應用背景
根據中國電信集團公司《關于進一步加強省級 NOC現網操作安全管理工作的通知》(中國電信運維〔2011〕78 號),要求逐步實現所轄范圍生產管理系統所有“讀、寫”操作的“4A”管理,即實現“可授權、可認證、可記錄、可審計”。要求逐步將所有網絡設備和主機系統納入集中 AAA 系統進行管理,以實現集中統一認證和授權。各省級操作維護中心可結合省 SOC 平臺等手段建設,逐步推進并實現對現網操作的集中審計,完成 4A 系統建設。同時在集團的相關指導文件中,也已明確要求對運維過程中的用戶認證、授權及審計進行加強管理。
為了提高上海電信的網絡安全管理能力,實現對上海電信網絡的集中化、體系化、層次化的安全管理的要求,需要對NOC各受控系統建設賬號管理、認證、授權、審計系統。
上海電信各運維部門負責運維種類繁多,數量龐大的各式通信網元,且參與運維的人員眾多,如何對遠程維護行為進行有效管理,從而保證運營質量成為日益重要的一個問題。但現有的賬號口令管理措施、訪問控制及審計手段已經無法滿足當前和未來業務發展的要求:
? 電信IT內控的要求
電信集團對于各生產網元提出了IT內控的要求,對于各網元來講,需要定期修改密碼,定義特殊的密碼檢測策略;保存所有的操作日志,日志內容包括操作人,操作時間,操作命令,操作結果等;保存所有安全日志,日志內容主要包括:登陸賬號名,登陸時間,登陸結果,登陸IP地址等信息。以上要求目前上海電信各網元沒有完全具備密碼檢測機制,急待完善解決,各類日志雖然都具備,但是保存內容不詳細,且分網元保存,隨著網元數量的不斷增加,管理非常不便,不能完全達到集團IT內控的要求。
? 賬號密碼管理的安全隱患
網元數量不斷增加,用戶經常需要在各個系統之間切換,每次從一個系統切換到另一系統時,都需要輸入用戶名和口令進行登錄,給工作帶來不便,影響了工作效率。為便于記憶,用戶口令會采用較簡單的或將多個網元的口令設置成相同的口令,危害到系統的安全性,因此賬號密碼的管理存在著不便。
? 第三方維護人員安全隱患
如何有效地監控設備廠商和代維人員的操作行為,并進行嚴格的審計是企業面臨的一個關鍵問題。嚴格的規章制度只能約束一部分人的行為,只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執行。
? 系統共享賬號安全隱患
無論是內部運維人員還是第三方代維人員,基于傳統的維護方式,都是直接采用系統賬號完成系統級別的認證即可進行維護操作。隨著系統的不斷龐大,運維人員與系統賬號之間的交叉關系越來越復雜,一個賬號多個人同時使用,是多對一的關系,賬號不具有唯一性,系統賬號的密碼策略很難執行,密碼修改要通知所有知道這個賬號的人,如果有人離職或部門調動,密碼需要立即修改,如果密碼泄露無法追查,或有誤操作及惡意操作,無法追查到責任人。
? 最高權限用戶安全隱患
一般來說,我們都是從各種系統日志里面去發現是否有入侵后留下來的記錄來判斷是否發生過安全事件。但是,系統是在經歷了大量的操作和變化后,才逐漸變得不安全。從系統變更的角度來看,網絡審計日志比系統日志在定位系統安全問題上更可信。系統的超級用戶長期以來一直處于不可管理的狀態。
綜上,隨著系統網元數量的不斷增加,以及內部用戶的不斷擴充,一方面系統管理人員的工作負擔會加重;另一方面不能對分組域核心網實現統一的安全策略,從而實質上降低了系統的安全系數。因此需要根據企業的各個系統的安全狀況,形成集中統一的賬號權限管理平臺,使企業可以對各系統和各個設備的用戶進行集中管理、集中授權、集中行為審計,從技術上保證各業務系統安全策略的統一實施。
需求分析
1. 業務需求
為完善數據中心分組域核心網的安全防范體系,滿足上海電信內外部合規性要求,全面體現管理者對業務系統信息資源的全局把控和調度能力,建立一套網絡安全審計系統,滿足以下需求:
1)結合賬號管理、資源管理、身份認證、訪問授權、操作審計等于一體,融合為有效實用的一體化4A解決方案;
2)當出現安全事件后,能根據詳實的審計記錄,一步步追查出攻擊者;
3)通過對客戶關鍵信息資產的業務操作行為進行訪問控制、避免核心資產損失;
