从西工大安全事件浅谈特权账号管理系统

去年9月，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》（以下简称“西工大事件报告”），以充分详实的证据揭示了美国NSA使用41种武器，先后使用了遍布17个国家的54台跳板机和代理服务器，对我国包括西北工业大学等多个重要数据设施网络系统进行了长时间的渗透准备和攻击，严重损害了我国网络安全乃至国家安全。

《西工大事件报告》中详细阐述了此次事件中NSA的攻击手段，其中重要的一环是使用网络嗅探工具，如“饮茶”、“敌后攻击”系列等，嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。当这些账号口令被输入和传输时，相关数据被这些工具获取并打包发出，为其后续攻击提供的线索。

从而可见：对于核心数据资产账号口令的安全管理，是防范此类攻击的重要一环。

特权账号管理系统，采用全新的自主可控的安全架构，对各类数据中心核心数据资产的账号口令，进行自动化、智能化的安全管理，为数据中心安全防护的闭环管理进行赋能。主要表现在如下方面：

账号密码的自动化和智能化的管理，大大减少了运维人员人工输入账号密码的几率，从而使网络嗅探工具和键盘记录工具无用武之地；

数据存储和传输采用国密加密手段，从而保证账号密码在系统的存储和传输过程中采用国密加密方案，减少了被嗅探的风险；

采用一次一密技术，在数据资产的账号被领用后，系统对其进行自动改密，从而使得网络嗅探工具无法获取的有效的账号密码；

自身采用多重身份认证机制，保证了自身的安全，从而减少了破解工具进入到特权账号管理系统内部的可能。

应对网络攻击是个系统工程，特权账号管理系统对资产账号的自动化、智能化管理，可以增强用户数据中心的安全性，是应对网络攻击和勒索病毒的有效利器。