淺析省級(jí)BOSS系統(tǒng)安全認(rèn)證審計(jì)解決方案

1、胺BOSS系統(tǒng)是哀中國(guó)移動(dòng)面向用隘戶服務(wù)的綜合性懊業(yè)務(wù)支撐系統(tǒng)，稗含有眾多敏感數(shù)敖據(jù)。為了確保系疤統(tǒng)安全，部分省版級(jí)公司實(shí)施了安岸全認(rèn)證審計(jì)的綜罷合安全解決方案埃，取得了比較好扒的效果。暗 敖目前絕大多數(shù)移阿動(dòng)公司已經(jīng)在網(wǎng)哀絡(luò)級(jí)、系統(tǒng)級(jí)安扒全防護(hù)方面部署埃了相關(guān)的安全產(chǎn)靶品，但是這些是俺針對(duì)外部防護(hù)安哎全，而缺少在應(yīng)挨用級(jí)安全防護(hù)措氨施，例如非授權(quán)耙用戶訪問(wèn)、存在拌一部分公用賬戶拜、管理員對(duì)BO佰SS系統(tǒng)的管理爸維護(hù)和對(duì)數(shù)據(jù)的絆讀寫(xiě)缺少審計(jì)日敗志等，因而有可昂能出現(xiàn)用戶詳單斑外泄或用戶數(shù)據(jù)傲被篡改等事件發(fā)絆生后無(wú)法追查，氨進(jìn)而給移動(dòng)公司襖造成較大的經(jīng)濟(jì)跋損失和社會(huì)影響骯。為從根案本上解決上述安

2、背全隱患，業(yè)內(nèi)不白少?gòu)S家提出了不懊同的解決辦法，奧下面以某省移動(dòng)愛(ài)公司為例介紹其頒采用的ACA（邦A(yù)uthent邦i-catio八n Contr拔ol Audi拜t）安全認(rèn)證解按決方案。 辦針對(duì)該移動(dòng)公司巴的業(yè)務(wù)運(yùn)營(yíng)支撐絆系統(tǒng)已部署的安爸全產(chǎn)品，結(jié)合目盎前的安全需求，挨該移動(dòng)通信公司扳提出在BOSS板系統(tǒng)上建立的安班全審計(jì)認(rèn)證系統(tǒng)爸必須具備如下功按能： 拜1. 加強(qiáng)用戶芭身份防護(hù)，防止巴合法用戶身份輕辦易泄漏； 班2. 實(shí)現(xiàn)對(duì)應(yīng)叭用系統(tǒng)訪問(wèn)的操辦作過(guò)程進(jìn)行審計(jì)胺； 俺3. 對(duì)業(yè)務(wù)運(yùn)唉營(yíng)支撐系統(tǒng)內(nèi)重安要業(yè)務(wù)主機(jī)之間班的通信進(jìn)行審計(jì)扮； 澳4. 及時(shí)對(duì)業(yè)翱務(wù)系統(tǒng)熬的非法操作和訪絆問(wèn)做出響應(yīng)； 擺5

3、. 為用戶提般供統(tǒng)一的遠(yuǎn)程維翱護(hù)登錄接口，包吧括某些特殊情況扳下處理突發(fā)事件暗提供統(tǒng)一登錄接翱口。 背總體方案設(shè)計(jì)佰 罷通過(guò)分析該省業(yè)盎務(wù)系統(tǒng)現(xiàn)狀及安斑全審計(jì)認(rèn)證需求哎，決定采用以下盎技術(shù)方式實(shí)現(xiàn)。伴具體實(shí)現(xiàn)邏輯架伴構(gòu)圖如圖1所示芭： 藹1. 在整個(gè)應(yīng)岸用平臺(tái)之前增加邦統(tǒng)一的身份認(rèn)證哀安全模塊，對(duì)系骯統(tǒng)管理員、操作捌員及廠商維護(hù)人跋員等內(nèi)部合法扒用戶身份進(jìn)行認(rèn)按定。 澳2. 在整個(gè)應(yīng)佰用平臺(tái)之前增加柏統(tǒng)一的訪問(wèn)控制胺安全模塊，結(jié)合版系統(tǒng)管理員、操霸作員及廠商維護(hù)澳人員等內(nèi)部合法拌用戶的身份賦予拔其不同的訪問(wèn)權(quán)把限并對(duì)其訪問(wèn)相埃關(guān)業(yè)務(wù)主機(jī)進(jìn)行疤控制； 擺3. 在整個(gè)應(yīng)奧用平臺(tái)之前增加佰統(tǒng)一的應(yīng)用

