应用背景
根据中国电信集团公司《关于进一步加强省级 NOC现网操作安全管理工作的通知》(中国电信运维〔2011〕78 号),要求逐步实现所辖范围生产管理系统所有“读、写”操作的“4A”管理,即实现“可授权、可认证、可记录、可审计”。要求逐步将所有网络设备和主机系统纳入集中 AAA 系统进行管理,以实现集中统一认证和授权。各省级操作维护中心可结合省 SOC 平台等手段建设,逐步推进并实现对现网操作的集中审计,完成 4A 系统建设。同时在集团的相关指导文件中,也已明确要求对运维过程中的用户认证、授权及审计进行加强管理。
为了提高上海电信的网络安全管理能力,实现对上海电信网络的集中化、体系化、层次化的安全管理的要求,需要对NOC各受控系统建设账号管理、认证、授权、审计系统。
上海电信各运维部门负责运维种类繁多,数量庞大的各式通信网元,且参与运维的人员众多,如何对远程维护行为进行有效管理,从而保证运营质量成为日益重要的一个问题。但现有的账号口令管理措施、访问控制及审计手段已经无法满足当前和未来业务发展的要求:
电信IT内控的要求
电信集团对于各生产网元提出了IT内控的要求,对于各网元来讲,需要定期修改密码,定义特殊的密码检测策略;保存所有的操作日志,日志内容包括操作人,操作时间,操作命令,操作结果等;保存所有安全日志,日志内容主要包括:登陆账号名,登陆时间,登陆结果,登陆IP地址等信息。以上要求目前上海电信各网元没有完全具备密码检测机制,急待完善解决,各类日志虽然都具备,但是保存内容不详细,且分网元保存,随着网元数量的不断增加,管理非常不便,不能完全达到集团IT内控的要求。
账号密码管理的安全隐患
网元数量不断增加,用户经常需要在各个系统之间切换,每次从一个系统切换到另一系统时,都需要输入用户名和口令进行登录,给工作带来不便,影响了工作效率。为便于记忆,用户口令会采用较简单的或将多个网元的口令设置成相同的口令,危害到系统的安全性,因此账号密码的管理存在着不便。
第三方维护人员安全隐患
如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。
系统共享账号安全隐患
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,或有误操作及恶意操作,无法追查到责任人。
最高权限用户安全隐患
一般来说,我们都是从各种系统日志里面去发现是否有入侵后留下来的记录来判断是否发生过安全事件。但是,系统是在经历了大量的操作和变化后,才逐渐变得不安全。从系统变更的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。系统的超级用户长期以来一直处于不可管理的状态。
综上,随着系统网元数量的不断增加,以及内部用户的不断扩充,一方面系统管理人员的工作负担会加重;另一方面不能对分组域核心网实现统一的安全策略,从而实质上降低了系统的安全系数。因此需要根据企业的各个系统的安全状况,形成集中统一的账号权限管理平台,使企业可以对各系统和各个设备的用户进行集中管理、集中授权、集中行为审计,从技术上保证各业务系统安全策略的统一实施。
需求分析
1. 业务需求
为完善数据中心分组域核心网的安全防范体系,满足上海电信内外部合规性要求,全面体现管理者对业务系统信息资源的全局把控和调度能力,建立一套网络安全审计系统,满足以下需求:
1)结合账号管理、资源管理、身份认证、访问授权、操作审计等于一体,融合为有效实用的一体化4A解决方案;
2)当出现安全事件后,能根据详实的审计记录,一步步追查出攻击者;
3)通过对客户关键信息资产的业务操作行为进行访问控制、避免核心资产损失;
4)受控系统(如各操作维护应用软件)和设备(包括相应的网络设备、主机设备、安全设备等)的账号口令定期更改,并通过安全的方式通知安全管理员;
