特权账号管理实施与咨询经验谈

一、 特权账号管理系统实施需要配合问题

1. 好的实施方案必须是深度切合企业现状的

好的实施方案应该从一开始就做详尽的调研和设计，而不是在实施后才慢慢的修修补补。特权账号管理涉及企业历史管理问题、岗位互斥问题、监管要求问题等，只有在做了深度评估和调研后才能设计出最贴合客户需求的实施方案。

2. 安全管控工具无法脱离管理流程而健康运行

一个好的安全工控工具需要融入到企业原来的IT管理机构中，必须配合行之有效的管理措施，才能发挥最大的价值。因此特权账号管理系统的实施应深入了解企业的IT管理架构、岗位职责、管理文化，并设计一套全面完善的特权账号管理实施方案。

二、我们的做法

1. 特权账号管理现状评估：

进行深度的调研和分析，从业务系统现状、运维人员现状、机器设备账号等层面进行调研分析，结合客户面临的监管条例和行业最佳实践，梳理出核心系统的关联关系、运维人员的交叉管理情况和岗位职责互斥情况，机器设备历史遗留账号问题和不符合安全规范的地方，为下一步特权账号技术方案的深化设计提供基础。

本阶段产出物：

《特权账号管理现状评估报告》

《业务系统关联关系图》

《运维人员配备情况与岗位职责》

《系统与设备账号清单》

《监管要求与岗位互斥分析报告》

2. 特权账号管理策略制定：

以上一阶段调研分析的基础材料为依据，对特权账号技术方案进行深化设计，制定特权账号管理策略、特权账号角色功能设计、特权账号审批权限矩阵，细化系统/账号/权限/使用人员/审批人员/部门/岗位/岗位互斥关系之间的关联关系和运转流程，制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定，为特权账号管理系统的策略制定和实施提供依据。

本阶段产出物：

《特权账号管理深化设计方案》

《特权账号角色功能设计》

《特权账号审批权限矩阵》

《账号命名规则与密码策略》

3. 特权账号运维管理规范融合实施：

在客户的SDLC开发流程、运维管理规范、原有的账号申请审批等流程的基础上，融合实施特权账号管理系统运维管理规范。通过对客户现有管理规范的研读，制定出特权账号全生命周期管理的制度文档，涵盖开发\测试\运维\中间件\数据库\服务器等节点运维和审批人员的介入点和具体工作，确保特权账号系统上线后的良好运转。

本阶段产出物：

《特权账号运维管理规范》

《特权账号使用情况审阅规范》

海颐安全 特权账号安全管理系统 xuhaoping@haiyisec.com