大型商业银行基础设施的用户安全管理创新与实践
文丨中国工商银行数据中心安全运营部 陈茜倩 王喆
基础设施的用户安全一直是银行业信息系统稳定运行的重要保障,近年来,随着科技的快速发展,针对用户安全的攻击方式层出不穷,如网络钓鱼、恶意软件、身份盗用、弱密码攻击、社交工程、暴力破解和内部威胁等,基础设施的用户安全面临严峻挑战。2016年,黑客通过远程控制某国央行员工办公客户端,盗取电脑汇总存储的特权账号和证书,并进一步入侵该央行SWIFT系统,使其损失高达8100万美元;2023年,某国金融业巨头宣布,一名网络犯罪分子窃取了该公司一名员工的登录账户,入侵了该公司两家持有客户数据的服务提供商,受影响的客户数量高达1400万人。
本文基于大型商业银行基础设施用户管理真实情况,深入剖析用户管理工作的痛点、难点,探索如何提升用户安全管理水平,以进一步完善信息安全防护体系。
一、银行业基础设施用户管理工作面临的痛点、难点
传统的基础设施用户管理方式需要用户管理人员全程参与,并定期手工修改员工使用的密码,即使优化后的方式是通过批量修改密码的脚本,但人为设定密码有设置偏好或规律性,易被猜测和破解,且密码由管理员掌握,存在内部滥用、越权使用用户账户的风险。此外,由人工发放和回收用户账号密码,存在因超期未回收而导致用户账户滥用的风险。
高效便捷地进行基础设施用户密码的全生命周期管控、实现“知所必须、最小授权”是用户安全管理的核心。近年来,银行业金融科技的数字化转型不断深入,运维智能化、自动化进程不断深化,且伴随着服务器资源入云以及自主化转型的发展,用户安全管理的难度越来越大,主要表现在以下两个方面。
一是随着基础设施资源规模的扩大,用户密码管理难度激增。当前,大型商业银行已逐步开展主机下移平台的改造工作,由开放平台应用架构取代原先的IBM大型主机。与此同时,随着云技术的飞速发展,开放平台资源入云与资源自主化转型工作正如火如荼地开展,基础设施资源类型也更加丰富多样,资源数量呈现爆发式增长态势。2020年之前,工商银行基础设施用户数量为数十万,2022年底用户数量已达数百万。根据相关部门对银行业信息系统安全等级保护的要求,用户管理人员应定期修改基础设施账号和密码。由于用户数量呈数十倍增长,且基础设施资源种类众多,在不改变人员配置的情况下,定期修改基础设施账号的密码是一个极大的挑战。
二是应用交互用户依赖人工配置,导致密码无法上收管理。目前,应用系统大多通过应用程序、脚本工具调用服务器或数据库的用户名和密码来实现系统的自动化运维,这些用户直接被系统调用或专门用于系统与系统之间交互访问(以下通称“机用用户”)。虽然上述方式可显著提升运维工作的便捷性,但也随之引发了一系列潜在的风险问题:一方面,由于应用程序、脚本工具由运维人员手工部署,运维人员掌握高权限密码,增加了内部违规访问及非授权操作的风险;另一方面,因为程序、脚本调用频繁,且缺少一体化管理工具,运维人员可能因顾虑修改密码而造成服务停止,或者因脚本文件分散担心修改时有所遗漏而不修改用户密码,最终导致这些高权限用户的密码长期未被修改,这样不符合用户安全管理要求,存在较大的密码泄露风险。
二、加强基础设施用户密码全生命周期管控的探索与实践
针对基础设施资源数量呈现爆发式增长、资源种类日益复杂多样的情况,传统的手工管理方式已无法满足当前的管理需求。工商银行以用户集中管理系统为抓手,以运维人员无需掌握用户密码以及提升用户运维质效为破题思路,通过自动化运维以及人机分离等手段,有效解决了用户运维工作量大、机用用户需手工配置等管理难点、痛点问题,实现了用户访问控制的全生命周期管理,具体做法如下。
1.运维人员使用账号管控的创新实践
对于运维人员使用账号,运维人员无需知晓密码,而是将所有密码交由系统接管,通过自动化发放权限实现访问控制,降低违规操作和越权访问的风险。此外,系统定期自动修改密码,免除人员单一重复性手工操作,切实减轻人员操作的负担。具体过程分为5个步骤(如图1所示)。
图1 运维人员使用账号管控具体过程
第一步:用户管理系统集中上收所有服务器、数据库、网络设备的用户密码。当有运维需求时,运维人员首先通过权限申请平台申请相应服务器的登录权限。权限申请通过审批后,系统自动将该人员权限集合信息下发至用户集中管理系统。
第二步:运维人员登录用户集中管理系统,即可在“运维角色”中看到下发的临时运维权限,运维权限包含所有已通过申请的目标设备,权限时限为经申请审核的时间窗口。运维人员通过“临时运维角色”对目标设备发起访问请求。
