國際權(quán)威技術(shù)分析與咨詢研究公司Gartner公司在2018年、2019年連續(xù)兩年將“特權(quán)賬號管理(PAM)”納入一年一度的“年度十大安全項目回顧”中，而且都是排名第一。那么，到底什么才是特權(quán)賬戶管理呢?

今天我們就來聊一聊特權(quán)賬戶管理方面的相關(guān)問題，包括什么是特權(quán)賬戶、特權(quán)賬戶存在哪些風(fēng)險、特權(quán)賬戶有哪些特點(diǎn)、特權(quán)賬戶管理的難度在哪兒、特權(quán)賬戶如何管理、特權(quán)賬戶管理的核心能力是什么、特權(quán)賬戶管理與其他相關(guān)管理系統(tǒng)的關(guān)系等。

[[343364]]

一、什么是特權(quán)賬戶

對于特權(quán)賬戶的理解，不同的人有不同看法。有些人認(rèn)為特權(quán)賬戶就是操作系統(tǒng)中的root賬戶、數(shù)據(jù)庫中的DBA賬戶;有些人認(rèn)為特權(quán)賬戶不應(yīng)該僅包括root、DBA等超級管理員賬戶，還應(yīng)包括操作系統(tǒng)、數(shù)據(jù)庫中的普通權(quán)限的賬戶;還有些人認(rèn)為特權(quán)賬戶還應(yīng)該包括其他系統(tǒng)設(shè)備中的管理賬戶，這里的其他系統(tǒng)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、集中管理控制平臺(云管平臺、自動化管理平臺等)、Web管理后臺(Weblogic管理后臺、虛擬專用網(wǎng)設(shè)備Web管理后臺等)等。

依筆者觀點(diǎn)，特權(quán)賬號就是在企業(yè)運(yùn)營過程中，給相關(guān)業(yè)務(wù)運(yùn)營、系統(tǒng)管理、系統(tǒng)運(yùn)維等人員賦予的系統(tǒng)維護(hù)、權(quán)限增加、數(shù)據(jù)修改刪除、導(dǎo)出等高級權(quán)限的系統(tǒng)賬戶。這些賬戶及其持有人掌握著企業(yè)的信息系統(tǒng)的生死大計，絕大部分時間這些賬戶都在為公司各項業(yè)務(wù)正常開展保駕護(hù)航。然而，道與魔，一念之間。惡念乍起，或者是“無意一指”，這些缺乏管控的特權(quán)賬戶可能就會給公司業(yè)務(wù)帶來滅頂之災(zāi)。

判斷一個賬戶是不是特權(quán)賬戶的簡單方式就是“這個賬號做了一件具有極端破壞性的操作(包括刪除、增加權(quán)限等)，會不會直接對他人、對第三方產(chǎn)生影響，導(dǎo)致他人或第三方無法工作、信息泄露等”，比如OA管理員刪除了某個用戶的OA賬號或者把所有OA賬號都刪除了，其他用戶都用不了OA系統(tǒng)了，你說OA管理員是不是特權(quán)賬號?再比如某個網(wǎng)絡(luò)管理員，登錄單位防火墻、路由器、交換機(jī)把所有的訪問策略、路由配置都刪除了，你說這個網(wǎng)絡(luò)管理員賬號算不算特權(quán)賬號?

有時候，特權(quán)賬號和個人賬號在表現(xiàn)形式上可能是一樣的，比如都是OA賬號、域賬號、LDAP統(tǒng)一認(rèn)證賬號等，只是在不同的系統(tǒng)里，該賬號被賦予了不同的權(quán)限。當(dāng)作為系統(tǒng)管理員的時候，這個賬號就具有某些特權(quán)，而成為特權(quán)賬號。比如某員工是郵件系統(tǒng)管理員，當(dāng)它通過郵件客戶端登錄自己郵箱時，他就是普通賬號，但是，當(dāng)他登錄郵件系統(tǒng)的管理后臺時，此時他就是特權(quán)賬號。當(dāng)然，目前有些系統(tǒng)(據(jù)我所知，這個“有些”是“很多”)的管理后臺賬號都是通過單獨(dú)創(chuàng)建賬號的方式，然后將“新賬號”賬號憑證告訴某位員工，讓他成為系統(tǒng)管理員，這時候，該員工具有的特權(quán)賬號就是這個“賬號”，而不是他的OA賬號、域賬號等。

