胡 俠，陳 勛，李 琪，于洪剛

（1. 北京經(jīng)緯信息技術有限公司，北京 100081；2. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京, 100081；3. 中國鐵路濟南局集團有限公司 信息技術所，濟南 250001）

近些年，越權操作、身份模擬等造成的數(shù)據(jù)泄露事件頻發(fā)[1-2]。2022年9月15日，美國優(yōu)步公司被黑客通過盜號入侵內(nèi)部服務，這一安全事件直接導致優(yōu)步公司內(nèi)部服務數(shù)據(jù)泄露、服務停運，造成不可估量的經(jīng)濟損失，同時也嚴重影響公司的公眾認可度與國際形象。我國陸續(xù)頒布了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)，對企業(yè)信息系統(tǒng)用戶身份識別、權限管控、安全審計、賬號自動管理等提出了更高的管控要求?！笆濉逼陂g，隨著鐵路業(yè)務的高速增長，各類鐵路信息系統(tǒng)因資源不足或功能不全而開展了擴建與優(yōu)化工作，造成系統(tǒng)網(wǎng)絡資源越積越多、用戶數(shù)量迅速增長、各類資源設備對身份信息復雜度的要求各有不同等情況。由于用戶身份管理不當引起的安全事故時有發(fā)生，使得鐵路信息系統(tǒng)運行維護單位（簡稱：運維管理部門）難以感知鐵路信息系統(tǒng)用戶身份使用分布情況和身份信息風險。因此，本文結合鐵路信息系統(tǒng)用戶身份信息管理的實際情況、存在的風險隱患和需求，設計用戶身份自動化管理系統(tǒng)，解決信息系統(tǒng)使用過程中用戶身份管理安全問題。

1 現(xiàn)狀及需求分析

1.1 風險賬號普遍存在，缺少技術管理措施

弱口令賬號[3]、長期未修改密碼（簡稱：改密）的賬號、后門賬號、僵尸賬號、幽靈賬號等稱為風險賬號[4]。此類賬號一直是鐵路運維管理部門關注的重點。盡管運維人員日常通過定期排查及其他技術管控措施進行用戶賬號管理，但因鐵路信息系統(tǒng)基數(shù)大、運維人員有限、信息系統(tǒng)變動頻繁、故障排查不到位等原因，導致用戶賬號管理落實困難、效率低、風險高等問題。因此，運維管理部門在強化日常數(shù)據(jù)安全保障、細化落實相關用戶身份管理規(guī)范和要求的同時，亟需尋求更有效的技術措施，主動發(fā)現(xiàn)信息系統(tǒng)用戶身份信息，識別風險賬號，掌握用戶賬號使用情況。

1.2 系統(tǒng)間賬號存在關聯(lián)關系，缺少自動化管理手段

鐵路業(yè)務系統(tǒng)復雜交錯，在信息系統(tǒng)研發(fā)過程中，相關子系統(tǒng)或模塊存在賬號關聯(lián)信息，相關中間件、應用代碼和配置文件中存在大量的與用戶身份信息相關聯(lián)的“硬編碼”[5]，而這些賬戶“硬編碼”信息多以明文形式存在，目前只能手動逐個修改，維護難度大，無法做到自動化同步更新，且一旦外泄可能造成大批核心主機失陷、數(shù)據(jù)庫損壞或數(shù)據(jù)泄露。因此，當用戶身份信息發(fā)生變更時，需要通過預配置策略自動向相關聯(lián)系統(tǒng)推送相關賬號信息，保證相關配置文件和腳本中身份賬號信息得到及時更新，實現(xiàn)一改都改。

