ll7XDmsNun3K
情景一:x医院现有业务系统100+,所对接的数据库已超300+,业务系统再持续扩大。针对目前数据库访问该医院数据中心技术人员是这样描述的:内部人员和第三方人员访问数据库的访问路径、访问方式难以管理,而且很难从根源消除这种现象,有时发生紧急情况他们会绕过审计系统直接访问数据库去修改数据,他们登录数据库后干了什么、改了什么、甚至删除了什么我们全都不知道。 情景二:x医院现有数据中心资产数量800+台,系统账号数量已超过5000个,运维规模不断扩张,现在内部人员和第三方人员账号共享、权限滥用的情况时有发生。 1、基于静态密码管理方式,账号密码长期给外包人员持有,无法对密码进行有效管理。 2、账号密...
该客户为某大型国有云服务提供商,目前运营全国几十家云计算中心,已建成算力资源、存储资源、网络资源及先进计算增值服务一体的统一服务平台,提供端到端全栈算力生产、交付与应用支持服务,同时为各地政企业提供优质的云计算服务、大数据服务和应用开发服务。作为云服务提供商,每个云计算中心都拥有众多服务器、网络设备、安全设备、存储设备、安全设备等基础设施,其直接关系到数据和业务安全。其拥有海量用户数据和敏感业务信息,需要维护安全可靠的云服务平台,并同时遵守相关政策和法规。 高权限账号对系统和设备安全至关重要,其分布广泛,数量众多,其“高权限性”导致网络入侵者都会尝试通过特权账号,去操作控制组织资源并访问大量...
在当今信息化时代,数据安全已成为不可忽视的重要问题。高校由于掌握大量个人信息,通常是黑客进行网络入侵的重点对象。近年来,高校因网络安全防护不力而遭到黑客入侵,进而导致大量数据泄露或被非法使用的情况并不鲜见。 今年8月,南昌公安网安部门发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。 随着数字化时代的到来,账号安全变得更加关...
当前,互联网、大数据和人工智能等技术的不断发展,正在深刻地改变着政务部门治理体系、能力、结构与价值,同时也与政务部门治理深度融合,智能化数字治理场景将成为政务服务的新形态。政务系统作为超级数据平台,面临巨大的安全威胁和风险,如黑客对政务部门网站的入侵、金融数据被不法分子窃取、个人敏感信息大规模泄露等。可以说,数据安全是政务部门的生命线。 去年1月,某委员会遭受严重网络入侵和大规模数据泄露。某委员会网络站负责人表示,这可能是有史以来发生的最大规模敏感信息泄露事件。此次事件导致515000多名人员隐私数据泄露。 起初,人们认为这一事件是由于对该组织的一个分包商的入侵造成的。然而,后续调查表明,此...
在数字化时代,数据库作为承载着众多关键业务系统的核心和基础,是核心业务开展过程中最具战略性的资产。同时,由于数据库系统的复杂性,决定了其存在各种管理和安全上的风险和漏洞,而这种漏洞一旦被利用,从而发生信息泄露事件,会给用户造成巨大的直接和间接损失,后果将不堪设想。 传统情况下,DBA需要给使用数据库人员,如运维人员,开发人员等在数据库端创建相关的账号,然后开发人员通过不同的客户端工具(比如Navicat、DBeaver)访问这些数据库。 由于医疗系统上数据库账号权限维护繁琐、工作量大,且数据库众多。因此多数采用开发人员共享账号的方式。同时,因为需要客户端连接数据库,因此数据库的地址,账号、密...
企业的服务器、数据库和业务系统众多,特权账号无处不在,管理人员无法对这些有形资产、无形资产进行有效的、统一的管理。况且具有极大权限的特权账号在所有网络硬件和软件中都随处可见。如果使用得当,特权账号可用于维护系统、帮助实现自动化流程、保护敏感信息并确保业务连续性。但如果不加以妥善管理,这些特权账号可被用于窃取敏感数据,将为企业带来无法挽回的损失。 我们查看了著名的几次网络事件,发现几乎所有网络入侵都利用特权账号,心怀恶意的入侵者会利用特权账号来绕过安全系统,控制关键IT基础架构并获得访问保密业务数据和个人信息的权限。企业在保护、控制和监控特权访问方面实际操作过程中,面临多方面挑战,包括: •管...
账号权限的最小化是目前对特权账号权限管理的主要原则之一,但在实际的工作中,通常情况下,账号权限的会因为要保障业务顺利开展而进行扩大,为了保障业务的流畅性和业务安全性,对特权账号管理的基本要求如下: 1.统一特权账号安全访问门户,对所有特权账号及密码进行统一的管理、统一的安全策略、统一的技术框架; 2.新服务器上线即纳入特权账号管理; 3.新业务应用上线配合部署特权账户安全管理系统,将相关数据库账号纳入自动管理范畴; 4.定期扫描分布账号快照,通过匹配,发现未管理的特权账号; 5.依靠统一日志平台及时发现特权账号的新增、删除、权限修改和密码更新等; 6.分布式架构使得总部即能实现安全策略...
