中国移动规范学习 如何建立外汇交易系统账号密码管理平台

【集中账号管理的目的】

随着信息系统复杂性的增加，对中国移动企业内部用户权限的管理要求，将大大超过手工管理跨异构系统的能力。管理上的复杂性还会导致出错机会和安全风险的增加。比如，人员的快速流转导致系统中大量存在孤立的账号，并且这些孤立的账号具有有效的权限，使企业暴露在内部和外部攻击之下。

在一个大型的、信息化程度很高的企业当中，账号管理集中化是解决这些问题的出路，使企业能够从一个或几个集中点，控制用户对所有企业信息系统的访问。

企业通过实施集中账号管理，达到以下目的：

1. 管理员在一点上即可对不同系统中的账号进行管理，实现：

1. 账号与人的关联；

2. 网络设备、操作系统、甚至应用系统中已有账号的收集；

3. 新建账号并同步到各系统中去；

4. 实现集中的密码策略，并按照密码策略的要求，自动、集中、定期修改系统账号的口令；

5. 实现集中删除一个自然人的所有或者部分系统账号；

6. 通过4A之外的流程管理系统或者简单的记录手段保留账号创建、分配、变更、删除整个过程的信息，从而知道什么时间、哪些账号给了哪些人，每个人拥有什么样的账号，便于审计。

【对集中账号管理的要求】

账号集中化管理系统需要做到：

1、与各主机、网络设备、信息系统无缝连接

对于采用账号/密码方式登录的应用系统，要求能够继承现有系统的账号数据，并将各种系统的账号数据统一到一种格式，集中存放。

现有应用系统中的账号数据可能存放在关系数据库（RDB）中，也可能存放在LDAP数据库中，要求对这两种存储方式均提供支持，并且可以通过简单的数据库映射配置即可完成。

能够自动发现主机、网络设备上的已有账号。可以定期，或手动触发，自动搜索所有被管理的系统，从中发现、收集所有新创建的账号。

可以通过该平台设定密码策略，包括密码强度、生存周期等，并且能够将结果自动同步到所有被管理系统中去。

2、与单点登录系统无缝连接

账号管理数据能够实时的与SSO服务器中的数据同步，或者采用相同的数据库。同步的信息包括系统账号、口令等等。如账号管理模块自动修改操作系统账号的口令后，能够将新的口令同步到SSO，而不影响SSO功能。

3、提供账号生存期管理

账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改，口令的重设，账号使用情况的审计等。

账号生存期管理示意如图5.1所示，在后续章节中还要详细介绍。

图： 账号的生存期管理

用户账号集中化管理的带来的益处，需要从系统安全角度、用户角度和系统管理员角度进行体现：

1. 系统安全角度：统一的管理策略保证用户账号的管理与实际情况紧密联系，增加了系统的安全性；

2. 用户角度：先进的单点登录技术与用户账号的集中管理结合，方便了用户的登录，提高安全保护等级；

系统管理员角度：对系统中的用户账号统一管理，可以减少系统管理员的劳动强度，提高生产效率，增强系统的安全性。

【账号生存期管理】

账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改，口令的重设，账号使用情况的审计等。集中账号管理系统必须覆盖整个生存期管理。

【用户与账号的关系】

在此先对用户和账号这两个基本概念进行澄清。

用户是指使用信息系统的企业内正式或临时的员工、来自合作伙伴或设备供应商的工作人员等。

账号是指具体使用系统和业务系统的主体。

用户与账号的关系是这样的：一个用户可以拥有信息系统中的一个或多个账号，也可以不拥有任何账号；账号一般与一个特定的用户相关联，也可以不属于任何一个用户（孤立的账号），甚至可以属于多个用户（多个用户共享同一账号）。用户与账号之间的关系如图5.2所示。

图5.2 信息系统中用户与账号的关系

从图中可以看出用户与账号的对应关系主要有以下几种：

1）孤立的用户

孤立的用户一般是在用户刚刚在企业中注册还没有为其分配账号的时候。

2）孤立的账号

孤立的账号一般是在用户离职以后，但账号还没有删除的情况下存在。从安全的角度来看，这种孤立的账号对于信息系统的安全是一种潜在的威胁，因为这种账号是有效的，可以访问信息系统的资源。

3）一个用户对应多个账号

一个用户对应多个账号是比较普遍的情况，因为用户要访问不同的信息系统，而不同信息对账号的管理是独立的，即使是在同一个信息系统中，由于工作的需要，某些用户（如系统管理员）可能既需要高权限的账号，也需要低权限的账号。

4）多个用户对应一个账号

多个用户使用同一账号的情况主要出现同一个工作组中，因为工作的需要大家使用同一个账号。如在中国移动OA系统中，由于软件平台的管理员账号是唯一的，而有管理员权限的用户有多个，只能是这多个用户共享这唯一的管理员账号。这种方式也是不安全的，可能因为某个用户的失误导致系统安全被破坏。

【用户、账号的管理流程】

用户在企业中的生命周期，从用户被录用开始一直到离职，这中间经过职位和岗位的变动、权限的变化等，企业中用户的管理将伴随着员工的整个生命周期。

由于用户可能要访问多个信息系统，这些信息系统可能是异构的，所以在实施用户策略时，管理员应该可以一次性向多个异构的管理平台提交策略，并且策略在传播时也能够确保一致性。集中化用户管理工具应能发现企业内的所有被管理对象，并呈现给管理员。同样，对用户的管理也可以以目录的形式进行管理，对用户的创建、修改和删除能够方便地进行。

对于应用系统来说，集中化的用户账号管理流程大体可以分为以下几步：

1、用户主账号创建

通过系统管理员或用户自助注册系统建立用户主账号，与实际人员对应，每人一个。在单点登录（SSO，详见