《奇安信：特權賬號安全能力建設桔皮書（2022）（21頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：特權賬號安全能力建設桔皮書（2022）（21頁）.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、 特權賬號安全能力建設 桔皮書 奇安信科技集團股份有限公司 2022 年 1 月 版權聲明版權聲明 本文中出現的任何文字敘述、文檔格式、插圖、圖片、方法、過程等內容，除另有特別注明，版權均為奇安信集團（指包括但奇安信集團（指包括但不限于奇安信科技集團股份有限公司、網神信息技術（北京）股不限于奇安信科技集團股份有限公司、網神信息技術（北京）股份有限公司、北京網康科技有限公司）份有限公司、北京網康科技有限公司）所有，受到有關產權及版權法保護。任何個人、機構未經奇安信集團奇安信集團的書面授權許可，不得以任何方式復制或引用本文的任何片段。前 言 Gartner 發布的 Guidance for Pri

2、vileged Access Management 中，術語“特權賬號”是數據中心內部，分布在主機、網絡設備、數據庫等資產上具有較高訪問權限的賬號，衍生到一切資產上具有可訪問權限的賬號。在組織運營過程中，這些特權賬號通常由 IT 運維人員管理，各角色人員開展系統管理、業務運營、系統運維等系統維護、權限變更、數據刪除、下載導出等高級權限操作。特權賬號是直接接觸組織關鍵 IT 資產和數據資源的入口，一旦特權賬號被盜用、誤用、濫用，將為組織信息系統帶來嚴重破壞性的后果。近兩年數據泄漏事件頻頻發生，究其根源，泄漏的憑據是導致數據泄漏事件的主要原因。在網絡安全日趨成熟的情況下，與其穿透層層防護竊取數據本

3、身（數據庫），不如竊取賬號，通過內網橫向移動，利用特權賬號的管控手段缺失，最終攻破特權賬號，再利用特權賬號權限對系統進行惡意破壞，如執行刪庫、刪表等高危操作，達到破壞或竊取敏感數據的目的。特權賬號的管理作為數據資產防護極為關鍵的環節，已經在 2018 年、2019 年連續兩年被 Gartner 評為十大安全項目之首。但目前國內對特權賬號安全的認識仍處于早期，本報告將圍繞國內特權賬號安全管理的現狀，總結分析特權賬號管理過程中的風險和困境，提出基于特權賬號生命周期的管理原則和方法，降低因特權賬號和口令管理不善等帶來的數據泄漏風險。目錄目錄 一、數據安全形勢催生特權賬號管理新需求數據安全形勢催生特權

4、賬號管理新需求.1（一）特權賬號安全成為數據泄漏的首要原因.1（二）針對特權賬號的攻擊成本低破壞性強.2（三）攻防演練中特權賬號已成最大弱點.3 二、特權賬號管理面臨的安全挑戰特權賬號管理面臨的安全挑戰.4（一）特權賬號自身風險.4（二）人員風險.5（三）管理風險.7 三、特權賬號安全管理思路特權賬號安全管理思路.8（一）建立特權賬號臺賬.8（二）建立完善人員管理措施.9（三）建立完善的特權賬號管理機制.10 四、特權賬號生命周期安全管理特權賬號生命周期安全管理.11（一）特權賬號發現階段.11（一）特權賬號存儲階段.12（二）賬號使用階段.13（三）賬號回收階段.15 五、結語結語.15 特

5、權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 1 頁，共 16 頁 一、一、數據安全形勢催生特權賬號管理新需求數據安全形勢催生特權賬號管理新需求 業務創新、數據上云、數據共享，IT 環境變得復雜，人與機器、機器與機器之間交互增多，賬號數量隨之增多,也擴大了風險暴露面。從近年數據安全事件以及攻防演練來看，特權賬號一直是攻擊者的首要目標，利用特權賬號可以輕易盜取、破壞組織數據。目前，一方面隨著法律法規的陸續發布，賬號、資產和權限的要求逐步細化和強化；另一方面隨著訪問環境變得更復雜更開放，所帶來的管理難度呈指數型上升。因此，特權賬號帶來的數據泄漏風險成為組織的首

