特权账号管理的那些坑，芯盾时代PAM帮你踩平！

如果你是一家公司的老板，忽然发现公司保险箱的钥匙被人偷了，你会不会有点慌？

当然，如果你真的是老板，真的有个保险箱，保险箱又有真的有一把钥匙，那么这把钥匙一定会被妥善保管，比如把它放到另一个保险箱里……

但是在数字世界里，企业IT资产和数据资源的“钥匙”——特权账号，却远没有这样的待遇。它们要么得不到妥善管理，被“内鬼”用来挖公司墙角，比如某微信营销服务商被运维人员利用特权账号“删库”，导致市值蒸发超10亿，300万用户的小程序宕机；要么被黑客视为头号目标，拿到手后搞个大新闻，比如拉斯维加斯市因特权账号（域服务器账号）被盗，导致多项市政服务中断，还泄露了1.169TB的敏感数据。

如此重要的特权账号，企业为什么不好好管理？其实，这还真不全是企业的错~

特权账号怎么管？企业真的很为难！

特权账号，是指数据中心内部，分布在主机、网络设备、数据库等资产上具有较高访问权限的账号，衍生到一切资产上具有可访问权限的账号。按照Gartner的分类，特权账号分为人员特权账号和软件特权账号，其中人员特权账号又分为个人特权账号、系统定义的共享特权账号和企业定义的共享特权账号3种。

通过定义和分类，不难看出特权账号的特点——分布散，种类杂，数量多，权限高。这直接导致了企业的特权账号管理面临六大难题：

1.账号梳理难

数据中心中，特权账号的数量往往是设备数量的十倍以上。这些账号分布在不同的设备和应用中，类型复杂，状态不一，仅凭人工管理无法掌握其全貌。

2.风险识别难

由于无法掌握特权账号的全貌，企业难以对账号风险情况进行分析，实施针对性的治理和防护。这导致了未改密账号、弱密码账号、幽灵账号、僵尸账号等风险账号长期存在，为黑客提供了突破口。

3.用户管控难

企业内部普遍存在多个管理员使用同一个特权账号的情况，导致企业难以将每一次特权访问落实到人，无法实现精细、有效的特权账号管控。

4.权限管理难

由于缺乏有效的管理工具，企业无法对特权账号的访问权限进行精准的、动态的管理。多人共用的共享特权账号更是普遍存在权限过度开放的问题，为“内鬼”提供了便利之门。

5.密码修改难

由于特权账号的分布散、数量多，如果单凭人工，企业无法按等级保护相关要求每三个月对密码进行一次修改。另外，应用内嵌账号、中间件账号等拥有特殊属性的特权账号，修改密码一般需要安排独立变更窗口，甚至需要专门配置开发人员支持，这导致很多企业难以推动内嵌账号定期改密，让内嵌账号成为了安全防线的盲点。

6.安全审计难

由于缺乏统一的特权账号管理平台，企业无法实现对特权访问的全面监控和审计，很多恶意行为可能长期存在且不被发现。一旦发生安全事件，管理员无法迅速追溯风险行为，取证定责难。

芯盾时代特权账号管理系统（PAM）

针对企业的特权账号管理难题，芯盾时代基于零信任理念，结合丰富的身份安全建设经验，推出了特权账号管理系统（PAM），为企业建立特权账号全生命周期管理体系，帮助企业发现特权账号、管理特权用户、识别账号风险、全局定期改密、完善安全审计，全面提升对特权账号的管理能力。

1.账号梳理

借助芯盾时代PAM，企业能够自动发现业务应用、网络设备、安全设备、服务器、数据库以及存储设备的特权账号，并梳理所有特权账号的账号使用方、访问权限、风险信息，最终形成内容全面、分类清晰的特权账号清单，让企业摸清特权账号现状，为特权账号的规范管理提供数据支撑。

2.风险识别

基于对特权账号的梳理和分析结果，企业能够识别弱密码账号、僵尸账号、幽灵账号、长期未改密账号等风险账号，形成可视化的特权账号管理看板，便于管理员掌握账号风险情，及时采取应对措施。

3.用户管理

凭借领先的身份安全产品能力，芯盾时代能够为每个管理员创建唯一的可信身份。管理员登录自己的账号后，再使用权限内的特权账号进行特权访问。通过将每一个特权账号与管理员的身份信息相关联，企业能通过对管理员个人的增强身份认证，保证共享特权账号的安全性，还能提升对共享特权账号的管控和追溯能力，消除安全盲点。

4.权限管理

芯盾时代PAM按照零信任的“最小化授权”原则，对特权账号的访问权限进行精细的、动态的管控。企业能够自主制定特权账号的访问控制策略，基于身份、时间、IP、行为等因素动态调整特权账号的访问权限，针对风险访问自适应执行阻断、二次认证等策略，提升特权访问的安全性。

5.密码管理

芯盾时代PAM提供了密码集中管理功能，企业能够实现自定义设置密码安全策略、一站式定期密码修改等功能，使得特权账号的密码满足高复杂度、一机一密、定期修改等要求，实现自动、集中、定期修改特权账号密码。对于内嵌账号，芯盾时代PAM通过提供接口或开发SDK的方式，使应用系统动态从PAM中获取账号密码，既解决了内嵌账号的定期改密难题，又消除了因账号密码明文存储导致的安全风险。

为了保证特权账号的安全，芯盾时代PAM提供“密码保险箱”功能，采用国密算法对所有账号密码进行加密存储，既强化了特权账号安全，也满足了合规要求。

6.安全审计

芯盾时代PAM提供完备的日志功能，完整记录特权访问的全过程。通过审计日志，管理员能够直观的看到哪个人登录了哪个特权账号，在哪个时间段进行了哪些操作，从而对每一次特权访问进行追踪溯源，实现对特权访问的闭环管理。

有了芯盾时代特权账户管理系统（PAM）,企业能够保管好IT资产和数据资源的“钥匙”，防住“内鬼”，挡住黑客，让企业的数字化业务更加安全~



审核编辑：刘清