一、政策上合规要求
1.2021年9月1日国家正式实施了《数据安全法》、《关键信息基础设施保护条例》,数据安全法规定了个人身份信息、基础数据、核心商业数据等重要数据的保护要求,还要求金融机构应当按照分类分级原则,采取相应措施,落实数据安全管理责任和措施。
2.账号是进入数据仓库的钥匙,当钥匙管理不当、使用不当,或被别有用心的人利用,会直接影响企业数据和业务的安全性。账号安全是数据安全至关重要的一环,是不可缺失的一部分,保护账号安全就是保护数据安全。
3.《信息系统安全等级保护基本要求》中明确提出企业账号密码至少每三个月修改一次,并且要满足复杂度要求。
4.不同行业也出具有关于账号管理的规范和要求,从国家和行业层面的政策导向性上,特权账号管理产品具备准确政策导向性。
二、业务需求
对于企业来说就是一把把关系核心资产安全的保险柜钥匙,现在企业对这些钥匙的管理存在很多的不足,也存在极大的安全隐患。
当这些钥匙的数据量达到一定数量级时,管理难度会快速增大,账号风险也会凸显。当账号数量仅有几十个时,通常靠人工可轻松管理,超过200时,很大程度上就会出现管理盲区,超过1000时,靠人工很难有效管理。这时基本就很难对这些账号进行改密、掌握账号的分布情况、使用情况,以及存在哪些弱密码、僵尸、幽灵账号。
银保监在2021年发布了关于外包风险的管理通知《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》,2022年8月国家卫生健康委、国家中医药局、国家疾控局联合发布的《医疗卫生机构网络安全管理办法》中也提到了加外包开发的安全管理。