隨著國(guó)內(nèi)通訊市場(chǎng)的高速發(fā)展，各大電信運(yùn)營(yíng)商在大力推廣內(nèi)部信息化應(yīng)用，利用先進(jìn)的信息化管理系統(tǒng)來(lái)改善內(nèi)部管理。如何實(shí)現(xiàn)運(yùn)營(yíng)商維護(hù)人員安全接入維護(hù)網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，如何更好保障維護(hù)人員對(duì)網(wǎng)絡(luò)內(nèi)部服務(wù)器的權(quán)限管理、操作過程的監(jiān)控及行為審計(jì)，成為各大運(yùn)營(yíng)商不得不面對(duì)的問題。

為了解決企業(yè)內(nèi)部IT運(yùn)維人員的管控問題，啟明星辰自主研發(fā)了天玥業(yè)務(wù)堡壘機(jī)系統(tǒng)。這套系統(tǒng)是針對(duì)企業(yè)內(nèi)網(wǎng)的運(yùn)維操作和業(yè)務(wù)訪問行為進(jìn)行細(xì)粒度控制和審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)運(yùn)維人員和業(yè)務(wù)用戶的身份進(jìn)行認(rèn)證，對(duì)各類運(yùn)維操作和業(yè)務(wù)訪問行為進(jìn)行分析、記錄、匯報(bào)，以幫助用戶事前認(rèn)證授權(quán)、事中實(shí)時(shí)監(jiān)控、事后精確溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管，促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)行。

下面我們通過對(duì)天玥堡壘機(jī)系統(tǒng)在某移動(dòng)公司的實(shí)際應(yīng)用進(jìn)行詳細(xì)剖析，來(lái)了解一下該案例的應(yīng)用背景、架構(gòu)細(xì)節(jié)、方案特色以及試運(yùn)行后取得的安全防護(hù)效果。

明晰主要需求

為應(yīng)對(duì)SOX法案的檢查，某移動(dòng)公司計(jì)劃建設(shè)IT系統(tǒng)用戶身份和訪問管理平臺(tái)。在該公司的SOX控制點(diǎn)中，涉及對(duì)口令、密碼、權(quán)限和審計(jì)管理的有30多項(xiàng)，涵蓋的系統(tǒng)包括：智能網(wǎng)、彩鈴、MISC、交換局和部分重要的主機(jī)、網(wǎng)絡(luò)設(shè)備，以及公司企業(yè)信息化系統(tǒng)。在對(duì)相關(guān)控制點(diǎn)進(jìn)行修補(bǔ)的過程中，公司發(fā)現(xiàn)，雖然通過管理措施可以達(dá)到對(duì)相關(guān)控制點(diǎn)的修補(bǔ)目標(biāo)，但由于技術(shù)手段的缺乏，需要付出更多人力成本的代價(jià)，加重了維護(hù)人員的工作負(fù)擔(dān)。而且采用非技術(shù)手段實(shí)施管理，會(huì)因?yàn)楣芾碚J(rèn)知角度的不同，造成檢查者對(duì)相關(guān)控制點(diǎn)執(zhí)行是否有效總是抱有疑慮。

因此需要根據(jù)該客戶的現(xiàn)狀，建設(shè)集中統(tǒng)一的安全管理技術(shù)和平臺(tái)，使得系統(tǒng)和安全管理人員可以對(duì)支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施。用戶主要的安全需求如下：

1. 需要針對(duì)所有業(yè)務(wù)支撐系統(tǒng)建立一套統(tǒng)一的認(rèn)證、授權(quán)和審計(jì)系統(tǒng);

2. 需要對(duì)所有業(yè)務(wù)支撐系統(tǒng)中的每個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行、維護(hù)以及管理等操作行為進(jìn)行集中、統(tǒng)一的審計(jì)，以便綜合關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)違規(guī)行為;

3. 需要在多個(gè)支撐系統(tǒng)中建立集中統(tǒng)一的資源訪問控制平臺(tái)，集中按照最小權(quán)限原則分配權(quán)限;

4. 需要統(tǒng)一的用戶名和口令在多個(gè)支撐系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄，同時(shí)保證系統(tǒng)的安全性;

5. 需要在技術(shù)層面對(duì)第三方廠商的運(yùn)維操作進(jìn)行高強(qiáng)度的監(jiān)管;

6. 需要對(duì)多人共用賬號(hào)產(chǎn)生的操作行為進(jìn)行監(jiān)控，以便確定安全事故真正責(zé)任人。

提供全面方案

本次項(xiàng)目涉及到的部門以及業(yè)務(wù)系統(tǒng)主要有

發(fā)展計(jì)劃部IT中心：OA、MIS;

網(wǎng)管中心：支撐室、交換室(彩鈴、智能網(wǎng)、端局)、數(shù)據(jù)室(MISC、GPRS、短信、彩信、WAP、CMNet)、網(wǎng)優(yōu)室(話務(wù)網(wǎng)元);

