从证券行业的账号应用实际出发,研究场景,分析该场景出现的原因以及最佳管理方式探讨,给出具体的方法和实践,是根植行业、解决问题的根本。
**
**
由于券商不少业务系统都是基于Windows平台构建的,运维多数通过Windows跳板机,在跳板机上安装各种业务运维客户端。为了在开市交易之前能快速检查业务系统服务状态,运维人员大多习惯保留跳板机上的客户端状态,这样第二天上班的时候登录跳板机不会因为重新打开这些客户端而耽误时间。所以很多券商都选用过VNC、Radmin、pcAnywhere 这些具备保留会话特性的远程工具进行访问。
基于以上场景,早期券商上堡垒机之后做的访问控制权限也很简单,基本就是用户到跳板机,而不是用户到数据中心里的设备。堡垒机只需要保障运维人员能够正常登录跳板机即可,这就导致数据中心资产的账号密码没有被有效托管,依然散落在各管理员手中。
随着业务的发展,数据中心资产规模不断扩大,大部分券商账号规模少则几万,多则十几万。量变带来质变,管理规模大幅提升带来了新的问题,比如:按照要求,账号3个月进行一次改密,需要每个运维人员各自手工或者自动化执行,期间是否错改、漏改完全由运维人员自己负责,安全人员手里没有账号,没有数据,无法统计和分析,巧妇难为无米之炊。
而由于券商的大部分业务都和交易挂钩,一旦出问题,影响巨大。所以运维人员担心影响业务,无法把账号完全交给安全部门纳管;而安全部门也怕影响业务,不敢强制收取账号。
窘境出现了:账号,运维交不了,安全管不到。
**
**
由于账号对业务稳定运行及信息安全而言极为重要,所以券商把数据中心账号真正有效管理起来势在必行。我们认为,本质上要更好地解决两个部门之间责权分离的问题。账号的使用方毫无疑问是运维部门,而安全管理方则是安全部门。
首先,谁使用谁负责(维护)。账号的使用,和权限、访问有关。运维人员什么时间用了什么账号,用这个账号做了哪些操作,是否合规,运维部门按照自己的要求进行配置和管理,围绕业务系统来配置对应的访问权限和操作规则。账号密码也是运维部门自行管理,安全部门只负责审查和规范制定。
其次,谁管理谁负责(定义规则)。账号的管理,和账号自身的安全基线、制度规范有关。安全人员需要制定账号的安全规范体系,这包括账号有哪些类型,什么的权限,多久改一次密,不合规的账号如何处理等等,围绕规范划分好赛道,运维人员在赛道中按照规则竞技。
最后,通过特权账号管理系统,把两个部门进行整合,安全部门的规范通过平台进行落地,通过权限对两个部门的责权进行有效隔离。
**
**
**要想做好账号管理,先制定账号管理规则。**特权账号管理不只是个技术活,它还是个重要的管理议题,安全部门首先要制定账号管理的规则。在引入特权账号管理之前,很多用户都有大量的账号和密码,但是没有账号和密码的管理规范和标准,比如什么样的账号应有什么权利,如何限制这些权利;什么情况下可以开什么账号,谁审批,谁操作,如何记录;新资产进入后是否要马上更改账号和密码,更改的原则是什么;多长时间要变更一次密码,以防被攻破;不用的账号谁负责删除并记录;人员变更时如何交接账号和密码,等等。这些问题,先是制定规则、执行流程,然后才涉及到使用系统将规则和流程落地,并变得更合理、更高效。
齐治科技实践过多个证券用户的账户管理,认为,项目初期重要事项不是系统实施,而是坐下来和用户一起,梳理和确定账号管理规范,包括:账号命名规范、密码规范、账号创建和移交规则及流程、账号变更流程、明文密码的申请和使用、灾备和应急方案等等,覆盖账号管理的全生命周期。之后,再根据规范和流程进行系统安装、实施、对接、配置等等。
