随着业务创新、数字化转型、大数据的应用发展，IT环境变得愈加复杂，人与机器、机器与机器之间交互增多，账号的种类和数量也随之指数级增长,与此同时，也扩大了业务数据的风险暴露面。从近年数据安全事件以及攻防演练来看，特权账号一直是攻击者的首要目标，利用获取到的特权账号可以轻易盗取、破坏组织数据。在此背景下，特权访问管理的使用不再局限于系统管理员和root管理员 。特权访问管理的角色和重要性已经渗透到许多需要管理级别或提高对机密信息、数据库和秘密的访问权限的IT进程中。 如下图所示，特权账号 ，即为特权用户创建的登录凭据，是一个企业中最机密的核心资产。

图 特权访问管理中的各种环境

目前，一方面随着法律法规的陆续发布，账号、资产和权限的要求逐步细化和强化；另一方面随着访问环境变得更复杂更开放，所带来的管理难度呈指数型上升。因此，特权账号带来的数据泄漏风险成为组织的首要关注点，组织需要建立一套行之有效的零信任访问特权管理平台，以消除来自用户终端侧的安全风险，减缓来自内部和外部的威胁，确保数字化转型中的业务数据访问安全，降低IT安全管理的复杂性，提高工作效率，满足各种通用的行业法规、框架和标准，确保审计安全合规。

1.1 攻防演练中特权账号已成最大弱点

从近年的攻防演练中分析发现，因涉及到攻击者的最终利益，特权账号往往是攻击者瞄准的重点攻击目标。攻击者窃取特权账号后进行内网横向移动，最终达到获取组织管理权限或破坏/窃取组织数据的目的。针对账号攻击链条进行分析，一般步骤如下：

图1 账号攻击链条

1.账号攻击的第一步通常是窃取账号口令，通过包含恶意文件的运维工具软件，钓鱼攻击或利用弱口令、口令明文存储等漏洞，入侵组织内网环境的终端站点；

2.突破内网之后的横向移动，横向移动最主要的手段就是未知账号的扫描和爆破，实战中通过弱口令获得权限的情况占比高达70%以上。虽然有些系统口令复杂度较高，但它们通常有口令相同或规律口令等问题，此类口令也极易被猜解；此外哈希传递攻击、进程间通信计划任务、票据传递攻击等都可以实现突破内网之后的横向移动，甚至可以不需要知道明文口令的情况下，利用执行木马、哈希攻击、票据欺骗等多种手段，获得目标（通常是域控）服务器的管理权限。

3.获取权限后进行违规数据查询、破坏数据、窃取数据。可通过数据库特权账号执行删库、删表等高危操作进行破坏数据，或通过特权账号口令窃取敏感数据；攻击者还可通过特权账号破坏业务系统、运行勒索软件等，造成组织数据安全事件等严重后果。

1.2 特权账号安全成为数据泄漏的首要原因

数据访问是由主体访问数据客体的过程，而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或其他数据资源。

图2 数据访问过程中的安全风险

保障账号安全是组织数据安全工作的重要目标之一，但由于系统和应用程序的不断增加，账号安全问题日益突出，特别是账号的滥用，如数据管理团队通常需要高权限的数据访问账号，组织在账号权限分配阶段通常会充分考虑“最小权限原则”，但在长时间的数据管理的工作中，因为“便利性”的需要造成账号的肆意共享、凭证的滥用等问题屡见不鲜，这意味着数据访问可能不是账号所授权的实际员工，因此提高了数据泄漏的风险。因此，如何在不可信的访问过程中，兼顾“安全”和“体验”的方式，实现数据资源的安全可信访问，保障数据安全，成为组织管理者的重点工作目标之一。

2.1 特权账号访问管理需要注意的风险TOP10

1、共享凭据

密码的漏洞在共享和分布式环境中更为明显。如果特权帐户或凭据由多个用户共享，则信息资产更容易出现凭据被窃取产生的安全风险。

2、手动管理特权密码

手动管理成百上千个企业特权账号密码是一个既容易出错也非常枯燥的工作，同时也扩展了威胁向量。

3、硬编码的应用程序凭据

在应用程序开发/配置文件/打开脚本中使用的硬编码和明文本凭据对业务系统构成了很大程度的风险。硬编码的密码/凭证在本质上是通用的 。由于保留硬编码密码的做法不遵循密码管理的一般规则，因此无法问责和密码泄露所产生的安全风险始终存在。

