胡立

特權(quán)訪問是指具有業(yè)務(wù)系統(tǒng)特權(quán)的人，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行配置更改，或者對(duì)業(yè)務(wù)數(shù)據(jù)訪問操作等行為。將分散、混亂特權(quán)訪問現(xiàn)狀進(jìn)行集中統(tǒng)一管控是有效的解決辦法，實(shí)現(xiàn)特權(quán)身份和訪問權(quán)限進(jìn)行集中管理，并對(duì)訪問行為進(jìn)行全程實(shí)時(shí)記錄，為事后安全審計(jì)提供有力證據(jù)。

1.特權(quán)訪問下的安全風(fēng)險(xiǎn)

特權(quán)訪問行為可控制組織資源、修改安全策略及訪問大量敏感數(shù)據(jù)，常常和系統(tǒng)運(yùn)行維護(hù)操作相關(guān)，系統(tǒng)運(yùn)行維護(hù)訪問操作是最為典型的特權(quán)訪問行為。例如在Linux系統(tǒng)上以Root權(quán)限登錄系統(tǒng)修改系統(tǒng)參數(shù)、停止核心業(yè)務(wù)服務(wù)或執(zhí)行系統(tǒng)關(guān)機(jī)操作；或在交換機(jī)上以管理員權(quán)限登錄修改交換機(jī)路由配置添加訪問白名單，放行外部用戶訪問內(nèi)部敏感系統(tǒng)和數(shù)據(jù)等。特權(quán)訪問具有隱秘性強(qiáng)、可執(zhí)行權(quán)限高和影響范圍廣的特點(diǎn)。特權(quán)訪問常常存在如下的安全風(fēng)險(xiǎn)：

特權(quán)身份冒用、濫用；

訪問權(quán)限管理混亂；

缺乏有效的安全審計(jì)，無法滿足安全監(jiān)管要求；

數(shù)據(jù)傳輸泄露和威脅分析能力不足。

2.特權(quán)訪問下數(shù)據(jù)安全建議

將分散、混亂特權(quán)訪問現(xiàn)狀進(jìn)行集中統(tǒng)一管控是有效的解決辦法，實(shí)現(xiàn)特權(quán)身份和訪問權(quán)限進(jìn)行集中管理，并對(duì)訪問行為進(jìn)行全程實(shí)時(shí)記錄，為事后安全審計(jì)提供有力證據(jù)。

建議1：特權(quán)身份集中管理

（1）主帳號(hào)集中管理

把具有特權(quán)身份自然人抽象定義為主帳號(hào)，所有可訪問業(yè)務(wù)系統(tǒng)帳號(hào)密碼信息抽象定義為從帳號(hào)，將所有主帳號(hào)和從帳號(hào)統(tǒng)一管理是特權(quán)訪問管理的前提。通常采用三權(quán)分立原則對(duì)主帳號(hào)進(jìn)行管理，可以劃分為特權(quán)身份管理員、特權(quán)審計(jì)員和系統(tǒng)維護(hù)員三類角色權(quán)限，其中特權(quán)身份管理員負(fù)責(zé)對(duì)主帳號(hào)新建、編輯、權(quán)限分配和注銷等一系列全生命周期管理；特權(quán)審計(jì)員負(fù)責(zé)對(duì)主帳號(hào)操作行為、從帳號(hào)使用情況進(jìn)行審計(jì)分析，并對(duì)審計(jì)結(jié)果進(jìn)行統(tǒng)計(jì)報(bào)表等；系統(tǒng)維護(hù)員負(fù)責(zé)對(duì)特權(quán)身份管理系統(tǒng)的配置、更新和維護(hù)等。三類權(quán)限相互牽制，防范特權(quán)權(quán)限監(jiān)管真空區(qū)。同時(shí)結(jié)合雙因素或多因素認(rèn)證方式對(duì)主帳號(hào)進(jìn)行身份鑒別，解決特權(quán)身份混用、冒用問題，也為安全事件指證和定則提供可靠依據(jù)。并引入身份鑒別防護(hù)機(jī)制，例如對(duì)暴力嘗試破解密碼行為進(jìn)行鎖定登錄、靜默會(huì)話、自動(dòng)注銷，不能使用重復(fù)密碼、帳號(hào)和密碼信息加密存儲(chǔ)等安全機(jī)制保護(hù)主帳號(hào)信息。

