文丨中國(guó)工商銀行數(shù)據(jù)中心安全運(yùn)營(yíng)部?陳茜倩 王喆

基礎(chǔ)設(shè)施的用戶安全一直是銀行業(yè)信息系統(tǒng)穩(wěn)定運(yùn)行的重要保障，近年來(lái)，隨著科技的快速發(fā)展，針對(duì)用戶安全的攻擊方式層出不窮，如網(wǎng)絡(luò)釣魚(yú)、惡意軟件、身份盜用、弱密碼攻擊、社交工程、暴力破解和內(nèi)部威脅等，基礎(chǔ)設(shè)施的用戶安全面臨嚴(yán)峻挑戰(zhàn)。2016年，黑客通過(guò)遠(yuǎn)程控制某國(guó)央行員工辦公客戶端，盜取電腦匯總存儲(chǔ)的特權(quán)賬號(hào)和證書(shū)，并進(jìn)一步入侵該央行SWIFT系統(tǒng)，使其損失高達(dá)8100萬(wàn)美元；2023年，某國(guó)金融業(yè)巨頭宣布，一名網(wǎng)絡(luò)犯罪分子竊取了該公司一名員工的登錄賬戶，入侵了該公司兩家持有客戶數(shù)據(jù)的服務(wù)提供商，受影響的客戶數(shù)量高達(dá)1400萬(wàn)人。

本文基于大型商業(yè)銀行基礎(chǔ)設(shè)施用戶管理真實(shí)情況，深入剖析用戶管理工作的痛點(diǎn)、難點(diǎn)，探索如何提升用戶安全管理水平，以進(jìn)一步完善信息安全防護(hù)體系。

一、銀行業(yè)基礎(chǔ)設(shè)施用戶管理工作面臨的痛點(diǎn)、難點(diǎn)

傳統(tǒng)的基礎(chǔ)設(shè)施用戶管理方式需要用戶管理人員全程參與，并定期手工修改員工使用的密碼，即使優(yōu)化后的方式是通過(guò)批量修改密碼的腳本，但人為設(shè)定密碼有設(shè)置偏好或規(guī)律性，易被猜測(cè)和破解，且密碼由管理員掌握，存在內(nèi)部濫用、越權(quán)使用用戶賬戶的風(fēng)險(xiǎn)。此外，由人工發(fā)放和回收用戶賬號(hào)密碼，存在因超期未回收而導(dǎo)致用戶賬戶濫用的風(fēng)險(xiǎn)。

高效便捷地進(jìn)行基礎(chǔ)設(shè)施用戶密碼的全生命周期管控、實(shí)現(xiàn)“知所必須、最小授權(quán)”是用戶安全管理的核心。近年來(lái)，銀行業(yè)金融科技的數(shù)字化轉(zhuǎn)型不斷深入，運(yùn)維智能化、自動(dòng)化進(jìn)程不斷深化，且伴隨著服務(wù)器資源入云以及自主化轉(zhuǎn)型的發(fā)展，用戶安全管理的難度越來(lái)越大，主要表現(xiàn)在以下兩個(gè)方面。

一是隨著基礎(chǔ)設(shè)施資源規(guī)模的擴(kuò)大，用戶密碼管理難度激增。當(dāng)前，大型商業(yè)銀行已逐步開(kāi)展主機(jī)下移平臺(tái)的改造工作，由開(kāi)放平臺(tái)應(yīng)用架構(gòu)取代原先的IBM大型主機(jī)。與此同時(shí)，隨著云技術(shù)的飛速發(fā)展，開(kāi)放平臺(tái)資源入云與資源自主化轉(zhuǎn)型工作正如火如荼地開(kāi)展，基礎(chǔ)設(shè)施資源類型也更加豐富多樣，資源數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng)態(tài)勢(shì)。2020年之前，工商銀行基礎(chǔ)設(shè)施用戶數(shù)量為數(shù)十萬(wàn)，2022年底用戶數(shù)量已達(dá)數(shù)百萬(wàn)。根據(jù)相關(guān)部門(mén)對(duì)銀行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)的要求，用戶管理人員應(yīng)定期修改基礎(chǔ)設(shè)施賬號(hào)和密碼。由于用戶數(shù)量呈數(shù)十倍增長(zhǎng)，且基礎(chǔ)設(shè)施資源種類眾多，在不改變?nèi)藛T配置的情況下，定期修改基礎(chǔ)設(shè)施賬號(hào)的密碼是一個(gè)極大的挑戰(zhàn)。

