大型银行数据中心用户安全管理.docVIP

大型银行数据中心用户安全管理 　　随着信息技术日新月异，银行业务高度信息化并稳步迈入大数据时代。数据中心作为银行信息化、大数据的核心基础，其IT系统庞杂，多则上千，涉及用户过万。面对如此规模的系统，如何安全高效的管理成为了普遍性难题。为破解用户管控难题，不少银行采取增加人手、加大投入、购置各类管控工具等措施，但多因管控分散、主客体管理割裂、自动化程度不高等问题，导致各类探索和尝试总体效果收效甚微、合规管控差强人意，屡屡坠入安全陷阱，制约了银行信息技术进一步跨越式发展。据Verizon（威瑞森电信公司）数据泄露调查报告，全球近十年间发生的数据泄露案件中有19%是由于用户安全管理等内部管理失误造成的，在金融行业中，用户安全管理问题也是数据泄露发生的四大原因之一。 　　面对海量用户管理压力和安全合规的紧迫性，我们着眼于整合和统一规范跨各种系统类型用户管理，变人工管理为自动管理，提出用户安全管理的集中化、统一化和自动化，构建银行数据中心安全可控的用户管理中心。本文将通过分析当前用户安全管理现状和业内先进实践经验，探索适应大型银行数据中心的用户安全管理模式，阐述用户管理中心建设思路、关?I技术引入以及实践原则和方法，并对管理实践所取得的收益和成效加以分析。 　　用户安全管控理念的演进 　　大型银行用户管理困境 　　大型银行数据中心用户管理一般分为两大类：一类是对人员用户的管理，即对人员本身的管理；一类是对IT资源用户的管理，即运维人员通过各类资源用户直接访问或操作生产信息系统的底层操作系统、数据库、中间件以及应用程序，此类用户权限高、种类繁多、操作风险大。两类用户在数据中心运行过程中是主客体关系，两者联系紧密，但实际管理中往往相互割裂，管理难以到位。2011年韩国农协银行由于用户权限管理不到位，造成了提现和转账等关键服务瘫痪达3天之久，波及面大，教训深刻。 　　数据中心用户的安全管控上，业内已经采取了诸多措施，但因缺乏自动化、统一化的管理，成效有限：一是在业务急速扩张背景下，用户数量呈几何级增长，依靠手工管理，运维人员疲于操作、顾此失彼，安全往往被忽视；二是各专业按分工建立的专业性用户管理系统，管理上独立分散不统一，不同类型的系统和设备归不同部门管理，各个专业条线间缺乏横向联系，用户管控缺乏统一规范；三是用户安全合规管控要求大多以人工来实现，由于管理半径长，极易受主观干扰，执行准确率不高，全覆盖难度大。 　　业界用户安全管理探索 　　近年来，数据中心的安全管理正从以操作为中心向以用户为中心转变。往常的逐一对活动进行访问控制或设置安全策略的方式效率和成效都欠佳，越来越无法适应当前形势。 　　在信息化互联浪潮的推动下，借助通信技术领域的的快速发展，电信行业率先进行了用户集中安全管控的探索。电信行业与大型银行相比较具有三个利于先行先试的特点：一是系统类型相对单一，主要以通信交换设备为主，对兼容性要求不高；二是信息系统集中度相对不高，以各省域数据中心为主，集中用户管理规模压力较轻；三是系统可用性要求较金融业相对宽松。在此背景下，集中化用户管理平台的运用既满足了安全要求，对现有信息系统运行现状又不会产生较大的影响。 　　某电信公司于2011年建设了具有集中管理特点的4A安全管控平台，取得了一定的成效。一是在各省范围建立了集中化的具有授权和审计功能的用户集中管理平台，依托自动化提升用户运维管理效率，对用户使用行为进行有效控制。二是形成了企业统一的用户管理规范，在制度层面对各类用户管理进行标准化。此种以用户为中心的安全管理模式的优势主要体现在三个方面：一是所有运维行为均以用户为载体，管控住了用户就牵住了牛鼻子；二是运维活动发起方为用户，控制用户就意味着控制了源头；三是对用户设置的安全控制措施将有效覆盖所有由此用户产生的活动。 　　大型银行用户安全管理的优选模式 　　根据业界先进的用户安全管理实践经验和理念，结合大型银行数据中心安全管理现状，用户的安全管理应做到以下两点：一是在管理意识上，将用户的安全管理置于整个安全管理架构的中心位置（图1）；二是在推进实现上，建设具备更高统一性、高效性和可用性用户管理中心。 　　数据中心在管理、操作和运维业务信息系统过程中，表现形式为各类用户使用，安全控制最终也就是对用户管控。构建用户中心、管理中心、监控中心等三大管控中心是数据中心实现安全管理统一化、自动化和集中化的必由之路。用户管理是人员和信息实体管理的联系纽带和抓手，用户管理中心也就成为三大安全中心建设的前提和重点，是数据中心安全管理的基石。 　　用户管理中心建设路线图 　　某大型银行借鉴业界先进理念，从实际出发，建设了用户管理中心（PIM系统），满足了大型银行数据中心用户安全合规需求、整合防控手段、提升管理效率的集中型管理信息系统