省級BOSS系統(tǒng)安全認(rèn)證審計解決方案_第1頁
省級BOSS系統(tǒng)安全認(rèn)證審計解決方案_第2頁
省級BOSS系統(tǒng)安全認(rèn)證審計解決方案_第3頁
省級BOSS系統(tǒng)安全認(rèn)證審計解決方案_第4頁
省級BOSS系統(tǒng)安全認(rèn)證審計解決方案_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、扒省級BOSS系傲統(tǒng)安全認(rèn)證審計柏解決方案啊 曹健百BOSS系統(tǒng)是芭中國移動面向用耙戶服務(wù)的綜合性昂業(yè)務(wù)支撐系統(tǒng),八含有眾多敏感數(shù)拜據(jù)。為了確保系奧統(tǒng)安全,部分省搬級公司實施了安昂全認(rèn)證審計的綜襖合安全解決方案皚,取得了比較好安的效果。矮 辦目前絕大多數(shù)移啊動公司已經(jīng)在網(wǎng)骯絡(luò)級、系統(tǒng)級安皚全防護方面部署叭了相關(guān)的安全產(chǎn)稗品,但是這些是唉針對外部防護安阿全,而缺少在應(yīng)靶用級安全防護措暗施,例如非授權(quán)八用戶訪問、存在氨一部分公用賬戶斑、管理員對BO奧SS系統(tǒng)的管理安維護和對數(shù)據(jù)的安讀寫缺少審計日盎志等,因而有可罷能出現(xiàn)用戶詳單柏外泄或用戶數(shù)據(jù)百被篡改等事件發(fā)敖生后無法追查,吧進而給移動公司岸造成較

2、大的經(jīng)濟翱損失和社會影響按。為從根本上解芭決上述安全隱患俺,業(yè)內(nèi)不少廠家胺提出了不同的解懊決辦法,下面以阿某省移動公司為拌例介紹其采用的跋ACA(Aut霸henti-c熬ation C半ontrol 疤Audit)安礙全認(rèn)證解決方案叭。 挨針對該移動公司巴的業(yè)務(wù)運營支撐頒系統(tǒng)已部署的安愛全產(chǎn)品,結(jié)合目搬前的安全需求,斑該移動通信公司癌提出在BOSS皚系統(tǒng)上建立的安拌全審計認(rèn)證系統(tǒng)敗必須具備如下功昂能: 伴1. 加強用戶絆身份防護,防止埃合法用戶身份輕扒易泄漏; 半2. 實現(xiàn)對應(yīng)礙用系統(tǒng)訪問的操哎作過程進行審計??; 挨3. 對業(yè)務(wù)運澳營支撐系統(tǒng)內(nèi)重跋要業(yè)務(wù)主機之間笆的通信進行審計昂; 氨4. 及

3、時對業(yè)傲務(wù)系統(tǒng)的非法操奧作和訪問做出響壩應(yīng); 埃5. 為用戶提疤供統(tǒng)一的遠程維岸護登錄接口,包哀括某些特殊情況礙下處理突發(fā)事件絆提供統(tǒng)一登錄接澳口。 班總體方案設(shè)計絆 叭通過分析該省業(yè)壩務(wù)系統(tǒng)現(xiàn)狀及安半全審計認(rèn)證需求暗,決定采用以下傲技術(shù)方式實現(xiàn)。懊具體實現(xiàn)邏輯架俺構(gòu)圖如圖1所示巴: 爸1. 在整個應(yīng)熬用平臺之前增加瓣統(tǒng)一的身份認(rèn)證澳安全模塊,對系阿統(tǒng)管理員、操作礙員及廠商維護人哎員等內(nèi)部合法用巴戶身份進行認(rèn)定拜。 辦2. 在整個應(yīng)襖用平臺之前增加扮統(tǒng)一的訪問控制百安全模塊,結(jié)合靶系統(tǒng)管理員、操熬作員及廠商維護爸人員等內(nèi)部合法澳用戶的身份賦予頒其不同的訪問權(quán)案限并對其訪問相佰關(guān)業(yè)務(wù)主機進行懊控

4、制; 班3. 在整個應(yīng)霸用平臺之前增加岸統(tǒng)一的應(yīng)用審計伴安全模塊,對系叭統(tǒng)管理員、操作瓣員及廠商維護人叭員等內(nèi)部合法用辦戶訪問相關(guān)業(yè)務(wù)辦主機的操作進行瓣日志記錄并提供扒事后的安全審計安報告。 藹該移動公司業(yè)務(wù)靶系統(tǒng)安全產(chǎn)品的柏部署如圖2所示俺。其中被保護的吧應(yīng)用都通過直接奧或者是間接的方哎式接入BOSS凹系統(tǒng)核心交換機板,并且兩臺核心版交換機之間做了八負(fù)載均衡。 哀 為審計所有八相關(guān)的數(shù)據(jù),這八里部署了兩臺A按CA安全服務(wù)器挨,其抓報端口分八別通過SPAN班連接兩臺交換機哎上,這樣就可以疤通過偵聽、抓報癌的方式得到相關(guān)半的數(shù)據(jù),而且對罷原有系統(tǒng)不產(chǎn)生案任何影響。 搬 為了對合法拔用戶進行身份認(rèn)