4、審計(jì)巴安全模塊，對(duì)系版統(tǒng)管理員、操作拔員及廠商維護(hù)人叭員等內(nèi)部合法用胺戶訪問(wèn)相關(guān)業(yè)務(wù)埃主機(jī)的操作進(jìn)行佰日志記錄并提供百事后的安全審計(jì)拔報(bào)告。 案該移動(dòng)公司業(yè)務(wù)暗系統(tǒng)安全產(chǎn)品的俺部署如圖2所示般。其中被保護(hù)的隘應(yīng)用都通過(guò)直接哀或者是間接的方邦式接入BOSS班系統(tǒng)核心交換機(jī)扮,并且兩臺(tái)核心百交換機(jī)之間做了巴負(fù)載均衡。 拜 為審計(jì)所有爸相關(guān)的數(shù)據(jù)，這安里部署了兩臺(tái)A靶CA安全服務(wù)器哀，其抓報(bào)端口分稗別通過(guò)SPAN芭連接兩臺(tái)交換機(jī)岸上，這樣就可以捌通過(guò)偵聽(tīng)、抓報(bào)疤的方式得到相關(guān)傲的數(shù)據(jù)，而且對(duì)矮原有系統(tǒng)不產(chǎn)生白任何影響。 疤 為了對(duì)合法鞍用戶進(jìn)行身份認(rèn)啊證，在業(yè)務(wù)運(yùn)營(yíng)版支撐系統(tǒng)內(nèi)部署靶了ACA管理中班

5、心，通過(guò)ACA巴管理中心可以為襖合法的用戶（系傲統(tǒng)管理員、操作拔員、廠商開(kāi)發(fā)人阿員等）發(fā)放相關(guān)懊的數(shù)字證書(shū)頒令牌。 絆 通過(guò)部署A癌CA管理中心，把我們可以對(duì)相關(guān)癌的合法用戶（系辦統(tǒng)管理員、操作版員、廠商開(kāi)發(fā)人拌員等）進(jìn)行訪問(wèn)挨授權(quán)，通過(guò)他們奧與ACA安全服昂務(wù)器的控制通信氨接口下發(fā)相關(guān)的拌訪問(wèn)授權(quán)策略，吧由ACA安全服氨務(wù)器進(jìn)行相應(yīng)的扮用戶策略控制。頒 皚 要進(jìn)行操作扒審計(jì)的對(duì)象在A柏CA管理中心進(jìn)般行審計(jì)策略設(shè)置奧并下發(fā)到ACA把安全服務(wù)器進(jìn)行哎與策略相關(guān)的抓疤報(bào)審計(jì)工作，抓辦到的相關(guān)數(shù)據(jù)包矮提交到ACA審埃計(jì)中心并存儲(chǔ)到凹相關(guān)的存儲(chǔ)設(shè)備矮中以備事后審計(jì)盎。 八 當(dāng)緊急事件班發(fā)生時(shí)，如果管

6、盎理員或開(kāi)發(fā)廠商敖不在公司，需要阿用撥號(hào)的方式接白入公司內(nèi)網(wǎng)，進(jìn)拔行系統(tǒng)維護(hù)，A拔C巴A系統(tǒng)可以支持傲如下解決方案：伴在核心交換機(jī)接凹入相關(guān)數(shù)量的堡傲壘主機(jī)來(lái)提供接按入通道。 凹 由于要對(duì)使拌用撥號(hào)方式訪問(wèn)奧公司內(nèi)部業(yè)務(wù)主礙機(jī)的用戶進(jìn)行審罷計(jì)與控制，所有佰通過(guò)堡壘主機(jī)訪岸問(wèn)公司內(nèi)部業(yè)務(wù)般主機(jī)的所有數(shù)據(jù)澳流必須經(jīng)過(guò)核心稗交換機(jī)，這樣安骯全服務(wù)器就可以把對(duì)其進(jìn)行控制與艾審計(jì)。 拌系統(tǒng)構(gòu)建礙 把系統(tǒng)各主要組成敖部分及主要功能捌如下： 隘1ACA安全靶服務(wù)器提供客戶芭登錄認(rèn)證、權(quán)限霸控制、抓包日志辦記錄、阻斷非法半連接等功能。 壩2ACA管理按中心提供主機(jī)與哎用戶的登記和管藹理、主機(jī)與用戶背安全策略的

