鐵路信息系統(tǒng)用戶身份自動(dòng)化管理及關(guān)鍵技術(shù)研究

胡 俠，陳 勛，李 琪，于洪剛

（1. 北京經(jīng)緯信息技術(shù)有限公司，北京 100081；2. 中國鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京, 100081；3. 中國鐵路濟(jì)南局集團(tuán)有限公司 信息技術(shù)所，濟(jì)南 250001）

近些年，越權(quán)操作、身份模擬等造成的數(shù)據(jù)泄露事件頻發(fā)[1-2]。2022年9月15日，美國優(yōu)步公司被黑客通過盜號(hào)入侵內(nèi)部服務(wù)，這一安全事件直接導(dǎo)致優(yōu)步公司內(nèi)部服務(wù)數(shù)據(jù)泄露、服務(wù)停運(yùn)，造成不可估量的經(jīng)濟(jì)損失，同時(shí)也嚴(yán)重影響公司的公眾認(rèn)可度與國際形象。我國陸續(xù)頒布了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，對企業(yè)信息系統(tǒng)用戶身份識(shí)別、權(quán)限管控、安全審計(jì)、賬號(hào)自動(dòng)管理等提出了更高的管控要求。“十三五”期間，隨著鐵路業(yè)務(wù)的高速增長，各類鐵路信息系統(tǒng)因資源不足或功能不全而開展了擴(kuò)建與優(yōu)化工作，造成系統(tǒng)網(wǎng)絡(luò)資源越積越多、用戶數(shù)量迅速增長、各類資源設(shè)備對身份信息復(fù)雜度的要求各有不同等情況。由于用戶身份管理不當(dāng)引起的安全事故時(shí)有發(fā)生，使得鐵路信息系統(tǒng)運(yùn)行維護(hù)單位（簡稱：運(yùn)維管理部門）難以感知鐵路信息系統(tǒng)用戶身份使用分布情況和身份信息風(fēng)險(xiǎn)。因此，本文結(jié)合鐵路信息系統(tǒng)用戶身份信息管理的實(shí)際情況、存在的風(fēng)險(xiǎn)隱患和需求，設(shè)計(jì)用戶身份自動(dòng)化管理系統(tǒng)，解決信息系統(tǒng)使用過程中用戶身份管理安全問題。

1 現(xiàn)狀及需求分析

1.1 風(fēng)險(xiǎn)賬號(hào)普遍存在，缺少技術(shù)管理措施

弱口令賬號(hào)[3]、長期未修改密碼（簡稱：改密）的賬號(hào)、后門賬號(hào)、僵尸賬號(hào)、幽靈賬號(hào)等稱為風(fēng)險(xiǎn)賬號(hào)[4]。此類賬號(hào)一直是鐵路運(yùn)維管理部門關(guān)注的重點(diǎn)。盡管運(yùn)維人員日常通過定期排查及其他技術(shù)管控措施進(jìn)行用戶賬號(hào)管理，但因鐵路信息系統(tǒng)基數(shù)大、運(yùn)維人員有限、信息系統(tǒng)變動(dòng)頻繁、故障排查不到位等原因，導(dǎo)致用戶賬號(hào)管理落實(shí)困難、效率低、風(fēng)險(xiǎn)高等問題。因此，運(yùn)維管理部門在強(qiáng)化日常數(shù)據(jù)安全保障、細(xì)化落實(shí)相關(guān)用戶身份管理規(guī)范和要求的同時(shí)，亟需尋求更有效的技術(shù)措施，主動(dòng)發(fā)現(xiàn)信息系統(tǒng)用戶身份信息，識(shí)別風(fēng)險(xiǎn)賬號(hào)，掌握用戶賬號(hào)使用情況。