總的來說，筆者認(rèn)為：特權(quán)賬號可分為以下兩類場景：一類是以Web業(yè)務(wù)系統(tǒng)為代表的業(yè)務(wù)系統(tǒng)及其管理后臺的特權(quán)賬號;另一類是以操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等為代表的信息基礎(chǔ)設(shè)施管理后臺的特權(quán)賬號。這兩類賬號有什么區(qū)別呢?第一類特權(quán)賬號是可以和員工OA賬號或員工號保持一致，而且應(yīng)該盡量保持一致，員工離職、調(diào)崗等異動可以通過刪除該員工的賬號權(quán)限而取消授權(quán);而第二類特權(quán)則不一定，這類特權(quán)賬號以操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備運(yùn)維視角設(shè)定賬號，這類賬號一旦設(shè)定，不能隨意刪除，因此，在員工離職、調(diào)崗等異動時不能通過刪除賬號來實現(xiàn)賬號權(quán)限回收，此時可能的辦法就是修改賬戶登錄憑證、限制登錄源IP地址等替代手段了。

針對第一類賬號，即與員工OA賬戶一致的Web類應(yīng)用系統(tǒng)特權(quán)賬戶可以采用與企業(yè)內(nèi)部的SSO與LDAP用戶數(shù)據(jù)庫對接，通過LDAP對用戶密碼進(jìn)行統(tǒng)一管理。這不屬于本文的重點(diǎn)，本文主要關(guān)注第二類特權(quán)賬號的管理問題，即那些LDAP無法管理的特權(quán)賬號的管理問題。

二、特權(quán)賬戶有哪些特點(diǎn)

分布散。一是特權(quán)賬號散落分布在業(yè)務(wù)系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、各類應(yīng)用系統(tǒng)、操作系統(tǒng)中，只要你在企業(yè)內(nèi)能看到的任何一個信息系統(tǒng)都至少有一個特權(quán)賬號。目之所及，耳之所聞，還有你看不到聽不到的系統(tǒng)都包含有特權(quán)賬號。二是特權(quán)賬號的持有人分布散，他可能是在數(shù)據(jù)中心科技運(yùn)維人員，也可能是企業(yè)總部業(yè)務(wù)、后勤、人力等任何一個部門的人員，還有可能是偏遠(yuǎn)子分公司的業(yè)務(wù)運(yùn)營人員等等。但總的來說，總部科技部門和業(yè)務(wù)部門應(yīng)該占有絕大多數(shù)。

數(shù)量多。企業(yè)有多少個信息系統(tǒng)資產(chǎn)(軟件、硬件等)就至少有多個少個特權(quán)賬號，但是，通常情況下，一個信息系統(tǒng)是不可能只有一個人、一個賬戶進(jìn)行管理的，因此，一個系統(tǒng)可能會創(chuàng)建多個特權(quán)賬號。據(jù)估算，特權(quán)賬號的數(shù)量可能達(dá)到企業(yè)信息系統(tǒng)(主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)、管理系統(tǒng)等)數(shù)量的5-10倍，甚至更多。

權(quán)限大。既然叫特權(quán)賬號，肯定是具有一定特殊權(quán)限，比如增加用戶、批量下載數(shù)據(jù)、執(zhí)行高權(quán)限操作、刪除核心數(shù)據(jù)等。另外，根據(jù)業(yè)務(wù)系統(tǒng)的重要程度，特權(quán)賬號的所具有特權(quán)的風(fēng)險越大。

三、特權(quán)賬戶存在哪些風(fēng)險

特權(quán)賬號保管不善，導(dǎo)致登錄憑證泄露、丟失，被惡意攻擊者、別有用心者獲取，然后被攻擊者利用該登錄憑證非授權(quán)訪問業(yè)務(wù)系統(tǒng)，進(jìn)而可能導(dǎo)致系統(tǒng)數(shù)據(jù)被刪除、惡意增加管理員權(quán)限、非法下載大量數(shù)據(jù)等。特權(quán)賬戶從創(chuàng)建、使用、保存、注銷等全過程更是面臨較大泄露風(fēng)險，比如有些特權(quán)賬戶需要進(jìn)行多次流轉(zhuǎn)(從超級管理員到普通管理員傳遞)，目前普遍采用郵件、微信的方式的進(jìn)行傳遞，有些安全意識較高的可能還進(jìn)行加密處理，有些安全意識差的或者應(yīng)急場景，密碼明文傳輸更是比比皆是。攻擊者若獲取部分的賬戶、密碼可能會對企業(yè)進(jìn)行大范圍的橫向擴(kuò)展攻擊，導(dǎo)致系統(tǒng)遭受大面積入侵。

