鐵路信息系統(tǒng)用戶身份自動化管理及關(guān)鍵技術(shù)研究

胡 俠，陳 勛，李 琪，于洪剛

（1. 北京經(jīng)緯信息技術(shù)有限公司，北京 100081；2. 中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京, 100081；3. 中國鐵路濟南局集團有限公司 信息技術(shù)所，濟南 250001）

近些年，越權(quán)操作、身份模擬等造成的數(shù)據(jù)泄露事件頻發(fā)[1-2]。2022年9月15日，美國優(yōu)步公司被黑客通過盜號入侵內(nèi)部服務(wù)，這一安全事件直接導(dǎo)致優(yōu)步公司內(nèi)部服務(wù)數(shù)據(jù)泄露、服務(wù)停運，造成不可估量的經(jīng)濟損失，同時也嚴(yán)重影響公司的公眾認(rèn)可度與國際形象。我國陸續(xù)頒布了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)，對企業(yè)信息系統(tǒng)用戶身份識別、權(quán)限管控、安全審計、賬號自動管理等提出了更高的管控要求?！笆濉逼陂g，隨著鐵路業(yè)務(wù)的高速增長，各類鐵路信息系統(tǒng)因資源不足或功能不全而開展了擴建與優(yōu)化工作，造成系統(tǒng)網(wǎng)絡(luò)資源越積越多、用戶數(shù)量迅速增長、各類資源設(shè)備對身份信息復(fù)雜度的要求各有不同等情況。由于用戶身份管理不當(dāng)引起的安全事故時有發(fā)生，使得鐵路信息系統(tǒng)運行維護單位（簡稱：運維管理部門）難以感知鐵路信息系統(tǒng)用戶身份使用分布情況和身份信息風(fēng)險。因此，本文結(jié)合鐵路信息系統(tǒng)用戶身份信息管理的實際情況、存在的風(fēng)險隱患和需求，設(shè)計用戶身份自動化管理系統(tǒng)，解決信息系統(tǒng)使用過程中用戶身份管理安全問題。

1 現(xiàn)狀及需求分析

1.1 風(fēng)險賬號普遍存在，缺少技術(shù)管理措施

弱口令賬號[3]、長期未修改密碼（簡稱：改密）的賬號、后門賬號、僵尸賬號、幽靈賬號等稱為風(fēng)險賬號[4]。此類賬號一直是鐵路運維管理部門關(guān)注的重點。盡管運維人員日常通過定期排查及其他技術(shù)管控措施進行用戶賬號管理，但因鐵路信息系統(tǒng)基數(shù)大、運維人員有限、信息系統(tǒng)變動頻繁、故障排查不到位等原因，導(dǎo)致用戶賬號管理落實困難、效率低、風(fēng)險高等問題。因此，運維管理部門在強化日常數(shù)據(jù)安全保障、細(xì)化落實相關(guān)用戶身份管理規(guī)范和要求的同時，亟需尋求更有效的技術(shù)措施，主動發(fā)現(xiàn)信息系統(tǒng)用戶身份信息，識別風(fēng)險賬號，掌握用戶賬號使用情況。

1.2 系統(tǒng)間賬號存在關(guān)聯(lián)關(guān)系，缺少自動化管理手段

鐵路業(yè)務(wù)系統(tǒng)復(fù)雜交錯，在信息系統(tǒng)研發(fā)過程中，相關(guān)子系統(tǒng)或模塊存在賬號關(guān)聯(lián)信息，相關(guān)中間件、應(yīng)用代碼和配置文件中存在大量的與用戶身份信息相關(guān)聯(lián)的“硬編碼”[5]，而這些賬戶“硬編碼”信息多以明文形式存在，目前只能手動逐個修改，維護難度大，無法做到自動化同步更新，且一旦外泄可能造成大批核心主機失陷、數(shù)據(jù)庫損壞或數(shù)據(jù)泄露。因此，當(dāng)用戶身份信息發(fā)生變更時，需要通過預(yù)配置策略自動向相關(guān)聯(lián)系統(tǒng)推送相關(guān)賬號信息，保證相關(guān)配置文件和腳本中身份賬號信息得到及時更新，實現(xiàn)一改都改。