1.2 系統(tǒng)間賬號(hào)存在關(guān)聯(lián)關(guān)系，缺少自動(dòng)化管理手段

鐵路業(yè)務(wù)系統(tǒng)復(fù)雜交錯(cuò)，在信息系統(tǒng)研發(fā)過程中，相關(guān)子系統(tǒng)或模塊存在賬號(hào)關(guān)聯(lián)信息，相關(guān)中間件、應(yīng)用代碼和配置文件中存在大量的與用戶身份信息相關(guān)聯(lián)的“硬編碼”[5]，而這些賬戶“硬編碼”信息多以明文形式存在，目前只能手動(dòng)逐個(gè)修改，維護(hù)難度大，無法做到自動(dòng)化同步更新，且一旦外泄可能造成大批核心主機(jī)失陷、數(shù)據(jù)庫損壞或數(shù)據(jù)泄露。因此，當(dāng)用戶身份信息發(fā)生變更時(shí)，需要通過預(yù)配置策略自動(dòng)向相關(guān)聯(lián)系統(tǒng)推送相關(guān)賬號(hào)信息，保證相關(guān)配置文件和腳本中身份賬號(hào)信息得到及時(shí)更新，實(shí)現(xiàn)一改都改。

1.3 系統(tǒng)運(yùn)維賬號(hào)管理混亂，賬號(hào)權(quán)限不可控

《中國鐵路總公司網(wǎng)絡(luò)安全管理辦法》《中國鐵路總公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》《鐵路數(shù)據(jù)管理暫行辦法》等規(guī)章制度中已明確提出系統(tǒng)運(yùn)維工作涉及的用戶安全管理要求，但在日常運(yùn)維工作中仍存在賬號(hào)違規(guī)提權(quán)、賬號(hào)共享、身份信息明文存儲(chǔ)、賬號(hào)密碼未落實(shí)定期修改、長期持有過高權(quán)限的賬號(hào)使用情況無人監(jiān)管等問題[4]。在缺少技術(shù)監(jiān)管措施的情況下，這些問題很難被發(fā)現(xiàn)，且極易被不法人員竊取利用，造成不可挽回的損失。因此，運(yùn)維管理部門亟需有效的技術(shù)手段，對運(yùn)維賬號(hào)信息的使用規(guī)范化、變更流程化、權(quán)限合理化、管理系統(tǒng)化進(jìn)行落實(shí)，用于提高監(jiān)管手段，提升管理效率，減少運(yùn)維工作量，降低運(yùn)維難度。

1.4 用戶信息量龐大，缺少集中管理手段

鐵路信息化系統(tǒng)用戶身份信息量龐大，僅靠人工管理難度大、效率低、風(fēng)險(xiǎn)高，缺乏有效的手段對用戶身份信息使用情況進(jìn)行統(tǒng)一監(jiān)管[6-7]。亟需建設(shè)用戶身份信息管理系統(tǒng)，主動(dòng)發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的用戶身份信息分布情況、自主識(shí)別賬號(hào)風(fēng)險(xiǎn)、監(jiān)管用戶身份使用情況，協(xié)助運(yùn)維管理部門實(shí)現(xiàn)用戶身份信息安全管理和全局監(jiān)控的目標(biāo)，同時(shí)降低因賬號(hào)泄漏或被濫用而造成數(shù)據(jù)安全事故的概率。

通過對鐵路信息系統(tǒng)用戶身份信息從使用、管理、運(yùn)維、共享等方面的分析發(fā)現(xiàn)，在管理用戶身份信息時(shí)，缺少相應(yīng)的自動(dòng)化管理措施及管理手段。因此，建設(shè)鐵路用戶身份自動(dòng)化管理系統(tǒng)對提升運(yùn)維能力意義重大。

2 系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)框架

用戶身份自動(dòng)化管理系統(tǒng)以用戶身份全生命周期管理為核心，以最小化權(quán)限管理為基本原則[8]，以自動(dòng)化安全管理與監(jiān)控為重要手段，協(xié)助鐵路運(yùn)維管理部門規(guī)范化、系統(tǒng)化、流程化地管理用戶身份信息。系統(tǒng)總體架構(gòu)分為展現(xiàn)層、應(yīng)用層、服務(wù)層、數(shù)據(jù)支撐層和數(shù)據(jù)基礎(chǔ)層，如圖1所示。

圖1 用戶身份自動(dòng)化管理系統(tǒng)總體架構(gòu)