5、昂證,在業(yè)務(wù)運營叭支撐系統(tǒng)內(nèi)部署哀了ACA管理中愛心,通過ACA敗管理中心可以為板合法的用戶(系啊統(tǒng)管理員、操作辦員、廠商開發(fā)人唉員等)發(fā)放相關(guān)氨的數(shù)字證書令牌矮。 擺 通過部署A癌CA管理中心,澳我們可以對相關(guān)熬的合法用戶(系翱統(tǒng)管理員、操作阿員、廠商開發(fā)人胺員等)進行訪問壩授權(quán),通過他們敖與ACA安全服耙務(wù)器的控制通信暗接口下發(fā)相關(guān)的愛訪問授權(quán)策略,熬由ACA安全服胺務(wù)器進行相應(yīng)的疤用戶策略控制。埃 氨 要進行操作半審計的對象在A般CA管理中心進般行審計策略設(shè)置俺并下發(fā)到ACA巴安全服務(wù)器進行敖與策略相關(guān)的抓般報審計工作,抓安到的相關(guān)數(shù)據(jù)包稗提交到ACA審盎計中心并存儲到背相關(guān)的存儲設(shè)備巴

6、中以備事后審計靶。 叭 當(dāng)緊急事件百發(fā)生時,如果管伴理員或開發(fā)廠商胺不在公司,需要哀用撥號的方式接爸入公司內(nèi)網(wǎng),進按行系統(tǒng)維護,A暗CA系統(tǒng)可以支埃持如下解決方案擺:在核心交換機八接入相關(guān)數(shù)量的把堡壘主機來提供愛接入通道。 搬 由于要對使埃用撥號方式訪問俺公司內(nèi)部業(yè)務(wù)主昂機的用戶進行審半計與控制,所有扒通過堡壘主機訪懊問公司內(nèi)部業(yè)務(wù)霸主機的所有數(shù)據(jù)奧流必須經(jīng)過核心耙交換機,這樣安巴全服務(wù)器就可以挨對其進行控制與伴審計。 瓣系統(tǒng)構(gòu)建柏 傲系統(tǒng)各主要組成半部分及主要功能班如下: 頒1ACA安全傲服務(wù)器提供客戶藹登錄認(rèn)證、權(quán)限奧控制、抓包日志奧記錄、阻斷非法斑連接等功能。 鞍2ACA傲管理中心提供主

7、靶機與用戶的登記啊和管理、主機與昂用戶安全策略的伴管理、數(shù)據(jù)過濾擺管理、開放主機唉管理、信任客戶奧IP管理、安全柏服務(wù)器策略管理捌、系統(tǒng)設(shè)置、安伴全服務(wù)器配置管捌理、實時監(jiān)控管頒理、用戶登錄審傲計管理等功能。壩 氨3ACA審計柏中心提供存儲審案計日志、IP包案審計管理、數(shù)據(jù)俺庫備份管理、查百看導(dǎo)出數(shù)據(jù)等功叭能。 案4ACA客戶矮端提供基于US版B硬件的身份認(rèn)艾證、用戶授權(quán)依版據(jù)、登錄ACA昂安全服務(wù)器等功疤能。 把ACA安全服務(wù)芭器部署在核心網(wǎng)拔絡(luò)與其他網(wǎng)絡(luò)的辦交匯處(路由器斑或交換機上),啊并接在網(wǎng)絡(luò)設(shè)備邦上,網(wǎng)絡(luò)設(shè)備將柏外來數(shù)據(jù)流SP壩AN(鏡像)給班ACA安全服務(wù)唉器。 啊ACA系統(tǒng)的審

8、盎計數(shù)據(jù)存放在A班CA審計中心服靶務(wù)器內(nèi),并通過稗ACA審計中心哀控制臺對記錄下絆來的審計日志進搬行處理。 霸ACA客戶端是拜一套客戶端軟件案和一個USB令扳牌,軟件安裝在盎客戶端用戶的P挨C上,插入US礙B令牌,登錄A骯CA安全服務(wù)器氨進行認(rèn)證,之后半即可進行其正常巴的、權(quán)限內(nèi)的業(yè)藹務(wù)操作。如果越版權(quán)訪問,將會斷柏開連接,并返回伴“拒絕連接”的靶信息。 爸上述四個部分組稗成的系統(tǒng),都是艾在網(wǎng)絡(luò)層進行工八作,不需要嵌入襖用戶的業(yè)務(wù)系統(tǒng)傲,安裝配置簡單把,應(yīng)用環(huán)境要求案少,極易進行測白試、試用和廣泛藹應(yīng)用。 矮系統(tǒng)部署風(fēng)險分?jǐn)[析扒 懊由于安全服務(wù)器癌是通過SPAN巴并行接在網(wǎng)絡(luò)中熬,所以用戶數(shù)據(jù)

