大型银行数据中心用户安全管理
2017-03-25
随着信息技术日新月异,银行业务高度信息化并稳步迈入大数据时代。数据中心作为银行信息化、大数据的核心基础,其IT系统庞杂,多则上千,涉及用户过万。面对如此规模的系统,如何安全高效的管理成为了普遍性难题。为破解用户管控难题,不少银行采取增加人手、加大投入、购置各类管控工具等措施,但多因管控分散、主客体管理割裂、自动化程度不高等问题,导致各类探索和尝试总体效果收效甚微、合规管控差强人意,屡屡坠入安全陷阱,制约了银行信息技术进一步跨越式发展。据Verizon(威瑞森电信公司)数据泄露调查报告,全球近十年间发生的数据泄露案件中有19%是由于用户安全管理等内部管理失误造成的,在金融行业中,用户安全管理问题也是数据泄露发生的四大原因之一。
面对海量用户管理压力和安全合规的紧迫性,我们着眼于整合和统一规范跨各种系统类型用户管理,变人工管理为自动管理,提出用户安全管理的集中化、统一化和自动化,构建银行数据中心安全可控的用户管理中心。本文将通过分析当前用户安全管理现状和业内先进实践经验,探索适应大型银行数据中心的用户安全管理模式,阐述用户管理中心建设思路、关鍵技术引入以及实践原则和方法,并对管理实践所取得的收益和成效加以分析。
用户安全管控理念的演进
大型银行用户管理困境
大型银行数据中心用户管理一般分为两大类:一类是对人员用户的管理,即对人员本身的管理;一类是对IT资源用户的管理,即运维人员通过各类资源用户直接访问或操作生产信息系统的底层操作系统、数据库、中间件以及应用程序,此类用户权限高、种类繁多、操作风险大。两类用户在数据中心运行过程中是主客体关系,两者联系紧密,但实际管理中往往相互割裂,管理难以到位。2011年韩国农协银行由于用户权限管理不到位,造成了提现和转账等关键服务瘫痪达3天之久,波及面大,教训深刻。
数据中心用户的安全管控上,业内已经采取了诸多措施,但因缺乏自动化、统一化的管理,成效有限:一是在业务急速扩张背景下,用户数量呈几何级增长,依靠手工管理,运维人员疲于操作、顾此失彼,安全往往被忽视;二是各专业按分工建立的专业性用户管理系统,管理上独立分散不统一,不同类型的系统和设备归不同部门管理,各个专业条线间缺乏横向联系,用户管控缺乏统一规范;三是用户安全合规管控要求大多以人工来实现,由于管理半径长,极易受主观干扰,执行准确率不高,全覆盖难度大。
业界用户安全管理探索
近年来,数据中心的安全管理正从以操作为中心向以用户为中心转变。往常的逐一对活动进行访问控制或设置安全策略的方式效率和成效都欠佳,越来越无法适应当前形势。
在信息化互联浪潮的推动下,借助通信技术领域的的快速发展,电信行业率先进行了用户集中安全管控的探索。电信行业与大型银行相比较具有三个利于先行先试的特点:一是系统类型相对单一,主要以通信交换设备为主,对兼容性要求不高;二是信息系统集中度相对不高,以各省域数据中心为主,集中用户管理规模压力较轻;三是系统可用性要求较金融业相对宽松。在此背景下,集中化用户管理平台的运用既满足了安全要求,对现有信息系统运行现状又不会产生较大的影响。
某电信公司于2011年建设了具有集中管理特点的4A安全管控平台,取得了一定的成效。一是在各省范围建立了集中化的具有授权和审计功能的用户集中管理平台,依托自动化提升用户运维管理效率,对用户使用行为进行有效控制。二是形成了企业统一的用户管理规范,在制度层面对各类用户管理进行标准化。此种以用户为中心的安全管理模式的优势主要体现在三个方面:一是所有运维行为均以用户为载体,管控住了用户就牵住了牛鼻子;二是运维活动发起方为用户,控制用户就意味着控制了源头;三是对用户设置的安全控制措施将有效覆盖所有由此用户产生的活动。
大型银行用户安全管理的优选模式
根据业界先进的用户安全管理实践经验和理念,结合大型银行数据中心安全管理现状,用户的安全管理应做到以下两点:一是在管理意识上,将用户的安全管理置于整个安全管理架构的中心位置(图1);二是在推进实现上,建设具备更高统一性、高效性和可用性用户管理中心。
