二是 ， 访问权限集中管控 ， 一方面是最小访问权限原则 ， 将访问权限尽可能划分为最小粒度 ， 仅赋予特权访问所需的最小权限集合 ， 统一集中分配特权访问时的权限 ， 形成特权访问权限全景图 ， 清晰描述哪些自然人能够访问哪些业务系统 ， 具备哪些访问权限 ， 尽可能减少特权访问中权限滥用或越权行为发生 。
例如 ， 数影可实现所有平台、所有账号统一管理 ， 在针对特权访问时 ， 其中就有遵循最小访问权限原则 ， 以保护帐号安全、组织数据安全 。
另一方面 ， 则是金库模式 ， 对于访问高价值业务系统和高危级别操作时 ， 应采用实时金库模式进行管控 ， 即配置“操作-监管”的双岗位模式对特权访问进行管理 ， 实行高价值业务系统“一访问一审批” ， 高危级别操作“一操作一审批” ， 并对访问操作过程专人专岗实时管理 。

三是 ， 全程集中安全审计 。 事后事件分析的主要内容是谁在什么时间 ， 什么地点对哪个业务系统进行了什么操作 ， 具备什么权限 ， 进一步可以提升到操作者是谁管理的 ， 谁导入到运维环境中的 ， 事件中的业务系统主管单位或者主管人员是谁 ， 访问权限分配是否合理 ， 访问权限都是由谁分配和审核 ， 经过了哪些调整 。 这些问题都可以通过安全审计的方式完整记录下来 。 事后分析中更重要的是能够完整还原事件的过程 ， 准确评估事件的风险和损失 。
四是 ， 数据加密和威胁分析 ， 一方面是通信协议加密保护 ， 加密数据是解决网络嗅探和监听的最好方式 。 对特权访问通信的数据流进行数据加密 ， 可有效防范监听和流量还原导致的数据泄露情况 。 例如将文件传输FTP协议更新为SFTP ， TELNET更新为SSH ， VNC更新为RDP等等 。

另一方面是威胁分析和检测 ， 业务系统被特权访问后留下的数据是否对业务系统稳定性、业务核心组建的安全影响有多大 ， 是否存在安全威胁？这些问题时刻困扰着管理员和CISO们 。 由于特权访问的强隐秘性 ， 传统安全检测手段（例如IDS ， 网络审计或安全沙箱等）难以发现安全威胁 。 若是在传统安全检测技术基础上增加协议代理或数据摆渡技术可以有效解决特权访问过程中数据威胁分析 ， 提高企业数据安全能力 。

• 南通|“互联网+”赋能制造企业运营管理的四大应用场景
• 马克·扎克伯格|河南省互联网企业10强榜单与河南省互联网企业最具潜力10强榜单
• |如何做个人公众号引流？公众号引流干货推荐
• 华为|别让中小企业再空谈数字化
• 苹果|美芯企业扛不住了，集体“反水”？老美开始失去话语权了
• 中国互联网络信息中心将为100万家中小企业提供国家域名免费注册服务
• 一次性微波消融导管由消融针针头、套管和手柄部分组成。|一次性微波消融导管如何测试刚性韧性流量和泄漏性能？
• ar眼镜|实体经济迎来寒潮，实体商家如何涅槃重生
• meta|如何在Facebook上创建一个自定义受众
• MacBook Pro|苹果为企业客户购买MacBook Pro 提供更多折扣