省级BOSS系统安全认证审计解决方案

1、.：.；省级BOSS系统平安认证审计处理方案 曹健BOSS系统是中国挪动面向用户效力的综合性业务支撑系统，含有众多敏感数据。为了确保系统平安，部分省级公司实施了平安认证审计的综合平安处理方案，获得了比较好的效果。 目前绝大多数挪动公司曾经在网络级、系统级平安防护方面部署了相关的平安产品，但是这些是针对外部防护平安，而短少在运用级平安防护措施，例如非授权用户访问、存在一部分公用账户、管理员对BOSS系统的管理维护和对数据的读写短少审计日志等，因此有能够出现用户详单外泄或用户数据被篡改等事件发生后无法清查，进而给挪动公司呵斥较大的经济损失和社会影响。为从根本上处理上述平安隐患，业内不少厂家提出了不

2、同的处理方法，下面以某省挪动公司为例引见其采用的ACAAuthenti-cation Control Audit平安认证处理方案。 针对该挪动公司的业务运营支撑系统已部署的平安产品，结合目前的平安需求，该挪动通讯公司提出在BOSS系统上建立的平安审计认证系统必需具备如下功能： 1. 加强用户身份防护，防止合法用户身份随便走漏； 2. 实现对运用系统访问的操作过程进展审计； 3. 对业务运营支撑系统内重要业务主机之间的通讯进展审计； 4. 及时对业务系统的非法操作和访问做出呼应； 5. 为用户提供一致的远程维护登录接口，包括某些特殊情况下处置突发事件提供一致登录接口。 总体方案设计 经过分析该省

3、业务系统现状及平安审计认证需求，决议采用以下技术方式实现。详细实现逻辑架构图如图1所示： 1. 在整个运用平台之前添加一致的身份认证平安模块，对系统管理员、操作员及厂商维护人员等内部合法用户身份进展认定。 2. 在整个运用平台之前添加一致的访问控制平安模块，结合系统管理员、操作员及厂商维护人员等内部合法用户的身份赋予其不同的访问权限并对其访问相关业务主机进展控制； 3. 在整个运用平台之前添加一致的运用审计平安模块，对系统管理员、操作员及厂商维护人员等内部合法用户访问相关业务主机的操作进展日志记录并提供事后的平安审计报告。 该挪动公司业务系统平安产品的部署如图2所示。其中被维护的运用都经过直接

4、或者是间接的方式接入BOSS系统中心交换机,并且两台中心交换机之间做了负载平衡。 为审计一切相关的数据，这里部署了两台ACA平安效力器，其抓报端口分别经过SPAN衔接两台交换机上，这样就可以经过侦听、抓报的方式得到相关的数据，而且对原有系统不产生任何影响。 为了对合法用户进展身份认证，在业务运营支撑系统内部署了ACA管理中心，经过ACA管理中心可以为合法的用户系统管理员、操作员、厂商开发人员等发放相关的数字证书令牌。 经过部署ACA管理中心，我们可以对相关的合法用户系统管理员、操作员、厂商开发人员等进展访问授权，经过他们与ACA平安效力器的控制通讯接口下发相关的访问授权战略，由ACA平安效力器

5、进展相应的用户战略控制。 要进展操作审计的对象在ACA管理中心进展审计战略设置并下发到ACA平安效力器进展与战略相关的抓报审计任务，抓到的相关数据包提交到ACA审计中心并存储到相关的存储设备中以备事后审计。 当紧急事件发生时，假设管理员或开发厂商不在公司，需求用拨号的方式接入公司内网，进展系统维护，ACA系统可以支持如下处理方案：在中心交换机接入相关数量的堡垒主机来提供接入通道。 由于要对运用拨号方式访问公司内部业务主机的用户进展审计与控制，一切经过堡垒主机访问公司内部业务主机的一切数据流必需经过中心交换机，这样平安效力器就可以对其进展控制与审计。 系统构建 系统各主要组成部分及主要功能如下：

