移动BOSS安全解决方案.doc

UnisMMW ACA 系统在系统在 移动移动 BOSS 系统中的应用系统中的应用 北京清华紫光顺风信息安全有限公司北京清华紫光顺风信息安全有限公司 20032003 年年 3 3 月月 北京清华紫光顺风信息安全有限公司 - 1 - 公司简介公司简介 北京清华紫光顺风信息安全有限公司，是由北京清华紫光股份有限公司控股与 四川顺风通信有限责任公司参股共同组建的专业化信息安全公司。 北京清华紫光顺风信息安全有限公司以四川顺风通信有限责任公司多年从事商 密研发的队伍为基础，以清华大学网络人才为依托，以紫光 23 个城市的销售及售后 服务网络体系为支持，充分发挥双方的技术、资金、产品、人才、服务、市场优势， 致力于发展民族信息安全产业。 公司专业从事信息安全产品、网络安全产品的研制、生产和销售；承接广电网 络、企业内部 Intranet 的方案设计、工程实施，提供网络与安全有机地结合的完整 解决方案。 公司为用户提供安全评估、安全策略咨询及代理制定安全策略，向用户提供安 全系统的应用升级等服务；向应用开发商、系统集成商提供全面的安全技术支持、 供给模块及板卡等多层次的产品。 公司目前推出的UnisMMW系列产品，主要分为三个系列，即链路层、网 络层、应用层系列安全产品。 公司的产品已广泛应用于全国 150 多个城市，服务于金融、公安、安全、边防、 商检、税务、电信、邮政等多个行业。 本公司奉行的宗旨是：您的安全，是我们最大的心愿。本公司奉行的宗旨是：您的安全，是我们最大的心愿。 北京清华紫光顺风信息安全有限公司 - 2 - 目录目录 1. 前言前言.1 2. 安全性分析安全性分析.1 3. 解决方案解决方案.2 3.1 安全系统组成 .2 3.2 典型应用 .3 3.2.1.安全系统配置说明.4 3.2.2.主机安全策略配置.5 3.2.3.用户安全策略配置.6 3.3 工作原理 .6 3.3.1.管理中心制定策略.7 3.3.2.SecDesktop 客户端的 USB 令牌代表合法身份.7 3.3.3.SJY39 的监控.8 3.3.4.数据库存储审计信息.8 4. 方案特点方案特点.8 北京清华紫光顺风信息安全有限公司 1 1. 前言前言 当今通信市场正由传统的以通信网为中心的服务质量竞争转变成以客户为中心 的服务质量竞争。为适应市场竞争的变化全面提升中国移动的服务层次，中国移动 集团公司对各省业务支撑系统进行了集中化改造。 随着集中化的完成，系统安全的压力明显增大。面对集中后的系统，如何提高 全网的安全水平，保障其运行质量，已经成为迫在眉睫的问题。参照中国移动业 务支撑系统安全总体技术规范 ，安全建设需要结合安全厂商的经验技术和业务支撑 系统自身的特点。 本方案将从认证鉴别、访问控制和日志审计 3 个角度出发，针对如何防范内部 人员以及合作伙伴中，一些故意或无意的非法操作所带来的安全问题。 2. 安全性分析安全性分析 在移动 BOSS（业务运营支撑系统）中，随着服务器群的大量集中，整个系统 的运行效率大大提高，而地市、省中心移动内部人员、以及应用开发商对中心个别 重要服务器的访问、维护是必不可少的，势必增加了中心这些服务器访问的安全风 险。与所有的大型网络运营商一样，整个 BOSS 网络大量配置了防火墙、IDS、用 户名/口令等安全机制，但在实际运行过程中，仍然出现了以下一些安全事故： 有人非法修改了用户套餐却无法查找责任人；有人非法修改了用户套餐却无法查找责任人； 有人盗取手机号码高价倒卖，而无从查起；有人盗取手机号码高价倒卖，而无从查起； 中心重要服务器无缘无故宕机或重启；中心重要服务器无缘无故宕机或重启； 移动工作人员（应用开发商职员）辞职前盗取了数据库中的重要信息，卖给竞移动工作人员（应用开发商职员）辞职前盗取了数据库中的重要信息，卖给竞 争对手，却找不到证据；争对手，却找不到证据； 上述案例只是目前移动公司系统中暴露出来的一部分安全隐患，更多更严重的 隐患还有许多，也许还没有被别有用心的所掌握，也许还没有被引发出来。结合 BOSS 目前的应用和网络结构分析，在移动 BOSS 系统中，主要存在如下一些安全 问题： 用户名/口令滥用造成访问权限不能有效控制 按照管理规定，口令/用户名必须定期更换，不能相互传递使用。