大型銀行資料中心使用者安全管理

大型銀行資料中心it治理課題組

随着資訊技術日新月異，銀行業務高度資訊化并穩步邁入大資料時代。資料中心作為銀行資訊化、大資料的核心基礎，其it系統龐雜，多則上千，涉及使用者過萬。面對如此規模的系統，如何安全高效的管理成為了普遍性難題。為破解使用者管控難題，不少銀行采取增加人手、加大投入、購置各類管控工具等措施，但多因管控分散、主客體管理割裂、自動化程度不高等問題，導緻各類探索和嘗試總體效果收效甚微、合規管控差強人意，屢屢墜入安全陷阱，制約了銀行資訊技術進一步跨越式發展。據verizon（威瑞森電信公司）資料洩露調查報告，全球近十年間發生的資料洩露案件中有19%是由于使用者安全管理等内部管理失誤造成的，在金融行業中，使用者安全管理問題也是資料洩露發生的四大原因之一。

面對海量使用者管理壓力和安全合規的緊迫性，我們着眼于整合和統一規範跨各種系統類型使用者管理，變人工管理為自動管理，提出使用者安全管理的集中化、統一化和自動化，建構銀行資料中心安全可控的使用者管理中心。本文将通過分析目前使用者安全管理現狀和業内先進實踐經驗，探索适應大型銀行資料中心的使用者安全管理模式，闡述使用者管理中心建設思路、關鍵技術引入以及實踐原則和方法，并對管理實踐所取得的收益和成效加以分析。

使用者安全管控理念的演進

大型銀行使用者管理困境

大型銀行資料中心使用者管理一般分為兩大類：一類是對人員使用者的管理，即對人員本身的管理；一類是對it資源使用者的管理，即運維人員通過各類資源使用者直接通路或操作生産資訊系統的底層作業系統、資料庫、中間件以及應用程式，此類使用者權限高、種類繁多、操作風險大。兩類使用者在資料中心運作過程中是主客體關系，兩者聯系緊密，但實際管理中往往互相割裂，管理難以到位。2011年南韓農協銀行由于使用者權限管理不到位，造成了提現和轉賬等關鍵服務癱瘓達3天之久，波及面大，教訓深刻。

資料中心使用者的安全管控上，業内已經采取了諸多措施，但因缺乏自動化、統一化的管理，成效有限：一是在業務急速擴張背景下，使用者數量呈幾何級增長，依靠手工管理，運維人員疲于操作、顧此失彼，安全往往被忽視；二是各專業按分工建立的專業性使用者管理系統，管理上獨立分散不統一，不同類型的系統和裝置歸不同部門管理，各個專業條線間缺乏橫向聯系，使用者管控缺乏統一規範；三是使用者安全合規管控要求大多以人工來實作，由于管理半徑長，極易受主觀幹擾，執行準确率不高，全覆寫難度大。

業界使用者安全管理探索

近年來，資料中心的安全管理正從以操作為中心向以使用者為中心轉變。往常的逐一對活動進行通路控制或設定安全政策的方式效率和成效都欠佳，越來越無法适應目前形勢。

在資訊化互聯浪潮的推動下，借助通信技術領域的的快速發展，電信行業率先進行了使用者集中安全管控的探索。電信行業與大型銀行相比較具有三個利于先行先試的特點：一是系統類型相對單一，主要以通信交換裝置為主，對相容性要求不高；二是資訊系統集中度相對不高，以各省域資料中心為主，集中使用者管理規模壓力較輕；三是系統可用性要求較金融業相對寬松。在此背景下，集中化使用者管理平台的運用既滿足了安全要求，對現有資訊系統運作現狀又不會産生較大的影響。

某電信公司于2011年建設了具有集中管理特點的4a安全管控平台，取得了一定的成效。一是在各省範圍建立了集中化的具有授權和審計功能的使用者集中管理平台，依托自動化提升使用者運維管理效率，對使用者使用行為進行有效控制。二是形成了企業統一的使用者管理規範，在制度層面對各類使用者管理進行标準化。此種以使用者為中心的安全管理模式的優勢主要展現在三個方面：一是所有運維行為均以使用者為載體，管控住了使用者就牽住了牛鼻子；二是運維活動發起方為使用者，控制使用者就意味着控制了源頭；三是對使用者設定的安全控制措施将有效覆寫所有由此使用者産生的活動。

大型銀行使用者安全管理的優選模式

根據業界先進的使用者安全管理實踐經驗和理念，結合大型銀行資料中心安全管理現狀，使用者的安全管理應做到以下兩點：一是在管理意識上，将使用者的安全管理置于整個安全管理架構的中心位置（圖1）；二是在推進實作上，建設具備更高統一性、高效性和可用性使用者管理中心。

