近年來，因為特權(quán)賬號管理不當(dāng)導(dǎo)致的網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，給企業(yè)造成巨大損失：

2020年，某微信營銷服務(wù)商的運維工程師酒后登錄公司服務(wù)器，4分鐘內(nèi)刪除了70GB核心數(shù)據(jù)庫，導(dǎo)致300萬商戶系統(tǒng)癱瘓8天14小時，其公司市值蒸發(fā)超10億。

2022年，美國征信巨頭TransUnion的南非公司遭巴西黑客團伙襲擊。黑客通過暴力破解獲取SFTP服務(wù)器管理員賬號（密碼為默認(rèn)的“password”），下載5400萬消費者征信記錄，導(dǎo)致南非幾乎所有公民征信數(shù)據(jù)泄露。

2024年，黑客利用美國某州政府前員工未注銷的網(wǎng)絡(luò)管理員賬號，直接通過VPN接入內(nèi)網(wǎng)，查詢并下載包含10萬公民社保號、醫(yī)療記錄的敏感文件，并在暗網(wǎng)出售。

一件件觸目驚心的安全事件給企業(yè)敲響了警鐘——一旦特權(quán)賬號有失，企業(yè)的內(nèi)網(wǎng)將城門洞開，輕則數(shù)據(jù)泄露、業(yè)績受損，重則業(yè)務(wù)癱瘓、聲譽崩塌。

如何管理好特權(quán)賬號這把事關(guān)企業(yè)命脈的“鑰匙”，已經(jīng)成為了企業(yè)安全建設(shè)的必答題。但是，并不是所有企業(yè)都能交出令人滿意的答卷~

特權(quán)賬號，為何總是管不好？

特權(quán)賬號，是指數(shù)據(jù)中心內(nèi)部，分布在主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資產(chǎn)上具有較高訪問權(quán)限的賬號，衍生到一切資產(chǎn)上具有可訪問權(quán)限的賬號。按照Gartner的分類，特權(quán)賬號分為人員特權(quán)賬號和軟件特權(quán)賬號，其中人員特權(quán)賬號又分為個人特權(quán)賬號、系統(tǒng)定義的共享特權(quán)賬號和企業(yè)定義的共享特權(quán)賬號3種。

通過定義和分類，不難看出特權(quán)賬號的特點——分布散，種類雜，數(shù)量多，權(quán)限高。這直接導(dǎo)致了企業(yè)的特權(quán)賬號管理面臨 “獨、散、亂、慢”四大問題：

1.獨：存在管理孤島，難以落實到人

由于特權(quán)賬號的性質(zhì)特殊，往往由管理員單獨使用、管理，導(dǎo)致特權(quán)賬號長期游離于企業(yè)的身份管理體系之外，形成了一個個“管理孤島”。同時，由于企業(yè)內(nèi)部普遍存在多個管理員使用同一個特權(quán)賬號的情況，企業(yè)難以將每一次特權(quán)訪問落實到人，無法實現(xiàn)精細、有效的特權(quán)賬號管控。

2.散：特權(quán)賬號分散，難以統(tǒng)一管理

在企業(yè)數(shù)據(jù)中心中，特權(quán)賬號的數(shù)量往往是設(shè)備數(shù)量的十倍以上。這些賬號分布在不同的設(shè)備和應(yīng)用中，類型復(fù)雜，狀態(tài)不一，僅憑人工管理無法掌握其全貌。

3.亂：賬號狀態(tài)混亂，安全情況不明

由于無法掌握特權(quán)賬號的全貌，企業(yè)難以對賬號風(fēng)險情況進行評估，實施針對性的治理和防護。這導(dǎo)致了企業(yè)難以實施統(tǒng)一的密碼策略，未改密賬號、弱密碼賬號等風(fēng)險賬號長期存在，為黑客提供了突破口。

4.慢：賬號注銷緩慢，追蹤溯源困難

由于缺乏有效的管理工具，企業(yè)無法一站式實現(xiàn)特權(quán)賬號的開通、調(diào)整權(quán)限、注銷，只能通過人工逐個調(diào)整，不但時效性差，給了攻擊者可趁之機，還容易造成幽靈賬號、僵尸賬號等安全隱患。

企業(yè)還難以對特權(quán)賬號的訪問權(quán)限進行精準(zhǔn)的、動態(tài)的管理，無法實現(xiàn)對特權(quán)訪問的全面監(jiān)控和審計。這導(dǎo)致很多惡意行為可能長期存在且不被發(fā)現(xiàn)。一旦發(fā)生安全事件，管理員無法迅速追溯風(fēng)險行為，取證定責(zé)難。