但在现实 生活中，特别是网络维护人员，这两条规定几乎没有被执行，同时，通过 Sniffer 以及一些分析工具软件，被内置在客户端程序中的用户名/口令存在 北京清华紫光顺风信息安全有限公司 2 被破译的可能。 内部合法用户的违法操作 公司内部统计、维护人员、设备供应商、应用开发商等，在其权限范围内 或越权进行一些非法操作，比如修改数据库数据、更改网络配置、盗取公 司机密信息等，但可能不会被发现，也可能是查不到责任人。 防火墙的管理漏洞 防火墙不能针对远程用户进行控制，只能基于 IP 地址控制；防火墙无法进 行审计；防火墙管理者操作的随意性也导致安全漏洞的出现。 操作过程无法审计 由于网络、系统、数据库等的访问多种多样，有些服务器提供了部分审计 功能，但有些敏感的、核心的维护操作却无法审计下来（比如： telnet、relogin、FTP、Http、数据库的访问等） ，或者说从系统本身的海量 审计数据中，很难查找到相关的信息，这对事后的取证分析和责任界定带 来了很大困难。 对许多非法操作不能及时响应 对于重要服务器的非法访问，服务器并不能作出判断，也许要等到事后很 长时间后才会暴露，或许永远也不会有人知道，即使查出了非法访问，但 后果已经形成，无法弥补，必须要在非法访问的同时作出响应，这才是网 络维护人员所需要的。 现有安全系统存在盲区 安全系统的投入总是有限的，不可能所有的服务器、网络设备都加上一套 完备的安全系统，同时，现有的每一种安全设备都是有针对性的解决安全 问题，其安全策略配置不当，也会产生一些安全盲区，但管理者也许并不 知道这些安全问题的存在。 对原有网络业务系统的影响 增加了安全系统后，一般来说，或多或少会对原有网络系统产生影响，特 别是对整个系统的可靠性、稳定性的影响，比如降低网络效率，设备故障 使网络瘫痪等。即便只有 1危害的可能性，也不会被采用，因为，在网络 运营商看来，系统稳定性是第一位的。 3. 解决方案解决方案 本方案是在网络层实施安全措施，与用户的具体应用系统没有关联，是一套相 对独立的安全系统，由于各省移动通信公司的 BOSS 系统，其组成结构基本一致， 应用系统也大体相同，因此，下面的典型应用完全可以适应各省 BOSS 系统的安全 建设。 3.1 安全系统组成安全系统组成 该安全系统由下述四个部分组成： SJY39 安全认证网关 北京清华紫光顺风信息安全有限公司 3 数据库/CA 服务器 SecMC 安全管理中心 SecDesktop 客户端 SJY39 安全认证网关，放置在核心网络与其他网络的交汇处（路由器或交换机 上） ，将 SJY39 设备并接在网络设备上，网络设备将外来数据流 SPAN（镜像）给 SJY39 即可。 数据库用于存放审计的数据，放置在核心网络里。 SecMC 安全管理中心用于管理人员进行配置和管理，以及颁发客户端 USB 令牌， 监控用户的工作状况等。 SecDesktop 客户端则是一套软件和一个 USB 令牌，软件安装在客户端用户的 PC 上，插入 USB 令牌，登陆 SJY39 进行认证，然后即可进行其正常的、权限内的业务 操作，如果越权访问，将会返回“拒绝连接”的信息。 上述四个部分组成的系统，都是在网络层进行工作，不需要与用户的业务系统 嵌入，安装配置简单，对应用环境要求少，极易进行测试、试用和广泛应用。 SJY39 安全网关 客户端 USB 令牌 3.2 典型应用典型应用 四川移动通信公司于 2002 年 7 月，成功实现 BOSS 系统第一期割接，同时，我 公司研制“UnisMMW 访问控制系统”也同期接入正式运行。 虽然移动公司在许多网络入口处、各地市网络中都配置了大量 Cisco 的 PIX 防 火墙，还配置了 IDS 系统，以及其他一些安全措施，但由于 BOSS 系统是整个移动业 务的支撑平台，事关重大，为了堵住防火墙的缺陷以及由于管理疏忽所引起的防火 墙安全漏洞，尽量解决现有安全措施的盲区，同时，安全审计也是现有 BOSS 系统的 弱点，是网络管理人员迫切需要加强的环节。因此，我公司针对“BOSS”系统的特 点，定制了一套访问控制系统，以增强系统的安全性。 下图即是在四川移动 BOSS 系统中的配置拓扑图： 北京清华紫光顺风信息安全有限公司 4 四川移动 BOSS 访问控制系统拓扑图 3.2.1. 