6、要關注點，組織需要建立一套行之有效的特權賬號安全管理生態系統，以減緩來自內部和外部的威脅。（一）（一）特權賬號安全成為數據泄漏的首要原因特權賬號安全成為數據泄漏的首要原因 數據訪問是由主體訪問數據客體的過程，而賬號作為主體訪問客體的重要憑證在通過安全驗證后可以直接訪問到數據庫、數據倉庫、數據湖或其他數據資源。保障賬號安全是組織數據安全工作的重要目標之一，但由于系統和應用程序的不斷增加，賬號安全問題日益突出，特別是賬號的濫用，如數據管理團隊通常需要高權限的數據訪問賬號，組織在賬號權限分配階段通常會充分考慮“最小權限原則”，但在長時間的數據管理的工作中，因為“便利性”的需要造成賬號的肆意共享、憑證

7、的濫用等問題屢見不鮮，這意味著數據訪問可能不是賬號所授權的實際員工，因此提高了數據泄漏的風險。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 2 頁，共 16 頁 據 IBM Security 發布的2021 年數據泄漏成本報告指出，最常見的初始化攻擊路徑為憑證竊取，所占比例高達 20%。報告也揭示了一個日益嚴重的問題，數據（包括憑證）在數據安全事件中遭到泄漏可能用于傳播進一步的攻擊，82%的受訪者承認在多個賬號中重復使用口令，泄漏的憑據既是數據泄漏事件的主要原因，同時也是主要影響，導致組織面臨復合風險。來源：IBM SecurityCost of a D

8、ata Breach Report 2021（二）（二）針對特權賬號的攻擊成本低破壞性強針對特權賬號的攻擊成本低破壞性強 在組織的 IT 架構中，基礎設施、數據、應用等資源一般位于組織數據中心內網，僅向互聯網開放有限端口或完全不開放，并在網絡邊界建立相應的安全防護機制，以達到抵御大部分的威脅目的。隨著數據作為新型的生產要素，攻擊者的目標變為了竊取數據，特權賬號作為訪問數據資源、特權賬號作為訪問數據資源、配置策略、接觸數據最直接的入口配置策略、接觸數據最直接的入口，在網絡安全日趨成熟的組織 IT 架構中，與其穿透層層內網防護設施竊取數據本身（數據庫、文件服務器等），不如利用特權賬號管控手段的缺失

9、，盜取高權限賬號，攻擊成本非常低且有效；利用特權賬號在目標系統中不受限地進行各種操作，從而達到數據竊取、破壞等目的，輕則造成系統配置異常，短時間內影響業務系統的連續性，特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 3 頁，共 16 頁 重則刪除或盜取組織重要數據、核心數據，造成嚴重的經濟損失甚至危害國家安全。（三）（三）攻防演練中特權賬號已成最大弱點攻防演練中特權賬號已成最大弱點 從近年的攻防演練中分析發現，因涉及到攻擊者的最終利益，特權賬號往往是攻擊者瞄準的重點攻擊目標。攻擊者竊取特權賬號后進行內網橫向移動，最終達到獲取組織管理權限或破壞/竊取組織數據

10、的目的。針對賬號攻擊鏈條進行分析，一般步驟如下：1.賬號攻擊的第一步通常是竊取賬號第一步通常是竊取賬號口令口令，通過釣魚攻擊或利用弱口令、口令明文存儲等漏洞，入侵組織內網環境；2.突破內網之后的橫向移動突破內網之后的橫向移動，橫向移動最主要的手段就是未知賬號的掃描和爆破，實戰中通過弱口令獲得權限的情況占比高達 70%以上，包括生產系統、信息系統、如 Unix/Linux、windows 等底層操作系統、SQL Server、MySQL、Oracle 等數據庫。雖然有些系統口令復雜度較高，但它們通常有口令相同或規律口令等問題，此類口令也極易被猜解；此外哈希傳遞攻擊、進程間通信計劃任務、票據傳遞攻

