本發明公開了一種可在線更改應用內嵌特權賬號的方法及裝置，方法包括如下步驟：A)對托管進特權賬號安全管理系統的應用/腳本進行使用或者訪問；B)當應用內嵌的特權賬號密碼已到修改日期時，觸發更改密碼的流程；C)應用內部調用在線動態取密模塊的SDK獲取密碼；D)在線動態取密模塊校驗應用/腳本的合法性，判斷校驗是否成功，如是，執行步驟E)；否則，執行步驟F)；E)特權賬號安全管理系統返回特權賬號密碼給在線動態取密模塊；F)特權賬號安全管理系統返回錯誤碼給在線動態取密模塊。實施本發明的可在線更改應用內嵌特權賬號的方法及裝置，具有以下有益效果：能解決應用內嵌特權賬號的無法在線更改的問題，并保證調用的安全性。

技術領域

本發明涉及特權賬號安全管理領域，特別涉及一種可在線更改應用內嵌特權賬號的方法及裝置。

背景技術

目前IT安全領域發展日新月異，不斷變化。信息化安全防護手段越來越多，也越來越高級。但數據信息的最后一道防線，特權賬號密碼始終得不到有效保護與管理，攻擊者依然能夠通過合法的技術途徑，進入企業內部網絡，竊取有價值的數據。他們所用到的技巧，就是獲知了被泄露的特權賬號密碼。這些高權限的賬號，除了員工的個人賬號之外，也包括企業或組織整個IT基礎架構的底層系統賬號以及應用內嵌賬號。這些特權賬號往往被人們所忽略，從而不受監控，最終成為了大多數攻擊的突破口。但管理者也是無可奈何，因為沒有很好的自動化、可擴展和高可靠技術平臺，能讓他們從萬級數量的賬號管理工作中解放出來。導致總有高權限的賬號密碼被泄露，最終發生數據泄露事件。

特別是應用內嵌的特權賬號因代碼靜態寫死(諸如腳本等等)，更改密碼需要修改代碼甚至重新編譯再發布，過程十分繁瑣且需要開發、運維等等部門協力方可完成。從而應用內嵌的特權賬號的密碼無法定期修改，無法滿足等保要求且容易被不法分子知悉從而導致數據泄露的安全事件。

發明內容

本發明要解決的技術問題在于，針對現有技術的上述缺陷，提供一種能解決應用內嵌特權賬號的無法在線更改的問題，并保證調用的安全性的可在線更改應用內嵌特權賬號的方法及裝置。

本發明解決其技術問題所采用的技術方案是：構造一種可在線更改應用內嵌特權賬號的方法，包括如下步驟：

A)對托管進特權賬號安全管理系統的應用/腳本進行使用或者訪問；

B)當所述應用內嵌的特權賬號密碼已到修改日期時，觸發更改密碼的流程；

C)所述應用內部調用在線動態取密模塊的SDK獲取密碼；

D)所述在線動態取密模塊校驗應用/腳本的合法性，判斷校驗是否成功，如是，執行步驟E)；否則，執行步驟F)；

E)所述特權賬號安全管理系統返回特權賬號密碼給所述在線動態取密模塊；

F)所述特權賬號安全管理系統返回錯誤碼給所述在線動態取密模塊。

在本發明所述的可在線更改應用內嵌特權賬號的方法中，在所述步驟D)中，通過哈希、IP、用戶和PKI認證的方式校驗應用/腳本的合法性。

在本發明所述的可在線更改應用內嵌特權賬號的方法中，所述特權賬號安全管理系統包括：

節點管理單元：用于構建符合企業組織架構的目錄樹，并允許賦權不同用戶對各自目錄的獨立管理；

賬號管理單元：用于特權賬號的導入托管，并以特權賬號本體為中心實現賬號的生命周期管理工作；

訪問控制單元：用于負責實現賬號使用的權限細分，讓不同用戶對不同賬號有不同的使用權限；

會話監控單元：用于為用戶對賬號的單點登錄過程實現錄像、監控、攔截及審計；

審計管理單元：用于為審計部門提供日志查詢，所述日志查詢至少包括賬號的使用與管理和平臺自身變更的日志查詢；