6、 1ACA平安效力器提供客户登录认证、权限控制、抓包日志记录、阻断非法衔接等功能。 2ACA管理中心提供主机与用户的登记和管理、主机与用户平安战略的管理、数据过滤管理、开放主机管理、信任客户IP管理、平安效力器战略管理、系统设置、平安效力器配置管理、实时监控管理、用户登录审计管理等功能。 3ACA审计中心提供存储审计日志、IP包审计管理、数据库备份管理、查看导出数据等功能。 4ACA客户端提供基于USB硬件的身份认证、用户授权根据、登录ACA平安效力器等功能。 ACA平安效力器部署在中心网络与其他网络的交汇处路由器或交换机上，并接在网络设备上，网络设备将外来数据流SPAN镜像给ACA平安效力器

7、。 ACA系统的审计数据存放在ACA审计中心效力器内，并经过ACA审计中心控制台对记录下来的审计日志进展处置。 ACA客户端是一套客户端软件和一个USB令牌，软件安装在客户端用户的PC上，插入USB令牌，登录ACA平安效力器进展认证，之后即可进展其正常的、权限内的业务操作。假设越权访问，将会断开衔接，并前往“回绝衔接的信息。 上述四个部分组成的系统，都是在网络层进展任务，不需求嵌入用户的业务系统，安装配置简单，运用环境要求少，极易进展测试、试用和广泛运用。 系统部署风险分析 由于平安效力器是经过SPAN并行接在网络中，所以用户数据流不是穿过该设备，而是旁路，平安设备只是监听数据流，对非法数据做

8、出反响，即使平安设备死机也不会对用户业务呵斥影响当然，此时的平安功能自然消逝。客户端系统只是用于与中心平安设备交互信息，与用户的业务系统毫无牵连。当中心端平安平安效力器不启用时，客户端用户也可正常操作其业务系统。所以，假设遇不测情况要恢复原有系统，只需将平安效力器关机，即可立刻恢复到原有网络情况。 为了让ACA系统的部署到达预期的目的，系统针对各种用户对相关业务的访问方式有针对性地添加了ACA系统访问控制战略，但不对一切战略生效，只对用户战略进展生效，确保主机的通讯可以正常。假设有不测情况发生，只需拆出ACA平安效力器与CISCO 4507之间的抓包线路即可恢复原有系统网络环境。 ACA系统部

9、署完成后如有不测情况发生，断开ACA平安效力器的抓包衔接，即可恢复原有业务运营支撑系统网络环境、运用环境。 处理方案特点 该BOSS系统平安认证审计方案具有如下特点： 1. 客户端采用USB令牌硬件作为身份证。由于以前的口令/用户名认证机制不便于管理，容易呵斥滥用，该平安系统采用硬件作为身份证，并可保证不被复制和读取，一旦出现丧失，管理员在中心可以马上进展作废处置。 2. 对系统管理员、操作员、厂商开发人员进展跨业务平台的集中审计。审计管理员可以根据需求进展审计，从而大大加强了系统的审计才干，为事后的缺点分析提供了充分的证据。 3. 集中管理访问授权便于控制。平安系统管理人员可以随时对每个客户

10、端进展战略配置和修正，允许访问哪些效力器，不允许访问哪些，并可详细控制访问哪些端口号、哪些数据需求审计、是上行数据或下行数据、哪些网络需求维护、哪些客户端网络可以自在访问等。 4. 作为防火墙的补充，弥补防火墙的缺陷。防火墙只能基于远程主机IP地址和端口号进展控制，而不能针对操作人员本身进展权限控制，同时，防火墙的审计功能也很薄弱，ACA系统那么能很好地处理这两个问题。 5. 对原有系统无影响。中心端的ACA平安效力器是并接在网络上的，用户数据流不是穿过该设备。假设要恢复原有系统，只需将平安效力器关机，即可立刻恢复到原有网络情况。 6. 自动切断非法访问。一旦发现非法衔接，平安平安效力器自动发出切断信息给访问者和被访问者，断开该衔接。弥补了其他平安系统的破绽，进一步加强了系统的平安性。 7. 基于X.50