（1）展示層：用于展示用戶身份信息資產(chǎn)與風(fēng)險(xiǎn)狀態(tài)，包括資產(chǎn)統(tǒng)計(jì)、資產(chǎn)態(tài)勢、風(fēng)險(xiǎn)賬號(hào)等維度。

（2）應(yīng)用層：用于提供實(shí)際操作與系統(tǒng)管理的交互界面，包括資產(chǎn)管理、任務(wù)管理、權(quán)限管理、日志管理、組件管理、策略管理、工單管理、風(fēng)險(xiǎn)管理、系統(tǒng)管理、告警管理等功能，滿足日常用戶身份信息運(yùn)維管理需求。

（3）服務(wù)層：作為系統(tǒng)的核心，提供策略服務(wù)、數(shù)據(jù)分析能力與接口服務(wù)能力，支撐并執(zhí)行應(yīng)用層下發(fā)的任務(wù)，為第三方應(yīng)用提供統(tǒng)一接口服務(wù)。

（4）數(shù)據(jù)支撐層：提供知識(shí)庫與數(shù)據(jù)支撐服務(wù)，包括弱口令字典、資產(chǎn)庫、策略庫、規(guī)則特征庫等各類服務(wù)，滿足用戶身份數(shù)據(jù)相關(guān)的服務(wù)需要。

（5）數(shù)據(jù)基礎(chǔ)層：提供基礎(chǔ)數(shù)據(jù)源和數(shù)據(jù)集中存儲(chǔ)空間，包括用戶身份數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、審計(jì)數(shù)據(jù)、風(fēng)險(xiǎn)數(shù)據(jù)等基礎(chǔ)信息。

2.2 功能架構(gòu)

該系統(tǒng)基于B/S架構(gòu)設(shè)計(jì)，采用LiteFlow框架進(jìn)行功能組件管理與調(diào)度，服務(wù)層基于“接口服務(wù)+策略服務(wù)+數(shù)據(jù)分析”構(gòu)建，對外提供接口業(yè)務(wù)和應(yīng)用服務(wù)；運(yùn)用自動(dòng)化管理技術(shù)對用戶身份全生命周期進(jìn)行自動(dòng)化管理，減少人工收集、人工研判、人工備份等繁瑣操作。該系統(tǒng)從功能上可歸納為系統(tǒng)基礎(chǔ)管理、資源管理、策略管理、知識(shí)庫管理，功能架構(gòu)如圖2所示。

圖2 用戶身份自動(dòng)化管理系統(tǒng)功能結(jié)構(gòu)

2.2.1 系統(tǒng)基礎(chǔ)管理

包括系統(tǒng)管理、報(bào)表管理、日志管理、權(quán)限管理、外發(fā)管理、組織管理模塊，實(shí)現(xiàn)對系統(tǒng)權(quán)限、組織關(guān)系、基礎(chǔ)數(shù)據(jù)、安全配置、系統(tǒng)維護(hù)等方面的管理。

2.2.2 資源管理

包括用戶管理、組件管理、資產(chǎn)管理模塊，提供系統(tǒng)資源功能與服務(wù)能力，是用戶身份全過程管理、安全策略執(zhí)行調(diào)度、資產(chǎn)信息數(shù)據(jù)維護(hù)的核心。

其中，組件管理通過自動(dòng)發(fā)現(xiàn)、自動(dòng)改密與核驗(yàn)、自動(dòng)推送、自動(dòng)備份[9]等功能，實(shí)現(xiàn)用戶身份信息的統(tǒng)一管理，詳細(xì)設(shè)計(jì)如下。

（1）自動(dòng)發(fā)現(xiàn)：通過策略管理預(yù)配置自動(dòng)發(fā)現(xiàn)策略，結(jié)合自動(dòng)發(fā)現(xiàn)組件引擎，對鐵路信息系統(tǒng)用戶身份信息元素進(jìn)行提取，將新采集的用戶身份信息與該系統(tǒng)管理的用戶身份信息進(jìn)行對比分析，識(shí)別未及時(shí)納管、已刪除的用戶，全局掌控資產(chǎn)用戶身份信息。