是谁修改了我的数据,动了我那些数据? 什么时候操作的?都有那些资产被修改了? 登录和修改得到批准了吗?如何获取到这个权限账号的? 针对以上问题,光有日志审计是完全不够的,无法及时定位故障点和追溯。而使用专业的数据库审计产品又缺乏对运维人员的审计,于是数据库运维审计产品成为最佳选择。 一、行为监管与记录 数据库运维审计是针对管理员、操作员访问数据库的行为进行监管与记录,包括操作行为所对应的操作对象、操作账户、操作时间、操作内容等相关信息,用以监控操控行为,并对发生的威胁事件进行溯源与追责。 数据库审计有多种方法,如报表审计、命令审计、语句审计、对象审计等,审计日志对不同审计人员的价值不同,针对...
无论在企业还是在金融、医疗、能源单位中,账号管理像是一片混乱的领域。员工们为了方便,将各种账号密码散落在各处文件中,让账号管理变得举步维艰。现在好多单位用传统的密码记录形式,主要以excel文件形式记录各资产中的密码且存储在电脑上,这就是一个极大的安全隐患。 此外,企业缺乏统一管理的人员,而且为了方便快捷的工作,部分人员将多个系统、设备等采用相同密码,导致密码的安全性低,缺少定期校验机制,密码可用性降低。还有一系列中间件、应用代码中配置静态数据库密码,导致数据密码无法管理或者管理分散,不能全面落实安全基线的要求。特权账号管理系统的魔力在于,它将所有账号密码集中存储,让每个员工都能在一个地方轻...
在如今复杂的IT环境中,多个脚本、流程和应用程序需要访问多平台资源,才能检索和存储敏感信息。此类应用程序被授权使用专用账户,通常允许无限制地访问企业最敏感的资产。因此,这些账户往往会成为许多针对性入侵的牺牲品。实际上,最近报告的许多复杂入侵均源自硬编码特权账号的盗用。 保护、管理和自动更换这些嵌入和本地存储的账号会给IT部门带来严峻的挑战,并会产生巨大的间接费用。因此,许多组织从来都不更改应用程序的硬编码嵌入式密码,从而让组织容易遭到入侵。非托管嵌入式特权账号将让组织面临巨大的风险,包括: 1、外部和内部入侵: 应用程序密码几乎从未更改,通常以明文方式存储,并且许多IT人员、外部开发人员和分包...
弱密码账号的危害高:通常数据中心资产都存在大量的弱密码账号,在护网、红蓝对抗演练、甚至黑客入侵中,入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号,根据获取的弱密码账号进行提权。这类账号的危害极高。 改密困难:客户无论从合规性考虑,还是安全性考虑,弱密码账号都非常有必要消除,而消除弱密码的最有效、最直接的办法就是改密,并且按照等保等政策要求,至少要每三个月修改一次且要满足复杂度,当账号少时还可以靠人工。但现阶段企业信息化程度通常都比较高,资产和业务系统多且杂,基本不具备靠人工的来操作的可能性。 管理手段落后:在未实施特权账号管理系统时,管理员通常采...
尽管业内权威一再提醒管理特权账号的重要性,许多特权账号仍然未受到保护、不被重视或管理不善,使它们成为容易被入侵的目标。基于此类情况,本文列出了几条保护特权账号的最佳实践方法,仅供IT管理员和安全管理员参考实践。 1.自动发现特权账号,并对其进行集中化追踪。 如果想管理公司的特权账号,实现账号信息安全化,那么,首先要做的是,针对公司内部、外部网络上的全部关键资产、关联账号以及关联凭证进行有效的发现。随着公司发展的壮大、基础架构的扩展,您要保证IT团队具备超强的“发现”能力(即搜索发现资产信息),以便于应对特权账号的增多情况,对其进行持续的跟踪管理。...
一、 什么是云运维 运维是一个非常广泛的定义,在不同的用户不同的阶段有着不同的职责与定位。在初创公司,运维工程师的工作可能需要从申请域名开始,购买或租用服务器,上架,调整网络设备的设置,部署操作系统和运行环境,部署代码,设计和部署监控,防止漏洞和入侵等等。 二、 运维新趋势 随着时代的发展、互联网的普及,“运维”也逐渐朝着更专业的方向发展,用户在招聘运维人员时对其技能要求也越来越高。 如今传统企业数字化转型加快,IT系统越发复杂,运维挑战更大。加上近几年云计算服务的诞生以及大规模...
