东方中泰：数据安全领域中特权帐号管理的研讨

　　什么是特权帐号呢?可以狭隘的认为是登录系统的账号，每台主机在第一次开机后需要账号和口令(这个账号的权限最高)的验证才能进入系统。这个最高权限的账号可以再分别设置N多个不同权限的账号。数据机房中的服务器集群也是一样的道理。

　　一台服务器由厂家生产出来到交付给客户，中间会经历N多人员的调试。就会产生N多个可以登录进系统的账号。普通权限的账号在登录进系统后是可以通过一些操作提高权限的。账号是数据安全的底线，80%的安全事故发生在账号泄露这一最后环节。

　　数据安全产业发展至今对此类隐患现有的解决方案是什么呢?现有的数据中心由于服务器数量较多，人和服务器这种多对多的管理方式引申出堡垒机这个产品。所有服务器的账号和口令记录在堡垒机上，并且会强制规定所有的人员使用堡垒机对系统进行维护。

　　堡垒机是怎么运行的呢?堡垒机也叫跳板机，管理人员登录堡垒机后，由堡垒机去连接、操作机房内的电脑，并且堡垒机会对做的操作进行记录。这样管理人员理论上只需要记住自己登录堡垒机的账号就可以了。

　　东方中泰认为：如果有人员知道每台或者某台服务器的账号和口令(比如最早调试服务器的厂家、或者是内部管理人员)不通过堡垒机，直接去服务器上登录并且做一些恶意的操作怎么办?他做的操作我们没办法控制，也没办法记录，这就是对堡垒机的绕行。或者技术手段特别高的黑客攻克了堡垒机，那我所有服务器的账号和口令就都丢失了，要知道所有账号和口令都是存在堡垒机上的。这就是账号口令集中的风险。

　　东方中泰CTO邵学涛邵总之前和一位机房负责运维安全的主管沟通，他管理的机房有三百余台服务器。

　　邵总与客户沟通：您知道这三百多台服务器有多少可以登录进系统的账号吗?

　　客户反馈说：不知道，账号可以一生二、二生四。并且之前有过那么多任主管，那么多厂家人员接触过服务器，原有账号口令通过口口相传会传播，并且高权限的账号还可以再设置新的账号。想想都怕!

　　基于这种安全需求，东方中泰开发了一款针对特权帐号管理的新产品，并且进行了纵向深化。实现了对包括系统特权帐号、网络设备账号、中间件、数据库等多维度的高效、安全管理。

　　东方中泰特权账号管理软件有以下技术特点：

　　东方中泰特权账号管理软件适用于以下应用场景 ：

　　1、 实现IT安全团队厘清管理全网特权账号

　　2、 实现IT运维团队特权账号口令管理

　　3、 特权与普通账号分开管理

　　4、 克服堡垒机口令集中存储的弊端

　　5、 为应用系统提供统一动态口令认证