大型商业银行基础设施的用户安全管理创新与实践
文丨中国工商银行数据中心安全运营部 陈茜倩 王喆
基础设施的用户安全一直是银行业信息系统稳定运行的重要保障,近年来,随着科技的快速发展,针对用户安全的攻击方式层出不穷,如网络钓鱼、恶意软件、身份盗用、弱密码攻击、社交工程、暴力破解和内部威胁等,基础设施的用户安全面临严峻挑战。2016年,黑客通过远程控制某国央行员工办公客户端,盗取电脑汇总存储的特权账号和证书,并进一步入侵该央行SWIFT系统,使其损失高达8100万美元;2023年,某国金融业巨头宣布,一名网络犯罪分子窃取了该公司一名员工的登录账户,入侵了该公司两家持有客户数据的服务提供商,受影响的客户数量高达1400万人。
本文基于大型商业银行基础设施用户管理真实情况,深入剖析用户管理工作的痛点、难点,探索如何提升用户安全管理水平,以进一步完善信息安全防护体系。
一、银行业基础设施用户管理工作面临的痛点、难点
传统的基础设施用户管理方式需要用户管理人员全程参与,并定期手工修改员工使用的密码,即使优化后的方式是通过批量修改密码的脚本,但人为设定密码有设置偏好或规律性,易被猜测和破解,且密码由管理员掌握,存在内部滥用、越权使用用户账户的风险。此外,由人工发放和回收用户账号密码,存在因超期未回收而导致用户账户滥用的风险。
高效便捷地进行基础设施用户密码的全生命周期管控、实现“知所必须、最小授权”是用户安全管理的核心。近年来,银行业金融科技的数字化转型不断深入,运维智能化、自动化进程不断深化,且伴随着服务器资源入云以及自主化转型的发展,用户安全管理的难度越来越大,主要表现在以下两个方面。
一是随着基础设施资源规模的扩大,用户密码管理难度激增。当前,大型商业银行已逐步开展主机下移平台的改造工作,由开放平台应用架构取代原先的IBM大型主机。与此同时,随着云技术的飞速发展,开放平台资源入云与资源自主化转型工作正如火如荼地开展,基础设施资源类型也更加丰富多样,资源数量呈现爆发式增长态势。2020年之前,工商银行基础设施用户数量为数十万,2022年底用户数量已达数百万。根据相关部门对银行业信息系统安全等级保护的要求,用户管理人员应定期修改基础设施账号和密码。由于用户数量呈数十倍增长,且基础设施资源种类众多,在不改变人员配置的情况下,定期修改基础设施账号的密码是一个极大的挑战。
二是应用交互用户依赖人工配置,导致密码无法上收管理。目前,应用系统大多通过应用程序、脚本工具调用服务器或数据库的用户名和密码来实现系统的自动化运维,这些用户直接被系统调用或专门用于系统与系统之间交互访问(以下通称“机用用户”)。虽然上述方式可显著提升运维工作的便捷性,但也随之引发了一系列潜在的风险问题:一方面,由于应用程序、脚本工具由运维人员手工部署,运维人员掌握高权限密码,增加了内部违规访问及非授权操作的风险;另一方面,因为程序、脚本调用频繁,且缺少一体化管理工具,运维人员可能因顾虑修改密码而造成服务停止,或者因脚本文件分散担心修改时有所遗漏而不修改用户密码,最终导致这些高权限用户的密码长期未被修改,这样不符合用户安全管理要求,存在较大的密码泄露风险。
二、加强基础设施用户密码全生命周期管控的探索与实践
针对基础设施资源数量呈现爆发式增长、资源种类日益复杂多样的情况,传统的手工管理方式已无法满足当前的管理需求。工商银行以用户集中管理系统为抓手,以运维人员无需掌握用户密码以及提升用户运维质效为破题思路,通过自动化运维以及人机分离等手段,有效解决了用户运维工作量大、机用用户需手工配置等管理难点、痛点问题,实现了用户访问控制的全生命周期管理,具体做法如下。
1.运维人员使用账号管控的创新实践
