杨卫红+张薇
【摘要】 隨着通信和互联网技术的快速发展,网络运维管理的规范化和安全性要求越来越高。本文结合运营商网络运维管理的现状,对运维的4A管控策略进行探讨分析,提出安全管控系统部署的建议。
【关键字】 网络安全 管控平台
一、网络及信息安全管控需求
运营商虽然安全设备众多,但缺少集中管理体系及统筹全网的安全管控手段;针对安全威胁存在安全事件监控不足、排查困难等问题。
工信部考核要求(工信部保函[2015]5号“2015年网络与信息安全”考核要点与评分标准),明确要求将集中账号管理、认证、授权、审计(4A)平台立项纳入2015年基础电信运营商,网络与信息安全责任考核。
二、4A管控策略分析
1、账号管理。帐号管理包括主帐号和从帐号,以及和帐号相关的可在4A系统中集中管理的帐号属性。主帐号是4A系统中标识唯一自然人的ID,其范围包括内部员工帐号及外部工作人员帐号。从帐号是可获得对资源访问权的帐号。资源包括系统资源(主机、网络设备、数据库、安全设备、其他)和应用资源两大类。通过4A系统创建或导入主账号,制定并维护主从账号的对应关系,制定主从账号的密码策略、对资源的访问登录控制策略、以及主从账号生命周期的管理策略等。
2、认证管理。认证包括主帐号身份认证,即用户登录4A集中管理系统的认证;以及从帐号认证,即用户访问被管资源时的认证。用户在访问被管理资源之前首先需要通过主帐号认证,然后根据主帐号的授权关系,获得访问被管资源的相应权限。用户访问被管资源时,由4A集中管理系统的单点登录模块协助其完成从帐号的认证。通过4A集中管理系统的统一认证服务器提供统一的认证方式和认证策略,来识别用户身份的合法性。认证采用模块化设计,支持静态密码认证、强认证及动态认证、静态动态组合认证、以及二次认证等灵活的认证方式。
3、授权管理。对用户在被管资源中能够行使的权限进行分配。所有被管资源首先在4A集中管理系统上进行登记,包括资源名称、资源地址、连接方式、资源类型、通信协议,相关参数等。通过4A系统的资源访问授权、运维操作授权、系统功能授权等实现对资源的访问权限控制。通过人工或者Excel模板,录入授权内容,批量导入授权关系。
4、审计管理。通过Syslog、SNMP、数据库(ODBC/ JDBC)、文件(FTP/SFTP)等多种方式对账号登录、授权、认证、应急切换等管理操作日志,系统的数据运营状态,被管资源的登录、访问、操作日志等信息进行收集和存储。通过屏幕录像录屏功能实时采录用户的运维操作行为时的界面录像数据。通过一系列日志、信息和数据的采集,实现对访问敏感数据、执行关键操作及其结果进行真实、全面的记录,对业务操作行为、系统操作行为、4A自管理操作行为及4A数据运营状态进行详细记录,提供可用于责任追踪的相关证据及审计管理支撑手段。
5、防绕行管理。通过防绕行管理加强安全审计,杜绝运维人员绕行4A管控平台,达到集中使用4A管控平台的目的。实现防绕行管理,可以采用具备流量采集、分析与阻断功能的防绕行设备,辅助并引导维护人员统一登录4A管控平台进行日常运维操作;可以在系统的防火墙或网络设备上设置访问控制策略;也可以通过采集系统日志,对系统日志进行分析,发现绕行行为并进行预警。
三、网络系统接入4A平台策略
现有网络系统接入4A策略,主要分为四类:
第一类:基本不用改造,要接入的网络系统已在4A系统的承载网中。
这类系统只需要调整与4A承载网之间的防火墙访问控制策略,做到4A系统到被管资源的管理端口放开、网络可达。
第二类:网络系统的网管系统需要进行改造。
这类网络系统的网管网与4A系统的承载网不是同一张网络,需要对其网管系统改造接入4A系统的承载网,实现网络的互通。
第三类:统一出口方式接入4A系统。
现有网络系统因归属部门、业务种类等因素存在使用专网承载的情况。专网是单独的网络,使用的是私网地址。承载在专网上的网络系统需要在专网与4A承载网的统一出口处部署相应的接入机制和管控策略,进而接入4A系统。
第四类:专线方式接入4A系统。
这类大多是运营商早期建设的网络系统,网元多,网络复杂,没有网管系统或者网管系统无法覆盖到所有网元。
四、结束语
及时引入4A管控系统,对网络运维进行规范化可控的操作管理,对敏感信息和核心数据进行统一的归口管理和流转控制,做到出了问题可以追溯、精准定位,将大大减少网络安全及信息泄露问题。
参 考 文 献
[1]工信部通信行业标准《帐号、授权、认证和审计(4A)集中管理系统技术要求》
[2]李汉章,电信业务支撑网4A建设及应用研究,山东大学,2010,chi,TP393.08;
[3]中国移动通信企业标准《中国移动管理信息系统4A系统技术规范》(QB-X-024-2009)。