[发明专利]一种特权账号管理中台系统

权利要求书

1.一种特权账号管理中台系统，包括南向引擎、策略引擎和北向引擎，其特征在于，南向引擎用于对企业数据中心的特权账号；

策略引擎用于对特权账号的合规性进行检查和分析；

北向引擎用于解决南向引擎中纳管的特权账号的密码消费能力。

2.如权利要求1所述的一种特权账号管理中台系统，其特征在于：南向引擎包括四部分，账号发现、账号管理、使用审计和威胁分析；

其中，账号发现用于对企业的账号进行实时或定时检测、扫描、发现，通过账号发现对某一个目标进行扫描，最终根据扫描出来的结果做一个数据分析，和图标呈现，使得企业或组织的人员通过扫描概况页面清楚的了解到他们特权账号的分布情况，扫描完成后将账号进行汇总，然后对账号进行评估、分类，并且将分类完成的特权账号主动的纳管至特权账号管理中台系统，做统一的自动化运维管理；

账号管理用于将企业资源中的特权账号进行统一的管理，实现统一单点登录、密码代填、权限划分，统一单点登录主要实现为用户提供统一的登录入口，并且登录时会进行身份的验证，能够保证访问人员的合法身份；密码代填主要实现在用户登录系统后，要访问目标端时，系统会自动帮我们代填，使用人员无需知道密码，保证了密码的安全性；权限划分主要实现对用户使用特权账号的权限做一个细粒度的划分，保证每个人的权限都是最小化、合理化的；

使用审计用于会话实时监控和审计，会话实时监控主要实现对登录系统后使用的会话过程都会被记录下来，并且系统还能实现操作人在A终端上进行操作时，审计人可在B终端上观看操作过程，如果认为该操作人的行为是不安全的，也控制干预，终止这个会话；审计主要实现会将会话使用的过程保存为视频或文本的方式，统一存储，供事后的追溯和溯源；

威胁分析用于对已接管各类系统的帐号去深入扩展网络信息和系统信息，通过分析学习监控对象的数据，判定异常行为产生威胁预警，并且会建立特权账号行为监控机制，实时检测、预警特权账号异常行为。

3.如权利要求1所述的一种特权账号管理中台系统，其特征在于：策略引擎包括四部分，策略引擎一、策略引擎二、策略引擎三和策略引擎四；

其中，策略引擎一用于对特权账号访问的管控，例如企业中敏感的特权账号需要使用时，启用审批流程，只有通过上一级的负责人同意后，才能使用；或者企业中的第三方外部人员要使用账号时，设置一次性密码访问，当第三方人员使用完账号之后，就立即更改该账号的密码，保证密码的安全性，

策略引擎二用于对密码策略的管控，系统可根据所托管的不同目标设备和系统制定不同密码策略，在制定策略后，自动生成符合密码强度和复杂度要求的密码，实现满足合规性的要求，同时系统可设置定期的去验证密码、更改密码，设置完成后，系统会自动的去定期执行；

策略引擎三用于审计保留日期的管控，系统设置审计日志要求保留的时间，达到满足企业中对审计日志保留时间的要求；

策略引擎四用于威胁分析策略的管控，通过威胁分析的策略设置，可对正在进行的攻击发出准确的实时报警，显著缩短攻击者的机会窗口并减少损失；同时可及时访问关于攻击的详细信息,加快补救速度。

4.如权利要求1所述的一种特权账号管理中台系统，其特征在于：北向引擎包括四部分，消费引擎一、消费引擎二、消费引擎三和消费引擎四；

其中消费引擎一用于解决在中间件、应用程序代码、配置文件和脚本中的密码存储，将所有的高度敏感的明文密码都以函数的方式展现，并且将密码集中和安全地存放在系统中，使企业能够符合内审和外审的合规性要求，做到密码定期更换，并且监控对所有系统、数据库、应用程序的特权访问；

消费引擎二用于解决在自动化工具、容器化中的使用场景，如DevOps、Jenkins、Ansblie，对分散在自动化工具上的特权账号，实现快速自动化批量纳管业务应用，通过接口调用，达到明文密码不落地的效果；

消费引擎三用于轻量级的应用，需要频繁性的输入密码的应用，通过网络访问方式即可取密，能够保证安全性的同时又非常灵活；

消费引擎四用于提供多种类型的接口，支持不同的开发语言，如.Net，Java，C，C++，VBScript，命令行，类似的语言，具有很好的多语言支持性。