本次共規(guī)劃管轄1000個(gè)點(diǎn)的設(shè)備管理，其中網(wǎng)絡(luò)設(shè)備(包括網(wǎng)元)600個(gè)，主機(jī)設(shè)備300個(gè)，通用應(yīng)用50個(gè)，專用應(yīng)用10個(gè)。允許接入的用戶為100個(gè)。對(duì)部分在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)接入該平臺(tái)系統(tǒng)，統(tǒng)一通過數(shù)據(jù)網(wǎng)管系統(tǒng)的防火墻進(jìn)行，以便確保該平臺(tái)的安全。

工程緊緊圍繞系統(tǒng)的建設(shè)目標(biāo)和移動(dòng)集團(tuán)的4A建設(shè)規(guī)范，在用戶管理、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、操作審計(jì)以及單點(diǎn)登錄管理幾個(gè)基礎(chǔ)功能上都達(dá)到了出色的效果。

此次項(xiàng)目采用啟明星辰的天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))和天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)網(wǎng)審計(jì))兩個(gè)產(chǎn)品來(lái)滿足全部需求，產(chǎn)品的具體型號(hào)包括：

天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))數(shù)據(jù)中心：天玥業(yè)務(wù)堡壘機(jī)數(shù)據(jù)中心由管理系統(tǒng)、認(rèn)證系統(tǒng)和報(bào)表系統(tǒng)三個(gè)子系統(tǒng)構(gòu)成，管理系統(tǒng)負(fù)責(zé)對(duì)整個(gè)天玥業(yè)務(wù)堡壘機(jī)引擎和天玥業(yè)務(wù)網(wǎng)審計(jì)引擎進(jìn)行管理配置，包括系統(tǒng)狀態(tài)監(jiān)控和維護(hù)、運(yùn)維審計(jì)對(duì)象定義、規(guī)則定義、審計(jì)策略配置等;認(rèn)證系統(tǒng)負(fù)責(zé)對(duì)自然人進(jìn)行身份認(rèn)證和授權(quán);報(bào)表系統(tǒng)負(fù)責(zé)審計(jì)日志的記錄和維護(hù)、日志檢索、統(tǒng)計(jì)和分析，并可根據(jù)用戶要求生成各種格式的審計(jì)報(bào)表。

天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))串行引擎：提供綜合維護(hù)接入網(wǎng)關(guān)功能，對(duì)加密協(xié)議進(jìn)行審計(jì)記錄，審計(jì)事件上報(bào)數(shù)據(jù)中心;

天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)網(wǎng)審計(jì))旁路引擎：通過交換機(jī)鏡像的方式捕獲數(shù)據(jù)包，對(duì)常用維護(hù)協(xié)議進(jìn)行解析與審計(jì)，審計(jì)事件上報(bào)數(shù)據(jù)中心。

圖1 發(fā)展計(jì)劃部IT中心部署方案

圖2 網(wǎng)管中心部署方案

在本方案中，在省移動(dòng)IT中心以及網(wǎng)管網(wǎng)三個(gè)科室的網(wǎng)絡(luò)環(huán)境中分別以在線方式部署一套天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))，每套系統(tǒng)由兩臺(tái)天玥堡壘機(jī)產(chǎn)品以HA 方式組成，實(shí)現(xiàn)對(duì)1000 臺(tái)網(wǎng)元設(shè)備的遠(yuǎn)程訪問控制與審計(jì);配合天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)網(wǎng)審計(jì))實(shí)現(xiàn)對(duì)所轄網(wǎng)元設(shè)備用戶操作的統(tǒng)一賬號(hào)管理、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)。

實(shí)現(xiàn)有效整合

SOX 法案被稱作是有史以來(lái)最嚴(yán)苛、最復(fù)雜、最昂貴的法案，精確到企業(yè)運(yùn)營(yíng)中的很多細(xì)節(jié)。其中人對(duì)系統(tǒng)的操作、系統(tǒng)對(duì)系統(tǒng)的操作，只要屬于對(duì)財(cái)務(wù)報(bào)告可能產(chǎn)生影響的范疇都應(yīng)被明確的定義，且審計(jì)和紀(jì)錄。從這一點(diǎn)出發(fā)，依托“4A綜合解決方案”，通過啟明星辰的天玥堡壘機(jī)，促使系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，保證支撐系統(tǒng)的這些安全策略能夠統(tǒng)一實(shí)施。該方案的關(guān)鍵難點(diǎn)是3A 系統(tǒng)與審計(jì)系統(tǒng)的有效整合。解決方案中不僅需要天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))對(duì)3A 提供開放的接口，而且其3A 系統(tǒng)也需要有很好的定制能力，才可滿足與企業(yè)各個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)的持續(xù)同步發(fā)展。(啟明星辰 楊志泉)