文丨中国农业银行研发中心 章卓思 徐佳琦

中国农业银行科技与产品管理局 冯胥

数字化转型背景下，农业银行基于权限安全管控三大原则，在运维门户中实现统一登录入口、统一用户管理、统一权限管理、统一权限模型及权限全生命周期管理，高效解决了用户权限管理领域的难点问题。本文结合农业银行实践，在简要分析用户权限管理难点的基础上，详细介绍了一体化用户权限管控体系的建设思路和方法。

近年来，伴随金融科技的快速发展，各家商业银行纷纷布局智能运维平台建设，为运维领域数字化转型开题破局。在此过程中，用户权限管理作为保护数据不被非法获取、篡改、删除的重要手段以及有效维护系统秩序的关键环节，受到了业界广泛关注。针对该领域，农业银行通过对运维工具平台进行全面整合、提炼和完善，在保障原有用户习惯不改变的情况下，不断加强对异构系统的用户权限统一管理和治理能力，以合规使用、所用必需为原则，以用户管理规范标准为基础，以用户为中心统筹开展服务化重构，打造覆盖总分行的跨平台用户管理服务体系，高效推动运维数字化转型不断深入。

一、用户权限安全管控面临的主要挑战

1.权限管理内容杂

对于大型商业银行而言，运维平台通常关联大量的上层业务应用，具有从应用到基础各运维条线独立、从行内人员到外部科技外包用户类别区分度大、从管理到开发运维用户角色众多等特点，而且由于平台功能涉及生产操作，对权限管控的精细化要求较高，要实现合规使用、所用必需的目标难度较大。

2.管理过程效率低

在实际工作中，用户权限管理涉及授权、撤销等操作流程，同时由于在运维自动化过程中形成了多个复杂的子系统，各子系统用户权限管理能力不一，且针对各类异构应用的权限全生命周期管理能力建设不足，在权限申请、快速赋权、多维度组合授权等方面存在大量的手工操作，不仅效率较低且极易出错。

3.数据安全监管难

用户权限数据的专业性和敏感性通常较高。鉴于此，保证全行管理、开发、运维以及第三方外包等各类用户在平台内安全合规地开展运维操作，是用户权限管理领域的重要难题，商业银行急需引入先进的管理机制和手段，及时对用户账号、权限等开展审计检查。

二、农业银行用户权限安全管控的破题之道

作为全行生产运维工具平台的唯一入口，农业银行运维门户提供统一登录入口、统一用户管理、统一权限管理、统一权限模型及权限全生命周期管理能力，有效解决了用户权限管理面临的开通难、授权难、回收难、查询难等安全管控问题。

1.运筹之法——改进权限模型

业界常用的用户权限管理模型是基于角色的访问控制(Role-Based Access Control,RBAC)模型，主要由用户、角色和权限三部分组成。其中，用户是权限的拥有者或主体；角色是指一组具有特定权限的组合，一个用户可以拥有多个角色，一个角色也可以被赋予多个用户；权限是指对系统资源或数据进行访问或操作的能力。例如，通过角色赋予用户相关权限，可实现更为灵活的访问控制，并提供比直接授予单个用户权限更简单、可控的管理方式。总体而言，RBAC模型具有易于理解、方便管理、责任分散和权限继承等优点，但同时也存在一些缺点有待改进：如访问控制模型是从系统角度出发保护资源，没有将操作环境考虑在内；在模型动态性方面，不包含角色时间约束，使得模型很难满足动态变化的实际需求等。

针对上述难点，农业银行在运维门户中进一步强化了用户权限管理模型。具体而言，一是引入配合管控流程的动态权限控制。为提升安全管控性，满足权限动态变化需求，农业银行在运维门户中配套建设了用户申请、用户赋权等一系列线上化流程，以提供时间维度上的权限动态管控能力，即结合行内要求，申请流程可设置不同的审批环节，且用户和权限都支持按时间维度进行设置和管理。同时，申请人可按需申请短期或长期用户和权限，并在到期后由平台自动进行回收。二是实现支持租户管理的权限隔离。针对总分行、子公司等不同机构的运维管理模式差异和资源权限隔离需求，农业银行在运维门户中增加“租户”标识，为上层应用提供了更为灵活的租户隔离管控支持。租户隔离的RBAC模型如图1所示。

