基于单点登录的银行特权账号管理

陈 力

（上海交通大学 信息安全工程学院，上海 200240）

基于单点登录的银行特权账号管理

陈 力

（上海交通大学 信息安全工程学院，上海 200240）

银行系统运行的实时性要求非常高，而无论什么系统都会有异常或紧急事件发生，运维人员进行操作时，需要特权账户对系统的应用或数据进行维护。本文旨在通过单点登录模式，对这些账号进行统一的管理，同时方便用户的使用。

单点登录；临时账户；票据；认证

1　单点登录对现有特权账号管理改进

随着科学技术的发展，信息技术对于现代企业的管理以及运营也起着越来越重要的作用。电子商务、电子政务、互联网金融等一系列新概念在我们生活中出现的频率越来越高，这也使得各企业、各机关开放平台上的应用系统数量上越来越多、复杂度越来越高，用户需要登录大量的应用系统访问各种各样的服务器，而企业应用系统的运行维护人员也需要登录大量的应用系统，并对应用进行维护。目前许多企业对各开放平台上的应用系统均采用分散的管理模式，即不同系统由不同的人员进行管理，并且对不同的人员职责分工明确，权限划分清晰。而基于人力成本的考虑，不同的人员管理的应用系统个数往往较多，而人员与应用系统的对应关系也往往是多对多的管理。应用系统管理人员在各自负责的应用系统中均设有相应用户，而这些用户的权限职责均不同，系统管理员对这些应用系统管理人员的用户权限进行统一管理，以保证应用系统管理人员的权限能得到保证，同时又能对其不具备的权限进行严格的控制。这样的运行维护模式会使用户需要记住大量的用户名和密码，给用户的运行维护工作带来不便，同时也存在许多弊端以及安全隐患。

现有的银行特权账号管理使用传统的密码封模式，操作用户需要有两人同时在岗，分别为实施人与复核人。操作人员分别持有纸质密码封的前后段密码，而该情况下，而后分别由两人输入密码，获取用户相应的权限。在这种模式下，操作人员操作步骤繁琐，用户回收机制并非强制执行而是通过操作人员自觉执行，这样存在巨大的安全隐患，同时对于没有及时收回的用户也不符合IT审计中相关的安全标准。单点登录平台能很好地简化该类应用场景的操作流程，同时提高特权用户管理的安全标准。

2　特权用户管理模块设计

特权用户通、主用户以及应用系统通过列表相互关联，目前各大银行主要采用的都是ISO 20000或是ISO 27001认证体系，该体系中对用户的密码使用有着十分严格的要求。应用系统的用户需要定期修改密码，同时密码必须符合一定的复杂要求。各个应用系统运行维护中会遇到许多场景，以下是主要存在的三个场景。

场景一:银行单点登录平台判断特权用户密码是否过期，如果过期，银行单点登录平台随机修改特权用户密码，并修改相关数据库表中记录。

场景二:针对系统应急情况下需要非系统运行维护人员进行运维操作的场景，要求运维人员使用密码封保存运维密码，应急人员通过拆封密码封获取相关系统的密码。

场景三:银行单点登录平台因相关问题无法连接相关应用系统，用户通过应急功能获取特权用户密码。

以上场景中，特权用户的密码完全对用户封闭，用户在不提取自己应用列表中应用系统的用户密码的情况下，即不提取自己特权用户密码的情况下，无法使用自己的特权用户通过堡垒机、远程桌面等其他方式登录应用系统。

3　特权用户管理模块性能分析

在特权用户管理模块中，批量修改密码是一个非常关键的节点，该节点的运行时间决定了该功能是否会影响单点登录平台的基本功能。而在设计过程中，我们对于接入银行单点登录系统的用户进行系统分类，同一系统的用户安排在同一天进行批量修改密码，从而使修改密码锁需要建立的连接尽可能少。

我们可以发现用户数量与批量运行时间基本符合线形关系，因此根据线形关系进行拟合，运行时间T与用户数量A的关系为T=ß0+ß1*A，根据最小二乘法法，计算得出ß1=0.114，ß0=2.956。

目前，平均每天批量修改密码的用户数大约为3 000个，根据推算，批量修改这些账户密码需要6分钟左右，且批量修改密码在夜间交易低峰时间段运行，不会对系统的正常运行产生不良影响。

为了使批量修改密码节点运行时间不过长，系统采用每月1日至28日，平均分布各系统用户，而不采用集中修改密码，修改密码批量节点运行时间过长。系统采用平均分配的方法，进行分配用户，并且使相同系统的用户尽可能在同一天修改密码，以避免批量节点多次连接应用系统。

4　结 语

在在基于单点登录的特权用户平台实际运行中，重要的系统运行指标正常，没有大幅的波动，运行稳定。同时特权用户平台所具有的独有功能并没有影响到单点登录平台其他功能的正常使用，而单点登录平台的特性则大大加强了特权用户平台的易用性。

主要参考文献

［1］陈观林，张泳.企业信息门户单点登录系统的设计与实现［J］.计算机系统应用，2008（8）.

［2］陈萱华，李学亚.桌面虚拟化技术在公安院校网络安全接入中的应用［J］.计算机与现代化，2013（5）.

10.3969/j.issn.1673 - 0194.2015.22.112

TP311.52

A

1673-0194（2015）22-0143-01

2015-10-09