1.3 系統(tǒng)運維賬號管理混亂，賬號權限不可控

《中國鐵路總公司網(wǎng)絡安全管理辦法》《中國鐵路總公司信息系統(tǒng)運行維護管理辦法》《鐵路數(shù)據(jù)管理暫行辦法》等規(guī)章制度中已明確提出系統(tǒng)運維工作涉及的用戶安全管理要求，但在日常運維工作中仍存在賬號違規(guī)提權、賬號共享、身份信息明文存儲、賬號密碼未落實定期修改、長期持有過高權限的賬號使用情況無人監(jiān)管等問題[4]。在缺少技術監(jiān)管措施的情況下，這些問題很難被發(fā)現(xiàn)，且極易被不法人員竊取利用，造成不可挽回的損失。因此，運維管理部門亟需有效的技術手段，對運維賬號信息的使用規(guī)范化、變更流程化、權限合理化、管理系統(tǒng)化進行落實，用于提高監(jiān)管手段，提升管理效率，減少運維工作量，降低運維難度。

1.4 用戶信息量龐大，缺少集中管理手段

鐵路信息化系統(tǒng)用戶身份信息量龐大，僅靠人工管理難度大、效率低、風險高，缺乏有效的手段對用戶身份信息使用情況進行統(tǒng)一監(jiān)管[6-7]。亟需建設用戶身份信息管理系統(tǒng)，主動發(fā)現(xiàn)各類基礎設施資源的用戶身份信息分布情況、自主識別賬號風險、監(jiān)管用戶身份使用情況，協(xié)助運維管理部門實現(xiàn)用戶身份信息安全管理和全局監(jiān)控的目標，同時降低因賬號泄漏或被濫用而造成數(shù)據(jù)安全事故的概率。

通過對鐵路信息系統(tǒng)用戶身份信息從使用、管理、運維、共享等方面的分析發(fā)現(xiàn)，在管理用戶身份信息時，缺少相應的自動化管理措施及管理手段。因此，建設鐵路用戶身份自動化管理系統(tǒng)對提升運維能力意義重大。

2 系統(tǒng)設計

2.1 系統(tǒng)框架

用戶身份自動化管理系統(tǒng)以用戶身份全生命周期管理為核心，以最小化權限管理為基本原則[8]，以自動化安全管理與監(jiān)控為重要手段，協(xié)助鐵路運維管理部門規(guī)范化、系統(tǒng)化、流程化地管理用戶身份信息。系統(tǒng)總體架構分為展現(xiàn)層、應用層、服務層、數(shù)據(jù)支撐層和數(shù)據(jù)基礎層，如圖1所示。

圖1 用戶身份自動化管理系統(tǒng)總體架構

（1）展示層：用于展示用戶身份信息資產(chǎn)與風險狀態(tài)，包括資產(chǎn)統(tǒng)計、資產(chǎn)態(tài)勢、風險賬號等維度。

（2）應用層：用于提供實際操作與系統(tǒng)管理的交互界面，包括資產(chǎn)管理、任務管理、權限管理、日志管理、組件管理、策略管理、工單管理、風險管理、系統(tǒng)管理、告警管理等功能，滿足日常用戶身份信息運維管理需求。

（3）服務層：作為系統(tǒng)的核心，提供策略服務、數(shù)據(jù)分析能力與接口服務能力，支撐并執(zhí)行應用層下發(fā)的任務，為第三方應用提供統(tǒng)一接口服務。

（4）數(shù)據(jù)支撐層：提供知識庫與數(shù)據(jù)支撐服務，包括弱口令字典、資產(chǎn)庫、策略庫、規(guī)則特征庫等各類服務，滿足用戶身份數(shù)據(jù)相關的服務需要。

（5）數(shù)據(jù)基礎層：提供基礎數(shù)據(jù)源和數(shù)據(jù)集中存儲空間，包括用戶身份數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、審計數(shù)據(jù)、風險數(shù)據(jù)等基礎信息。

2.2 功能架構

該系統(tǒng)基于B/S架構設計，采用LiteFlow框架進行功能組件管理與調(diào)度，服務層基于“接口服務+策略服務+數(shù)據(jù)分析”構建，對外提供接口業(yè)務和應用服務；運用自動化管理技術對用戶身份全生命周期進行自動化管理，減少人工收集、人工研判、人工備份等繁瑣操作。該系統(tǒng)從功能上可歸納為系統(tǒng)基礎管理、資源管理、策略管理、知識庫管理，功能架構如圖2所示。