4、特权帐户纳管有盲点

组织往往受限于传统的堡垒机，或PAM产品的纳管范围和能力，无法完全纳管IT资产的全部系统，设备和应用程序特权账号，会产生特权访问纳管资产的盲点（如基于web登录的各类安全设备，存储设备，多云入口等管理员控制台账号密码，客户自研的各类基于B/S、C/S的管理系统控制台账号密码）。如果这些账号密码没有安全的保护，特权访问管理将仍然容易受到攻击。这些不受管理的账户可能会成为数据泄露的来源。因此，100%纳管全部的系统、设备和应用程序上的特权帐户对于确保安全的PAM访问至关重要。与此同时，这些帐户必须在PAM解决方案中实现自动密码代填登录。

5、未能识别特权身份的生命周期

纳管所有特权帐户的工作已经完成了一半。如果IT安全人员未能有效地管理特权身份的生命周期，则特权帐户依然可能会被滥用/滥用。最好是确保特权帐户中的所有更改都被记录下来。因此要求我们可以访问特权帐户，然后跟踪和适当的审计这些帐户。

6、没有启用多因素身份验证MFA

健壮的最终用户身份验证的一般经验法则是在请求和访问之间有更多的身份验证层。它有助于验证信任关系。它为数据资产的安全性提供了更健壮性。缺乏MFA将帮助黑客通过使用网络钓鱼、社会工程等各种工具来破坏业务关键型数据。

7、没有告警信息

在IT安全技术中，在决定所需的操作之前，必须仔细阅读每个告警信息。 在IT生态系统中流行的所有关键服务器和应用程序都应该有一种机制 ，可以为每次登录、登录请求，甚至是在登录后执行的任务异常发出告警信息。一些需要的警报可能如下：

1. 服务器访问请求警报
2. 特殊时间段告警
3. 异常持续登录时间告警
4. 异常登录地点
5. 登录设备(IP地址)
6. 在预定义任务之外发生的任何活动（触发黑名单的操作行为）
7. 根据临时任务需要变更的权限申请

8、无工作流审批

在一个庞大的企业IT基础设施中，管理员经常收到来自工作人员的批准请求。这些日常请求包括访问关键应用程序、密码重置或可能访问新的设备的信息。

在这些基于需求的情况下，许多组织都面临着这些问题：缺乏可以灵活配置授权和限制用户访问时间、地址，范围，安全使用账号密码连接资产的机制。如果没有工作流审批，组织就会引发响应延迟、工作效率低下和可疑请求的风险。

9、始终打开的权限

由于云计算、虚拟化和DevOps实践的增加，特权账户呈指数级增长。因此，风险面也随之扩大了。在分布式环境中管理和控制特权活动总是管理员面临的一个挑战。恶意行为者总是在寻找由过度的地位特权所产生的漏洞。在极端情况下，它会导致财务和声誉的损害。在这种背景下，迫切需要消除“永远在线”特权实践中的风险，并帮助组织遵循最小特权的原则。

10、没有主生产环境、高可用性环境或灾难恢复环境

在IT安全行业中，对于高度集权的特权访问PAM系统环境。建议为PAM系统实施主生产环境、高可用性（HA）环境或灾难恢复（DR）环境的部署方案，以确保解决方案的24*7可用性。

2.2 特权账号持有者的风险

特权账号持有者使用过程中，存在恶意破坏，监守自盗，操作失误的风险；

人员角色复杂，账号权限管理难

内部特权滥用在任何组织中都是一个日益突出的问题，由于人员角色复杂，权限划分并不清晰，往往存在“一个账号多人共享”及账号权限过大等问题，使得“内鬼”有机可乘，可以通过“合法账号”直接访问到核心业务和数据资源，造成组织内部数据泄漏或系统破坏。

