【技术实现步骤摘要】
无感切换中间件连接池特权账号的方法及装置
本专利技术涉及特权账号安全管理领域,特别涉及一种无感切换中间件连接池特权账号的方法及装置。
技术介绍
目前IT安全领域发展日新月异,不断变化。信息化安全防护手段越来越多,也越来越高级。但数据信息的最后一道防线,特权账号密码始终得不到有效保护与管理,攻击者依然能够通过合法的技术途径,进入企业内部网络,窃取有价值的数据。他们所用到的技巧,就是获知了被泄露的特权账号密码。这些高权限的账号,除了员工的个人账号之外,也包括企业或组织整个IT基础架构的底层系统账号以及应用内嵌账号。这些特权账号往往被人们所忽略,从而不受监控,最终成为了大多数攻击的突破口。但管理者也是无可奈何,因为没有很好的自动化、可扩展和高可靠技术平台,能让他们从万级数量的账号管理工作中解放出来。导致总有高权限的账号密码被泄露,最终发生数据泄露事件。特别针对像银行这种业务繁重且无法随时停机更新修改中间件连接池密码的应用程序,传统堡垒机无法提供应用不重启的解决方案,致使核心关键应用的中间件连接池密码无法定期修改,从而无法满...
【技术保护点】
1.一种无感切换中间件连接池特权账号的方法,其特征在于,包括如下步骤:/nA)前端用户进行应用的访问;/nB)将所述应用部署于相关中间件上,并对外提供访问地址给用户访问;/nC)双账号部署模块对于连接池提供虚拟账号访问,无感知切换应用的账号;/nD)当托管进特权账号安全管理系统的中间件连接池特权账号密码到更改日期时,触发主从账号的切换机制,将主账号切换为非活动特权账号,将从账号切换为活动特权账号,修改非活动特权账号的密码。/n
【技术特征摘要】 【专利技术属性】
1.一种无感切换中间件连接池特权账号的方法,其特征在于,包括如下步骤:
A)前端用户进行应用的访问;
B)将所述应用部署于相关中间件上,并对外提供访问地址给用户访问;
C)双账号部署模块对于连接池提供虚拟账号访问,无感知切换应用的账号;
D)当托管进特权账号安全管理系统的中间件连接池特权账号密码到更改日期时,触发主从账号的切换机制,将主账号切换为非活动特权账号,将从账号切换为活动特权账号,修改非活动特权账号的密码。
2.根据权利要求1所述的无感切换中间件连接池特权账号的方法,其特征在于,所述特权账号安全管理系统包括:
节点管理单元:用于构建符合企业组织架构的目录树,并允许赋权不同用户对各自目录的独立管理;
账号管理单元:用于特权账号的导入托管,并以特权账号本体为中心实现账号的生命周期管理工作;
访问控制单元:用于负责实现账号使用的权限细分,让不同用户对不同账号有不同的使用权限;
会话监控单元:用于为用户对账号的单点登录过程实现录像、监控、拦截及审计;
审计管理单元:用于为审计部门提供日志查询,所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询;
审批管理单元:用于为用户提供一事一审的账号使用流程审批能力;
系统设置单元:用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数;
所述节点管理单元、账号管理单元、访问控制单元、会话监控单元、审计管理单元、审批管理单元和系统设置单元相互连接。
3.根据权利要求2所述的无感切换中间件连接池特权账号的方法,其特征在于,所述账号管理单元进一步包括:
账号轮换模块:用于根据企业管理策略要求,对目标特权账号进行自动化的密码轮换管理;
内嵌依赖同步模块:用于把企业应用程序、脚本和运维工具中的硬编码密码部分取替为同步模块代码,不暴露密码,或者采取推送模式,定期推送新密码至硬编码配置上;
单点登录连接模块:用于为用户提供一键连接能力,且允许管理员为用户提供集中式发布的客户端工具,达到单点登录效果,最终让密码始终不落地用户端,实现持续性监控及审计能力;
细粒度分享模块:用于为用户提供基于账号级细粒度的分享能力;
所述账号轮换模块、内嵌依赖同步模块、单点登录连接模块和细粒度分享模块相互连接。
技术研发人员:陈明朗,邓祯恒,刘博,
申请(专利权)人:广州海颐信息安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。