迪瞰科技特权访问管理系统PAM_特权账号管理系统

迪瞰科技特权访问管理系统PAM

迪瞰特权账号管理系统基于零信任架构设计(关闭一切非必要端口，默认一切因素不可信，为用户和资源匹配最小权限，采用动态访问控制和授权，纵深的主动安全防御技术)），可以减少攻击面，保护用户的访问，减少数据泄露、数据丢失事件的发生，拒绝未授权的访问，保障数据安全最大价值化。

立即咨询

首页 > 产品中心 > 终端安全 > 迪瞰科技特权访问管理系统PAM

传统边界的消失催生零信任 icon

零信任的优势：可以减少攻击面，保护用户的访问，减少数据泄露、数据丢失事件的发生，拒绝未授权的访问，保障数据安全最大价值化。

• 关闭所有非必要端口

• 默认一切参与因素不受信

• 最小权限原则

• 动态访问控制和授权

• 纵深主动安全防御

零信任环境下的安全运维痛点 icon

• 外包人员的过度授权

• 弱口令，密码存储分散，密码共享，对集中改密信心不足。

• 运维研发的工具软件无法集中部署和统一发布。

• B/S,C/S 应用系统无法集中管理，统一授权与访问控制。

• 研发内网安全上外网。 • 账号管理和审计不合规

特权账户密码合规基线 icon

产品架构设计

产品部署架构

1. 特权管理系统基于旁路部署，访问方式同时支持B/S与C/S两种方式。 2. 支持N+1方式群集部署，支持多A集群，集群可横向拓展，内置负载均衡机制。 3. 支持NAS，SAN和DAS等方式存储，保证审计日志长时间存储。 4. 基于软件方式部署，可支持总分的部署模式，支持分布式部署和管理。

产品交付形态

迪瞰关键技术

• 零信任客户端

• 高安全的系统隐身和加固

• 高可用的密码保险库

• 高可靠的密码策略引擎，改密安全可靠

• 系统登录密码自动代填，自助式添加，适配各种B/S,C/S系统的无密码登录

• 国密算法加密存储和传输

• 自身安全性，无需第三方数据库，中间件支持，无log4j安全漏洞风险

安全客户端

专用密码保险库

• 密码保险库设备采用国密算法、全冗余架构设计；

• 密码文件采用多层加密技术确保密码不可被篡改或泄漏；

• 历史密码版本无限次数保存，便于追溯查询；

• 密码支持一键备份导出、离线备份及一键快速恢复；

• 密码保险库访问通过私有加密协议，专用客户端访问；

高可靠的密码策略引擎 icon

支持所有linux、unix、网络设备、windows以及其他纳管的账号资产的自动改密功能；针对部分特殊的资产，可通过自定义改密方法实现账号的改密（如非CLI或API方式改密的图形化改密场景）。

系统登录密码自动代填，自助式添加 icon

鼠标拖拽捕获实现系统密码代填，零代码自助添加B/S,C/S系统应用同时支持脚本语言完成密码自动代填，兼容所有B/S，C/S应用系统。不受应用系统类型限制。

支持终端类用户名及密码的代填：securecrt、openssh、xshell、putty、telnet等程序，不受程序类型限制。支持二次及更多代填次数功能。支持对窗口类用户名及密码的代填：Filezilla、PCanywhere、SQLclient、PLsql、 Oracleclient等，不受程序类型限制。支持对远程桌面类用户名及密码的代填：RealVNC、TightVNC、Windows RDP、 VNCviewer等，不受程序类型限制。支持对虚拟客户端用户名及密码代填：Citrix ICA、Windows Remoteapp、 VMware vsphere/vcenter/vmplayer。支持各类B/S架构系统用户名及密码的代填。应支持在主帐号登录完成后，只能够访问已被授权的被管资源。*支持自助式用户和密码代填，无需管理员参与设置。*支持SAP客户端用户、密码和IP地址代填。*支持Navicat工具基于oracle、mysql管理用户和密码代填。*支持Citrix Xenapp应用发布。*支持开发工具eclipse发布。

国密算法加密存储和传输 icon

特权访问管理系统目前基于SM2和SM4加密算法加密网络传输数据和数据文件

自身高安全，无数据库，中间件，Log4j安全漏洞风险 icon

• 迪瞰PAM使用C/S架构，开放私有协议端口TCP15800和15810。 • 迪瞰PAM设计架构中无需任何第三方数据库、中间件支持，无需任何开源web服务支持，无需任何第三方平台支持（Java，.net等）。 • 迪瞰PAM基于C++开发，对log4j漏洞无需响应。