11、擊等都可以實現突破內網之后的橫向移動，甚至可以不需要知道明文口令的情況下，利用執行木馬、哈希攻擊、票據欺騙等多種手段，獲得目標（通常是域控）服務器的管理權限。3.獲取權獲取權限后進行違規查詢、破壞、竊取數據限后進行違規查詢、破壞、竊取數據?？赏ㄟ^數據庫特權賬號執行刪庫、刪表等高危操作進行破壞數據，或通過特權賬號口令竊取敏感數據；攻擊者還可通過特權賬號破壞業務系統、運行勒索軟件等，造成組織數據安全事件等嚴重后果。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 4 頁，共 16 頁 二、二、特權賬號管理面臨的安全挑戰特權賬號管理面臨的安全挑戰（一）（一）特權賬

12、號自身風險特權賬號自身風險 1.系統系統數量多，特權賬號梳理難數量多，特權賬號梳理難 特權賬號由于其分布廣、數量多的特點造成特權賬號梳理難，組織管理員無法全面的掌握特權賬號動態情況。分布廣，分布廣，特權賬號散落分布在應用程序、數據庫、網絡設備、安全設備、操作系統中；特權賬號的持有人分布廣，持有人可能是在數據中心運維人員，也可能是組織總部業務、后勤、人力等任何一個部門的人員，還有可能是偏遠子分公司的業務運營人員等等。數量多，數量多，一個組織信息系統資產（軟件、硬件等）可能會被創建多個特權賬號，系統新建、改建、擴建、維護、下線等過程，都會產生大量的特權賬號。據估算，特權賬號的數量可能達到組織信息系

13、統（主機操作系統、數據庫、業務系統、管理系統等）數量的 5-10 倍，甚至更多。2.風險賬號多，賬號口令易泄漏風險賬號多，賬號口令易泄漏 由于組織管理者難以實時發現特權賬號的數量變化、具體分布、使用情況等信息，導致系統資產出現各類的風險賬號。這些風險賬號由于其隱蔽性往往給系統資產帶來很大的安全隱患。風險賬號主要包括如下幾種：幽靈賬號幽靈賬號，組織管理員或因業務新建賬號的臨時需求或因系統升級、維護、下線等業務變化或因管理的疏忽造成的大量無人負責無人管理維護的賬號。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 5 頁，共 16 頁 僵尸賬號僵尸賬號，第三方人

14、員、離職員工、臨時訪客等留下的過期、多余賬號不能及時清除；或由于測試賬號使用后未及時清除；或設備、應用、程序等下線而未及時清除賬號，導致存在長期無人使用的賬號。后門賬號后門賬號，有意或惡意創建的非法賬號。弱口令賬號弱口令賬號，弱口令是指賬號口令復雜度策略配置較低，或容易被攻擊者獲取的口令，通常有簡單口令、默認口令、空口令、規律性口令、社會工程學弱口令等。由于其口令強度過弱，容易被攻破，為每年 HW 的十大安全漏洞之首。長長期未改密賬號期未改密賬號，由于組織管理員管理疏忽或者因應用系統內嵌賬號問題，導致系統長年不能改密的賬號。它們存在合規風險，給攻擊者提供充足的時間窗口。（二）（二）人員風險人員

15、風險 以往特權賬號一般只掌握在少數組織管理者手中，由他們進行定期的系統維護，但隨著組織信息化及數字化建設的深入，組織 IT 資產的數量及關聯的部門都逐步增多，因此，特權賬號的持有者也變得越來越多，覆蓋的部門及外部供應商也越來越復雜。其中，內部的人員角色，包括運維人員、開發人員、測試人員等，涉及的部門往往包括安全部門、運維部門、開發部門、業務部門、財務部門等，而外部供應商則涉及外包開發人員、外包運維人員、第三方系統的供應商的售后維護人員等。1.人員角色復雜，賬號權限管理難人員角色復雜，賬號權限管理難 特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 6 頁，共

16、 16 頁 根據 Haystax 于 2019 年發布的網絡內部安全威脅報告，內部威脅已成為數據泄漏的第二大原因。內部特權濫用在當今各種規模的組織中都是一個迅速增長的問題，由于人員角色復雜，權限劃分并不清晰，往往存在賬號共享使用及賬號權限過度開放等問題，使得內部的不法人員有機可乘，可以通過“合法賬號”直接訪問到核心業務和數據資源，造成組織內部數據泄漏或系統破壞。2.人員調崗、離職賬號權限不能及時清除人員調崗、離職賬號權限不能及時清除 特權賬號在組織內部的跨部門使用特性，導致特權賬號的管理難度大大增加。存在人員調崗、離職時，其掌握的賬號權限未能及時收回或清除的現象。一方面，隨著時間的推移，系統中

