【技术实现步骤摘要】
可在线更改应用内嵌特权账号的方法及装置
本专利技术涉及特权账号安全管理领域,特别涉及一种可在线更改应用内嵌特权账号的方法及装置。
技术介绍
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。但管理者也是无可奈何,因为没有很好的自动化、可扩展和高可靠技术平台,能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露,最终发生数据泄露事件。特别是应用内嵌的特权账号因代码静态写死(诸如脚本等等),更改密码需要修改代码甚至重新编译再发布,过程十分繁琐且需要开发、运维等等部门协力方可完成。从而应用内嵌的特权账号的密码无法...
【技术保护点】
1.一种可在线更改应用内嵌特权账号的方法,其特征在于,包括如下步骤:/nA)对托管进特权账号安全管理系统的应用/脚本进行使用或者访问;/nB)当所述应用内嵌的特权账号密码已到修改日期时,触发更改密码的流程;/nC)所述应用内部调用在线动态取密模块的SDK获取密码;/nD)所述在线动态取密模块校验应用/脚本的合法性,判断校验是否成功,如是,执行步骤E);否则,执行步骤F);/nE)所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块;/nF)所述特权账号安全管理系统返回错误码给所述在线动态取密模块。/n
【技术特征摘要】
1.一种可在线更改应用内嵌特权账号的方法,其特征在于,包括如下步骤:
A)对托管进特权账号安全管理系统的应用/脚本进行使用或者访问;
B)当所述应用内嵌的特权账号密码已到修改日期时,触发更改密码的流程;
C)所述应用内部调用在线动态取密模块的SDK获取密码;
D)所述在线动态取密模块校验应用/脚本的合法性,判断校验是否成功,如是,执行步骤E);否则,执行步骤F);
E)所述特权账号安全管理系统返回特权账号密码给所述在线动态取密模块;
F)所述特权账号安全管理系统返回错误码给所述在线动态取密模块。
2.根据权利要求1所述的可在线更改应用内嵌特权账号的方法,其特征在于,在所述步骤D)中,通过哈希、IP、用户和PKI认证的方式校验应用/脚本的合法性。
3.根据权利要求1或2所述的可在线更改应用内嵌特权账号的方法,其特征在于,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
4.根据权利要求3所述的可在线更改应用内嵌特权账号的方法,其特征在于,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。<...
【专利技术属性】
技术研发人员:陈明朗,邓祯恒,董明,
申请(专利权)人:广州海颐信息安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。