1.3 系統(tǒng)運維賬號管理混亂，賬號權(quán)限不可控

《中國鐵路總公司網(wǎng)絡(luò)安全管理辦法》《中國鐵路總公司信息系統(tǒng)運行維護管理辦法》《鐵路數(shù)據(jù)管理暫行辦法》等規(guī)章制度中已明確提出系統(tǒng)運維工作涉及的用戶安全管理要求，但在日常運維工作中仍存在賬號違規(guī)提權(quán)、賬號共享、身份信息明文存儲、賬號密碼未落實定期修改、長期持有過高權(quán)限的賬號使用情況無人監(jiān)管等問題[4]。在缺少技術(shù)監(jiān)管措施的情況下，這些問題很難被發(fā)現(xiàn)，且極易被不法人員竊取利用，造成不可挽回的損失。因此，運維管理部門亟需有效的技術(shù)手段，對運維賬號信息的使用規(guī)范化、變更流程化、權(quán)限合理化、管理系統(tǒng)化進行落實，用于提高監(jiān)管手段，提升管理效率，減少運維工作量，降低運維難度。

1.4 用戶信息量龐大，缺少集中管理手段

鐵路信息化系統(tǒng)用戶身份信息量龐大，僅靠人工管理難度大、效率低、風(fēng)險高，缺乏有效的手段對用戶身份信息使用情況進行統(tǒng)一監(jiān)管[6-7]。亟需建設(shè)用戶身份信息管理系統(tǒng)，主動發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的用戶身份信息分布情況、自主識別賬號風(fēng)險、監(jiān)管用戶身份使用情況，協(xié)助運維管理部門實現(xiàn)用戶身份信息安全管理和全局監(jiān)控的目標(biāo)，同時降低因賬號泄漏或被濫用而造成數(shù)據(jù)安全事故的概率。

通過對鐵路信息系統(tǒng)用戶身份信息從使用、管理、運維、共享等方面的分析發(fā)現(xiàn)，在管理用戶身份信息時，缺少相應(yīng)的自動化管理措施及管理手段。因此，建設(shè)鐵路用戶身份自動化管理系統(tǒng)對提升運維能力意義重大。

2 系統(tǒng)設(shè)計

2.1 系統(tǒng)框架

用戶身份自動化管理系統(tǒng)以用戶身份全生命周期管理為核心，以最小化權(quán)限管理為基本原則[8]，以自動化安全管理與監(jiān)控為重要手段，協(xié)助鐵路運維管理部門規(guī)范化、系統(tǒng)化、流程化地管理用戶身份信息。系統(tǒng)總體架構(gòu)分為展現(xiàn)層、應(yīng)用層、服務(wù)層、數(shù)據(jù)支撐層和數(shù)據(jù)基礎(chǔ)層，如圖1所示。

圖1 用戶身份自動化管理系統(tǒng)總體架構(gòu)

（1）展示層：用于展示用戶身份信息資產(chǎn)與風(fēng)險狀態(tài)，包括資產(chǎn)統(tǒng)計、資產(chǎn)態(tài)勢、風(fēng)險賬號等維度。

（2）應(yīng)用層：用于提供實際操作與系統(tǒng)管理的交互界面，包括資產(chǎn)管理、任務(wù)管理、權(quán)限管理、日志管理、組件管理、策略管理、工單管理、風(fēng)險管理、系統(tǒng)管理、告警管理等功能，滿足日常用戶身份信息運維管理需求。

（3）服務(wù)層：作為系統(tǒng)的核心，提供策略服務(wù)、數(shù)據(jù)分析能力與接口服務(wù)能力，支撐并執(zhí)行應(yīng)用層下發(fā)的任務(wù)，為第三方應(yīng)用提供統(tǒng)一接口服務(wù)。

（4）數(shù)據(jù)支撐層：提供知識庫與數(shù)據(jù)支撐服務(wù)，包括弱口令字典、資產(chǎn)庫、策略庫、規(guī)則特征庫等各類服務(wù)，滿足用戶身份數(shù)據(jù)相關(guān)的服務(wù)需要。

（5）數(shù)據(jù)基礎(chǔ)層：提供基礎(chǔ)數(shù)據(jù)源和數(shù)據(jù)集中存儲空間，包括用戶身份數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、審計數(shù)據(jù)、風(fēng)險數(shù)據(jù)等基礎(chǔ)信息。

2.2 功能架構(gòu)

