近年來，因為特權賬號管理不當導致的網(wǎng)絡攻擊事件頻頻發(fā)生，給企業(yè)造成巨大損失：

2020年，某微信營銷服務商的運維工程師酒后登錄公司服務器，4分鐘內刪除了70GB核心數(shù)據(jù)庫，導致300萬商戶系統(tǒng)癱瘓8天14小時，其公司市值蒸發(fā)超10億。

2022年，美國征信巨頭TransUnion的南非公司遭巴西黑客團伙襲擊。黑客通過暴力破解獲取SFTP服務器管理員賬號（密碼為默認的“password”），下載5400萬消費者征信記錄，導致南非幾乎所有公民征信數(shù)據(jù)泄露。

2024年，黑客利用美國某州政府前員工未注銷的網(wǎng)絡管理員賬號，直接通過VPN接入內網(wǎng)，查詢并下載包含10萬公民社保號、醫(yī)療記錄的敏感文件，并在暗網(wǎng)出售。

一件件觸目驚心的安全事件給企業(yè)敲響了警鐘——一旦特權賬號有失，企業(yè)的內網(wǎng)將城門洞開，輕則數(shù)據(jù)泄露、業(yè)績受損，重則業(yè)務癱瘓、聲譽崩塌。

如何管理好特權賬號這把事關企業(yè)命脈的“鑰匙”，已經(jīng)成為了企業(yè)安全建設的必答題。但是，并不是所有企業(yè)都能交出令人滿意的答卷~

特權賬號，為何總是管不好？

特權賬號，是指數(shù)據(jù)中心內部，分布在主機、網(wǎng)絡設備、數(shù)據(jù)庫等資產(chǎn)上具有較高訪問權限的賬號，衍生到一切資產(chǎn)上具有可訪問權限的賬號。按照Gartner的分類，特權賬號分為人員特權賬號和軟件特權賬號，其中人員特權賬號又分為個人特權賬號、系統(tǒng)定義的共享特權賬號和企業(yè)定義的共享特權賬號3種。

通過定義和分類，不難看出特權賬號的特點——分布散，種類雜，數(shù)量多，權限高。這直接導致了企業(yè)的特權賬號管理面臨 “獨、散、亂、慢”四大問題：

1.獨：存在管理孤島，難以落實到人

由于特權賬號的性質特殊，往往由管理員單獨使用、管理，導致特權賬號長期游離于企業(yè)的身份管理體系之外，形成了一個個“管理孤島”。同時，由于企業(yè)內部普遍存在多個管理員使用同一個特權賬號的情況，企業(yè)難以將每一次特權訪問落實到人，無法實現(xiàn)精細、有效的特權賬號管控。

2.散：特權賬號分散，難以統(tǒng)一管理

在企業(yè)數(shù)據(jù)中心中，特權賬號的數(shù)量往往是設備數(shù)量的十倍以上。這些賬號分布在不同的設備和應用中，類型復雜，狀態(tài)不一，僅憑人工管理無法掌握其全貌。

3.亂：賬號狀態(tài)混亂，安全情況不明

由于無法掌握特權賬號的全貌，企業(yè)難以對賬號風險情況進行評估，實施針對性的治理和防護。這導致了企業(yè)難以實施統(tǒng)一的密碼策略，未改密賬號、弱密碼賬號等風險賬號長期存在，為黑客提供了突破口。

4.慢：賬號注銷緩慢，追蹤溯源困難

由于缺乏有效的管理工具，企業(yè)無法一站式實現(xiàn)特權賬號的開通、調整權限、注銷，只能通過人工逐個調整，不但時效性差，給了攻擊者可趁之機，還容易造成幽靈賬號、僵尸賬號等安全隱患。

企業(yè)還難以對特權賬號的訪問權限進行精準的、動態(tài)的管理，無法實現(xiàn)對特權訪問的全面監(jiān)控和審計。這導致很多惡意行為可能長期存在且不被發(fā)現(xiàn)。一旦發(fā)生安全事件，管理員無法迅速追溯風險行為，取證定責難。

