过去很长的一段时间，仅有为数较少的企业对企业特权账户操作进行监控、审查，大部分企业并没意识到特权账户对自身安全所带来的威胁。随着数据安全事件的日益增多，市场对于信息安全有了更深一步的认识。据Gartner报告预测，2018年将会有25%的企业设置特权账户安全管理，对于特权操作进行详细审查跟踪 ，对此，数据泄露事件将会大幅减少33%左右。

如今，企业特权账户范围广、数量大且极不稳定是现在企业面临黑客等攻击势力的最大安全隐患。另外，由于特权账户的存在，一旦其被攻击者破解，就能完全掌控组织的IT基础设施，引发防护控制失效、机密数据泄露、商业诈骗和扰乱企业正常运作的严重后果。据目前对重大安全事故的分析调查，很容易发现，几乎大部分攻击事件都是通过利用盗窃、滥用等手段获取到特权账号凭证而引发的。对此，严格控制特权账号使用，主动保护，调查，回溯网络攻击事件，能够有效避免公司核心系统遭受攻击，敏感资料泄露等事件的发生。

特权账号安全管理的难点

每一个企业的日常运营过程中，企业特权账号和安全凭证(包括密码、SSH密码、API密码、SS L证书)等几乎是无处不在的。从个人可识别客户信息一直到关键的知识产权，这些条件不外乎为攻击者提供了获取企业核心资产最直接的捷径。只要企业稍加不慎，损失便会异常惨重。就特权账户安全管理工作而言，如何识别锁定并妥善保管安全凭证，监控特权账户行为，确保特权账户安全，成为了企业信息防护的首要难点。

1. 特权账户的密码保管。传统的密码记录以文件形式存储在电脑上，这就是一个极大的安全隐患。另外，企业缺乏统一管理的人员，而且多个系统、设备等采用相同密码，安全性低，缺少定期校验机制，可用性低。还有一系列中间件、应用代码中配置静态数据库密码，导致数据密码无法管理或者管理分散，不能全面落实安全基线的要求。

2. 特权账户的权限管理。部分特权账户没有推行最小权限原则，被多人共享，且第三方运维人员更换频繁，账号交接不及时，安全性无法保证。

3. 特权账户操作跟踪记录不清。特权账号存在共享情况，当越权或滥权操作发生时无法实时报警和自动策略阻断，对于安全事件进行分析时，也无法定位具体负责人。

融入DevOps的安全管理

传统研发运维的流程中，安全部署往往是所有环节都就绪之后统一确认的最后一环。随着DevOps的落地，研发节奏加快，安全部署开始越来越跟不上团队的步伐。当速度和安全产生了冲突，势必需要寻求改变。如今的趋势则是选择将安全嵌入到研发和运维体系中，构建健全的安全生命周期管理，广泛应用DevOps，将安全真正嵌入企业IT业务中去。相信，未来，安全机制将会越来越早的在软件开发周期中被引入，同时兼顾速度和安全!