（2）自動(dòng)改密與核驗(yàn)：根據(jù)策略管理預(yù)配置改密與核驗(yàn)策略，結(jié)合自動(dòng)改密與核驗(yàn)組件引擎完成對用戶身份信息的自動(dòng)改密與核驗(yàn)，進(jìn)而發(fā)現(xiàn)私自修改用戶身份密碼等行為風(fēng)險(xiǎn)。

（3）自動(dòng)推送：通過資產(chǎn)管理中資產(chǎn)的關(guān)聯(lián)關(guān)系，分析識(shí)別相關(guān)資產(chǎn)變更，結(jié)合自動(dòng)推送組件引擎，實(shí)現(xiàn)用戶身份改密后的實(shí)時(shí)推送功能。

（4）自動(dòng)備份：根據(jù)策略管理預(yù)配置自動(dòng)備份策略和基礎(chǔ)配置中的外發(fā)管理功能，結(jié)合自動(dòng)備份組件引擎實(shí)現(xiàn)自動(dòng)化備份。

（5）威脅分析：利用知識(shí)庫和自主發(fā)現(xiàn)功能，發(fā)現(xiàn)風(fēng)險(xiǎn)賬號(hào)、脆弱資產(chǎn)及違規(guī)提權(quán)等操作。

2.2.3 策略管理

包括自動(dòng)推送策略、訪問策略、備份策略、核驗(yàn)策略、改密策略、賬號(hào)管理策略、自動(dòng)發(fā)現(xiàn)策略模塊，提供基于發(fā)現(xiàn)、使用、變更、同步、存儲(chǔ)的用戶身份全生命周期的策略安全配置，實(shí)現(xiàn)自動(dòng)發(fā)現(xiàn)、自動(dòng)識(shí)別、自動(dòng)運(yùn)維、風(fēng)險(xiǎn)分析、威脅分析的自動(dòng)化安全管理。

2.2.4 知識(shí)庫管理

包括資產(chǎn)庫、弱口令字典、策略庫、規(guī)則特征庫模塊，作為數(shù)據(jù)支撐層的核心部分，提供基于弱口令字典、規(guī)則特征庫、策略庫、資產(chǎn)庫等于一體的完整知識(shí)庫體系，為用戶身份自動(dòng)化安全管理提供數(shù)據(jù)支撐。

3 關(guān)鍵技術(shù)

3.1 用戶身份信息全過程自動(dòng)化管理技術(shù)

根據(jù)用戶身份信息的時(shí)效性、動(dòng)態(tài)變化等特點(diǎn)，以用戶身份信息動(dòng)態(tài)變化的視角分析和安全風(fēng)險(xiǎn)識(shí)別，將用戶身份按時(shí)間演變過程分為誕生階段、使用與監(jiān)控階段、變更與同步階段、鎖定與釋放階段、存儲(chǔ)與備份階段。在用戶身份的5個(gè)不同階段分別采用自動(dòng)發(fā)現(xiàn)、風(fēng)險(xiǎn)與威脅分析、自動(dòng)改密與核驗(yàn)、自動(dòng)推送、排他分析、自動(dòng)存儲(chǔ)與備份等技術(shù)手段，形成一套基于用戶身份生命周期的自動(dòng)化管理技術(shù)體系，完成用戶身份全生命周期的自動(dòng)管理與監(jiān)控。基于用戶身份信息的自動(dòng)管理過程如圖3所示。

圖3 用戶身份自動(dòng)管理過程

3.2 用戶身份信息自動(dòng)化備份技術(shù)

該系統(tǒng)將用戶賬號(hào)密碼生成前段、后段兩份密碼文件，同時(shí)設(shè)置A、B兩個(gè)安全碼系統(tǒng)管理員，將A安全碼+B安全碼拼接而成的字符串作為加密密鑰，并采用國家密碼管理局發(fā)布的SM2、SM3、SM4等算法把前段、后段兩份密碼文件分別加密。根據(jù)系統(tǒng)基礎(chǔ)管理中外發(fā)管理配置情況進(jìn)行加密文件外發(fā)，實(shí)現(xiàn)用戶身份信息異地備份與用戶身份信息多重逃生通道，做到備份文件的加密密鑰分段、分人、分權(quán)管理，避免一人掌控全部用戶信息帶來的風(fēng)險(xiǎn)。在出現(xiàn)特殊情況需要解密備份文件時(shí)，需A、B安全碼管理員同時(shí)授權(quán)，并輸入A安全碼、B安全碼作為解密密鑰，實(shí)現(xiàn)備份文件的安全解密功能。自動(dòng)備份實(shí)現(xiàn)過程如圖4所示。

