特权账号管理系统有别于传统的安全产品,是一个与第三方高度交互的系统,其交付过程存在周期长、涉及部门多、衍生需求多的特点。其建设过程需要客户安全部门、运维部门和开发部门的共同参与,否则交付起来举步维艰。特权账号管理系统的实施应深入了解客户的IT管理架构、岗位职责、管理文化,并设计一套全面完善的特权账号管理实施方案。
在明确项目里程碑和方案之后便真正进入到项目实施阶段。凭借多年特权账号管理项目的实践经验,齐治总结出特权账号管理系统PAM实施需要注意的三个核心问题。
在交付实施过程中,要确保账号、密码、密钥等PAM管理的对象能被正常、正确交付。不同客户这些敏感信息的分布都不一样,有的在机器里,有的在人手里,于是收集信息便成了这个阶段最重要的工作内容。通常情况下,实施团队需要跨部门、走流程才能把第一手的信息采集回来。所以,项目经理要时时刻刻盯着采集进度,及时梳理和反馈进展,出现问题马上处理以免耽误整体项目进度。
账号在完成纳管之后,使用账号密码的人(比如:系统管理员、数据库管理员、第三方代维人员),必须得熟悉新的账号申请和使用流程,甚至包括应急处理流程。因为新的系统上线会或多或少改变现有运维人员的使用习惯,有一些人能接受改变,有一些人不愿接受改变。所以,项目推进困难有时是因为遇到人为阻力。
还有更糟糕的情况:运维人员甚至没听说过要上一套新系统,就被要求配合这项工作,配合那项工作。因此,项目经理需要提前组织和拉通这些跨部门沟通的问题,从而统一思想,要让方案不能只停留在产品和技术层面。管理规范和管理流程最终是需要人来配合执行的,所以不要忽视被管理的人。客户方面最好有高层的支持与推动,有足够的力度推进项目实施,让不愿意改变使用习惯的人员乐于接受一些工作方式上的转变。
在一家金融客户的特权账号管理项目实施过程中,客户与齐治共同设立了一个专门的核心委员会,由客户的高层领导和齐治的项目经理、专家共同组成,负责解决一些策略层面的问题,并且定期审查项目的进度。客户还采取了一些激励措施,让使用者的绩效与新系统的应用有一定程度相关性,这也对项目实施起到了很好的推进作用。
及时的测试和验证,是项目实施过程中非常重要的环节,而且频率越高越好。一方面是因为收集完成之后的账号密码几乎都会出现不全、不准、不正确的问题,按照10%的错误率,验证1000个账号需要处理100个错误账号信息,可能一周就能全部解决,但如果一次性验证10000个账号,需要一次性处理1000个错误账号,可能需要一个月来专门处理,效率降低的同时也会严重影响项目进度。
另一方面也要分阶段去验证新的管理流程是否能跑得通,因为项目最终的目的是去落实新的管理规范,在方案阶段一些细节和效果是看不到的。所以在项目实施阶段做及时的验证也有助于随时发现问题和调整策略,以免最终发现整个方向走偏或走散。
好的实施方案应该从一开始就做详尽的调研和设计,而不是在实施开始后才慢慢地修修补补。特权账号管理涉及企业历史管理问题、岗位互斥问题、监管要求问题等,只有在做了深度评估和调研后才能设计出最贴合客户需求的实施方案。在PAM交付过程中,以上核心问题需要在实施方案制定阶段就提前布局,并在实际交付过程中严格落实。
发表回复