顧 超

（寧夏通信規(guī)劃設(shè)計(jì)院有限責(zé)任公司，銀川 750011）

1 引言

隨著現(xiàn)代信息技術(shù)的快速發(fā)展，企業(yè)信息化建設(shè)已經(jīng)滲透到各個(gè)行業(yè)。運(yùn)營(yíng)商行業(yè)由于其特殊的服務(wù)群體及業(yè)務(wù)范圍，通過(guò)數(shù)量眾多的網(wǎng)絡(luò)設(shè)備和服務(wù)器組網(wǎng)，除提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運(yùn)行主營(yíng)業(yè)務(wù)外，涉及政府、金融、各類(lèi)企業(yè)的綜合信息服務(wù)等。由于網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備、管理賬號(hào)、運(yùn)維人員眾多，且存在賬號(hào)權(quán)限混亂、越權(quán)操作、無(wú)法審計(jì)等問(wèn)題。對(duì)于如何跟蹤服務(wù)器上賬號(hào)的操作行為，提高系統(tǒng)運(yùn)維管理水平，提供訪(fǎng)問(wèn)控制和審計(jì)依據(jù)，滿(mǎn)足通信行業(yè)要求標(biāo)準(zhǔn)，已成為運(yùn)營(yíng)商迫切需要解決的問(wèn)題。

2 應(yīng)用背景

近十幾年來(lái)通信網(wǎng)絡(luò)技術(shù)不斷更新，運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)更新?lián)Q代迅速，內(nèi)部的系統(tǒng)數(shù)、設(shè)備數(shù)、用戶(hù)數(shù)不斷增加，業(yè)務(wù)系統(tǒng)相關(guān)安全管理工作比較滯后，內(nèi)部信息安全問(wèn)題日漸突出，主要表現(xiàn)在：

（1）賬號(hào)管理的不足。運(yùn)營(yíng)商除內(nèi)部系統(tǒng)維護(hù)人員外，存在很多原廠(chǎng)維護(hù)人員，業(yè)務(wù)系統(tǒng)的激增，維護(hù)人員數(shù)量也極具增加，賬號(hào)管理的工作變得復(fù)雜和多變。管理系統(tǒng)類(lèi)別繁多，維護(hù)人員經(jīng)常需在各系統(tǒng)之間切換，嚴(yán)重影響運(yùn)維人員工作效率。另外，存在自然人運(yùn)維賬號(hào)和系統(tǒng)資源賬號(hào)越權(quán)操作等安全風(fēng)險(xiǎn)。

（2）認(rèn)證管理的不足。運(yùn)營(yíng)商不同業(yè)務(wù)系統(tǒng)各自部署大量的網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)又歸屬于相關(guān)業(yè)務(wù)的部門(mén)進(jìn)行維護(hù)管理。當(dāng)多個(gè)系統(tǒng)同時(shí)需要維護(hù)人員進(jìn)行維護(hù)時(shí)，不同的系統(tǒng)需要做多次的認(rèn)證，工作復(fù)雜度成倍增加，且對(duì)于內(nèi)部維護(hù)人員和廠(chǎng)家維護(hù)人員沒(méi)有一個(gè)有效認(rèn)證方式來(lái)區(qū)別。

（3）授權(quán)管理的不足。運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)分別有多個(gè)系統(tǒng)資源，且每個(gè)系統(tǒng)資源存在多個(gè)賬號(hào)，為了維護(hù)方便，很多賬號(hào)和密碼存在內(nèi)外部維護(hù)人員都在使用的情況，嚴(yán)格按照最小權(quán)限原則分配無(wú)法執(zhí)行，經(jīng)常出現(xiàn)運(yùn)維用戶(hù)所有權(quán)限過(guò)大問(wèn)題，不僅容易造成賬號(hào)密碼泄露的問(wèn)題，還極易發(fā)生因越權(quán)操作導(dǎo)致的安全事故。

（4）審計(jì)管理的不足。不同業(yè)務(wù)系統(tǒng)都存在相互獨(dú)立的審計(jì)需求，即使同一系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)、業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)都要分類(lèi)進(jìn)行審計(jì)，缺乏集中統(tǒng)一的訪(fǎng)問(wèn)審計(jì)系統(tǒng)，實(shí)時(shí)全面跟蹤記錄用戶(hù)的登錄、操作行為。

