撥開電信運維迷霧 天玥業(yè)務(wù)堡壘機實現(xiàn)統(tǒng)一
北京 2012-05-16(中國商業(yè)電訊)--某移動公司需要從技術(shù)角度保證系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計。啟明星辰天玥業(yè)務(wù)堡壘機系統(tǒng)完美滿足了用戶需求。
隨著國內(nèi)通訊市場的高速發(fā)展,各大電信運營商在大力推廣內(nèi)部信息化應(yīng)用,利用先進的信息化管理系統(tǒng)來改善內(nèi)部管理。如何實現(xiàn)運營商維護人員安全接入維護網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò),如何更好保障維護人員對網(wǎng)絡(luò)內(nèi)部服務(wù)器的權(quán)限管理、操作過程的監(jiān)控及行為審計,成為各大運營商不得不面對的問題。
為了解決企業(yè)內(nèi)部IT運維人員的管控問題,啟明星辰自主研發(fā)了天玥業(yè)務(wù)堡壘機系統(tǒng)。這套系統(tǒng)是針對企業(yè)內(nèi)網(wǎng)的運維操作和業(yè)務(wù)訪問行為進行細粒度控制和審計的合規(guī)性管理系統(tǒng)。它通過對運維人員和業(yè)務(wù)用戶的身份進行認證,對各類運維操作和業(yè)務(wù)訪問行為進行分析、記錄、匯報,以幫助用戶事前認證授權(quán)、事中實時監(jiān)控、事后精確溯源,加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管,促進核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)的正常運行。
下面我們通過對天玥堡壘機系統(tǒng)在某移動公司的實際應(yīng)用進行詳細剖析,來了解一下該案例的應(yīng)用背景、架構(gòu)細節(jié)、方案特色以及試運行后取得的安全防護效果。
明晰主要需求
為應(yīng)對SOX法案的檢查,某移動公司計劃建設(shè)IT系統(tǒng)用戶身份和訪問管理平臺。在該公司的SOX控制點中,涉及對口令、密碼、權(quán)限和審計管理的有30多項,涵蓋的系統(tǒng)包括:智能網(wǎng)、彩鈴、MISC、交換局和部分重要的主機、網(wǎng)絡(luò)設(shè)備,以及公司企業(yè)信息化系統(tǒng)。在對相關(guān)控制點進行修補的過程中,公司發(fā)現(xiàn),雖然通過管理措施可以達到對相關(guān)控制點的修補目標(biāo),但由于技術(shù)手段的缺乏,需要付出更多人力成本的代價,加重了維護人員的工作負擔(dān)。而且采用非技術(shù)手段實施管理,會因為管理認知角度的不同,造成檢查者對相關(guān)控制點執(zhí)行是否有效總是抱有疑慮。
因此需要根據(jù)該客戶的現(xiàn)狀,建設(shè)集中統(tǒng)一的安全管理技術(shù)和平臺,使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計,從技術(shù)上保證支撐系統(tǒng)安全策略的實施。用戶主要的安全需求如下:
1. 需要針對所有業(yè)務(wù)支撐系統(tǒng)建立一套統(tǒng)一的認證、授權(quán)和審計系統(tǒng);
2. 需要對所有業(yè)務(wù)支撐系統(tǒng)中的每個網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的運行、維護以及管理等操作行為進行集中、統(tǒng)一的審計,以便綜合關(guān)聯(lián)分析,及時發(fā)現(xiàn)違規(guī)行為;
3. 需要在多個支撐系統(tǒng)中建立集中統(tǒng)一的資源訪問控制平臺,集中按照最小權(quán)限原則分配權(quán)限;
4. 需要統(tǒng)一的用戶名和口令在多個支撐系統(tǒng)實現(xiàn)單點登錄,同時保證系統(tǒng)的安全性;
5. 需要在技術(shù)層面對第三方廠商的運維操作進行高強度的監(jiān)管;
6. 需要對多人共用賬號產(chǎn)生的操作行為進行監(jiān)控,以便確定安全事故真正責(zé)任人。
提供全面方案
本次項目涉及到的部門以及業(yè)務(wù)系統(tǒng)主要有
發(fā)展計劃部IT中心:OA、MIS;
網(wǎng)管中心:支撐室、交換室(彩鈴、智能網(wǎng)、端局)、數(shù)據(jù)室(MISC、GPRS、短信、彩信、WAP、CMNet)、網(wǎng)優(yōu)室(話務(wù)網(wǎng)元);