人员调岗、离职账号权限不能及时清除

特权账号由于在组织内部跨部门使用的特性，导致管理难度大大增加。存在人员调岗、离职时，其掌握的账号权限未能及时收回或清除的现象。

一方面，随着时间的推移，系统中会产生很多的“僵尸账号”与“幽灵账号”，甚至这些账号的口令已经遭到泄漏或存在弱口令问题，存在极大的安全漏洞；另一方面，调岗或离职人员，也可以有机会利用这些安全漏洞进行恶意破坏，或非法访问并下载敏感数据。

供应商人员流动性大，账号权限管理难度加剧

由于供应商人员数量多、流动性大的特点，导致账号及权限管理的难度加剧，账号口令被人为扩散和传播的风险也随之增加，且存在权限滥用，越权操作、私自创建后门账号，以及账号口令被篡改或遗失的风险。    

2.3 账号管理的风险

 随着资产日益增加，应用系统疯狂增长，应用系统类型日益复杂，对特权账号管理要求越来越高，特权账号口令的管理成为新的挑战。如有些用户的应用系统中存在长期不更改口令的情况；应用系统之间交互，通过账号口令明文方式存储，且账号口令无备份机制；账号口令需要在各个部门之间流转，存在极大外泄风险。通过以上的分析，特权账号口令目前易存在如下的问题：

1. 账号多、分布广，定期改密难；
2. 应用内嵌或明文存储账号口令易泄漏；
3. 特权账号无备份机制；

2.4 甲方视角的安全风险梳理

1. 暴露面过多，存在敏感数据外泄；
2. 漏洞、弱口令等脆弱性存在；
3. 远程办公（终端、VPN接入）不安全，容易被攻击者利用；
4. 零日漏洞防范和检测能力欠缺；
5. 人员安全防范意识不高，终端易成为攻击者跳板；
6. 重要网络缺乏有效隔离，内网违规外连严重；

2.5 安全运维合规风险与难点梳理

图3 传统运维连接方式的安全风险

安全风险

1. 基于Web管理的各种安全设备管理员控制台密码代填难实现；
2. 运维工具软件使用绿色版或注册版，有木马病毒风险，终端内网使用同样不安全；
3. VPN远程接入方式，存在用户侧终端和数据中心之间的数据交换安全风险；
4. 存在Web，第三方应用软件的零日风险；

合规难点

1. 密码策略集中管理，统一策略下发合规难；
2. 基于web管理的IT资产管理员控制台密码定期修改合规难；
3. 权限精细化管控合规难

组织需要从特权账号风险暴露面入手开展特权账号安全管理工作。组织管理者需要重点关注特权账号安全保护环节，如防范终端自身系统和软件安全风险，防止账号共享使用过程中盗用风险，防止账号持有者被冒用身份、滥用权限或违规操作的风险，删除硬编码凭据、口令安全存储等，以及在特权账号生命周期内规范账号持有者的安全合规使用，如实施集中管理所有应用软件，最小权限原则、管理凭据不可见、访问会话监控与审计等，并让安全团队持续监测特权账号的异常访问行为。这不仅仅是管理制度的提升，同时也需要工具和流程的适配优化。

3.1建立特权账号集中存储的数字密码保险库

全面管理特权账号，集中加密存储，组织管理者经常采用的Excel、文本等传统管理工具保存账号密码，此类管理手段无法保证账号口令的安全存储和对风险账号的全面治理。为防止账号被盗，应当采用专业的PAM系统建立特权账号集中加密存储的密码保险库，加密存储账号口令及相关策略配置信息。

集中安全管理凭证，采用密码保险库技术，可以将各类IT资产的账号口令及凭证集中安全存储。密码保险库采用专属密钥加密，保障账号及凭证的安全性，并自动轮换口令和密钥来满足不同政策要求。

3.2 建立完善人员管理措施

针对账号使用过程中存在的各类风险，可采取如下措施：

实施最小化权限管理原则。组织应根据工作需要在有限时段内授予用户对特定系统、应用程序或目标设备的访问权限，避免特权账号的长期持有，同时采取细粒度的命令控制策略，阻断权限升级及滥用，降低内部人员非法利用特权账号造成数据泄漏或系统破坏的风险。

