特权账号安全管理系统研究及分析

2020年第21期
信息与电脑
China Computer & Communication 信息安全与管理特权账号安全管理系统研究及分析
刘　奇
（国华能源投资有限公司，北京　100007）
摘　要：本文在深入研究国内外特权账号安全管理相关技术的基础上，设计和实施特权账号安全管理平台，实现集中、自动化地管理所有类型的特权账号、密码，提升各纳管系统的主动防御能力，降低弱口令、口令泄露带来的敏感信息外泄的风险。

本文围绕特权账号安全管理系统的设计、能力等方面进行详细分析，还针对安全性、可用性、可靠性等设计，真正从技术管控上和制度要求上实现特权账号安全管理，实现特权账号种类的全覆盖和生命周期的完整涵盖，满足未来不断变化的需要。

关键词：特权账号；安全管理；运维管理
中图分类号：TP309 文献标识码：A 文章编号：1003-9767（2020）21-198-03
Research and Analysis of Privilege Account Security Management System
Liu Qi
(Guohua Energy Investment Co., Ltd., Beijing 100007, China)Abstract: Based on the in-depth study of the related technologies of privileged account security management at home and abroad, this paper designs and implements the privilege account security management platform, realizes centralized and automatic management of all types of privileged account passwords, improves the active defense capability of each ATM system, and reduces the risk of sensitive information leakage caused by password and password disclosure. This paper analyzes the design and capability of the privilege account security management system in detail, and designs the security, availability and reliability of the system to realize the privilege account security management from the technical control and system requirements. To achieve the full coverage of privilege account types and life cycle, to meet the changing needs in the future.Keywords: privileged account; security management; operation and maintenance management
１　研究背景随着企业IT 基础设施的增加，日常网络设备管理难度越来越大[1-4]。

运维管理需要使用特权账号的身份权限才能开展，非法攻击或未授权访问也需要获取特权账号凭证才能实现非法攻击或未授权访问。

对于保护内网核心数据安全，首要任务就是确保特权账号凭证的安全。

当前企业特权账号安全管理存在很多安全问题，如各类特权账号、密码多以密码台账、文本等方式存放，应用系统中有账号密码以明文方式配置，各种高权限账号极易非法获取，存在极大的隐患。

各种高权限账号都掌握在运维人员手中，缺少对这些特权账号及口令的统一管理，如普遍存在共用账号、滥用特权等现象。

账号密码对用户来说是“可见、可知、可用”，未能实现人和账号密码的逻辑隔离，密码复杂度、改密周期、密码使用等不满足合规性要求。

在众多安全管理环节中，特权账号安全管理是信息安全
最关键的组成部分之一。

一个成功的特权账号安全管理解决方案不仅可以管理关键系统账号，遵从安全法规，它也将帮助企业降低管理成本，优化管理流程。

２　特权账号安全管理系统的设计
特权账号安全管理最佳实践设计应重点关注以下方面：①确保能够实现发现、管理、监控特权账号；②控制特权账号的访问行为，包括共享情况和紧急访问；③对账号的凭证（密码口令、keys 等）进行随机变更、安全保管；④能够提供特权账号访问的单点登录方法，防止凭证暴露；⑤控制、过滤、编排特权指令、操作或任务；⑥管理并解决应用程序/服务/设备内嵌凭证问题以防暴露；⑦监控、记录、审计与分析特权的访问、会话和操作。

所以，需要一个“统一的、
集中的、安全的”特权账号安全管理解决方案来管理企业重
作者简介：刘奇(1983—)，男，山东济南人，本科。

研究方向：网络安全、信息化、智慧化。

图１　特权账号安全管理系统的架构
2.3　系统核心模块设计
特权账号安全管理系统由密码保险库、密码策略管理、特权会话管理、特权访问门户等模块组成。

密码保险库作为特权账号安全管理的核心模块，主要以加密方式存储所有的关键数据，包括特权账号密码、密码管理策略、访问权限配置、密码访问日志等。

密码策略管理用于实现各类特权账号密码策略的统一管理。

特权会话管理实现了特权账号会话访问的SSO登录、隔离和审计。

2.4　系统安全设计
特权账号安全管理系统有专业的密码保险库设计，所有的数据、策略、日志、录像、用户信息、密码都集中放入密码保险库，并且使用了分层加密的方式，支持国密加密算法。

