大型商业银行基础设施的用户安全管理创新与实践

文丨中国工商银行数据中心安全运营部 陈茜倩 王喆

基础设施的用户安全一直是银行业信息系统稳定运行的重要保障，近年来，随着科技的快速发展，针对用户安全的攻击方式层出不穷，如网络钓鱼、恶意软件、身份盗用、弱密码攻击、社交工程、暴力破解和内部威胁等，基础设施的用户安全面临严峻挑战。2016年，黑客通过远程控制某国央行员工办公客户端，盗取电脑汇总存储的特权账号和证书，并进一步入侵该央行SWIFT系统，使其损失高达8100万美元；2023年，某国金融业巨头宣布，一名网络犯罪分子窃取了该公司一名员工的登录账户，入侵了该公司两家持有客户数据的服务提供商，受影响的客户数量高达1400万人。

本文基于大型商业银行基础设施用户管理真实情况，深入剖析用户管理工作的痛点、难点，探索如何提升用户安全管理水平，以进一步完善信息安全防护体系。

一、银行业基础设施用户管理工作面临的痛点、难点

传统的基础设施用户管理方式需要用户管理人员全程参与，并定期手工修改员工使用的密码，即使优化后的方式是通过批量修改密码的脚本，但人为设定密码有设置偏好或规律性，易被猜测和破解，且密码由管理员掌握，存在内部滥用、越权使用用户账户的风险。此外，由人工发放和回收用户账号密码，存在因超期未回收而导致用户账户滥用的风险。

高效便捷地进行基础设施用户密码的全生命周期管控、实现“知所必须、最小授权”是用户安全管理的核心。近年来，银行业金融科技的数字化转型不断深入，运维智能化、自动化进程不断深化，且伴随着服务器资源入云以及自主化转型的发展，用户安全管理的难度越来越大，主要表现在以下两个方面。

一是随着基础设施资源规模的扩大，用户密码管理难度激增。当前，大型商业银行已逐步开展主机下移平台的改造工作，由开放平台应用架构取代原先的IBM大型主机。与此同时，随着云技术的飞速发展，开放平台资源入云与资源自主化转型工作正如火如荼地开展，基础设施资源类型也更加丰富多样，资源数量呈现爆发式增长态势。2020年之前，工商银行基础设施用户数量为数十万，2022年底用户数量已达数百万。根据相关部门对银行业信息系统安全等级保护的要求，用户管理人员应定期修改基础设施账号和密码。由于用户数量呈数十倍增长，且基础设施资源种类众多，在不改变人员配置的情况下，定期修改基础设施账号的密码是一个极大的挑战。

二是应用交互用户依赖人工配置，导致密码无法上收管理。目前，应用系统大多通过应用程序、脚本工具调用服务器或数据库的用户名和密码来实现系统的自动化运维，这些用户直接被系统调用或专门用于系统与系统之间交互访问(以下通称“机用用户”)。虽然上述方式可显著提升运维工作的便捷性，但也随之引发了一系列潜在的风险问题：一方面，由于应用程序、脚本工具由运维人员手工部署，运维人员掌握高权限密码，增加了内部违规访问及非授权操作的风险；另一方面，因为程序、脚本调用频繁，且缺少一体化管理工具，运维人员可能因顾虑修改密码而造成服务停止，或者因脚本文件分散担心修改时有所遗漏而不修改用户密码，最终导致这些高权限用户的密码长期未被修改，这样不符合用户安全管理要求，存在较大的密码泄露风险。

二、加强基础设施用户密码全生命周期管控的探索与实践

针对基础设施资源数量呈现爆发式增长、资源种类日益复杂多样的情况，传统的手工管理方式已无法满足当前的管理需求。工商银行以用户集中管理系统为抓手，以运维人员无需掌握用户密码以及提升用户运维质效为破题思路，通过自动化运维以及人机分离等手段，有效解决了用户运维工作量大、机用用户需手工配置等管理难点、痛点问题，实现了用户访问控制的全生命周期管理，具体做法如下。

1.运维人员使用账号管控的创新实践

对于运维人员使用账号，运维人员无需知晓密码，而是将所有密码交由系统接管，通过自动化发放权限实现访问控制，降低违规操作和越权访问的风险。此外，系统定期自动修改密码，免除人员单一重复性手工操作，切实减轻人员操作的负担。具体过程分为5个步骤(如图1所示)。

图1 运维人员使用账号管控具体过程

第一步：用户管理系统集中上收所有服务器、数据库、网络设备的用户密码。当有运维需求时，运维人员首先通过权限申请平台申请相应服务器的登录权限。权限申请通过审批后，系统自动将该人员权限集合信息下发至用户集中管理系统。