零信任特权访问管理系统的适用场景 icon

• 01 外包人员安全管控

• 02 消除弱口令，集中存储密码

• 03 运维研发工具软件集中部署和统一发布

• 04 B/S,C/S 应用系统的集中管理，统一授权与访问控制

• 05 研发内网用户安全上外网

• 06 账号合规

适用场景01：远程或本地外包人员运维管控 icon

需求

第三方外包开发人员常驻，运维开发过程中存在开发文档、源代码、敏感数据等泄露风险；从接入，行为控制层面需要增强的安全管控。外包人员自带设备（网络协议传输，工具软件，文件传输，剪贴板复制粘贴）存在安全接入和外来数据安全交换的问题；系统需具备终端零信任和风险异常监测的能力。

实现方案

从设备接入采用零信任客户端，零信任安全浏览器做IP，时间准入限制；从访问控制层面隔离外泄途径、消除数据交换风险点；从行为控制（操作审计、高危命令控制和工单审批流程）层面上，规范和限制外包人员操作行为，防范各类信息泄密、恶意操作等安全风险。零信任终端持续验证，账号风险监测，MFA身份验证，确保身份和终端安全。

适用场景02：统一账号密码和授权访问管理，集中存储密码 icon

需求

不使用弱口令，消除已有弱口令。密码分级制度，普通权限和特权分级管控。增加密码复杂度(大小写字母、数字、特殊字符)。必须定期自动更换密码。确保密码集中管理，存储位置安全，传递交换安全。

实现方案

密码策略增加复杂度设计，满足合规要求。密码授权管理和密码使用者权责分离。密码使用者运维工作中，无需输入静态密码，无需记忆密码。密码更新任务自动化执行，定期更改。密码集中存储在密码保险库，国密加密，高可用架构设计，安全可靠。账号密码不漏管，无盲区，100%覆盖所有基础架构资源。

适用场景03：运维研发工具软件集中部署和统一发布 icon

需求

运维研发使用软件来源可信，集中部署，统一发布。工具箱软件要求支持应用软件类型不受限，兼容B/S,C/S应用软件。支持用户自助式密码代填登录，无需记忆密码，输入密码。支持外设端口的自定义映射到零信任客户端，满足远程研发和运维的业务需求。

实现方案

所有运维研发使用的工具软件集中安装部署在PAM平台。软件合规，来源可信。软件按需授权分配给对应的内部或外包员工使用；操作过程有全面地审计操作录像。用户自助式应用软件自动登录，密码代填。可以多用户共享一个软件账号使用，降低软件采购成本。外设端口可自定义映射到零信任客户端使用，提升工作效率。

适用场景04：B/S,C/S 应用系统的集中管理，统一授权与访问控制 icon

需求

B/S，C/S应用集中管理，单点登录。无需使用终端上的浏览器和应用系统客户端。应用系统登录无密码登录，自动代填密码。终端本地不留存任何账号口令。

实现方案

B/S，C/S应用系统统一登录，集中管理，缩小暴露面。应用系统隐身和安全加固无需任何改造，开箱即用。用系统添加为用户自助式添加方式，可同时支持图形化捕获方式和脚本方式，支持任意应用系统的密码代填，无需复杂代码开发和应用系统协议接口适配，简单易用。

适用场景05：企业研发内网用户安全上外网 icon

需求

内网OA用户禁止访问互联网，但是需要用浏览器。访问互联网，使用企业微信等业务应用。内外网PC机切换影响效率，不能及时响应IM消息。实现内外网安全隔离，满足工作空间，网络，文件，剪贴板隔离的需求。

实现方案

内网用户安装零信任客户端登录PAM做身份验证，通过验证后，可授权使用外网访问。零信任客户端发布浏览器，企业微信等软件应用，即可为授权用户提供安全上网，互联网协同办公。内网OA用户可登录零信任客户端访问外网查询资料。内外网实现逻辑隔离，无数据传输通道，无数据泄露风险。零信任客户端相当于在内网本地终端开启一个独立的容器空间，仅能通过图像增量方式查询外网资源，无上传下载权限，确保外网数据文件不落本地终端。内网数据不外泄。剪贴板复制粘贴功能可按需授权开放使用。

适用场景06：账号合规 icon

需求

账号存在僵尸账号，幽灵账号，账号纳管不全面。账号口令策略不合规。账号权限分配不合规。审计信息分散，不全面，审计作业执行效果差。监管部门合规性检查应对不力，投入大，效果差。

实现方案

账号梳理，全面纳管账号口令，消除僵尸账号，幽灵账号。账号口令策略设计，满足合规性要求。账号权限细粒度授权，满足最小化权限合规要求。全面的审计记录，满足审计合规要求。自动化账号口令定期修改，消除弱口令，输出合规性报表，满足上级监管部门合规性审查要求。

零信任特权访问管理系统案例介绍 icon

• 01 政府机构

• 02 部委信息中心

• 03 金融科技开发公司

• 04 外资银行

• 05 智慧物联远程安全运维

案例介绍01——X政府机构 icon

需求

单点登录4A大多数应用系统不能兼容适配，无法满足。统一管理，单点登录和操作审计的需求。终端浏览器不可信。有安全风险和隐患。终端远程访问内网，需要隔离与应用系统的数据通道，避免敏感数据和文件泄露。客户端应用访问需全面审计合规。

