在企业数据中心的日常运行与维护（简称：运维）中，操作系统账号的管理是保障系统安全运行的重要手段，同时信息系统等级保护各级要求都对系统账号管理提出了要求^[1]。文献[2-4]通过对信息系统主机安全等级保护测评方法的分析研究，明确了从用户身份认证、访问控制、数据加密、容错能力、日志审计等方面需要改进的方向。因此，用户管理系统的稳定性和可用性会直接影响到运维人员日常的维护变更及故障的应急处理。对于数据中心主机系统的管理，现有商业用户管理系统无法满足对于特定运维模式下的某些个性化需求。此外，现有商业用户管理系统的采购和使用成本巨大，后期仍需大量持续投资。针对以上情况，基于文献[1-2]，以及对国内外市场上已有产品的调研、对企业内实际运维需求的分析，本文自主设计并实现了数据中心用户管理系统，以满足信息安全等级保护要求，并为企业信息系统提供安全保障。

1   方案设计

1.1   设计模型

数据中心用户管理系统基于系统账号生命周期管理理念设计，如图1所示。

图  1  账号生命周期管理

下载: 全尺寸图片 幻灯片

1.2   设计原则

数据中心用户管理系统的设计原则主要包括以下几个方面。

（1）运维需求：系统的设计要基于实际运维中的用户管理需求，保证系统的适用性，让系统真正服务于运维工作。

（2） 等保合规要求：系统的设计要符合信息系统等级保护相关的合规要求。

（3）用户管理规定：系统的设计要符合运维部门现有的系统用户管理规定，系统的建设是为了使规定更好得落地、执行。

1.3   总体架构

数据中心用户管理系统的总体架构，如图2所示。

图  2  系统总体架构

下载: 全尺寸图片 幻灯片

应用层主要基于Java服务器页面（JSP，Java Server Pages）、jQuery、Hibernate开发；处理层主要处理前台请求对系统账号的具体操作，包括消息队列、JMS消费者、业务逻辑、多种系统适配器等部分；数据库层采用开源的MySQL数据库。

2   关键技术

2.1   微服务

用户管理系统在设计过程中，结合业务特点，采用基于Spring Cloud 的微服务架构开发系统，并在此基础上进行封装。Spring Cloud 是一个基于 Spring Boot 实现的微服务架构开发工具。它为微服务架构中涉及的配置管理、服务治理、断路器、智能路由、微代理、控制总线、全局锁、决策竞选、分布式会话和集群状态管理等操作提供了一种简单的开发方式。通过开放式微服务体系可以将不同设备对接、不同业务系统对接、不同软件对接的单体功能模块，细分为多个开放的小功能模块服务，服务独立部署在不同的进程中，不同服务通过一些轻量级交互机制来通信，从而满足业务体系的高扩展性技术要求，实现资源的最大限度利用。

2.2   对象关系映射

对象关系映射（ORM，Object Relational Mapping）是一种将关系型数据库映射到面向对象编程语言中的技术。使用ORM技术，开发人员可以不必编写具体的结构化查询语言（SQL，Structured Query Language）语句及数据类型转换代码，即可轻松操作数据库。Java持久层应用（JPA，Java Persistence API）是由Java EE提供的一套实现ORM规范的接口。Spring Data JPA则是由Spring提供的针对JPA接口的实现方式，并可方便地与Spring Boot框架组合使用。因此，本系统采用 Spring Data JPA 框架作为ORM工具进行开发，可以有效地简化开发工作，缩短项目周期。

2.3   基于消息中间件的数据交互

在用户管理系统与服务器或者其他平台进行交互时，必须等待服务对象完成处理返回结果才能继续执行，这将严重影响用户管理系统的并发性能，因此在系统设计时引入了消息中间件ActiveMQ。

