通信運(yùn)營商4A 統(tǒng)一安全管理平臺應(yīng)用與探討

顧 超

（寧夏通信規(guī)劃設(shè)計(jì)院有限責(zé)任公司，銀川 750011）

1 引言

隨著現(xiàn)代信息技術(shù)的快速發(fā)展，企業(yè)信息化建設(shè)已經(jīng)滲透到各個(gè)行業(yè)。運(yùn)營商行業(yè)由于其特殊的服務(wù)群體及業(yè)務(wù)范圍，通過數(shù)量眾多的網(wǎng)絡(luò)設(shè)備和服務(wù)器組網(wǎng)，除提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行主營業(yè)務(wù)外，涉及政府、金融、各類企業(yè)的綜合信息服務(wù)等。由于網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備、管理賬號、運(yùn)維人員眾多，且存在賬號權(quán)限混亂、越權(quán)操作、無法審計(jì)等問題。對于如何跟蹤服務(wù)器上賬號的操作行為，提高系統(tǒng)運(yùn)維管理水平，提供訪問控制和審計(jì)依據(jù)，滿足通信行業(yè)要求標(biāo)準(zhǔn)，已成為運(yùn)營商迫切需要解決的問題。

2 應(yīng)用背景

近十幾年來通信網(wǎng)絡(luò)技術(shù)不斷更新，運(yùn)營商的業(yè)務(wù)系統(tǒng)更新?lián)Q代迅速，內(nèi)部的系統(tǒng)數(shù)、設(shè)備數(shù)、用戶數(shù)不斷增加，業(yè)務(wù)系統(tǒng)相關(guān)安全管理工作比較滯后，內(nèi)部信息安全問題日漸突出，主要表現(xiàn)在：

（1）賬號管理的不足。運(yùn)營商除內(nèi)部系統(tǒng)維護(hù)人員外，存在很多原廠維護(hù)人員，業(yè)務(wù)系統(tǒng)的激增，維護(hù)人員數(shù)量也極具增加，賬號管理的工作變得復(fù)雜和多變。管理系統(tǒng)類別繁多，維護(hù)人員經(jīng)常需在各系統(tǒng)之間切換，嚴(yán)重影響運(yùn)維人員工作效率。另外，存在自然人運(yùn)維賬號和系統(tǒng)資源賬號越權(quán)操作等安全風(fēng)險(xiǎn)。

（2）認(rèn)證管理的不足。運(yùn)營商不同業(yè)務(wù)系統(tǒng)各自部署大量的網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)又歸屬于相關(guān)業(yè)務(wù)的部門進(jìn)行維護(hù)管理。當(dāng)多個(gè)系統(tǒng)同時(shí)需要維護(hù)人員進(jìn)行維護(hù)時(shí)，不同的系統(tǒng)需要做多次的認(rèn)證，工作復(fù)雜度成倍增加，且對于內(nèi)部維護(hù)人員和廠家維護(hù)人員沒有一個(gè)有效認(rèn)證方式來區(qū)別。

（3）授權(quán)管理的不足。運(yùn)營商業(yè)務(wù)系統(tǒng)分別有多個(gè)系統(tǒng)資源，且每個(gè)系統(tǒng)資源存在多個(gè)賬號，為了維護(hù)方便，很多賬號和密碼存在內(nèi)外部維護(hù)人員都在使用的情況，嚴(yán)格按照最小權(quán)限原則分配無法執(zhí)行，經(jīng)常出現(xiàn)運(yùn)維用戶所有權(quán)限過大問題，不僅容易造成賬號密碼泄露的問題，還極易發(fā)生因越權(quán)操作導(dǎo)致的安全事故。

（4）審計(jì)管理的不足。不同業(yè)務(wù)系統(tǒng)都存在相互獨(dú)立的審計(jì)需求，即使同一系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)、業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫都要分類進(jìn)行審計(jì)，缺乏集中統(tǒng)一的訪問審計(jì)系統(tǒng)，實(shí)時(shí)全面跟蹤記錄用戶的登錄、操作行為。