平台或工具统一管理资源账号，全覆盖无盲点。组织应采用平台或工具对各类资源账号全面覆盖，集中纳管，对账号的增、删、改的过程进行统一管理，对于运维、研发人员岗位变更或离职的情况，可以通过统一身份管理平台一键收回账号权限，并及时清除过期、多余的账号，避免离职或调岗人员非法访问。

工单系统申请临时账号使用权限，到期自动回收。组织应采用工单系统，对非本部门人员或外部供应商需要使用本部门IT资源的情况进行管理。采用临时账号权限申请的方式，根据对方工作需要，按需发放具有一定时间限制的临时账号使用授权，限制运维终端访问范围，同时需要采用数据交换隔离、精细化操作控制及审计监控等方式，降低外部人员非法访问的风险。

3.3 建立完善的特权账号管理机制

建设目标：

1. 建立完善的特权账号密码轮换机制；
2. 与各个应用系统深度集成，消除明文口令，并实现定期改密；
3. 建设特权账号管理的高可用或灾备能力，建立完善的账号口令备份机制。

定期修改口令：通过制定完善的改密策略，定期的下发账号改密命令，批量的修改特权账号口令。建立完备可靠的改密机制，保证在改密过程中，口令的安全性和可靠性。特权账号定期改密，具有三个特点：

一是可靠性，不丢失口令，确保改密前、改密中、改密后，对业务系统的影响降到最低；

二是安全性，口令本身的设置规则符合相关法规规定，改密策略不得随意变更，改密过程不泄漏口令；

三是并发性，通过分布式集群部署架构，解决海量账号高并发改密的难题。

特权账号口令存储高可用或灾备能力：通过高可用或灾备能力，保证特权账号存储的安全性和一致性，从而保证口令的高可用，防止口令的丢失，确保口令的存储安全和系统的可用性。提供完备的逃生机制，实现口令的离线安全存储及即时恢复。

4.1 账号口令集中安全保管

建立国密数字密码保险库存放关键数据，包括账号口令，口令策略，访问权限配置，口令访问日志等。密码保险库的关键要点为安全存储，在密码保险库中，配置不同的密码保险箱存放不同类型的账号及配置等相关信息，并定义不同的访问权限。每个密码保险箱都有自己的授权用户，只有这些授权用户可以访问存储在密码保险库中的账号口令信息，并配置其他策略动作，如查看口令，复制口令等。

针对各类资源的特权账号密码，产品采用多重加密（对称和非对称加密算法）的方式存储于密码保险库中，用户可采用产品自带密码备份策略以异地加密方式对密码进行容灾式备份，支持SM国密算法，进一步提高账号密码存储安全。

4.2 集中的账号口令安全策略

每个组织的IT资产管理和流程都是独一无二的，因此实施和维护一致的集中口令安全策略，成为了最佳实践。

注意：不建议在口令安全策略中设计多个不同的口令管理策略，因为这会带来配置及管理的复杂性。如：针对密码修改周期，我们是按照国家相关法规统一设置为默认为90天，不能随意修改。如有修改需求，我们提供定制服务。

账号口令集中存储在国密算法多重加密的数字密码保险库中。

账号口令安全策略包括但不限于：

• 口令访问权限设置；
• 保留口令历史版本；
• 账号口令管理；
• 口令复杂度策略；
• 口令定期修改；
• 口令检查；
• 账号口令操作审计；

安全管理员可以根据审计合规要求制定密码策略，包括密码修改、密码验证、重置，以及历史密码回退等功能，以满足用户对账号密码管理的安全要求。

自动改密：系统支持对主机、网络设备、数据库、中间件等各类资源作为运维管理用途系统账号（并非内置代码、脚本文件、配置文件等场景的涉及的应用账号）密码的变更操作。用户可通过密码策略规定密码复杂度等信息，采用手动或自动化方式触发账号密码管理任务。

