特权访问管理指南（上）

试想一下，如果企业发生数据泄露，泄露哪种账号对企业的身份安全威胁更大，实习生还是 IT 主管？

答案很简单，实习生对企业应用和数据只有部分访问权限，但 IT 主管很有可能是特权账号所有者，可以访问更多数据、配置信息还有其他用户账号没有的“特权”。所以特权账号被盗会给企业带来灾难性的后果。

网络犯罪分子往往会针对这些特权账号，从中获取对敏感数据或系统密钥的访问权限。获取特权账号比直接入侵受保护系统更容易，而且不太引人注目，因为特权账号有权访问目标数据或系统。一旦用户账号权限过多就会出现被攻击的风险。

鉴于特权账号泄露造成的严重影响，企业必须采取额外措施保护账号安全。特权访问管理（PAM）就是其中一种，通过结合各种流程、策略和产品最大限度地减少网络犯罪分子窃取特权账号后的 *** 作权限。 

接下来将介绍特权访问管理的基本概念、相似概念辨析、以及示例。

01 什么是特权访问管理？  

特权访问管理是保护企业特权用户身份的一种方法。特权身份比起普通用户在权限方面具有可扩展性，特权指用户可以进行的所有 *** 作，包括访问 IT 资源、使用 IT 资源时可用的功能，以及针对该资源在底层 *** 作系统运行的命令。

如果熟悉身份和访问管理（IAM），就可以把特权访问管理当作针对特权账号的身份和访问管理。特权访问管理基于最低特权原则，保护具有多种权限的特殊账号。

02 最低特权、特权访问和特权访问管理  

要完全理解特权访问管理的概念，首先必须了解其运行原则：特权访问和最低特权。 

特权访问指其身份可以访问超出“标准”用户账号的任何用户，这类用户有时称为超级用户，可能具有某种类型的管理员权限，或敏感信息的访问权限，例如会计可以查看公司的财务报表，人力资源部门可以查看公司的人事档案。

而最低权限原则是将用户的访问权限控制在尽可能少的应用和账号上，但不限制访问工作所需的资源。

最低权限和特权访问两大原则的结合意味着只有特定账号具有敏感信息访问权限和管理权限，同时所有账号都具有最低限度的访问权限，这也是特权访问管理的主要内容，简单来说就是既要管理特权账号所有者，又要确保所有账号都具有必要的最低特权。 

03 特权访问管理示例

如果还是觉得特权访问管理的概念模糊抽象，可以看一下企业中的一些典型示例。

1）企业内部 IT 管理员账号通常可以访问和管理用户密码、用于远程覆盖以及远程推送软件更新的基础工具等。而根据最低权限原则，管理员账号无法访问与工作没有直接关联的应用和服务器，因此无法查看财务报表或人事档案等敏感信息。所以特权访问管理的一个重要作用就是规定特权账号的访问权限，保护特权账号的访问安全。

2）首席财务官（CFO）的特权账号可以访问公司所有财务文件、报表和服务器。但是最低权限原则又限制了 CFO 无法访问 IT 管理员的资源或市场营销部门的云应用。

3）签约网页设计师等项目合同工可能也有特权账号可以访问公司网站后台。不过，最低权限原则确保他们无法访问仅限特定员工访问的资源或信息。 

从这些示例可以看出，特权用户并不局限于某个高管或某个部门。选定用户才能访问的任何应用或服务器都可以是特权，因此企业必须谨慎设置特权，这也是特权访问管理的基础。