淺析省級BOSS系統(tǒng)安全認證審計解決方案(共7頁).doc

1、BOSS系統(tǒng)是中國移動面向用戶服務(wù)的綜合性業(yè)務(wù)支撐系統(tǒng)，含有眾多敏感數(shù)據(jù)。為了確保系統(tǒng)安全，部分省級公司實施了安全認證審計的綜合安全解決方案，取得了比較好的效果。 目前絕大多數(shù)移動公司已經(jīng)在網(wǎng)絡(luò)級、系統(tǒng)級安全防護方面部署了相關(guān)的安全產(chǎn)品，但是這些是針對外部防護安全，而缺少在應(yīng)用級安全防護措施，例如非授權(quán)用戶訪問、存在一部分公用賬戶、管理員對BOSS系統(tǒng)的管理維護和對數(shù)據(jù)的讀寫缺少審計日志等，因而有可能出現(xiàn)用戶詳單外泄或用戶數(shù)據(jù)被篡改等事件發(fā)生后無法追查，進而給移動公司造成較大的經(jīng)濟損失和社會影響。為從根本上解決上述安全隱患，業(yè)內(nèi)不少廠家提出了不同的解決辦法，下面以某省移動公司為例介紹其采用的A

2、CA（Authenti-cation Control Audit）安全認證解決方案。 針對該移動公司的業(yè)務(wù)運營支撐系統(tǒng)已部署的安全產(chǎn)品，結(jié)合目前的安全需求，該移動通信公司提出在BOSS系統(tǒng)上建立的安全審計認證系統(tǒng)必須具備如下功能： 1. 加強用戶身份防護，防止合法用戶身份輕易泄漏； 2. 實現(xiàn)對應(yīng)用系統(tǒng)訪問的操作過程進行審計； 3. 對業(yè)務(wù)運營支撐系統(tǒng)內(nèi)重要業(yè)務(wù)主機之間的通信進行審計； 4. 及時對業(yè)務(wù)系統(tǒng)的非法操作和訪問做出響應(yīng)； 5. 為用戶提供統(tǒng)一的遠程維護登錄接口，包括某些特殊情況下處理突發(fā)事件提供統(tǒng)一登錄接口。 總體方案設(shè)計 通過分析該省業(yè)務(wù)系統(tǒng)現(xiàn)狀及安全審計認證需求，決定采用以下技

3、術(shù)方式實現(xiàn)。具體實現(xiàn)邏輯架構(gòu)圖如圖1所示： 1. 在整個應(yīng)用平臺之前增加統(tǒng)一的身份認證安全模塊，對系統(tǒng)管理員、操作員及廠商維護人員等內(nèi)部合法用戶身份進行認定。 2. 在整個應(yīng)用平臺之前增加統(tǒng)一的訪問控制安全模塊，結(jié)合系統(tǒng)管理員、操作員及廠商維護人員等內(nèi)部合法用戶的身份賦予其不同的訪問權(quán)限并對其訪問相關(guān)業(yè)務(wù)主機進行控制； 3. 在整個應(yīng)用平臺之前增加統(tǒng)一的應(yīng)用審計安全模塊，對系統(tǒng)管理員、操作員及廠商維護人員等內(nèi)部合法用戶訪問相關(guān)業(yè)務(wù)主機的操作進行日志記錄并提供事后的安全審計報告。 該移動公司業(yè)務(wù)系統(tǒng)安全產(chǎn)品的部署如圖2所示。其中被保護的應(yīng)用都通過直接或者是間接的方式接入BOSS系統(tǒng)核心交換機,并

4、且兩臺核心交換機之間做了負載均衡。 為審計所有相關(guān)的數(shù)據(jù)，這里部署了兩臺ACA安全服務(wù)器，其抓報端口分別通過SPAN連接兩臺交換機上，這樣就可以通過偵聽、抓報的方式得到相關(guān)的數(shù)據(jù)，而且對原有系統(tǒng)不產(chǎn)生任何影響。 為了對合法用戶進行身份認證，在業(yè)務(wù)運營支撐系統(tǒng)內(nèi)部署了ACA管理中心，通過ACA管理中心可以為合法的用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）發(fā)放相關(guān)的數(shù)字證書令牌。 通過部署ACA管理中心，我們可以對相關(guān)的合法用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）進行訪問授權(quán)，通過他們與ACA安全服務(wù)器的控制通信接口下發(fā)相關(guān)的訪問授權(quán)策略，由ACA安全服務(wù)器進行相應(yīng)的用戶策略控制。 要進行操作審

