运维动态口令管理模式拓展与实践

在“建设一流客户体验的智慧金融生态银行”规划目标指引下，华夏银行正强力推进一系列数字科技重点工程的实施。此背景下，夯实信息基础，筑牢科技底座尤为重要。华夏银行技术测试团队积极探索实践，推陈出新，将创新的动态口令拓展到开发测试环境运维领域，构建了一套科学有效的管理体系，强化了安全访问控制策略，提升了运维管理效率。

现状与问题

据统计，超过60%网络攻击与口令管理不善相关，这一问题在开发测试环境尤为明显。生产环境一般借助动态口令、堡垒机及审计系统等进行多重防护，开发测试环境则主要还是以静态强口令为主。

华夏银行近20套开发测试环境承载了上百个应用系统常规的开发测试任务，相应Linux、Unix服务器及其运维账号口令数量庞大，继续使用静态口令存在3方面问题。

1.难以安全管理。一是静态口令安全性依赖于其更新周期和复杂度，存在穷举和逆向破解风险；二是静态口令无用户属性，存在口令泄漏、借用和越权使用的风险。

2.难以高效管理。一是静态口令须手工定期更新且要满足强口令的设置要求，工作量大；二是用于维护操作的静态口令使用一般需申请和审批，口令发放和回收难以做到快捷及时。

3.难以回溯管理。相较生产环境，应用系统在开发测试环境运维频率较高，若运维操作未纳入审计等系统硬控，一旦发生安全事件，难以追溯分析。

探索与创新

我们结合开发测试环境运维管理实践，围绕上述问题分析，提出了基于动态认证的运维口令管理模式。

1.优化动态认证机制。动态口令是一种在客户端和服务器之间通过共享种子密钥，对时间值等要素进行计算、实现强认证的技术。由于种子的随机性高，即使登录账号泄露，对方也无法获取动态口令，极大提高了身份认证的安全性。鉴于传统动态口令认证主要基于用户和口令进行双因素认证，使用存在局限性，我们改进了认证机制，将用户名、待登录服务器地址、运维账号和动态口令四因素纳入认证，为开发测试运维口令使用场景量身定制了动态认证模式，扩展了动态口令适用范围。

2.创新动态认证场景。基于上述认证机制的创新，我们对动态口令工具进行了改造，一是支持服务器和运维账号的集中分级管理和授权。在多用户、多服务器、多运维账号场景下，用户选择待登录服务器，输入运维账号和“用户名@动态数字”格式的动态口令，认证通过后登录；二是将动态口令客户端部署在移动设备，并进行了极简操作设计和安全加固，做到了随用随取、限时有效、秒级刷新。

3.拓展动态认证模式。基于动态口令认证平台，对应用系统运维账号进行集中统一管理，一是按访问权限将运维账号分类，按需为用户授权，实现精细化管理；二是统计分析运维账号使用情况，清理僵尸账号，消除风险隐患；三是与用户等信息管理系统联动，实现对离职离场人员运维权限的自动回收。

实践与成效

我们在华夏银行开发测试环境试行推广了上述运维口令管理模式，达到以下3方面的预期效果。

1.提升口令安全，降低维护成本。一是实现开发测试环境服务器运维账号的动态口令全托管，在多用户、多服务器、多运维账号的场景下，实现了“用户绑定，一次一密”，从根本上解决弱口令和口令泄露问题，提升了运维口令的安全性；二是通过线上化、自动化方式进行运维口令申请、审批、发放、回收等工作，口令维护成本降低了90%。

2.精细化、立体化管理运维账号。实现运维账号的集中统一管理，厘清了运维账户权限及授权范围，通过登记和分析运维账号的用户和登录信息，从静态属性和动态行为两个维度立体化展现账户信息，为及时清理僵尸账号、审计溯源提供依据，消除潜在风险隐患。

3.实现开发测试环境有效数据积累。通过运维账号和口令的线上化处理，实现了运维账号管理数据的自动收集和积累，为后续用户行为分析、账号作业画像等提供了数据支撑，为开发测试环境的数字化运维管理奠定了基础。