因此需要集中的賬號、認(rèn)證、授權(quán)、審計(jì)（4A）安全管理系統(tǒng)，解決日常安全管理問題。近年工信部、通管局逐步加強(qiáng)對基礎(chǔ)電信運(yùn)營商網(wǎng)絡(luò)安全方面的能力考核，目前各大運(yùn)營商已經(jīng)建設(shè)了4A 統(tǒng)一安全管控平臺，實(shí)現(xiàn)信息業(yè)務(wù)系統(tǒng)集中賬號管理、集中權(quán)限分配、統(tǒng)一認(rèn)證和集中審計(jì)，可做到事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、事故追蹤回放，提升了業(yè)務(wù)安全系統(tǒng)的整體水平。

3 4A 統(tǒng)一安全管理平臺功能介紹

3.1 帳號（account）管理

4A 管理平臺提供統(tǒng)一集中的帳號管理，統(tǒng)一賬號管理分為兩部分。一是自然人（用戶）帳號管理，包括賬號分組、建立、修改、刪除、凍結(jié)等功能，用于滿足實(shí)際維護(hù)和操作過程中各類需求。二是被管資源賬號管理，支持管理的資源，包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)，能夠?qū)崿F(xiàn)被管理資源帳號的創(chuàng)建、刪除及同步等功能。另外，4A 平臺可針對賬號進(jìn)行時(shí)間、密碼策略和生存周期進(jìn)行設(shè)定。

3.2 認(rèn)證（authentication）管理

4A 管理平臺根據(jù)不同用戶應(yīng)用的實(shí)際需要，為用戶提供相關(guān)的認(rèn)證方式和認(rèn)證策略，以識別用戶身份的合法性。認(rèn)證支持多種強(qiáng)認(rèn)證方式及組合認(rèn)證方式，包括動態(tài)令牌、數(shù)字證書、短信口令、靜態(tài)密碼等。在實(shí)現(xiàn)用戶認(rèn)證的統(tǒng)一管理基礎(chǔ)上，能夠提供統(tǒng)一的認(rèn)證門戶，實(shí)現(xiàn)單點(diǎn)登錄訪問企業(yè)信息資源。

3.3 授權(quán)（authorization）管理

4A 管理平臺可以根據(jù)用戶賬號及資源賬號建立對應(yīng)的授權(quán)關(guān)系。管理員按照用戶的實(shí)際權(quán)限要求，將業(yè)務(wù)系統(tǒng)不同資源的不同賬號按需分配給運(yùn)維用戶，實(shí)現(xiàn)對應(yīng)用系統(tǒng)、主機(jī)及網(wǎng)絡(luò)設(shè)備賬號的最小權(quán)限分配原則。

3.4 審計(jì)（audit）管理

4A 管理平臺將用戶對所授權(quán)資源的所有的登錄訪問、操作信息及命令執(zhí)行結(jié)果狀態(tài)等日志集中記錄管理和分析，不僅支持對會話進(jìn)行完整的操作回放，跟蹤資源登錄及操作過程中的所有細(xì)節(jié)，并可以通過集中的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，方便事后的安全事故責(zé)任認(rèn)定。

4 4A 統(tǒng)一安全管理平臺應(yīng)用案例

下面以電信某省公司4A 管理平臺為例詳細(xì)介紹從系統(tǒng)建設(shè)到實(shí)際應(yīng)用中的一些情況。

4.1 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)拓?fù)鋱D如圖1所示：

圖1 網(wǎng)絡(luò)拓?fù)鋱D

說明：第一，4A 統(tǒng)一安全管理平臺相關(guān)設(shè)備，包括4A 服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用發(fā)布服務(wù)器，統(tǒng)一部署在該公司規(guī)劃的獨(dú)立網(wǎng)絡(luò)安全管理區(qū)。第二，該公司所要接入4A 平臺的業(yè)務(wù)系統(tǒng)分布在不同的網(wǎng)絡(luò)環(huán)境下，且屬于不同的部門管理，需要協(xié)調(diào)打通4A 平臺至各系統(tǒng)資源的網(wǎng)絡(luò)環(huán)境。

