胡立

特權(quán)訪問是指具有業(yè)務(wù)系統(tǒng)特權(quán)的人，對業(yè)務(wù)系統(tǒng)進行配置更改，或者對業(yè)務(wù)數(shù)據(jù)訪問操作等行為。將分散、混亂特權(quán)訪問現(xiàn)狀進行集中統(tǒng)一管控是有效的解決辦法，實現(xiàn)特權(quán)身份和訪問權(quán)限進行集中管理，并對訪問行為進行全程實時記錄，為事后安全審計提供有力證據(jù)。

1.特權(quán)訪問下的安全風(fēng)險

特權(quán)訪問行為可控制組織資源、修改安全策略及訪問大量敏感數(shù)據(jù)，常常和系統(tǒng)運行維護操作相關(guān)，系統(tǒng)運行維護訪問操作是最為典型的特權(quán)訪問行為。例如在Linux系統(tǒng)上以Root權(quán)限登錄系統(tǒng)修改系統(tǒng)參數(shù)、停止核心業(yè)務(wù)服務(wù)或執(zhí)行系統(tǒng)關(guān)機操作；或在交換機上以管理員權(quán)限登錄修改交換機路由配置添加訪問白名單，放行外部用戶訪問內(nèi)部敏感系統(tǒng)和數(shù)據(jù)等。特權(quán)訪問具有隱秘性強、可執(zhí)行權(quán)限高和影響范圍廣的特點。特權(quán)訪問常常存在如下的安全風(fēng)險：

特權(quán)身份冒用、濫用；

訪問權(quán)限管理混亂；

缺乏有效的安全審計，無法滿足安全監(jiān)管要求；

數(shù)據(jù)傳輸泄露和威脅分析能力不足。

2.特權(quán)訪問下數(shù)據(jù)安全建議

將分散、混亂特權(quán)訪問現(xiàn)狀進行集中統(tǒng)一管控是有效的解決辦法，實現(xiàn)特權(quán)身份和訪問權(quán)限進行集中管理，并對訪問行為進行全程實時記錄，為事后安全審計提供有力證據(jù)。

建議1：特權(quán)身份集中管理

（1）主帳號集中管理

把具有特權(quán)身份自然人抽象定義為主帳號，所有可訪問業(yè)務(wù)系統(tǒng)帳號密碼信息抽象定義為從帳號，將所有主帳號和從帳號統(tǒng)一管理是特權(quán)訪問管理的前提。通常采用三權(quán)分立原則對主帳號進行管理，可以劃分為特權(quán)身份管理員、特權(quán)審計員和系統(tǒng)維護員三類角色權(quán)限，其中特權(quán)身份管理員負(fù)責(zé)對主帳號新建、編輯、權(quán)限分配和注銷等一系列全生命周期管理；特權(quán)審計員負(fù)責(zé)對主帳號操作行為、從帳號使用情況進行審計分析，并對審計結(jié)果進行統(tǒng)計報表等；系統(tǒng)維護員負(fù)責(zé)對特權(quán)身份管理系統(tǒng)的配置、更新和維護等。三類權(quán)限相互牽制，防范特權(quán)權(quán)限監(jiān)管真空區(qū)。同時結(jié)合雙因素或多因素認(rèn)證方式對主帳號進行身份鑒別，解決特權(quán)身份混用、冒用問題，也為安全事件指證和定則提供可靠依據(jù)。并引入身份鑒別防護機制，例如對暴力嘗試破解密碼行為進行鎖定登錄、靜默會話、自動注銷，不能使用重復(fù)密碼、帳號和密碼信息加密存儲等安全機制保護主帳號信息。

（2）從帳號集中管理

把所有業(yè)務(wù)系統(tǒng)抽象定義為目標(biāo)設(shè)備。將目標(biāo)設(shè)備中的所有從帳號進行集中管理形成從帳號分布全景圖，等同于管理好了訪問企業(yè)信息資產(chǎn)保險庫的“金鑰匙”?；谌皥D的基礎(chǔ)上管理好“金鑰匙”的分發(fā)和使用情況，同時也要做好周期性巡查工作，及時發(fā)現(xiàn)企業(yè)中未納管的目標(biāo)設(shè)備和從帳號信息。例如通過單點登錄（SSO）技術(shù)使主帳號用戶在不知道從帳號密碼的條件下也可訪問業(yè)務(wù)系統(tǒng)和數(shù)據(jù)。周期性掃描IDC機房中存活的業(yè)務(wù)系統(tǒng)，發(fā)現(xiàn)從帳號信息。

定期檢查從帳號密碼狀態(tài)，及時發(fā)現(xiàn)異常情況，保管好“金鑰匙”。例如周期性對從帳號密碼有效性進行驗證，可及時發(fā)現(xiàn)從帳號密碼泄露或失竊，發(fā)現(xiàn)特權(quán)訪問時越權(quán)改密操作行為。周期性對從帳號密碼進行改密，使密碼滿足強密碼規(guī)范要求，解決從帳號密碼泄露和失竊問題。周期性檢測從帳號狀態(tài)，可及時發(fā)現(xiàn)非法植入的幽靈（后門）帳號，因員工離職后未及時注銷的孤兒（長期不用的）帳號等異常從帳號情況。對于核心業(yè)務(wù)系統(tǒng)“金鑰匙”最好能夠改造升級鑒別機制，升級到雙因素認(rèn)證方式（即支持可知因素和不可知因素的雙因素認(rèn)證），例如從帳號鑒別通過固定密碼和動態(tài)密碼組合方式進行認(rèn)證，可徹底解決密碼丟失、竊取和周期更新問題。