二是應(yīng)用交互用戶依賴人工配置，導(dǎo)致密碼無(wú)法上收管理。目前，應(yīng)用系統(tǒng)大多通過(guò)應(yīng)用程序、腳本工具調(diào)用服務(wù)器或數(shù)據(jù)庫(kù)的用戶名和密碼來(lái)實(shí)現(xiàn)系統(tǒng)的自動(dòng)化運(yùn)維，這些用戶直接被系統(tǒng)調(diào)用或?qū)ｉT(mén)用于系統(tǒng)與系統(tǒng)之間交互訪問(wèn)(以下通稱“機(jī)用用戶”)。雖然上述方式可顯著提升運(yùn)維工作的便捷性，但也隨之引發(fā)了一系列潛在的風(fēng)險(xiǎn)問(wèn)題：一方面，由于應(yīng)用程序、腳本工具由運(yùn)維人員手工部署，運(yùn)維人員掌握高權(quán)限密碼，增加了內(nèi)部違規(guī)訪問(wèn)及非授權(quán)操作的風(fēng)險(xiǎn)；另一方面，因?yàn)槌绦颉⒛_本調(diào)用頻繁，且缺少一體化管理工具，運(yùn)維人員可能因顧慮修改密碼而造成服務(wù)停止，或者因腳本文件分散擔(dān)心修改時(shí)有所遺漏而不修改用戶密碼，最終導(dǎo)致這些高權(quán)限用戶的密碼長(zhǎng)期未被修改，這樣不符合用戶安全管理要求，存在較大的密碼泄露風(fēng)險(xiǎn)。

二、加強(qiáng)基礎(chǔ)設(shè)施用戶密碼全生命周期管控的探索與實(shí)踐

針對(duì)基礎(chǔ)設(shè)施資源數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng)、資源種類日益復(fù)雜多樣的情況，傳統(tǒng)的手工管理方式已無(wú)法滿足當(dāng)前的管理需求。工商銀行以用戶集中管理系統(tǒng)為抓手，以運(yùn)維人員無(wú)需掌握用戶密碼以及提升用戶運(yùn)維質(zhì)效為破題思路，通過(guò)自動(dòng)化運(yùn)維以及人機(jī)分離等手段，有效解決了用戶運(yùn)維工作量大、機(jī)用用戶需手工配置等管理難點(diǎn)、痛點(diǎn)問(wèn)題，實(shí)現(xiàn)了用戶訪問(wèn)控制的全生命周期管理，具體做法如下。

1.運(yùn)維人員使用賬號(hào)管控的創(chuàng)新實(shí)踐

對(duì)于運(yùn)維人員使用賬號(hào)，運(yùn)維人員無(wú)需知曉密碼，而是將所有密碼交由系統(tǒng)接管，通過(guò)自動(dòng)化發(fā)放權(quán)限實(shí)現(xiàn)訪問(wèn)控制，降低違規(guī)操作和越權(quán)訪問(wèn)的風(fēng)險(xiǎn)。此外，系統(tǒng)定期自動(dòng)修改密碼，免除人員單一重復(fù)性手工操作，切實(shí)減輕人員操作的負(fù)擔(dān)。具體過(guò)程分為5個(gè)步驟(如圖1所示)。

圖1 運(yùn)維人員使用賬號(hào)管控具體過(guò)程

第一步：用戶管理系統(tǒng)集中上收所有服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備的用戶密碼。當(dāng)有運(yùn)維需求時(shí)，運(yùn)維人員首先通過(guò)權(quán)限申請(qǐng)平臺(tái)申請(qǐng)相應(yīng)服務(wù)器的登錄權(quán)限。權(quán)限申請(qǐng)通過(guò)審批后，系統(tǒng)自動(dòng)將該人員權(quán)限集合信息下發(fā)至用戶集中管理系統(tǒng)。

第二步：運(yùn)維人員登錄用戶集中管理系統(tǒng)，即可在“運(yùn)維角色”中看到下發(fā)的臨時(shí)運(yùn)維權(quán)限，運(yùn)維權(quán)限包含所有已通過(guò)申請(qǐng)的目標(biāo)設(shè)備，權(quán)限時(shí)限為經(jīng)申請(qǐng)審核的時(shí)間窗口。運(yùn)維人員通過(guò)“臨時(shí)運(yùn)維角色”對(duì)目標(biāo)設(shè)備發(fā)起訪問(wèn)請(qǐng)求。

