摘要 :在科研实验室、军工单位、金融交易室、医疗影像中心等场景中,常存在多人共用一台高权限机密电脑(如连接核心数据库、控制精密设备、访问涉密数据)的需求。传统"共享账号+固定密码"模式存在严重安全风险:操作不可追溯、权限无法隔离、凭证易泄露。本文提出一种融合动态凭证 (Dynamic Credentials)、强身份认证 与会话隔离的安全登录架构,通过"一人一身份、一次一密码、操作可审计"的机制,在不改变操作系统底层的前提下,实现多人共用机密电脑的安全管控。文章详细拆解技术实现路径、部署模式、安全加固策略及等保合规要点,并结合行业实践,说明如何在保障业务连续性的同时,满足《网络安全法》《数据安全法》及等保2.0对"操作可追溯、权限最小化"的强制要求。全文无商业推广,仅作技术交流。
1. 引言:共用机密电脑的安全困局
在特定业务场景中,多人共用一台高权限终端是不可避免的现实:
- 科研实验室:一台连接质谱仪、基因测序仪的Windows工作站;
- 金融交易室:多交易员共用一台直连交易所的交易终端;
- 军工单位:多人操作同一台涉密仿真系统;
- 医院影像科:多名医生共用一台PACS阅片工作站;
- 运维机房:多个工程师共用一台跳板机(Bastion Host)。
这些电脑通常具备以下特征:
- 高权限:可访问核心数据库、控制关键设备;
- 高价值:存储或处理敏感/机密数据;
- 高风险:一旦被滥用或泄露,后果严重。
然而,传统管理方式却极其原始:
text
账号:admin
密码:Admin@2025!
(贴在显示器背面)这种"共享账号"模式带来三大致命问题:
1.1 操作不可追溯
- 所有操作均记录为"admin"所为;
- 无法区分是张三误删数据,还是李四恶意导出;
- 审计日志失去意义。
1.2 权限无法隔离
- 所有用户拥有相同权限;
- 实习生与资深工程师权限无差别;
- 违反"最小权限原则"。
1.3 凭证极易泄露
- 密码写在纸上、存于聊天记录;
- 离职人员仍知悉密码;
- 无法实现定期轮换。
合规风险:等保2.0三级明确要求"应启用安全审计功能,审计覆盖到每个用户",共享账号直接导致测评不通过。
因此,企业亟需一种既能支持多人共用,又能实现身份隔离、操作可追溯、凭证动态化的安全登录方案。
2. 核心理念:从"共享账号"到"动态身份代理"
我们提出的核心思想是:物理共用,逻辑隔离。
即:
- 物理层面:多人使用同一台电脑;
- 逻辑层面 :每次登录都代表一个独立身份 ,拥有独立会话 与动态凭证。
其技术本质是构建一个本地身份代理层(Local Identity Proxy),在用户与操作系统之间插入安全控制点。
2.1 方案目标
- 一人一身份:每个用户使用自己的账号登录;
- 一次一密码:每次登录使用临时动态密码;
- 操作可审计:所有操作绑定到真实用户;
- 权限可控制:按角色分配本地权限(如能否安装软件、访问USB);
- 零明文密码:用户不接触、不记忆、不存储密码。
3. 技术架构设计
3.1 整体架构
[用户]
│
▼
[强身份认证] ←─ USB Key / 人脸 / OTP
│
▼
[本地安全代理] ←─ 运行于机密电脑
│
├─ 向凭据管理系统请求临时密码
├─ 以该密码登录Windows本地账户
├─ 启动隔离会话(User Profile / Sandbox)
└─ 记录操作日志
│
▼
[凭据管理系统] ←─ 存储加密的本地账户密码
│
▼
[审计中心] ←─ 接收登录与操作日志3.2 关键组件说明
| 组件 | 功能 |
|---|---|
| 强身份认证 | 确保登录者是本人(如国密USB Key、生物识别) |
| 本地安全代理 | 本地运行的小程序,负责凭证获取、会话启动、日志采集 |
| 凭据管理系统(SMS) | 安全存储机密电脑的本地账户密码,支持动态生成 |
| 审计中心 | 集中存储登录时间、用户、操作行为等日志 |
注意:无需改造操作系统,所有组件以应用层方式运行。
4. 技术实现路径
4.1 步骤一:为每个用户创建本地映射账户
在机密电脑上,预先创建多个本地Windows账户 ,但密码不告知任何人:
权限差异化:
zhangsan_local:可运行专业软件,禁止USB写入;lisi_local:仅可查看数据,禁止导出;wangwu_local:完全权限。
4.2 步骤二:部署本地安全代理
开发一个轻量级代理程序(可基于.NET或Python),实现以下功能:
(1)触发强认证
- 插入USB Key或刷脸;
- 验证通过后获取用户身份(如
zhangsan)。
(2)请求动态密码
-
向凭据管理系统(SMS)发送请求:
httpPOST /secrets/workstation/secret01/password Authorization: Bearer <USB_Key_Signed_Token> -
SMS返回一个临时密码(有效期5分钟)。
(3)自动登录本地账户
- 使用Windows API(如
CreateProcessWithLogonW)以zhangsan_local身份启动新会话; - 用户进入专属桌面环境,与其他用户完全隔离。
(4)采集操作日志
- 记录:用户、登录时间、登出时间、运行的程序、访问的文件(可选);
- 日志加密上传至审计中心。
4.3 步骤三:凭据管理系统(SMS)配置
- 将机密电脑的每个本地账户密码存入SMS,标记为:
workstation/secret01/zhangsan_localworkstation/secret01/lisi_local