对于运维人员使用账号,运维人员无需知晓密码,而是将所有密码交由系统接管,通过自动化发放权限实现访问控制,降低违规操作和越权访问的风险。此外,系统定期自动修改密码,免除人员单一重复性手工操作,切实减轻人员操作的负担。具体过程分为5个步骤(如图1所示)。
图1 运维人员使用账号管控具体过程
第一步:用户管理系统集中上收所有服务器、数据库、网络设备的用户密码。当有运维需求时,运维人员首先通过权限申请平台申请相应服务器的登录权限。权限申请通过审批后,系统自动将该人员权限集合信息下发至用户集中管理系统。
第二步:运维人员登录用户集中管理系统,即可在“运维角色”中看到下发的临时运维权限,运维权限包含所有已通过申请的目标设备,权限时限为经申请审核的时间窗口。运维人员通过“临时运维角色”对目标设备发起访问请求。
第三步:用户集中管理系统的后端服务器对请求的资产权限合理性、完整性进行检查,检查无误后将资产及对应的用户信息封装为认证票据并缓存至系统内的认证中心,再将票据返回至用户终端。
第四步:用户终端获取票据后调用单点登录控件,同时按照运维人员选择的资源类型启用相应的客户端工具。
第五步:客户端工具连接访问控制服务器,发送票据信息,访问控制服务器接收到票据信息后通过系统认证中心检查票据的合法性,检查无误后,访问控制服务器接收系统认证中心返回的票据解密信息,同时代理连接目标资源,实现登录访问,且全程无需输入密码。
2.机用用户管控的创新实践
机用用户依赖人工配置,容易导致密码无法上收管理的情况,对此,运营团队开拓了人机用户分离管控的新思路,整个流程无需运维人员掌握密码,由系统自动完成应用密码调用。此举切实提升了用户安全性和运维效率,实现了安全与生产的平衡,有效解决了人机用户混用可能引发的机用用户被运维人员非法使用和越权访问业务数据的风险。其实现方式是,增加应用配置管理中心用于存储机用用户与对应应用的关联关系,将用户管理系统和应用程序进行衔接,真正实现应用自动化密码调用,无需人员手工参与。具体过程(如图2所示)如下:应用侧发起机用用户使用请求,包含用户名称、应用名称等参数信息应用;应用配置管理中心根据机用用户使用请求检索到用户管理系统专用密码库中用户密码信息;密码信息加密传输至应用配置管理中心客户端;由应用配置管理中心客户端完成密码解密后写入应用程序配置文件;顺利完成程序调用。
图2 机用用户密码创新性管控具体过程
3.基础设施资源及账号的自动纳管
除了上收基础设施用户密码,确保用户管理范围覆盖完整、尽可能将新增的各类用户第一时间纳入集中管理也是用户管理工作十分重要的环节。针对基础设施资源更新频繁,人员手工纳管消耗人力大、效率低等难点,运营团队依托已有生产资源管理系统,通过系统之间的信息联动,形成用户资源自动化更新和用户集中管控的管理方案,从而提升了用户管控水平,具体过程如图3所示。
图3 基础设施资源及账号自动纳管具体过程
新增服务器后,运维管理人员将新增资源信息及时录入资源配置管理系统中;用户集中管理系统每日自动将资源配置管理系统中设备清单与已纳入用户集中管理系统管控的设备清单进行比对;根据预设的用户管理范围逻辑,去除资源管理系统中下线、退库、非生产环境等资源信息,形成实际需要新增集中纳管的设备清单;用户集中管理系统通过自动化纳管功能,按照清单定时发起用户纳管任务;新增服务器信息自动录入用户集中管理系统,生产用户密码被用户集中管理系统上收。
三、基础设施用户安全管理的成效
1.杜绝内部威胁
通过实施密码全生命周期管控和人机分离方案,可确保运维人员不再掌握任何一类基础设施用户密码。机用用户密码仅由程序调用,运维人员根据用户管理系统授权单点登录目标系统,最终实现科技人员不掌握用户密码也能正常开展运维操作的目标,从而达到生产可用性和安全性的高度平衡。
2.防范外部攻击
