某电信运营商网络安全管理平台扩容工程
应用背景
为了提高网络安全管理能力,实现网络集中化、体系化、层次化的安全管理,集团已经针对北京和江苏两地完成了网络安全管理平台的试点建设。网络安全管理平台管理全网2000多台路由器、多个业务平台、多个网管系统,对这些系统的帐号管理比较分散,帐号和口令分配、回收、增加、删除等操作较为混乱,带来不少安全隐患,而且对于外来人员的帐号口令也缺乏有效的管理。因此需要对网络安全管理平台升级集中的用户认证、口令管理功能,采用动态密码技术,加强密码管理的安全性。同时根据工信部要求,需要具备较强的审计功能,以便事后追溯。
达到的效果
根据原系统访问控制授权方式,采用SPAN到业务核心交换机,对登录用户作相应的用户登录身份确认,通过在系统中设置保护网段、TCP端口,保证合法用户只能在合法的网段才能通过认证,登录系统。达到用户的实体级授权控制。账号管理模块统一了业务系统的实体内角色权限管理,4A账号管理员根据被分配管理的资源与用户,在账号管理平台中为用户分配访问资源的角色,依据用户账号绑定关系,达到了自然人的实体内授权。
系统采用旁路部署,负载均衡的服务器部署方式,成熟可靠且容灾响应迅速。通过对设备账号的统一认证、授权、审计管理,有效控制受保护网络设备资源的安全访问。动态密码方式的账号认证具有高安全性和易用性的特点,使所有层面的用户都易于接受。集中管理的账号和授权,配置简单灵活,粒度细,修改方便。所有操作的可审计记录可供事后安全检查,符合塞班斯法案要求。
系统定制、升级及服务
风信子4A系统在集团公司的应用,同样经历了“应用-需求更新-开发-应用”的升级过程。我们与集团方面共同配合,整理出新增功能,制定开发进度表。根据用户的需求,专门安排工程师为该系统进行服务工作,包括:
用户使用反馈收集;问题整理及完善进度;
用户方提出地新增功能及进度表;
厂商提出的新的安全功能建议;
协助集团方面处理安全事故;
定期检查风信子系统工作状况;
紧急上门服务。
总结
风信子4A系统,在集团公司部署了相应的安全监控系统,以实现统一管理、身份认证,从而统一系统管理员、开发厂商对后台业务网络系统的动态密码认证接口,控制其访问权限并进行对应的审计工作。通过部署风信子4A系统,搭建起统一的信息安全管理技术和平台和全网统一身份认证系统的框架,制止内部合法用户的违法操作,实现对登录应用系统的过程进行审计的要求,并及时响应非法操作。