**再明确账号管理的实施和纳管步骤。**券商的数据中心相对较大,网络环境复杂,资产数量和类型多,管理流程复杂,业务系统多,这就意味着账号的数量庞大,类型众多。因为账号牵扯到整个IT资产的核心层面,因此特权账号管理的实施是一个系统、复杂的问题。按照齐治科技的过往经验,分阶段、分步骤有大致原则。如果从资产来划分,建议先从主机、网络等硬件开始,再到数据库、中间件和应用。到了应用层,面对众多业务系统,因为很多核心应用错综复杂,牵扯到的数据很多,牵一发而动全身,所以先从边缘业务系统开始,再逐渐过渡到核心应用中,通过由外到内的方式逐渐包围解决应用账号问题。
**最后,通过项目管理把握进度。**账号管理是一个漫长的周期,需要厂商、券商、代理商等多方的配合协调,才能最终达到治理目的。因此,需要根据券商的实际情况,制定项目计划并进行项目跟踪。这个过程中,每个阶段的目标必须非常明确。根据券商的实际痛点、业务分布情况等进行综合评估,采用合适的解决方案。
在整个过程中,根据现有情况和券商共同探讨,结合实际情况设立里程碑,分阶段将大目标拆成若干阶段执行,每个阶段着眼于解决当前阶段的问题,完成一个阶段再进入下一个阶段,规则明确,抓住重点,因地制宜,才能保证系统的安全、可靠、顺利。
**
**
对账号进行全流程、全生命周期闭环管理,是解决账号难题的方法与实践。
很多法律法规都对特权账号管理提出了明确的要求,例如《信息系统安全等级保护基本要求》,以及各行业的信息系统安全检查规范,使得合规成为用户数据中心运维安全管理的重要需求之一。
例如,国家网络安全等级保护2.0规定:用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全;应重命名或删除默认账户,修改默认账户的默认口令;应及时删除或停用多余的、过期的账户。《证券经营机构营业部信息系统技术管理规范》等行业规范要求认真梳理生产交易系统的各类运维管理账号,冗余用户要及时清理,超过三个月未使用过的用户要设置为禁止使用状态或删除。
账号管理,简单来说就是合理高效的规则之下,合规的人,使用合规的账号,下达合规的指令,合规地访问资产。用户通过特权账号管理实现流程化、规范化管理特权账号,构建特权账号风险治理体系,完善符合监管的信息安全和风险管理手段,支撑特权账号风险管控落地,实现风险治理闭环,为用户满足合规要求。例如,运维人员的双因素认证、操作审计、高危命令的管控等。
特权账号管理用户需求热度表
某券商数据中心资产类型繁杂,包含操作系统,数十种安全设备、网络设备,难以依靠原有管理措施完成对各类资产的账号管理。数据中心日常运维管理存在以下痛点:所有账号依赖人工完成收集和梳理,账号管理过程中存在账号信息不全、不准问题;账号的密码安全、权限安全无从保障;各类资产的账号使用过程缺乏有效控制与监督,广泛存在运维人员持有关键资产真实密码,并绕过堡垒机内网跳转等现象,使用过程中存在较大的安全风险。
该券商部署了齐治特权账号管理系统PAM,将关键IT资产账号的管理从靠人为管理转变为以特权账号管理系统为中心的统一流程化管理,解决了以下问题:账号自动梳理,账号变化探测、威胁感知,账号定期改密,规范账号权限和行为追踪,账号密码安全存储。从而实现了系统账号自动、持续、全生命周期闭环化管理。
**
**
账号安全管理并不是简单的技术工具使用投入,而是需要长期迭代的管理问题。账号管理就像一个蓄水池,在不断地保证正常进水(生成账号)、出水(关闭账号)的同时,通过账号管理系统,逐渐将水池的水打捞、净化,直到水从浑浊变清澈。
在整个过程中,找到专业的合作伙伴,选择合适的规则,高效的管理工具是顺利进行账号管理的关键之一。齐治科技累计服务过500+特权账号管理用户,从全生命周期、全流程、全管控等角度,可以实现账号的安全管理、全面管理和高效管理。
作者介绍
高豹,齐治科技华东区技术总监,安全行业从业超过十年,融合客户管理场景及需求痛点,为多家大型证券及其他金融客户提供数据中心运维安全管理解决方案。
关于 安全村文集·证券行业专刊
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
