鐵路信息系統用戶身份自動化管理及關鍵技術研究

胡 俠，陳 勛，李 琪，于洪剛

（1. 北京經緯信息技術有限公司，北京 100081；2. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京, 100081；3. 中國鐵路濟南局集團有限公司 信息技術所，濟南 250001）

近些年，越權操作、身份模擬等造成的數據泄露事件頻發[1-2]。2022年9月15日，美國優步公司被黑客通過盜號入侵內部服務，這一安全事件直接導致優步公司內部服務數據泄露、服務停運，造成不可估量的經濟損失，同時也嚴重影響公司的公眾認可度與國際形象。我國陸續頒布了《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，對企業信息系統用戶身份識別、權限管控、安全審計、賬號自動管理等提出了更高的管控要求。“十三五”期間，隨著鐵路業務的高速增長，各類鐵路信息系統因資源不足或功能不全而開展了擴建與優化工作，造成系統網絡資源越積越多、用戶數量迅速增長、各類資源設備對身份信息復雜度的要求各有不同等情況。由于用戶身份管理不當引起的安全事故時有發生，使得鐵路信息系統運行維護單位（簡稱：運維管理部門）難以感知鐵路信息系統用戶身份使用分布情況和身份信息風險。因此，本文結合鐵路信息系統用戶身份信息管理的實際情況、存在的風險隱患和需求，設計用戶身份自動化管理系統，解決信息系統使用過程中用戶身份管理安全問題。

1 現狀及需求分析

1.1 風險賬號普遍存在，缺少技術管理措施

弱口令賬號[3]、長期未修改密碼（簡稱：改密）的賬號、后門賬號、僵尸賬號、幽靈賬號等稱為風險賬號[4]。此類賬號一直是鐵路運維管理部門關注的重點。盡管運維人員日常通過定期排查及其他技術管控措施進行用戶賬號管理，但因鐵路信息系統基數大、運維人員有限、信息系統變動頻繁、故障排查不到位等原因，導致用戶賬號管理落實困難、效率低、風險高等問題。因此，運維管理部門在強化日常數據安全保障、細化落實相關用戶身份管理規范和要求的同時，亟需尋求更有效的技術措施，主動發現信息系統用戶身份信息，識別風險賬號，掌握用戶賬號使用情況。

1.2 系統間賬號存在關聯關系，缺少自動化管理手段

鐵路業務系統復雜交錯，在信息系統研發過程中，相關子系統或模塊存在賬號關聯信息，相關中間件、應用代碼和配置文件中存在大量的與用戶身份信息相關聯的“硬編碼”[5]，而這些賬戶“硬編碼”信息多以明文形式存在，目前只能手動逐個修改，維護難度大，無法做到自動化同步更新，且一旦外泄可能造成大批核心主機失陷、數據庫損壞或數據泄露。因此，當用戶身份信息發生變更時，需要通過預配置策略自動向相關聯系統推送相關賬號信息，保證相關配置文件和腳本中身份賬號信息得到及時更新，實現一改都改。

1.3 系統運維賬號管理混亂，賬號權限不可控

《中國鐵路總公司網絡安全管理辦法》《中國鐵路總公司信息系統運行維護管理辦法》《鐵路數據管理暫行辦法》等規章制度中已明確提出系統運維工作涉及的用戶安全管理要求，但在日常運維工作中仍存在賬號違規提權、賬號共享、身份信息明文存儲、賬號密碼未落實定期修改、長期持有過高權限的賬號使用情況無人監管等問題[4]。在缺少技術監管措施的情況下，這些問題很難被發現，且極易被不法人員竊取利用，造成不可挽回的損失。因此，運維管理部門亟需有效的技術手段，對運維賬號信息的使用規范化、變更流程化、權限合理化、管理系統化進行落實，用于提高監管手段，提升管理效率，減少運維工作量，降低運維難度。

1.4 用戶信息量龐大，缺少集中管理手段

鐵路信息化系統用戶身份信息量龐大，僅靠人工管理難度大、效率低、風險高，缺乏有效的手段對用戶身份信息使用情況進行統一監管[6-7]。亟需建設用戶身份信息管理系統，主動發現各類基礎設施資源的用戶身份信息分布情況、自主識別賬號風險、監管用戶身份使用情況，協助運維管理部門實現用戶身份信息安全管理和全局監控的目標，同時降低因賬號泄漏或被濫用而造成數據安全事故的概率。

