文丨中国农业银行研发中心 章卓思 徐佳琦
中国农业银行科技与产品管理局 冯胥
数字化转型背景下,农业银行基于权限安全管控三大原则,在运维门户中实现统一登录入口、统一用户管理、统一权限管理、统一权限模型及权限全生命周期管理,高效解决了用户权限管理领域的难点问题。本文结合农业银行实践,在简要分析用户权限管理难点的基础上,详细介绍了一体化用户权限管控体系的建设思路和方法。
近年来,伴随金融科技的快速发展,各家商业银行纷纷布局智能运维平台建设,为运维领域数字化转型开题破局。在此过程中,用户权限管理作为保护数据不被非法获取、篡改、删除的重要手段以及有效维护系统秩序的关键环节,受到了业界广泛关注。针对该领域,农业银行通过对运维工具平台进行全面整合、提炼和完善,在保障原有用户习惯不改变的情况下,不断加强对异构系统的用户权限统一管理和治理能力,以合规使用、所用必需为原则,以用户管理规范标准为基础,以用户为中心统筹开展服务化重构,打造覆盖总分行的跨平台用户管理服务体系,高效推动运维数字化转型不断深入。
一、用户权限安全管控面临的主要挑战
1.权限管理内容杂
对于大型商业银行而言,运维平台通常关联大量的上层业务应用,具有从应用到基础各运维条线独立、从行内人员到外部科技外包用户类别区分度大、从管理到开发运维用户角色众多等特点,而且由于平台功能涉及生产操作,对权限管控的精细化要求较高,要实现合规使用、所用必需的目标难度较大。
2.管理过程效率低
在实际工作中,用户权限管理涉及授权、撤销等操作流程,同时由于在运维自动化过程中形成了多个复杂的子系统,各子系统用户权限管理能力不一,且针对各类异构应用的权限全生命周期管理能力建设不足,在权限申请、快速赋权、多维度组合授权等方面存在大量的手工操作,不仅效率较低且极易出错。
3.数据安全监管难
用户权限数据的专业性和敏感性通常较高。鉴于此,保证全行管理、开发、运维以及第三方外包等各类用户在平台内安全合规地开展运维操作,是用户权限管理领域的重要难题,商业银行急需引入先进的管理机制和手段,及时对用户账号、权限等开展审计检查。
二、农业银行用户权限安全管控的破题之道
作为全行生产运维工具平台的唯一入口,农业银行运维门户提供统一登录入口、统一用户管理、统一权限管理、统一权限模型及权限全生命周期管理能力,有效解决了用户权限管理面临的开通难、授权难、回收难、查询难等安全管控问题。
1.运筹之法——改进权限模型
业界常用的用户权限管理模型是基于角色的访问控制(Role-Based Access Control,RBAC)模型,主要由用户、角色和权限三部分组成。其中,用户是权限的拥有者或主体;角色是指一组具有特定权限的组合,一个用户可以拥有多个角色,一个角色也可以被赋予多个用户;权限是指对系统资源或数据进行访问或操作的能力。例如,通过角色赋予用户相关权限,可实现更为灵活的访问控制,并提供比直接授予单个用户权限更简单、可控的管理方式。总体而言,RBAC模型具有易于理解、方便管理、责任分散和权限继承等优点,但同时也存在一些缺点有待改进:如访问控制模型是从系统角度出发保护资源,没有将操作环境考虑在内;在模型动态性方面,不包含角色时间约束,使得模型很难满足动态变化的实际需求等。
针对上述难点,农业银行在运维门户中进一步强化了用户权限管理模型。具体而言,一是引入配合管控流程的动态权限控制。为提升安全管控性,满足权限动态变化需求,农业银行在运维门户中配套建设了用户申请、用户赋权等一系列线上化流程,以提供时间维度上的权限动态管控能力,即结合行内要求,申请流程可设置不同的审批环节,且用户和权限都支持按时间维度进行设置和管理。同时,申请人可按需申请短期或长期用户和权限,并在到期后由平台自动进行回收。二是实现支持租户管理的权限隔离。针对总分行、子公司等不同机构的运维管理模式差异和资源权限隔离需求,农业银行在运维门户中增加“租户”标识,为上层应用提供了更为灵活的租户隔离管控支持。租户隔离的RBAC模型如图1所示。
图1 租户隔离的RBAC模型
2.驭权之舵——坚守三大原则
