CyberArk中国区域金融行业案例—刘新星.pptx

CyberArk特权账号生命周期解决方案---中国地区金融行业案例;CrberArk帮助中国平安改进他们重要系统的特权账号密码管理，提供给他们一个“统一的，集中的，安全的”特权账号密码管理解决方案。完全满足平安信息安全部对“特权账号生命周期管理” 的理解和需求，而且关键组件的主备，灾难恢复，分布式部署，所有这些确保平安的特权账号管理是一个真正“企业级应用”解决方案。 中国平安在CyberArk PIM部署之前： 大部分密码分散管理，各个系统管理员管理其所负责系统的账号密码 无法保证合法访问 关键系统访问审计困难 密码强度无法保证 无法做到经常更改 应用程序账号密码固化在代码中，这部分账号更难管理; 中国平安在CyberArk PIM 部署之后： 所有密码集中管理，公司获得对关键系统特权账号的掌控权 确保所有系统能够执行公司密码安全策略：复杂度，定期更改，一次性密码???确保对所有系统的“合法”访问： 合适的人，合适的时间，合适的地点，做合适的事情 完全的审计能力? 应用程序账号密码不再明文固化在代码中，平安借由CyberArk AIM,建立行业领先的可扩展的应用程序账号安全平台 更高的信息系统可管理性和安全性 关键组件的高可用性群集，灾难恢复，分布式部署，所有这些确保平安的特权账号管理是一个 真正“企业级应用”解决方案;2011年以前，太平洋保险 IT 运行中心特权账号管理困难，在各个小组内以 Excel 表格形式共享特权账号密码，任何人都可以随时访问生产系统。导致变更管理的授权留于流程，以及时效性得不到保证。例如 新员工可以很容易访问到关键应用，存在误操作风险： 管理员可以在非授权时间（工作时间）访问生产系统，存在操作风险以及非法访问。 密码泄漏给第三方服务商人员 密码不准确，多人持有的版本不同步，有时记录的密码不准确，导致下次无法使用。 密码不修改，多台服务器也使用同一个密码 CyberArk帮助太平洋保险梳理所有正式环境的特权账号，通过CyberArk PIM软件构建了集团2011版特权账号管理平台，在2010年4月将所有运维类账号纳入到该平台中，并且梳理出一套有效，高效的账号给管理方法。 ;2011年12月开??，太平洋保险投入特权账号管理的第二期项目中，通过使用CyberArk AIM实现应用程序连接数据库账号的动态管理，截止2012年3月14日CyberArk已经协助太平洋保险完成了超过10个应用系统 的改造，覆盖WebLogic，WebSphere，ASP.NET等日常交易以及经营业务应用系统。由于应用程序账号 历来是账号管理的难点，经过改造的应用系统已经实现所有账号的回收与管理的技术基础，下一阶段目 标为将所有系统的各类软硬件的账号都被严格管理，并实现特权账号平台各组件的多可用。 ?2012年，太平洋保险将灾备中心所有服务器也纳入统一管理，利用了一套CyberArk环境实现了两中心的 同步管理，审计人员可以通过一个CyberArk Portal了解所有生产中心、灾备中心的账号管理情况。在此 期间通过特有的CPM for Web技术，将WebLogic，WebSphere的密码也纳入集中管理，真正实现了全面 管理。 2013年，为了更好地实现应急流程，太平洋保险将CyberArk系统和监控系统集成，每当监控系统发现事件报警，则通过CyberArk动态获取密码，并将密码发送给相应的管理员，避免了管理员为处理应急事件 而再做申请审批流程。同时监控系统会结合Remedy ，发现工单关闭后，则会再触发一次指令要求CyberArk对该账号进行密码回收。 ?2014年，CyberArk???统又进一步进行扩充，引入了账号扫描功能，针对被管理的服务器每天进行检测获取账号列表，并且依据列表对比，获取任意两天之间的差集，及时发现未纳管账号，以及“幽灵”账号。; 借助CyberArk AIM的实施，太平洋保险逐步以项目组成员为基础，形成特权账号长效治理的管理团队，覆盖如下工作重点： 新上线服务器纳入特权账号管理 新业务应用配合部署CyberArk AIM，将相关数据库账号纳入自动管理范畴 WebLogic, WebSphere服务器的Web Console端账号通过CPM For Web方式纳入特权账号管理,实现自动修改,验证? 定期扫描分布账号快照，通过匹配，发现未管理的特权账号，并以报表方式通过邮件定期告知用户依靠统一日志平台及时发现特权账号的新增,删除,权限修改，密码更新等; ;国泰君安成功实施 CyberArk PIM 解决方案，覆盖了所有生产系统，备份系统以及历史系统。其内部所有的核心数据库都是 Microsoft SQL Server，并且以Cluster构建。因此相关账号修改后，还需要同步到各个数据库的 Wi