1、 特权账号安全能力建设 桔皮书 奇安信科技集团股份有限公司 2022 年 1 月 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团（指包括但奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。前 言 Gartner 发布的 Guidance for Pri

2、vileged Access Management 中，术语“特权账号”是数据中心内部，分布在主机、网络设备、数据库等资产上具有较高访问权限的账号，衍生到一切资产上具有可访问权限的账号。在组织运营过程中，这些特权账号通常由 IT 运维人员管理，各角色人员开展系统管理、业务运营、系统运维等系统维护、权限变更、数据删除、下载导出等高级权限操作。特权账号是直接接触组织关键 IT 资产和数据资源的入口，一旦特权账号被盗用、误用、滥用，将为组织信息系统带来严重破坏性的后果。近两年数据泄漏事件频频发生，究其根源，泄漏的凭据是导致数据泄漏事件的主要原因。在网络安全日趋成熟的情况下，与其穿透层层防护窃取数据本

3、身（数据库），不如窃取账号，通过内网横向移动，利用特权账号的管控手段缺失，最终攻破特权账号，再利用特权账号权限对系统进行恶意破坏，如执行删库、删表等高危操作，达到破坏或窃取敏感数据的目的。特权账号的管理作为数据资产防护极为关键的环节，已经在 2018 年、2019 年连续两年被 Gartner 评为十大安全项目之首。但目前国内对特权账号安全的认识仍处于早期，本报告将围绕国内特权账号安全管理的现状，总结分析特权账号管理过程中的风险和困境，提出基于特权账号生命周期的管理原则和方法，降低因特权账号和口令管理不善等带来的数据泄漏风险。目录目录 一、数据安全形势催生特权账号管理新需求数据安全形势催生特权

4、账号管理新需求.1（一）特权账号安全成为数据泄漏的首要原因.1（二）针对特权账号的攻击成本低破坏性强.2（三）攻防演练中特权账号已成最大弱点.3 二、特权账号管理面临的安全挑战特权账号管理面临的安全挑战.4（一）特权账号自身风险.4（二）人员风险.5（三）管理风险.7 三、特权账号安全管理思路特权账号安全管理思路.8（一）建立特权账号台账.8（二）建立完善人员管理措施.9（三）建立完善的特权账号管理机制.10 四、特权账号生命周期安全管理特权账号生命周期安全管理.11（一）特权账号发现阶段.11（一）特权账号存储阶段.12（二）账号使用阶段.13（三）账号回收阶段.15 五、结语结语.15 特

5、权账号安全能力建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 1 页，共 16 页 一、一、数据安全形势催生特权账号管理新需求数据安全形势催生特权账号管理新需求 业务创新、数据上云、数据共享，IT 环境变得复杂，人与机器、机器与机器之间交互增多，账号数量随之增多,也扩大了风险暴露面。从近年数据安全事件以及攻防演练来看，特权账号一直是攻击者的首要目标，利用特权账号可以轻易盗取、破坏组织数据。目前，一方面随着法律法规的陆续发布，账号、资产和权限的要求逐步细化和强化；另一方面随着访问环境变得更复杂更开放，所带来的管理难度呈指数型上升。因此，特权账号带来的数据泄漏风险成为组织的首

6、要关注点，组织需要建立一套行之有效的特权账号安全管理生态系统，以减缓来自内部和外部的威胁。（一）（一）特权账号安全成为数据泄漏的首要原因特权账号安全成为数据泄漏的首要原因 数据访问是由主体访问数据客体的过程，而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或其他数据资源。保障账号安全是组织数据安全工作的重要目标之一，但由于系统和应用程序的不断增加，账号安全问题日益突出，特别是账号的滥用，如数据管理团队通常需要高权限的数据访问账号，组织在账号权限分配阶段通常会充分考虑“最小权限原则”，但在长时间的数据管理的工作中，因为“便利性”的需要造成账号的肆意共享、凭证