特权账号管理之权限分配原则

对于银行、医疗、金融、政府、电力等行业，普遍存在大量的外包人员，这些外包人员手中往往都掌握有部分资产的账号密码，并且掌握的还都是高权限账号，而外包人员用这些钥匙做什么，往往处于监管之外，也不可控。通俗来讲相当于保险箱的钥匙交给了外人使用，如果这些人因一念之差或者手工操作失误，带来的后果企业可能难以承受。

近年来国家相关部门陆陆续续发布了关于外包风险的管理通知，去年8月国家卫生健康委、国家中医药局、国家疾控局联合发布的《医疗卫生机构网络安全管理办法》中也提到了加外包开发的安全管理。
面向事业单位，医院等把网络运维工作全权交给专门的第三方运维公司，由于第三方运维公司的不确定性因素很多，第一大因素就是运维人员不固定，每个运维人员都有自己的运维习惯，每次运维操作都会新建或篡改账号信息，且运维人员用此账号做了什么、有无越权操作，管理人员一概不知，这将导致单位管理人员无法根据运维人员的权限进行统一管理和划分，核心数据信息泄露的风险隐患时刻存在。

特权账号管理系统将各运维人员的权限按最小粒度划分原则，对无法掌握账号掌握在哪些人手中，用来做了什么，进行了集中管理。此外，统建、统改、统删的全自动化，高效的管理账号，提高账号管理水平；和堡垒机结合使用，方便管理堡垒机上的账号，提高运维的工作效率；定期风险检测，及时发现风险账号，提高风险控制力；符合监管、等级保护的各项要求。