從西工大安全事件淺談特權賬號管理系統

去年9月，國家計算機病毒應急處理中心發布《西北工業大學遭美國NSA網絡攻擊事件調查報告（之一）》（以下簡稱“西工大事件報告”），以充分詳實的證據揭示了美國NSA使用41種武器，先后使用了遍布17個國家的54臺跳板機和代理服務器，對我國包括西北工業大學等多個重要數據設施網絡系統進行了長時間的滲透準備和攻擊，嚴重損害了我國網絡安全乃至國家安全。

《西工大事件報告》中詳細闡述了此次事件中NSA的攻擊手段，其中重要的一環是使用網絡嗅探工具，如“飲茶”、“敵后攻擊”系列等，嗅探西北工業大學工作人員運維網絡時使用的賬號口令、命令行操作記錄，竊取西北工業大學網絡內部的敏感信息和運維數據等。當這些賬號口令被輸入和傳輸時，相關數據被這些工具獲取并打包發出，為其后續攻擊提供的線索。

從而可見：對于核心數據資產賬號口令的安全管理，是防范此類攻擊的重要一環。

特權賬號管理系統，采用全新的自主可控的安全架構，對各類數據中心核心數據資產的賬號口令，進行自動化、智能化的安全管理，為數據中心安全防護的閉環管理進行賦能。主要表現在如下方面：

賬號密碼的自動化和智能化的管理，大大減少了運維人員人工輸入賬號密碼的幾率，從而使網絡嗅探工具和鍵盤記錄工具無用武之地；

數據存儲和傳輸采用國密加密手段，從而保證賬號密碼在系統的存儲和傳輸過程中采用國密加密方案，減少了被嗅探的風險；

采用一次一密技術，在數據資產的賬號被領用后，系統對其進行自動改密，從而使得網絡嗅探工具無法獲取的有效的賬號密碼；

自身采用多重身份認證機制，保證了自身的安全，從而減少了破解工具進入到特權賬號管理系統內部的可能。

應對網絡攻擊是個系統工程，特權賬號管理系統對資產賬號的自動化、智能化管理，可以增強用戶數據中心的安全性，是應對網絡攻擊和勒索病毒的有效利器。