特權(quán)賬號持有者惡意破壞，對自身運(yùn)維的信息系統(tǒng)進(jìn)行惡意破壞，比如刪庫、格式化等操作，比如前一段時間發(fā)生的微盟員工惡意刪庫事件。2020年2月25日，微盟發(fā)布公告稱：“公司自2月23日19點(diǎn)起發(fā)現(xiàn)服務(wù)出現(xiàn)故障，大面積服務(wù)集群無法響應(yīng)，生產(chǎn)環(huán)境及數(shù)據(jù)遭受嚴(yán)重破壞。經(jīng)查，本次故障是由微盟核心運(yùn)維人員因“個人精神、生活原因”的惡意破壞導(dǎo)致。微盟預(yù)計，老用戶數(shù)據(jù)將在2月28日晚上24點(diǎn)前方可完成數(shù)據(jù)修復(fù)。”究其原因，擁有特權(quán)賬戶權(quán)限的核心運(yùn)維人員惡意破壞導(dǎo)致。

特權(quán)賬號持有者監(jiān)守自盜，利用自身具有的特權(quán)賬號非法下載大量數(shù)據(jù)、查看他人敏感信息等。

特權(quán)賬號持有者失誤操作，人總是會犯錯誤，特別是在非常疲憊的情況下更容易操作，因特權(quán)賬號具有較高的維護(hù)權(quán)限，所作出的操作破壞性更大。比如操作系統(tǒng)運(yùn)維人員在清理磁盤數(shù)據(jù)時，沒有看清操作路徑，使用了rm -rf *.*刪除了數(shù)據(jù)庫目錄下的所有數(shù)據(jù)文件等。

四、特權(quán)賬戶管理難點(diǎn)在哪兒

難以掌控企業(yè)特權(quán)賬戶的全貌。企業(yè)內(nèi)存在什么特權(quán)賬戶，分布在哪兒，誰在使用這些賬戶，目前都是一筆糊涂賬，缺少長期持續(xù)自動發(fā)現(xiàn)、持續(xù)跟蹤的。

難以對特權(quán)賬號憑證(密碼、密鑰等)進(jìn)行動態(tài)管理，如定期變更。特權(quán)賬戶數(shù)量太多，每個運(yùn)維人員都需要掌握數(shù)個、數(shù)十個、甚至數(shù)百個特權(quán)賬戶，還有定期密碼更替，密碼強(qiáng)度等管理要求，對于管理員來說，簡直是一個災(zāi)難，這就導(dǎo)致通用密碼、固定密碼等問題無法規(guī)避。

缺乏有效的賬戶憑證傳遞手段。A系統(tǒng)的特權(quán)賬戶可能不僅一個管理員在運(yùn)維，還有其他四五個管理員要運(yùn)維，還可能有其他下游系統(tǒng)的要使用這個賬戶。如果憑證變更之后不能有效的進(jìn)行傳遞，則可能導(dǎo)致下游應(yīng)用無法進(jìn)行同步，而導(dǎo)致出現(xiàn)生產(chǎn)故障。

對特權(quán)賬戶憑證集中自動化管理的信心不足。特權(quán)賬戶集中管理之后，特權(quán)賬戶管理員自身可能就不能確定性的掌握賬戶的密碼，這種不確定性導(dǎo)致管理員對特權(quán)賬戶集中管理的信心嚴(yán)重不足，擔(dān)心集中管理平臺自身的風(fēng)險導(dǎo)致信息系統(tǒng)整體的不可控、不可維護(hù)，引發(fā)嚴(yán)重的安全事故。

