【TechTarget中国原创】重要的考虑因素 
 
　　虽然特权帐户管理工具可以帮助处理棘手的安全问题，但是要真正发挥功效的话还得跟SIM和认证管理系统集成起来。此外，企业应充分利用平台所提供的权限委托能力，以降低最初就分配特权帐户的必要。重要的系统还应从物理上安全加固以帮助降低入侵者绕过逻辑安全控制的风险。

　　安全信息管理  

　　审计特权帐户密码是成功满足标准的必不可少的组成部分。大多数组织希望能够确定谁检查过密码，什么时候检查的。所有的特权帐户管理产品都具备这种能力。此外，大部分产品都可以把审计事件转发给Windows事件日志或syslog采集器。

　　为了获得完全的审计效果，特权帐户管理产品通常需要与安全信息管理（ SIM）工具集成。特权帐户管理产品将如实地记录所有帐户检验事件，但这还不是全部。检验事件需要与随后特权帐户采取的行动关联起来。有些关联操作可能通过Windows事件日志或syslog实现，但通过把特权帐户管理工具与现有的SIM工具集成起来，组织将收到很大的益处。有些情况下，该产品可以与SIM工具直接集成;在其他情况下，则是通过syslog或Windows事件日志实现整合的。

　　身份管理 
 
　　特权帐户管理产品与服务系统的集成带来了两个好处。首先是及时性；服务系统可以实时更新谁可以访问帐户。最好的例证就是管理员雇佣关系终止后，要取消他对敏感系统的访问权限。还有个例子就是当系统管理员的工作职能或地点发生变动时，要取消他对敏感资源的访问权限。另一个好处是更好的安全性；服务系统的角色管理功能可以限制只有经过授权的系统管理员才可以访问到特权帐户。例如，只有在芝加哥的系统管理员才可以访问芝加哥的系统上的帐户。

　　大多数的特权帐户管理产品都与大型身份管理服务系统相集成。有些情况下，在没有正式的互操作性时，基于LDAP的目录服务器可以当作特权帐户管理系统与服务系统之间的渠道。

　　权限委托
 
　　能够把权限委托给实际用户的目标平台可以减少但不能消除对特权帐户管理产品的需求。例如，微软Windows平台可以很好地为普通用户分配权限，而不用分配Administrator帐户。一般情况下， UNIX平台都有权限委托功能，但这也得视具体平台而定。许多组织使用UNIX安全产品来委托特权，从而减少获取root帐号的需要。

　　一些平台，如网络路由器，没有必要的权限委托功能。对这些平台，最好的办法就是使用特权帐户管理工具加上SIM产品。

　　物理安全性  

　　当然，在控制特权时，不要忘了物理安全性。物理安全性几乎总是盖过所有的逻辑控制。确保只有授权人员才能进入目标系统物理上所在的“活动地板” （即数据中心）。在有些情况下，人人都可以进入到数据中心，但不应让他们访问到系统里。这时，可以考虑在数据中心内使用上锁的柜子。

　　可以肯定的是，特权访问控制是各个组织不能忽视的一个问题。没有安全的特权帐户可能意味着审计失败，甚至更糟糕的，发生对业务有破坏性后果的数据安全事故。