第三步：用戶集中管理系統(tǒng)的后端服務(wù)器對(duì)請(qǐng)求的資產(chǎn)權(quán)限合理性、完整性進(jìn)行檢查，檢查無(wú)誤后將資產(chǎn)及對(duì)應(yīng)的用戶信息封裝為認(rèn)證票據(jù)并緩存至系統(tǒng)內(nèi)的認(rèn)證中心，再將票據(jù)返回至用戶終端。

第四步：用戶終端獲取票據(jù)后調(diào)用單點(diǎn)登錄控件，同時(shí)按照運(yùn)維人員選擇的資源類型啟用相應(yīng)的客戶端工具。

第五步：客戶端工具連接訪問(wèn)控制服務(wù)器，發(fā)送票據(jù)信息，訪問(wèn)控制服務(wù)器接收到票據(jù)信息后通過(guò)系統(tǒng)認(rèn)證中心檢查票據(jù)的合法性，檢查無(wú)誤后，訪問(wèn)控制服務(wù)器接收系統(tǒng)認(rèn)證中心返回的票據(jù)解密信息，同時(shí)代理連接目標(biāo)資源，實(shí)現(xiàn)登錄訪問(wèn)，且全程無(wú)需輸入密碼。

2.機(jī)用用戶管控的創(chuàng)新實(shí)踐

機(jī)用用戶依賴人工配置，容易導(dǎo)致密碼無(wú)法上收管理的情況，對(duì)此，運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)拓了人機(jī)用戶分離管控的新思路，整個(gè)流程無(wú)需運(yùn)維人員掌握密碼，由系統(tǒng)自動(dòng)完成應(yīng)用密碼調(diào)用。此舉切實(shí)提升了用戶安全性和運(yùn)維效率，實(shí)現(xiàn)了安全與生產(chǎn)的平衡，有效解決了人機(jī)用戶混用可能引發(fā)的機(jī)用用戶被運(yùn)維人員非法使用和越權(quán)訪問(wèn)業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)。其實(shí)現(xiàn)方式是，增加應(yīng)用配置管理中心用于存儲(chǔ)機(jī)用用戶與對(duì)應(yīng)應(yīng)用的關(guān)聯(lián)關(guān)系，將用戶管理系統(tǒng)和應(yīng)用程序進(jìn)行銜接，真正實(shí)現(xiàn)應(yīng)用自動(dòng)化密碼調(diào)用，無(wú)需人員手工參與。具體過(guò)程(如圖2所示)如下：應(yīng)用側(cè)發(fā)起機(jī)用用戶使用請(qǐng)求，包含用戶名稱、應(yīng)用名稱等參數(shù)信息應(yīng)用；應(yīng)用配置管理中心根據(jù)機(jī)用用戶使用請(qǐng)求檢索到用戶管理系統(tǒng)專用密碼庫(kù)中用戶密碼信息；密碼信息加密傳輸至應(yīng)用配置管理中心客戶端；由應(yīng)用配置管理中心客戶端完成密碼解密后寫(xiě)入應(yīng)用程序配置文件；順利完成程序調(diào)用。

圖2 機(jī)用用戶密碼創(chuàng)新性管控具體過(guò)程

3.基礎(chǔ)設(shè)施資源及賬號(hào)的自動(dòng)納管

除了上收基礎(chǔ)設(shè)施用戶密碼，確保用戶管理范圍覆蓋完整、盡可能將新增的各類用戶第一時(shí)間納入集中管理也是用戶管理工作十分重要的環(huán)節(jié)。針對(duì)基礎(chǔ)設(shè)施資源更新頻繁，人員手工納管消耗人力大、效率低等難點(diǎn)，運(yùn)營(yíng)團(tuán)隊(duì)依托已有生產(chǎn)資源管理系統(tǒng)，通過(guò)系統(tǒng)之間的信息聯(lián)動(dòng)，形成用戶資源自動(dòng)化更新和用戶集中管控的管理方案，從而提升了用戶管控水平，具體過(guò)程如圖3所示。

