應(yīng)用背景
根據(jù)中國電信集團(tuán)公司《關(guān)于進(jìn)一步加強(qiáng)省級 NOC現(xiàn)網(wǎng)操作安全管理工作的通知》(中國電信運(yùn)維〔2011〕78 號),要求逐步實(shí)現(xiàn)所轄范圍生產(chǎn)管理系統(tǒng)所有“讀、寫”操作的“4A”管理,即實(shí)現(xiàn)“可授權(quán)、可認(rèn)證、可記錄、可審計(jì)”。要求逐步將所有網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)納入集中 AAA 系統(tǒng)進(jìn)行管理,以實(shí)現(xiàn)集中統(tǒng)一認(rèn)證和授權(quán)。各省級操作維護(hù)中心可結(jié)合省 SOC 平臺等手段建設(shè),逐步推進(jìn)并實(shí)現(xiàn)對現(xiàn)網(wǎng)操作的集中審計(jì),完成 4A 系統(tǒng)建設(shè)。同時(shí)在集團(tuán)的相關(guān)指導(dǎo)文件中,也已明確要求對運(yùn)維過程中的用戶認(rèn)證、授權(quán)及審計(jì)進(jìn)行加強(qiáng)管理。
為了提高上海電信的網(wǎng)絡(luò)安全管理能力,實(shí)現(xiàn)對上海電信網(wǎng)絡(luò)的集中化、體系化、層次化的安全管理的要求,需要對NOC各受控系統(tǒng)建設(shè)賬號管理、認(rèn)證、授權(quán)、審計(jì)系統(tǒng)。
上海電信各運(yùn)維部門負(fù)責(zé)運(yùn)維種類繁多,數(shù)量龐大的各式通信網(wǎng)元,且參與運(yùn)維的人員眾多,如何對遠(yuǎn)程維護(hù)行為進(jìn)行有效管理,從而保證運(yùn)營質(zhì)量成為日益重要的一個(gè)問題。但現(xiàn)有的賬號口令管理措施、訪問控制及審計(jì)手段已經(jīng)無法滿足當(dāng)前和未來業(yè)務(wù)發(fā)展的要求:
? 電信IT內(nèi)控的要求
電信集團(tuán)對于各生產(chǎn)網(wǎng)元提出了IT內(nèi)控的要求,對于各網(wǎng)元來講,需要定期修改密碼,定義特殊的密碼檢測策略;保存所有的操作日志,日志內(nèi)容包括操作人,操作時(shí)間,操作命令,操作結(jié)果等;保存所有安全日志,日志內(nèi)容主要包括:登陸賬號名,登陸時(shí)間,登陸結(jié)果,登陸IP地址等信息。以上要求目前上海電信各網(wǎng)元沒有完全具備密碼檢測機(jī)制,急待完善解決,各類日志雖然都具備,但是保存內(nèi)容不詳細(xì),且分網(wǎng)元保存,隨著網(wǎng)元數(shù)量的不斷增加,管理非常不便,不能完全達(dá)到集團(tuán)IT內(nèi)控的要求。
? 賬號密碼管理的安全隱患
網(wǎng)元數(shù)量不斷增加,用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換,每次從一個(gè)系統(tǒng)切換到另一系統(tǒng)時(shí),都需要輸入用戶名和口令進(jìn)行登錄,給工作帶來不便,影響了工作效率。為便于記憶,用戶口令會采用較簡單的或?qū)⒍鄠€(gè)網(wǎng)元的口令設(shè)置成相同的口令,危害到系統(tǒng)的安全性,因此賬號密碼的管理存在著不便。
? 第三方維護(hù)人員安全隱患
如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問題。嚴(yán)格的規(guī)章制度只能約束一部分人的行為,只有通過嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。
? 系統(tǒng)共享賬號安全隱患
無論是內(nèi)部運(yùn)維人員還是第三方代維人員,基于傳統(tǒng)的維護(hù)方式,都是直接采用系統(tǒng)賬號完成系統(tǒng)級別的認(rèn)證即可進(jìn)行維護(hù)操作。隨著系統(tǒng)的不斷龐大,運(yùn)維人員與系統(tǒng)賬號之間的交叉關(guān)系越來越復(fù)雜,一個(gè)賬號多個(gè)人同時(shí)使用,是多對一的關(guān)系,賬號不具有唯一性,系統(tǒng)賬號的密碼策略很難執(zhí)行,密碼修改要通知所有知道這個(gè)賬號的人,如果有人離職或部門調(diào)動,密碼需要立即修改,如果密碼泄露無法追查,或有誤操作及惡意操作,無法追查到責(zé)任人。
? 最高權(quán)限用戶安全隱患
