五分钟掌握对特权账号管理的原由

弱密码账号的危害高：通常数据中心资产都存在大量的弱密码账号，在护网、攻防演练、甚至黑客入侵中，入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号，根据获取的弱密码账号进行提权、横向渗透。这类账号的危害极高。

改密困难：客户无论从合规性考虑，还是安全性考虑，弱密码账号都非常有必要消除，而消除弱密码的最有效、最直接的办法就是改密，并且按照等保等政策要求，至少要每三个月修改一次且要满足复杂度，当账号少时还可以靠人工。但现阶段企业信息化程度通常都比较高，资产和业务系统多且杂，基本不具备靠人工的来操作的可能性。采用密码分段管理，加强密码的安全存储，历史密码完整留存，且可以应急恢复，全部采用国密存储，安全性更上一层楼。

管理手段落后：在未实施特权账号管理系统时，管理员通常采用文件的方式保存密码，这种人工管理的方式极易出错，同时也容易造成密码泄露。之前有客户就出现过因密码文件被利用而造成的安全事故。

账号清单不掌握：数据中心账号种类繁多、数量庞大，无法清晰查看账号分布情况、汇总信息，以及账号使用情况。使得管理员无法掌握资产账号的分布情况，以及每个账号的状态，从而也无法根据每个账号的情况去制定安全策略。下图是使用PAM后的效果，可以看出账号的分布情况一目了然。

外包风险管控：对于银行、医疗、金融、政府、电力等行业，普遍存在大量的外包人员，这些外包人员手中往往都掌握有部分资产的账号密码，并且掌握的还都是高权限账号，而外包人员用这些钥匙做什么，往往处于监管之外，也不可控。相当于保险箱的钥匙交给了外人使用，如果这些人因一念之差或者手工操作失误，带来的后果企业可能难以承受。