基于單點登錄的銀行特權賬號管理

陳 力

（上海交通大學 信息安全工程學院，上海 200240）

基于單點登錄的銀行特權賬號管理

陳 力

（上海交通大學 信息安全工程學院，上海 200240）

銀行系統運行的實時性要求非常高，而無論什么系統都會有異常或緊急事件發生，運維人員進行操作時，需要特權賬戶對系統的應用或數據進行維護。本文旨在通過單點登錄模式，對這些賬號進行統一的管理，同時方便用戶的使用。

單點登錄；臨時賬戶；票據；認證

1　單點登錄對現有特權賬號管理改進

隨著科學技術的發展，信息技術對于現代企業的管理以及運營也起著越來越重要的作用。電子商務、電子政務、互聯網金融等一系列新概念在我們生活中出現的頻率越來越高，這也使得各企業、各機關開放平臺上的應用系統數量上越來越多、復雜度越來越高，用戶需要登錄大量的應用系統訪問各種各樣的服務器，而企業應用系統的運行維護人員也需要登錄大量的應用系統，并對應用進行維護。目前許多企業對各開放平臺上的應用系統均采用分散的管理模式，即不同系統由不同的人員進行管理，并且對不同的人員職責分工明確，權限劃分清晰。而基于人力成本的考慮，不同的人員管理的應用系統個數往往較多，而人員與應用系統的對應關系也往往是多對多的管理。應用系統管理人員在各自負責的應用系統中均設有相應用戶，而這些用戶的權限職責均不同，系統管理員對這些應用系統管理人員的用戶權限進行統一管理，以保證應用系統管理人員的權限能得到保證，同時又能對其不具備的權限進行嚴格的控制。這樣的運行維護模式會使用戶需要記住大量的用戶名和密碼，給用戶的運行維護工作帶來不便，同時也存在許多弊端以及安全隱患。

現有的銀行特權賬號管理使用傳統的密碼封模式，操作用戶需要有兩人同時在崗，分別為實施人與復核人。操作人員分別持有紙質密碼封的前后段密碼，而該情況下，而后分別由兩人輸入密碼，獲取用戶相應的權限。在這種模式下，操作人員操作步驟繁瑣，用戶回收機制并非強制執行而是通過操作人員自覺執行，這樣存在巨大的安全隱患，同時對于沒有及時收回的用戶也不符合IT審計中相關的安全標準。單點登錄平臺能很好地簡化該類應用場景的操作流程，同時提高特權用戶管理的安全標準。

2　特權用戶管理模塊設計

特權用戶通、主用戶以及應用系統通過列表相互關聯，目前各大銀行主要采用的都是ISO 20000或是ISO 27001認證體系，該體系中對用戶的密碼使用有著十分嚴格的要求。應用系統的用戶需要定期修改密碼，同時密碼必須符合一定的復雜要求。各個應用系統運行維護中會遇到許多場景，以下是主要存在的三個場景。

場景一:銀行單點登錄平臺判斷特權用戶密碼是否過期，如果過期，銀行單點登錄平臺隨機修改特權用戶密碼，并修改相關數據庫表中記錄。

場景二:針對系統應急情況下需要非系統運行維護人員進行運維操作的場景，要求運維人員使用密碼封保存運維密碼，應急人員通過拆封密碼封獲取相關系統的密碼。

場景三:銀行單點登錄平臺因相關問題無法連接相關應用系統，用戶通過應急功能獲取特權用戶密碼。

以上場景中，特權用戶的密碼完全對用戶封閉，用戶在不提取自己應用列表中應用系統的用戶密碼的情況下，即不提取自己特權用戶密碼的情況下，無法使用自己的特權用戶通過堡壘機、遠程桌面等其他方式登錄應用系統。

3　特權用戶管理模塊性能分析

在特權用戶管理模塊中，批量修改密碼是一個非常關鍵的節點，該節點的運行時間決定了該功能是否會影響單點登錄平臺的基本功能。而在設計過程中，我們對于接入銀行單點登錄系統的用戶進行系統分類，同一系統的用戶安排在同一天進行批量修改密碼，從而使修改密碼鎖需要建立的連接盡可能少。

我們可以發現用戶數量與批量運行時間基本符合線形關系，因此根據線形關系進行擬合，運行時間T與用戶數量A的關系為T=?0+?1*A，根據最小二乘法法，計算得出?1=0.114，?0=2.956。

目前，平均每天批量修改密碼的用戶數大約為3 000個，根據推算，批量修改這些賬戶密碼需要6分鐘左右，且批量修改密碼在夜間交易低峰時間段運行，不會對系統的正常運行產生不良影響。

為了使批量修改密碼節點運行時間不過長，系統采用每月1日至28日，平均分布各系統用戶，而不采用集中修改密碼，修改密碼批量節點運行時間過長。系統采用平均分配的方法，進行分配用戶，并且使相同系統的用戶盡可能在同一天修改密碼，以避免批量節點多次連接應用系統。

4　結 語

在在基于單點登錄的特權用戶平臺實際運行中，重要的系統運行指標正常，沒有大幅的波動，運行穩定。同時特權用戶平臺所具有的獨有功能并沒有影響到單點登錄平臺其他功能的正常使用，而單點登錄平臺的特性則大大加強了特權用戶平臺的易用性。

主要參考文獻

［1］陳觀林，張泳.企業信息門戶單點登錄系統的設計與實現［J］.計算機系統應用，2008（8）.

［2］陳萱華，李學亞.桌面虛擬化技術在公安院校網絡安全接入中的應用［J］.計算機與現代化，2013（5）.

10.3969/j.issn.1673 - 0194.2015.22.112

TP311.52

A

1673-0194（2015）22-0143-01

2015-10-09