大型銀行數據中心IT治理課題組

隨著信息技術日新月異，銀行業務高度信息化并穩步邁入大數據時代。數據中心作為銀行信息化、大數據的核心基礎，其IT系統龐雜，多則上千，涉及用戶過萬。面對如此規模的系統，如何安全高效的管理成為了普遍性難題。為破解用戶管控難題，不少銀行采取增加人手、加大投入、購置各類管控工具等措施，但多因管控分散、主客體管理割裂、自動化程度不高等問題，導致各類探索和嘗試總體效果收效甚微、合規管控差強人意，屢屢墜入安全陷阱，制約了銀行信息技術進一步跨越式發展。據Verizon（威瑞森電信公司）數據泄露調查報告，全球近十年間發生的數據泄露案件中有19%是由于用戶安全管理等內部管理失誤造成的，在金融行業中，用戶安全管理問題也是數據泄露發生的四大原因之一。

面對海量用戶管理壓力和安全合規的緊迫性，我們著眼于整合和統一規范跨各種系統類型用戶管理，變人工管理為自動管理，提出用戶安全管理的集中化、統一化和自動化，構建銀行數據中心安全可控的用戶管理中心。本文將通過分析當前用戶安全管理現狀和業內先進實踐經驗，探索適應大型銀行數據中心的用戶安全管理模式，闡述用戶管理中心建設思路、關鍵技術引入以及實踐原則和方法，并對管理實踐所取得的收益和成效加以分析。

用戶安全管控理念的演進

大型銀行用戶管理困境

大型銀行數據中心用戶管理一般分為兩大類：一類是對人員用戶的管理，即對人員本身的管理；一類是對IT資源用戶的管理，即運維人員通過各類資源用戶直接訪問或操作生產信息系統的底層操作系統、數據庫、中間件以及應用程序，此類用戶權限高、種類繁多、操作風險大。兩類用戶在數據中心運行過程中是主客體關系，兩者聯系緊密，但實際管理中往往相互割裂，管理難以到位。2011年韓國農協銀行由于用戶權限管理不到位，造成了提現和轉賬等關鍵服務癱瘓達3天之久，波及面大，教訓深刻。

數據中心用戶的安全管控上，業內已經采取了諸多措施，但因缺乏自動化、統一化的管理，成效有限：一是在業務急速擴張背景下，用戶數量呈幾何級增長，依靠手工管理，運維人員疲于操作、顧此失彼，安全往往被忽視；二是各專業按分工建立的專業性用戶管理系統，管理上獨立分散不統一，不同類型的系統和設備歸不同部門管理，各個專業條線間缺乏橫向聯系，用戶管控缺乏統一規范；三是用戶安全合規管控要求大多以人工來實現，由于管理半徑長，極易受主觀干擾，執行準確率不高，全覆蓋難度大。

業界用戶安全管理探索

近年來，數據中心的安全管理正從以操作為中心向以用戶為中心轉變。往常的逐一對活動進行訪問控制或設置安全策略的方式效率和成效都欠佳，越來越無法適應當前形勢。

在信息化互聯浪潮的推動下，借助通信技術領域的的快速發展，電信行業率先進行了用戶集中安全管控的探索。電信行業與大型銀行相比較具有三個利于先行先試的特點：一是系統類型相對單一，主要以通信交換設備為主，對兼容性要求不高；二是信息系統集中度相對不高，以各省域數據中心為主，集中用戶管理規模壓力較輕；三是系統可用性要求較金融業相對寬松。在此背景下，集中化用戶管理平臺的運用既滿足了安全要求，對現有信息系統運行現狀又不會產生較大的影響。

某電信公司于2011年建設了具有集中管理特點的4A安全管控平臺，取得了一定的成效。一是在各省范圍建立了集中化的具有授權和審計功能的用戶集中管理平臺，依托自動化提升用戶運維管理效率，對用戶使用行為進行有效控制。二是形成了企業統一的用戶管理規范，在制度層面對各類用戶管理進行標準化。此種以用戶為中心的安全管理模式的優勢主要體現在三個方面：一是所有運維行為均以用戶為載體，管控住了用戶就牽住了牛鼻子；二是運維活動發起方為用戶，控制用戶就意味著控制了源頭；三是對用戶設置的安全控制措施將有效覆蓋所有由此用戶產生的活動。

大型銀行用戶安全管理的優選模式

根據業界先進的用戶安全管理實踐經驗和理念，結合大型銀行數據中心安全管理現狀，用戶的安全管理應做到以下兩點：一是在管理意識上，將用戶的安全管理置于整個安全管理架構的中心位置（圖1）；二是在推進實現上，建設具備更高統一性、高效性和可用性用戶管理中心。