因此需要集中的賬號(hào)、認(rèn)證、授權(quán)、審計(jì)（4A）安全管理系統(tǒng)，解決日常安全管理問(wèn)題。近年工信部、通管局逐步加強(qiáng)對(duì)基礎(chǔ)電信運(yùn)營(yíng)商網(wǎng)絡(luò)安全方面的能力考核，目前各大運(yùn)營(yíng)商已經(jīng)建設(shè)了4A 統(tǒng)一安全管控平臺(tái)，實(shí)現(xiàn)信息業(yè)務(wù)系統(tǒng)集中賬號(hào)管理、集中權(quán)限分配、統(tǒng)一認(rèn)證和集中審計(jì)，可做到事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、事故追蹤回放，提升了業(yè)務(wù)安全系統(tǒng)的整體水平。

3 4A 統(tǒng)一安全管理平臺(tái)功能介紹

3.1 帳號(hào)（account）管理

4A 管理平臺(tái)提供統(tǒng)一集中的帳號(hào)管理，統(tǒng)一賬號(hào)管理分為兩部分。一是自然人（用戶(hù)）帳號(hào)管理，包括賬號(hào)分組、建立、修改、刪除、凍結(jié)等功能，用于滿(mǎn)足實(shí)際維護(hù)和操作過(guò)程中各類(lèi)需求。二是被管資源賬號(hào)管理，支持管理的資源，包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)，能夠?qū)崿F(xiàn)被管理資源帳號(hào)的創(chuàng)建、刪除及同步等功能。另外，4A 平臺(tái)可針對(duì)賬號(hào)進(jìn)行時(shí)間、密碼策略和生存周期進(jìn)行設(shè)定。

3.2 認(rèn)證（authentication）管理

4A 管理平臺(tái)根據(jù)不同用戶(hù)應(yīng)用的實(shí)際需要，為用戶(hù)提供相關(guān)的認(rèn)證方式和認(rèn)證策略，以識(shí)別用戶(hù)身份的合法性。認(rèn)證支持多種強(qiáng)認(rèn)證方式及組合認(rèn)證方式，包括動(dòng)態(tài)令牌、數(shù)字證書(shū)、短信口令、靜態(tài)密碼等。在實(shí)現(xiàn)用戶(hù)認(rèn)證的統(tǒng)一管理基礎(chǔ)上，能夠提供統(tǒng)一的認(rèn)證門(mén)戶(hù)，實(shí)現(xiàn)單點(diǎn)登錄訪(fǎng)問(wèn)企業(yè)信息資源。

3.3 授權(quán)（authorization）管理

4A 管理平臺(tái)可以根據(jù)用戶(hù)賬號(hào)及資源賬號(hào)建立對(duì)應(yīng)的授權(quán)關(guān)系。管理員按照用戶(hù)的實(shí)際權(quán)限要求，將業(yè)務(wù)系統(tǒng)不同資源的不同賬號(hào)按需分配給運(yùn)維用戶(hù)，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)、主機(jī)及網(wǎng)絡(luò)設(shè)備賬號(hào)的最小權(quán)限分配原則。

3.4 審計(jì)（audit）管理

4A 管理平臺(tái)將用戶(hù)對(duì)所授權(quán)資源的所有的登錄訪(fǎng)問(wèn)、操作信息及命令執(zhí)行結(jié)果狀態(tài)等日志集中記錄管理和分析，不僅支持對(duì)會(huì)話(huà)進(jìn)行完整的操作回放，跟蹤資源登錄及操作過(guò)程中的所有細(xì)節(jié)，并可以通過(guò)集中的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，方便事后的安全事故責(zé)任認(rèn)定。

4 4A 統(tǒng)一安全管理平臺(tái)應(yīng)用案例

下面以電信某省公司4A 管理平臺(tái)為例詳細(xì)介紹從系統(tǒng)建設(shè)到實(shí)際應(yīng)用中的一些情況。

4.1 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)拓?fù)鋱D如圖1所示：

圖1 網(wǎng)絡(luò)拓?fù)鋱D

說(shuō)明：第一，4A 統(tǒng)一安全管理平臺(tái)相關(guān)設(shè)備，包括4A 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用發(fā)布服務(wù)器，統(tǒng)一部署在該公司規(guī)劃的獨(dú)立網(wǎng)絡(luò)安全管理區(qū)。第二，該公司所要接入4A 平臺(tái)的業(yè)務(wù)系統(tǒng)分布在不同的網(wǎng)絡(luò)環(huán)境下，且屬于不同的部門(mén)管理，需要協(xié)調(diào)打通4A 平臺(tái)至各系統(tǒng)資源的網(wǎng)絡(luò)環(huán)境。

4.2 用戶(hù)使用流程

用戶(hù)通過(guò)公網(wǎng)或者其他網(wǎng)絡(luò)登錄4A 平臺(tái)，只需輸入一次主用戶(hù)賬號(hào)和密碼，認(rèn)證成功后通過(guò)4A 平臺(tái)即可操作授權(quán)給該用戶(hù)的系統(tǒng)資源和應(yīng)用資源。運(yùn)維多個(gè)系統(tǒng)無(wú)需多次輸入用戶(hù)名和密碼，提高工作效率的同時(shí)可避免資源密碼泄露。