資料中心在管理、操作和運維業務資訊系統過程中，表現形式為各類使用者使用，安全控制最終也就是對使用者管控。建構使用者中心、管理中心、監控中心等三大管控中心是資料中心實作安全管理統一化、自動化和集中化的必由之路。使用者管理是人員和資訊實體管理的聯系紐帶和抓手，使用者管理中心也就成為三大安全中心建設的前提和重點，是資料中心安全管理的基石。

使用者管理中心建設路線圖

某大型銀行借鑒業界先進理念，從實際出發，建設了使用者管理中心（pim系統），滿足了大型銀行資料中心使用者安全合規需求、整合防控手段、提升管理效率的集中型管理資訊系統。系統按照跨平台相容性、性能優越性、高可用性等技術标準進行前瞻性設計和規劃，以适應資料中心未來一體化、智能化管理的發展趨勢。

建設目标

建設使用者安全管理中心主要目标是建構集中化、統一化、自動化的使用者使用和管理全流程的安全控制系統，系統主要分三個控制層面（圖2）：一是事前控制，對使用者的使用采取審批授權控制，針對每個使用者單獨限制使用期，一次一授權實作權限的最小化；二是事中監控，通過對使用者操作行為的實時監控，對高風險操作和違規操作進行告警，以及時發現風險并開展相關處置；三是事後審計，完整記錄使用者操作行為，通過綜合分析和行為資料回顧，發現潛在風險和趨勢，以便後續采取措施防患于未然。

為夯實使用者使用過程的安全控制基礎，形成紮口效應，同時減少人工幹預，使用者管理中心實作了集中化的使用者和使用者密碼的安全管理：一是使用者和使用者密碼的集中安全儲存；二是實作安全合規的使用者密碼政策，包括密碼高複雜度、定期自動更換等。

關鍵技術引入

使用者管控系統搭建了人與資源的互動橋梁，建立了資源使用者與使用人員的一一對應關系，解決了以往兩者互相割裂的問題，確定了授權的安全精準。該系統重點運用了以下四個方面的技術。

系統實作自身的安全性。關鍵技術有：一是系統對使用者資訊等關鍵資料進行加密存儲；二是系統各元件間采用ssl等安全協定進行通信；三是對系統進行安全加強，配置嚴格的網絡通路控制；四是系統本身運維使用者也納入管理，確定使用者管理統一性。

系統優良的健壯性。為保證中樞式使用者管理中心更高的可用性标準，系統引入了諸多高可用技術（圖3）：一是針對基于web服務的子產品采取多個節點叢集部署，并通過網絡負載均衡裝置進行流量配置設定；二是資料庫等關鍵元件通過共享存儲建構雙機ha架構；三是功能子產品内設計成由多個排程和處理單元構成的應用群集；四是設計了獨立于主系統的應急系統，確定在主系統全面不可用情況下使用者使用的連續性。

系統良好的相容适應能力。通過完全解析和模拟使用者原操作，實作自動化運作，無需在資源端安裝代理插件，有效避免對資源端的影響，最大限度實作跨資源的相容性；特别是針對主機z/os資源，對tn3270協定進行了解析，實作該類資源的接管。同時，系統還采用了應用虛拟化技術，對使用者使用過程中涉及的用戶端軟體進行标準化整體推送，有效避免了繁瑣的逐一置備終端環境，進一步增強了系統運用的适應性。

系統自動化處理的實作。針對集中大批量密碼修改等使用者管理需求，一方面，系統通過設計多線程并發排程元件，自動根據負載進行線程數量排程，實作良好的批量處理能力；另一方面，引入模拟代填技術，通過自動對使用者和密碼的代填，實作使用者登入資源的自動化，不但節省了登入時間、提升了效率，也減少了操作複雜度，降低了操作風險。

