特权账号的五大基面

企业对特权账号管理的第一步就是要知道自己有哪些特权账号：自己各个系统的root账户、自己的应用账号、自己的各类凭证。有一个数据可能会出乎很多人的意料：一个企业的特权账号数量是普通账户数量的3到4倍。显然，知道自己有哪些特权账号远比管理自己的普通账户复杂。

其次，监控特权账户的变化：企业的人员在不断变化，企业的IT环境也在不断变化。企业需要根据人员与IT环境的变化追踪每个特权账号是否依然有必要保留之前的权限。当发生环境变化时，不仅仅要给原有的账号根据其新角色加上新的权限，也要根据新的角色取消原有的权限。另一方面，针对账户的权限变化进行监控，也能防止异常的账号权限变化——比如攻击者将自身的账号进行提权进行进一步攻击的行为。

再次，限制特权账号的权限：安全需要遵守的原则之一是“最小权限原则”——即对人、系统给与的权限只需要满足该实体需要执行自己任务的最低的权限即可。因此，特权账号并不可以被无限制地延伸自己的权限，从特权账号建立的时间开始，就需要对其能进行的权限进行限制。

第四，部署合适的防御方案：了解自己的特权账号是为了管理以及防御。企业需要针对性地部署自己特权账号的安全方案。但是，每家企业的IT环境都会因为自身的业务有所不同，因此企业需要根据自己的需求进行特权账号进行防御的部署，既要保证特权账号的安全，还要保证业务处理的流畅性。

第五，对特权账号使用高信任度认证方式：这是很显然的行为，越高权限的账号需要越安全的认证方式。

尚思特权账号管理系统具有三大管理模块，账号全生命周期管理，风险检测中心，账号领用中心，这三大模块，可以从账号的管理，风险检测和业务支持等各个方面保证用户信息系统中的特权账号受控和安全。