如果你是一家公司的老板，忽然發現公司保險箱的鑰匙被人偷了，你會不會有點慌？

當然，如果你真的是老板，真的有個保險箱，保險箱又有真的有一把鑰匙，那么這把鑰匙一定會被妥善保管，比如把它放到另一個保險箱里……

但是在數字世界里，企業IT資產和數據資源的“鑰匙”——特權賬號，卻遠沒有這樣的待遇。它們要么得不到妥善管理，被“內鬼”用來挖公司墻角，比如某微信營銷服務商被運維人員利用特權賬號“刪庫”，導致市值蒸發超10億，300萬用戶的小程序宕機；要么被黑客視為頭號目標，拿到手后搞個大新聞，比如拉斯維加斯市因特權賬號（域服務器賬號）被盜，導致多項市政服務中斷，還泄露了1.169TB的敏感數據。

如此重要的特權賬號，企業為什么不好好管理？其實，這還真不全是企業的錯~

特權賬號怎么管？企業真的很為難！

特權賬號，是指數據中心內部，分布在主機、網絡設備、數據庫等資產上具有較高訪問權限的賬號，衍生到一切資產上具有可訪問權限的賬號。按照Gartner的分類，特權賬號分為人員特權賬號和軟件特權賬號，其中人員特權賬號又分為個人特權賬號、系統定義的共享特權賬號和企業定義的共享特權賬號3種。

通過定義和分類，不難看出特權賬號的特點——分布散，種類雜，數量多，權限高。這直接導致了企業的特權賬號管理面臨六大難題：

1.賬號梳理難

數據中心中，特權賬號的數量往往是設備數量的十倍以上。這些賬號分布在不同的設備和應用中，類型復雜，狀態不一，僅憑人工管理無法掌握其全貌。

2.風險識別難

由于無法掌握特權賬號的全貌，企業難以對賬號風險情況進行分析，實施針對性的治理和防護。這導致了未改密賬號、弱密碼賬號、幽靈賬號、僵尸賬號等風險賬號長期存在，為黑客提供了突破口。

3.用戶管控難

企業內部普遍存在多個管理員使用同一個特權賬號的情況，導致企業難以將每一次特權訪問落實到人，無法實現精細、有效的特權賬號管控。

4.權限管理難

由于缺乏有效的管理工具，企業無法對特權賬號的訪問權限進行精準的、動態的管理。多人共用的共享特權賬號更是普遍存在權限過度開放的問題，為“內鬼”提供了便利之門。

5.密碼修改難

由于特權賬號的分布散、數量多，如果單憑人工，企業無法按等級保護相關要求每三個月對密碼進行一次修改。另外，應用內嵌賬號、中間件賬號等擁有特殊屬性的特權賬號，修改密碼一般需要安排獨立變更窗口，甚至需要專門配置開發人員支持，這導致很多企業難以推動內嵌賬號定期改密，讓內嵌賬號成為了安全防線的盲點。

6.安全審計難

由于缺乏統一的特權賬號管理平臺，企業無法實現對特權訪問的全面監控和審計，很多惡意行為可能長期存在且不被發現。一旦發生安全事件，管理員無法迅速追溯風險行為，取證定責難。

芯盾時代特權賬號管理系統（PAM）

針對企業的特權賬號管理難題，芯盾時代基于零信任理念，結合豐富的身份安全建設經驗，推出了特權賬號管理系統（PAM），為企業建立特權賬號全生命周期管理體系，幫助企業發現特權賬號、管理特權用戶、識別賬號風險、全局定期改密、完善安全審計，全面提升對特權賬號的管理能力。

1.賬號梳理

借助芯盾時代PAM，企業能夠自動發現業務應用、網絡設備、安全設備、服務器、數據庫以及存儲設備的特權賬號，并梳理所有特權賬號的賬號使用方、訪問權限、風險信息，最終形成內容全面、分類清晰的特權賬號清單，讓企業摸清特權賬號現狀，為特權賬號的規范管理提供數據支撐。

2.風險識別

基于對特權賬號的梳理和分析結果，企業能夠識別弱密碼賬號、僵尸賬號、幽靈賬號、長期未改密賬號等風險賬號，形成可視化的特權賬號管理看板，便于管理員掌握賬號風險情，及時采取應對措施。

3.用戶管理

憑借領先的身份安全產品能力，芯盾時代能夠為每個管理員創建唯一的可信身份。管理員登錄自己的賬號后，再使用權限內的特權賬號進行特權訪問。通過將每一個特權賬號與管理員的身份信息相關聯，企業能通過對管理員個人的增強身份認證，保證共享特權賬號的安全性，還能提升對共享特權賬號的管控和追溯能力，消除安全盲點。

4.權限管理

芯盾時代PAM按照零信任的“最小化授權”原則，對特權賬號的訪問權限進行精細的、動態的管控。企業能夠自主制定特權賬號的訪問控制策略，基于身份、時間、IP、行為等因素動態調整特權賬號的訪問權限，針對風險訪問自適應執行阻斷、二次認證等策略，提升特權訪問的安全性。

5.密碼管理

芯盾時代PAM提供了密碼集中管理功能，企業能夠實現自定義設置密碼安全策略、一站式定期密碼修改等功能，使得特權賬號的密碼滿足高復雜度、一機一密、定期修改等要求，實現自動、集中、定期修改特權賬號密碼。對于內嵌賬號，芯盾時代PAM通過提供接口或開發SDK的方式，使應用系統動態從PAM中獲取賬號密碼，既解決了內嵌賬號的定期改密難題，又消除了因賬號密碼明文存儲導致的安全風險。

為了保證特權賬號的安全，芯盾時代PAM提供“密碼保險箱”功能，采用國密算法對所有賬號密碼進行加密存儲，既強化了特權賬號安全，也滿足了合規要求。

6.安全審計

芯盾時代PAM提供完備的日志功能，完整記錄特權訪問的全過程。通過審計日志，管理員能夠直觀的看到哪個人登錄了哪個特權賬號，在哪個時間段進行了哪些操作，從而對每一次特權訪問進行追蹤溯源，實現對特權訪問的閉環管理。

有了芯盾時代特權賬戶管理系統（PAM）,企業能夠保管好IT資產和數據資源的“鑰匙”，防住“內鬼”，擋住黑客，讓企業的數字化業務更加安全~



審核編輯：劉清