圖3 基礎(chǔ)設(shè)施資源及賬號(hào)自動(dòng)納管具體過(guò)程

新增服務(wù)器后，運(yùn)維管理人員將新增資源信息及時(shí)錄入資源配置管理系統(tǒng)中;用戶集中管理系統(tǒng)每日自動(dòng)將資源配置管理系統(tǒng)中設(shè)備清單與已納入用戶集中管理系統(tǒng)管控的設(shè)備清單進(jìn)行比對(duì);根據(jù)預(yù)設(shè)的用戶管理范圍邏輯，去除資源管理系統(tǒng)中下線、退庫(kù)、非生產(chǎn)環(huán)境等資源信息，形成實(shí)際需要新增集中納管的設(shè)備清單;用戶集中管理系統(tǒng)通過(guò)自動(dòng)化納管功能，按照清單定時(shí)發(fā)起用戶納管任務(wù);新增服務(wù)器信息自動(dòng)錄入用戶集中管理系統(tǒng)，生產(chǎn)用戶密碼被用戶集中管理系統(tǒng)上收。

三、基礎(chǔ)設(shè)施用戶安全管理的成效

1.杜絕內(nèi)部威脅

通過(guò)實(shí)施密碼全生命周期管控和人機(jī)分離方案，可確保運(yùn)維人員不再掌握任何一類基礎(chǔ)設(shè)施用戶密碼。機(jī)用用戶密碼僅由程序調(diào)用，運(yùn)維人員根據(jù)用戶管理系統(tǒng)授權(quán)單點(diǎn)登錄目標(biāo)系統(tǒng)，最終實(shí)現(xiàn)科技人員不掌握用戶密碼也能正常開(kāi)展運(yùn)維操作的目標(biāo)，從而達(dá)到生產(chǎn)可用性和安全性的高度平衡。

2.防范外部攻擊

基礎(chǔ)設(shè)施用戶密碼由用戶管理系統(tǒng)接管，并通過(guò)技術(shù)硬控制手段實(shí)現(xiàn)密碼復(fù)雜度的校驗(yàn);密碼隨機(jī)生成，不帶有人為設(shè)置偏好，且定期自動(dòng)修改;密碼設(shè)置鎖定策略，難以被暴力破解，有效防范了長(zhǎng)期濫用密碼或設(shè)置弱口令導(dǎo)致的被外部攻擊的風(fēng)險(xiǎn)，從而顯著提升了系統(tǒng)和應(yīng)用的安全性。

3.提升運(yùn)維質(zhì)效

工商銀行開(kāi)放平臺(tái)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、帶外系統(tǒng)類型多達(dá)100余個(gè)，基礎(chǔ)設(shè)施用戶數(shù)量高達(dá)數(shù)百萬(wàn)，且基礎(chǔ)設(shè)施資源信息根據(jù)業(yè)務(wù)需求持續(xù)頻繁變動(dòng)。新的基礎(chǔ)設(shè)施用戶安全管理方式通過(guò)自動(dòng)化運(yùn)維，解決了用戶密碼管理變更耗時(shí)長(zhǎng)、復(fù)雜度高的痛點(diǎn)問(wèn)題，將運(yùn)維人員從單一的重復(fù)運(yùn)維操作中解放出來(lái)，節(jié)省了大量人力成本。同時(shí)，運(yùn)維權(quán)限的自動(dòng)化發(fā)放免除了密碼發(fā)放操作，在降低安全風(fēng)險(xiǎn)的同時(shí)，也避免了人工管理授權(quán)不及時(shí)、回收延誤等風(fēng)險(xiǎn)，實(shí)現(xiàn)了用戶管控質(zhì)量和效率的共同提升。

未來(lái)，隨著機(jī)器學(xué)習(xí)、大數(shù)據(jù)、人工智能等新興技術(shù)的發(fā)展，金融機(jī)構(gòu)可在基礎(chǔ)設(shè)施用戶安全管理領(lǐng)域更加積極地應(yīng)用新技術(shù)，比如通過(guò)自學(xué)習(xí)用戶使用習(xí)慣識(shí)別其異常行為、新增帶有判斷能力的運(yùn)維工具以提高運(yùn)維效率等，由事后審查性管理逐步發(fā)展為事前預(yù)防、事中識(shí)別阻斷、事后告警，構(gòu)建進(jìn)階型全鏈路用戶安全風(fēng)險(xiǎn)防控體系。

本文刊于《中國(guó)金融電腦》2024年第3期

聲明：本文來(lái)自中國(guó)金融電腦+，版權(quán)歸作者所有。