基础设施用户密码由用户管理系统接管,并通过技术硬控制手段实现密码复杂度的校验;密码随机生成,不带有人为设置偏好,且定期自动修改;密码设置锁定策略,难以被暴力破解,有效防范了长期滥用密码或设置弱口令导致的被外部攻击的风险,从而显著提升了系统和应用的安全性。
3.提升运维质效
工商银行开放平台操作系统、数据库、网络设备、带外系统类型多达100余个,基础设施用户数量高达数百万,且基础设施资源信息根据业务需求持续频繁变动。新的基础设施用户安全管理方式通过自动化运维,解决了用户密码管理变更耗时长、复杂度高的痛点问题,将运维人员从单一的重复运维操作中解放出来,节省了大量人力成本。同时,运维权限的自动化发放免除了密码发放操作,在降低安全风险的同时,也避免了人工管理授权不及时、回收延误等风险,实现了用户管控质量和效率的共同提升。
未来,随着机器学习、大数据、人工智能等新兴技术的发展,金融机构可在基础设施用户安全管理领域更加积极地应用新技术,比如通过自学习用户使用习惯识别其异常行为、新增带有判断能力的运维工具以提高运维效率等,由事后审查性管理逐步发展为事前预防、事中识别阻断、事后告警,构建进阶型全链路用户安全风险防控体系。
本文刊于《中国金融电脑》2024年第3期
声明:本文来自中国金融电脑+,版权归作者所有。
相关文章:
大型商业银行基础设施的用户安全管理创新与实践
文丨中国工商银行数据中心安全运营部 陈茜倩 王喆 基础设施的用户安全一直是银行业信息系统稳定运行的重要保障,近年来,随着科技的快速发展,针对用户安全的攻击方式层出不穷,如网络钓鱼、恶意软件、身份盗用、弱密码攻击、社交工程…...
数据库入门-----SQL基础知识
目录 📖前言: 📑SQL概述&&通用语法: 🐳DDL: 🐻操作数据库: 🐞数据类型: 🦉操作表: 🦦DML: 语法规则&#x…...
本地代码第一次提交到远程仓库gitee
1.在gitee新建仓库 2.新建一个空文件夹 打开黑窗口,执行命令 克隆仓库地址 执行命令 git clone https://gitee.com/llncomms/test.git打开隐藏的项目 复制全部内容到需要提交的代码中 3.在提交的代码中执行命令 $ git add .git commit -m 首次提交$ git push提交成功...
蓝桥杯刷题 深度优先搜索-[178]全球变暖(C++)
题目描述 你有一张某海域 NN 像素的照片,”.”表示海洋、”#”表示陆地,如下所示: … .##… .##… …##. …####. …###. … 其中”上下左右”四个方向上连在一起的一片陆地组成一座岛屿,例如上图就有 2 座岛屿。 由于全球变暖…...
C语言-函数指针-快速排序算法(书籍示例-入门)
概述 使用C语言,实现结构体多元素,排序算法(冒泡排序),这里使用示例:书籍示例讲解 函数简介 函数声明 void qsort(void *base, size_t nitems, size_t size, int (*compar)(const void *, const void*)) 参…...
# 计算机视觉入门
## 概述 计算机视觉(Computer Vision)是人工智能的重要分支领域,它关注于如何使计算机“看”懂图像或视频内容,并从中提取有用信息,对视觉数据进行处理和理解。随着深度学习技术的兴起,计算机视觉领域取得…...
React - 你知道useffect函数内如何模拟生命周期吗
难度级别:中级及以上 提问概率:65% 很多前端开发人员习惯了Vue或者React的组件式开发,熟知组件的周期过程包含初始化、挂载完成、修改和卸载等阶段。但是当使用Hooks做业务开发的时候,看见一个个useEffect函数,却显得有些迷茫,因为在us…...
