為什么需要對特權賬號進行管理

一、政策上合規要求

1.2021年9月1日國家正式實施了《數據安全法》、《關鍵信息基礎設施保護條例》，數據安全法規定了個人身份信息、基礎數據、核心商業數據等重要數據的保護要求，還要求金融機構應當按照分類分級原則，采取相應措施，落實數據安全管理責任和措施。

2.而賬號是進入數據倉庫的鑰匙，當鑰匙管理不當、使用不當，或被別有用心的人利用，會直接影響企業數據和業務的安全性。賬號安全是數據安全至關重要的一環，是不可缺失的一部分，保護賬號安全就是保護數據安全。

3.《信息系統安全等級保護基本要求》中明確提出企業賬號密碼至少每三個月修改一次，并且要滿足復雜度要求。

4.不同行業也出具有關于賬號管理的規范和要求，從國家和行業層面的政策導向性上，特權賬號管理產品具備準確政策導向性。

二、業務需求

對于企業來說就是一把把關系核心資產安全的保險柜鑰匙，現在企業對這些鑰匙的管理存在很多的不足，也存在極大的安全隱患。

當這些鑰匙的數據量達到一定數量級時，管理難度會快速增大，賬號風險也會凸顯。當賬號數量僅有幾十個時，通常靠人工可輕松管理，超過200時，很大程度上就會出現管理盲區，超過1000時，靠人工很難有效管理。這時基本就很難對這些賬號進行改密、掌握賬號的分布情況、使用情況，以及存在哪些弱密碼、僵尸、幽靈賬號。

銀保監在2021年發布了關于外包風險的管理通知《中國銀保監會辦公廳關于印發銀行保險機構信息科技外包風險監管辦法的通知》，2022年8月國家衛生健康委、國家中醫藥局、國家疾控局聯合發布的《醫療衛生機構網絡安全管理辦法》中也提到了加外包開發的安全管理。