該系統(tǒng)基于B/S架構(gòu)設(shè)計，采用LiteFlow框架進行功能組件管理與調(diào)度，服務(wù)層基于“接口服務(wù)+策略服務(wù)+數(shù)據(jù)分析”構(gòu)建，對外提供接口業(yè)務(wù)和應(yīng)用服務(wù)；運用自動化管理技術(shù)對用戶身份全生命周期進行自動化管理，減少人工收集、人工研判、人工備份等繁瑣操作。該系統(tǒng)從功能上可歸納為系統(tǒng)基礎(chǔ)管理、資源管理、策略管理、知識庫管理，功能架構(gòu)如圖2所示。

圖2 用戶身份自動化管理系統(tǒng)功能結(jié)構(gòu)

2.2.1 系統(tǒng)基礎(chǔ)管理

包括系統(tǒng)管理、報表管理、日志管理、權(quán)限管理、外發(fā)管理、組織管理模塊，實現(xiàn)對系統(tǒng)權(quán)限、組織關(guān)系、基礎(chǔ)數(shù)據(jù)、安全配置、系統(tǒng)維護等方面的管理。

2.2.2 資源管理

包括用戶管理、組件管理、資產(chǎn)管理模塊，提供系統(tǒng)資源功能與服務(wù)能力，是用戶身份全過程管理、安全策略執(zhí)行調(diào)度、資產(chǎn)信息數(shù)據(jù)維護的核心。

其中，組件管理通過自動發(fā)現(xiàn)、自動改密與核驗、自動推送、自動備份[9]等功能，實現(xiàn)用戶身份信息的統(tǒng)一管理，詳細(xì)設(shè)計如下。

（1）自動發(fā)現(xiàn)：通過策略管理預(yù)配置自動發(fā)現(xiàn)策略，結(jié)合自動發(fā)現(xiàn)組件引擎，對鐵路信息系統(tǒng)用戶身份信息元素進行提取，將新采集的用戶身份信息與該系統(tǒng)管理的用戶身份信息進行對比分析，識別未及時納管、已刪除的用戶，全局掌控資產(chǎn)用戶身份信息。

（2）自動改密與核驗：根據(jù)策略管理預(yù)配置改密與核驗策略，結(jié)合自動改密與核驗組件引擎完成對用戶身份信息的自動改密與核驗，進而發(fā)現(xiàn)私自修改用戶身份密碼等行為風(fēng)險。

（3）自動推送：通過資產(chǎn)管理中資產(chǎn)的關(guān)聯(lián)關(guān)系，分析識別相關(guān)資產(chǎn)變更，結(jié)合自動推送組件引擎，實現(xiàn)用戶身份改密后的實時推送功能。

（4）自動備份：根據(jù)策略管理預(yù)配置自動備份策略和基礎(chǔ)配置中的外發(fā)管理功能，結(jié)合自動備份組件引擎實現(xiàn)自動化備份。

（5）威脅分析：利用知識庫和自主發(fā)現(xiàn)功能，發(fā)現(xiàn)風(fēng)險賬號、脆弱資產(chǎn)及違規(guī)提權(quán)等操作。

2.2.3 策略管理

包括自動推送策略、訪問策略、備份策略、核驗策略、改密策略、賬號管理策略、自動發(fā)現(xiàn)策略模塊，提供基于發(fā)現(xiàn)、使用、變更、同步、存儲的用戶身份全生命周期的策略安全配置，實現(xiàn)自動發(fā)現(xiàn)、自動識別、自動運維、風(fēng)險分析、威脅分析的自動化安全管理。

2.2.4 知識庫管理

包括資產(chǎn)庫、弱口令字典、策略庫、規(guī)則特征庫模塊，作為數(shù)據(jù)支撐層的核心部分，提供基于弱口令字典、規(guī)則特征庫、策略庫、資產(chǎn)庫等于一體的完整知識庫體系，為用戶身份自動化安全管理提供數(shù)據(jù)支撐。

3 關(guān)鍵技術(shù)

3.1 用戶身份信息全過程自動化管理技術(shù)

根據(jù)用戶身份信息的時效性、動態(tài)變化等特點，以用戶身份信息動態(tài)變化的視角分析和安全風(fēng)險識別，將用戶身份按時間演變過程分為誕生階段、使用與監(jiān)控階段、變更與同步階段、鎖定與釋放階段、存儲與備份階段。在用戶身份的5個不同階段分別采用自動發(fā)現(xiàn)、風(fēng)險與威脅分析、自動改密與核驗、自動推送、排他分析、自動存儲與備份等技術(shù)手段，形成一套基于用戶身份生命周期的自動化管理技術(shù)體系，完成用戶身份全生命周期的自動管理與監(jiān)控?；谟脩羯矸菪畔⒌淖詣庸芾磉^程如圖3所示。