數據中心在管理、操作和運維業務信息系統過程中，表現形式為各類用戶使用，安全控制最終也就是對用戶管控。構建用戶中心、管理中心、監控中心等三大管控中心是數據中心實現安全管理統一化、自動化和集中化的必由之路。用戶管理是人員和信息實體管理的聯系紐帶和抓手，用戶管理中心也就成為三大安全中心建設的前提和重點，是數據中心安全管理的基石。

用戶管理中心建設路線圖

某大型銀行借鑒業界先進理念，從實際出發，建設了用戶管理中心（PIM系統），滿足了大型銀行數據中心用戶安全合規需求、整合防控手段、提升管理效率的集中型管理信息系統。系統按照跨平臺兼容性、性能優越性、高可用性等技術標準進行前瞻性設計和規劃，以適應數據中心未來一體化、智能化管理的發展趨勢。

建設目標

建設用戶安全管理中心主要目標是構建集中化、統一化、自動化的用戶使用和管理全流程的安全控制系統，系統主要分三個控制層面（圖2）：一是事前控制，對用戶的使用采取審批授權控制，針對每個用戶單獨限制使用期，一次一授權實現權限的最小化；二是事中監控，通過對用戶操作行為的實時監控，對高風險操作和違規操作進行告警，以及時發現風險并開展相關處置；三是事后審計，完整記錄用戶操作行為，通過綜合分析和行為數據回顧，發現潛在風險和趨勢，以便后續采取措施防患于未然。

為夯實用戶使用過程的安全控制基礎，形成扎口效應，同時減少人工干預，用戶管理中心實現了集中化的用戶和用戶密碼的安全管理：一是用戶和用戶密碼的集中安全保存；二是實現安全合規的用戶密碼策略，包括密碼高復雜度、定期自動更換等。

關鍵技術引入

用戶管控系統搭建了人與資源的交互橋梁，建立了資源用戶與使用人員的一一對應關系，解決了以往兩者相互割裂的問題，確保了授權的安全精準。該系統重點運用了以下四個方面的技術。

系統實現自身的安全性。關鍵技術有：一是系統對用戶信息等關鍵數據進行加密存儲；二是系統各組件間采用SSL等安全協議進行通信；三是對系統進行安全加固，配置嚴格的網絡訪問控制；四是系統本身運維用戶也納入管理，確保用戶管理統一性。

系統優良的健壯性。為保證中樞式用戶管理中心更高的可用性標準，系統引入了諸多高可用技術（圖3）：一是針對基于WEB服務的模塊采取多個節點集群部署，并通過網絡負載均衡設備進行流量分配；二是數據庫等關鍵組件通過共享存儲構建雙機HA架構；三是功能模塊內設計成由多個調度和處理單元構成的應用群集；四是設計了獨立于主系統的應急系統，確保在主系統全面不可用情況下用戶使用的連續性。

系統良好的兼容適應能力。通過完全解析和模擬用戶原操作，實現自動化運行，無需在資源端安裝代理插件，有效避免對資源端的影響，最大限度實現跨資源的兼容性；特別是針對主機Z/OS資源，對TN3270協議進行了解析，實現該類資源的接管。同時，系統還采用了應用虛擬化技術，對用戶使用過程中涉及的客戶端軟件進行標準化整體推送，有效避免了繁瑣的逐一置備終端環境，進一步增強了系統運用的適應性。

系統自動化處理的實現。針對集中大批量密碼修改等用戶管理需求，一方面，系統通過設計多線程并發調度組件，自動根據負載進行線程數量調度，實現良好的批量處理能力；另一方面，引入模擬代填技術，通過自動對用戶和密碼的代填，實現用戶登錄資源的自動化，不但節省了登錄時間、提升了效率，也減少了操作復雜度，降低了操作風險。