（2）從帳號(hào)集中管理

把所有業(yè)務(wù)系統(tǒng)抽象定義為目標(biāo)設(shè)備。將目標(biāo)設(shè)備中的所有從帳號(hào)進(jìn)行集中管理形成從帳號(hào)分布全景圖，等同于管理好了訪問企業(yè)信息資產(chǎn)保險(xiǎn)庫的“金鑰匙”?；谌皥D的基礎(chǔ)上管理好“金鑰匙”的分發(fā)和使用情況，同時(shí)也要做好周期性巡查工作，及時(shí)發(fā)現(xiàn)企業(yè)中未納管的目標(biāo)設(shè)備和從帳號(hào)信息。例如通過單點(diǎn)登錄（SSO）技術(shù)使主帳號(hào)用戶在不知道從帳號(hào)密碼的條件下也可訪問業(yè)務(wù)系統(tǒng)和數(shù)據(jù)。周期性掃描IDC機(jī)房中存活的業(yè)務(wù)系統(tǒng)，發(fā)現(xiàn)從帳號(hào)信息。

定期檢查從帳號(hào)密碼狀態(tài)，及時(shí)發(fā)現(xiàn)異常情況，保管好“金鑰匙”。例如周期性對(duì)從帳號(hào)密碼有效性進(jìn)行驗(yàn)證，可及時(shí)發(fā)現(xiàn)從帳號(hào)密碼泄露或失竊，發(fā)現(xiàn)特權(quán)訪問時(shí)越權(quán)改密操作行為。周期性對(duì)從帳號(hào)密碼進(jìn)行改密，使密碼滿足強(qiáng)密碼規(guī)范要求，解決從帳號(hào)密碼泄露和失竊問題。周期性檢測從帳號(hào)狀態(tài)，可及時(shí)發(fā)現(xiàn)非法植入的幽靈（后門）帳號(hào)，因員工離職后未及時(shí)注銷的孤兒（長期不用的）帳號(hào)等異常從帳號(hào)情況。對(duì)于核心業(yè)務(wù)系統(tǒng)“金鑰匙”最好能夠改造升級(jí)鑒別機(jī)制，升級(jí)到雙因素認(rèn)證方式（即支持可知因素和不可知因素的雙因素認(rèn)證），例如從帳號(hào)鑒別通過固定密碼和動(dòng)態(tài)密碼組合方式進(jìn)行認(rèn)證，可徹底解決密碼丟失、竊取和周期更新問題。

建議2：訪問權(quán)限集中管控

（1）最小訪問權(quán)限原則

將訪問權(quán)限盡可能劃分為最小粒度，僅賦予特權(quán)訪問所需的最小權(quán)限集合，統(tǒng)一集中分配特權(quán)訪問時(shí)的權(quán)限，形成特權(quán)訪問權(quán)限全景圖，清晰描述哪些自然人能夠訪問哪些業(yè)務(wù)系統(tǒng)，具備哪些訪問權(quán)限，盡可能減少特權(quán)訪問中權(quán)限濫用或越權(quán)行為發(fā)生。例如數(shù)據(jù)庫從帳號(hào)按查詢和編輯權(quán)限劃分為user1和user2兩類帳號(hào)，當(dāng)僅需要查詢操作時(shí)分配usr1即可，防范誤刪除數(shù)據(jù)。也可以按服務(wù)器應(yīng)用特點(diǎn)，將權(quán)限劃分為上傳和下載權(quán)限來進(jìn)行管控，例如文件服務(wù)器等。