圖4 自動(dòng)備份實(shí)現(xiàn)過程

4 應(yīng)用場景

該系統(tǒng)具有開放、靈活的接口服務(wù)，能夠與鐵路運(yùn)維管理類信息系統(tǒng)、網(wǎng)絡(luò)類、安全管理類系統(tǒng)快速集成，協(xié)助鐵路運(yùn)維管理部門完成對用戶身份信息的系統(tǒng)化、流程化和規(guī)范化管理工作，滿足用戶身份信息的統(tǒng)一管理要求，解決用戶身份數(shù)據(jù)泄漏、丟失、盜用、明文存儲(chǔ)、弱口令、用戶信息共享等因素造成的日常運(yùn)維困擾。該系統(tǒng)與鐵路運(yùn)維管理系統(tǒng)聯(lián)動(dòng)過程如圖5所示。

圖5 用戶身份自動(dòng)化管理系統(tǒng)與鐵路運(yùn)維管理系統(tǒng)聯(lián)動(dòng)過程

該系統(tǒng)與鐵路運(yùn)維管理系統(tǒng)聯(lián)動(dòng)中，涉及身份憑證獲取、改密與自動(dòng)推送、威脅分析檢測告警3個(gè)場景。

4.1 身份憑證獲取

在用戶身份信息集中管理場景下，運(yùn)維/安全設(shè)備動(dòng)態(tài)獲取用戶身份的過程為：

（1）訪問人員通過運(yùn)維/安全類設(shè)備發(fā)起訪問目的資源請求；

（2）運(yùn)維/安全類設(shè)備通過該系統(tǒng)提供的接口服務(wù)獲取目標(biāo)設(shè)備的身份憑證；

（3）運(yùn)維/安全類設(shè)備通過校驗(yàn)身份憑證及權(quán)限后，登錄目標(biāo)系統(tǒng)。

4.2 改密與自動(dòng)推送

當(dāng)目標(biāo)資源身份憑證有變動(dòng)需求時(shí)，系統(tǒng)同步過程為：

（1）管理人員通過該系統(tǒng)發(fā)起某一目標(biāo)資源的身份憑證修改任務(wù)；

（2）該系統(tǒng)完成修改后，通過登錄目標(biāo)系統(tǒng)完成驗(yàn)證工作；

（3）該系統(tǒng)將修改內(nèi)容自動(dòng)推送到關(guān)聯(lián)系統(tǒng)配置中，完成同步目的。

4.3 威脅分析檢測告警

當(dāng)出現(xiàn)目標(biāo)資源私自修改行為，分析檢測告警過程為：

（1）有人員違規(guī)通過后臺(tái)或其他方式私自修改用戶身份憑證；

（2）系統(tǒng)通過定期排查及威脅分析發(fā)現(xiàn)私自修改行為；

（3）系統(tǒng)自動(dòng)還原目標(biāo)資源的用戶身份憑證，并對操作行為告警通報(bào)。

5 結(jié)束語

本文設(shè)計(jì)并實(shí)現(xiàn)了鐵路用戶身份管理系統(tǒng)，闡述了關(guān)鍵技術(shù)，以自動(dòng)化管理技術(shù)為手段，實(shí)現(xiàn)鐵路用戶身份信息的全生命周期管理，推動(dòng)用戶身份信息管理由線下人工管理向線上自動(dòng)化管理的模式轉(zhuǎn)換。協(xié)助鐵路運(yùn)維管理部門更便捷地管理和保護(hù)各類型資源的身份憑證，避免因用戶身份信息管理不當(dāng)造成泄漏或被濫用，降低用戶身份相關(guān)數(shù)據(jù)安全事故的發(fā)生概率，顯著提升用戶身份信息安全保障能力，推動(dòng)鐵路用戶身份信息的自動(dòng)化管理與應(yīng)用。