模塊化架構設計

根據建設目標，用戶管理中心技術架構采用模塊化設計，主要分為八個邏輯功能單元（圖4）。

門戶：作為用戶管理中心對外提供服務的唯一入口，訪問門戶是使用和管理人員日常的操作界面。門戶集成雙因子認證方式，確保具備高安全防護級別。

訪問控制：管理中心內部資源管理權、人員管理權、審計監督權三權分立，各類角色權限相互制衡，實現訪問控制。

流程管理：通過在線申請、復核及審批等環節的流程化，實現對使用期限和權限的授予、回收等精細化控制。

單點登錄：資源使用者在門戶一次認證后多次登錄訪問目標資源，登錄過程無需用戶密碼，實現了一鍵式的便捷用戶登錄。

密碼管理：自動化管理各類信息系統資源用戶的驅動模塊，實現用戶生命周期管理、密碼安全策略管理等功能，自動執行批量密碼定期更換等策略。

數據呈現：提供對用戶操作行為的實時監控和會話記錄檢索回放功能，自動生成相關行為審計報表。

操作審計：全程記錄各類用戶的使用行為，字符型會話以文本方式記錄，圖形界面會話以錄像方式記錄，同時還記錄管理中心自身操作日志，實現日志記錄全覆蓋。

數據存儲：實現各類管理數據和行為記錄的安全存儲。

實施原則和管理方法

系統實施遵循以下兩個原則：一是分步分階段原則，采取先試點后推廣，先易后難的推進方式，逐步實現與各種生產信息系統資源對接；二是審慎嚴謹原則，資源納入系統管理前，制備應急備用用戶，在穩定接管后，備用用戶一并納入管理并定期加密導出和物理封存，防止產生因系統不可用致使運維操作無法開展的巨大風險。

用戶管理不僅僅是技術系統的部署，管理方法的優化同樣重要。一是開展用戶分類分級。根據所在業務系統的重要程度以及權限確定級別，不同級別的用戶授權和審批流程不同，高等級用戶授權審批級別越高，流程越復雜，限制越多。二是重構跨部門跨專業條線的用戶管理流程，明確用戶使用管理過程中的各自職責，遵循“誰使用誰負責，誰授權誰負責”原則。三是總結和提出用戶管理標準和規范，將用戶安全標準、管理流程、角色權責等明確固化為制度章程，組織進行宣貫教育，培養意識共識。

用戶安全管理實踐收效

總體實踐狀況

某大型銀行數據中心經過幾年的研究和探索，在用戶管理上已初步建成技術平臺，已納入管理的信息系統逾4000臺/套，包含大型機、小型機及網絡設備等主要信息系統類型，接管用戶達2萬余個，覆蓋系統、網絡、運行、應用運維等主要生產運維部門，各項管控流程和措施已穩步運行，生產運維操作中心入口和樞紐基本形成，安全扎口管控成效顯著。

管理收益和成效

通過推行用戶管理中心模式，實現了跨專業跨平臺各類用戶的全面集中化、統一化和自動化控制，在行業內用戶管理實踐上進行了創新性的探索和嘗試，也取得了階段性成果。此模式的順利推進，使得中心樞紐式用戶管理模型得到了實踐的檢驗，為進一步完善和進化積累了經驗。

該模式的順利實施，在安全合規上破解了多項難題：一是密碼合規性全覆蓋，所有用戶密碼集中管理，按照高復雜度策略隨機生成，這是以往由人工記憶方式管理不可能實現的；二是精細化控制，用戶訪問使用均經授權審批環節，并嚴格按照申請期限管理，用戶的生效和注銷均由平臺動態實時控制，精確到秒，杜絕了以往人工管理逾期、濫用等情況；三是行為記錄完整，用戶所有訪問均通過中央門戶，一切行為操作均被完整記錄，且每條記錄均與自然人對應，行為主體清晰可回溯，為后續開展回顧監督提供了數據支撐。

安全與效率本是一對矛盾體，自動化技術的引入實現了雙贏，在解決安全問題的同時也提高了勞動效率，將運維人員從日常繁瑣的操作中解放出來：一是單點登錄技術，一次認證后可多次一鍵式登錄資源，不僅節省操作時間，而且降低了操作風險，經測算時間精簡約40%；二是自動化密碼技術，使得開放系統資源每用戶密碼更改時間由原人工操作的平均半分鐘縮短至3秒，壓縮比達10∶1。

結語

未來，在技術進步的驅動下，用戶管理將不斷向一體化方向演進。一方面能夠在大型銀行總分支機構中得到全面推行，實現全局一體化管理；另一方面，在整體IT架構中發揮核心作用，與各安全控制系統集成聯動，實現基于用戶的安全統一管理平臺，將信息資產全生命周期納入安全管理，全方位提升企業IT基礎管理水平。

數據中心用戶管理的研究和實踐是大型銀行在用戶管理模式探索道路上所邁出的堅實一步，用戶管理是銀行業等大型信息化企業的管理基礎，在管理就是競爭力、安全即效益的時代，只有運用優秀的技術并結合高效的安全管理方法，才能實現用戶管理效率和安全的平衡，提高勞動生產率，降低操作風險，最終實現企業競爭力的穩步提升。

課題組成員：謝以清，岑奭，張煜，張志峰，孫英明

（作者單位：中國農業銀行數據中心）