4.2 用戶使用流程

用戶通過公網(wǎng)或者其他網(wǎng)絡(luò)登錄4A 平臺，只需輸入一次主用戶賬號和密碼，認(rèn)證成功后通過4A 平臺即可操作授權(quán)給該用戶的系統(tǒng)資源和應(yīng)用資源。運(yùn)維多個(gè)系統(tǒng)無需多次輸入用戶名和密碼，提高工作效率的同時(shí)可避免資源密碼泄露。

圖2 用戶使用流程圖

4.3 平臺優(yōu)化建議

4.3.1 賬號管理方面

主賬號創(chuàng)建時(shí)只需提交相關(guān)信息由平臺管理員通過手工方式創(chuàng)建，無法核實(shí)人員信息的有效性，存在安全隱患。建議由各業(yè)務(wù)系統(tǒng)管理員負(fù)責(zé)相應(yīng)人員信息的收集及審核工作，規(guī)范主賬號審批創(chuàng)建流程，加強(qiáng)運(yùn)維人員主帳號生命周期的管理。

4.3.2 資源接入不規(guī)范

運(yùn)營商業(yè)務(wù)系統(tǒng)眾多，業(yè)務(wù)系統(tǒng)下又包括很多網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用服務(wù)等各類資源，4A 平臺中各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)由于管理錄入等問題存在名稱與實(shí)際不匹配的現(xiàn)象，為后續(xù)管理及審計(jì)方便，接入4A 的資源應(yīng)保持于運(yùn)營商原有定級系統(tǒng)名稱一致，資源接入應(yīng)該由各業(yè)務(wù)系統(tǒng)管理員分別完成，或?qū)庸疽延械馁Y產(chǎn)管理平臺，對業(yè)務(wù)系統(tǒng)資源名稱一致性進(jìn)行復(fù)合和優(yōu)化。

4.3.3 批量登錄功能

運(yùn)維用戶必然存在定期巡檢的工作，登錄4A 平臺后對授權(quán)資源進(jìn)行運(yùn)維時(shí)需要逐個(gè)選擇對應(yīng)的資源進(jìn)行登錄操作，可以根據(jù)用戶運(yùn)維要求創(chuàng)建批量登錄功能，當(dāng)用戶需要一次性登錄多個(gè)系統(tǒng)資源的時(shí)，比如通過SecureCRT 工具登錄網(wǎng)絡(luò)中的大量交換機(jī)、路由器設(shè)備進(jìn)行定期的運(yùn)維操作時(shí)，可以通過批量登錄功能進(jìn)行運(yùn)維操作，節(jié)約維護(hù)人員時(shí)間的同時(shí)減少了操作復(fù)雜度。

4.3.4 認(rèn)證登錄方式

目前，用戶通過公網(wǎng)環(huán)境登錄4A 平臺運(yùn)維時(shí)，首先要通過VPN 賬號和密碼登錄到4A 平臺內(nèi)部網(wǎng)絡(luò)內(nèi)，然后再通過4A 平臺賬號認(rèn)證登錄后運(yùn)維，這個(gè)過程中用戶需要登錄兩次。存在很多用戶分不清兩個(gè)賬號的功能及記錯(cuò)密碼的情況，導(dǎo)致出現(xiàn)賬號鎖定或者通知平臺管理員密碼錯(cuò)誤需重置等問題，這樣即不方便用戶使用也加大了管理員的工作量。可以將4A 平臺與VPN 對接，當(dāng)用戶登錄認(rèn)證時(shí)，通過靜態(tài)密碼驗(yàn)證VPN 后由VPN 推送信息給4A 平臺，4A 平臺通過推送的賬號進(jìn)行二次驗(yàn)證后返回是否通過驗(yàn)證，這樣用戶只需使用一個(gè)賬號進(jìn)行認(rèn)證，提升用戶感知。

5 結(jié)束語

信息系統(tǒng)目前已在企業(yè)運(yùn)營中全面滲透，企業(yè)在做好業(yè)務(wù)保障及日常運(yùn)行的同時(shí)，保障信息安全已成為企業(yè)發(fā)展的重要因素。4A 統(tǒng)一安全管控平臺目前已經(jīng)覆蓋了多個(gè)行業(yè)，隨著國家政策及制度的推進(jìn)，4A 統(tǒng)一安全管理平臺解決方案必定會在實(shí)踐中得到更好的發(fā)展和完善。