省级BOSS系统安全认证审计解决方案

1、扒省级BOSS系傲统安全认证审计柏解决方案啊 曹健百BOSS系统是芭中国移动面向用耙户服务的综合性昂业务支撑系统，八含有众多敏感数拜据。为了确保系奥统安全，部分省搬级公司实施了安昂全认证审计的综袄合安全解决方案皑，取得了比较好安的效果。矮 办目前绝大多数移啊动公司已经在网肮络级、系统级安皑全防护方面部署叭了相关的安全产稗品，但是这些是唉针对外部防护安阿全，而缺少在应靶用级安全防护措暗施，例如非授权八用户访问、存在氨一部分公用账户斑、管理员对BO奥SS系统的管理安维护和对数据的安读写缺少审计日盎志等，因而有可罢能出现用户详单柏外泄或用户数据百被篡改等事件发敖生后无法追查，吧进而给移动公司岸造成较

2、大的经济翱损失和社会影响按。为从根本上解芭决上述安全隐患俺，业内不少厂家胺提出了不同的解懊决办法，下面以阿某省移动公司为拌例介绍其采用的跋ACA（Aut霸henti-c熬ation C半ontrol 疤Audit）安碍全认证解决方案叭。 挨针对该移动公司巴的业务运营支撑颁系统已部署的安爱全产品，结合目搬前的安全需求，斑该移动通信公司癌提出在BOSS皑系统上建立的安拌全审计认证系统败必须具备如下功昂能： 伴1. 加强用户绊身份防护，防止埃合法用户身份轻扒易泄漏； 半2. 实现对应碍用系统访问的操哎作过程进行审计败； 挨3. 对业务运澳营支撑系统内重跋要业务主机之间笆的通信进行审计昂； 氨4. 及

3、时对业傲务系统的非法操奥作和访问做出响坝应； 埃5. 为用户提疤供统一的远程维岸护登录接口，包哀括某些特殊情况碍下处理突发事件绊提供统一登录接澳口。 班总体方案设计绊 叭通过分析该省业坝务系统现状及安半全审计认证需求暗，决定采用以下傲技术方式实现。懊具体实现逻辑架俺构图如图1所示巴： 爸1. 在整个应熬用平台之前增加瓣统一的身份认证澳安全模块，对系阿统管理员、操作碍员及厂商维护人哎员等内部合法用巴户身份进行认定拜。 办2. 在整个应袄用平台之前增加扮统一的访问控制百安全模块，结合靶系统管理员、操熬作员及厂商维护爸人员等内部合法澳用户的身份赋予颁其不同的访问权案限并对其访问相佰关业务主机进行懊控

4、制； 班3. 在整个应霸用平台之前增加岸统一的应用审计伴安全模块，对系叭统管理员、操作瓣员及厂商维护人叭员等内部合法用办户访问相关业务办主机的操作进行瓣日志记录并提供扒事后的安全审计安报告。 蔼该移动公司业务靶系统安全产品的柏部署如图2所示俺。其中被保护的吧应用都通过直接奥或者是间接的方哎式接入BOSS凹系统核心交换机板,并且两台核心版交换机之间做了八负载均衡。 哀 为审计所有八相关的数据，这八里部署了两台A按CA安全服务器挨，其抓报端口分八别通过SPAN班连接两台交换机哎上，这样就可以疤通过侦听、抓报癌的方式得到相关半的数据，而且对罢原有系统不产生案任何影响。 搬 为了对合法拔用户进行身份认

5、昂证，在业务运营叭支撑系统内部署哀了ACA管理中爱心，通过ACA败管理中心可以为板合法的用户（系啊统管理员、操作办员、厂商开发人唉员等）发放相关氨的数字证书令牌矮。 摆 通过部署A癌CA管理中心，澳我们可以对相关熬的合法用户（系翱统管理员、操作阿员、厂商开发人胺员等）进行访问坝授权，通过他们敖与ACA安全服耙务器的控制通信暗接口下发相关的爱访问授权策略，熬由ACA安全服胺务器进行相应的疤用户策略控制。埃 氨 要进行操作半审计的对象在A般CA管理中心进般行审计策略设置俺并下发到ACA巴安全服务器进行敖与策略相关的抓般报审计工作，抓安到的相关数据包稗提交到ACA审盎计中心并存储到背相关的存储设备巴

6、中以备事后审计靶。 叭 当紧急事件百发生时，如果管伴理员或开发厂商胺不在公司，需要哀用拨号的方式接爸入公司内网，进按行系统维护，A暗CA系统可以支埃持如下解决方案摆：在核心交换机八接入相关数量的把堡垒主机来提供爱接入通道。 搬 由于要对使埃用拨号方式访问俺公司内部业务主昂机的用户进行审半计与控制，所有扒通过堡垒主机访懊问公司内部业务霸主机的所有数据奥流必须经过核心耙交换机，这样安巴全服务器就可以挨对其进行控制与伴审计。 瓣系统构建柏 傲系统各主要组成半部分及主要功能班如下： 颁1ACA安全傲服务器提供客户蔼登录认证、权限奥控制、抓包日志奥记录、阻断非法斑连接等功能。 鞍2ACA傲管理中心提供主

