文 / 中信银行科技运营中心 冯云龙 常亚辉 马超 伍科松
在信息安全领域不断演进与挑战当下,对堡垒机安全升级的探索与实践,犹如一场面向未来的智慧征程,引领金融领域探索信息防护的新边界,精心构筑起坚不可摧的数字安全长城。这一探索,不仅是对技术极限的挑战,更是对安全理念的深刻革新。随着信息安全进入2.0时代,我们发现传统的堡垒机由于反应滞后、安全防护等级不足、缺乏统一的管控机制等问题,已无法满足现代安全环境的需求。因此,构建主动防御式堡垒机,已经成为金融行业安全运营管理者亟待探索和实现的战略目标。
打造主动防御式堡垒机,金融行业信息安全升级的必由之路
1.被动防御式堡垒机的不足
(1)权限管理缺乏统一管控机制。传统堡垒机虽然可以对用户可访问的授权记录、可进行的操作加以限制,但权限分配方面如果不合理或管理不善,系统的安全性也会存在威胁。同时传统堡垒机也未对权限的使用方面进行相应的限制,只要拥有权限就可以使用,无法限制人员使用高权的地点,无法对某一权限的使用进行集中管理。
(2)身份认证安全防控等级不足。传统堡垒机只有被动防御、事后监督的能力,一般不会使用自主可控芯片及SM算法进行安全防控,身份认证安全等级不够等问题无法避免。
(3)运维操作缺乏风险阻断方式。传统堡垒机系统可实时记录运维人员所有的操作记录(包括:登录用户、登录终端IP、登录时间、登录的系统名称、设备IP、主机名、使用的系统用户、访问协议及端口、用户等级、授权来源、退出时间等),支持查看操作命令及回放操作录像。但仅支持事后审计,对于事前、事中发生的问题缺乏管控能力。
2.主动防御式堡垒机的建设目标
(1)用户权限统一管控。用户权限统一管控体系,是数字化转型的坚实基石,更是信息安全与运维管理领域的一次革命性飞跃。实现了对用户权限全方位、精细化、动态化管理。通过设立高权安全区域,将高风险操作限制在固定区域执行,结合生物识别系统,进行全操作流程监控,实时预警。通过设立最小颗粒度授权自动化检查规则,保证权限不会出现过剩的情况,确保每个权限的分配与使用都遵循着严格的合规要求。与应急流程相结合,及时下发并严格控制应急高权,提高应急处置的时效。除应急高权之外的全部高权操作做都需要“双人复核”,做到用户每一次登录,每一次操作可受到严格的监控与审计。这样不仅能够洞察并防御潜在的策略控制,更能优化运维流程,提升工作效率。
(2)提升身份认证安全等级。深度融合先进的多因素认证技术,与合规检查模型一并构建了坚不可摧的身份认证防线。通过引入生物识别、SM令牌等多种方式,不仅能够大幅度提升用户身份的真实性与可信度,更有效防止了身份冒用、密码泄密等安全威胁。建立严格的检查模型,实时监测用户借用、非法获取账号密码的情况,做到账号“不外泄”、密码“合法得”。
(3)高危操作事前阻断。堡垒机以其高危操作阻断能力,成为了信息安全领域的守门员。通过结合授权记录、登录地点、登录用户、操作命令等信息,制定合规检查模型。当识别出用户非法获得权限时,在其登录会话之初就能够进行识别预警,在最源头加以控制阻断。
主动防御堡垒机的实践成果
中信银行的主动防御式堡垒机,通过设立最小权限原则,进行分组分权管理,降低了权限滥用的风险;通过采用实名与统一认证联动和双因素认证的方式确保用户数据安全;通过实时监控操作日志,识别并阻断敏感高危操作;通过高危命令拦截、双人复核等机制防止系统损害。持续强化堡垒机的主动适应能力,应对新的威胁和挑战,这些特性强化了内部资源的保护,防止数据泄露,提升运维效率。主要技术亮点可以概括为“三个主动”。
1.用户权限主动管理
(1)安全区域多因素认证保障。堡垒机按终端IP地址区分不同的安全区域,将能访问生产系统的环境划分为:查询区、监控区、变更区,不同的区域严格限制了访问控制权限;查询区只能使用低权用户查询,监控区只能使用查询和批处理用户,只有在变更区才能使用高权用户。针对生产应急,额外设置了“ECC应急区”,此区域平时日常工作中仅作为低权区域使用,当启动生产应急后通过与应急流程工单的联动,该区域自动变为应急高权区域,且值班应急人员所使用的应急高权仅可在“ECC应急区”查看,日常高权区无法查看应急高权。在控制日常高权使用的基础上,对应急期间的高权进行了二次限制,做到双重安全保护。
