【經驗分享】本地大型金融機構資安主管分享　PAM方案的7大選擇關鍵

通常大型機構會儲存大量敏感數據，確保這些數據的安全尤其重要，而採用特權賬號存取管理（Privileged Access Management，簡稱 PAM）則是提升整體安全最有效手段之一。wepro180 今次特意找來本地大型金融機構的資訊安全主管 Kelvin Wong，與大家分享選擇 PAM 解決方案時的經驗與心得，並歸納出 7 個要點。

Kelvin表示，去年為公司完成了 IT 基礎設施的整體遷移，並建構了全新的核心系統。過程中，他們選擇了一款新晉的 PAM 產品，不但通過滿足監管要求，更顯著提升了系統的安全性和營運效率，當時主要考慮了以下 7 個重點：

一、產品功能與設計

在PAM產品要求方面，重點是必須夠兼容性、安全性和穩定性。 PAM 產品必須同時照顧 兼容性（Compatibility）、擴充性（Scalability）、可用性（Availability）和資源最佳化（Resource Optimization）。此外，產品除了必須採用國際標準的加密技術，也建議產品需支援符合國家標準的加密協定（如國密加密算法）。

二、操作體驗

我們非常重視操作介面、使用流程以及合規性。所有存取均需通過 PAM 系統，並採用 Least Privilege 原則，不允許顯示密碼，並遵循「用後即改」的原則，以實現一次性密碼管理。此外，按風險導向原則，高權限帳戶（如 Root、administrator）需要經過多層核准才能使用，而且使用時間有嚴格限制，使工作人員的工作效率得以提升之餘，也確保系統安全。

三、快速部署能力

為了配合當時的項目進度，時間成為另一個挑戰。因此在選擇產品時，我們非常關注其自動化部署能力。利用自動化手段，能快速把 PAM 上線以及設定好內部存取控制規則。高端的 PAM 產品應提供了大量 Plug-in 供選擇，使整個部署過程更加高效，且提升兼容性，從而在短時間內實現了真正的 Platform Single Sign-on（PSSO）。

四、符合監管要求

金融行業的系統賬號管控方法和審批流程必須符合監管指引。值得一提的是，負責 PAM 項目的廠商及其實施團隊，對本港金融監管機構的要求非常了解，這節省了我們大量時間。

五、系統升級

產品系統升級所需的時間和資源投入，也是重點考量之一。PAM 是金融機構的關鍵系統，即使是重大系統升級，也應維持在數小時的變更窗口內完成。

六、項目經驗

項目經驗以及對行業標準做法的了解是項目成功的關鍵。管理多種不同設備，以及如何設定和管理系統策略等，都需要依賴廠商及其項目實施團隊的專業經驗。

七、售後本地技術支持

由於 PAM 屬於關鍵安全產品，管理整個機構的所有鑰匙，因此日後的技術支援至關重要。即使擁有優秀的技術產品，也需要可信賴的本地技術實施服務夥伴，以確保用戶得到保障。

未來計畫擴展應用

未來，我們計劃進一步將 PAM 與內部IT資產管理系統、運維自動化平台以及 ITIL 流程結合。同時，希望逐步從運維帳戶管理，擴展到應用程式秘密管理（Machine PAM），以實現 PAM 的終極目標。