本次共規(guī)劃管轄1000個點的設(shè)備管理,其中網(wǎng)絡(luò)設(shè)備(包括網(wǎng)元)600個,主機設(shè)備300個,通用應(yīng)用50個,專用應(yīng)用10個。允許接入的用戶為100個。對部分在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)接入該平臺系統(tǒng),統(tǒng)一通過數(shù)據(jù)網(wǎng)管系統(tǒng)的防火墻進行,以便確保該平臺的安全。
工程緊緊圍繞系統(tǒng)的建設(shè)目標(biāo)和移動集團的4A建設(shè)規(guī)范,在用戶管理、統(tǒng)一認證、統(tǒng)一授權(quán)、操作審計以及單點登錄管理幾個基礎(chǔ)功能上都達到了出色的效果。
此次項目采用啟明星辰的天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)堡壘機)和天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)網(wǎng)審計)兩個產(chǎn)品來滿足全部需求,產(chǎn)品的具體型號包括:
天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)堡壘機)數(shù)據(jù)中心:天玥業(yè)務(wù)堡壘機數(shù)據(jù)中心由管理系統(tǒng)、認證系統(tǒng)和報表系統(tǒng)三個子系統(tǒng)構(gòu)成,管理系統(tǒng)負責(zé)對整個天玥業(yè)務(wù)堡壘機引擎和天玥業(yè)務(wù)網(wǎng)審計引擎進行管理配置,包括系統(tǒng)狀態(tài)監(jiān)控和維護、運維審計對象定義、規(guī)則定義、審計策略配置等;認證系統(tǒng)負責(zé)對自然人進行身份認證和授權(quán);報表系統(tǒng)負責(zé)審計日志的記錄和維護、日志檢索、統(tǒng)計和分析,并可根據(jù)用戶要求生成各種格式的審計報表。
天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)堡壘機)串行引擎:提供綜合維護接入網(wǎng)關(guān)功能,對加密協(xié)議進行審計記錄,審計事件上報數(shù)據(jù)中心;
天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)網(wǎng)審計)旁路引擎:通過交換機鏡像的方式捕獲數(shù)據(jù)包,對常用維護協(xié)議進行解析與審計,審計事件上報數(shù)據(jù)中心。
圖1 發(fā)展計劃部IT中心部署方案
圖2 網(wǎng)管中心部署方案
在本方案中,在省移動IT中心以及網(wǎng)管網(wǎng)三個科室的網(wǎng)絡(luò)環(huán)境中分別以在線方式部署一套天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)堡壘機),每套系統(tǒng)由兩臺天玥堡壘機產(chǎn)品以HA 方式組成,實現(xiàn)對1000 臺網(wǎng)元設(shè)備的遠程訪問控制與審計;配合天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)網(wǎng)審計)實現(xiàn)對所轄網(wǎng)元設(shè)備用戶操作的統(tǒng)一賬號管理、統(tǒng)一認證、統(tǒng)一授權(quán)、統(tǒng)一審計。
實現(xiàn)有效整合
SOX 法案被稱作是有史以來最嚴苛、最復(fù)雜、最昂貴的法案,精確到企業(yè)運營中的很多細節(jié)。其中人對系統(tǒng)的操作、系統(tǒng)對系統(tǒng)的操作,只要屬于對財務(wù)報告可能產(chǎn)生影響的范疇都應(yīng)被明確的定義,且審計和紀錄。從這一點出發(fā),依托“4A綜合解決方案”,通過啟明星辰的天玥堡壘機,促使系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計,保證支撐系統(tǒng)的這些安全策略能夠統(tǒng)一實施。該方案的關(guān)鍵難點是3A 系統(tǒng)與審計系統(tǒng)的有效整合。解決方案中不僅需要天玥網(wǎng)絡(luò)安全審計系統(tǒng)(業(yè)務(wù)堡壘機)對3A 提供開放的接口,而且其3A 系統(tǒng)也需要有很好的定制能力,才可滿足與企業(yè)各個關(guān)鍵業(yè)務(wù)系統(tǒng)的持續(xù)同步發(fā)展。(啟明星辰 楊志泉)