数据中心在管理、操作和运维业务信息系统过程中,表现形式为各类用户使用,安全控制最终也就是对用户管控。构建用户中心、管理中心、监控中心等三大管控中心是数据中心实现安全管理统一化、自动化和集中化的必由之路。用户管理是人员和信息实体管理的联系纽带和抓手,用户管理中心也就成为三大安全中心建设的前提和重点,是数据中心安全管理的基石。
用户管理中心建设路线图
某大型银行借鉴业界先进理念,从实际出发,建设了用户管理中心(PIM系统),满足了大型银行数据中心用户安全合规需求、整合防控手段、提升管理效率的集中型管理信息系统。系统按照跨平台兼容性、性能优越性、高可用性等技术标准进行前瞻性设计和规划,以适应数据中心未来一体化、智能化管理的发展趋势。
建设目标
建设用户安全管理中心主要目标是构建集中化、统一化、自动化的用户使用和管理全流程的安全控制系统,系统主要分三个控制层面(图2):一是事前控制,对用户的使用采取审批授权控制,针对每个用户单独限制使用期,一次一授权实现权限的最小化;二是事中监控,通过对用户操作行为的实时监控,对高风险操作和违规操作进行告警,以及时发现风险并开展相关处置;三是事后审计,完整记录用户操作行为,通过综合分析和行为数据回顾,发现潜在风险和趋势,以便后续采取措施防患于未然。
为夯实用户使用过程的安全控制基础,形成扎口效应,同时减少人工干预,用户管理中心实现了集中化的用户和用户密码的安全管理:一是用户和用户密码的集中安全保存;二是实现安全合规的用户密码策略,包括密码高复杂度、定期自动更换等。
关键技术引入
用户管控系统搭建了人与资源的交互桥梁,建立了资源用户与使用人员的一一对应关系,解决了以往两者相互割裂的问题,确保了授权的安全精准。该系统重点运用了以下四个方面的技术。
系统实现自身的安全性。关键技术有:一是系统对用户信息等关键数据进行加密存储;二是系统各组件间采用SSL等安全协议进行通信;三是对系统进行安全加固,配置严格的网络访问控制;四是系统本身运维用户也纳入管理,确保用户管理统一性。
系统优良的健壮性。为保证中枢式用户管理中心更高的可用性标准,系统引入了诸多高可用技术(图3):一是针对基于WEB服务的模块采取多个节点集群部署,并通过网络负载均衡设备进行流量分配;二是数据库等关键组件通过共享存储构建双机HA架构;三是功能模块内设计成由多个调度和处理单元构成的应用群集;四是设计了独立于主系统的应急系统,确保在主系统全面不可用情况下用户使用的连续性。
系统良好的兼容适应能力。通过完全解析和模拟用户原操作,实现自动化运行,无需在资源端安装代理插件,有效避免对资源端的影响,最大限度实现跨资源的兼容性;特别是针对主机Z/OS资源,对TN3270协议进行了解析,实现该类资源的接管。同时,系统还采用了应用虚拟化技术,对用户使用过程中涉及的客户端软件进行标准化整体推送,有效避免了繁琐的逐一置备终端环境,进一步增强了系统运用的适应性。
系统自动化处理的实现。针對集中大批量密码修改等用户管理需求,一方面,系统通过设计多线程并发调度组件,自动根据负载进行线程数量调度,实现良好的批量处理能力;另一方面,引入模拟代填技术,通过自动对用户和密码的代填,实现用户登录资源的自动化,不但节省了登录时间、提升了效率,也减少了操作复杂度,降低了操作风险。
模块化架构设计
根据建设目标,用户管理中心技术架构采用模块化设计,主要分为八个逻辑功能单元(图4)。
门户:作为用户管理中心对外提供服务的唯一入口,访问门户是使用和管理人员日常的操作界面。门户集成双因子认证方式,确保具备高安全防护级别。
访问控制:管理中心内部资源管理权、人员管理权、审计监督权三权分立,各类角色权限相互制衡,实现访问控制。
流程管理:通过在线申请、复核及审批等环节的流程化,实现对使用期限和权限的授予、回收等精细化控制。
