企业特权账号安全管理建设思路

特权账号安全管理思路

目前国内对特权账号安全的认识仍处于早期，特权账号安全管理未受 到足够重视。因特权账号和口令管理不善等带来的数据泄漏风险仍然普遍 存在，需要从特权账号风险暴露面入手开展特权账号安全管理工作。组织 管理者需要重点关注特权账号安全保护环节，如防止账号被窃取、删除硬 编码凭据、口令安全存储等，以及在特权账号生命周期内规范内部人员特 权使用，如实施最小权限原则、系统管理凭据、特权访问会话监控与审计 等，并让安全团队持续监测特权账号的异常访问行为。这不仅仅是管理制 度的提升，同时需要工具和流程的适配。

（一）建立特权账号台账

合理建立账号台账，组织管理者经常采用的 Excel、文本等传统管理工 具保存账号台账，此类管理手段无法保证账号口令的安全存储和对风险账 号的全面梳理。为防止账号被盗，应当采用专业的安全工具建立特权账号 台账。

系统管理凭证，引入口令保险箱功能，可以将各类 IT 资产的账号口令

及凭证集中安全存储。口令保险箱采用专属密钥加密，保障账号及凭证的 安全性，并自动轮换口令和密钥来满足不同政策要求。

周期性账号发现，执行周期性账号发现检测，定期扫描系统账号，发 现高风险账号及其分布情况，消除并持续监测幽灵账号风险。

周期性弱口令发现，定期扫描系统中存在的弱口令现象，并展示各类 系统弱口令情况，消除由弱口令带来的数据泄密和合规风险。

账号威胁分析，分析账号活动、账号会话、风险账号情况，识别可疑行 为和检测正在进行的攻击。从多个来源收集数据并进行分析，通过账号监 控和账号威胁态势大屏进行可视化展示，使用高级算法智能建立基准，管 理人员可以通过梳理的台账系统对高风险账号进行快速治理。

（二）建立完善人员管理措施

针对账号使用过程中存在的各类风险，可采取如下措施：

实施最小化权限管理原则。组织应根据工作需要在有限时段内授予用 户对特定系统、应用程序或目标设备的访问权限，避免特权账号的长期持 有，同时采取细粒度的命令控制策略，阻断权限升级及滥用，降低内部人 员非法利用特权账号造成数据泄漏或系统破坏的风险。

平台或工具统一管理资源账号。组织应采用平台或工具对各类资源的 账号的增、删、改的过程进行统一管理，对于人员岗位变更或离职的情况， 可以通过统一管理平台一键收回账号权限，并及时清除过期、多余的账号， 避免离职或调岗人员非法访问。

工单系统申请临时账号使用权限，到期自动回收。组织应采用工单系

统，对非本部门人员或外部供应商需要使用本部门 IT 资源的情况进行管理。 采用临时账号权限申请的方式，根据对方工作需要，按需发放具有一定时 间限制的临时账号使用授权，同时需要采用访问控制及审计监控等方式， 降低外部人员非法访问的风险。

（三）建立完善的特权账号管理机制

建立完善的特权账号密码轮换机制，并和各个应用系统深度集成，消 除明文口令，并实现定期改密；建设特权账号管理的高可用或灾备能力， 建立完善的账号口令备份机制。

定期修改口令。通过制定完善的改密策略，定期的下发账号改密命令， 批量的修改特权账号口令。建立完善的改密机制，如改密时间、改密周期 等，保证在改密过程中，口令的安全性和可靠性。特权账号定期改密，具有 三个特点，一是稳定性，不丢失口令，确保改密前、改密中、改密后，对业 务系统的影响降到最低；二是安全性，口令本身的设置规则符合系统规定， 整个改密过程不泄漏口令；三是并发性，通过分布式集群部署架构，解决 海量账号高并发改密的难题。

业务系统与特权账号系统集成，消除应用系统的明文口令。特权账号 管理系统通过 RESTFUL AIP、SDK和 JDBC等方式与工单系统、运维配置系 统和日志系统等业务系统的对接，利用自动化工具，更改中间件数据源内 置账号、应用脚本配置文件中内嵌账号、应用互相调用代码上账号等的明 文口令。消除业务系统交互所需要的静态口令，实现特权账号口令的动态 供给，保证特权账号口令在使用过程和传输过程中的安全性。

特权账号口令存储高可用或灾备能力。通过高可用或灾备能力，保证 特权账号存储的安全性和一致性，从而保证口令的高可用，防止口令的丢 失，大大提供口令的存储安全。

特权账号生命周期安全管理

建立管控机制覆盖账号生成、属性变更、账号存储、账号使用、口令轮 换、账号销毁等特权账号生命周期的各个环节，通过技术手段持续监控特 权账号异常登录、弱口令、长期不改密、账号权限变更等带来的数据泄漏 等潜在风险，确保账号安全可知、可管、可控、可查。

基于特权账号生命周期的安全管理设计应重点关注以下方面：

（一）特权账号发现阶段

1. 特权账号风险评估

通过特权账号风险检测工具，全面的梳理特权账号分布、数量，建立特 权账号台账，以检测特权账号安全性角度，通过“风险检测->人工分析-> 出具报告->风险整改->风险复测”形成特权账号口令管理的安全闭环，解 决账号资产梳理难、风险发现难、管理难等问题。