建議2：訪問權(quán)限集中管控

（1）最小訪問權(quán)限原則

將訪問權(quán)限盡可能劃分為最小粒度，僅賦予特權(quán)訪問所需的最小權(quán)限集合，統(tǒng)一集中分配特權(quán)訪問時的權(quán)限，形成特權(quán)訪問權(quán)限全景圖，清晰描述哪些自然人能夠訪問哪些業(yè)務(wù)系統(tǒng)，具備哪些訪問權(quán)限，盡可能減少特權(quán)訪問中權(quán)限濫用或越權(quán)行為發(fā)生。例如數(shù)據(jù)庫從帳號按查詢和編輯權(quán)限劃分為user1和user2兩類帳號，當(dāng)僅需要查詢操作時分配usr1即可，防范誤刪除數(shù)據(jù)。也可以按服務(wù)器應(yīng)用特點，將權(quán)限劃分為上傳和下載權(quán)限來進行管控，例如文件服務(wù)器等。

（2）金庫模式

對于訪問高價值業(yè)務(wù)系統(tǒng)和高危級別操作時，應(yīng)采用實時金庫模式進行管控，即配置“操作-監(jiān)管”的雙崗位模式對特權(quán)訪問進行管理，實行高價值業(yè)務(wù)系統(tǒng)“一訪問一審批”，高危級別操作“一操作一審批”，并對訪問操作過程專人專崗實時管理。例如訪問網(wǎng)絡(luò)邊界出入口交換機和防火墻時，修改訪問控制配置或重啟設(shè)備操作時，都應(yīng)進行操作審批和確認(rèn)。

建議3：全程集中安全審計

事后事件分析的主要內(nèi)容是誰在什么時間、什么地點對哪個業(yè)務(wù)系統(tǒng)進行了什么操作。具備什么權(quán)限，進一步提升到操作者是誰管理的，誰導(dǎo)入到運維環(huán)境中的，事件中的業(yè)務(wù)系統(tǒng)主管單位或主管人員是誰，訪問權(quán)限分配是否合理，訪問權(quán)限都是由誰分配和審核，經(jīng)過了哪些調(diào)整。這些問題都可以通過安全審計的方式完整記錄下來。事后分析中更重要的是能夠完整還原事件的過程，準(zhǔn)確評估事件的風(fēng)險和損失。

建議4：數(shù)據(jù)加密和威脅分析

（1）通信協(xié)議加密保護

加密數(shù)據(jù)是解決網(wǎng)絡(luò)嗅探和監(jiān)聽的最好方式。對特權(quán)訪問通信的數(shù)據(jù)流進行數(shù)據(jù)加密，可有效防范監(jiān)聽和流量還原導(dǎo)致的數(shù)據(jù)泄露情況。例如將文件傳輸FTP協(xié)議更新為SFTP，TELNET更新為SSH，VNC更新為RDP等。

（2）威脅分析和檢測

業(yè)務(wù)系統(tǒng)被特權(quán)訪問后留下的數(shù)據(jù)對業(yè)務(wù)系統(tǒng)穩(wěn)定性、業(yè)務(wù)核心組建的安全影響有多大，是否存在安全威脅？這些問題時刻困擾著管理員和CISO們。由于特權(quán)訪問的強隱秘性，傳統(tǒng)安全檢測手段（例如IDS、網(wǎng)絡(luò)審計或安全沙箱等）難以發(fā)現(xiàn)安全威脅。在傳統(tǒng)安全檢測技術(shù)基礎(chǔ)上增加協(xié)議代理或數(shù)據(jù)擺渡技術(shù)，可以有效解決特權(quán)訪問過程中數(shù)據(jù)威脅分析，提高數(shù)據(jù)安全能力。

在特權(quán)訪問行為全過程中，事前特權(quán)身份識別，形成“一人一角色一賬號”，即自然人屬于一類角色權(quán)限使用一個賬號，防范身份冒用和混用；事中訪問權(quán)限集中管理，依靠“一圖一原則一模式”，即訪問權(quán)限全景圖、“最小權(quán)限”原則和“操作-監(jiān)管”模式，轉(zhuǎn)變權(quán)限管理模式；事后操作行為安全審計，構(gòu)成“一人一操作一記錄”，即任一自然人任一操作行為均有一條記錄，提升事件分析和追溯能力；不斷對運維數(shù)據(jù)保護和威脅分析，杜絕數(shù)據(jù)泄露、發(fā)現(xiàn)安全威脅。使特權(quán)訪問管理由被動變?yōu)橹鲃樱袑嵱行嵘髽I(yè)或組織團體效益。