求保留的时间，达到满足企业中对审计日志保留时间的要求；

策略引擎四用于威胁分析策略的管控，通过威胁分析的策略设置，可对正在进行的攻击发出准确的实时报警，显著缩短攻击者的机会窗口并减少损失；同时可及时访问关于攻击的详细信息,加快补救速度。

作为一优选的实施方式，北向引擎包括四部分，消费引擎一、消费引擎二、消费引擎三和消费引擎四；

其中消费引擎一用于解决在中间件、应用程序代码、配置文件和脚本中的密码存储，将所有的高度敏感的明文密码都以函数的方式展现，并且将密码集中和安全地存放在系统中，使企业能够符合内审和外审的合规性要求，做到密码定期更换，并且监控对所有系统、数据库、应用程序的特权访问；

消费引擎二用于解决在自动化工具、容器化中的使用场景，如devops、jenkins、ansblie，对分散在自动化工具上的特权账号，实现快速自动化批量纳管业务应用，通过接口调用，达到明文密码不落地的效果；

消费引擎三用于轻量级的应用，需要频繁性的输入密码的应用，通过网络访问方式即可取密，能够保证安全性的同时又非常灵活；

消费引擎四用于提供多种类型的接口，支持不同的开发语言，如.net，java，c，c++，vbscript，命令行，类似的语言，具有很好的多语言支持性。

采用了上述技术方案后，本发明的有益效果是：可以实现自动化的管理和运维，同时还可以将自动化管理后的特权账号的密码消费给北向引擎中的应用，达到企业应用系统的业务的有序和业务的不中断。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还根据这些附图获得其他的附图。

图1为本发明特权账号管理中台系统的结构示意图；

图2为所述实施例中南向引擎的结构示意图；

图3为所述实施例中策略引擎的结构示意图；

图4为所述实施例中北向引擎的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本发明提供一种技术方案：一种特权账号管理中台系统，包括南向引擎、策略引擎和北向引擎，南向引擎用于对企业数据中心的特权账号，例如操作系统、数据库、网络设备、安全设备、工控设备、虚拟化、自动化工具及云平台上的所有特权账号都能做自动发现并且主动的纳管到特权账号管理中台系统上，然后将纳管到系统中的特权账号做全生命周期的自动化管理，无需人为去干涉，

策略引擎用于对特权账号的合规性进行检查和分析，要使数据中心特权账号的管理能够满足《密码安全法》、《网络安全法》和《信息安全技术网络安全等级保护基本要求》等的法律法规，例如对密码复杂度的要求、密码更换的频率及密码定期的验证等等，以及对高权限的特权账号还启用审批流程，保证高权限的特权账号使用是安全的、可靠的，

北向引擎用于解决南向引擎中纳管的特权账号的密码消费能力，例如在南向引擎中将特权账号的密码更换后，能够保证在北向引擎中保持业务的不中断，并且还要保持业务的有序，实现企业资源的特权账号能够有全生态的能力，确保特权账号能够给南向引擎去管理，又能够给北向引擎提供密码消费的能力。

请参阅图2，南向引擎包括四部分，账号发现、账号管理、使用审计和威胁分析；

其中，账号发现用于对企业的账号进行实时或定时检测、扫描、发现，通过账号发现对某一个目标进行扫描，最终根据扫描出来的结果做一个数据分析，和图标呈现，使得企业或组织的人员通过扫描概况页面清楚的了解到他们特权账号的分布情况，扫描完成后将账号进行汇总，然后对账号进行评估、分类，并且将分类完成的特权账号主动的纳管至特权账号管理中台系统，做统一的自动化运维管理；

账号管理用于将企业资源中的特权账号进行统一的管理，实现统一单点登录、密码代填、权限划分，统一单点登录主要实现为用户提供统一的登录入口，并且登录时会进行身份的验证，能够保证访问人员的合法身份；密码代填主要实现在用户登录系统后，要访问目标端时，系统会自动帮我们代填，使用人员无需知道密码，保证了密码的安全性；权限划分主要实现对用户使用特权账号的权限做一个细粒度的划分，保证每个人的权限都是最小化、合理化的；

使用审计用于会话实时监控和审计，会话实时监控主要实现对登录系统后使用的会话过程都会被记录下来，并且系统还能实现操作人在a终端上进行操作时，审计人可在b终端上观看操作过程，如果认为该操作人的行为是不安全的，也控制干预，终止这个会话；审计主要实现会将会话使用的过程保存为视频或文本的方式，统一存储，供事后的追溯和溯源；

威胁分析用于对已接管各类系统的帐号去深入扩展网络信息和系统信息，通过分析学习监控对象的数据，判定异常行为产生威胁预警，并且会建立特权账号行为监控机制，实时检测、预警特权账号异常行为。

请参阅图3，策略引擎包括四部分，策略引擎一、策略引擎二、策略引擎三和策略引擎四；

其中，策略引擎一用于对特权账号访问的管控，例如企业中敏感的特权账号需要使用时，启用审批流程，只有通过上一级的负责人同意后，才能使用；或者企业中的第三方外部人员要使用账号时，设置一次性密码访问，当第三方人员使用完账号之后，就立即更改该账号的密码，保证密码的安全性，

策略引擎二用于对密码策略的管控，系统可根据所托管的不同目标设备和系统制定不同密码策略，在制定策略后，自动生成符合密码强度和复杂度要求的密码，实现满足合规性的要求，同时系统可设置定期的去验证密码、更改密码，设置完成后，系统会自动的去定期执行；

策略引擎三用于审计保留日期的管控，系统设置审计日志要求保留的时间，达到满足企业中对审计日志保留时间的要求；

策略引擎四用于威胁分析策略的管控，通过威胁分析的策略设置，可对正在进行的攻击发出准确的实时报警，显著缩短攻击者的机会窗口并减少损失；同时可及时访问关于攻击的详细信息,加快补救速度。

请参阅图4，北向引擎包括四部分，消费引擎一、消费引擎二、消费引擎三和消费引擎四；

其中消费引擎一用于解决在中间件、应用程序代码、配置文件和脚本中的密码存储，将所有的高度敏感的明文密码都以函数的方式展现，并且将密码集中和安全地存放在系统中，使企业能够符合内审和外审的合规性要求，做到密码定期更换，并且监控对所有系统、数据库、应用程序的特权访问；

消费引擎二用于解决在自动化工具、容器化中的使用场景，如devops、jenkins、ansblie，对分散在自动化工具上的特权账号，实现快速自动化批量纳管业务应用，通过接口调用，达到明文密码不落地的效果；

消费引擎三用于轻量级的应用，需要频繁性的输入密码的应用，通过网络访问方式即可取密，能够保证安全性的同时又非常灵活；

消费引擎四用于提供多种类型的接口，支持不同的开发语言，如.net，java，c，c++，vbscript，命令行，类似的语言，具有很好的多语言支持性；

总之，由于特权账号管理中台系统包括南向引擎、策略引擎和北向引擎，将企业数据中心系统管理员人为管理或通过表格形式管理的特权账号全部纳管至系统中，并且做统一的管理和运维，将特权账号的纳管、使用、密码更换、审计、威胁分析，做到全生命周期的自动化管理，形成一个良好的闭环，通过特权账号管理中台系统达到对特权账号实现自动化的南北向管理和消费的效果，保证企业数据中心资源的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、同替换、改进，均应包含在本发明的保护范围之内。