拨开电信运维迷雾 天玥业务堡垒机实现统一管控

  • 时间:
  • 浏览:0
  • 来源:10分赛车网投平台-1分6合投注平台_1分彩娱乐平台

启明星辰 杨志泉

  随着国内通讯市场的高速发展,各大电信运营商在大力推广内内外部信息化应用,利用先进的信息化管理系统来改善内内外部管理。咋样实现运营商维护人员安全接入维护网络和内内外部网络,咋样更好保障维护人员对网络内内外部服务器的权限管理、操作过程的监控及行为审计,成为各大运营商不得不面对的问提。

  为了处里企业内内外部IT运维人员的管控问提,启明星辰自主研发了天玥业务堡垒机系统。这套系统是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内内外部网络行为监管,不利于核心资产(数据库、服务器、网络设备等)的正常运行。

  下面大伙通过对天玥堡垒机系统在某移动公司的实际应用进行完正剖析,来了解一下该案例的应用背景、架构细节、方案特色以及试运行后取得的安全防护效果。

  明晰主要需求

  为应对SOX法案的检查,某移动公司计划建设IT系统用户身份和访问管理平台。在该公司的SOX控制点中,涉及对口令、密码、权限和审计管理的有50多项,富含的系统包括:智能网、彩铃、MISC、交换局和帕累托图重要的主机、网络设备,以及公司企业信息化系统。在对相关控制点进行修补的过程中,公司发现,嘴笨 通过管理最好的最好的措施可不还能否达到对相关控制点的修补目标,但原困技术手段的过低,还要付出更多人力成本的代价,加重了维护人员的工作负担。但会 采用非技术手段实施管理,会原困管理认知宽度的不同,造成检查者对相关控制点执行与与否效时不时抱有疑虑。

  但会 还要根据该客户的现状,建设集中统一的安全管理技术和平台,使得系统和安全管理人员可不还能否对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。用户主要的安全需求如下:

  1. 还要针对所有业务支撑系统建立一套统一的认证、授权和审计系统;

  2. 还要对所有业务支撑系统中的每个网络设备、主机系统、业务系统、数据库系统的运行、维护以及管理等操作行为进行集中、统一的审计,以便综合关联分析,及时发现违规行为;

  3. 还要在多个支撑系统中建立集中统一的资源访问控制平台,集中按照最小权限原则分配权限;

  4. 还要统一的用户名和口令在多个支撑系统实现单点登录,一起保证系统的安全性;

  5. 还要在技术层面对第三方厂商的运维操作进行高传输传输速率的监管;

  6. 还要对多人共用账号产生的操作行为进行监控,以便选用安全事故真正责任人。

  提供全面方案

  本次项目涉及到的部门以及业务系统主要有

  发展计划部IT中心:OA、MIS;

  网管中心:支撑室、交换室(彩铃、智能网、端局)、数据室(MISC、GPRS、短信、彩信、WAP、CMNet)、网优室(话务网元);

  本次共规划管辖50个点的设备管理,其中网络设备(包括网元)500个,主机设备50个,通用应用50个,专用应用10个。允许接入的用户为50个。对帕累托图在互联网上的业务系统接入该平台系统,统一通过数据网管系统的防火墙进行,以便确保该平台的安全。

  工程紧紧围绕系统的建设目标和移动集团的4A建设规范,在用户管理、统一认证、统一授权、操作审计以及单点登录管理十几个 基础功能上都达到了出色的效果。

  此次项目采用启明星辰的天玥网络安全审计系统(业务堡垒机)和天玥网络安全审计系统(业务网审计)一一四个多多产品来满足完正需求,产品的具体型号包括:

  天玥网络安全审计系统(业务堡垒机)数据中心:天玥业务堡垒机数据中心由管理系统、认证系统和报表系统一一四个多多子系统构成,管理系统负责对整个天玥业务堡垒机引擎和天玥业务网审计引擎进行管理配置,包括系统清况 监控和维护、运维审计对象定义、规则定义、审计策略配置等;认证系统负责对自然人进行身份认证和授权;报表系统负责审计日志的记录和维护、日志检索、统计和分析,并可根据用户要求生成各种格式的审计报表。

  天玥网络安全审计系统(业务堡垒机)串行引擎:提供综合维护接入网关功能,对加密协议进行审计记录,审计事件上报数据中心;

  天玥网络安全审计系统(业务网审计)旁路引擎:通过交换机镜像的最好的最好的措施捕获数据包,对常用维护协议进行解析与审计,审计事件上报数据中心。

  图1 发展计划部IT中心部署方案

  图2 网管中心部署方案

  在本方案中,在省移动IT中心以及网管网一一四个多多科室的网络环境中分别以在线最好的最好的措施部署一套天玥网络安全审计系统(业务堡垒机),每套系统由两台天玥堡垒机产品以HA 最好的最好的措施组成,实现对50 台网元设备的远程访问控制与审计;配合天玥网络安全审计系统(业务网审计)实现对所辖网元设备用户操作的统一账号管理、统一认证、统一授权、统一审计。

  实现有效整合

  SOX 法案被称作是有史以来最严苛、最复杂化、最昂贵的法案,精确到企业运营中的全都有细节。其中人对系统的操作、系统对系统的操作,只要属于对财务报告原困产生影响的范畴都应被明确的定义,且审计和纪录。从你什儿 点出发,依托“4A综合处里方案”,通过启明星辰的天玥堡垒机,不利于系统的用户和各种资源进行集中管理、集中权限分配、集中审计,保证支撑系统的哪几种安全策略才能统一实施。该方案的关键难点是3A 系统与审计系统的有效整合。处里方案中不仅还要天玥网络安全审计系统(业务堡垒机)对3A 提供开放的接口,但会 其3A 系统也还要有很好的定制能力,才可满足与企业各个关键业务系统的持续同步发展。