安全系统配置说明安全系统配置说明 1.1. SJY39SJY39 安全认证网关安全认证网关2 2 台台 在 BOSS 核心网络的入口处，有两台互为备份的 Cisco6509 路由器，Cisco6509 上有 48 个以太网接口，两台 SJY39 安全认证网关分别接在两台 Cisco6509 上，各占 用 2 个 100M 以太网端口。 SJY39 提供一个 RS232 异步接口进行设备配置，全中文界面，主要执行网络地 址、时间的配置以及工作状态查看等简单功能。 Cisco6509 上占用的两个端口，一个用于 SJY39 通信（SecdeskTop 客户端登陆 认证、发出阻断数据报、与数据库和管理中心交互数据） ，另一个配置为镜像端口， 将需要控制的数据流镜像到该端口，当这些数据流中有非法的访问时，即会被 SJY39 阻断，不需要控制的数据包则不做镜像。 2.2. 数据库数据库/CA/CA服务器服务器 数据库用于存放审计信息和管理策略信息等，并可以导出备份； CA 服务器用于产生用户的数字证书。 北京清华紫光顺风信息安全有限公司 5 两种服务器集于一体，放置在 BOSS 中心机房的交换机上，能访问到 SJY39 网关 和中心控制台即可。 3.3. 管理中心控制台管理中心控制台 管理中心控制台即是一套管理软件，并配置了 USB 主令牌。可安装在管理员办 公环境的一台 PC 上（建议 Windows2000 系统） ，需要能访问到 SJY39 安全认证网关 和数据库/CA 服务器。 在控制台上，管理员可以实现用户的产生、删除，保护主机的设定，用户访问 的权限设定，以及对审计策略的设定等，同时可以监控在线用户，查看审计信息， 备份和恢复数据等。 4.4. SecDesktopSecDesktop 客户端安全套件客户端安全套件 SecDesktop 客户端安全套件包括一套客户端软件和一个 USB 令牌，该令牌必须 有管理中心注入相应的密钥信息，并不可读取和复制。 授权用户需要安装该软件，并登陆 SJY39 进行认证，然后才能进行其合法的操 作，这些操作过程，将会被 SJY39 根据审计策略记录下来，存入数据库备案。 每个地市上都有需要访问中心营帐系统、数据库系统，以及其他重要服务器的 中高层操作员，省中心有许多中高层网络维护人员和部分领导，还有部分采用 GPRS 和 PSTN 拨号访问 BOSS 内网的管理人员，以及路由器、交换机、数据库等关键设备 供应商，他们也随时需要拨号到相应的设备上进行维护，以上这些用户都可以安装 SecDesktop 安全套件，在进行其合法访问的同时，对其操作进行审计，如果不登陆 SJY39 认证（即想逃脱审计） ，则不能进行相应的访问。 3.2.2. 主机安全策略配置主机安全策略配置 在中心管理控制台，管理人员对如下一些主机进行了保护和授权： 各大区历史库；各大区历史库； 各大区营帐机；各大区营帐机； 地市帐务查询；地市帐务查询； 拨号维护主机；拨号维护主机； 目标网导入数据主机；目标网导入数据主机； 银行对帐主机；银行对帐主机； 上述这些主机提供有高端的数据库端口，也有 Telnet、rlogin、http 等访问服务， 北京清华紫光顺风信息安全有限公司 6 基本上都采用了用户名/口令的访问机制，或者是程序访问机制，但仍然爆发了许多 的安全事故。 通过采用我公司的 ACA 系统，在保留原有这些安全机制的基础上，必须持有中 心颁发的 USB 令牌，而且，该令牌在中心控制台已经由管理员授权访问，才能进行 这些合法的访问，同时，中心端会记录下其操作行为，提高了整个系统的安全性。 在配置主机策略时，每一条主机策略中，都有审计策略的选项（审计上行、下 行，两者都审计或者都不审计） 。 3.2.3. 用户安全策略配置用户安全策略配置 客户端 USB 令牌主要颁发给如下一些人员： 地市上统计维护人员； 地市上的部分领导人员（比较关心相关统计信息者） ； 省 BOSS 中心大部分工作人员； 应用开发商工作人员（思特奇、亚信等） ； 设备供应商维护人员（Cisco、SUN、Sybase 等） 。 ACA 系统管理员根据其各自不同的访问权限，分别配置其能访问的主机策略， 同时，可以随时更改他们的访问权限，并可立即生效，无需将 USB 令牌拿回管理中 心重新分配。 