五、特權(quán)賬戶如何管理

對于一個企業(yè)安全管理者，在了解了上文關(guān)于特權(quán)賬戶的相關(guān)內(nèi)容后，下一步就要關(guān)注如何進(jìn)行管理?有哪些解決方案?按慣例，我們先看成熟的特權(quán)賬戶解決方案有哪些?Gartner在2018、2020年分別發(fā)布了一版特權(quán)賬戶管理魔力象限圖，圖中處于領(lǐng)導(dǎo)者象限的幾個企業(yè)包括Cyberark、BeyondTrust、Centrify等，可惜的是，一，這些企業(yè)在國內(nèi)有大量業(yè)務(wù)開展的只有第一個，其他幾個還沒有什么代理機(jī)構(gòu)，二，這張圖中沒有國內(nèi)企業(yè)上榜。另外還有IBM、Oracle等企業(yè)也有自己特權(quán)賬戶產(chǎn)品。

在此說一個題外八卦，在進(jìn)行特權(quán)賬戶管理解決方案調(diào)研、研究以及測試過程中，國內(nèi)有幾家堡壘機(jī)廠商開始宣稱自己具有特權(quán)賬戶解決方案。這里就有一個特權(quán)賬戶廠商“鄙視鏈”。

• 國外廠商說：國內(nèi)只有我們是特權(quán)賬戶解決方案，其他都是堡壘機(jī)，國內(nèi)廠商所說的特權(quán)賬戶解決方案都是假的。
• 國內(nèi)某廠商：我們是國內(nèi)唯一特權(quán)賬戶解決方案廠商，其他都是堡壘機(jī)，不是真正的特權(quán)賬戶解決方案。
• 國內(nèi)其他廠商：我們不光是堡壘機(jī)，我們也有特權(quán)賬戶解決方案。

這些都是八卦之談，那么什么才是特權(quán)賬戶管理應(yīng)該的姿勢呢?在半年多來的學(xué)習(xí)、測試以及實施過程中，筆者認(rèn)為特權(quán)賬號管理的整體方案應(yīng)該包括賬戶集中管理、密碼管理、賬戶自動發(fā)現(xiàn)、訪問管理、提供密碼調(diào)用服務(wù)、流程控制、日常監(jiān)控、日常審計等。

(1) 賬戶集中管理：高度分散的特權(quán)賬戶對于安全管控是不可行的，所以筆者認(rèn)為，特權(quán)賬戶管理的技術(shù)防控措施主要思路是“先集中，再施加控制措施”。特權(quán)賬戶只有集中起來才能進(jìn)行一些有效管理，比如實施統(tǒng)一的安全策略、方便審計等。賬戶散布各系統(tǒng)，如果不能采用某種手段對特權(quán)賬戶集中托管，顯然不適合管理。這是特權(quán)賬戶管理的第一步，需要建立一個統(tǒng)一平臺，能夠滿足多樣化系統(tǒng)的密碼托管能力。這個平臺必須具有良好的平臺兼容能力，要不然操作系統(tǒng)一套平臺、數(shù)據(jù)庫一套平臺，對于特權(quán)賬戶管理來說，仍然存在較大的運(yùn)維和使用難度。

(2) 密碼口令管理：特權(quán)賬戶管理的核心是密碼管理，要能通過自動化手段定期對密碼進(jìn)行修改、設(shè)置密碼安全策略等，使得密碼口令滿足高復(fù)雜度、一機(jī)一密、定期修改等要求;

(3) 賬戶自動發(fā)現(xiàn)：不管任何系統(tǒng)，從系統(tǒng)建立到銷毀過程的全生命周期中，可能會持續(xù)數(shù)年，這期間因測試需要、人員變動等原因，系統(tǒng)中可能建立了很多長期未使用的賬戶。這些賬戶長期缺乏維護(hù)，風(fēng)險很大。因此，特權(quán)賬戶管理需要具有能夠發(fā)現(xiàn)一些僵尸賬戶、多余賬戶的能力;