每个用户数据有独立的加密保险箱，使用不同的密钥。

密码保险库采用七层安全保护技术，如表1所示。

表１　七层安全保护技术
安全技术功能好处
分层加密独特地加密每一个文件、保险箱和保险库，
保险库服务器本身也能被加密，
并且可以被物理删除或者存储在HSM上
提供了最强级别的安全性数据，以防止数据失窃
会话加密内置的会话加密能力可以让所有保险库的流量，对外部用户不可见最大程度地保护数据，以防止窃听攻击
认证支持多种认证方式，如LDAP、SecurID、Radius、PKI等授予访问特权账号安全管理系统之前，对管理员的身份进行认证防火墙只允许授权的流量使用保险库专用协议传输数据减少攻击面，防止未经授权、不可信系统流量进入保险库
职责分离
允许库管理员对数据进行配置和维护，
但阻止这些用户访问存储在保险库中的底层数据
减少内部恶意攻击，并确保敏感的凭证和文件只能由授权用户访问
全面监控对潜在的系统问题进行监视和预警
系统预警可以帮助减少停机时间，可以快速找到安全保护上的差距。

安全事件管理解决方案可以帮助组织在事态变严重之前就发现可疑事件
防篡改
把审计数据放入一个专用的保险箱进行隔离与保护，
只能由授权的管理员和审计员访问审计的详细信息。

在指定的时间段，审计数据可以被配置为只读和不可删除
确保授权的安全管理员和审计员能够查看历史数据，
同时能防止恶意用户隐藏他们的踪迹
2.5　系统可靠性设计
特权账号安全管理系统可以采用两地三中心的架构设计，主数据中心采用HA热备方式（数据全部放在SAN共享存储上），本地容灾中心有一份完整的数据备份DR（自动），
2020年第21期
信息与电脑
China Computer & Communication 信息安全与管理异地灾备中心有一份完整的数据备份DR （自动），在主数据中心发生灾难的时候，服务会自动切换到DR 灾备中心，无须人工干预，所有功能组件支持全冗余设计。

2.6　系统分布式设计特权账号安全管理系统采用两层架构，即密码保险库与各功能组件，支持分布式部署，集中管理，所有功能组件可以无限制扩展，所有功能组件产生的数据都集中写到密码保险库。

这种特性非常适应于跨地域的全国性、全球性数据中心部署，所有分数据中心都可以本地化部署相应的功能组件来优化访问的体验，将数据都集中在总部数据中心的密码保险库，对外交付一个唯一的门户入口。

３　特权账号安全管理系统的主要功能实现各类特权账号凭证全生命周期的集中管控，实现人
和账号的分割，建立特权账号凭证全生命周期管控，从源头控制敏感数据泄露，提升数据安全防护水平。

根据账号类型及资产重要程度而预定的策略应自动更新密码，以满足账号、密码的合规性要求，以解决账号凭证明文问题，实现自动更新硬编码中的密码；利用这种独特的技术，能够符合内审和外审的合规性要求，做到密码定期更换。

动态数据脱敏模块能够实时拦截数据库的请求，并执行数据脱敏任务，控制数据库的访问权限，并对操作返回数据进行实时脱敏。

此外，应建立特权账号自动发现机制，实现实时、真实掌握数据中心特权账号的变化趋势；定期对主机进行扫描，提供特权账号的动态变化情况，自动发现新增加的主机账号并纳入特权账号管理系统。

４　结　语
通过特权账号安全管理系统建设，实现密码的统一管理、密码策略的强制推行，保障了特权账号、密码授权使用，满足合规要求，解决了特权账号长期存在的安全问题，为企业的发展提供强有力的IT 安全支持和保障。

通过系统部署，减少了密码凭证泄露的风险，提高了生产系统的安全性，符合各级检查、审计的要求，提高了企业的外部合规性力。

特权账号的自动化管理，大大降低了人力成本，将运维人员从重复的劳动中解放出来，也降低了错误率。

参考文献
[1]王世轶.信息系统特权账号管控与审计建设[J].消费电子,2014(4):223.
[2]方国强.基于区块链的防特权账号篡改审计系统[J].通信技术,2020,53(4):963-969.
[3]夏蕊.特权账号自动化安全管理系统的研究与构建[D].上海:复旦大学,2009.
[4]刘潇笑.建立安全的信息系统“特权账号”管理体系[J].金融电子化,2009(7):67.。