7、靶机与用户的登记啊和管理、主机与昂用户安全策略的伴管理、数据过滤摆管理、开放主机唉管理、信任客户奥IP管理、安全柏服务器策略管理捌、系统设置、安伴全服务器配置管捌理、实时监控管颁理、用户登录审傲计管理等功能。坝 氨3ACA审计柏中心提供存储审案计日志、IP包案审计管理、数据俺库备份管理、查百看导出数据等功叭能。 案4ACA客户矮端提供基于US版B硬件的身份认艾证、用户授权依版据、登录ACA昂安全服务器等功疤能。 把ACA安全服务芭器部署在核心网拔络与其他网络的办交汇处（路由器斑或交换机上），啊并接在网络设备邦上，网络设备将柏外来数据流SP坝AN（镜像）给班ACA安全服务唉器。 啊ACA系统的审

8、盎计数据存放在A班CA审计中心服靶务器内，并通过稗ACA审计中心哀控制台对记录下绊来的审计日志进搬行处理。 霸ACA客户端是拜一套客户端软件案和一个USB令扳牌，软件安装在盎客户端用户的P挨C上，插入US碍B令牌，登录A肮CA安全服务器氨进行认证，之后半即可进行其正常巴的、权限内的业蔼务操作。如果越版权访问，将会断柏开连接，并返回伴“拒绝连接”的靶信息。 爸上述四个部分组稗成的系统，都是艾在网络层进行工八作，不需要嵌入袄用户的业务系统傲，安装配置简单把，应用环境要求案少，极易进行测白试、试用和广泛蔼应用。 矮系统部署风险分摆析扒 懊由于安全服务器癌是通过SPAN巴并行接在网络中熬，所以用户数据

9、鞍流不是穿过该设跋备，而是旁路，百安全设备只是监吧听数据流，对非伴法数据做出反应罢，即使安全设备奥死机也不会对用鞍户业务造成影响笆（当然，此时的斑安全功能自然消蔼失）。客户端系八统只是用于与中班心安全设备交互扒信息，与用户的班业务系统毫无牵挨连。当中心端安艾全安全服务器不笆启用时，客户端伴用户也可正常操敖作其业务系统。熬所以，若遇意外八情况要恢复原有版系统，只需将安班全服务器关机，唉即可立即恢复到百原有网络状况。拜 版为了让ACA系罢统的部署达到预把期的目标，系统佰针对各种用户对伴相关业务的访问靶方式有针对性地拔添加了ACA系艾统访问控制策略碍，但不对所有策鞍略生效，只对用案户策略进行生效翱，

10、确保主机的通拜信可以正常。如办果有意外情况发八生，只需拆出A绊CA安全服务器澳与CISCO 八4507之间的唉抓包线路即可恢安复原有系统网络唉环境。 盎ACA系统部署胺完成后如有意外哀情况发生，断开巴ACA安全服务斑器的抓包连接，皑即可恢复原有业柏务运营支撑系统笆网络环境、应用绊环境。 斑解决方案特点啊 搬该BOSS系统唉安全认证审计方哀案具有如下特点搬： 胺1. 客户端采背用USB令牌硬矮件作为身份证。敖由于以前的口令败/用户名认证机捌制不便于管理，矮容易造成滥用，班该安全系统采用拜硬件作为身份证扳，并可保证不被拔复制和读取，一巴旦出现丢失，管凹理员在中心可以半马上进行作废处摆理。 爸2.

11、对系统管澳理员、操作员、袄厂商开发人员进霸行跨业务平台的懊集中审计。审计熬管理员可以根据白需要进行审计，癌从而大大增强了疤系统的审计能力澳，为事后的故障办分析提供了充分耙的证据。 埃3. 集中管理把访问授权便于控巴制。安全系统管百理人员可以随时氨对每个客户端进哎行策略配置和修哀改，允许访问哪挨些服务器，不允翱许访问哪些，并绊可详细控制访问版哪些端口号、哪败些数据需要审计唉、是上行数据或哀下行数据、哪些熬网络需要保护、叭哪些客户端网络翱可以自由访问等奥。 矮4. 作为防火爱墙的补充，弥补柏防火墙的缺陷。叭防火墙只能基于凹远程主机（IP矮地址和端口号）绊进行控制，而不笆能针对操作人员熬本身进行权限控般制，同时，防火熬墙的审计功能也哎很薄弱，ACA案系统则能很好地办解决这两个问题鞍。 拌5. 对原有系按统无影响。中心肮端的ACA安全蔼服务器是并接在熬网络上的，用户案数据流不是穿过爸该设备。若要恢癌复原有系统，只耙需将安全服务器奥关机，即可立即盎恢复到原有网络碍状况。 啊6. 自动切断熬非法访问。一旦翱发现非法连接，叭安全安全服务器鞍自动发出切断信把息给访问者和被搬访问者，断开该班连接。弥补了其绊他安全系统的漏拌洞，进一步加强叭了系统的安全性熬。 板7. 基于X.扮