一般來說,我們都是從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入侵后留下來的記錄來判斷是否發(fā)生過安全事件。但是,系統(tǒng)是在經(jīng)歷了大量的操作和變化后,才逐漸變得不安全。從系統(tǒng)變更的角度來看,網(wǎng)絡(luò)審計(jì)日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。系統(tǒng)的超級用戶長期以來一直處于不可管理的狀態(tài)。
綜上,隨著系統(tǒng)網(wǎng)元數(shù)量的不斷增加,以及內(nèi)部用戶的不斷擴(kuò)充,一方面系統(tǒng)管理人員的工作負(fù)擔(dān)會加重;另一方面不能對分組域核心網(wǎng)實(shí)現(xiàn)統(tǒng)一的安全策略,從而實(shí)質(zhì)上降低了系統(tǒng)的安全系數(shù)。因此需要根據(jù)企業(yè)的各個(gè)系統(tǒng)的安全狀況,形成集中統(tǒng)一的賬號權(quán)限管理平臺,使企業(yè)可以對各系統(tǒng)和各個(gè)設(shè)備的用戶進(jìn)行集中管理、集中授權(quán)、集中行為審計(jì),從技術(shù)上保證各業(yè)務(wù)系統(tǒng)安全策略的統(tǒng)一實(shí)施。
需求分析
1. 業(yè)務(wù)需求
為完善數(shù)據(jù)中心分組域核心網(wǎng)的安全防范體系,滿足上海電信內(nèi)外部合規(guī)性要求,全面體現(xiàn)管理者對業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力,建立一套網(wǎng)絡(luò)安全審計(jì)系統(tǒng),滿足以下需求:
1)結(jié)合賬號管理、資源管理、身份認(rèn)證、訪問授權(quán)、操作審計(jì)等于一體,融合為有效實(shí)用的一體化4A解決方案;
2)當(dāng)出現(xiàn)安全事件后,能根據(jù)詳實(shí)的審計(jì)記錄,一步步追查出攻擊者;
3)通過對客戶關(guān)鍵信息資產(chǎn)的業(yè)務(wù)操作行為進(jìn)行訪問控制、避免核心資產(chǎn)損失;
4)受控系統(tǒng)(如各操作維護(hù)應(yīng)用軟件)和設(shè)備(包括相應(yīng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備等)的賬號口令定期更改,并通過安全的方式通知安全管理員;
5)核心服務(wù)器與網(wǎng)絡(luò)基礎(chǔ)設(shè)備的實(shí)體內(nèi)授權(quán),用戶登錄設(shè)備之后的行為細(xì)粒度控制;
6)幫助用戶加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。
同時(shí),為改變目前上海電信各部門各自申請安全審計(jì)類項(xiàng)目,獨(dú)立建設(shè)的狀況,建立一套統(tǒng)一的安全審計(jì)系統(tǒng)。因此,系統(tǒng)需具有良好的可擴(kuò)展性,在本期建設(shè)完成的基礎(chǔ)之上,后續(xù)各部門可按需建設(shè)覆蓋本部門的安全審計(jì)平臺,按照SOC的接口規(guī)范,將操作日志傳送SOC做日志審計(jì)。
通過本期4A平臺建設(shè)將實(shí)現(xiàn)以下業(yè)務(wù)目標(biāo):
1)統(tǒng)一運(yùn)維賬號管控需求:4A安全管控平臺對登錄運(yùn)維人員賬號進(jìn)行創(chuàng)建設(shè)置密碼。實(shí)現(xiàn)組織結(jié)構(gòu)(部門、地域)和自然人的管理。建立各個(gè)登錄用戶和組,并將用戶加入到相應(yīng)的組中;
2)統(tǒng)一運(yùn)維授權(quán)管控需求:4A安全管控平臺的授權(quán)管理功能分為三個(gè)級別:應(yīng)用級授權(quán),實(shí)體級授權(quán)以及實(shí)體內(nèi)授權(quán)。管理員可通過配置管理程序,創(chuàng)建/刪除遠(yuǎn)程登錄維護(hù)平臺的用戶。不通的用戶在登錄遠(yuǎn)程客戶端維護(hù)平臺后,被授權(quán)使用的應(yīng)用程序、運(yùn)行訪問的資源主機(jī),允許運(yùn)行的Linux/Unix操作命令以及SQL語句都會有所不同;
