提升特權訪問的4個安全建議

胡立

特權訪問是指具有業務系統特權的人，對業務系統進行配置更改，或者對業務數據訪問操作等行為。將分散、混亂特權訪問現狀進行集中統一管控是有效的解決辦法，實現特權身份和訪問權限進行集中管理，并對訪問行為進行全程實時記錄，為事后安全審計提供有力證據。

1.特權訪問下的安全風險

特權訪問行為可控制組織資源、修改安全策略及訪問大量敏感數據，常常和系統運行維護操作相關，系統運行維護訪問操作是最為典型的特權訪問行為。例如在Linux系統上以Root權限登錄系統修改系統參數、停止核心業務服務或執行系統關機操作；或在交換機上以管理員權限登錄修改交換機路由配置添加訪問白名單，放行外部用戶訪問內部敏感系統和數據等。特權訪問具有隱秘性強、可執行權限高和影響范圍廣的特點。特權訪問常常存在如下的安全風險：

特權身份冒用、濫用；

訪問權限管理混亂；

缺乏有效的安全審計，無法滿足安全監管要求；

數據傳輸泄露和威脅分析能力不足。

2.特權訪問下數據安全建議

將分散、混亂特權訪問現狀進行集中統一管控是有效的解決辦法，實現特權身份和訪問權限進行集中管理，并對訪問行為進行全程實時記錄，為事后安全審計提供有力證據。

建議1：特權身份集中管理

（1）主帳號集中管理

把具有特權身份自然人抽象定義為主帳號，所有可訪問業務系統帳號密碼信息抽象定義為從帳號，將所有主帳號和從帳號統一管理是特權訪問管理的前提。通常采用三權分立原則對主帳號進行管理，可以劃分為特權身份管理員、特權審計員和系統維護員三類角色權限，其中特權身份管理員負責對主帳號新建、編輯、權限分配和注銷等一系列全生命周期管理；特權審計員負責對主帳號操作行為、從帳號使用情況進行審計分析，并對審計結果進行統計報表等；系統維護員負責對特權身份管理系統的配置、更新和維護等。三類權限相互牽制，防范特權權限監管真空區。同時結合雙因素或多因素認證方式對主帳號進行身份鑒別，解決特權身份混用、冒用問題，也為安全事件指證和定則提供可靠依據。并引入身份鑒別防護機制，例如對暴力嘗試破解密碼行為進行鎖定登錄、靜默會話、自動注銷，不能使用重復密碼、帳號和密碼信息加密存儲等安全機制保護主帳號信息。

（2）從帳號集中管理

把所有業務系統抽象定義為目標設備。將目標設備中的所有從帳號進行集中管理形成從帳號分布全景圖，等同于管理好了訪問企業信息資產保險庫的“金鑰匙”?；谌皥D的基礎上管理好“金鑰匙”的分發和使用情況，同時也要做好周期性巡查工作，及時發現企業中未納管的目標設備和從帳號信息。例如通過單點登錄（SSO）技術使主帳號用戶在不知道從帳號密碼的條件下也可訪問業務系統和數據。周期性掃描IDC機房中存活的業務系統，發現從帳號信息。

定期檢查從帳號密碼狀態，及時發現異常情況，保管好“金鑰匙”。例如周期性對從帳號密碼有效性進行驗證，可及時發現從帳號密碼泄露或失竊，發現特權訪問時越權改密操作行為。周期性對從帳號密碼進行改密，使密碼滿足強密碼規范要求，解決從帳號密碼泄露和失竊問題。周期性檢測從帳號狀態，可及時發現非法植入的幽靈（后門）帳號，因員工離職后未及時注銷的孤兒（長期不用的）帳號等異常從帳號情況。對于核心業務系統“金鑰匙”最好能夠改造升級鑒別機制，升級到雙因素認證方式（即支持可知因素和不可知因素的雙因素認證），例如從帳號鑒別通過固定密碼和動態密碼組合方式進行認證，可徹底解決密碼丟失、竊取和周期更新問題。

建議2：訪問權限集中管控

（1）最小訪問權限原則

將訪問權限盡可能劃分為最小粒度，僅賦予特權訪問所需的最小權限集合，統一集中分配特權訪問時的權限，形成特權訪問權限全景圖，清晰描述哪些自然人能夠訪問哪些業務系統，具備哪些訪問權限，盡可能減少特權訪問中權限濫用或越權行為發生。例如數據庫從帳號按查詢和編輯權限劃分為user1和user2兩類帳號，當僅需要查詢操作時分配usr1即可，防范誤刪除數據。也可以按服務器應用特點，將權限劃分為上傳和下載權限來進行管控，例如文件服務器等。

（2）金庫模式

對于訪問高價值業務系統和高危級別操作時，應采用實時金庫模式進行管控，即配置“操作-監管”的雙崗位模式對特權訪問進行管理，實行高價值業務系統“一訪問一審批”，高危級別操作“一操作一審批”，并對訪問操作過程專人專崗實時管理。例如訪問網絡邊界出入口交換機和防火墻時，修改訪問控制配置或重啟設備操作時，都應進行操作審批和確認。

建議3：全程集中安全審計

事后事件分析的主要內容是誰在什么時間、什么地點對哪個業務系統進行了什么操作。具備什么權限，進一步提升到操作者是誰管理的，誰導入到運維環境中的，事件中的業務系統主管單位或主管人員是誰，訪問權限分配是否合理，訪問權限都是由誰分配和審核，經過了哪些調整。這些問題都可以通過安全審計的方式完整記錄下來。事后分析中更重要的是能夠完整還原事件的過程，準確評估事件的風險和損失。

建議4：數據加密和威脅分析

（1）通信協議加密保護

加密數據是解決網絡嗅探和監聽的最好方式。對特權訪問通信的數據流進行數據加密，可有效防范監聽和流量還原導致的數據泄露情況。例如將文件傳輸FTP協議更新為SFTP，TELNET更新為SSH，VNC更新為RDP等。

（2）威脅分析和檢測

業務系統被特權訪問后留下的數據對業務系統穩定性、業務核心組建的安全影響有多大，是否存在安全威脅？這些問題時刻困擾著管理員和CISO們。由于特權訪問的強隱秘性，傳統安全檢測手段（例如IDS、網絡審計或安全沙箱等）難以發現安全威脅。在傳統安全檢測技術基礎上增加協議代理或數據擺渡技術，可以有效解決特權訪問過程中數據威脅分析，提高數據安全能力。

在特權訪問行為全過程中，事前特權身份識別，形成“一人一角色一賬號”，即自然人屬于一類角色權限使用一個賬號，防范身份冒用和混用；事中訪問權限集中管理，依靠“一圖一原則一模式”，即訪問權限全景圖、“最小權限”原則和“操作-監管”模式，轉變權限管理模式；事后操作行為安全審計，構成“一人一操作一記錄”，即任一自然人任一操作行為均有一條記錄，提升事件分析和追溯能力；不斷對運維數據保護和威脅分析，杜絕數據泄露、發現安全威脅。使特權訪問管理由被動變為主動，切實有效提升企業或組織團體效益。