芯盾時代特權賬號管理系統(tǒng)（PAM）

針對企業(yè)的特權賬號管理難題，芯盾時代基于零信任理念，結合豐富的身份安全建設經(jīng)驗，推出了特權賬號管理系統(tǒng)（PAM），幫助企業(yè)實現(xiàn)對全局特權賬號的統(tǒng)一管理，建立特權賬號全生命周期管理體系，打破特權賬號管理系統(tǒng)與員工身份管理體系之間的壁壘，高效、便捷地梳理特權賬號、管理特權用戶、識別賬號風險、全局定期改密、完善安全審計，將每一次特權訪問落實到人，全面提升特權賬號的安全水平。

1.消除特權賬號孤島，特權訪問定位到人

憑借領先的身份安全產(chǎn)品能力，芯盾時代能夠為每個管理員創(chuàng)建唯一的可信身份。管理員登錄自己的賬號后，再使用權限內的特權賬號進行特權訪問。通過將每一個特權賬號與管理員的身份信息相關聯(lián)，企業(yè)能通過對管理員個人實施多因素認證（MFA），提升共享賬號的安全性，還能提升對共享特權賬號的管控和追溯能力，消除安全盲點。

借助完備的身份管理產(chǎn)品線和豐富的項目經(jīng)驗，芯盾時代能夠幫助企業(yè)打破PAM與統(tǒng)一身份管理平臺（IAM）之間的壁壘，將特權賬號管理納入員工身份管理體系之中，消除IT系統(tǒng)中的“賬號孤島”。同時，利用IAM強大的身份管理能力，納管堡壘機的身份信息，建立“IAM+PAM+堡壘機”的運維管理架構，實現(xiàn)“人+賬號+行為”的全方位管控，讓每一次特權訪問都安全可控。

2.掌握特權賬號狀態(tài)，提升賬號管理效率

借助芯盾時代PAM，企業(yè)能夠自動發(fā)現(xiàn)業(yè)務應用、網(wǎng)絡設備、安全設備、服務器、數(shù)據(jù)庫以及存儲設備的特權賬號，并梳理所有特權賬號的賬號使用方、訪問權限、風險信息，最終形成內容全面、分類清晰的特權賬號清單，摸清特權賬號現(xiàn)狀，為特權賬號的規(guī)范管理提供數(shù)據(jù)支撐。

摸清賬號狀態(tài)后，企業(yè)能夠借助芯盾時代PAM統(tǒng)一管理所有特權賬號，一站式完成特權賬號的開通、注銷、權限調整，實現(xiàn)賬號的自動化流轉，提升賬號管理的時效性，徹底解決“特權賬號回收慢”的安全隱患。同時，智能識別弱密碼賬號、僵尸賬號、幽靈賬號、長期未改密賬號等風險賬號，及時采取強制改密、注銷賬號等應對措施，消除安全隱患。

3.賬號統(tǒng)一定期改密，滿足監(jiān)管合規(guī)要求

芯盾時代PAM提供了密碼集中管理功能，企業(yè)能夠實現(xiàn)自定義設置密碼安全策略、一站式定期密碼修改等功能，使得特權賬號的密碼滿足高復雜度、一機一密、定期修改等要求，實現(xiàn)自動、集中、定期修改特權賬號密碼。

為了保證特權賬號的安全，芯盾時代PAM提供“密碼保險箱”功能，采用國密算法對所有賬號密碼進行加密存儲，既強化了特權賬號安全，也滿足了合規(guī)要求。

4.實現(xiàn)“最小化授權”，特權訪問更加可控

芯盾時代PAM按照零信任的“最小化授權”原則，對特權賬號的訪問權限進行精細的、動態(tài)的管控。企業(yè)能夠自主制定特權賬號的訪問控制策略，基于身份、時間、IP、行為等因素動態(tài)調整特權賬號的訪問權限，針對風險訪問自適應執(zhí)行阻斷、二次認證等策略，提升特權訪問的安全性。

5.全局統(tǒng)一安全審計，特權訪問閉環(huán)管理

芯盾時代PAM的審計日志能夠完整記錄特權訪問的全過程，管理員可以直觀地有了芯盾時代特權賬管理系統(tǒng)（PAM）看到哪個人登錄了哪個特權賬號，在哪個時間段進行了哪些操作，從而對每一次特權訪問進行追蹤溯源，實現(xiàn)對特權訪問的閉環(huán)管理。

有了芯盾時代特權賬號管理系統(tǒng)（PAM），企業(yè)能夠讓每一個特權賬號都安全可控，做到人離號銷、權隨職動，防住“內鬼”，擋住黑客，讓企業(yè)的數(shù)字化業(yè)務更加安全~