9、鞍流不是穿過該設(shè)跋備,而是旁路,百安全設(shè)備只是監(jiān)吧聽數(shù)據(jù)流,對非伴法數(shù)據(jù)做出反應(yīng)罷,即使安全設(shè)備奧死機也不會對用鞍戶業(yè)務(wù)造成影響笆(當(dāng)然,此時的斑安全功能自然消藹失)??蛻舳讼蛋私y(tǒng)只是用于與中班心安全設(shè)備交互扒信息,與用戶的班業(yè)務(wù)系統(tǒng)毫無牽挨連。當(dāng)中心端安艾全安全服務(wù)器不笆啟用時,客戶端伴用戶也可正常操敖作其業(yè)務(wù)系統(tǒng)。熬所以,若遇意外八情況要恢復(fù)原有版系統(tǒng),只需將安班全服務(wù)器關(guān)機,唉即可立即恢復(fù)到百原有網(wǎng)絡(luò)狀況。拜 版為了讓ACA系罷統(tǒng)的部署達到預(yù)把期的目標(biāo),系統(tǒng)佰針對各種用戶對伴相關(guān)業(yè)務(wù)的訪問靶方式有針對性地拔添加了ACA系艾統(tǒng)訪問控制策略礙,但不對所有策鞍略生效,只對用案戶策略進行生效翱,

10、確保主機的通拜信可以正常。如辦果有意外情況發(fā)八生,只需拆出A絆CA安全服務(wù)器澳與CISCO 八4507之間的唉抓包線路即可恢安復(fù)原有系統(tǒng)網(wǎng)絡(luò)唉環(huán)境。 盎ACA系統(tǒng)部署胺完成后如有意外哀情況發(fā)生,斷開巴ACA安全服務(wù)斑器的抓包連接,皚即可恢復(fù)原有業(yè)柏務(wù)運營支撐系統(tǒng)笆網(wǎng)絡(luò)環(huán)境、應(yīng)用絆環(huán)境。 斑解決方案特點啊 搬該BOSS系統(tǒng)唉安全認(rèn)證審計方哀案具有如下特點搬: 胺1. 客戶端采背用USB令牌硬矮件作為身份證。敖由于以前的口令敗/用戶名認(rèn)證機捌制不便于管理,矮容易造成濫用,班該安全系統(tǒng)采用拜硬件作為身份證扳,并可保證不被拔復(fù)制和讀取,一巴旦出現(xiàn)丟失,管凹理員在中心可以半馬上進行作廢處擺理。 爸2.

11、對系統(tǒng)管澳理員、操作員、襖廠商開發(fā)人員進霸行跨業(yè)務(wù)平臺的懊集中審計。審計熬管理員可以根據(jù)白需要進行審計,癌從而大大增強了疤系統(tǒng)的審計能力澳,為事后的故障辦分析提供了充分耙的證據(jù)。 埃3. 集中管理把訪問授權(quán)便于控巴制。安全系統(tǒng)管百理人員可以隨時氨對每個客戶端進哎行策略配置和修哀改,允許訪問哪挨些服務(wù)器,不允翱許訪問哪些,并絆可詳細控制訪問版哪些端口號、哪敗些數(shù)據(jù)需要審計唉、是上行數(shù)據(jù)或哀下行數(shù)據(jù)、哪些熬網(wǎng)絡(luò)需要保護、叭哪些客戶端網(wǎng)絡(luò)翱可以自由訪問等奧。 矮4. 作為防火愛墻的補充,彌補柏防火墻的缺陷。叭防火墻只能基于凹遠程主機(IP矮地址和端口號)絆進行控制,而不笆能針對操作人員熬本身進行權(quán)限控般制,同時,防火熬墻的審計功能也哎很薄弱,ACA案系統(tǒng)則能很好地辦解決這兩個問題鞍。 拌5. 對原有系按統(tǒng)無影響。中心骯端的ACA安全藹服務(wù)器是并接在熬網(wǎng)絡(luò)上的,用戶案數(shù)據(jù)流不是穿過爸該設(shè)備。若要恢癌復(fù)原有系統(tǒng),只耙需將安全服務(wù)器奧關(guān)機,即可立即盎恢復(fù)到原有網(wǎng)絡(luò)礙狀況。 啊6. 自動切斷熬非法訪問。一旦翱發(fā)現(xiàn)非法連接,叭安全安全服務(wù)器鞍自動發(fā)出切斷信把息給訪問者和被搬訪問者,斷開該班連接。彌補了其絆他安全系統(tǒng)的漏拌洞,進一步加強叭了系統(tǒng)的安全性熬。 板7. 基于X.扮

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論