圖2 用戶(hù)使用流程圖

4.3 平臺(tái)優(yōu)化建議

4.3.1 賬號(hào)管理方面

主賬號(hào)創(chuàng)建時(shí)只需提交相關(guān)信息由平臺(tái)管理員通過(guò)手工方式創(chuàng)建，無(wú)法核實(shí)人員信息的有效性，存在安全隱患。建議由各業(yè)務(wù)系統(tǒng)管理員負(fù)責(zé)相應(yīng)人員信息的收集及審核工作，規(guī)范主賬號(hào)審批創(chuàng)建流程，加強(qiáng)運(yùn)維人員主帳號(hào)生命周期的管理。

4.3.2 資源接入不規(guī)范

運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)眾多，業(yè)務(wù)系統(tǒng)下又包括很多網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用服務(wù)等各類(lèi)資源，4A 平臺(tái)中各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)由于管理錄入等問(wèn)題存在名稱(chēng)與實(shí)際不匹配的現(xiàn)象，為后續(xù)管理及審計(jì)方便，接入4A 的資源應(yīng)保持于運(yùn)營(yíng)商原有定級(jí)系統(tǒng)名稱(chēng)一致，資源接入應(yīng)該由各業(yè)務(wù)系統(tǒng)管理員分別完成，或?qū)庸疽延械馁Y產(chǎn)管理平臺(tái)，對(duì)業(yè)務(wù)系統(tǒng)資源名稱(chēng)一致性進(jìn)行復(fù)合和優(yōu)化。

4.3.3 批量登錄功能

運(yùn)維用戶(hù)必然存在定期巡檢的工作，登錄4A 平臺(tái)后對(duì)授權(quán)資源進(jìn)行運(yùn)維時(shí)需要逐個(gè)選擇對(duì)應(yīng)的資源進(jìn)行登錄操作，可以根據(jù)用戶(hù)運(yùn)維要求創(chuàng)建批量登錄功能，當(dāng)用戶(hù)需要一次性登錄多個(gè)系統(tǒng)資源的時(shí)，比如通過(guò)SecureCRT 工具登錄網(wǎng)絡(luò)中的大量交換機(jī)、路由器設(shè)備進(jìn)行定期的運(yùn)維操作時(shí)，可以通過(guò)批量登錄功能進(jìn)行運(yùn)維操作，節(jié)約維護(hù)人員時(shí)間的同時(shí)減少了操作復(fù)雜度。

4.3.4 認(rèn)證登錄方式

目前，用戶(hù)通過(guò)公網(wǎng)環(huán)境登錄4A 平臺(tái)運(yùn)維時(shí)，首先要通過(guò)VPN 賬號(hào)和密碼登錄到4A 平臺(tái)內(nèi)部網(wǎng)絡(luò)內(nèi)，然后再通過(guò)4A 平臺(tái)賬號(hào)認(rèn)證登錄后運(yùn)維，這個(gè)過(guò)程中用戶(hù)需要登錄兩次。存在很多用戶(hù)分不清兩個(gè)賬號(hào)的功能及記錯(cuò)密碼的情況，導(dǎo)致出現(xiàn)賬號(hào)鎖定或者通知平臺(tái)管理員密碼錯(cuò)誤需重置等問(wèn)題，這樣即不方便用戶(hù)使用也加大了管理員的工作量?？梢詫?A 平臺(tái)與VPN 對(duì)接，當(dāng)用戶(hù)登錄認(rèn)證時(shí)，通過(guò)靜態(tài)密碼驗(yàn)證VPN 后由VPN 推送信息給4A 平臺(tái)，4A 平臺(tái)通過(guò)推送的賬號(hào)進(jìn)行二次驗(yàn)證后返回是否通過(guò)驗(yàn)證，這樣用戶(hù)只需使用一個(gè)賬號(hào)進(jìn)行認(rèn)證，提升用戶(hù)感知。

5 結(jié)束語(yǔ)

信息系統(tǒng)目前已在企業(yè)運(yùn)營(yíng)中全面滲透，企業(yè)在做好業(yè)務(wù)保障及日常運(yùn)行的同時(shí)，保障信息安全已成為企業(yè)發(fā)展的重要因素。4A 統(tǒng)一安全管控平臺(tái)目前已經(jīng)覆蓋了多個(gè)行業(yè)，隨著國(guó)家政策及制度的推進(jìn)，4A 統(tǒng)一安全管理平臺(tái)解決方案必定會(huì)在實(shí)踐中得到更好的發(fā)展和完善。