子產品化架構設計

根據建設目标，使用者管理中心技術架構采用子產品化設計，主要分為八個邏輯功能單元（圖4）。

門戶：作為使用者管理中心對外提供服務的唯一入口，通路門戶是使用和管理人員日常的操作界面。門戶內建雙因子認證方式，確定具備高安全防護級别。

通路控制：管理中心内部資源管理權、人員管理權、審計監督權三權分立，各類角色權限互相制衡，實作通路控制。

流程管理：通過線上申請、複核及審批等環節的流程化，實作對使用期限和權限的授予、回收等精細化控制。

單點登入：資源使用者在門戶一次認證後多次登入通路目标資源，登入過程無需使用者密碼，實作了一鍵式的便捷使用者登入。

密碼管理：自動化管理各類資訊系統資源使用者的驅動子產品，實作使用者生命周期管理、密碼安全政策管理等功能，自動執行批量密碼定期更換等政策。

資料呈現：提供對使用者操作行為的實時監控和會話記錄檢索回放功能，自動生成相關行為審計報表。

操作審計：全程記錄各類使用者的使用行為，字元型會話以文本方式記錄，圖形界面會話以錄像方式記錄，同時還記錄管理中心自身記錄檔，實作日志記錄全覆寫。

資料存儲：實作各類管理資料和行為記錄的安全存儲。

實施原則和管理方法

系統實施遵循以下兩個原則：一是分步分階段原則，采取先試點後推廣，先易後難的推進方式，逐漸實作與各種生産資訊系統資源對接；二是審慎嚴謹原則，資源納入系統管理前，制備應急備用使用者，在穩定接管後，備用使用者一并納入管理并定期加密導出和實體封存，防止産生因系統不可用緻使運維操作無法開展的巨大風險。

使用者管理不僅僅是技術系統的部署，管理方法的優化同樣重要。一是開展使用者分類分級。根據所在業務系統的重要程度以及權限确定級别，不同級别的使用者授權和審批流程不同，高等級使用者授權審批級别越高，流程越複雜，限制越多。二是重構跨部門跨專業條線的使用者管理流程，明确使用者使用管理過程中的各自職責，遵循“誰使用誰負責，誰授權誰負責”原則。三是總結和提出使用者管理标準和規範，将使用者安全标準、管理流程、角色權責等明确固化為制度章程，組織進行宣貫教育，培養意識共識。

使用者安全管理實踐收效

總體實踐狀況

某大型銀行資料中心經過幾年的研究和探索，在使用者管理上已初步建成技術平台，已納入管理的資訊系統逾4000台/套，包含大型機、小型機及網絡裝置等主要資訊系統類型，接管使用者達2萬餘個，覆寫系統、網絡、運作、應用運維等主要生産運維部門，各項管控流程和措施已穩步運作，生産運維操作中心入口和樞紐基本形成，安全紮口管控成效顯著。

管理收益和成效

通過推行使用者管理中心模式，實作了跨專業跨平台各類使用者的全面集中化、統一化和自動化控制，在行業内使用者管理實踐上進行了創新性的探索和嘗試，也取得了階段性成果。此模式的順利推進，使得中心樞紐式使用者管理模型得到了實踐的檢驗，為進一步完善和進化積累了經驗。

該模式的順利實施，在安全合規上破解了多項難題：一是密碼合規性全覆寫，所有使用者密碼集中管理，按照高複雜度政策随機生成，這是以往由人工記憶方式管理不可能實作的；二是精細化控制，使用者通路使用均經授權審批環節，并嚴格按照申請期限管理，使用者的生效和登出均由平台動态實時控制，精确到秒，杜絕了以往人工管理逾期、濫用等情況；三是行為記錄完整，使用者所有通路均通過中央門戶，一切行為操作均被完整記錄，且每條記錄均與自然人對應，行為主體清晰可回溯，為後續開展回顧監督提供了資料支撐。

安全與效率本是一對沖突體，自動化技術的引入實作了雙赢，在解決安全問題的同時也提高了勞動效率，将運維人員從日常繁瑣的操作中解放出來：一是單點登入技術，一次認證後可多次一鍵式登入資源，不僅節省操作時間，而且降低了操作風險，經測算時間精簡約40%；二是自動化密碼技術，使得開放系統資源每使用者密碼更改時間由原人工操作的平均半分鐘縮短至3秒，壓縮比達10∶1。

結語

未來，在技術進步的驅動下，使用者管理将不斷向一體化方向演進。一方面能夠在大型銀行總分支機構中得到全面推行，實作全局一體化管理；另一方面，在整體it架構中發揮核心作用，與各安全控制系統內建關聯，實作基于使用者的安全統一管理平台，将資訊資産全生命周期納入安全管理，全方位提升企業it基礎管理水準。

資料中心使用者管理的研究和實踐是大型銀行在使用者管理模式探索道路上所邁出的堅實一步，使用者管理是銀行業等大型資訊化企業的管理基礎，在管理就是競争力、安全即效益的時代，隻有運用優秀的技術并結合高效的安全管理方法，才能實作使用者管理效率和安全的平衡，提高勞動生産率，降低操作風險，最終實作企業競争力的穩步提升。

本文轉自d1net（轉載）