17、會沉淀大量僵尸賬號與幽靈賬號，甚至這些賬號的口令已經遭到泄漏或存在弱口令問題，使其成為組織內部極大的安全漏洞；另一方面，調崗或離職人員，若存不軌之心，也可以輕易利用這些沒有及時清除的賬號權限進行惡意破壞，或非法訪問并下載敏感數據。3.供應商人員流動性大，賬號管理難度加劇供應商人員流動性大，賬號管理難度加劇 供應商是支撐組織業務和系統正常運行的重要構成部分，幾乎每個組織都依賴多個供應商來完成工作。根據業務和履行合同的需要，供應商需使用特權賬號訪問組織的內部基礎設施和數據資源。由于供應商人員數量多、流動性大的特點，導致賬號及權限管理的難度加劇，賬號口令被人為擴散和傳播的風險也隨之增加，且存在特權濫

18、用、私自創建后門賬號，以 特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 7 頁，共 16 頁 及賬號口令被篡改或遺失的風險。（三）（三）管理風險管理風險 隨著資產日益增加，應用系統瘋狂增長，應用系統類型日益復雜，對特權賬號管理要求越來越高，特權賬號口令的管理成為新的挑戰。如有些用戶的應用系統中存在長期不更改口令的情況；應用系統之間交互，通過賬號口令明文方式存儲，且賬號口令無備份機制；賬號口令需要在各個部門之間流轉，存在極大外泄風險。通過以上的分析，特權賬號口令有如下的問題：1.賬號多、分布廣，定期改密難賬號多、分布廣，定期改密難 隨著業務增長，管理資源的

19、增多，各種賬號動輒上萬，分布在主機、網絡設備、數據庫等資產上，如果全部手工管理，不僅耗時耗力，而且準確度低，維護的成本高，出錯可能性大，改密過程不可靠，容易造成口令丟失。由于業務系統的差別，改密策略難以統一下發，無法做到定期修改口令。另外口令的長期未改密，增加口令泄漏的風險，導致核心數據失陷。2.應用內嵌或明文存儲賬號口令易泄漏應用內嵌或明文存儲賬號口令易泄漏 應用內嵌賬號，指的是賬號口令明文寫在某個配置文件中的賬號。這些賬號權限高、易外泄，不符合密碼應用規范。很容易造成口令的泄漏，導致組織關鍵數據泄漏，給組織帶來重大的損失。明文存儲賬號，如明文存儲在 Excel 表格、筆記本或文本中，一旦終

20、端失陷，將造成大批核心主機或數據庫失陷，極具安全隱患；特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 8 頁，共 16 頁 3.特權賬號無備份機制，口令易丟失特權賬號無備份機制，口令易丟失 應用系統擴展、增加都會產生大量的特權賬號，沒有特權賬號備份機制，容易造成口令丟失，影響業務連續性。隨著人員的流動，人員交接不細致或應用系統不經常登錄，從而導致口令遺失事件頻繁發生，亟需建立完善口令存儲機制。三、三、特權賬號安全管理思路特權賬號安全管理思路 目前國內對特權賬號安全的認識仍處于早期，特權賬號安全管理未受到足夠重視。因特權賬號和口令管理不善等帶來的數據泄漏風險

21、仍然普遍存在，需要從特權賬號風險暴露面入手開展特權賬號安全管理工作。組織管理者需要重點關注特權賬號安全保護環節，如防止賬號被竊取、刪除硬編碼憑據、口令安全存儲等，以及在特權賬號生命周期內規范內部人員特權使用，如實施最小權限原則、系統管理憑據、特權訪問會話監控與審計等，并讓安全團隊持續監測特權賬號的異常訪問行為。這不僅僅是管理制度的提升，同時需要工具和流程的適配。（一）（一）建立特權賬號臺賬建立特權賬號臺賬 合理建立賬號臺賬，合理建立賬號臺賬，組織管理者經常采用的 Excel、文本等傳統管理工具保存賬號臺賬，此類管理手段無法保證賬號口令的安全存儲和對風險賬號的全面梳理。為防止賬號被盜，應當采用專

