东吴证券内部身份账号中心与权限管理实践｜证券行业专刊2·安全村

摘要：数字时代，安全更需先行！近年来，证券行业数字化转型步伐不断加速，一方面证券企业要面对全新的技术、业务场景、经济形态；一方面又要紧随国家密集出台的各种安全法律法规政策与要求；另一方面企业旧有安全建设遗留下的安全隐患问题陆续凸显。传统以“网络为边界”的安全防护难以满足当前安全需求，如何在原有的安全防护基础上构建以“身份为中心”的新安全防护体系，从而突破上述三大安全困境，是当前东吴证券亟需思考的问题。本文旨在介绍东吴证券在传统身份安全及单点登录的基础上，结合零信任架构理念、UEBA等技术，构建以“身份为中心”动态访问控制的企业安全新架构，形成一套以用户集中管理、系统高效访问、权限有序变更、访问持续安全、审计全程贯穿的全新身份管理体系。

关键字：身份安全动态访问零信任统一身份与权限管控

1.前言

证券企业作为维护资本市场高质量发展的“中坚力量”之一，对中国经济社会发展有着重要作用与意义。一方面，国家政策积极鼓励金融证券行业加速迈向数字化发展；另一方面，基于行业的特殊性与重要性，其数字化发展更需建立在网络安全基础之上。

近年来，国家密集出台了《数据安全法》《个人信息保护法》《网络安全审查办法》《关键信息基础设施安全保护条例》等法律法规。为了有效落实上述相关要求，规范证券行业网络和信息安全管理，防范化解行业网络和信息安全风险，维护资本市场安全平稳高效运行，中国证监会于2023年正式发布了218号令《证券期货业网络和信息安全管理办法》，并将于2023年5月1日起正式实施。

与此同时，5G、互联网、物联网、云、大数据等新兴技术的高速发展与变革式创新，证券业务与技术加速融合，对网络安全和信息化日益依赖，增加了网络和信息安全管理的复杂度。而企业数字化智能化转型的提速，信息系统建设任务明显增加。传统基于公司内外网边界的安全防护在当下的新技术、新业务场景、新经济形态中陷入困局。寻找新的安全边界，并建立新的安全防护体系是当前证券企业网络安全防护的当务之急。

图1 传统安全边界面临的挑战

除了以上法律法规与技术发展带来的网络安全困境之外。东吴证券公司内部也存在业务安全、管理、体验、审计等痛点，具体如下：

管理问题：业务系统、用户越来越多，权限越来越复杂，IT管理工作随着用户入转调离的生命周期越来越繁重；
体验问题：从用户实际工作体验出发，随时随地远程访问权限范围内系统成为当下工作的刚需。而随着公司应用系统的不断扩增，多应用、多界面、多终端、多账号密码重复登录，严重影响工作效率及用户体验；
安全问题：账号管理工作的繁重导致僵尸账号风险难以规避。用户和系统的增加亦促使身份盗用、非授权访问、弱口令、权限滥用等风险上升。同时，在信创政策层面，也对金融信创适配工作提出了标准化要求；
审计问题：业务系统建设增加，没有统一可复用的用户管理系统，导致资源重复投入。而零散的用户管理给过程审计带来更大难度，难以做到实时有效的事前预警、事中审计及事后责任追溯到人。

基于此，经过行业调研及技术测试，东吴证券与上海派拉软件联合开发，在传统身份安全及单点登录的基础上，结合零信任架构理念、UEBA等技术，以身份与访问控制管理新5A（认证Authentication、授权Authorization、管理Administration、审计Audit、分析Analytics）为核心，开展东吴证券内部数字身份账户中心与权限管理的实践，构建以“身份为中心”动态访问控制的企业安全架构，形成一套以用户集中管理、系统高效访问、权限有序变更、访问持续安全、审计全程贯穿的身份管理体系。

2.东吴证券内部用户数字身份中心与权限管理实践

2.1基于可信身份动态管理构建新网络安全基石

身份作为网络安全的基石，如果没有身份安全，其他网络安全便都成了“空中楼阁”。尤其是在传统安全边界失效，以“身份为中心”的动态访问控制正在逐渐成为企业安全防护架构的主流。因此，东吴证券的数字身份中心一方面作为等保2.0网络安全防护技术架构中基础安全设施的重要组成部分，另一方面也是公司数字化转型中数字身份信息化管理的重要支撑。