密码验证：支持手动或自动化的方式验证特权账号密码的准确性验证。时刻保证密码的正确性。

历史密码：针对系统中各类密码变更操作，系统均会将新密码记录为临时密码。在修改成功并验证成功之后才标记为正式密码。管理员可查阅历史密码。

4.3 建立完善的账号口令安全合规基线

建立账号口令安全管控机制，覆盖账号生成、属性变更、账号存储、账号使用、口令轮换、账号注销等账号全生命周期的各个环节，建立和完善一套完整的账号口令合规基线标准（见图4），通过技术手段持续监控特权账号异常登录、长期不改密、账号权限变更等带来的数据泄漏等潜在风险，确保账号安全可见、可信、可管、可控。

图4 账号口令安全合规基线标准

4.4 全面覆盖的账号口令纳管机制

组织的IT设备和系统会随着业务的改扩建而发生变化，这就意味着随时有新的特权账号口令需要纳入管控。在新系统、新设备的投产和扩容过程中，无论存量账号还是新建账号，应及时全面的收集和纳管。全面覆盖的账号口令纳管机制还应考虑与系统上线的业务流程进行联动，确保此系统的账号可自动纳入到统一管理之中。

4.5 运维操作统一门户

为了更方便运维人员使用特权账号，产品提供一站式的运维操作统一登录入口，实现：

1. SSH，RDP，各类数据库等运维工具的连接，集中管理各种工具软件，确保工具软件的安全可信。
2. 支持任何类型登录运维连接工具，实现100%类型的密码代填。真正作到运维账号口令单点登录。
3. 通过终端准入访问控制，工单申请/审批管控、高风险命令控制等技术实现“事前申请授权”“事中操作控制”与“事后行为审计”，保障客户的数据中心资产不会被非法访问和越权访问。

5.1 技术方案的设计目标

1. 规范账号口令权限的安全使用；
   1. 消除弱口令，共享账号口令的安全隐患；
   1. 降低滥用、越权使用账号口令带来的风险；
   1. 消除终端接入侧数据交换的安全风险。

5.2 运维管理系统技术架构现状

图5 传统运维技术架构的安全风险

传统运维技术架构：

传统的运维方式是运维终端安装所有运维工具软件，登录堡垒机，连接目标系统。

存在的安全风险：

1. 未能有效隔离终端侧与数据中心侧的数据交换通道，存在数据交换的安全风险。
2. 终端侧可以收发电子邮件或连接互联网，易遭受木马病毒感染。
3. 运维软件也不可信。
4. 内网服务器存在数据泄露风险。

5.3 采用零信任特权账号访问管理系统后的技术框架

图6 零信任特权账号访问管理系统技术框架

5.3.1 方案设计思路

在一个安全的零信任架构体系下，需要做好终端的零信任准入控制，增强的身份验证，实现统一登录入口，缩小暴露面，上收全部身份凭证，实现全系统无密码登录体验，用户侧和业务侧的数据隔离，避免横向移动和数据泄露的风险，所有运维工具软件均为统一发布的应用投影，敏感数据不落本地终端，消除了外部人员登录带来的数据交换风险和接入终端侧安全风险。数据中心内部所有系统的账号密码定期更新，实现最小化权限访问控制，满足合规审计的监管要求。

5.3.2 系统部署架构

产品逻辑架构分为数据和控制两个平面。

图7 产品逻辑架构设计

在数据平面中，防火墙外部区域（即用户侧接入网络），员工使用终端上安装零信任客户端，登录DS-PAM系统做身份验证和授权，从终端设备到特权账号管理系统之间的连接为视频流，仅为图像（键盘鼠标操作）的增量数据，带宽约为30k~50k bps，采用虚拟化应用技术，做了分段网络隔离，实现了数据密码不落本地终端，防止外泄及外部黑客的横向移动入侵攻击，可以抵御勒索软件攻击，加固红蓝对抗的安全防护能力，客户端与特权账号访问管理系统DS-PAM之间的传输采用私有协议，国密算法加密传输，提升了数据中心的安全等级，缩小了攻击面，实现了应用系统安全加固及业务“隐身”。