圖3 用戶身份自動管理過程

3.2 用戶身份信息自動化備份技術(shù)

該系統(tǒng)將用戶賬號密碼生成前段、后段兩份密碼文件，同時設(shè)置A、B兩個安全碼系統(tǒng)管理員，將A安全碼+B安全碼拼接而成的字符串作為加密密鑰，并采用國家密碼管理局發(fā)布的SM2、SM3、SM4等算法把前段、后段兩份密碼文件分別加密。根據(jù)系統(tǒng)基礎(chǔ)管理中外發(fā)管理配置情況進行加密文件外發(fā)，實現(xiàn)用戶身份信息異地備份與用戶身份信息多重逃生通道，做到備份文件的加密密鑰分段、分人、分權(quán)管理，避免一人掌控全部用戶信息帶來的風(fēng)險。在出現(xiàn)特殊情況需要解密備份文件時，需A、B安全碼管理員同時授權(quán)，并輸入A安全碼、B安全碼作為解密密鑰，實現(xiàn)備份文件的安全解密功能。自動備份實現(xiàn)過程如圖4所示。

圖4 自動備份實現(xiàn)過程

4 應(yīng)用場景

該系統(tǒng)具有開放、靈活的接口服務(wù)，能夠與鐵路運維管理類信息系統(tǒng)、網(wǎng)絡(luò)類、安全管理類系統(tǒng)快速集成，協(xié)助鐵路運維管理部門完成對用戶身份信息的系統(tǒng)化、流程化和規(guī)范化管理工作，滿足用戶身份信息的統(tǒng)一管理要求，解決用戶身份數(shù)據(jù)泄漏、丟失、盜用、明文存儲、弱口令、用戶信息共享等因素造成的日常運維困擾。該系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動過程如圖5所示。

圖5 用戶身份自動化管理系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動過程

該系統(tǒng)與鐵路運維管理系統(tǒng)聯(lián)動中，涉及身份憑證獲取、改密與自動推送、威脅分析檢測告警3個場景。

4.1 身份憑證獲取

在用戶身份信息集中管理場景下，運維/安全設(shè)備動態(tài)獲取用戶身份的過程為：

（1）訪問人員通過運維/安全類設(shè)備發(fā)起訪問目的資源請求；

（2）運維/安全類設(shè)備通過該系統(tǒng)提供的接口服務(wù)獲取目標(biāo)設(shè)備的身份憑證；

（3）運維/安全類設(shè)備通過校驗身份憑證及權(quán)限后，登錄目標(biāo)系統(tǒng)。

4.2 改密與自動推送

當(dāng)目標(biāo)資源身份憑證有變動需求時，系統(tǒng)同步過程為：

（1）管理人員通過該系統(tǒng)發(fā)起某一目標(biāo)資源的身份憑證修改任務(wù)；

（2）該系統(tǒng)完成修改后，通過登錄目標(biāo)系統(tǒng)完成驗證工作；

（3）該系統(tǒng)將修改內(nèi)容自動推送到關(guān)聯(lián)系統(tǒng)配置中，完成同步目的。

4.3 威脅分析檢測告警

當(dāng)出現(xiàn)目標(biāo)資源私自修改行為，分析檢測告警過程為：

（1）有人員違規(guī)通過后臺或其他方式私自修改用戶身份憑證；

（2）系統(tǒng)通過定期排查及威脅分析發(fā)現(xiàn)私自修改行為；

（3）系統(tǒng)自動還原目標(biāo)資源的用戶身份憑證，并對操作行為告警通報。

5 結(jié)束語

本文設(shè)計并實現(xiàn)了鐵路用戶身份管理系統(tǒng)，闡述了關(guān)鍵技術(shù)，以自動化管理技術(shù)為手段，實現(xiàn)鐵路用戶身份信息的全生命周期管理，推動用戶身份信息管理由線下人工管理向線上自動化管理的模式轉(zhuǎn)換。協(xié)助鐵路運維管理部門更便捷地管理和保護各類型資源的身份憑證，避免因用戶身份信息管理不當(dāng)造成泄漏或被濫用，降低用戶身份相關(guān)數(shù)據(jù)安全事故的發(fā)生概率，顯著提升用戶身份信息安全保障能力，推動鐵路用戶身份信息的自動化管理與應(yīng)用。