整个数字身份中心以灵活、易用、安全、可持续为建设目标，以内部“身份账号”为建设基础。通过将集团内组织、人员、应用、数据等信息充分连接，形成集团级数字身份共享生态体系，打通应用账号的集中统一管理、系统的高效访问、应用单点登录、权限统一管控以及一体化全流程审计，真正基于可信身份构建安全动态访问控制管理，最终实现提高管理效率、加强信息安全、降低企业发展成本、满足政策合规等目标。

图2 东吴证券数字身份中心整体框架

2.1.1统一身份管理构建数字身份中心根基

数字身份中心建设的第一步，也是整个建设的根基，即完成公司现有用户数据的统一收集、清洗、聚合，消除重复账号、孤立账号等，从而构建统一的用户账号与管理中心。过程中，由于东吴证券内部存在一个用户的多个不同数据来源，为保障数字身份的权威可信与后续的有效管理，完成了数字身份权威主数据的确立。

整个数字身份中心建设过程中打破了现有的信息孤岛，融合各大业务系统，实现统一用户身份管理、应用单点登录、访问权限全生命周期控制以及一体化全流程的合规审计等。从而简化用户登录过程，提高办公效率；减轻管理员账号管理工作，减少人工误操作风险；提高企业信息安全水平，有效适应企业数字化发展与用户实际需求。

图3 数字身份基础建设框架

2.1.2管理策略实现自动化应用账号运维

传统的系统账号管理模式一般基于用户申请，比如员工入职时，系统管理员根据入职申请流程，在系统后台进行账号的手工创建；离职时，则根据离职流程进行账号的手工关闭。这种模式存在审批记录可能与系统中实际开通或关闭的情况不符，需依赖后续的审计与检查发现问题。

为此，东吴证券数字身份中心采取数字身份全生命周期一体化管理思路，先从上游权威数据源与用户的入转调离等人事变动触发流程，并与组织架构信息对接，将用户身份相关的组织、岗位、个人信息等数据统一汇聚到数字身份中心，进行集中管理。其次根据应用账号管理模式设置自动化供应策略，比如风控岗位的员工入职默认需有风控系统账号，系统会在用户入职流程完成后，自动开通对应岗位所需应用系统账号。同理，在离职时根据流程触发禁用账号的策略，从而形成基于管理策略的自动化应用账号全生命周期管理，保障账号管理安全合规的同时，加快业务响应速度。

图4 用户全生命周期身份自动化管理举例

2.1.3人工智能实现身份风险识别与控制

东吴证券数字身份中心一方面考虑到传统身份管理中统一认证、单点登录等基础应用场景，另一方面也兼顾了零信任架构中增强型身份管理对身份风险分析的要求。

风险分析能力的实现主要基于UEBA及人工智能技术。根据Gartner 对 UEBA 的定义，即提供画像并基于各种分析方法的异常检测，用打包分析来评估用户和其他实体（主机、应用程序、网络、数据库等），发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。

在数字身份中心实际应用场景中，UEBA主要用于检测用户在登录过程中的真实身份，防止用户账号被盗、身份冒领等黑客攻击及社会工程攻击。例如，当一个用户不小心点击了钓鱼邮件，泄漏了账号密码。攻击者拿到账号密码去访问系统时，处在异地登录或使用非常用设备登录时，就会自动触发升级认证，系统再次验证用户的手机验证码或动态口令才会放行，通过设置升级认证的动作将攻击者拒之门外。

图5 UEBA风险识别及管控机制

而人工智能技术则会基于用户经常访问的时间、访问时使用的认证方式、经常使用的设备等画像结合算法模型，进行风险评估和控制。例如，黑客盗取账号密码后尝试登录，但该用户一直使用扫码登录，将立即触发风险机制。这一机制保障了事中的访问安全。

2.1.4统一标准规范保障可持续集成运营

平台的长期运营是投资收益回报的关键，根据Gartner对20+家大型企业实施完身份与访问控制管理后的统计，一般千人规模的企业在三年内的总投资收益率（ROI）可以达到300%。为了保障数字身份中心长期可持续地运营发展，数字身份中心平台形成了统一的身份数据规范、管控流程规范、安全技术标准规范。为后续其他类型的用户集成、新增应用系统的集成提供标准统一的规范，从而提高集成运营效率、减少建设成本。