7、管理拌、數(shù)據(jù)過(guò)濾管理啊、開(kāi)放主機(jī)管理艾、信任客戶IP班管理爸、安全服務(wù)器策昂略管理、系統(tǒng)設(shè)懊置、安全服務(wù)器拜配置管理、實(shí)時(shí)襖監(jiān)控管理、用戶八登錄審計(jì)管理等鞍功能。 氨3ACA審計(jì)叭中心提供存儲(chǔ)審叭計(jì)日志、IP包鞍審計(jì)管理、數(shù)據(jù)佰庫(kù)備份管理、查吧看導(dǎo)出數(shù)據(jù)等功搬能。 頒4ACA客戶翱端提供基于US佰B硬件的身份認(rèn)霸證、用戶授權(quán)依安據(jù)、登錄ACA爸安全服務(wù)器等功傲能。 捌ACA安全服務(wù)盎器部署在核心網(wǎng)案絡(luò)與其他網(wǎng)絡(luò)的叭交匯處（路由器懊或交換機(jī)上），拌并接在網(wǎng)絡(luò)設(shè)備拔上，網(wǎng)絡(luò)設(shè)備將藹外來(lái)數(shù)據(jù)流SP阿AN（鏡像）給白ACA安全服務(wù)扮器。 骯ACA系統(tǒng)的審熬計(jì)數(shù)據(jù)存放在A案CA審計(jì)中心服凹務(wù)器內(nèi)，并通過(guò)

8、拌ACA審計(jì)中心暗控制臺(tái)對(duì)記錄下盎來(lái)拜的審計(jì)日志進(jìn)行把處理。 安ACA客戶端是藹一套客戶端軟件胺和一個(gè)USB令?yuàn)W牌，軟件安裝在半客戶端用戶的P爸C上，插入U(xiǎn)S安B令牌，登錄A皚CA安全服務(wù)器邦進(jìn)行認(rèn)證，之后盎即可進(jìn)行其正常柏的、權(quán)限內(nèi)的業(yè)爸務(wù)操作。如果越傲權(quán)訪問(wèn)，將會(huì)斷百開(kāi)連接，并返回艾“拒絕連接”的矮信息。 扮上述四個(gè)部分組百成的系統(tǒng)，都是傲在網(wǎng)絡(luò)層進(jìn)行工氨作，不需要嵌入昂用戶的業(yè)務(wù)系統(tǒng)鞍，安裝配置簡(jiǎn)單盎，應(yīng)用環(huán)境要求捌少，極易進(jìn)行測(cè)背試、試用和廣泛邦應(yīng)用。 礙系統(tǒng)部署風(fēng)險(xiǎn)分板析佰 斑由于安全服務(wù)器柏是通過(guò)SPAN骯并行接在網(wǎng)絡(luò)中瓣，所以用戶數(shù)據(jù)班流不是穿過(guò)該設(shè)癌備，而是旁路，埃安全設(shè)備只是

9、監(jiān)搬聽(tīng)數(shù)據(jù)流，對(duì)非敖法數(shù)據(jù)做出反應(yīng)伴，即使安全設(shè)備挨死機(jī)也不會(huì)對(duì)用安戶業(yè)務(wù)造成影響捌（當(dāng)然，此時(shí)的鞍安全功能自然消笆失）?？蛻舳讼盗T統(tǒng)只是用于與中哀心安全設(shè)備交互傲信息，與用戶的芭業(yè)務(wù)系統(tǒng)毫無(wú)牽拔連。當(dāng)中心端安版全安全服務(wù)器不澳啟用時(shí)，客戶端靶用戶也可正常操絆作其業(yè)務(wù)系統(tǒng)。敗所以，若遇意外擺情況要恢復(fù)原有哀系統(tǒng)，只需將安熬全服務(wù)器關(guān)機(jī)，凹即可立即恢復(fù)到板原有網(wǎng)絡(luò)狀況。拜 暗為了讓ACA系白統(tǒng)的部署達(dá)到預(yù)隘期的目標(biāo)，系統(tǒng)敗針對(duì)各種用戶對(duì)矮相關(guān)業(yè)務(wù)的訪問(wèn)伴方式有針對(duì)性地佰添加了ACA系敗統(tǒng)訪問(wèn)控制策略靶，但不對(duì)所有策疤略生效，只對(duì)用翱戶策略進(jìn)行生效按，確保主機(jī)的通熬信可以正常。如巴果有意外情況發(fā)凹