第三步:用户集中管理系统的后端服务器对请求的资产权限合理性、完整性进行检查,检查无误后将资产及对应的用户信息封装为认证票据并缓存至系统内的认证中心,再将票据返回至用户终端。
第四步:用户终端获取票据后调用单点登录控件,同时按照运维人员选择的资源类型启用相应的客户端工具。
第五步:客户端工具连接访问控制服务器,发送票据信息,访问控制服务器接收到票据信息后通过系统认证中心检查票据的合法性,检查无误后,访问控制服务器接收系统认证中心返回的票据解密信息,同时代理连接目标资源,实现登录访问,且全程无需输入密码。
2.机用用户管控的创新实践
机用用户依赖人工配置,容易导致密码无法上收管理的情况,对此,运营团队开拓了人机用户分离管控的新思路,整个流程无需运维人员掌握密码,由系统自动完成应用密码调用。此举切实提升了用户安全性和运维效率,实现了安全与生产的平衡,有效解决了人机用户混用可能引发的机用用户被运维人员非法使用和越权访问业务数据的风险。其实现方式是,增加应用配置管理中心用于存储机用用户与对应应用的关联关系,将用户管理系统和应用程序进行衔接,真正实现应用自动化密码调用,无需人员手工参与。具体过程(如图2所示)如下:应用侧发起机用用户使用请求,包含用户名称、应用名称等参数信息应用;应用配置管理中心根据机用用户使用请求检索到用户管理系统专用密码库中用户密码信息;密码信息加密传输至应用配置管理中心客户端;由应用配置管理中心客户端完成密码解密后写入应用程序配置文件;顺利完成程序调用。
图2 机用用户密码创新性管控具体过程
3.基础设施资源及账号的自动纳管
除了上收基础设施用户密码,确保用户管理范围覆盖完整、尽可能将新增的各类用户第一时间纳入集中管理也是用户管理工作十分重要的环节。针对基础设施资源更新频繁,人员手工纳管消耗人力大、效率低等难点,运营团队依托已有生产资源管理系统,通过系统之间的信息联动,形成用户资源自动化更新和用户集中管控的管理方案,从而提升了用户管控水平,具体过程如图3所示。
图3 基础设施资源及账号自动纳管具体过程
新增服务器后,运维管理人员将新增资源信息及时录入资源配置管理系统中;用户集中管理系统每日自动将资源配置管理系统中设备清单与已纳入用户集中管理系统管控的设备清单进行比对;根据预设的用户管理范围逻辑,去除资源管理系统中下线、退库、非生产环境等资源信息,形成实际需要新增集中纳管的设备清单;用户集中管理系统通过自动化纳管功能,按照清单定时发起用户纳管任务;新增服务器信息自动录入用户集中管理系统,生产用户密码被用户集中管理系统上收。
三、基础设施用户安全管理的成效
1.杜绝内部威胁
通过实施密码全生命周期管控和人机分离方案,可确保运维人员不再掌握任何一类基础设施用户密码。机用用户密码仅由程序调用,运维人员根据用户管理系统授权单点登录目标系统,最终实现科技人员不掌握用户密码也能正常开展运维操作的目标,从而达到生产可用性和安全性的高度平衡。
2.防范外部攻击
基础设施用户密码由用户管理系统接管,并通过技术硬控制手段实现密码复杂度的校验;密码随机生成,不带有人为设置偏好,且定期自动修改;密码设置锁定策略,难以被暴力破解,有效防范了长期滥用密码或设置弱口令导致的被外部攻击的风险,从而显著提升了系统和应用的安全性。
3.提升运维质效
工商银行开放平台操作系统、数据库、网络设备、带外系统类型多达100余个,基础设施用户数量高达数百万,且基础设施资源信息根据业务需求持续频繁变动。新的基础设施用户安全管理方式通过自动化运维,解决了用户密码管理变更耗时长、复杂度高的痛点问题,将运维人员从单一的重复运维操作中解放出来,节省了大量人力成本。同时,运维权限的自动化发放免除了密码发放操作,在降低安全风险的同时,也避免了人工管理授权不及时、回收延误等风险,实现了用户管控质量和效率的共同提升。
未来,随着机器学习、大数据、人工智能等新兴技术的发展,金融机构可在基础设施用户安全管理领域更加积极地应用新技术,比如通过自学习用户使用习惯识别其异常行为、新增带有判断能力的运维工具以提高运维效率等,由事后审查性管理逐步发展为事前预防、事中识别阻断、事后告警,构建进阶型全链路用户安全风险防控体系。
本文刊于《中国金融电脑》2024年第3期
声明:本文来自中国金融电脑+,版权归作者所有。
相关文章:

大型商业银行基础设施的用户安全管理创新与实践
文丨中国工商银行数据中心安全运营部 陈茜倩 王喆 基础设施的用户安全一直是银行业信息系统稳定运行的重要保障,近年来,随着科技的快速发展,针对用户安全的攻击方式层出不穷,如网络钓鱼、恶意软件、身份盗用、弱密码攻击、社交工程…...

数据库入门-----SQL基础知识
目录 📖前言: 📑SQL概述&&通用语法: 🐳DDL: 🐻操作数据库: 🐞数据类型: 🦉操作表: 🦦DML: 语法规则&#x…...

本地代码第一次提交到远程仓库gitee
1.在gitee新建仓库 2.新建一个空文件夹 打开黑窗口,执行命令 克隆仓库地址 执行命令 git clone https://gitee.com/llncomms/test.git打开隐藏的项目 复制全部内容到需要提交的代码中 3.在提交的代码中执行命令 $ git add .git commit -m 首次提交$ git push提交成功...
蓝桥杯刷题 深度优先搜索-[178]全球变暖(C++)
题目描述 你有一张某海域 NN 像素的照片,”.”表示海洋、”#”表示陆地,如下所示: … .##… .##… …##. …####. …###. … 其中”上下左右”四个方向上连在一起的一片陆地组成一座岛屿,例如上图就有 2 座岛屿。 由于全球变暖…...

C语言-函数指针-快速排序算法(书籍示例-入门)
概述 使用C语言,实现结构体多元素,排序算法(冒泡排序),这里使用示例:书籍示例讲解 函数简介 函数声明 void qsort(void *base, size_t nitems, size_t size, int (*compar)(const void *, const void*)) 参…...
# 计算机视觉入门
## 概述 计算机视觉(Computer Vision)是人工智能的重要分支领域,它关注于如何使计算机“看”懂图像或视频内容,并从中提取有用信息,对视觉数据进行处理和理解。随着深度学习技术的兴起,计算机视觉领域取得…...