3   功能设计

3.1   功能需求

在进行用户管理系统的需求收集时，基于文献[5-7]收集通用需求，结合运维工作实际情况，提出以下功能需求。

（1）用户主目录策略：在每个主机系统中单独划出一个文件系统，专门用来存放所有用户的主目录及相关文件。

（2）用户分类策略：根据主机系统用户的属性或用途进行分类，并对每类用户采取不同安全管理策略。

（3）用户分组策略：根据用户的部门或用户之间相同的特性，把用户分在一组，同组的用户可实现组内资源共享，便于对系统日常维护的管理。

（4）统一用户组命名策略：在各个主机系统中应采用统一的命名来建立用户组。

（5）统一用户命名策略：在各个主机系统中对应同一个运维人员的系统用户的命名应该统一，以此将系统用户与实际人员做唯一对应，为用户制定相应的命名规则。

（6）用户口令策略：对主机系统用户的口令要制定高强度的密码策略。

（7）用户系统登录策略：考虑系统用户远程访问服务器的安全性，采用安全的远程访问方式，并采取必要的登录失败处理措施，限制失败登录次数。

（8）管理用户使用策略：限制管理用户的直接系统登录权限，尽可能减少管理用户的发放，控制管理用户的用户数，对管理用户的使用要制定严格的审批流程和使用规范，防止系统特权扩散^[8-9]，保证系统安全，便于管理。

（9）系统用户安全审计：针对等级保护二级及二级以上系统，要求对每个主机系统的用户进行安全审计，审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。

（10）系统用户登录认证：针对等级保护三级及三级以上系统，要求对主机系统用户的登录认证过程，采用两种或两种以上组合的鉴别技术进行身份鉴别。

3.2   主要功能模块

数据中心用户管理系统的主要功能模块包括人员管理模块、账号管理模块、资源管理模块、策略模块、基础服务模块、外部服务模块和审计模块，如图3所示。

图  3  功能逻辑架构

下载: 全尺寸图片 幻灯片

3.2.1   人员管理模块

基于对各资源服务器中账号的归属进行规范化管理，在系统设计过程中引入人员管理模块。该模块中核心功能是对账号拥有者即具体运维人员信息的维护和管理，主要包括功能人员基础信息管理、关联账号的别名信息管理，以及涉及供应策略的别名组信息管理。人员管理模块不仅涵盖运维人员的基础信息维护功能，也可以操作对应人员拥有的账号。在使用过程中，创建人员基础信息，绑定对应别名信息，完成基础信息录入后，提交在指定资源中创建人员账号的请求，后台接收到请求消息后自动进行账号创建操作。针对人员拥有的账号，可修改账号密码、锁定账号、解锁账号等。同时，管理批量创建账号处理策略的别名组，维护别名组中包含的别名信息。在此基础上也可对人员拥有账号的合规性进行自动化检测，计算出供应策略控制下多建、少建的账号列表，并且根据需要对多余或缺失账号进行相应处理。

3.2.2   账号管理模块

该模块核心功能就是进行各资源账号执行创建申请和孤立账号的统一管理。通过请求账号的入口，可以指定资源、人员、别名等创建合规的账号信息，模块中还可以管理各资源中已存在的账号组信息，即账号关联的主组、附属组。在孤立账号管理页面中，可对未绑定人员的账号进行归属分配操作，也可对未使用或多余的孤立账号进行删除操作。

3.2.3   资源管理模块

该模块主要是针对各资源IP、资源类型（操作系统、数据库）、系统类型（操作系统如LINUX、AIX、SUNOS、HP-UX等，数据库如Oracle、MySQL、达梦、EDB等）、状态、组织结构、适配器、关联策略等的信息维护入口，作为整个应用的核心模块，资源管理模块中可以查看数据中心用户管理系统已接管的所有资源信息。该模块主要分为资源信息管理、资源组管理、适配器管理。资源组是涉及批量创建账号处理策略时定义的组概念，用于关联策略中的资源和别名关系。适配器管理实际是针对各资源的连接方式进行管理，定义登录认证方式，如用户名、密码或公钥、私钥进行资源连接。操作流程方面，在输入已接管的资源信息后，后台将定时利用指定的适配器信息去连接相应资源，自动获取资源上已存在的账号信息，完成实际资源和系统数据库账号信息的同步。在资源列表页面，可以查看各资源的主要信息，同时，可进行删除资源、修改资源、资源连接状态检查、资源账号同步的基础操作。针对具体资源，也能够查看该资源中所有账号信息，并对账号进行基础的维护管理。

3.2.4   策略模块

该模块功能包含供应策略、密码策略和协调策略。策略始于用户需求，是为方便用户提供的快捷服务模块，直观理解可认为是批处理和自动化处理的配置支撑，用于定义业务所需的具体规则内容。（1）供应策略主要功能是在批量创建账号时定义规则，每一个供应策略会定义资源组和别名组的对应关系，资源组中包含资源成员，别名组中包含别名成员。供应策略实现了资源和别名的关联规则配置，当资源组和别名组中成员增加时，将触发批量账号创建操作，自动将供应策略中涉及的别名在相关资源中创建。（2）密码策略约定各账号登录密码的规则，指定大小写、数字、特殊字符、长度等内容，各账号的密码设置都应符合密码策略定义规则的要求。（3）协调策略是资源账号同步过程中调度频率的规范，不同资源可以指定使用不同的协调策略，资源关联对应协调策略后，后台将自动按照该协调策略定义的调度规则进行定时资源状态、账号信息同步。