(2)手工操作强制“双敲”。堡垒机采用严格的“分组分权”授权管理策略,每个领域为一个组,每个组的运维人员日常只能访问本领域设备的低权账号,不允许跨组访问;堡垒机的高权账号采用“一人一事一审批”策略,在变更、应急处置等需要使用高权用户的场景,从流程平台提交高权申请单,干部审批通过后,堡垒机自动将所申请高权赋予工单的操作人和复核人;堡垒机从技术上对高权账号的操作实现线上“双敲”复核控制,即一人操作、一人复核,实现双人临岗的“硬控制”,严格控制单人操作风险,流程工单到期后高权用户的自动回收,严格控制高权的使用范围。
(3)用户权限主动分配。堡垒机与应急流程联动,当发起应急事件时,堡垒机关联事件单,自动给一线应急人员下发预埋应急高权,减少高权审批流程的耗时,提高了应急处理时效,更加快速的定位和解决生产问题。
(4)合规管控前置进行。通过分析堡垒机的审计日志,与用户所使用的高权限账号授权记录进行匹配分析,当识别出该用户所使用的高权非正当途径申请所得时,会发出预警,及时通知检查人员进行在其使用高权账号之前进行制止,做到事前控制。
2.主动身份认证安全防护
(1)身份认证结果主动检查。由于堡垒机根据用户进行了分组分权,若出现堡垒机用户出借的情况,也会存在权限过大的风险。通过分析堡垒机的登录日志、人员当天的考勤记录进行匹配。当存在用户当天无打卡记录但却有堡垒机登录记录的情况,证明此人的用户出现了外借的情况,会及时产生预警,并会通知检查人员及时制止。
(2)高权操作身份主动识别。为应对高权账号非本人操作的场景,中信银行在重点生产区域的每台终端都配备了人脸识别系统,用户在重点区域进行高权操作过程中,系统会实时监控当前操作人员的信息,当识别到高权操作人非高权实际的申请人时,会产生预警通知检查人员及时制止。
(3)绕道登录主动发现。堡垒机作为中信银行用户与服务器之间的唯一入口,对用户可查看的权限、可操作的行为进行严格的把控。若人员绕过堡垒机途径登录,说明存在未经过堡垒机认证访问系统的情况,无法对其登录的目标账号进行限制,也无法对其登录账号的一切操作进行监控和追溯,存在很大风险。堡垒机联合合规检查平台对此行为进行了检查及预警。当识别出现此场景,会立即通知检查人员及时制止。
3.高危风险主动阻断
(1)敏感信息主动过滤。中信银行主动防御式堡垒机作为集权类支撑系统,掌管了全行资产设备的用户名、密码等敏感信息,若在日志、使用过程中存在明文输出,一定程度上存在安全泄露的风险。通过常用关键词匹配的方式形成了敏感信息关键词库,通过程序实现实时扫描检查,可及时预警并督促整改风险。
(2)高危命令主动拦截。区别于堡垒机自带的黑名单控制功能,中信银行主动防御式堡垒机增加了对于敏感高危命令的拦截能力,对于非高危的命令,但管理维度认定非当前用户需要执行的操作,会触发合规预警,并通知检查人员前去核实命令执行的必要性。
(3)操作记录全面追踪。对于堡垒机的日常操作记录,在原有的人工主动检查的基础上,增加自动化检查功能。对于用户操作的命令日志、会话日志等信息设立检查模型,当出现低权账号违规连库、高权账号未及时退出、未经审批获得高权账号等高风险场景时,能够自动识别并预警,事态出露端倪,即可得以有效控制,确保潜在风险或不利事件在萌芽阶段就被迅速且高效的制止,维护系统的平稳与秩序。
主动防御式堡垒机发展前景展望
当前,中信银行的主动防御式堡垒机已经实现了全行范围的广泛应用,并且在实际运行中不断进行优化和升级,以满足日益增长的安全需求。随着金融科技的快速发展和业务场景的不断变化,中信银行会继续强化产品主动安全能力,优化堡垒机的身份认证、权限管理和运维操作功能,提升数据在传输过程中的安全性,同时增强对敏感信息的保护,防止信息泄露。此外,还将提升系统的稳定性和可用性,确保在面对复杂网络环境时,堡垒机能够稳定运行,提供持续的安全防护。
随着零信任网络、人工智能等技术的发展,主动安全防护的策略也需要与时俱进。中信银行将利用这些新技术,如机器学习和行为分析,来增强对异常行为的识别和分析能力,提前发现潜在的安全风险,实现更主动、更智能的安全防御,并总结和分享主动防御式堡垒机在实际应用中的经验和成果,与各金融机构一道提升网络安全防护水平,共同构建一个更安全的金融生态环境。
(此文刊发于《金融电子化》2024年12月上半月刊)
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