第二步：运维人员登录用户集中管理系统，即可在“运维角色”中看到下发的临时运维权限，运维权限包含所有已通过申请的目标设备，权限时限为经申请审核的时间窗口。运维人员通过“临时运维角色”对目标设备发起访问请求。

第三步：用户集中管理系统的后端服务器对请求的资产权限合理性、完整性进行检查，检查无误后将资产及对应的用户信息封装为认证票据并缓存至系统内的认证中心，再将票据返回至用户终端。

第四步：用户终端获取票据后调用单点登录控件，同时按照运维人员选择的资源类型启用相应的客户端工具。

第五步：客户端工具连接访问控制服务器，发送票据信息，访问控制服务器接收到票据信息后通过系统认证中心检查票据的合法性，检查无误后，访问控制服务器接收系统认证中心返回的票据解密信息，同时代理连接目标资源，实现登录访问，且全程无需输入密码。

2.机用用户管控的创新实践

机用用户依赖人工配置，容易导致密码无法上收管理的情况，对此，运营团队开拓了人机用户分离管控的新思路，整个流程无需运维人员掌握密码，由系统自动完成应用密码调用。此举切实提升了用户安全性和运维效率，实现了安全与生产的平衡，有效解决了人机用户混用可能引发的机用用户被运维人员非法使用和越权访问业务数据的风险。其实现方式是，增加应用配置管理中心用于存储机用用户与对应应用的关联关系，将用户管理系统和应用程序进行衔接，真正实现应用自动化密码调用，无需人员手工参与。具体过程(如图2所示)如下：应用侧发起机用用户使用请求，包含用户名称、应用名称等参数信息应用；应用配置管理中心根据机用用户使用请求检索到用户管理系统专用密码库中用户密码信息；密码信息加密传输至应用配置管理中心客户端；由应用配置管理中心客户端完成密码解密后写入应用程序配置文件；顺利完成程序调用。

图2 机用用户密码创新性管控具体过程

3.基础设施资源及账号的自动纳管

除了上收基础设施用户密码，确保用户管理范围覆盖完整、尽可能将新增的各类用户第一时间纳入集中管理也是用户管理工作十分重要的环节。针对基础设施资源更新频繁，人员手工纳管消耗人力大、效率低等难点，运营团队依托已有生产资源管理系统，通过系统之间的信息联动，形成用户资源自动化更新和用户集中管控的管理方案，从而提升了用户管控水平，具体过程如图3所示。

图3 基础设施资源及账号自动纳管具体过程

新增服务器后，运维管理人员将新增资源信息及时录入资源配置管理系统中;用户集中管理系统每日自动将资源配置管理系统中设备清单与已纳入用户集中管理系统管控的设备清单进行比对;根据预设的用户管理范围逻辑，去除资源管理系统中下线、退库、非生产环境等资源信息，形成实际需要新增集中纳管的设备清单;用户集中管理系统通过自动化纳管功能，按照清单定时发起用户纳管任务;新增服务器信息自动录入用户集中管理系统，生产用户密码被用户集中管理系统上收。

三、基础设施用户安全管理的成效

1.杜绝内部威胁

通过实施密码全生命周期管控和人机分离方案，可确保运维人员不再掌握任何一类基础设施用户密码。机用用户密码仅由程序调用，运维人员根据用户管理系统授权单点登录目标系统，最终实现科技人员不掌握用户密码也能正常开展运维操作的目标，从而达到生产可用性和安全性的高度平衡。

2.防范外部攻击

基础设施用户密码由用户管理系统接管，并通过技术硬控制手段实现密码复杂度的校验;密码随机生成，不带有人为设置偏好，且定期自动修改;密码设置锁定策略，难以被暴力破解，有效防范了长期滥用密码或设置弱口令导致的被外部攻击的风险，从而显著提升了系统和应用的安全性。

3.提升运维质效

工商银行开放平台操作系统、数据库、网络设备、带外系统类型多达100余个，基础设施用户数量高达数百万，且基础设施资源信息根据业务需求持续频繁变动。新的基础设施用户安全管理方式通过自动化运维，解决了用户密码管理变更耗时长、复杂度高的痛点问题，将运维人员从单一的重复运维操作中解放出来，节省了大量人力成本。同时，运维权限的自动化发放免除了密码发放操作，在降低安全风险的同时，也避免了人工管理授权不及时、回收延误等风险，实现了用户管控质量和效率的共同提升。

未来，随着机器学习、大数据、人工智能等新兴技术的发展，金融机构可在基础设施用户安全管理领域更加积极地应用新技术，比如通过自学习用户使用习惯识别其异常行为、新增带有判断能力的运维工具以提高运维效率等，由事后审查性管理逐步发展为事前预防、事中识别阻断、事后告警，构建进阶型全链路用户安全风险防控体系。

本文刊于《中国金融电脑》2024年第3期

声明：本文来自中国金融电脑+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。