React - 你知道useffect函数内如何模拟生命周期吗
难度级别:中级及以上 提问概率:65% 很多前端开发人员习惯了Vue或者React的组件式开发,熟知组件的周期过程包含初始化、挂载完成、修改和卸载等阶段。但是当使用Hooks做业务开发的时候,看见一个个useEffect函数,却显得有些迷茫,因为在us…...
电子元器件批发商的市场营销策略与推广技巧
引言 电子元器件批发商面临激烈的市场竞争,有效的市场营销策略和推广技巧对于提升品牌知名度、吸引客户和促进销售至关重要。本文将探讨电子元器件批发商的市场营销策略与推广技巧,助力企业在竞争激烈的市场中取得成功。 1. 精准定位目标客户 行业细分…...

大型语言模型(LLMs)面试常见问题解析
概述 这篇文章[1]是关于大型语言模型(LLMs)的面试问题和答案,旨在帮助读者准备相关职位的面试。 token? 在大型语言模型中,token 指的是什么? 分词(Tokenization):可以将…...
【接口】HTTP(2) |请求方法及状态码
1、HTTP常用请求方法 get:获取资源或指定的数据 请求指定的页面信息,返回实体主体(查询) post:发送数据给服务器,创建或更新资源 put:创建/替换目标资源 delete:删除资源 get …...

CSS设置网页颜色
目录 前言: 1.颜色名字: 2.十六进制码: 3.RGB: 4.RGBA: 5.HSL: 1.hue: 2.saturation: 3.lightness: 6.HSLA: 前言: 我们在电脑显示器&…...

R语言数据操纵:常用函数
目录 处理循环的函数 lapply函数 apply函数 mapply函数 tapply函数 split函数 排序的函数 sort函数与order函数 总结数据信息的函数 head函数与tail函数 summary函数 str函数 table函数 any函数 all函数 xtab函数 object.size函数 这篇文章主要介绍R语言中处理…...
图论做题笔记:bfs
Leetcode - 433:最小基因变化 题目: 基因序列可以表示为一条由 8 个字符组成的字符串,其中每个字符都是 A、C、G 和 T 之一。 假设我们需要调查从基因序列 start 变为 end 所发生的基因变化。一次基因变化就意味着这个基因序列中的一个字符发生了变化…...
群集服务器与主机托管区别
1、首先什么群集服务器? 通俗的来说,它是指很多台服务器把它们集中在一起来进行同一种服务,而在我们在客户端看,却只能看见一个服务器;集群服务器也可以由很多个的计算机并行去计算,这样可以获得非常高的计算速度;同时也可以用很多个计算机来…...

Linux锁的使用
一、临界资源与临界区 多线程会共享例如全局变量等资源,我们把会被多个执行流访问的资源称为临界资源,我们是通过代码访问临界资源的,而我们访问临界资源的那部分代码称为临界区。 实现一个抢票系统 只有一个线程抢票时 #include <ios…...
go语言学习--2.函数
目录 1.函数分类 2.函数的声明和定义 3.函数传参 4.函数返回值 5.递归调用 为完成某一功能的程序指令(语句)的集合,称为函数。 1.函数分类 在Go语言中,函数是第一类对象,我们可以将函数保持到变量中。函数主要有具名和匿名之分&#x…...
[安卓逆向]常见调试和反调试及解决方案
写在前面 我们在逆向软件时难免会遇到一些反调试策略,这篇文章就来详细总结下,现阶段比较流行的几种反调试策略及解决方案。 特定文件检测 反调试功能: 通过检测文件方式,检测android_server文件是否存在设备中的指定目录/data/l…...

uni-app(H5)论坛 | 社区 表情选择 UI组件
项目源码请移步:bbs 效果 实现思路 表情切换 人物、动物、小黄人不同表情之间的切换实际就是组件的切换 emoji表情 emoji表情本身就是一种字符 如需其他emoji表情可参考 EmojiAll中文官方网站 需要注意的就是数据库的存储格式需要支持emoji表情,我项…...

