楊衛(wèi)紅+張薇

【摘要】 隨著通信和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)運(yùn)維管理的規(guī)范化和安全性要求越來(lái)越高。本文結(jié)合運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)維管理的現(xiàn)狀，對(duì)運(yùn)維的4A管控策略進(jìn)行探討分析，提出安全管控系統(tǒng)部署的建議。

【關(guān)鍵字】 網(wǎng)絡(luò)安全 管控平臺(tái)

一、網(wǎng)絡(luò)及信息安全管控需求

運(yùn)營(yíng)商雖然安全設(shè)備眾多，但缺少集中管理體系及統(tǒng)籌全網(wǎng)的安全管控手段；針對(duì)安全威脅存在安全事件監(jiān)控不足、排查困難等問題。

工信部考核要求（工信部保函[2015]5號(hào)“2015年網(wǎng)絡(luò)與信息安全”考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)），明確要求將集中賬號(hào)管理、認(rèn)證、授權(quán)、審計(jì)（4A）平臺(tái)立項(xiàng)納入2015年基礎(chǔ)電信運(yùn)營(yíng)商，網(wǎng)絡(luò)與信息安全責(zé)任考核。

二、4A管控策略分析

1、賬號(hào)管理。帳號(hào)管理包括主帳號(hào)和從帳號(hào)，以及和帳號(hào)相關(guān)的可在4A系統(tǒng)中集中管理的帳號(hào)屬性。主帳號(hào)是4A系統(tǒng)中標(biāo)識(shí)唯一自然人的ID，其范圍包括內(nèi)部員工帳號(hào)及外部工作人員帳號(hào)。從帳號(hào)是可獲得對(duì)資源訪問權(quán)的帳號(hào)。資源包括系統(tǒng)資源（主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備、其他）和應(yīng)用資源兩大類。通過4A系統(tǒng)創(chuàng)建或?qū)胫髻~號(hào)，制定并維護(hù)主從賬號(hào)的對(duì)應(yīng)關(guān)系，制定主從賬號(hào)的密碼策略、對(duì)資源的訪問登錄控制策略、以及主從賬號(hào)生命周期的管理策略等。

2、認(rèn)證管理。認(rèn)證包括主帳號(hào)身份認(rèn)證，即用戶登錄4A集中管理系統(tǒng)的認(rèn)證；以及從帳號(hào)認(rèn)證，即用戶訪問被管資源時(shí)的認(rèn)證。用戶在訪問被管理資源之前首先需要通過主帳號(hào)認(rèn)證，然后根據(jù)主帳號(hào)的授權(quán)關(guān)系，獲得訪問被管資源的相應(yīng)權(quán)限。用戶訪問被管資源時(shí)，由4A集中管理系統(tǒng)的單點(diǎn)登錄模塊協(xié)助其完成從帳號(hào)的認(rèn)證。通過4A集中管理系統(tǒng)的統(tǒng)一認(rèn)證服務(wù)器提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略，來(lái)識(shí)別用戶身份的合法性。認(rèn)證采用模塊化設(shè)計(jì)，支持靜態(tài)密碼認(rèn)證、強(qiáng)認(rèn)證及動(dòng)態(tài)認(rèn)證、靜態(tài)動(dòng)態(tài)組合認(rèn)證、以及二次認(rèn)證等靈活的認(rèn)證方式。

3、授權(quán)管理。對(duì)用戶在被管資源中能夠行使的權(quán)限進(jìn)行分配。所有被管資源首先在4A集中管理系統(tǒng)上進(jìn)行登記，包括資源名稱、資源地址、連接方式、資源類型、通信協(xié)議，相關(guān)參數(shù)等。通過4A系統(tǒng)的資源訪問授權(quán)、運(yùn)維操作授權(quán)、系統(tǒng)功能授權(quán)等實(shí)現(xiàn)對(duì)資源的訪問權(quán)限控制。通過人工或者Excel模板，錄入授權(quán)內(nèi)容，批量導(dǎo)入授權(quán)關(guān)系。

