堡壘機(jī)、特權(quán)賬號管理系統(tǒng)等主流特權(quán)運維安全產(chǎn)品能解決的是運維賬號、特權(quán)賬號的合規(guī)性、統(tǒng)一入口、安全審計問題。但這里注意的是他們所能管控的運維賬號、特權(quán)賬號，僅涵蓋了操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等IDC設(shè)備的特權(quán)。

主機(jī)管理員、DBA、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)主管、應(yīng)用系統(tǒng)廠商實施人員、應(yīng)用系統(tǒng)IT管理員、API接口代碼等等；這里我們能夠借助于堡壘機(jī)、特權(quán)賬號管理系統(tǒng)等實現(xiàn)特權(quán)的集中管理、集中發(fā)放及回收、過程訪問控制等從而達(dá)到事前、事中管控的目標(biāo)，但所能管控的同樣有限，僅有主機(jī)管理員、DBA、網(wǎng)絡(luò)管理員。

我們可以借助于特權(quán)賬號管理系統(tǒng)實現(xiàn)對主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等整個IDC基礎(chǔ)設(shè)施的資源進(jìn)行定期修改密碼、密碼申請、公私鑰生命周期管理，但我們的應(yīng)用系統(tǒng)、API接口中的特權(quán)密碼卻因代碼編碼限制、業(yè)務(wù)管理限制、應(yīng)用系統(tǒng)廠商限制，無法對超大權(quán)限的管理賬號、賬號做密碼的定期修改。

目前市面上比較成熟的堡壘機(jī)、特權(quán)賬號管理產(chǎn)品都可以在主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等整個IDC基礎(chǔ)設(shè)施層面實現(xiàn)事后全過程的監(jiān)控視頻審計。但我們的應(yīng)用系統(tǒng)、API接口中的特權(quán)就僅能憑借應(yīng)用系統(tǒng)本身的日志進(jìn)行事后審計。

A11.2.2 特權(quán)管理：特殊權(quán)限管理，應(yīng)限制和控制特殊權(quán)限的分配及使用；

A11.5.2 用戶標(biāo)識：所有用戶應(yīng)有的、其個人使用的標(biāo)識符（用戶ID）

應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實用戶所宣稱的身份；

A10.10.1要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便安全事件的調(diào)查和取證；

A10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為；

A15.1.3 明確要求必須保護(hù)組織的運行記錄；

A15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。

8.1.4.1 身份鑒別：應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有性；

8.1.4.2 訪問控制：應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；

8. 1.5. 1 系統(tǒng)管理：應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或

操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計；

8.1.4.3 安全審計：應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶

行為和重要安全事件進(jìn)行審計；

8.1.5.2 審計管理：應(yīng)對審計管理員進(jìn)行身份鑒別，只允許其通過特定的命令或

操作界面進(jìn)行安全審計操作，并對這些操作進(jìn)行審計；

應(yīng)用系統(tǒng)的出廠內(nèi)置管理員賬號admin/sysadmin通常并不具備用戶實名制標(biāo)識的特質(zhì)，通常是會被應(yīng)用負(fù)責(zé)人或廠商運維人員掌管著賬號密碼。在使用過程中由使用者人為輸入賬號口令進(jìn)行登錄。（如圖1所示）解決的關(guān)鍵借助于一個特殊的平臺作為跳板，能讓用戶通過自己的個人賬號進(jìn)行登錄認(rèn)證，成功后再通過這個特殊的平臺訪問應(yīng)用系統(tǒng)的特權(quán)，這樣就可以解決實名制問題（如圖2所示）

特權(quán)賬號在使用過程中應(yīng)用負(fù)責(zé)人通常會將賬號、口令轉(zhuǎn)告知第三人。這么以來管理員賬號的密碼就會不經(jīng)意地傳給第三個、第四個...導(dǎo)致特權(quán)賬號密碼擴(kuò)散的風(fēng)險，所以我們將通過密碼定期修改、密碼自動代填或基于票據(jù)的方式由中轉(zhuǎn)系統(tǒng)自動完成應(yīng)用系統(tǒng)的特權(quán)登錄過程，避免使用者因登錄需要而知曉密碼。

通常企業(yè)中申請使用特權(quán)賬號的方式：管理員代為輸入口令、郵件申請、工單申請、微信、釘釘?shù)取Ｄ敲催@些方式的通病就是的過程不嚴(yán)謹(jǐn)導(dǎo)致申請記錄無從查起；之后權(quán)限不能及時主動的收回。為了避免這種情況多數(shù)企業(yè)都會將所有的權(quán)限相關(guān)與流程工單系統(tǒng)進(jìn)行結(jié)合，如OA、BPM等，用戶通過流程工單走線上的特權(quán)申請，并備注使用的周期。工單由相關(guān)干系人完成審批后由中轉(zhuǎn)系統(tǒng)自動完成自然人（特權(quán)申請人）與應(yīng)用系統(tǒng)特權(quán)的映射過程。用戶登錄中轉(zhuǎn)系統(tǒng)即可查閱自己的應(yīng)用特權(quán)權(quán)限。最后在特權(quán)申請時間結(jié)束后中轉(zhuǎn)系統(tǒng)自動完成自然人（特權(quán)申請人）與應(yīng)用系統(tǒng)特權(quán)的關(guān)系解除操作，那么用戶也是無法再次訪問特權(quán)賬號的。