通過對鐵路信息系統用戶身份信息從使用、管理、運維、共享等方面的分析發現，在管理用戶身份信息時，缺少相應的自動化管理措施及管理手段。因此，建設鐵路用戶身份自動化管理系統對提升運維能力意義重大。

2 系統設計

2.1 系統框架

用戶身份自動化管理系統以用戶身份全生命周期管理為核心，以最小化權限管理為基本原則[8]，以自動化安全管理與監控為重要手段，協助鐵路運維管理部門規范化、系統化、流程化地管理用戶身份信息。系統總體架構分為展現層、應用層、服務層、數據支撐層和數據基礎層，如圖1所示。

圖1 用戶身份自動化管理系統總體架構

（1）展示層：用于展示用戶身份信息資產與風險狀態，包括資產統計、資產態勢、風險賬號等維度。

（2）應用層：用于提供實際操作與系統管理的交互界面，包括資產管理、任務管理、權限管理、日志管理、組件管理、策略管理、工單管理、風險管理、系統管理、告警管理等功能，滿足日常用戶身份信息運維管理需求。

（3）服務層：作為系統的核心，提供策略服務、數據分析能力與接口服務能力，支撐并執行應用層下發的任務，為第三方應用提供統一接口服務。

（4）數據支撐層：提供知識庫與數據支撐服務，包括弱口令字典、資產庫、策略庫、規則特征庫等各類服務，滿足用戶身份數據相關的服務需要。

（5）數據基礎層：提供基礎數據源和數據集中存儲空間，包括用戶身份數據、資產數據、審計數據、風險數據等基礎信息。

2.2 功能架構

該系統基于B/S架構設計，采用LiteFlow框架進行功能組件管理與調度，服務層基于“接口服務+策略服務+數據分析”構建，對外提供接口業務和應用服務；運用自動化管理技術對用戶身份全生命周期進行自動化管理，減少人工收集、人工研判、人工備份等繁瑣操作。該系統從功能上可歸納為系統基礎管理、資源管理、策略管理、知識庫管理，功能架構如圖2所示。

圖2 用戶身份自動化管理系統功能結構

2.2.1 系統基礎管理

包括系統管理、報表管理、日志管理、權限管理、外發管理、組織管理模塊，實現對系統權限、組織關系、基礎數據、安全配置、系統維護等方面的管理。

2.2.2 資源管理

包括用戶管理、組件管理、資產管理模塊，提供系統資源功能與服務能力，是用戶身份全過程管理、安全策略執行調度、資產信息數據維護的核心。

其中，組件管理通過自動發現、自動改密與核驗、自動推送、自動備份[9]等功能，實現用戶身份信息的統一管理，詳細設計如下。

（1）自動發現：通過策略管理預配置自動發現策略，結合自動發現組件引擎，對鐵路信息系統用戶身份信息元素進行提取，將新采集的用戶身份信息與該系統管理的用戶身份信息進行對比分析，識別未及時納管、已刪除的用戶，全局掌控資產用戶身份信息。

（2）自動改密與核驗：根據策略管理預配置改密與核驗策略，結合自動改密與核驗組件引擎完成對用戶身份信息的自動改密與核驗，進而發現私自修改用戶身份密碼等行為風險。

（3）自動推送：通過資產管理中資產的關聯關系，分析識別相關資產變更，結合自動推送組件引擎，實現用戶身份改密后的實時推送功能。

（4）自動備份：根據策略管理預配置自動備份策略和基礎配置中的外發管理功能，結合自動備份組件引擎實現自動化備份。

（5）威脅分析：利用知識庫和自主發現功能，發現風險賬號、脆弱資產及違規提權等操作。

2.2.3 策略管理

包括自動推送策略、訪問策略、備份策略、核驗策略、改密策略、賬號管理策略、自動發現策略模塊，提供基于發現、使用、變更、同步、存儲的用戶身份全生命周期的策略安全配置，實現自動發現、自動識別、自動運維、風險分析、威脅分析的自動化安全管理。