圖2 用戶身份自動化管理系統(tǒng)功能結構

2.2.1 系統(tǒng)基礎管理

包括系統(tǒng)管理、報表管理、日志管理、權限管理、外發(fā)管理、組織管理模塊，實現(xiàn)對系統(tǒng)權限、組織關系、基礎數(shù)據(jù)、安全配置、系統(tǒng)維護等方面的管理。

2.2.2 資源管理

包括用戶管理、組件管理、資產(chǎn)管理模塊，提供系統(tǒng)資源功能與服務能力，是用戶身份全過程管理、安全策略執(zhí)行調(diào)度、資產(chǎn)信息數(shù)據(jù)維護的核心。

其中，組件管理通過自動發(fā)現(xiàn)、自動改密與核驗、自動推送、自動備份[9]等功能，實現(xiàn)用戶身份信息的統(tǒng)一管理，詳細設計如下。

（1）自動發(fā)現(xiàn)：通過策略管理預配置自動發(fā)現(xiàn)策略，結合自動發(fā)現(xiàn)組件引擎，對鐵路信息系統(tǒng)用戶身份信息元素進行提取，將新采集的用戶身份信息與該系統(tǒng)管理的用戶身份信息進行對比分析，識別未及時納管、已刪除的用戶，全局掌控資產(chǎn)用戶身份信息。

（2）自動改密與核驗：根據(jù)策略管理預配置改密與核驗策略，結合自動改密與核驗組件引擎完成對用戶身份信息的自動改密與核驗，進而發(fā)現(xiàn)私自修改用戶身份密碼等行為風險。

（3）自動推送：通過資產(chǎn)管理中資產(chǎn)的關聯(lián)關系，分析識別相關資產(chǎn)變更，結合自動推送組件引擎，實現(xiàn)用戶身份改密后的實時推送功能。

（4）自動備份：根據(jù)策略管理預配置自動備份策略和基礎配置中的外發(fā)管理功能，結合自動備份組件引擎實現(xiàn)自動化備份。

（5）威脅分析：利用知識庫和自主發(fā)現(xiàn)功能，發(fā)現(xiàn)風險賬號、脆弱資產(chǎn)及違規(guī)提權等操作。

2.2.3 策略管理

包括自動推送策略、訪問策略、備份策略、核驗策略、改密策略、賬號管理策略、自動發(fā)現(xiàn)策略模塊，提供基于發(fā)現(xiàn)、使用、變更、同步、存儲的用戶身份全生命周期的策略安全配置，實現(xiàn)自動發(fā)現(xiàn)、自動識別、自動運維、風險分析、威脅分析的自動化安全管理。

2.2.4 知識庫管理

包括資產(chǎn)庫、弱口令字典、策略庫、規(guī)則特征庫模塊，作為數(shù)據(jù)支撐層的核心部分，提供基于弱口令字典、規(guī)則特征庫、策略庫、資產(chǎn)庫等于一體的完整知識庫體系，為用戶身份自動化安全管理提供數(shù)據(jù)支撐。

3 關鍵技術

3.1 用戶身份信息全過程自動化管理技術

根據(jù)用戶身份信息的時效性、動態(tài)變化等特點，以用戶身份信息動態(tài)變化的視角分析和安全風險識別，將用戶身份按時間演變過程分為誕生階段、使用與監(jiān)控階段、變更與同步階段、鎖定與釋放階段、存儲與備份階段。在用戶身份的5個不同階段分別采用自動發(fā)現(xiàn)、風險與威脅分析、自動改密與核驗、自動推送、排他分析、自動存儲與備份等技術手段，形成一套基于用戶身份生命周期的自動化管理技術體系，完成用戶身份全生命周期的自動管理與監(jiān)控?；谟脩羯矸菪畔⒌淖詣庸芾磉^程如圖3所示。