芯盾時代特權(quán)賬號管理系統(tǒng)（PAM）

針對企業(yè)的特權(quán)賬號管理難題，芯盾時代基于零信任理念，結(jié)合豐富的身份安全建設(shè)經(jīng)驗，推出了特權(quán)賬號管理系統(tǒng)（PAM），幫助企業(yè)實現(xiàn)對全局特權(quán)賬號的統(tǒng)一管理，建立特權(quán)賬號全生命周期管理體系，打破特權(quán)賬號管理系統(tǒng)與員工身份管理體系之間的壁壘，高效、便捷地梳理特權(quán)賬號、管理特權(quán)用戶、識別賬號風(fēng)險、全局定期改密、完善安全審計，將每一次特權(quán)訪問落實到人，全面提升特權(quán)賬號的安全水平。

1.消除特權(quán)賬號孤島，特權(quán)訪問定位到人

憑借領(lǐng)先的身份安全產(chǎn)品能力，芯盾時代能夠為每個管理員創(chuàng)建唯一的可信身份。管理員登錄自己的賬號后，再使用權(quán)限內(nèi)的特權(quán)賬號進行特權(quán)訪問。通過將每一個特權(quán)賬號與管理員的身份信息相關(guān)聯(lián)，企業(yè)能通過對管理員個人實施多因素認(rèn)證（MFA），提升共享賬號的安全性，還能提升對共享特權(quán)賬號的管控和追溯能力，消除安全盲點。

借助完備的身份管理產(chǎn)品線和豐富的項目經(jīng)驗，芯盾時代能夠幫助企業(yè)打破PAM與統(tǒng)一身份管理平臺（IAM）之間的壁壘，將特權(quán)賬號管理納入員工身份管理體系之中，消除IT系統(tǒng)中的“賬號孤島”。同時，利用IAM強大的身份管理能力，納管堡壘機的身份信息，建立“IAM+PAM+堡壘機”的運維管理架構(gòu)，實現(xiàn)“人+賬號+行為”的全方位管控，讓每一次特權(quán)訪問都安全可控。

2.掌握特權(quán)賬號狀態(tài)，提升賬號管理效率

借助芯盾時代PAM，企業(yè)能夠自動發(fā)現(xiàn)業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫以及存儲設(shè)備的特權(quán)賬號，并梳理所有特權(quán)賬號的賬號使用方、訪問權(quán)限、風(fēng)險信息，最終形成內(nèi)容全面、分類清晰的特權(quán)賬號清單，摸清特權(quán)賬號現(xiàn)狀，為特權(quán)賬號的規(guī)范管理提供數(shù)據(jù)支撐。

摸清賬號狀態(tài)后，企業(yè)能夠借助芯盾時代PAM統(tǒng)一管理所有特權(quán)賬號，一站式完成特權(quán)賬號的開通、注銷、權(quán)限調(diào)整，實現(xiàn)賬號的自動化流轉(zhuǎn)，提升賬號管理的時效性，徹底解決“特權(quán)賬號回收慢”的安全隱患。同時，智能識別弱密碼賬號、僵尸賬號、幽靈賬號、長期未改密賬號等風(fēng)險賬號，及時采取強制改密、注銷賬號等應(yīng)對措施，消除安全隱患。

3.賬號統(tǒng)一定期改密，滿足監(jiān)管合規(guī)要求

芯盾時代PAM提供了密碼集中管理功能，企業(yè)能夠?qū)崿F(xiàn)自定義設(shè)置密碼安全策略、一站式定期密碼修改等功能，使得特權(quán)賬號的密碼滿足高復(fù)雜度、一機一密、定期修改等要求，實現(xiàn)自動、集中、定期修改特權(quán)賬號密碼。

為了保證特權(quán)賬號的安全，芯盾時代PAM提供“密碼保險箱”功能，采用國密算法對所有賬號密碼進行加密存儲，既強化了特權(quán)賬號安全，也滿足了合規(guī)要求。

4.實現(xiàn)“最小化授權(quán)”，特權(quán)訪問更加可控

芯盾時代PAM按照零信任的“最小化授權(quán)”原則，對特權(quán)賬號的訪問權(quán)限進行精細的、動態(tài)的管控。企業(yè)能夠自主制定特權(quán)賬號的訪問控制策略，基于身份、時間、IP、行為等因素動態(tài)調(diào)整特權(quán)賬號的訪問權(quán)限，針對風(fēng)險訪問自適應(yīng)執(zhí)行阻斷、二次認(rèn)證等策略，提升特權(quán)訪問的安全性。

5.全局統(tǒng)一安全審計，特權(quán)訪問閉環(huán)管理

芯盾時代PAM的審計日志能夠完整記錄特權(quán)訪問的全過程，管理員可以直觀地有了芯盾時代特權(quán)賬管理系統(tǒng)（PAM）看到哪個人登錄了哪個特權(quán)賬號，在哪個時間段進行了哪些操作，從而對每一次特權(quán)訪問進行追蹤溯源，實現(xiàn)對特權(quán)訪問的閉環(huán)管理。

有了芯盾時代特權(quán)賬號管理系統(tǒng)（PAM），企業(yè)能夠讓每一個特權(quán)賬號都安全可控，做到人離號銷、權(quán)隨職動，防住“內(nèi)鬼”，擋住黑客，讓企業(yè)的數(shù)字化業(yè)務(wù)更加安全~