（2）金庫模式

對(duì)于訪問高價(jià)值業(yè)務(wù)系統(tǒng)和高危級(jí)別操作時(shí)，應(yīng)采用實(shí)時(shí)金庫模式進(jìn)行管控，即配置“操作-監(jiān)管”的雙崗位模式對(duì)特權(quán)訪問進(jìn)行管理，實(shí)行高價(jià)值業(yè)務(wù)系統(tǒng)“一訪問一審批”，高危級(jí)別操作“一操作一審批”，并對(duì)訪問操作過程專人專崗實(shí)時(shí)管理。例如訪問網(wǎng)絡(luò)邊界出入口交換機(jī)和防火墻時(shí)，修改訪問控制配置或重啟設(shè)備操作時(shí)，都應(yīng)進(jìn)行操作審批和確認(rèn)。

建議3：全程集中安全審計(jì)

事后事件分析的主要內(nèi)容是誰在什么時(shí)間、什么地點(diǎn)對(duì)哪個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了什么操作。具備什么權(quán)限，進(jìn)一步提升到操作者是誰管理的，誰導(dǎo)入到運(yùn)維環(huán)境中的，事件中的業(yè)務(wù)系統(tǒng)主管單位或主管人員是誰，訪問權(quán)限分配是否合理，訪問權(quán)限都是由誰分配和審核，經(jīng)過了哪些調(diào)整。這些問題都可以通過安全審計(jì)的方式完整記錄下來。事后分析中更重要的是能夠完整還原事件的過程，準(zhǔn)確評(píng)估事件的風(fēng)險(xiǎn)和損失。

建議4：數(shù)據(jù)加密和威脅分析

（1）通信協(xié)議加密保護(hù)

加密數(shù)據(jù)是解決網(wǎng)絡(luò)嗅探和監(jiān)聽的最好方式。對(duì)特權(quán)訪問通信的數(shù)據(jù)流進(jìn)行數(shù)據(jù)加密，可有效防范監(jiān)聽和流量還原導(dǎo)致的數(shù)據(jù)泄露情況。例如將文件傳輸FTP協(xié)議更新為SFTP，TELNET更新為SSH，VNC更新為RDP等。

（2）威脅分析和檢測

業(yè)務(wù)系統(tǒng)被特權(quán)訪問后留下的數(shù)據(jù)對(duì)業(yè)務(wù)系統(tǒng)穩(wěn)定性、業(yè)務(wù)核心組建的安全影響有多大，是否存在安全威脅？這些問題時(shí)刻困擾著管理員和CISO們。由于特權(quán)訪問的強(qiáng)隱秘性，傳統(tǒng)安全檢測手段（例如IDS、網(wǎng)絡(luò)審計(jì)或安全沙箱等）難以發(fā)現(xiàn)安全威脅。在傳統(tǒng)安全檢測技術(shù)基礎(chǔ)上增加協(xié)議代理或數(shù)據(jù)擺渡技術(shù)，可以有效解決特權(quán)訪問過程中數(shù)據(jù)威脅分析，提高數(shù)據(jù)安全能力。

在特權(quán)訪問行為全過程中，事前特權(quán)身份識(shí)別，形成“一人一角色一賬號(hào)”，即自然人屬于一類角色權(quán)限使用一個(gè)賬號(hào)，防范身份冒用和混用；事中訪問權(quán)限集中管理，依靠“一圖一原則一模式”，即訪問權(quán)限全景圖、“最小權(quán)限”原則和“操作-監(jiān)管”模式，轉(zhuǎn)變權(quán)限管理模式；事后操作行為安全審計(jì)，構(gòu)成“一人一操作一記錄”，即任一自然人任一操作行為均有一條記錄，提升事件分析和追溯能力；不斷對(duì)運(yùn)維數(shù)據(jù)保護(hù)和威脅分析，杜絕數(shù)據(jù)泄露、發(fā)現(xiàn)安全威脅。使特權(quán)訪問管理由被動(dòng)變?yōu)橹鲃?dòng)，切實(shí)有效提升企業(yè)或組織團(tuán)體效益。