身份安全 | 特權(quán)管控難題之應(yīng)用系統(tǒng)特權(quán)

堡壘機(jī)、特權(quán)賬號(hào)管理系統(tǒng)等主流特權(quán)運(yùn)維安全產(chǎn)品能解決的是運(yùn)維賬號(hào)、特權(quán)賬號(hào)的合規(guī)性授權(quán)、統(tǒng)一入口、安全審計(jì)問(wèn)題。但這里注意的是他們所能管控的運(yùn)維賬號(hào)、特權(quán)賬號(hào)，僅涵蓋了操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等IDC設(shè)備的特權(quán)。

主機(jī)管理員、DBA、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)主管、應(yīng)用系統(tǒng)廠商實(shí)施人員、應(yīng)用系統(tǒng)IT管理員、API接口代碼等等；這里我們能夠借助于堡壘機(jī)、特權(quán)賬號(hào)管理系統(tǒng)等實(shí)現(xiàn)特權(quán)的集中管理、集中授權(quán)發(fā)放及回收、過(guò)程訪問(wèn)控制等從而達(dá)到事前、事中管控的目標(biāo)，但所能管控的同樣有限，僅有主機(jī)管理員、DBA、網(wǎng)絡(luò)管理員。

我們可以借助于特權(quán)賬號(hào)管理系統(tǒng)實(shí)現(xiàn)對(duì)主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等整個(gè)IDC基礎(chǔ)設(shè)施的資源進(jìn)行定期修改密碼、密碼申請(qǐng)、公私鑰生命周期管理，但我們的應(yīng)用系統(tǒng)、API接口中的特權(quán)密碼卻因代碼編碼限制、業(yè)務(wù)管理限制、應(yīng)用系統(tǒng)廠商限制，無(wú)法對(duì)超大權(quán)限的管理賬號(hào)、授權(quán)賬號(hào)做密碼的定期修改。

目前市面上比較成熟的堡壘機(jī)、特權(quán)賬號(hào)管理產(chǎn)品都可以在主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等整個(gè)IDC基礎(chǔ)設(shè)施層面實(shí)現(xiàn)事后全過(guò)程的監(jiān)控視頻審計(jì)。但我們的應(yīng)用系統(tǒng)、API接口中的特權(quán)就僅能憑借應(yīng)用系統(tǒng)本身的日志進(jìn)行事后審計(jì)。

A11.2.2 特權(quán)管理：特殊權(quán)限管理，應(yīng)限制和控制特殊權(quán)限的分配及使用；

A11.5.2 用戶標(biāo)識(shí)：所有用戶應(yīng)有唯一的、專供其個(gè)人使用的標(biāo)識(shí)符（用戶ID）

應(yīng)選擇一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份；

A10.10.1要求組織必須記錄用戶訪問(wèn)、意外和信息安全事件的日志，并保留一定期限，以便安全事件的調(diào)查和取證；

A10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為；

A15.1.3 明確要求必須保護(hù)組織的運(yùn)行記錄；

A15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過(guò)程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。

8.1.4.1 身份鑒別：應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性；

8.1.4.2 訪問(wèn)控制：應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；

8. 1.5. 1 系統(tǒng)管理：應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或

操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)；

8.1.4.3 安全審計(jì)：應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶

行為和重要安全事件進(jìn)行審計(jì)；

8.1.5.2 審計(jì)管理：應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或

操作界面進(jìn)行安全審計(jì)操作，并對(duì)這些操作進(jìn)行審計(jì)；

應(yīng)用系統(tǒng)的出廠內(nèi)置管理員賬號(hào)admin/sysadmin通常并不具備用戶實(shí)名制唯一標(biāo)識(shí)的特質(zhì)，通常是會(huì)被應(yīng)用負(fù)責(zé)人或廠商運(yùn)維人員掌管著賬號(hào)密碼。在使用過(guò)程中由使用者人為輸入賬號(hào)口令進(jìn)行登錄。（如圖1所示）解決的關(guān)鍵借助于一個(gè)特殊的平臺(tái)作為跳板，能讓用戶通過(guò)自己的個(gè)人賬號(hào)進(jìn)行登錄認(rèn)證，成功后再通過(guò)這個(gè)特殊的平臺(tái)訪問(wèn)應(yīng)用系統(tǒng)的特權(quán)，這樣就可以解決實(shí)名制問(wèn)題（如圖2所示）

特權(quán)賬號(hào)在使用過(guò)程中應(yīng)用負(fù)責(zé)人通常會(huì)將賬號(hào)、口令轉(zhuǎn)告知第三人。這么以來(lái)管理員賬號(hào)的密碼就會(huì)不經(jīng)意地傳給第三個(gè)、第四個(gè)...導(dǎo)致特權(quán)賬號(hào)密碼擴(kuò)散的風(fēng)險(xiǎn)，所以我們將通過(guò)密碼定期修改、密碼自動(dòng)代填或基于票據(jù)的方式由中轉(zhuǎn)系統(tǒng)自動(dòng)完成應(yīng)用系統(tǒng)的特權(quán)登錄過(guò)程，避免使用者因登錄需要而知曉密碼。

通常企業(yè)中申請(qǐng)使用特權(quán)賬號(hào)的方式：管理員代為輸入口令、郵件申請(qǐng)、工單申請(qǐng)、微信、釘釘?shù)?。那么這些方式的通病就是授權(quán)的過(guò)程不嚴(yán)謹(jǐn)導(dǎo)致申請(qǐng)記錄無(wú)從查起；授權(quán)之后權(quán)限不能及時(shí)主動(dòng)的收回。為了避免這種情況多數(shù)企業(yè)都會(huì)將所有的權(quán)限相關(guān)與流程工單系統(tǒng)進(jìn)行結(jié)合，如OA、BPM等，用戶通過(guò)流程工單走線上的特權(quán)申請(qǐng)，并備注使用的周期。工單由相關(guān)干系人完成審批后由中轉(zhuǎn)系統(tǒng)自動(dòng)完成自然人（特權(quán)申請(qǐng)人）與應(yīng)用系統(tǒng)特權(quán)的授權(quán)映射過(guò)程。用戶登錄中轉(zhuǎn)系統(tǒng)即可查閱自己的應(yīng)用特權(quán)權(quán)限。最后在特權(quán)申請(qǐng)時(shí)間結(jié)束后中轉(zhuǎn)系統(tǒng)自動(dòng)完成自然人（特權(quán)申請(qǐng)人）與應(yīng)用系統(tǒng)特權(quán)的授權(quán)關(guān)系解除操作，那么用戶也是無(wú)法再次訪問(wèn)特權(quán)賬號(hào)的。