电子元器件批发商的市场营销策略与推广技巧
引言 电子元器件批发商面临激烈的市场竞争,有效的市场营销策略和推广技巧对于提升品牌知名度、吸引客户和促进销售至关重要。本文将探讨电子元器件批发商的市场营销策略与推广技巧,助力企业在竞争激烈的市场中取得成功。 1. 精准定位目标客户 行业细分…...
大型语言模型(LLMs)面试常见问题解析
概述 这篇文章[1]是关于大型语言模型(LLMs)的面试问题和答案,旨在帮助读者准备相关职位的面试。 token? 在大型语言模型中,token 指的是什么? 分词(Tokenization):可以将…...
【接口】HTTP(2) |请求方法及状态码
1、HTTP常用请求方法 get:获取资源或指定的数据 请求指定的页面信息,返回实体主体(查询) post:发送数据给服务器,创建或更新资源 put:创建/替换目标资源 delete:删除资源 get …...
CSS设置网页颜色
目录 前言: 1.颜色名字: 2.十六进制码: 3.RGB: 4.RGBA: 5.HSL: 1.hue: 2.saturation: 3.lightness: 6.HSLA: 前言: 我们在电脑显示器&…...
R语言数据操纵:常用函数
目录 处理循环的函数 lapply函数 apply函数 mapply函数 tapply函数 split函数 排序的函数 sort函数与order函数 总结数据信息的函数 head函数与tail函数 summary函数 str函数 table函数 any函数 all函数 xtab函数 object.size函数 这篇文章主要介绍R语言中处理…...
图论做题笔记:bfs
Leetcode - 433:最小基因变化 题目: 基因序列可以表示为一条由 8 个字符组成的字符串,其中每个字符都是 A、C、G 和 T 之一。 假设我们需要调查从基因序列 start 变为 end 所发生的基因变化。一次基因变化就意味着这个基因序列中的一个字符发生了变化…...
群集服务器与主机托管区别
1、首先什么群集服务器? 通俗的来说,它是指很多台服务器把它们集中在一起来进行同一种服务,而在我们在客户端看,却只能看见一个服务器;集群服务器也可以由很多个的计算机并行去计算,这样可以获得非常高的计算速度;同时也可以用很多个计算机来…...
Linux锁的使用
一、临界资源与临界区 多线程会共享例如全局变量等资源,我们把会被多个执行流访问的资源称为临界资源,我们是通过代码访问临界资源的,而我们访问临界资源的那部分代码称为临界区。 实现一个抢票系统 只有一个线程抢票时 #include <ios…...
go语言学习--2.函数
目录 1.函数分类 2.函数的声明和定义 3.函数传参 4.函数返回值 5.递归调用 为完成某一功能的程序指令(语句)的集合,称为函数。 1.函数分类 在Go语言中,函数是第一类对象,我们可以将函数保持到变量中。函数主要有具名和匿名之分&#x…...
[安卓逆向]常见调试和反调试及解决方案
写在前面 我们在逆向软件时难免会遇到一些反调试策略,这篇文章就来详细总结下,现阶段比较流行的几种反调试策略及解决方案。 特定文件检测 反调试功能: 通过检测文件方式,检测android_server文件是否存在设备中的指定目录/data/l…...
uni-app(H5)论坛 | 社区 表情选择 UI组件
项目源码请移步:bbs 效果 实现思路 表情切换 人物、动物、小黄人不同表情之间的切换实际就是组件的切换 emoji表情 emoji表情本身就是一种字符 如需其他emoji表情可参考 EmojiAll中文官方网站 需要注意的就是数据库的存储格式需要支持emoji表情,我项…...
基于SpringBoot+vue的在线商城系统+论文+免费远程调试
基于SpringBootvue的在线商城系统034(含源码 数据库文档免费送) 开发系统:Windows10 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springb…...
mac中创建的证书提示是无效或者是证书不受信任的解决办法
mac中创建的证书提示是无效或者是证书不受信任的解决办法 原因: (1)可能是由于自己的误删除将Apple worldwide Developer Relatioans Certification Authority删除掉了 (2) 由于签发的认证的证书到期了 (3)其它未知原…...
