■ 曹健
BOSS系统中国移动面户效劳综合性业务支撑系统含众敏感数确保系统安局部省级公司实施安认证审计综合安解决方案取拟效果
目前绝数移动公司已网络级系统级安防护方面部署相关安产品针外部防护安缺少应级安防护措施例非授权户访问存局部公账户理员BOSS系统理维护数读写缺少审计日志等出现户详单外泄户数篡改等事件发生法追查进移动公司造成较济损失社会影响根解决述安隐患业少厂家提出解决方法面某省移动公司例介绍采ACA〔Authentication Control Audit〕安认证解决方案
针该移动公司业务运营支撑系统已部署安产品结合目前安需求该移动通信公司提出BOSS系统建立安审计认证系统必须具备功:
1 加强户身份防护防止合法户身份轻易泄漏
2 实现应系统访问操作程进行审计
3 业务运营支撑系统重业务机间通信进行审计
4 时业务系统非法操作访问做出响应
5 户提供统远程维护登录接口包括某特殊情况处理突发事件提供统登录接口
总体方案设计
通分析该省业务系统现状安审计认证需求决定采技术方式实现具体实现逻辑架构图图1示:
1 整应台前增加统身份认证安模块系统理员操作员厂商维护员等部合法户身份进行认定
2 整应台前增加统访问控制安模块结合系统理员操作员厂商维护员等部合法户身份赋予访问权限访问相关业务机进行控制
3 整应台前增加统应审计安模块系统理员操作员厂商维护员等部合法户访问相关业务机操作进行日志记录提供事安审计报告
该移动公司业务系统安产品部署图2示中保护应通直接者间接方式接入BOSS系统核心交换机两台核心交换机间做负载均衡
● 审计相关数里部署两台ACA安效劳器抓报端口分通SPAN连接两台交换机样通侦听抓报方式相关数原系统产生影响
● 合法户进行身份认证业务运营支撑系统部署ACA理中心通ACA理中心合法户〔系统理员操作员厂商开发员等〕发放相关数字证书令牌
● 通部署ACA理中心相关合法户〔系统理员操作员厂商开发员等〕进行访问授权通ACA安效劳器控制通信接口发相关访问授权策略ACA安效劳器进行相应户策略控制
● 进行操作审计象ACA理中心进行审计谋略设置发ACA安效劳器进行策略相关抓报审计工作抓相关数包提交ACA审计中心存储相关存储设备中备事审计
● 紧急事件发生时果理员开发厂商公司需拨号方式接入公司网进行系统维护ACA系统支持解决方案:核心交换机接入相关数量堡垒机提供接入通道
● 拨号方式访问公司部业务机户进行审计控制通堡垒机访问公司部业务机数流必须核心交换机样安效劳器进行控制审计
系统构建
系统组成局部功:
1.ACA安效劳器提供客户登录认证权限控制抓包日志记录阻断非法连接等功
2.ACA理中心提供机户登记理机户安策略理数滤理开放机理信客户IP理安效劳器策略理系统设置安效劳器配置理实时监控理户登录审计理等功
3.ACA审计中心提供存储审计日志IP包审计理数库备份理查导出数等功
4.ACA客户端提供基USB硬件身份认证户授权登录ACA安效劳器等功
ACA安效劳器部署核心网络网络交汇处〔路器交换机〕接网络设备网络设备外数流SPAN〔镜〕ACA安效劳器
ACA系统审计数存放ACA审计中心效劳器通ACA审计中心控制台记录审计日志进行处理
ACA客户端套客户端软件USB令牌软件安装客户端户PC插入USB令牌登录ACA安效劳器进行认证进行正常权限业务操作果越权访问会断开连接返回拒绝连接〞信息
述四局部组成系统网络层进行工作需嵌入户业务系统安装配置简单应环境求少极易进行测试试广泛应
系统部署风险分析
安效劳器通SPAN行接网络中户数流穿该设备旁路安设备监听数流非法数做出反响安设备死机会户业务造成影响〔然时安功然消失〕客户端系统中心安设备交互信息户业务系统毫牵连中心端安安效劳器启时客户端户正常操作业务系统假设遇意外情况恢复原系统需安效劳器关机立恢复原网络状况
ACA系统部署达预期目标系统针种户相关业务访问方式针性添加ACA系统访问控制策略策略生效户策略进行生效确保机通信正常果意外情况发生需拆出ACA安效劳器CISCO 4507间抓包线路恢复原系统网络环境
ACA系统部署完成意外情况发生断开ACA安效劳器抓包连接恢复原业务运营支撑系统网络环境应环境
解决方案特点
该BOSS系统安认证审计方案具特点:
1 客户端采USB令牌硬件作身份证前口令户名认证机制便理容易造成滥该安系统采硬件作身份证保证复制读取旦出现丧失理员中心马进行作废处理
2 系统理员操作员厂商开发员进行跨业务台集中审计审计理员根需进行审计增强系统审计力事障分析提供充分证
3 集中理访问授权便控制安系统理员时客户端进行策略配置修改允许访问效劳器允许访问详细控制访问端口号数需审计行数行数网络需保护客户端网络访问等
4 作防火墙补充弥补防火墙缺陷防火墙基远程机〔IP址端口号〕进行控制针操作员身进行权限控制时防火墙审计功薄弱ACA系统解决两问题
5 原系统影响中心端ACA安效劳器接网络户数流穿该设备假设恢复原系统需安效劳器关机立恢复原网络状况
6 动切断非法访问旦发现非法连接安安效劳器动发出切断信息访问者访问者断开该连接弥补安系统漏洞进步加强系统安性
7 基X509数字证书强身份认证访问中心效劳器需安效劳器进行认证时效劳器身认证需样更加强系统安性
通该省采套ACA系统实际中情况分析已证实该系统BOSS系统实际运行中起非常重安保障作时该系统套跨台绿色安理系统
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档