目前,商业银行信息系统运行在window、AIX、SCO UNIX、Linux、AS400等操作系统,各操作系统具有单独的用户认证机制,同时,由于服务器独立,各服务器上的操作系统管理自己的用户,因此,信息技术部运维用户在各系统上均由管理员手工维护,用户维护工作量大,维护不统一,维护时效性差,易出现差错,用户核查工作量大,核查时效性差等问题。系统管理员通过SSH、Telnet、VNC、RDP、SNA等协议登录各信息系统服务器进行日常维护操作,无统一的登录入口,对于用户的登录无法进行有效监控和管理。对于运维用户的日常操作无有效记录,无有效的事中监控及及事后审计手段。根据《信息安全技术信息系统安全等级保护基本要求》,应对登录操作系统和数据库系统的用户进行身份标识和鉴别,提供专用的登录控制模块对登录用户进行身份标识和鉴别。对于第三级的信息系统,要求应采用两种或两种以上组合的鉴别监控对管理用户进行身份鉴别,对于第四级的信息系统,要求身份鉴别信息至少有一种是不能伪造的。根据《商业银行信息科技风险管理指引》要求,最高权限用户的操作日志被记录和监察。因此,为满足监管要求,规范运维用户管理,加强系统管理员日常工作的监督,防范风险,需建立运维用户集中管理系统,进一步提高商业银行数据中心信息系统运维管理水平。通过运维用户集中管理系统项目的建设,实现商业银行信息系统运维用户的统一登录接口、统一维护管理、访问控制和事中监控及事后审计。本文主要完成了以下工作:1.运维用户统一登录接口。对运维终端实现整合,提供统一的登录接口。系统管理员登录服务器前须先登录集中用户管理平台,系统提供高强度身份认证接口,提供静态密码及动态口令等认证方式,如令牌口令等,实现密码的动态产生,一次一密,同时支持root用户双人控制功能,并能够屏蔽服务器后端密码。在集中用户管理平台异常情况下方可绕过该系统直接访问服务器。满足《信息安全技术信息系统安全等级保护基本要求》对第三等级的系统安全要求,提供专用的登录控制模块对登录用户进行身份标识和鉴别,采用两种或两种以上组合的鉴别监控,实现对管理用户进行身份鉴别。2.运维用户的统一维护管理。基于RBAC(Roled-Based Access Control)模型进行用户管理模块的开发,提供运维用户的统一管理,包括用户创建、修改、删除、暂停及密码变更等。3.运维用户访问控制。可按用户、组划分权限,根所权限控制用户、组可访问的服务器或系统。4.运维用户操作的事中监控及事后审计。记录系统管理员的操作,提供操作历史查询和重放功能。通过监督系统管理员操作,提升管理人员对操作人员和整个系统的控制和监管能力,满足《商业银行信息科技风险管理指引》对操作系统软件的安全管理要求,实现最高权限用户的操作日志被记录和监察。