LangChain Demo | 如何调用stackoverflow并结合ReAct回答代码相关问题
背景 楼主决定提升与LLM交互的质量,之前是直接prompt->answer的范式,现在我希望能用上ReAct策略和能够检索StackOverflow,让同一款LLM发挥出更大的作用。 难点 1. 怎样调用StackOverflow step1 pip install stackspi step 2 from la…...
老子云、AMRT3D、眸瑞科技
老子云概述 老子云3D可视化快速开发平台,集云压缩、云烘焙、云存储云展示于一体,使3D模型资源自动输出至移动端PC端、Web端,能在多设备、全平台进行展示和交互,是全球领先、自主可控的自动化3D云引擎。 平台架构 平台特性 1、基…...
2023.4.7 机器学习周报
目录 引言 Abstract 文献阅读 1、题目 2、引言 3、过去方案和Motivation 4、Segment Anything模型 5、创新点 6、实验过程 7、实验结果 1、评价绩效 2、检测评价 3、跟踪评价 8、 结论 总结 引言 本周阅读了一篇关于高效的任意分割模型的文献,用于自…...
如何将平板或手机作为电脑的外接显示器?
先上官网链接:ExtensoDesk 家里有一台华为平板,自从买回来以后除了看视频外,基本没什么作用,于是想着将其作为我电脑的第二个屏幕,提高我学习办公的效率,废物再次利用。最近了解到华为和小米生态有多屏协同…...
Tuxera NTFS for Mac2023绿色免费版 免费的ntfs for mac 免费读写硬盘U盘工具
Tuxera NTFS 2023 Mac免费版是款适合Mac用户使用的磁盘读写工具。Tuxera NTFS 2023 Mac可以很好的帮助用户在Mac上打开、编辑、复制、移动或删除存储在Windows NTFS格式的USB驱动器上的文件。并且Tuxera NTFS 2023 Mac还可以无阻碍地使用各种文件系统磁盘,还能解决磁…...
使用阿里云试用Elasticsearch学习:3.6 处理人类语言——同义词
词干提取是通过简化他们的词根形式来扩大搜索的范围,同义词 通过相关的观念和概念来扩大搜索范围。 也许没有文档匹配查询 “英国女王“ ,但是包含 “英国君主” 的文档可能会被认为是很好的匹配。 用户搜索 “美国” 并且期望找到包含 美利坚合众国 、…...
018——红外遥控模块驱动开发(基于HS0038和I.MX6uLL)
目录 一、 模块介绍 1.1 简介 1.2 协议 二、 驱动代码 三、 应用代码 四、 实验 五、 程序优化 一、 模块介绍 1.1 简介 红外遥控被广泛应用于家用电器、工业控制和智能仪器系统中,像我们熟知的有电视机盒子遥控器、空调遥控器。红外遥控器系统分为发送端和…...
【学习心得】Python中的queue模块使用
一、Queue模块的知识点思维导图 二、Queue模块常用函数介绍 queue模块是内置的,不需要安装直接导入就可以了。 (1)创建一个Queue对象 import queue# 创建一个队列实例 q queue.Queue(maxsize20) # 可选参数,默认为无限大&am…...
ubuntu-server部署hive-part4-部署hive
参照 https://blog.csdn.net/qq_41946216/article/details/134345137 操作系统版本:ubuntu-server-22.04.3 虚拟机:virtualbox7.0 部署hive 下载上传 下载地址 http://archive.apache.org/dist/hive/ apache-hive-3.1.3-bin.tar.gz 以root用户上传至…...
贪心算法|135.分发糖果
力扣题目链接 class Solution { public:int candy(vector<int>& ratings) {vector<int> candyVec(ratings.size(), 1);// 从前向后for (int i 1; i < ratings.size(); i) {if (ratings[i] > ratings[i - 1]) candyVec[i] candyVec[i - 1] 1;}// 从后…...