2. 自动发现特权账号

采用账号扫描和检测等自动化方法 据库、网络设备、安全设备以及存储设备 账号和幽灵账号，账号的创建时间、登录时间、 账号管理系统对比来进行账号整理。

，及时发现应用系统、操作系统、数 的账号信息；收集并整理出僵尸ID等信息，并通过与其他

3.健全特权账号纳管机制

组织的 IT 设备和系统会随着业务的改扩建而发生变化，这就意味着有 新的特权账号口令需要纳入管控。在新系统、新设备的投产和扩容过程中， 无论存量特权账号还是新建特权账号，应及时全面的收集和纳管。特权账 号纳管机制还应考虑与系统上线的业务流程进行联动，确保此系统的特权 账号可自动纳入到统一管理之中。

（一）特权账号存储阶段

1. 特权账号口令安全保管

建立口令保险箱存放关键数据，包括特权账号口令，口令策略，访问权 限配置，口令访问日志等。口令保险箱的关键要点为安全存储，在口令保 险箱中，存放特权账号相关信息，并定义不同的访问权限。每个口令保险 箱都有自己的授权用户，只有这些授权用户可以访问存储在口令保险箱中 的账号口令信息，并配置其他策略动作，如查看口令，修改口令等。

2. 特权账号口令安全策略

建立完善的特权账号凭证安全策略，包括但不限于：

口令访问权限的设置：IT 管理员能在系统上为不同的登录用户配置不 同的访问权限，限制用户可以访问的设备。

保留口令历史版本：保留特权账号口令历史版本，以应对系统回退。

申请口令：账号申请人登录集中账号/权限管理平台，申请人可以自助 申请所需账号，经审批通过后取得对应口令权限。
口令管理：管理员通过自动化口令管理平台开展用户账号创建、修改、 删除、冻结、恢复用户等操作。

口令复杂度策略：支持账号口令复杂度要求，在制定策略后，自动生 成符合口令强度和复杂度要求的口令。

口令定期修改：对于为满足安全标准所执行的定期口令修改任务，通 过手动触发更改、定期自动更改等口令策略完成口令重置工作。

口令唯一性：确保不同的设备/系统的不同账号都有独一无二的口令。

口令检查：定期检查口令一致性，并为不一致的情况提供处理机制。

一次一密：当一次口令使用完后，特权账号管理系统进行重置。使得 下一次用户申请的口令和前一次不同，且系统中能够指定口令重置时间。

排他口令：支持排他性口令策略，一个口令在同一时刻只能被某一个 用户使用，在该用户使用此口令期间，其他用户不能使用该口令。

账号使用记录审计：管理员可以随时检查各项操作的系统日志。

（二）账号使用阶段

1. 资产安全访问

通过统一的管理界面完成所有资产的安全会话操作，由口令保险箱分 发口令，在对特权账号不可见的情况下直接访问目标主机设备，以防止特 权账号口令暴露。

2. 高风险命令拦截**/**敏感数据识别

自动识别敏感操作并进行拦截，防止误操作和恶意操作。可根据命令的危险程度和资源的重要程度实施动态的审批流程或阻断机制，例如针对 高危命令通过二次审批机制，执行放行、拒绝、切断会话等控制动作，保证 数据操作的安全性。自动识别数据操作中的敏感数据并进行脱敏，防止敏 感数据泄漏。

1. 特权行为监控与审计

对特权操作会话的实时监控与审计，通过对特权操作会话的起止时间、 来源用户、来源 IP、目标资源、协议/应用类型、运维操作、文件传输、剪 切板操作等行为识别并记录，如针对字符协议和数据库协议进行协议解析， 识别操作指令，使用 OCR文字识别等技术识别图形协议和应用发布操作内 容，针对文件传输需记录传输的文件名称和目标路径；对特权会话从登录 到退出的全程操作行为进行审计，确保所有特权操作都在管控之下。

4. 应用内嵌账号管理

应用程序与应用系统之间的交互要求认证过程，应用程序的调用中需 要向目标应用程序发送用户名口令等认证信息，这样会出现一些应用系统 将对方账号口令直接明文写在程序代码、配置文件或脚本中（硬编码）。此 类硬编码口令的暴露会给组织带来极大的安全风险，管理并解决应用程序 的硬编码问题是组织特权账号管理的重点。

在账号安全管理过程中，此类账号需纳入管理并进行重点整改，通过 对应用程序的明文读取修改为从口令保险箱中动态获取口令来与其他应用 系统进行互认，解决应用程序的硬编码暴露问题。

1. 特权行为分析

特权行为分析是分析特权账号的新增、删除、权限修改、操作行为等情 况，基于特权账号未登录时间、未改密时间、口令强度、权限修改、改密验 证失败等信息，通过统计分析、关联分析、机器学习、数据可视化等手段， 构建特权用户整体画像，其中包括特权用户的 IP、账号、权限等基本属性， 以及行为轮廓、特权行为、通联关系等行为属性，持续监控特权账号行为， 及时发现账号威胁，以便迅速处置响应。

（三）账号回收阶段

1. 第三方临时权限收回

针对系统紧急维护等流程，涉及口令外泄风险的 策略，即在使用完口令后，立即执行更改口令。账号口令 口令二次共享、人为扩散或因保管不当而被窃取的风险。

1. 人员离职系统下线账号冻结删除 ，应设置一次一密的不落地，解决账号

针对系统升级、维护、下线等变更过程或人员交接、转岗、离职等流 程，通过建立账号回收冻结机制，及时对特权账号进行回收/冻结/删除， 防止因管理的疏忽造成无人负责无人管理维护的特权账号（幽灵账号）。

五、结语**

作为访问核心数据资产的关键大门，特权账号管理的重要性不言而喻。 账号安全需要持续运营，组织应重视特权账号的管理。通过管理机制和技术能力并重的方式，将特权账号的管理与组织的流程对接，重塑特权账号 管理机制，完善特权访问管理流程，保障特权账号合法、合规使用，减少凭 证泄漏的风险，进一步帮助组织提高数据安全水平。

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南