2.2.4 知識庫管理

包括資產庫、弱口令字典、策略庫、規則特征庫模塊，作為數據支撐層的核心部分，提供基于弱口令字典、規則特征庫、策略庫、資產庫等于一體的完整知識庫體系，為用戶身份自動化安全管理提供數據支撐。

3 關鍵技術

3.1 用戶身份信息全過程自動化管理技術

根據用戶身份信息的時效性、動態變化等特點，以用戶身份信息動態變化的視角分析和安全風險識別，將用戶身份按時間演變過程分為誕生階段、使用與監控階段、變更與同步階段、鎖定與釋放階段、存儲與備份階段。在用戶身份的5個不同階段分別采用自動發現、風險與威脅分析、自動改密與核驗、自動推送、排他分析、自動存儲與備份等技術手段，形成一套基于用戶身份生命周期的自動化管理技術體系，完成用戶身份全生命周期的自動管理與監控。基于用戶身份信息的自動管理過程如圖3所示。

圖3 用戶身份自動管理過程

3.2 用戶身份信息自動化備份技術

該系統將用戶賬號密碼生成前段、后段兩份密碼文件，同時設置A、B兩個安全碼系統管理員，將A安全碼+B安全碼拼接而成的字符串作為加密密鑰，并采用國家密碼管理局發布的SM2、SM3、SM4等算法把前段、后段兩份密碼文件分別加密。根據系統基礎管理中外發管理配置情況進行加密文件外發，實現用戶身份信息異地備份與用戶身份信息多重逃生通道，做到備份文件的加密密鑰分段、分人、分權管理，避免一人掌控全部用戶信息帶來的風險。在出現特殊情況需要解密備份文件時，需A、B安全碼管理員同時授權，并輸入A安全碼、B安全碼作為解密密鑰，實現備份文件的安全解密功能。自動備份實現過程如圖4所示。

圖4 自動備份實現過程

4 應用場景

該系統具有開放、靈活的接口服務，能夠與鐵路運維管理類信息系統、網絡類、安全管理類系統快速集成，協助鐵路運維管理部門完成對用戶身份信息的系統化、流程化和規范化管理工作，滿足用戶身份信息的統一管理要求，解決用戶身份數據泄漏、丟失、盜用、明文存儲、弱口令、用戶信息共享等因素造成的日常運維困擾。該系統與鐵路運維管理系統聯動過程如圖5所示。

圖5 用戶身份自動化管理系統與鐵路運維管理系統聯動過程

該系統與鐵路運維管理系統聯動中，涉及身份憑證獲取、改密與自動推送、威脅分析檢測告警3個場景。

4.1 身份憑證獲取

在用戶身份信息集中管理場景下，運維/安全設備動態獲取用戶身份的過程為：

（1）訪問人員通過運維/安全類設備發起訪問目的資源請求；

（2）運維/安全類設備通過該系統提供的接口服務獲取目標設備的身份憑證；

（3）運維/安全類設備通過校驗身份憑證及權限后，登錄目標系統。

4.2 改密與自動推送

當目標資源身份憑證有變動需求時，系統同步過程為：

（1）管理人員通過該系統發起某一目標資源的身份憑證修改任務；

（2）該系統完成修改后，通過登錄目標系統完成驗證工作；

（3）該系統將修改內容自動推送到關聯系統配置中，完成同步目的。

4.3 威脅分析檢測告警

當出現目標資源私自修改行為，分析檢測告警過程為：

（1）有人員違規通過后臺或其他方式私自修改用戶身份憑證；

（2）系統通過定期排查及威脅分析發現私自修改行為；

（3）系統自動還原目標資源的用戶身份憑證，并對操作行為告警通報。

5 結束語

本文設計并實現了鐵路用戶身份管理系統，闡述了關鍵技術，以自動化管理技術為手段，實現鐵路用戶身份信息的全生命周期管理，推動用戶身份信息管理由線下人工管理向線上自動化管理的模式轉換。協助鐵路運維管理部門更便捷地管理和保護各類型資源的身份憑證，避免因用戶身份信息管理不當造成泄漏或被濫用，降低用戶身份相關數據安全事故的發生概率，顯著提升用戶身份信息安全保障能力，推動鐵路用戶身份信息的自動化管理與應用。