22、業的安全工具建立特權賬號臺賬。系統管理憑證，系統管理憑證，引入口令保險箱功能，可以將各類 IT 資產的賬號口令 特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 9 頁，共 16 頁 及憑證集中安全存儲?？诹畋ｋU箱采用專屬密鑰加密，保障賬號及憑證的安全性，并自動輪換口令和密鑰來滿足不同政策要求。周期性周期性賬號賬號發現，發現，執行周期性賬號發現檢測，定期掃描系統賬號，發現高風險賬號及其分布情況，消除并持續監測幽靈賬號風險。周期性周期性弱口令發現弱口令發現，定期掃描系統中存在的弱口令現象，并展示各類系統弱口令情況，消除由弱口令帶來的數據泄密和合規風險。賬號威脅

23、分析，賬號威脅分析，分析賬號活動、賬號會話、風險賬號情況，識別可疑行為和檢測正在進行的攻擊。從多個來源收集數據并進行分析，通過賬號監控和賬號威脅態勢大屏進行可視化展示，使用高級算法智能建立基準，管理人員可以通過梳理的臺賬系統對高風險賬號進行快速治理。（二）（二）建立完善人員管理措施建立完善人員管理措施 針對賬號使用過程中存在的各類風險，可采取如下措施：實施最小化權限管理原則。實施最小化權限管理原則。組織應根據工作需要在有限時段內授予用戶對特定系統、應用程序或目標設備的訪問權限，避免特權賬號的長期持有，同時采取細粒度的命令控制策略，阻斷權限升級及濫用，降低內部人員非法利用特權賬號造成數據泄漏或系

24、統破壞的風險。平臺或工具統一管理資源賬號平臺或工具統一管理資源賬號。組織應采用平臺或工具對各類資源的賬號的增、刪、改的過程進行統一管理，對于人員崗位變更或離職的情況，可以通過統一管理平臺一鍵收回賬號權限，并及時清除過期、多余的賬號，避免離職或調崗人員非法訪問。工單系統申請臨時賬號使用權限，到期自動回收。工單系統申請臨時賬號使用權限，到期自動回收。組織應采用工單系 特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 10 頁，共 16 頁 統，對非本部門人員或外部供應商需要使用本部門 IT 資源的情況進行管理。采用臨時賬號權限申請的方式，根據對方工作需要，按需發

25、放具有一定時間限制的臨時賬號使用授權，同時需要采用訪問控制及審計監控等方式，降低外部人員非法訪問的風險。（三）（三）建立完善的特權賬號管理機制建立完善的特權賬號管理機制 建立完善的特權賬號密碼輪換機制，并和各個應用系統深度集成，消除明文口令，并實現定期改密；建設特權賬號管理的高可用或災備能力，建立完善的賬號口令備份機制。定期修改口令定期修改口令。通過制定完善的改密策略，定期的下發賬號改密命令，批量的修改特權賬號口令。建立完善的改密機制，如改密時間、改密周期等，保證在改密過程中，口令的安全性和可靠性。特權賬號定期改密，具有三個特點，一是穩定性，不丟失口令，確保改密前、改密中、改密后，對業務系統的

26、影響降到最低；二是安全性，口令本身的設置規則符合系統規定，整個改密過程不泄漏口令；三是并發性，通過分布式集群部署架構，解決海量賬號高并發改密的難題。業務系統與特權賬號系統集成，消除應用系統的明文口令。業務系統與特權賬號系統集成，消除應用系統的明文口令。特權賬號管理系統通過 RESTFUL AIP、SDK 和 JDBC 等方式與工單系統、運維配置系統和日志系統等業務系統的對接，利用自動化工具，更改中間件數據源內置賬號、應用腳本配置文件中內嵌賬號、應用互相調用代碼上賬號等的明文口令。消除業務系統交互所需要的靜態口令，實現特權賬號口令的動態供給，保證特權賬號口令在使用過程和傳輸過程中的安全性。特權賬