圖3 用戶身份自動管理過程

3.2 用戶身份信息自動化備份技術

該系統(tǒng)將用戶賬號密碼生成前段、后段兩份密碼文件，同時設置A、B兩個安全碼系統(tǒng)管理員，將A安全碼+B安全碼拼接而成的字符串作為加密密鑰，并采用國家密碼管理局發(fā)布的SM2、SM3、SM4等算法把前段、后段兩份密碼文件分別加密。根據(jù)系統(tǒng)基礎管理中外發(fā)管理配置情況進行加密文件外發(fā)，實現(xiàn)用戶身份信息異地備份與用戶身份信息多重逃生通道，做到備份文件的加密密鑰分段、分人、分權管理，避免一人掌控全部用戶信息帶來的風險。在出現(xiàn)特殊情況需要解密備份文件時，需A、B安全碼管理員同時授權，并輸入A安全碼、B安全碼作為解密密鑰，實現(xiàn)備份文件的安全解密功能。自動備份實現(xiàn)過程如圖4所示。

圖4 自動備份實現(xiàn)過程

4 應用場景

該系統(tǒng)具有開放、靈活的接口服務，能夠與鐵路運維管理類信息系統(tǒng)、網(wǎng)絡類、安全管理類系統(tǒng)快速集成，協(xié)助鐵路運維管理部門完成對用戶身份信息的系統(tǒng)化、流程化和規(guī)范化管理工作，滿足用戶身份信息的統(tǒng)一管理要求，解決用戶身份數(shù)據(jù)泄漏、丟失、盜用、明文存儲、弱口令、用戶信息共享等因素造成的日常運維困擾。該系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動過程如圖5所示。

圖5 用戶身份自動化管理系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動過程

該系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動中，涉及身份憑證獲取、改密與自動推送、威脅分析檢測告警3個場景。

4.1 身份憑證獲取

在用戶身份信息集中管理場景下，運維/安全設備動態(tài)獲取用戶身份的過程為：

（1）訪問人員通過運維/安全類設備發(fā)起訪問目的資源請求；

（2）運維/安全類設備通過該系統(tǒng)提供的接口服務獲取目標設備的身份憑證；

（3）運維/安全類設備通過校驗身份憑證及權限后，登錄目標系統(tǒng)。

4.2 改密與自動推送

當目標資源身份憑證有變動需求時，系統(tǒng)同步過程為：

（1）管理人員通過該系統(tǒng)發(fā)起某一目標資源的身份憑證修改任務；

（2）該系統(tǒng)完成修改后，通過登錄目標系統(tǒng)完成驗證工作；

（3）該系統(tǒng)將修改內(nèi)容自動推送到關聯(lián)系統(tǒng)配置中，完成同步目的。

4.3 威脅分析檢測告警

當出現(xiàn)目標資源私自修改行為，分析檢測告警過程為：

（1）有人員違規(guī)通過后臺或其他方式私自修改用戶身份憑證；

（2）系統(tǒng)通過定期排查及威脅分析發(fā)現(xiàn)私自修改行為；

（3）系統(tǒng)自動還原目標資源的用戶身份憑證，并對操作行為告警通報。

5 結束語

本文設計并實現(xiàn)了鐵路用戶身份管理系統(tǒng)，闡述了關鍵技術，以自動化管理技術為手段，實現(xiàn)鐵路用戶身份信息的全生命周期管理，推動用戶身份信息管理由線下人工管理向線上自動化管理的模式轉換。協(xié)助鐵路運維管理部門更便捷地管理和保護各類型資源的身份憑證，避免因用戶身份信息管理不當造成泄漏或被濫用，降低用戶身份相關數(shù)據(jù)安全事故的發(fā)生概率，顯著提升用戶身份信息安全保障能力，推動鐵路用戶身份信息的自動化管理與應用。