(4) 訪問管理：這里有幾個原因要提供訪問管理功能，一是賬戶密碼被托管之后，管理員無法掌握密碼之后，集中管理系統(tǒng)得提供一個特權(quán)賬戶的訪問通道要不然無法對目標(biāo)系統(tǒng)進(jìn)行管理;二是管理員在對目標(biāo)系統(tǒng)進(jìn)行管理時，要能提供高危行為阻攔、二次驗證等功能。三是統(tǒng)一訪問控制通道后不允許再開其他網(wǎng)絡(luò)訪問策略，因此，業(yè)務(wù)系統(tǒng)管理人員需要主動來聯(lián)系對接特權(quán)賬戶集中平臺，一定程度上避免了“業(yè)務(wù)系統(tǒng)先上線、安全人員后被動跟進(jìn)”的困境。訪問控制也是國內(nèi)堡壘機(jī)廠商具有核心能力，但是，最近聽到國內(nèi)某傳統(tǒng)堡壘機(jī)廠商的講解特權(quán)賬戶解決方案時，竟然把這一塊給省略了、弱化了，只是說可以和自家堡壘機(jī)聯(lián)動，把堡壘機(jī)和特權(quán)賬戶管理平行起來。筆者認(rèn)為，堡壘機(jī)功能是特權(quán)賬號解決方案的一個子集，必須納入特權(quán)賬號解決方案的整體進(jìn)行考慮，而不僅僅是聯(lián)動。

(5) 提供密碼調(diào)用服務(wù)：密碼口令托管之后，如果不能提供有效的API接口供下游系統(tǒng)調(diào)用，那么，特權(quán)賬戶管理平臺要對密碼進(jìn)行定期修改的功能就不能實現(xiàn)。因此，特權(quán)賬戶管理要能為第三方系統(tǒng)提供API調(diào)用服務(wù)。筆者認(rèn)為，這是國內(nèi)堡壘機(jī)廠商被排除在PAM廠商之外的主要原因，國內(nèi)堡壘機(jī)很早就具有了賬戶管理功能，能夠托管一些賬戶密碼，但是他們不具有提供API調(diào)用能力，導(dǎo)致他們只能修改一些不會被其他人使用的賬戶密碼，需要被其他系統(tǒng)使用的密碼只能保持固定不變。

6、流程控制：流程控制最重要的就是在審批流程和特權(quán)賬號使用流程進(jìn)行關(guān)聯(lián)，在特權(quán)賬號的使用流程中設(shè)置關(guān)鍵控制點(diǎn)，如在特權(quán)賬號密碼代填方面，必須要經(jīng)過審批流程批準(zhǔn)后才能進(jìn)行密碼下發(fā)和填入操作。比如特權(quán)賬號的危險操作行為，如rm -rf *.*、DROP Database等，必須要經(jīng)過第二個人的復(fù)核或者增加一步驗證確認(rèn)環(huán)節(jié)。在特權(quán)賬號的操作流程中增加審批和確認(rèn)流程，以減少特權(quán)賬號的誤操作和惡意操作風(fēng)險。

7、日常監(jiān)控：通過集中的特權(quán)賬號管理平臺，不用監(jiān)控分析和審計人員再去一一對接海量的業(yè)務(wù)系統(tǒng)，對用戶的操作行為進(jìn)行識別，阻斷高危操作，如rm -rf *.*等，對用戶進(jìn)行UEBA的分析，比如目標(biāo)系統(tǒng)登錄日志出現(xiàn)了非統(tǒng)一訪問控制通道發(fā)起登錄操作，操作日志中短時間出現(xiàn)了大量的新建、刪除、修改、批量導(dǎo)出等高危操作，即可判定為異常，從而發(fā)出告警，讓管理人員進(jìn)行進(jìn)行應(yīng)急響應(yīng)。

8、日常審計：在風(fēng)險管理領(lǐng)域，有著名的“三道防線”論，即建設(shè)、風(fēng)險管理和審計。在特權(quán)賬戶管控方面，制度建設(shè)、流程建設(shè)和技術(shù)管控手段都算一道防線，運(yùn)營監(jiān)控應(yīng)該算二道防線。定期事后審計評估安全措施是否落實到位并整改，是安全管控措施的最后一道防線。無論多么好的制度、流程、技術(shù)或運(yùn)營手段，缺少適當(dāng)?shù)膶徲嫶胧?，都可能存?ldquo;制度落實不到位、流程流于形式，技術(shù)管控失效”等問題。

六、企業(yè)在特權(quán)賬戶管理實施過程中應(yīng)該關(guān)心什么

1. 對多種平臺、系統(tǒng)的兼容能力

如果一個平臺雖然具有一些特權(quán)賬號管理能力，但是，只能支持一兩種平臺和系統(tǒng)的賬號管理，那么，它可能不能被稱為真正的特權(quán)賬號管理平臺。這也是國內(nèi)堡壘機(jī)廠商被國外廠商詬病主要原因之一吧。目前，典型的特權(quán)賬號管理平臺方案支持的平臺和系統(tǒng)類型已經(jīng)包含以下內(nèi)容：