27、號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 11 頁，共 16 頁 特權賬號口令存儲高可用或災備能力特權賬號口令存儲高可用或災備能力。通過高可用或災備能力，保證特權賬號存儲的安全性和一致性，從而保證口令的高可用，防止口令的丟失，大大提供口令的存儲安全。四、四、特權賬號生命周期安全管理特權賬號生命周期安全管理 建立管控機制覆蓋賬號生成、屬性變更、賬號存儲、賬號使用、口令輪換、賬號銷毀等特權賬號生命周期的各個環節，通過技術手段持續監控特權賬號異常登錄、弱口令、長期不改密、賬號權限變更等帶來的數據泄漏等潛在風險，確保賬號安全可知、可管、可控、可查?；谔貦噘~號生命

28、周期的安全管理設計應重點關注以下方面：（一）（一）特權賬號發現階段特權賬號發現階段 1.特權賬號風險評估特權賬號風險評估 通過特權賬號風險檢測工具，全面的梳理特權賬號分布、數量，建立特權賬號臺賬，以檢測特權賬號安全性角度，通過“風險檢測-人工分析-出具報告-風險整改-風險復測”形成特權賬號口令管理的安全閉環，解決賬號資產梳理難、風險發現難、管理難等問題。2.自動發現特權賬號自動發現特權賬號 采用賬號掃描和檢測等自動化方法，及時發現應用系統、操作系統、數據庫、網絡設備、安全設備以及存儲設備的賬號信息；收集并整理出僵尸賬號和幽靈賬號，賬號的創建時間、登錄時間、ID 等信息，并通過與其他賬號管理系統

29、對比來進行賬號整理。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 12 頁，共 16 頁 3.健全特權賬號納管機制健全特權賬號納管機制 組織的 IT 設備和系統會隨著業務的改擴建而發生變化，這就意味著有新的特權賬號口令需要納入管控。在新系統、新設備的投產和擴容過程中，無論存量特權賬號還是新建特權賬號，應及時全面的收集和納管。特權賬號納管機制還應考慮與系統上線的業務流程進行聯動，確保此系統的特權賬號可自動納入到統一管理之中。（一）（一）特權賬號存儲階段特權賬號存儲階段 1.特權賬號口令安全保管特權賬號口令安全保管 建立口令保險箱存放關鍵數據，包括特權賬號口

30、令，口令策略，訪問權限配置，口令訪問日志等?？诹畋ｋU箱的關鍵要點為安全存儲，在口令保險箱中，存放特權賬號相關信息，并定義不同的訪問權限。每個口令保險箱都有自己的授權用戶，只有這些授權用戶可以訪問存儲在口令保險箱中的賬號口令信息，并配置其他策略動作，如查看口令，修改口令等。2.特權特權賬號賬號口令安全策略口令安全策略 建立完善的特權賬號憑證安全策略，包括但不限于：口令訪問權限的設置：口令訪問權限的設置：IT 管理員能在系統上為不同的登錄用戶配置不同的訪問權限，限制用戶可以訪問的設備。保留口令歷史版本保留口令歷史版本：保留特權賬號口令歷史版本，以應對系統回退。申請口令申請口令：賬號申請人登錄集中賬

31、號/權限管理平臺，申請人可以自助申請所需賬號，經審批通過后取得對應口令權限。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 13 頁，共 16 頁 口令管理：口令管理：管理員通過自動化口令管理平臺開展用戶賬號創建、修改、刪除、凍結、恢復用戶等操作?？诹顝碗s度策略：口令復雜度策略：支持賬號口令復雜度要求，在制定策略后，自動生成符合口令強度和復雜度要求的口令?？诹疃ㄆ谛薷模嚎诹疃ㄆ谛薷模簩τ跒闈M足安全標準所執行的定期口令修改任務，通過手動觸發更改、定期自動更改等口令策略完成口令重置工作?？诹钗ㄒ恍裕嚎诹钗ㄒ恍裕捍_保不同的設備/系統的不同賬號都有獨一無二的口令。