例如，在用户及组织数据同步时，所有对外提供的API接口，均采用用户级别鉴权，最低为系统级别鉴权，携带数字身份中心颁发的JWT Token或Access Token进行安全校验；在应用系统单点登录集成时采用统一的OAuth2.0协议，确保技术层面的安全性。

图6 数字身份集成标准规范

2.2基于RBAC授权管理模型实现应用权限细粒度管理

数字身份中心下一步规划将基于RBAC授权管理模型实现各应用系统的权限统一与细粒度管理，从而改善权限管理的分散、开通周期长、效率低、审批流程多等问题，实现一个权限管理中心，集中可控的管理所有业务系统权限。在权限统一分配管理之外，权限中心还具备权限审计、权限自动化供应，以及权限自助等场景实践。

图6 权限管理中心架构

整个权限中心与下游应用的对接主要采用RBAC的权限模型，即通过定义角色的权限，并对用户授予某个角色从而来控制用户的权限，实现用户和权限的逻辑分离（区别于ACL模型），极大方便了权限的管理。

图7 业务系统一体化授权模型

数字身份中心在原有的身份同步基础上还将新增业务系统资源同步回收、业务系统角色同步、资源绑定、角色绑定等深度集成。在合规层面，考虑到部分角色存在权限互斥的场景，平台将进行互斥策略的定期检测及告警。在账号运维管理层面，数字身份中心在原有账号供应的基础上增加具体业务系统账号中权限的供应及回收。从而全面覆盖业务系统权限从开通到关闭的整个生命周期的细粒度管理。

2.3基于信创环境全面适配的安全自主可控

金融类信息和数据涉及国家和居民安全，金融证券业在政策支持、自主驱动下，正在加速推进信创全栈式升级改造，包括从底层基础硬件、中间层基础软件到上层核心应用软件，以及在建设过程中发挥重要作用的网络安全、云平台、终端外设等环节。

作为东吴证券信创改造中间的重要一环，数字身份中心后续将在信创层面进行全方位适配，通过采用国产芯片、国产服务器操作系统、国产数据库等自主可控产品进行底层基础设施的全面切换，实现从信创基础设施至软件的全方位安全自主可控。

3.总结与展望：以“人”为中心的零信任安全架构逐渐成为主流

众所周知，网络安全最薄弱环节是“人”。网络攻防的本质就是人与人的对抗，人性的漏洞是网络空间治理的最大漏洞。正所谓“堡垒往往从内部瓦解”，传统的网络安全模型中处于内网可信的“人”成了威胁的来源。因此，没有绝对安全的网络，没有绝对的可信。

这正是零信任“从不信任、始终验证”的理念：不相信任何用户和角色，不论内网或外网，其信任的基础必须通过认证和授权得以建立，并对安全策略进行持续动态调整。零信任安全体系架构是一次由“网络中心化”向“身份中心化”转变，其本质是以“人”或“身份”为中心的动态访问控制。

身份是零信任的基石。作为零信任体系基础组件IAM（身份与访问控制管理），其重要性不言而喻。这也是本文中东吴证券内部身份账号中心与权限管理实践过程中，在构建新的安全防护边界时采取的基本思想。

未来，零信任中的IAM将更加敏捷、灵活且智能，不断适应各种新兴业务场景与新技术，并采取动态策略实现自主完善，不断调整以满足实际安全需求。而在数字化进程更深入的演进过程中，传统以“纵深防御+边界防御”为主的安全边界会进一步被打破，并彻底走向模糊化。基于“外网危险、内网安全”理念构建的安全防御体系将失效。以“人”为中心的零信任安全架构为代表的白环境分析手段将逐渐替代基于威胁特征“一刀切”的黑名单机制，成为主流。

作者介绍

华仁杰，东吴证券信息技术总部总经理，中国证券业协会信息技术专业委员会委员，中国证监会、上交所等核心机构的行业课题评审专家，参与了多项证券行业信息系统建设规范和金融科技创新的规划与评审工作，具有较强的技术前瞻性与行业影响力。牵头完成的“证券新一代交易系统A5”荣获了2020 年度国家金融科技发展奖二等奖、第七届证券期货业科学技术奖二等奖。

关于安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]