3.2.5   基础服务模块

该模块是数据中心用户管理系统运行的配置管理模块，其中，包含系统业务中涉及的固定信息和接管账号范围的配置。例如，数据在线保留的天数、邮件服务器信息、账号管理范围、角色管理范围、请求消息发送配置等。该模块的配置内容是系统运行过程中的基础配置信息，为系统稳定运行提供数据支持。当对配置模块中相关内容进行修改操作后，系统业务将实时同步获取到最新的配置信息，以当前数据为基础进行相关业务流转。

3.2.6   外部服务模块

外部服务模块即请求管理模块，该模块是针对所有资源、人员、账号相关操作请求的数据记录，在系统中执行涉及核心对象的操作都有对应具体的记录。例如，创建资源时生成创建资源的相关信息，如资源IP、资源类型、适配器信息、请求人员、创建时间、执行结果等，修改账号密码操作时对应请求信息有账号名称、资源信息、密码信息、修改时间、执行结果等。请求管理中基本涵盖系统中所有操作的数据记录，是对系统和用户行为的数据备份，通过请求管理，可追踪各操作的具体执行情况和处理结果。

3.2.7   审计模块

该模块可针对人员、资源、账号三者间规范进行不定期审计操作。审计人员通过该模块可完成白名单管理、审计批次管理、查看审计结果、审计信息统计等。用户需要定义审计白名单排除无须参加审计人员名单，在创建新一批次审计任务时，指定起始时间、审计账号类型。当启动该审计流程后，后台自动将通知邮件发送给各部门负责审计人员，审计人员即可登录系统查看本部门内需要审计的人员账号列表。审计人员需要对被审计账号的状态进行标识（删除、锁定、保留），完成部门内所有账号状态审计确认。审计管理者将按照审计账号标识状态进行最终处理。在整个审计过程中，可随时查看审计批次中各账号审计结果和审计信息统计。

4   系统实现效果

数据中心用户管理系统适用范围比较广，融合性高，实现了对数据中心内约 5 000 台服务器、70万个系统账号的统一纳管，对各类系统账号从创建、使用、变更到注销的全生命周期进行管理，可以纳管多种操作系统（支持管理LINUX、AIX、SUNOS、HP-UX等多类型操作系统）、多种数据库类型的资源（Oracle、MySQL、达梦、EDB等多类型数据库）；多种策略配置，符合等级保护要求；基于等级保护要求指导及运维部门实际工作需求，将全部纳管的用户密码实行动态调整的功能设计，根据密码资源策略的配置进行动态密码修改，从而进一步提高信息保密的安全等级；账号审计、规范化管理；支持随时对部门账号进行审计，及时掌握账号分配信息，规范账号使用情况，方便各部门及时进行账号自查。

4.1   功能对比

商业用户管理系统与数据中心用户管理系统主要功能的对比如图4所示。可以看出，数据中心用户管理系统在实现原商业用户管理系统全部使用中的功能外，在别名组管理、资源组管理、协调策略、Group管理、适配器管理、超时时间配置等功能方面弥补了商业用户管理系统的不足，可以更好地支持日常用户管理运维工作。

图  4  两种系统主要功能对比

下载: 全尺寸图片 幻灯片

4.2   系统使用情况

数据中心用户管理系统投产至今，极大地方便了运维人员对系统账号的日常管理工作。从人员维度角度，用户组功能模块减轻了运维人员分配账号时的重复工作；从账号维度角度，用户别名模块让新申请的账号格式更加整齐合规，易于整理和查找；从资源维度角度，设备资源以图表形式呈现给运维人员，减轻了阅读压力，使数据更加直观、易读。

5   结束语

本文在综合分析等级保护要求的基础上，结合运维部门的实际情况，秉承满足要求、减少投入、方便使用的原则，设计并实现了数据中心用户管理系统。该系统已在相关运维部门投入使用，为企业信息系统提供了更高标准的安全保障，也为信息安全工作的全面开展提供了可选产品及解决方案。