图1 租户隔离的RBAC模型

2.驭权之舵——坚守三大原则

在实施权限安全管控的过程中，农业银行重点遵循了三大原则：一是最小权限原则，即只赋予用户完成其工作所必需的最小权限，避免出现安全风险。二是职责分离原则，即确保不同用户之间的工作职责相互独立，有效降低单一用户对敏感信息的集中控制。三是定期审查原则，即定期对用户权限进行审查，确保权限配置与用户的实际需求和职责相匹配。

3.执行之钥——统一、规范、便捷、安全四象限并重

一是聚焦统一，从总到分对用户“一管到底”。农业银行以运维门户扎口全行生产运维领域系统，基于RBAC模型设计分级分类的用户权限管理模式，实现从总到分、从内到外的一体化用户权限管理(如图2所示)。其中，不同角色、用户组、菜单都有明确的所属子系统，各子系统管理员可相互独立地管理内部权限角色；各机构单独设立机构管理员，负责机构所辖范围内的用户管理、用户赋权。此外，角色、机构、用户皆遵从了严格的分级授权机制，即上级角色权限大于下级角色，上级机构权限大于下级机构，且用户所能拥有的权限不超过所在机构的可授权范围。自2021年重构上线，运维门户已面向全行推广使用，为全行科技条线用户提供服务支持，目前纳管用户较2023年初上涨50%以上，日活跃用户逾3000人，每天从统一门户向各类子系统进行的跳转操作6万余次。

图2 一体化分级分类的用户权限管理示意

二是聚焦规范，角色设计分级分类。在用户角色权限设计方面，农业银行严格遵循最小权限原则，根据组织结构和各平台业务场景需求，将角色分为普适性角色、功能性角色、专用角色、管理员角色等几类，着力落实权限分级分类管理;同时，对于不同类型角色，配套搭建分级管控模式，为高权限的管理员角色设计风控审批流程，实现高权限与高管控并存。此外，根据不同角色在场景和流程中的职能，农业银行通过建立用户权限监督和制约机制，落实岗位不相容、权限互斥等安全风险管控要求，做好申请与授权分离，从根源上实现了用户角色权限的合规使用。

三是聚焦便捷，轻量赋权“即开即用”。在生产环境中，运维系统通常需要更为严格的用户赋权以实现精细化管理，并具备较高的易用性和便捷性以快速响应风险事件。为同时满足上述两点，农业银行在运维门户中实现了统一申请、分级审批，并为不同类型用户(包括行内员工、第三方外包人员、子公司、审计人员等)提供了统一的权限申请入口，实现全流程线上化审批，大幅缩短了权限的申请、授权时间;此外，对于普适性角色权限，采用按默认赋权、按机构赋权、按用户组赋权等不同层次实现轻量化赋权，而且在用户离职或发生岗位调动时，还可自动识别并回收其相应权限，严守信息安全防线(如图3所示)。

图3 精细化轻量赋权示意

四是聚焦安全，打造权限全生命周期闭环。运维门户作为集中式权限管理系统，不仅为管理员提供了各子系统权限的统一管理和监控能力，还针对每一个用户状态变化、每一次用户权限更新提供了溯源日志，支持各机构按需开展审计溯源、治理修正，从而在最大程度上降低过度授权、水平越权访问等安全风险，减少信息泄露及误操作安全隐患。同时，运维门户以基于角色的权限管控机制为引擎，支持用户从权限申请、赋权、查询到回收的全生命周期闭环管理(如图4所示)，实现过程留痕可溯、可控、可视。此外，农业银行在督促员工了解、遵循权限管理规定的基础上，通过定期开展培训和意识提升活动，持续帮助员工理解和管理自身权限。

图4 权限全生命周期闭环管理示意

综上所述，用户权限管理是维护信息系统安全稳定运行的重要环节。通过实施有效的用户权限管理策略，金融机构将可以大幅降低信息泄露、滥用和误操作风险，更好地确保数据安全与完整。在深入推进一体化生产运维平台建设的过程中，农业银行始终坚持底线思维，力求为运维数字化转型筑牢根基，为金融科技创新提供持续动力。未来，面向不断变化的业务需求，农业银行将紧跟新技术发展趋势，不断完善和优化用户权限管理体系，使其能更好应对不断升级的安全威胁，高质量助力全行业务发展。

本文刊于《中国金融电脑》2024年第3期

声明：本文来自中国金融电脑+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。