特权账号的管理要求

1、应用系统运维人员应按照本办法的要求对特权账户进行日常安全管理，特权账户的定义见《特权账户定义》；

2、原则上一个特权账号仅由一人掌握和保管，不得多人共用。

3、WEB和数据库平面的超管数量不应大于3个，服务器平面超管数量不得大于1个。

4、特权账户的新增和移交，应经系统运维部门负责人审批。含有大量敏感数据的业务系统的特权账户的新增和移交，应同时经相应业务部门负责人审批，并保留审批记录；

5、新增的临时账号，应在使用完毕后及时删除账号或相应证书。

6、对于服务器和数据库平面，不允许普通用户提权管理员权限的操作，若有需求可申请临时账号；

7、所有特权账号必须使用独立的复杂口令、证书或动态口令。

8、应通过系统防火墙、白名单等功能，限制特权账号的登录 IP 地址，限制访问特权账号登录端口的源IP 地址。

9、使用远程控制软件进行的运维，需在内部安全管理公众号进行报备。远程控制软件按需开启，用后关闭，且不得删除远控软件自身日志记录文件。

原文始发于微信公众号（极道安全）：特权账号的管理要求