10、生，拔只需拆出ACA昂安全服務(wù)器與C敖ISCO 45昂07之間的抓包扳線路即可恢復(fù)原芭有系統(tǒng)網(wǎng)絡(luò)環(huán)境辦。 搬ACA系統(tǒng)部署伴完成后如有意外絆情況發(fā)生，斷開(kāi)盎ACA安全服務(wù)笆器的抓包連接，吧即可恢復(fù)原有業(yè)頒務(wù)運(yùn)營(yíng)支撐系統(tǒng)藹網(wǎng)絡(luò)環(huán)境、應(yīng)用霸環(huán)境。 拌解決方案特點(diǎn)罷 壩該BOSS系統(tǒng)藹安全認(rèn)證審計(jì)方瓣案具有如下特點(diǎn)霸： 班1. 客戶端采扮用USB令牌硬熬件作為身份證。岸由于以前的口令安/用戶名認(rèn)證機(jī)班制不便于管理，笆容易造成濫用，斑該安全系統(tǒng)采用頒硬件作為身份證伴，并可保證不被頒復(fù)制和讀取，一辦旦出現(xiàn)丟失，管盎理員在中心可以百馬上進(jìn)行作廢處哀理。 疤2. 對(duì)系統(tǒng)管壩理員、操作員、熬廠商按開(kāi)發(fā)人員進(jìn)行

11、跨斑業(yè)務(wù)平臺(tái)的集中頒審計(jì)。審計(jì)管理捌員可以根據(jù)需要柏進(jìn)行審計(jì)，從而搬大大增強(qiáng)了系統(tǒng)柏的審計(jì)能力，為皚事后的故障分析吧提供了充分的證疤據(jù)。 哎3. 集中管理骯訪問(wèn)授權(quán)便于控柏制。安全系統(tǒng)管昂理人員可以隨時(shí)盎對(duì)每個(gè)客戶端進(jìn)斑行策略配置和修盎改，允許訪問(wèn)哪般些服務(wù)器，不允俺許訪問(wèn)哪些，并奧可詳細(xì)控制訪問(wèn)傲哪些端口號(hào)、哪扳些數(shù)據(jù)需要審計(jì)癌、是上行數(shù)據(jù)或壩下行數(shù)據(jù)、哪些爸網(wǎng)絡(luò)需要保護(hù)、拌哪些客戶端網(wǎng)絡(luò)扒可以自由訪問(wèn)等跋。 胺4. 作為防火捌墻的補(bǔ)充，彌補(bǔ)柏防火墻的缺陷。八防火墻只能基于板遠(yuǎn)程主機(jī)（IP把地址和端口號(hào)）瓣進(jìn)行控制，而不案能針對(duì)操作人員俺本身進(jìn)行權(quán)限控疤制，同時(shí)翱，防火墻的審計(jì)癌功能也很薄弱，啊ACA系統(tǒng)則能阿很好地解決這兩靶個(gè)問(wèn)題。 暗5. 對(duì)原有系胺統(tǒng)無(wú)影響。中心矮端的ACA安全襖服務(wù)器是并接在唉網(wǎng)絡(luò)上的，用戶暗數(shù)據(jù)流不是穿過(guò)壩該設(shè)備。若要恢疤復(fù)原有系統(tǒng)，只扮需將安全服務(wù)器挨關(guān)機(jī)，即可立即鞍恢復(fù)到原有網(wǎng)絡(luò)骯狀況。 癌6. 自動(dòng)切斷扒非法訪問(wèn)。一旦疤發(fā)現(xiàn)非法連接，把安全安全服務(wù)器稗自動(dòng)發(fā)出切斷信鞍息給訪問(wèn)者和被扒訪問(wèn)者，斷開(kāi)該艾連接。彌補(bǔ)了其艾他安全系統(tǒng)的漏熬洞，進(jìn)一步加強(qiáng)埃了系統(tǒng)的安全性敖。 矮7. 基于X.扒5