5)核心服务器与网络基础设备的实体内授权,用户登录设备之后的行为细粒度控制;
6)帮助用户加强内外部网络行为监管、满足企业内部控制或者外部政策等合规性要求。
同时,为改变目前上海电信各部门各自申请安全审计类项目,独立建设的状况,建立一套统一的安全审计系统。因此,系统需具有良好的可扩展性,在本期建设完成的基础之上,后续各部门可按需建设覆盖本部门的安全审计平台,按照SOC的接口规范,将操作日志传送SOC做日志审计。
通过本期4A平台建设将实现以下业务目标:
1)统一运维账号管控需求:4A安全管控平台对登录运维人员账号进行创建设置密码。实现组织结构(部门、地域)和自然人的管理。建立各个登录用户和组,并将用户加入到相应的组中;
2)统一运维授权管控需求:4A安全管控平台的授权管理功能分为三个级别:应用级授权,实体级授权以及实体内授权。管理员可通过配置管理程序,创建/删除远程登录维护平台的用户。不通的用户在登录远程客户端维护平台后,被授权使用的应用程序、运行访问的资源主机,允许运行的Linux/Unix操作命令以及SQL语句都会有所不同;
3)统一运维工具标准化管控需求:支持系统运行维护工作所涉及的应用软件或工具(无论是B/S还是C/S应用)集中部署在4A服务器上;然后4A通过Web方式来向不同用户或用户群发布并仅发布其所需的应用;用户在客户端通过IE浏览器访问4A系统,提升运维工作的标准化、集中管理;
4)统一的运维审计操作管控需求:平台能够记录维护人员的操作,为安全审计和事件调查提供原始资料。
2. 功能需求
Sr-Fort运维管理审计系统可支持windows、linux、Solaris等网管服务器的运维操作,并能提供远程运维操作图形审计,图形审计包括B/S和C/S模式,能够将运维过程记录并保存,为审计提供证据。
具备字符、配置命令识别功能,并能够提供控制、告警等功能。
Sr-Fort运维管理审计系统的细粒度控制,从账号、认证、授权、审计四个方面保证运维用户的合法身份及操作的可审计性。
服务器账户托管
根据上海电信目前存在的问题,将上海电信远程服务器帐户托管至Sr-Fort运维管理审计系统,不让运维人员接触服务器和服务器的最终密码。
对运维人员权限进行限制
对运维人员能够访问的服务器进行分组,对运维人员的权限进行严格的限制,某个运维组能够运维的服务器仅对该组成员开发,其他运维组成员无法访问该服务器。
对运维操作进行审计
对运维行为进行审计,并能够实时监控运维人员的操作;对数据网络设备进行命令、字符等操作审计功能。
集成现有运维系统
简化现有运维方式,所有运维人员通过运维管理中心登录运维服务器,运维管理人员不需要在安装运维客户端,但运维习惯等不会发生改变。
通过本期4A平台建设实现以下功能目标:
1)集中管理:实现维护接入的集中化管理,4A管理员可对不同系统中的接入维护进行统一管理。用户所有运行的系统都在远程服务器上;
2)访问控制:实现接入维护的访问控制。可以在4A平台上基于用户的权限进行统一的资源层和应用层访问控制,提高系统安全性;
3)行为审计:实现接入维护的行为审计。记录接入操作的日信息,包括被管理资源的高敏感度数据访问和关键操作行为,以支持审计,提高对萨班斯法案的遵从性。
4)管理与部署:实现维护终端应用web发布。采用类似云计算的技术,避免维护人员使用不安全的终端直接访问通信网、业务网及各支撑系统设备;
5)个人文件保护:对远程操作文件实现用户隔离;
6)与双因素认证等外部认证系统的整合:可实现令牌、USBke等方式的双因素登录。
3. 管理需求
不改变目前各需求单位管理现状,SOC完成集中的操作审计相关工作,各需求单位负责各自用户的账号管理、身份认证及授权工作。
考虑到各专业部门人员的实际情况,并要求系统建设后不改变现有操作人员的使用流程及管理方式,系统能够实现两级管理功能:一级管理功能实现全专业统一的操作审计功能,二级管理功能实现各专业部门的账号管理、身份认证和授权功能。