3.3 工作原理工作原理 3.3.1. 管理中心制定策略管理中心制定策略 管理中心包括控制台和 CA 服务器，管理员可以设定哪些主机或哪些网段纳入 保护范畴，并分别设置保护哪些端口（比如：20、21、23、80、8250 端口等） ，每 个主机的每个端口算是一条主机策略，这样将产生许多条主机策略。 管理中心产生用户，并将相应证书写入 USB 令牌，发给用户。同时，针对每个 用户，可分别授权不同的主机策略，即有权访问这些主机的这个端口，只要登陆 SJY39 通过认证后，即可进行授权的访问，如果不登陆，将不能访问所有受保护主 机和网段的受保护端口。 对于主机策略以外的访问，将不受限制，可以随意访问。 北京清华紫光顺风信息安全有限公司 7 3.3.2. SecDesktop 客户端的客户端的 USB 令牌代表合法身份令牌代表合法身份 每个 USB 令牌都注入了各自的数字证书，分别代表一个合法用户，登陆中心 SJY39 进行的认证，是基于 X.509 数字证书的双向强身份认证，每次认证都将有随 机数参与，防止假冒，能保证认证的强度。 当用户通过认证后，用户的 IP 地址将被 SJY39 记录到一个列表中，并与其访问 权限列表对应起来，SJY39 判别用户的合法性将基于这个 IP 地址来进行。一旦用户 退出登陆或拔掉 USB 令牌，该 IP 地址将从地址列表中删除，用户要进行其授权访 问，又必须登陆进行认证后才被允许。 3.3.3. SJY39 的监控的监控 类似于 IDS 系统，SJY39 安全认证网关并接在网络上，实时监控数据流，并分 析每个连接是否合法。IDS 系统只能对常见的攻击行为进行“模式匹配” ，一旦发现 攻击，立即报警并记录。但移动 BOSS 网络中，真正利用黑客工具进行攻击的行为 是很少的，多数是利用管理、配置的漏洞，滥用别人的权限或越权进行访问，而且， 操作行为未留痕迹，使得很多人擅自随意的修改一些数据，给 BOSS 系统带来很大 的隐患。IDS 系统并不能解决上述问题。 由于 SJY39 处于监控模式，因此必须在 Cisco6509 上做 SPAN 配置，将需要控 制的数据流镜像到 SJY39，供 SJY39 分析，而不需要控制的数据流则不能镜像过来。 当发现有不合法的访问时，SJY39 将分别向源（客户端）和目的（受保护主机）分 别发出拆链的数据包，断开连接。 3.3.4. 数据库存储审计信息数据库存储审计信息 当用户登陆 SJY39 通过认证后，用户可以自由的进行权限内的访问，同时， SJY39 会根据审计策略表，比如是审计上行或下行，哪些端口需要审计等，将需要 审计的数据包记录下来，写到数据库中。对于以前无法审计的内容，现在可以很容 易的设定是否需要审计。并可随时进行数据备份，以便事故后的分析和责任界定， 从而，从另一个角度提高的系统的安全性。 4. 方案特点方案特点 1.客户端采用 USB 令牌硬件作为身份证 由于以前的口令/用户名认证机制不便于管理，容易造成滥用，我们提供的安全 系统则采用硬件作为身份证，并可保证不被复制和读取，一旦出现丢失，管理员在 中心可以马上进行作废处理。 2.对合法人员进行跨业务平台的集中审计 合法操作人员有可能利用职务便利，进行一些违法的操作，如果能记录下其操 作的痕迹，事后能查出元凶，那么在进行违法操作前，操作员就会考虑考虑，是否 真的值得这么去做了。虽然数据流量很大，但管理员可以在中心控制台上配置哪些 访问需要审计，审计上行数据还是下行数据等，同时，系统采用了大型数据库进行 北京清华紫光顺风信息安全有限公司 8 记录，可以存储较多的数据信息，并可定期导出备份。 由于管理员可以根据需要进行审计，大大增强了系统的审计能力，为事后的故 障分析提供了充分的证据。 虽然很多应用系统都有自己的审计功能，却能集中管理，同时还有许多应用是 没有提供审计的，比如 Telnet 或一些特定端口的访问，而 ACA 系统则可以解决这 些审计盲区。 3.集中管理，访问授权便于控制 安全系统管理人员可以随时对每个 SecDesktop 进行策略配置和修改，允许访问 哪些服务器，不允许访问哪些，并可详细控制到访问哪些端口号；哪些数据需要