近年来,随着信息化建设发展不断加快,网络安全的形势严峻,网络安全事故频发,给网络安全带来了巨大挑战。数据中心资产设备种类多,账号数量多,难以落实对账号的周期性改密要求。 用户无论从合规性考虑,还是安全性考虑,弱密码账号都非常有必要消除,而消除弱密码的最有效、最直接的办法就是改密,并且按照等保等政策要求,至少要每三个月修改一次且要满足复杂度,当账号少时还可以靠人工。但现阶段各行业信息化程度通常都比较高,资产和业务系统多且杂,基本不具备靠人工的来操作的可能性。 针对以上现状需求,特权账号管理系统在定期改密模块上给出以下方案: • &nbs...
特权账号是信息资产防护最关键的一个环节,数据的加密只能对普通账号生效,对特权账号是放开管控的,涉及到业务系统,优先保证其完整性和可靠性,是无法完全以加密的方式一刀切处理。 操作系统的管理账号、数据库的DBA账号等一系列的特权账号,对信息资产拥有着绝对的控制权,如何有效的保护特权账号的安全,是在整条数据安全防护线条上最为关键的一环,并且由于特权账号的高权限性,也是外来入侵者第一手想掌握的钥匙。 特权账号管理系统中的安全检测中心,一键检测服务器及数据库所有的账号,根据自定义的规则,按照密码的复杂度,查看网络内的弱口令账号,一键修复,全盘扫描网络内的账号,将系统内的僵尸账号幽灵账号以及遗失账号不可...
对于银行、医疗、金融、电力等行业,普遍存在大量的外包人员,这些外包人员手中往往都掌握有部分资产的账号密码,并且掌握的还都是高权限账号,而外包人员用这些钥匙做什么,往往处于监管之外,也不可控。通俗来讲相当于保险箱的钥匙交给了外人使用,如果这些人因一念之差或者手工操作失误,带来的后果企业可能难以承受。 近年来国家相关部门陆陆续续发布了关于外包风险的管理通知,去年8月国家卫生健康委、国家中医药局、国家疾控局联合发布的《医疗卫生机构网络安全管理办法》中也提到了加外包开发的安全管理。 面向事业单位,医院等把网络运维工作全权交给专门的第三方运维公司,由于第三方运维公司的不确定性因素很多,第一大因素就是运...
随着信息技术的发展,系统规模的日渐增大,除了加强管理员管理、布控防火墙、安全设备等网络基础安全防范措施外,还要针对“特权账号”的安全管理提出完整的解决方案。 特权账号管理系统(PAM),用来管理企业数据中心各类账号,用于解决数据中心服务器、网络设备、安全设备、数据库等核心资产上高权限账号的安全、管理问题,可以简单理解为用来管理数据中心各种“钥匙”的。其提供了对数据中心账号统一集中化、自动化的生命周期管理,包括安全存储、自动改密、账号梳理、风险识别等;快速提升了IT运维系统的主动防御能力。
一、账号全生命周期管理 提供统建、统改、统删的账号全生命周期管理,包括主机、服务器、数据库、网络设备、安全设备、中间件等。 1.自动发现特权账号 2.账号密码定期更替 3.自定义密码策略 4.统一平台新建、删除账号 5.分权访问 二、安全中心 采用自动化方案对资产、资源和账号进行管理,批量管理简易可行,定期实现资产和账号的管理,评定风险级别。基于当前特权账号安全风险评估,可快速进行策略修复,持续保持高安全级别状态。 1.感知高风险项:僵尸账号、幽灵账号、弱口令、不可用账号 2.掌控修复策略,精准修复风险项 3.高并发持续账号处理能力,对成千上万资源账号不在话下 4.风险状况、安全评估和安全级...
在日常运营过程中,特权账号和安全凭证(包括密码、SSH密码、API密码、SSL证书)等几乎是无处不在的。从个人可识别客户信息一直到关键的知识产权,这些条件不外乎为入侵者提供了获取核心资产最直接的捷径。只要稍加不慎,损失便会异常惨重。就特权账户安全管理工作而言,如何识别锁定并妥善保管安全凭证,监控特权账户行为,确保特权账户安全,成为了信息防护的首要难点。 一、特权账户的密码保管 传统的密码记录以文件形式存储在电脑上,这就是一个极大的安全隐患。另外,管理机制不健全,缺乏统一管理的人员,而且多个系统、设备等采用相同密码,安全性低,缺少定期校验机制,可用性低。还有一系列中间件、应用代码中配置静态数据库...
一、政策上合规要求 1.2021年9月1日国家正式实施了《数据安全法》、《关键信息基础设施保护条例》,数据安全法规定了个人身份信息、基础数据、核心商业数据等重要数据的保护要求,还要求金融机构应当按照分类分级原则,采取相应措施,落实数据安全管理责任和措施。 2.而账号是进入数据仓库的钥匙,当钥匙管理不当、使用不当,或被别有用心的人利用,会直接影响企业数据和业务的安全性。账号安全是数据安全至关重要的一环,是不可缺失的一部分,保护账号安全就是保护数据安全。 3.《信息系统安全等级保护基本要求》中明确提出企业账号密码至少每三个月修改一次,并且要满足复杂度要求。 4.不同行业也出具有关于账号管理的规范和...