4、審計(jì)管理。通過Syslog、SNMP、數(shù)據(jù)庫(kù)（ODBC/ JDBC）、文件（FTP/SFTP）等多種方式對(duì)賬號(hào)登錄、授權(quán)、認(rèn)證、應(yīng)急切換等管理操作日志，系統(tǒng)的數(shù)據(jù)運(yùn)營(yíng)狀態(tài)，被管資源的登錄、訪問、操作日志等信息進(jìn)行收集和存儲(chǔ)。通過屏幕錄像錄屏功能實(shí)時(shí)采錄用戶的運(yùn)維操作行為時(shí)的界面錄像數(shù)據(jù)。通過一系列日志、信息和數(shù)據(jù)的采集，實(shí)現(xiàn)對(duì)訪問敏感數(shù)據(jù)、執(zhí)行關(guān)鍵操作及其結(jié)果進(jìn)行真實(shí)、全面的記錄，對(duì)業(yè)務(wù)操作行為、系統(tǒng)操作行為、4A自管理操作行為及4A數(shù)據(jù)運(yùn)營(yíng)狀態(tài)進(jìn)行詳細(xì)記錄，提供可用于責(zé)任追蹤的相關(guān)證據(jù)及審計(jì)管理支撐手段。

5、防繞行管理。通過防繞行管理加強(qiáng)安全審計(jì)，杜絕運(yùn)維人員繞行4A管控平臺(tái)，達(dá)到集中使用4A管控平臺(tái)的目的。實(shí)現(xiàn)防繞行管理，可以采用具備流量采集、分析與阻斷功能的防繞行設(shè)備，輔助并引導(dǎo)維護(hù)人員統(tǒng)一登錄4A管控平臺(tái)進(jìn)行日常運(yùn)維操作；可以在系統(tǒng)的防火墻或網(wǎng)絡(luò)設(shè)備上設(shè)置訪問控制策略；也可以通過采集系統(tǒng)日志，對(duì)系統(tǒng)日志進(jìn)行分析，發(fā)現(xiàn)繞行行為并進(jìn)行預(yù)警。

三、網(wǎng)絡(luò)系統(tǒng)接入4A平臺(tái)策略

現(xiàn)有網(wǎng)絡(luò)系統(tǒng)接入4A策略，主要分為四類：

第一類：基本不用改造，要接入的網(wǎng)絡(luò)系統(tǒng)已在4A系統(tǒng)的承載網(wǎng)中。

這類系統(tǒng)只需要調(diào)整與4A承載網(wǎng)之間的防火墻訪問控制策略，做到4A系統(tǒng)到被管資源的管理端口放開、網(wǎng)絡(luò)可達(dá)。

第二類：網(wǎng)絡(luò)系統(tǒng)的網(wǎng)管系統(tǒng)需要進(jìn)行改造。

這類網(wǎng)絡(luò)系統(tǒng)的網(wǎng)管網(wǎng)與4A系統(tǒng)的承載網(wǎng)不是同一張網(wǎng)絡(luò)，需要對(duì)其網(wǎng)管系統(tǒng)改造接入4A系統(tǒng)的承載網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)的互通。

第三類：統(tǒng)一出口方式接入4A系統(tǒng)。

現(xiàn)有網(wǎng)絡(luò)系統(tǒng)因歸屬部門、業(yè)務(wù)種類等因素存在使用專網(wǎng)承載的情況。專網(wǎng)是單獨(dú)的網(wǎng)絡(luò)，使用的是私網(wǎng)地址。承載在專網(wǎng)上的網(wǎng)絡(luò)系統(tǒng)需要在專網(wǎng)與4A承載網(wǎng)的統(tǒng)一出口處部署相應(yīng)的接入機(jī)制和管控策略，進(jìn)而接入4A系統(tǒng)。

第四類：專線方式接入4A系統(tǒng)。

這類大多是運(yùn)營(yíng)商早期建設(shè)的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)元多，網(wǎng)絡(luò)復(fù)雜，沒有網(wǎng)管系統(tǒng)或者網(wǎng)管系統(tǒng)無(wú)法覆蓋到所有網(wǎng)元。

四、結(jié)束語(yǔ)

及時(shí)引入4A管控系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)維進(jìn)行規(guī)范化可控的操作管理，對(duì)敏感信息和核心數(shù)據(jù)進(jìn)行統(tǒng)一的歸口管理和流轉(zhuǎn)控制，做到出了問題可以追溯、精準(zhǔn)定位，將大大減少網(wǎng)絡(luò)安全及信息泄露問題。

參 考 文 獻(xiàn)

[1]工信部通信行業(yè)標(biāo)準(zhǔn)《帳號(hào)、授權(quán)、認(rèn)證和審計(jì)（4A）集中管理系統(tǒng)技術(shù)要求》

[2]李漢章，電信業(yè)務(wù)支撐網(wǎng)4A建設(shè)及應(yīng)用研究，山東大學(xué)，2010，chi，TP393.08；

[3]中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn)《中國(guó)移動(dòng)管理信息系統(tǒng)4A系統(tǒng)技術(shù)規(guī)范》（QB-X-024-2009）。