• 操作系統(tǒng)：支持Windows系列(本地及AD域賬號)、IBM AS 系列、Linux系列、Unix系列、Aix等
• 數(shù)據(jù)庫：支持ORACLE、SQL SERVER、SYBASE、MySQL等
• 網(wǎng)絡(luò)及安全設(shè)備：支持思科、華三、華為、綠盟、360、山石等廠商的交換機(jī)、路由器、IDS、網(wǎng)閘、防火墻、帶外管理等網(wǎng)絡(luò)安全設(shè)備
• 支持阿里云、騰訊云等云管理員賬號、AccessKey等特權(quán)賬號托管，并支持對這類賬號密碼自動更改。
• 支持通過底層賬號自動掃描阿里云、騰訊云已有和新增實例并安全托管賬號、自動更改賬號密碼。

在具備兼容以上已知系統(tǒng)能力的同時，還應(yīng)具備強(qiáng)大的定制擴(kuò)展能力，能夠快速適應(yīng)飛速發(fā)展的計算機(jī)終端、操作系統(tǒng)、數(shù)據(jù)庫等市場。

2. 賬戶憑證(密碼)自動改密的可靠性

一個號稱具有自動改密功能的特權(quán)賬號管理平臺，如果在改密過程中老是出錯，在實驗室環(huán)境下，即便改密正確性達(dá)到99%也不行，10000個賬戶改一次錯100個，更別說復(fù)雜的數(shù)據(jù)中心環(huán)境了，對于系統(tǒng)管理員來說，是不可忍受的。但是，很不幸，目前沒有一個權(quán)威測評機(jī)構(gòu)進(jìn)行相應(yīng)測試驗證，所有的可靠性都是廠商自家說辭，沒有大面積的應(yīng)用是很難驗證出來的。在這兒，筆者認(rèn)為可以多與其他甲方進(jìn)行調(diào)研，問問別人用什么，有沒有什么坑，然后選口碑好的、應(yīng)用時間長的。

3. 特權(quán)賬號平臺自身的安全性和魯棒性

平臺自身的安全性和魯棒性主要關(guān)心該方案有沒有充分考慮備份、災(zāi)備切換、災(zāi)難恢復(fù)、信息安全等措施。在甲方實施時，有沒有典型的部署、實施以及實踐經(jīng)驗。

4. 密碼調(diào)用接口的穩(wěn)定性和安全性

一方面，隨著特權(quán)賬戶管理平臺納管的目標(biāo)數(shù)量越來越多，未來，將會有越來越多的系統(tǒng)需要調(diào)用該系統(tǒng)的密碼獲取接口，這個接口的穩(wěn)定性至關(guān)重要，不能發(fā)生嚴(yán)重的服務(wù)不可用問題。另一方面，密碼調(diào)用接口本身要具有訪問控制、密碼安全傳輸、接口認(rèn)證、防批量拉取等能力，否則的話，該平臺將可能會變成一個集中的密碼泄露通道。還要能支持不同應(yīng)用的密碼獲取，比如支持應(yīng)用系統(tǒng)源碼、配置文件(包括txt、ini等)、API接口賬號、服務(wù)賬號、計劃任務(wù)、中間件數(shù)據(jù)源密碼等

5. 橫向擴(kuò)展能力

企業(yè)信息化過程中是個逐步深入的過程，隨著時間的推移，企業(yè)的信息系統(tǒng)數(shù)量、數(shù)據(jù)中心數(shù)量將會不斷增加，因此，一個優(yōu)秀的特權(quán)賬戶管理平臺必須要具備強(qiáng)大的橫向擴(kuò)展能力，滿足企業(yè)快速信息化過程中的特權(quán)賬戶管控要求。