基于SpringBoot+vue的在线商城系统+论文+免费远程调试
基于SpringBootvue的在线商城系统034(含源码 数据库文档免费送) 开发系统:Windows10 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springb…...

mac中创建的证书提示是无效或者是证书不受信任的解决办法
mac中创建的证书提示是无效或者是证书不受信任的解决办法 原因: (1)可能是由于自己的误删除将Apple worldwide Developer Relatioans Certification Authority删除掉了 (2) 由于签发的认证的证书到期了 (3)其它未知原…...
Python|GIF 解析与构建(5):手搓截屏和帧率控制
目录 Python|GIF 解析与构建(5):手搓截屏和帧率控制 一、引言 二、技术实现:手搓截屏模块 2.1 核心原理 2.2 代码解析:ScreenshotData类 2.2.1 截图函数:capture_screen 三、技术实现&…...

多云管理“拦路虎”:深入解析网络互联、身份同步与成本可视化的技术复杂度
一、引言:多云环境的技术复杂性本质 企业采用多云策略已从技术选型升维至生存刚需。当业务系统分散部署在多个云平台时,基础设施的技术债呈现指数级积累。网络连接、身份认证、成本管理这三大核心挑战相互嵌套:跨云网络构建数据…...

MPNet:旋转机械轻量化故障诊断模型详解python代码复现
目录 一、问题背景与挑战 二、MPNet核心架构 2.1 多分支特征融合模块(MBFM) 2.2 残差注意力金字塔模块(RAPM) 2.2.1 空间金字塔注意力(SPA) 2.2.2 金字塔残差块(PRBlock) 2.3 分类器设计 三、关键技术突破 3.1 多尺度特征融合 3.2 轻量化设计策略 3.3 抗噪声…...

手游刚开服就被攻击怎么办?如何防御DDoS?
开服初期是手游最脆弱的阶段,极易成为DDoS攻击的目标。一旦遭遇攻击,可能导致服务器瘫痪、玩家流失,甚至造成巨大经济损失。本文为开发者提供一套简洁有效的应急与防御方案,帮助快速应对并构建长期防护体系。 一、遭遇攻击的紧急应…...
前端倒计时误差!
提示:记录工作中遇到的需求及解决办法 文章目录 前言一、误差从何而来?二、五大解决方案1. 动态校准法(基础版)2. Web Worker 计时3. 服务器时间同步4. Performance API 高精度计时5. 页面可见性API优化三、生产环境最佳实践四、终极解决方案架构前言 前几天听说公司某个项…...
1688商品列表API与其他数据源的对接思路
将1688商品列表API与其他数据源对接时,需结合业务场景设计数据流转链路,重点关注数据格式兼容性、接口调用频率控制及数据一致性维护。以下是具体对接思路及关键技术点: 一、核心对接场景与目标 商品数据同步 场景:将1688商品信息…...
【C语言练习】080. 使用C语言实现简单的数据库操作
080. 使用C语言实现简单的数据库操作 080. 使用C语言实现简单的数据库操作使用原生APIODBC接口第三方库ORM框架文件模拟1. 安装SQLite2. 示例代码:使用SQLite创建数据库、表和插入数据3. 编译和运行4. 示例运行输出:5. 注意事项6. 总结080. 使用C语言实现简单的数据库操作 在…...
在鸿蒙HarmonyOS 5中使用DevEco Studio实现录音机应用
1. 项目配置与权限设置 1.1 配置module.json5 {"module": {"requestPermissions": [{"name": "ohos.permission.MICROPHONE","reason": "录音需要麦克风权限"},{"name": "ohos.permission.WRITE…...
#Uniapp篇:chrome调试unapp适配
chrome调试设备----使用Android模拟机开发调试移动端页面 Chrome://inspect/#devices MuMu模拟器Edge浏览器:Android原生APP嵌入的H5页面元素定位 chrome://inspect/#devices uniapp单位适配 根路径下 postcss.config.js 需要装这些插件 “postcss”: “^8.5.…...
0x-3-Oracle 23 ai-sqlcl 25.1 集成安装-配置和优化
是不是受够了安装了oracle database之后sqlplus的简陋,无法删除无法上下翻页的苦恼。 可以安装readline和rlwrap插件的话,配置.bahs_profile后也能解决上下翻页这些,但是很多生产环境无法安装rpm包。 oracle提供了sqlcl免费许可,…...