4)受控系統(如各操作維護應用軟件)和設備(包括相應的網絡設備、主機設備、安全設備等)的賬號口令定期更改,并通過安全的方式通知安全管理員;
5)核心服務器與網絡基礎設備的實體內授權,用戶登錄設備之后的行為細粒度控制;
6)幫助用戶加強內外部網絡行為監管、滿足企業內部控制或者外部政策等合規性要求。
同時,為改變目前上海電信各部門各自申請安全審計類項目,獨立建設的狀況,建立一套統一的安全審計系統。因此,系統需具有良好的可擴展性,在本期建設完成的基礎之上,后續各部門可按需建設覆蓋本部門的安全審計平臺,按照SOC的接口規范,將操作日志傳送SOC做日志審計。
通過本期4A平臺建設將實現以下業務目標:
1)統一運維賬號管控需求:4A安全管控平臺對登錄運維人員賬號進行創建設置密碼。實現組織結構(部門、地域)和自然人的管理。建立各個登錄用戶和組,并將用戶加入到相應的組中;
2)統一運維授權管控需求:4A安全管控平臺的授權管理功能分為三個級別:應用級授權,實體級授權以及實體內授權。管理員可通過配置管理程序,創建/刪除遠程登錄維護平臺的用戶。不通的用戶在登錄遠程客戶端維護平臺后,被授權使用的應用程序、運行訪問的資源主機,允許運行的Linux/Unix操作命令以及SQL語句都會有所不同;
3)統一運維工具標準化管控需求:支持系統運行維護工作所涉及的應用軟件或工具(無論是B/S還是C/S應用)集中部署在4A服務器上;然后4A通過Web方式來向不同用戶或用戶群發布并僅發布其所需的應用;用戶在客戶端通過IE瀏覽器訪問4A系統,提升運維工作的標準化、集中管理;
4)統一的運維審計操作管控需求:平臺能夠記錄維護人員的操作,為安全審計和事件調查提供原始資料。
2. 功能需求
Sr-Fort運維管理審計系統可支持windows、linux、Solaris等網管服務器的運維操作,并能提供遠程運維操作圖形審計,圖形審計包括B/S和C/S模式,能夠將運維過程記錄并保存,為審計提供證據。
具備字符、配置命令識別功能,并能夠提供控制、告警等功能。
Sr-Fort運維管理審計系統的細粒度控制,從賬號、認證、授權、審計四個方面保證運維用戶的合法身份及操作的可審計性。
? 服務器賬戶托管
根據上海電信目前存在的問題,將上海電信遠程服務器帳戶托管至Sr-Fort運維管理審計系統,不讓運維人員接觸服務器和服務器的最終密碼。
? 對運維人員權限進行限制
對運維人員能夠訪問的服務器進行分組,對運維人員的權限進行嚴格的限制,某個運維組能夠運維的服務器僅對該組成員開發,其他運維組成員無法訪問該服務器。
? 對運維操作進行審計
對運維行為進行審計,并能夠實時監控運維人員的操作;對數據網絡設備進行命令、字符等操作審計功能。
? 集成現有運維系統
簡化現有運維方式,所有運維人員通過運維管理中心登錄運維服務器,運維管理人員不需要在安裝運維客戶端,但運維習慣等不會發生改變。
通過本期4A平臺建設實現以下功能目標:
1)集中管理:實現維護接入的集中化管理,4A管理員可對不同系統中的接入維護進行統一管理。用戶所有運行的系統都在遠程服務器上;
2)訪問控制:實現接入維護的訪問控制。可以在4A平臺上基于用戶的權限進行統一的資源層和應用層訪問控制,提高系統安全性;
3)行為審計:實現接入維護的行為審計。記錄接入操作的日信息,包括被管理資源的高敏感度數據訪問和關鍵操作行為,以支持審計,提高對薩班斯法案的遵從性。
4)管理與部署:實現維護終端應用web發布。采用類似云計算的技術,避免維護人員使用不安全的終端直接訪問通信網、業務網及各支撐系統設備;
5)個人文件保護:對遠程操作文件實現用戶隔離;
6)與雙因素認證等外部認證系統的整合:可實現令牌、USBke等方式的雙因素登錄。
3. 管理需求
不改變目前各需求單位管理現狀,SOC完成集中的操作審計相關工作,各需求單位負責各自用戶的賬號管理、身份認證及授權工作。
考慮到各專業部門人員的實際情況,并要求系統建設后不改變現有操作人員的使用流程及管理方式,系統能夠實現兩級管理功能:一級管理功能實現全專業統一的操作審計功能,二級管理功能實現各專業部門的賬號管理、身份認證和授權功能。