在实施权限安全管控的过程中,农业银行重点遵循了三大原则:一是最小权限原则,即只赋予用户完成其工作所必需的最小权限,避免出现安全风险。二是职责分离原则,即确保不同用户之间的工作职责相互独立,有效降低单一用户对敏感信息的集中控制。三是定期审查原则,即定期对用户权限进行审查,确保权限配置与用户的实际需求和职责相匹配。
3.执行之钥——统一、规范、便捷、安全四象限并重
一是聚焦统一,从总到分对用户“一管到底”。农业银行以运维门户扎口全行生产运维领域系统,基于RBAC模型设计分级分类的用户权限管理模式,实现从总到分、从内到外的一体化用户权限管理(如图2所示)。其中,不同角色、用户组、菜单都有明确的所属子系统,各子系统管理员可相互独立地管理内部权限角色;各机构单独设立机构管理员,负责机构所辖范围内的用户管理、用户赋权。此外,角色、机构、用户皆遵从了严格的分级授权机制,即上级角色权限大于下级角色,上级机构权限大于下级机构,且用户所能拥有的权限不超过所在机构的可授权范围。自2021年重构上线,运维门户已面向全行推广使用,为全行科技条线用户提供服务支持,目前纳管用户较2023年初上涨50%以上,日活跃用户逾3000人,每天从统一门户向各类子系统进行的跳转操作6万余次。
图2 一体化分级分类的用户权限管理示意
二是聚焦规范,角色设计分级分类。在用户角色权限设计方面,农业银行严格遵循最小权限原则,根据组织结构和各平台业务场景需求,将角色分为普适性角色、功能性角色、专用角色、管理员角色等几类,着力落实权限分级分类管理;同时,对于不同类型角色,配套搭建分级管控模式,为高权限的管理员角色设计风控审批流程,实现高权限与高管控并存。此外,根据不同角色在场景和流程中的职能,农业银行通过建立用户权限监督和制约机制,落实岗位不相容、权限互斥等安全风险管控要求,做好申请与授权分离,从根源上实现了用户角色权限的合规使用。
三是聚焦便捷,轻量赋权“即开即用”。在生产环境中,运维系统通常需要更为严格的用户赋权以实现精细化管理,并具备较高的易用性和便捷性以快速响应风险事件。为同时满足上述两点,农业银行在运维门户中实现了统一申请、分级审批,并为不同类型用户(包括行内员工、第三方外包人员、子公司、审计人员等)提供了统一的权限申请入口,实现全流程线上化审批,大幅缩短了权限的申请、授权时间;此外,对于普适性角色权限,采用按默认赋权、按机构赋权、按用户组赋权等不同层次实现轻量化赋权,而且在用户离职或发生岗位调动时,还可自动识别并回收其相应权限,严守信息安全防线(如图3所示)。
图3 精细化轻量赋权示意
四是聚焦安全,打造权限全生命周期闭环。运维门户作为集中式权限管理系统,不仅为管理员提供了各子系统权限的统一管理和监控能力,还针对每一个用户状态变化、每一次用户权限更新提供了溯源日志,支持各机构按需开展审计溯源、治理修正,从而在最大程度上降低过度授权、水平越权访问等安全风险,减少信息泄露及误操作安全隐患。同时,运维门户以基于角色的权限管控机制为引擎,支持用户从权限申请、赋权、查询到回收的全生命周期闭环管理(如图4所示),实现过程留痕可溯、可控、可视。此外,农业银行在督促员工了解、遵循权限管理规定的基础上,通过定期开展培训和意识提升活动,持续帮助员工理解和管理自身权限。
图4 权限全生命周期闭环管理示意
综上所述,用户权限管理是维护信息系统安全稳定运行的重要环节。通过实施有效的用户权限管理策略,金融机构将可以大幅降低信息泄露、滥用和误操作风险,更好地确保数据安全与完整。在深入推进一体化生产运维平台建设的过程中,农业银行始终坚持底线思维,力求为运维数字化转型筑牢根基,为金融科技创新提供持续动力。未来,面向不断变化的业务需求,农业银行将紧跟新技术发展趋势,不断完善和优化用户权限管理体系,使其能更好应对不断升级的安全威胁,高质量助力全行业务发展。
本文刊于《中国金融电脑》2024年第3期
声明:本文来自中国金融电脑+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。