防火墙内部区域（即数据中心内部网络），所有到目标系统资源的交互式会话连接均由特权账号管理系统发起，全程操作具备字符审计和图形审计功能和会话控制能力。

在控制平面中，特权账号访问管理系统分为控制中心和管理后台两个组件模块，控制中心包含多因素身份验证，应用发布，客户端持续验证及访问控制，等组件。管理后台包含 ：资源管理，用户管理，审计管理，账号管理，授权管理，工单系统，密码保险库，密码策略管理等组件。所有操作日志可外发上报至第三方的安全运营中心，与SIEM,SOC等系统联动进行响应处置。

产品部署架构为物理旁路，逻辑串联。

接入方式：特权账号访问管理系统DS-PAM 物理旁路接入核心交换机。

5.3.3 核心组件说明

产品设计采用C/S架构（兼容性和安全性完全不依赖于第三方平台）；

产品包括以下组件：

• （支持Win7/Win8/Vista/Win2003/Win2008/Win2012/Win2016/Win2019等最新版本部署）

产品架构图：

图8 产品组件逻辑图

Vault（国密数字密码保险库）

DS-PAM管理系统解决方案的核心组件之一是Vault（国密数字密码保险库），其中包含一个高度安全加密的目录文件库，自主开发的国密保险库可以避免使用第三方数据库系统，产生密码存储安全的风险和隐患，确保自身安全性不依赖于任何第三方的数据库厂商。

Vault保存着账户密码、访问控制策略、密码管理策略及审核信息。为了保护Vault（国密数字密码保险库）本身及保险库中所保存的数据，DS-PAM管理系统设计上使用多层加密方法。对称加密和非对称加密，符合国家加密算法，主要功能包括如下：

CPM（密码管理系统）

DS-PAM管理系统最核心的组件CPM（密码策略管理系统）实现了针对操作系统、网路设备、安全设备、数据库、Web应用、目录服务器、中间件、KVM和服务（service）类型密码修改，通过多次确认登录密码修改机制，确保密码100%修改成功后才保存在Vault（国密数字密码保险库）中，让账号集中管理成为现实。

DSM（账号应用集中管理系统）

DS-PAM管理系统中的组件DSM（账号应用集中管理系统）可以实现对终端类（Telnet/SSH/Rlogin），窗口类应用（C/S架构），远程桌面，浏览器（HTTP/HTTPS支持IE和Chrome），虚拟客户端等及用户定制的客户端程序集中管理，集中授权，集中审计，支持用户和密码代填功能，通过从Vault（专业密码保险库）中获取用户和密码，实现一键式自动登录。

5.4 零信任特权账号访问管理系统影响性分析

部署DS-PAM管理系统后，实现集中统一的账号管理，实现密码的自动修改和验证，所有访问系统，网络设备、数据库和应用都需要从DS-PAM管理系统单点登录，集中认证，进行访问控制和操作审计，远程接入访问控制采用零信任客户端，私有协议加密传输，数据密码不落本地终端，提升了数据中心整体安全性，消除了弱口令，密码共享的安全隐患，实现了应用系统安全加固及“隐身”。

因为上收了所有的账号口令，并执行自动化定期更新，因此，消除了传统堡垒机管理的漏洞（如“绕行”和“蛙跳”等脱离审计控制的管理漏洞）。

采用物理旁路部署，逻辑串联，具备完整可靠的一键密码库备份及恢复机制（包括离线备份，加密存储密码库文件），确保紧急情况下的密码逃生机制的可用性。极端情况下，也可以确保用户正常使用，不会因意外故障，导致密码不可用的情况发生。

迪瞰科技

北京迪瞰科技有限公司是一家坚持自主研发和技术创新的中关村高科技企业。聚焦于特权账号管理领域，围绕身份安全的目标，创新应用零信任理念，在国内率先推出了采用两网隔离技术，安全零信任客户端的账号密码合规管理系统，特权账户管理平台DS.PAM，下一代堡垒机系统DS-NGFM，研发安全管理平台DS-DSP，CDS数据备份管理平台DS-CDS，随着用户数量和应用案例的不断增长，积累了越来越多的行业经验，P以为行业客户提供全方位的安全咨询专家服务。服务客户200多家，行业涵盖: 金融保险，证券，政府机关，制造业，医疗，电力及能源。