實際上，任何人，如果拿到IT系統(tǒng)的鑰匙，也就是特權(quán)賬號，就能從服務(wù)器到防火墻，到數(shù)據(jù)庫，想拿到的東西、想破壞的東西，全部暢通無阻。

過去，企業(yè)采取了很多信息安全保護(hù)措施，但是黑客的攻擊還是會發(fā)生，甚至每天都在發(fā)生。原因在于，黑客對企業(yè)的特權(quán)賬號更有興趣，因為影響更大，獲利的可能性更高。這導(dǎo)致全球?qū)π畔踩囊笤絹碓礁?，包括中國?/p>

十年前，大家都認(rèn)為密碼管理很簡單，但是這幾年，所有黑客的攻擊都與密碼有關(guān)?！捌髽I(yè)在周邊的信息安全防護(hù)上做了很多工作，但實際上核心的保護(hù)卻并沒有做好，這才讓很多企業(yè)意識到，一個看似簡單的密碼管理，實際上是技術(shù)安全的核心所在?！迸艘嫡f。

特權(quán)賬號管理，從信息安全防護(hù)措施被忽略的一角，進(jìn)入到一片藍(lán)海。

那么，什么是特權(quán)賬號管理？

一臺PC的登錄密碼，可以算個人的特權(quán)賬號。對企業(yè)來說，則要復(fù)雜得多。比如企業(yè)內(nèi)部共用的各種密碼；當(dāng)企業(yè)技術(shù)安全人員要做系統(tǒng)升級，同樣需要系統(tǒng)的特權(quán)賬號，這些特權(quán)賬號是共用的，密碼也是共用的，并且賬戶密碼的權(quán)限一般比較高。

據(jù)介紹，特權(quán)賬號主要分為以下：

一種是系統(tǒng)賬號，如Windows、Linux等；第二種是應(yīng)用軟件賬號，如Oracle，SAP的應(yīng)用軟件，企業(yè)或機(jī)構(gòu)自己研發(fā)的應(yīng)用軟件，每個應(yīng)用軟件也會有特權(quán)賬號；第三種是數(shù)據(jù)中心賬號，很多時候維護(hù)的工作是外包的，他們的維護(hù)工作也需要特權(quán)賬號；再有就是網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)和設(shè)備的管理賬號，如路由器、交換機(jī)，防火墻、防病毒、入侵檢測等等。

對一家企業(yè)尤其是大型企業(yè)來說，以上幾大類的特權(quán)賬號，在數(shù)量上往往與員工人數(shù)形成3-5倍的比例關(guān)系，比如，一家企業(yè)有1000人，那么就可能有5000個特權(quán)賬號需要管理。

這是個什么概念？這意味著，當(dāng)企業(yè)發(fā)展到一定的規(guī)模后，手工管理各種賬號已極其困難。

以CyberArk的一個銀行客戶為例，在沒有采用CyberArk解決方案之前，該銀行有一個專用的密碼保險箱，每個密碼都要裝在信封里，然后放在保險箱里保管。每次需要使用時，就取出信封，用完之后作廢?？梢韵胂筮@種方式的弊端所在。

對大部分企業(yè)來說，當(dāng)沒有專用的軟件來管理特權(quán)賬號時，可能會用一個表格統(tǒng)一記錄，存放在電腦或U盤里。但是，由于企業(yè)的資料、信息都很機(jī)密，況且很多公司要求必須12個數(shù)字無規(guī)律性排列，并且每30天，15天，2天甚至每用一次就要修改，如果用大腦記憶，或者手工管理，是無法做到的。

資料顯示，CyberArk成立于1998年，到今天差不多18年時間，一直從事特權(quán)賬號管理。目前，CyberArk在歐洲、亞太等區(qū)域都設(shè)立了分支機(jī)構(gòu)，2014年公司在美國納斯達(dá)克上市。

對企業(yè)來說，CyberArk的價值主要體現(xiàn)在三個方面：

首先是賬號管理的自動化，比如自動管理與更新，解決大量特權(quán)賬號手動管理的不便；

其次是滿足審計的要求。以上市公司為例，每年要通過相關(guān)的IT審計，其中的重要部分就是技術(shù)安全如特權(quán)賬號的說明，誰在用，什么時候用，用了做什么。

然后是技術(shù)安全的價值，這是核心價值所在。

潘耀康介紹，整個CyberArk平臺有六大模塊，共同組成特權(quán)賬號管理的整體解決方案。從功能的角度，除了提供密碼管理，還可以錄像，當(dāng)用戶登錄進(jìn)入系統(tǒng)，在什么時間做了什么，全程監(jiān)控，最重要的能發(fā)現(xiàn)異常；除此之外，還可以提供應(yīng)用軟件特權(quán)賬號的轉(zhuǎn)換。

“從1998年至今，我們專注于特權(quán)賬戶。所以在這方面，我們是專家?！迸艘当硎尽?/p>

zhoub