随着国内通讯市场的高速发展,各大电信运营商在大力推广内部信息化应用,利用先进的信息化管理系统来改善内部管理。如何实现运营商维护人员安全接入维护网络和内部网络,如何更好保障维护人员对网络内部服务器的权限管理、操作过程的监控及行为审计,成为各大运营商不得不面对的问题。
为了解决企业内部IT运维人员的管控问题,启明星辰自主研发了天玥业务堡垒机系统。这套系统是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管,促进核心资产(数据库、服务器、网络设备等)的正常运行。
下面我们通过对天玥堡垒机系统在某移动公司的实际应用进行详细剖析,来了解一下该案例的应用背景、架构细节、方案特色以及试运行后取得的安全防护效果。
明晰主要需求
为应对SOX法案的检查,某移动公司计划建设IT系统用户身份和访问管理平台。在该公司的SOX控制点中,涉及对口令、密码、权限和审计管理的有30多项,涵盖的系统包括:智能网、彩铃、MISC、交换局和部分重要的主机、网络设备,以及公司企业信息化系统。在对相关控制点进行修补的过程中,公司发现,虽然通过管理措施可以达到对相关控制点的修补目标,但由于技术手段的缺乏,需要付出更多人力成本的代价,加重了维护人员的工作负担。而且采用非技术手段实施管理,会因为管理认知角度的不同,造成检查者对相关控制点执行是否有效总是抱有疑虑。
因此需要根据该客户的现状,建设集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。用户主要的安全需求如下:
1. 需要针对所有业务支撑系统建立一套统一的认证、授权和审计系统;
2. 需要对所有业务支撑系统中的每个网络设备、主机系统、业务系统、数据库系统的运行、维护以及管理等操作行为进行集中、统一的审计,以便综合关联分析,及时发现违规行为;
3. 需要在多个支撑系统中建立集中统一的资源访问控制平台,集中按照最小权限原则分配权限;
4. 需要统一的用户名和口令在多个支撑系统实现单点登录,同时保证系统的安全性;
5. 需要在技术层面对第三方厂商的运维操作进行高强度的监管;
6. 需要对多人共用账号产生的操作行为进行监控,以便确定安全事故真正责任人。
提供全面方案
本次项目涉及到的部门以及业务系统主要有
发展计划部IT中心:OA、MIS;
网管中心:支撑室、交换室(彩铃、智能网、端局)、数据室(MISC、GPRS、短信、彩信、WAP、CMNet)、网优室(话务网元);
本次共规划管辖1000个点的设备管理,其中网络设备(包括网元)600个,主机设备300个,通用应用50个,专用应用10个。允许接入的用户为100个。对部分在互联网上的业务系统接入该平台系统,统一通过数据网管系统的防火墙进行,以便确保该平台的安全。
工程紧紧围绕系统的建设目标和移动集团的4A建设规范,在用户管理、统一认证、统一授权、操作审计以及单点登录管理几个基础功能上都达到了出色的效果。
此次项目采用启明星辰的天玥网络安全审计系统(业务堡垒机)和天玥网络安全审计系统(业务网审计)两个产品来满足全部需求,产品的具体型号包括:
天玥网络安全审计系统(业务堡垒机)数据中心:天玥业务堡垒机数据中心由管理系统、认证系统和报表系统三个子系统构成,管理系统负责对整个天玥业务 堡垒机引擎和天玥业务网审计引擎进行管理配置,包括系统状态监控和维护、运维审计对象定义、规则定义、审计策略配置等;认证系统负责对自然人进行身份认证 和授权;报表系统负责审计日志的记录和维护、日志检索、统计和分析,并可根据用户要求生成各种格式的审计报表。
天玥网络安全审计系统(业务堡垒机)串行引擎:提供综合维护接入网关功能,对加密协议进行审计记录,审计事件上报数据中心;
天玥网络安全审计系统(业务网审计)旁路引擎:通过交换机镜像的方式捕获数据包,对常用维护协议进行解析与审计,审计事件上报数据中心。
图1 发展计划部IT中心部署方案
图2 网管中心部署方案
在本方案中,在省移动IT中心以及网管网三个科室的网络环境中分别以在线方式部署一套天玥网络安全审计系统(业务堡垒机),每套系统由两台天玥堡垒机产品以HA 方式组成,实现对1000 台网元设备的远程访问控制与审计;配合天玥网络安全审计系统(业务网审计)实现对所辖网元设备用户操作的统一账号管理、统一认证、统一授权、统一审计。
实现有效整合
SOX 法案被称作是有史以来最严苛、最复杂、最昂贵的法案,精确到企业运营中的很多细节。其中人对系统的操作、系统对系统的操作,只要属于对财务报告可能产生影 响的范畴都应被明确的定义,且审计和纪录。从这一点出发,依托“4A综合解决方案”,通过启明星辰的天玥堡垒机,促使系统的用户和各种资源进行集中管理、 集中权限分配、集中审计,保证支撑系统的这些安全策略能够统一实施。该方案的关键难点是3A 系统与审计系统的有效整合。解决方案中不仅需要天玥网络安全审计系统(业务堡垒机)对3A 提供开放的接口,而且其3A 系统也需要有很好的定制能力,才可满足与企业各个关键业务系统的持续同步发展。(启明星辰 杨志泉)