- 设置访问策略:
- 仅允许该机密电脑的IP + USB Key证书访问;
- 密码每次获取后自动轮换(可选);
- 访问记录实时审计。
5. 安全加固策略
5.1 凭据安全
- 密码动态化:每次登录使用新密码,用后即废;
- 传输加密:SMS通信启用mTLS双向认证;
- 存储加密:密码由KMS主密钥加密,落盘不可读。
5.2 会话隔离
- 用户配置文件隔离 :每个本地账户拥有独立
C:\Users\{name}; - 进程隔离:通过Windows Job Objects限制资源使用;
- 网络隔离:可配置防火墙规则,限制不同账户的网络访问。
5.3 防绕过机制
- 禁用本地登录:通过组策略禁用Ctrl+Alt+Del登录,强制使用代理;
- 屏幕水印:在桌面叠加"张三 - 2025-10-30 14:30"水印,防止拍照泄露;
- USB管控:仅允许认证USB Key插入,其他设备自动禁用。
5.4 应急恢复
- 离线模式:若网络中断,可启用本地缓存的应急密码(需审批);
- 管理员后门:预留一个物理按钮,长按10秒进入维护模式(记录日志)。
6. 合规性对齐
| 合规要求 | 本方案实现方式 |
|---|---|
| 等保2.0三级 - 安全计算环境 | "应启用安全审计功能,审计覆盖到每个用户" → 每次操作绑定真实身份 |
| 等保2.0三级 - 访问控制 | "应授予管理用户所需的最小权限" → 按角色分配本地账户权限 |
| 《数据安全法》第二十七条 | "采取必要措施保障数据处理活动合规" → 操作可追溯、权限可回收 |
| ISO 27001 A.9.2.3 | "用户访问权限应定期审查" → 统一身份库支持权限即时禁用 |
审计日志字段:
- 真实用户名、本地账户名、登录/登出时间;
- 源设备指纹(USB Key序列号);
- 运行的程序列表(可选);
- 是否触发高危操作(如导出、删除)。
7. 某国家级实验室实践:基因测序工作站安全管控
背景
该实验室拥有10台高价值基因测序工作站,每台价值超200万元,连接核心数据库。原采用共享账号labuser,密码全组知晓,曾发生数据误删无法追责事件。
需求
- 实现20名研究员、5名实习生、3名管理员的差异化访问;
- 所有操作可追溯到个人;
- 支持国密USB Key认证;
- 满足科技部《科研数据安全管理规范》。
方案实施
-
创建本地账户:
- 研究员:
r001_local~r020_local(可运行分析软件); - 实习生:
i001_local~i005_local(仅可查看结果); - 管理员:
admin01_local(完全权限)。
- 研究员:
-
部署本地安全代理:
- 开机自动启动代理程序;
- 插入USB Key后选择身份,自动登录对应账户。
-
集成凭据管理系统:
- 所有本地账户密码由SMS托管;
- 每次登录获取临时密码,5分钟后失效。
-
审计对接:
- 操作日志接入实验室SIEM系统;
- 设置"非工作时间登录""大量数据导出"实时告警。
成果
- 操作追溯效率提升100%:误操作30分钟内定位责任人;
- 权限违规事件归零:实习生无法执行分析任务;
- 顺利通过科技部安全检查。
8. 自研 vs 商用方案:技术选型建议
| 维度 | 自研方案 | 商用安全登录代理 |
|---|---|---|
| 开发成本 | 高(需实现认证、代理、审计) | 低(开箱即用) |
| 国密支持 | 需自行集成USB Key驱动 | 内置国密算法,支持主流Key厂商 |
| 多系统兼容 | 仅Windows | 支持Windows/Linux/macOS |
| 凭据安全 | 需自建SMS | 内置企业级凭据管理 |
| 合规就绪 | 需额外开发审计模块 | 内置等保/GDPR模板 |
建议 :对于涉密、高价值场景,采用经过认证的商用方案是更稳妥的选择。
安当SLA安全登录代理(Secure Login Agent)正是面向此类场景的企业级解决方案。其支持国密USB Key、人脸、OTP等多种认证方式,内置动态凭证获取、会话隔离、屏幕水印、操作审计等功能,并提供与安当SMS凭据管理系统的无缝集成,已在军工、科研、金融等领域落地。
典型应用:
- 某航天院所实现100+涉密终端多人共用安全登录;
- 某三甲医院影像科满足"阅片操作可追溯"合规要求;
- 某量化私募基金确保交易终端权限最小化。
9. 未来演进:从终端安全到零信任工作负载
随着零信任架构普及,安全登录将不再局限于"人",而是扩展到"人+设备+应用":
- 设备信任评估:仅允许合规终端(如已安装EDR)访问;
- 应用级授权:即使登录成功,也仅能运行授权程序;
- 持续验证:会话中定期重新认证(如每30分钟刷脸);
- 无密码化:全面转向FIDO2/生物识别,彻底消除密码。
而这一切的基础,是一个轻量、安全、可扩展的本地身份代理。
10. 结语
多人共用机密电脑不是安全的例外,而是治理的重点。与其用"信任"代替"控制",不如用"技术"实现"可控的共用"。
通过"动态凭证 + 强认证 + 会话隔离"的组合拳,我们可以在不改变现有硬件和操作系统的前提下,将一台共享终端转变为多个逻辑隔离的安全工作空间。这不仅是技术升级,更是安全理念的进化------从"管住密码"到"管住身份",从"事后追责"到"事前预防"。
选择合适的技术路径,让每一次登录,都成为一次可追溯、可控制、可审计的安全行为。
真正的安全,不是禁止共用,而是让共用变得安全。