实现方案

无论员工身处何地，都可以快速接入公司内网获得数据和资料，开展远程办公。提供零信任浏览器访问应用系统，实现安全隔离。简单易用，无需代码开发即可添加应用系统，实现统一管理。不受应用程序限制，无需应用系统开发支持和源代码配合。全面审计合规满足。

案例介绍02——X部委信息中心 icon

需求

零信任多因素客户端认证，准入限制。各种运维工具软件集中部署和应用发布。外包人员需安全管控。需集中操作行为审计，审计记录全面可查询检索。

实现方案

终端设备零信任，消除外包人员接入风险。只允许访问获得授权的资料和数据，并且存储在安全空间中，有效管控数据的二次分发（数据围栏不泄密），消除数据外泄风险。全面审计合规满足。终端空间隔离应用系统数据通道，确保安全。提供全面的运维工具软件，集中管理和部署，确保工具软件安全。

案例介绍03——X金融科技开发公司 icon

需求

开发环境与零信任客户端，远程HTTPS。微隔离，多因子认证登录。安全空间实现开发工具箱推送发布。实现远程安全空间管理和应用安全控制。集中审计。开发环境数据不落本地终端。

实现方案

无论员工身处何地，都可以快速接入公司内网开展远程开发。终端设备零信任。只允许访问获得授权的资料和数据，并且存储在安全空间中，有效管控数据的二次分发（数据围栏不泄密，开发数据不落本地终端）。全面审计合规满足。终端安全工作空间隔离应用系统数据通道，确保安全。提供全面的开发工具箱，集中管理和部署，确保工具软件安全。

案例介绍04——X外资银行 icon

需求

多国语言支持，满足高管和上级监管需求，全面审计。运维人员众多，存在共享密码，弱密码风险。外包人员运维管控需要增强，增加审批控制权限。支持管理员多租户模式，分级授权管理。密码策略自定义，自动化密码代填和更新。特权账号管理工具箱可定制，满足功能扩展需求。

实现方案

中英文多语言支持。管理员支持多租户，分级授权管理。精细化授权管理，可按需个性化授权资源和应用软件。审批流程支持手动审批和自动审批，审批日志实时发送邮件通知。全面审计合规满足。终端空间隔离应用系统数据通道，确保安全。提供全面的运维工具箱，集中管理和部署，确保工具软件安全。

案例介绍05——智慧物联远程安全运维 icon

城市数字化、智能化的底座和基础设施的远程安全运维。需求：设备平时不联网，需要巡检监控，按需上网。远程运维需要确保客户端空间，文件，网络，应用软件安全。大多数物联设备为windows操作系统，有安全漏洞，不能对外开放RDP端口。打造安全运维，实现不联网的物联设备快速远程接入：物联设备零改造上专用网络，实现存量/增量设备快速接入，满足远程巡检，远程安全运维的需求。满足按需上网，缩小暴露面，传输加密，远程运维零信任安全的需求。设备接入，设备监控，设备管理，设备运维，设备安全，权限管控，设备可视化。

硬件架构

设备支持双机HA（高可用）部署方式，设备间无需心跳线连接。两台设备的密码保险库可以实时同步密码文件。备机（Standby）实时监控主机（Active）的状态，一旦发现通信失败，会自动接管主机服务请求。

产品推荐查看更多>>

安天智甲网络接入控制系统IEP NAC

安天智甲网络接入控制系统IEP NAC具备身份认证、用户友好重定向引导、动态访问权限控制、全网安全结构管理等功能；安天智甲网络接入控制系统能够提供更高效、更智能的准入防护体系，基于终端、网络、用户、管理员4个维度实现网内终端的安全防护。终端授权，保证网内终端均为已识别和已认证终端；通过网络检测技术对终端进行定位，复刻网络拓扑；多维度认证机制；可视化与量化的报告工具，便于管理员的日常管理和运维。

设备自动发现

设备安全控

设备运维管理

IoT终端接入

立即咨询查看详情

深信服统一端点安全管理系统aES

深信服统一端点安全管理系统aES，PC&服务器&信创端&容器统管，EPP、EDR、CWPP、HIPS、容器安全能力融合。深信服aES定位，我们不做全家桶、大杂烩，我们是专注于用户端点安全的精专派。杀毒只是我们最基础的能力，聚焦市场上层出不穷的新威胁（勒索、顽固挖矿为代表）、APT式高级威胁检测防护，并快速响应闭环。

立即咨询查看详情

终端安全

终端安全解决方案确保用户连接安全可靠阻止已知和未知恶意软件，简化安全事件调查

功能完备

安全可靠

立即咨询查看详情

数字化社区查看更多>>