单点登录:资源使用者在门户一次认证后多次登录访问目标资源,登录过程无需用户密码,实现了一键式的便捷用户登录。
密码管理:自动化管理各类信息系统资源用户的驱动模块,实现用户生命周期管理、密码安全策略管理等功能,自动执行批量密码定期更换等策略。
数据呈现:提供对用户操作行为的实时监控和会话记录检索回放功能,自动生成相关行为审计报表。
操作审计:全程记录各类用户的使用行为,字符型会话以文本方式记录,图形界面会话以录像方式记录,同时还记录管理中心自身操作日志,实现日志记录全覆盖。
数据存储:实现各类管理数据和行为记录的安全存储。
实施原则和管理方法
系统实施遵循以下两个原则:一是分步分阶段原则,采取先试点后推广,先易后难的推进方式,逐步实现与各种生产信息系统资源对接;二是审慎严谨原则,资源纳入系统管理前,制备应急备用用户,在稳定接管后,备用用户一并纳入管理并定期加密导出和物理封存,防止产生因系统不可用致使运维操作无法开展的巨大风险。
用户管理不仅仅是技术系统的部署,管理方法的优化同样重要。一是开展用户分类分级。根据所在业务系统的重要程度以及权限确定级别,不同级别的用户授权和审批流程不同,高等级用户授权审批级别越高,流程越复杂,限制越多。二是重构跨部门跨专业条线的用户管理流程,明确用户使用管理过程中的各自职责,遵循“谁使用谁负责,谁授权谁负责”原则。三是总结和提出用户管理标准和规范,将用户安全标准、管理流程、角色权责等明确固化为制度章程,组织进行宣贯教育,培养意识共识。
用户安全管理实践收效
总体实践状况
某大型银行数据中心经过几年的研究和探索,在用户管理上已初步建成技术平台,已纳入管理的信息系统逾4000台/套,包含大型机、小型机及网络设备等主要信息系统类型,接管用户达2万余个,覆盖系统、网络、运行、应用运维等主要生产运维部门,各项管控流程和措施已稳步运行,生产运维操作中心入口和枢纽基本形成,安全扎口管控成效显著。
管理收益和成效
通过推行用户管理中心模式,实现了跨专业跨平台各类用户的全面集中化、统一化和自动化控制,在行业内用户管理实践上进行了创新性的探索和尝试,也取得了阶段性成果。此模式的顺利推进,使得中心枢纽式用户管理模型得到了实践的检验,为进一步完善和进化积累了经验。
该模式的顺利实施,在安全合规上破解了多项难题:一是密码合规性全覆盖,所有用户密码集中管理,按照高复杂度策略随机生成,这是以往由人工记忆方式管理不可能实现的;二是精细化控制,用户访问使用均经授权审批环节,并严格按照申请期限管理,用户的生效和注销均由平台动态实时控制,精确到秒,杜绝了以往人工管理逾期、滥用等情况;三是行为记录完整,用户所有访问均通过中央门户,一切行为操作均被完整记录,且每条记录均与自然人对应,行为主体清晰可回溯,为后续开展回顾监督提供了数据支撑。
安全与效率本是一对矛盾体,自动化技术的引入实现了双赢,在解决安全问题的同时也提高了劳动效率,将运维人员从日常繁琐的操作中解放出来:一是单点登录技术,一次认证后可多次一键式登录资源,不仅节省操作时间,而且降低了操作风险,经测算时间精简约40%;二是自动化密码技术,使得开放系统资源每用户密码更改时间由原人工操作的平均半分钟缩短至3秒,压缩比达10∶1。
结语
未来,在技术进步的驱动下,用户管理将不断向一体化方向演进。一方面能够在大型银行总分支机构中得到全面推行,实现全局一体化管理;另一方面,在整体IT架构中发挥核心作用,与各安全控制系统集成联动,实现基于用户的安全统一管理平台,将信息资产全生命周期纳入安全管理,全方位提升企业IT基础管理水平。
数据中心用户管理的研究和实践是大型银行在用户管理模式探索道路上所迈出的坚实一步,用户管理是银行业等大型信息化企业的管理基础,在管理就是竞争力、安全即效益的时代,只有运用优秀的技术并结合高效的安全管理方法,才能实现用户管理效率和安全的平衡,提高劳动生产率,降低操作风险,最终实现企业竞争力的稳步提升。
课题组成员:谢以清,岑奭,张煜,张志峰,孙英明
(作者单位:中国农业银行数据中心)