超管帐号
规范要求
特殊场景下,合作伙伴人员确需超级帐号的,应经主管部门领导审批后临时授权,留存授权审批记录;严格监控,工作完成后及时收回权限;
主机
上云前
使用流程
①22年8月之前通过快速审批,之后通过月度预授权材料,先向部门领导申请;②用部门领导的审批通过材料向基础平台部申请root帐号密码;③合作伙伴通过bomc工单申请root帐号授权,自有人员审批处理后并告知合作伙伴密码。我们组的流程目前来看没什么问题,合规。
问题点
①我接手以来,root权限曾直接授权过root帐号,后变更为授权jcpt帐号并su进行提权操作,再后变更为zjwh帐号并su进行提权操作
②2021年之前,基础软件和中间件是在软件组进行维护的,故存在软件组给合作伙伴进行root授权的情况。
上云后
使用流程
①自有人员在bomc上提“xxx管理流程”,先给总监审批,再由部门领导审批,然后转至相对应的超管帐号管理部门;②相对应的超级帐号管理部门回复root帐号密码;③合作伙伴通过bomc工单申请root帐号授权,自有人员审批处理后并告知合作伙伴密码。我们组的流程目前来看没什么问题,合规。
数据库
使用流程
我们系统维护不申请使用数据库的超管帐号,不涉及
应用
使用流程
目前亚信核心两人保留超管权限,用于处理系统故障。自有人员不涉及。
问题点
亚信的超管权限是历史遗留下来的,没有相应的审批流程,不过营业前台的超管权限是通过后台控制的,从4A和前台看都只是一个工号。
程序账号
规范要求
因故障处理、程序变更、漏洞修复、应急演练等场景确需使用程序帐号的,应由申请人所在部门领导审批,限制使用人数、使用场景、单次授权时间(原则上不超过8小时),工作结束后及时收回权限
使用流程
①2023年7月前,安全组的意见为统一对外说程序账号由授权人授权,因为旧的管理办法写着:“部门领导(或授权人)授权”,授权人解释为给合作伙伴在4A上进行授权操作的人员。②7月之后,按照计划是进行月度预授权,列出程序账号详情和合作伙伴人员名单,先进行全范围覆盖,然后由合作伙伴通过bomc申请单次八小时内使用权限,并由普通员工进行审批和授权。(但是领导还未知该方案,且中心也没有统一的方案,也都还没有落实程序账号领导审批使用的工作)
问题点
①目前程序账号使用仍未经过领导审批。
②目前梳理出来我们组有程序账号<font color="#a23735">xxx</font>个,人员名单也要囊括智慧运营组和需求管理组,数量十分多,全部列出A4纸有一百多页,给领导签字比较麻烦。
③本次天津审计之前没有严格按照程序账号授权8小时以内的要求,大部分是24小时,小部分是大于2-5天(一般是节假日值班,周边系统的持续变更操作等)
个人(具名)帐号
规范要求
个人(具名)帐号不得授权于不同主帐号,主从帐号间应保证一致性。
使用流程
①申请人先在bomc上提单至对应系统运维组申请,然后由系统负责人在4A上创建个人(具名)账号,然后从4A将新建的帐号同步至资源侧,最后完成主从帐号授权绑定操作。
涉敏帐号
规范要求(2023年7月新增)
合作伙伴的涉敏帐号必须由申请人所在部门或对口管理部门领导,以及系统管理部门领导进一步审批。
使用流程
同个人(具名)账号,不过授权时间不超过一个月(该要求为安全组要求,非管理办法)
问题点
目前合作伙伴的涉敏帐号创建均没有经过部门领导审批,需补充。