32、口令檢查：口令檢查：定期檢查口令一致性，并為不一致的情況提供處理機制。一次一密：一次一密：當一次口令使用完后，特權賬號管理系統進行重置。使得下一次用戶申請的口令和前一次不同，且系統中能夠指定口令重置時間。排他口令：排他口令：支持排他性口令策略，一個口令在同一時刻只能被某一個用戶使用，在該用戶使用此口令期間，其他用戶不能使用該口令。賬賬號使用記錄審計：號使用記錄審計：管理員可以隨時檢查各項操作的系統日志。（二）（二）賬號賬號使用階段使用階段 1.資產安全訪問資產安全訪問 通過統一的管理界面完成所有資產的安全會話操作，由口令保險箱分發口令，在對特權賬號不可見的情況下直接訪問目標主機設備，以防止特權

33、賬號口令暴露。2.高風險命令攔截高風險命令攔截/敏感數據識別敏感數據識別 自動識別敏感操作并進行攔截，防止誤操作和惡意操作?？筛鶕?特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 14 頁，共 16 頁 的危險程度和資源的重要程度實施動態的審批流程或阻斷機制，例如針對高危命令通過二次審批機制，執行放行、拒絕、切斷會話等控制動作，保證數據操作的安全性。自動識別數據操作中的敏感數據并進行脫敏，防止敏感數據泄漏。3.特權行為監控與審計特權行為監控與審計 對特權操作會話的實時監控與審計，通過對特權操作會話的起止時間、來源用戶、來源 IP、目標資源、協議/應用類

34、型、運維操作、文件傳輸、剪切板操作等行為識別并記錄，如針對字符協議和數據庫協議進行協議解析，識別操作指令，使用 OCR 文字識別等技術識別圖形協議和應用發布操作內容，針對文件傳輸需記錄傳輸的文件名稱和目標路徑；對特權會話從登錄到退出的全程操作行為進行審計，確保所有特權操作都在管控之下。4.應用內嵌賬號管理應用內嵌賬號管理 應用程序與應用系統之間的交互要求認證過程，應用程序的調用中需要向目標應用程序發送用戶名口令等認證信息，這樣會出現一些應用系統將對方賬號口令直接明文寫在程序代碼、配置文件或腳本中（硬編碼）。此類硬編碼口令的暴露會給組織帶來極大的安全風險，管理并解決應用程序的硬編碼問題是組織特權

35、賬號管理的重點。在賬號安全管理過程中，此類賬號需納入管理并進行重點整改，通過對應用程序的明文讀取修改為從口令保險箱中動態獲取口令來與其他應用系統進行互認，解決應用程序的硬編碼暴露問題。特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 15 頁，共 16 頁 5.特權行為分析特權行為分析 特權行為分析是分析特權賬號的新增、刪除、權限修改、操作行為等情況，基于特權賬號未登錄時間、未改密時間、口令強度、權限修改、改密驗證失敗等信息，通過統計分析、關聯分析、機器學習、數據可視化等手段，構建特權用戶整體畫像，其中包括特權用戶的 IP、賬號、權限等基本屬性，以及行為輪廓

36、、特權行為、通聯關系等行為屬性，持續監控特權賬號行為，及時發現賬號威脅，以便迅速處置響應。（三）（三）賬號回收階段賬號回收階段 1.第三方臨時權限收回第三方臨時權限收回 針對系統緊急維護等流程，涉及口令外泄風險的，應設置一次一密的策略，即在使用完口令后，立即執行更改口令。賬號口令不落地，解決賬號口令二次共享、人為擴散或因保管不當而被竊取的風險。2.人員離職人員離職/系統下線賬號凍結系統下線賬號凍結/刪除刪除 針對系統升級、維護、下線等變更過程或人員交接、轉崗、離職等流程，通過建立賬號回收凍結機制，及時對特權賬號進行回收/凍結/刪除，防止因管理的疏忽造成無人負責無人管理維護的特權賬號（幽靈賬號）。五、五、結語結語 作為訪問核心數據資產的關鍵大門，特權賬號管理的重要性不言而喻。賬號安全需要持續運營，組織應重視特權賬號的管理。通過管理機制和技 特權賬號安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 16 頁，共 16 頁 術能力并重的方式，將特權賬號的管理與組織的流程對接，重塑特權賬號管理機制，完善特權訪問管理流程，保障特權賬號合法、合規使用，減少憑證泄漏的風險，進一步幫助組織提高數據安全水平。