七、其他可能關(guān)心的問題

1. 特權(quán)賬戶管理系統(tǒng)與堡壘機(jī)的關(guān)系

每一個第一次接觸特權(quán)賬戶管理的人，聽了特權(quán)賬戶管理的相關(guān)功能之后，都會有一個疑問，他和堡壘機(jī)是什么關(guān)系?在此有幾個觀點(diǎn)分享給讀者：一是特權(quán)賬戶管理本身就有堡壘機(jī)功能，就像前文說的，堡壘機(jī)功能是特權(quán)賬戶管理的子集，從某種意義上講，特權(quán)賬戶管理解決方案可以完全替代堡壘機(jī)方案。二是如果非要在他們之間找出什么不同，那么，我認(rèn)為堡壘機(jī)核心功能是對目標(biāo)主機(jī)訪問管道的控制，而特權(quán)賬戶管理核心功能是對目標(biāo)主機(jī)賬戶口令的管理。三是國內(nèi)堡壘機(jī)廠商在過去的解決方案中，過多的關(guān)注了訪問控制，對密碼管理、密碼API接口服務(wù)支持能力不足，的確也不能稱為特權(quán)賬戶解決方案。四是隨著時間的發(fā)展，我覺得特權(quán)賬戶解決方案的已經(jīng)基本成型，就像汽車一樣，一個發(fā)動機(jī)，一副車架，四個車轱轆，一百年沒變，未來國內(nèi)堡壘機(jī)廠商肯定也會朝著這個方向發(fā)展。

2. 特權(quán)賬戶管理系統(tǒng)與LDAP/IAM系統(tǒng)的關(guān)系

談到賬戶，另一個比較疑惑的問題就是特權(quán)賬戶管理系統(tǒng)與LDAP/IAM系統(tǒng)的關(guān)系，特權(quán)賬戶管理系統(tǒng)管理的賬戶是機(jī)器上的賬戶;而LDAP/IAM系統(tǒng)管理的賬戶是人的賬戶，其關(guān)系如下圖所示(圖中的特權(quán)賬戶root、dba只是示例，實際情況比這范圍大很多)。用戶使用LDAP賬戶經(jīng)過雙因素認(rèn)證之后登錄特權(quán)賬戶系統(tǒng)，特權(quán)賬戶管理系統(tǒng)對目標(biāo)系統(tǒng)的特權(quán)賬戶進(jìn)行納管。然后，將托管的賬戶授權(quán)給相應(yīng)的LDAP賬戶管理員進(jìn)行管理。

3. 特權(quán)賬戶管理系統(tǒng)在網(wǎng)絡(luò)攻防中的價值

有安全圈朋友說過，弱口令，各種弱口令，系統(tǒng)弱口令、應(yīng)用弱口令、用戶弱口令，如果解決好了口令的問題，我認(rèn)為可以解決企業(yè)至少50%的安全問題。攻擊者在進(jìn)行滲透攻擊時，除了用漏洞打的，很多攻擊落腳點(diǎn)還是用戶賬號，通過弱密碼、通用密碼進(jìn)行單點(diǎn)突破、橫向移動。如果有個平臺能夠?qū)崿F(xiàn)賬戶密碼都是強(qiáng)密碼，而且真正是一機(jī)一密，一個賬戶一個密碼，那么，內(nèi)網(wǎng)橫向攻擊估計就沒那么簡單了嗎?

八、結(jié)束語

從技術(shù)上看，現(xiàn)在市場上“特權(quán)賬號管理”的相關(guān)解決方案的確是一種比較好的特權(quán)賬號管理解決方案;但是，從甲方企業(yè)視角看特權(quán)賬號管理，他們的解決方案只是企業(yè)特權(quán)賬號管理整體解決方案的一個點(diǎn)或幾個點(diǎn)。做個類比，如果把企業(yè)安全建設(shè)看作是一個“戰(zhàn)略”，企業(yè)特權(quán)賬號管理一個“戰(zhàn)術(shù)行動”，以上公司提供的解決方案最多只能算“一場戰(zhàn)役或幾個戰(zhàn)役”。

不過這幾場戰(zhàn)役可能是特權(quán)賬號管理中的“重點(diǎn)戰(zhàn)役”、“核心戰(zhàn)役”，但是如果沒有其他“戰(zhàn)役”做支持，單靠這幾個戰(zhàn)役是很難達(dá)成“戰(zhàn)術(shù)目的”。甲方企業(yè)的特權(quán)賬號管理必須要從制度建設(shè)、流程控制、技術(shù)管控與監(jiān)控審計等多個方面拿出整體解決方案，才能在特權(quán)賬號管理領(lǐng)域形成較為有效的安全管控能力，建設(shè)特權(quán)賬戶管理平臺只是一個開始。