3)統(tǒng)一運(yùn)維工具標(biāo)準(zhǔn)化管控需求:支持系統(tǒng)運(yùn)行維護(hù)工作所涉及的應(yīng)用軟件或工具(無論是B/S還是C/S應(yīng)用)集中部署在4A服務(wù)器上;然后4A通過Web方式來向不同用戶或用戶群發(fā)布并僅發(fā)布其所需的應(yīng)用;用戶在客戶端通過IE瀏覽器訪問4A系統(tǒng),提升運(yùn)維工作的標(biāo)準(zhǔn)化、集中管理;
4)統(tǒng)一的運(yùn)維審計(jì)操作管控需求:平臺能夠記錄維護(hù)人員的操作,為安全審計(jì)和事件調(diào)查提供原始資料。
2. 功能需求
Sr-Fort運(yùn)維管理審計(jì)系統(tǒng)可支持windows、linux、Solaris等網(wǎng)管服務(wù)器的運(yùn)維操作,并能提供遠(yuǎn)程運(yùn)維操作圖形審計(jì),圖形審計(jì)包括B/S和C/S模式,能夠?qū)⑦\(yùn)維過程記錄并保存,為審計(jì)提供證據(jù)。
具備字符、配置命令識別功能,并能夠提供控制、告警等功能。
Sr-Fort運(yùn)維管理審計(jì)系統(tǒng)的細(xì)粒度控制,從賬號、認(rèn)證、授權(quán)、審計(jì)四個(gè)方面保證運(yùn)維用戶的合法身份及操作的可審計(jì)性。
? 服務(wù)器賬戶托管
根據(jù)上海電信目前存在的問題,將上海電信遠(yuǎn)程服務(wù)器帳戶托管至Sr-Fort運(yùn)維管理審計(jì)系統(tǒng),不讓運(yùn)維人員接觸服務(wù)器和服務(wù)器的最終密碼。
? 對運(yùn)維人員權(quán)限進(jìn)行限制
對運(yùn)維人員能夠訪問的服務(wù)器進(jìn)行分組,對運(yùn)維人員的權(quán)限進(jìn)行嚴(yán)格的限制,某個(gè)運(yùn)維組能夠運(yùn)維的服務(wù)器僅對該組成員開發(fā),其他運(yùn)維組成員無法訪問該服務(wù)器。
? 對運(yùn)維操作進(jìn)行審計(jì)
對運(yùn)維行為進(jìn)行審計(jì),并能夠?qū)崟r(shí)監(jiān)控運(yùn)維人員的操作;對數(shù)據(jù)網(wǎng)絡(luò)設(shè)備進(jìn)行命令、字符等操作審計(jì)功能。
? 集成現(xiàn)有運(yùn)維系統(tǒng)
簡化現(xiàn)有運(yùn)維方式,所有運(yùn)維人員通過運(yùn)維管理中心登錄運(yùn)維服務(wù)器,運(yùn)維管理人員不需要在安裝運(yùn)維客戶端,但運(yùn)維習(xí)慣等不會發(fā)生改變。
通過本期4A平臺建設(shè)實(shí)現(xiàn)以下功能目標(biāo):
1)集中管理:實(shí)現(xiàn)維護(hù)接入的集中化管理,4A管理員可對不同系統(tǒng)中的接入維護(hù)進(jìn)行統(tǒng)一管理。用戶所有運(yùn)行的系統(tǒng)都在遠(yuǎn)程服務(wù)器上;
2)訪問控制:實(shí)現(xiàn)接入維護(hù)的訪問控制。可以在4A平臺上基于用戶的權(quán)限進(jìn)行統(tǒng)一的資源層和應(yīng)用層訪問控制,提高系統(tǒng)安全性;
3)行為審計(jì):實(shí)現(xiàn)接入維護(hù)的行為審計(jì)。記錄接入操作的日信息,包括被管理資源的高敏感度數(shù)據(jù)訪問和關(guān)鍵操作行為,以支持審計(jì),提高對薩班斯法案的遵從性。
4)管理與部署:實(shí)現(xiàn)維護(hù)終端應(yīng)用web發(fā)布。采用類似云計(jì)算的技術(shù),避免維護(hù)人員使用不安全的終端直接訪問通信網(wǎng)、業(yè)務(wù)網(wǎng)及各支撐系統(tǒng)設(shè)備;
5)個(gè)人文件保護(hù):對遠(yuǎn)程操作文件實(shí)現(xiàn)用戶隔離;
6)與雙因素認(rèn)證等外部認(rèn)證系統(tǒng)的整合:可實(shí)現(xiàn)令牌、USBke等方式的雙因素登錄。
3. 管理需求
不改變目前各需求單位管理現(xiàn)狀,SOC完成集中的操作審計(jì)相關(guān)工作,各需求單位負(fù)責(zé)各自用戶的賬號管理、身份認(rèn)證及授權(quán)工作。
考慮到各專業(yè)部門人員的實(shí)際情況,并要求系統(tǒng)建設(shè)后不改變現(xiàn)有操作人員的使用流程及管理方式,系統(tǒng)能夠?qū)崿F(xiàn)兩級管理功能:一級管理功能實(shí)現(xiàn)全專業(yè)統(tǒng)一的操作審計(jì)功能,二級管理功能實(shí)現(xiàn)各專業(yè)部門的賬號管理、身份認(rèn)證和授權(quán)功能。
