需求背景

当前企业内部运维特权账号风险问题普遍存在。根据赛迪《中国特权账号管理平台市场研究报告（2022）》调研。中国企业特权账号在运维使用中广泛存在账号非法窃取、账号风险无法及时发现、人员离职账号权限无法彻底清楚、账号资产关系不清晰、账号难以定期改密等管理和使用问题：

同时通过本报告调研分析，国内企业普遍具备堡垒机，以实现对数字资产访问使用的访问控制和运维审计。但缺乏对特权账号的使用和保管能力，无法从根本上解决特权账号的使用风险。企业对特权账号管理类产品的有较高的潜在需求。

系统架构

芯盾时代 PAM 系统致力于为企业实现特权账号管理能力系统的落地。为此系统功能架构涵盖了国密数字密码保险库 Vault、密码管理系统 CPM 、账号应用集中管理系统 DSM 三大组件：

国密数字密码保险库 Vault 保存特权账户密码、访问控制策略、密码管理策略及审核信息。

密码管理系统 CPM 实现了针对操作系统、网路设备、安全设备、数据库、Web 应用、目录服务器、中间件、KVM 和服务（service）类型密码修改，密码修改成功后保存在 Vault 中。

账号应用集中管理系统 DSM 实现对终端类（Telnet/SSH/Rlogin），窗口类应用（C/S 架构），远程桌面，浏览器（HTTP/HTTPS），虚拟客户端等集中管理、集中授权、集中审计，支持从 Vault 中获取用户密码实现密码代填功能。

特权账号访问控制 PAM 可根据安全合规性需求来配置访问控制模式，严格划分管理职责，限制访问和操作；实现对审核记录的防篡改，保存在专业密码保险库中的信息只能由获得授权的具体用户查看，而且这些信息不能被修改或删除，即使是管理员也不能删除。

密码管理针对操作系统、网路设备、安全设备、数据库、Web 应用、目录服务器、中间件、KVM 和服务（service）等类型密码的修改，零代码开发即可实现，通过多次确认登录密码修改机制，确保密码 100%修改成功后才保存在国密数字密码保险库中，让特权账号集中管理成为现实；支持定时和手动修改模式，强制口令修改，防范弱口令引发的安全事件。

账号应用集中管理实现对终端类，窗口类应用，远程桌面，浏览器，虚拟客户端等及用户定制的客户端程序集中管理，集中授权，集中审计，支持用户和密码代填功能，通过从专业密码保险库中获取用户和密码，实现一键式自动登录。

用户精细化授权支持基于用户和组的方式实现授权，授权细粒度高，可以控制到设备，端口，登录用户和使用的管理工具。

密码分享或访问在一些特殊场合需要我们针对某些账号的用户和密码实现共享方式访问，如 AD 域，一个用户和密码被修改后，该账号需要共享登录到其它设备上。

日常运维应用工具软件发布及使用支持任何第三方应用管理工具的发布、审计和用户密码代填方式，特权账号管理系统根据第三方应用管理工具分为 C/S 和 B/S 架构。