联系我们
运营商解决方案
一、运营商运维管理现状和面临的挑战
随着信息安全的发展,企业的安全和维护水平得到了明显的提高,防病毒软件、防火墙、IDS、IPS等安全产品得到了广泛的使用。这些产品的使用可以解决一部分安全问题,但对于已得到授权的人员的违规操作或误操作却无能为力。根据资料统计,在对企业造成严重损害的案例中,有 70%是企业内部人员所为。
虽然运营商针对运维人员和第三方合作伙伴代维工程师的工作均有严格的规章制度,但由于没有技术保障,很难做到完全的执行。如何有效的监控操作人员的行为,并进行严格的审计是企业当前面临的一个关键问题。
二、客户背景
中国移动某分公司目前有交换网、传输网、智能网、基础数据网、城域网等各类电信网络、平台及支撑系统,各业务系统的服务器、网络设备、安全设备数千台。共有数百位电信维护工程师以及众多第三方代维人员负责对这些网络、平台及系统进行日常维护工作。
三、面临问题
由于运维人员和第三方人员往往可以采用多种方式,分散地接入通信网、业务网及各支撑系统,且由于网络及系统本身对账号分权分域的支持能力不足,因而对接入账号的管理始终缺乏有效的手段,存在较大的安全风险,相应的安全事件也时有发生。
以交换网EPON为例,当前城域网中光缆终端设备(OLT)均未配置acl,又都裸露在公网中,由于OLT涉及多个厂商的众多操作运维人员,账号管理十分混乱,又由于OLT本身操作日志记录功能有限,因此在出现问题后,无法定位到人。同样EPON管理系统服务器也有类似问题的存在,由于这些服务器为Windows 2003 Server,需要开启远程桌面对网管服务器进行采集进程信息之类的管理,在使用过程中,经常发现某些进程莫名的关掉、数据库也无法连接,甚至还发现不明帐号的登录在服务器上大量下载,碰到这些问题时,没有一个明确可靠的操作日志来确定原因,只有通过重装系统来解决问题。这些类似的安全问题已经对日常工作造成了影响,若不加以重视,随着业务的不断发展,势必会对该移动公司的整个系统造成非常严重的后果。
针对上述问题,该移动公司计划建设一套综合维护接入平台,以实现对该移动公司各平台、支撑系统的统一维护管理,提高维护操作的安全性,减少安全事件的发生。
四、索特安全网关解决方案
为了解决以上问题,该移动公司选择了索特安全访问网关作为各主机、网络以及各业务系统维护的统一接入点,对维护操作实施集中控制。安全访问网关支持常用的字符界面、图形界面等设备维护方式,具备较强的访问控制能力,能够在核实人员真实身份的基础上,控制其能够访问的主机、网络及业务系统,防范越权访问。同时,安全访问网关能够记录运维人员的操作,为安全审计和事件调查提供原始资料。索特安全访问网关在各主机、网络及业务系统访问控制功能的基础上,又增加了一层统一的认证、授权和控制、审计机制,实现维护操作的"事先授权、事中监控、事后审计"。规范IT运维人员操作行为,提升对IT运维操作的监管能力,提高该移动公司网络与信息安全管理与运维水平。
通过实施索特安全访问网关,该移动公司达到了以下目的:
◆ 实现维护接入的集中化管理,对运行维护进行统一管理,包括运维人员身份管理、设备账号管理。
◆ 实现运维人员统一权限管理,解决操作者合法访问被管资源的问题,避免可能存在的越权访问,建立有效的访问控制。
◆ 实现运维操作审计,对运维人员的操作进行全程监控和记录,实现运维操作的安全审计,满足信息安全审计要求。
◆ 实现合规审计,通过合规审计报表功能,对运维操作审计信息进行合规性审计归类,并形成符合法律规范要求的合规性报表,满足合规审计需求。
五、部署方式
该移动公司迄今为止实施了两期工程:
一期覆盖短信中心,涉及300多个服务器、网络设备、数据库等,30多名维护人员。
二期覆盖经营分析中心,涉及数千个服务器、网络设备、数据库等,300多名维护人员。
部署了四台索特安全访问网关,十二台索特应用发布服务器,其中10台加装数据库审计插件,通过第四层交换机实现负载均衡。在索特应用发布服务器上发布了PLSQL/SqlPlus/Quest Central/BO等多项应用,并实现应用的SSO及访问控制。
该移动公司综合维护接入平台部署方式如下图所示:
图一:某移动公司项目网络结构图
该移动公司运维人员及第三方代维人员在进行维护操作时,首先登录到综合维护接入平台,综合维护接入平台根据登录用户的权限,提供该用户所能访问的主机与网络设备以及应用列表,综合维护接入平台能够实时、完整地记录运维人员的操作;能够通过设定访问策略来控制运维人员的访问目标和可以使用的操作命令,并提供灵活方便的记录检索和回放功能,为安全审计和事件调查提供原始资料。
六、应用效果
该移动公司在使用综合维护接入平台后,安全访问网关账号和运维人员真实身份对应,实现了维护操作对应到人的要求,并且能够在核实运维人员真实身份的基础上,控制其能够访问的各业务支撑系统,以及能够使用的应用,防范越权访问;对于预定义的高危操作,实现了及时阻断操作并告警;安全访问网关通过文本和视频方式,完整的记录了运维人员和第三方人员的所有维护操作,对于维护操作的原始日志,实现了快速检索,方便事后的责任调查。
该移动公司的维护部门主任认为:索特安全访问网关为该公司运维管理提供了他们想要的全部功能,从事前的授权,到事中的监控,再到事后的审计,从根本上解决了长期困扰和威胁他们的关键问题,违规操作和误操作造成的安全事件大幅减少,同时也极大的简化了对设备账号密码的管理工作,帮助该移动公司实现了高效运维管理。