5、計的對象在ACA管理中心進行審計策略設(shè)置并下發(fā)到ACA安全服務(wù)器進行與策略相關(guān)的抓報審計工作，抓到的相關(guān)數(shù)據(jù)包提交到ACA審計中心并存儲到相關(guān)的存儲設(shè)備中以備事后審計。 當緊急事件發(fā)生時，如果管理員或開發(fā)廠商不在公司，需要用撥號的方式接入公司內(nèi)網(wǎng)，進行系統(tǒng)維護，ACA系統(tǒng)可以支持如下解決方案：在核心交換機接入相關(guān)數(shù)量的堡壘主機來提供接入通道。 由于要對使用撥號方式訪問公司內(nèi)部業(yè)務(wù)主機的用戶進行審計與控制，所有通過堡壘主機訪問公司內(nèi)部業(yè)務(wù)主機的所有數(shù)據(jù)流必須經(jīng)過核心交換機，這樣安全服務(wù)器就可以對其進行控制與審計。 系統(tǒng)構(gòu)建 系統(tǒng)各主要組成部分及主要功能如下： 1ACA安全服務(wù)器提供客戶登錄認證、

6、權(quán)限控制、抓包日志記錄、阻斷非法連接等功能。 2ACA管理中心提供主機與用戶的登記和管理、主機與用戶安全策略的管理、數(shù)據(jù)過濾管理、開放主機管理、信任客戶IP管理、安全服務(wù)器策略管理、系統(tǒng)設(shè)置、安全服務(wù)器配置管理、實時監(jiān)控管理、用戶登錄審計管理等功能。 3ACA審計中心提供存儲審計日志、IP包審計管理、數(shù)據(jù)庫備份管理、查看導(dǎo)出數(shù)據(jù)等功能。 4ACA客戶端提供基于USB硬件的身份認證、用戶授權(quán)依據(jù)、登錄ACA安全服務(wù)器等功能。 ACA安全服務(wù)器部署在核心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的交匯處（路由器或交換機上），并接在網(wǎng)絡(luò)設(shè)備上，網(wǎng)絡(luò)設(shè)備將外來數(shù)據(jù)流SPAN（鏡像）給ACA安全服務(wù)器。 ACA系統(tǒng)的審計數(shù)據(jù)存放在

7、ACA審計中心服務(wù)器內(nèi)，并通過ACA審計中心控制臺對記錄下來的審計日志進行處理。 ACA客戶端是一套客戶端軟件和一個USB令牌，軟件安裝在客戶端用戶的PC上，插入USB令牌，登錄ACA安全服務(wù)器進行認證，之后即可進行其正常的、權(quán)限內(nèi)的業(yè)務(wù)操作。如果越權(quán)訪問，將會斷開連接，并返回“拒絕連接”的信息。 上述四個部分組成的系統(tǒng)，都是在網(wǎng)絡(luò)層進行工作，不需要嵌入用戶的業(yè)務(wù)系統(tǒng)，安裝配置簡單，應(yīng)用環(huán)境要求少，極易進行測試、試用和廣泛應(yīng)用。 系統(tǒng)部署風(fēng)險分析 由于安全服務(wù)器是通過SPAN并行接在網(wǎng)絡(luò)中，所以用戶數(shù)據(jù)流不是穿過該設(shè)備，而是旁路，安全設(shè)備只是監(jiān)聽數(shù)據(jù)流，對非法數(shù)據(jù)做出反應(yīng)，即使安全設(shè)備死機也不

8、會對用戶業(yè)務(wù)造成影響（當然，此時的安全功能自然消失）。客戶端系統(tǒng)只是用于與中心安全設(shè)備交互信息，與用戶的業(yè)務(wù)系統(tǒng)毫無牽連。當中心端安全安全服務(wù)器不啟用時，客戶端用戶也可正常操作其業(yè)務(wù)系統(tǒng)。所以，若遇意外情況要恢復(fù)原有系統(tǒng)，只需將安全服務(wù)器關(guān)機，即可立即恢復(fù)到原有網(wǎng)絡(luò)狀況。 為了讓ACA系統(tǒng)的部署達到預(yù)期的目標，系統(tǒng)針對各種用戶對相關(guān)業(yè)務(wù)的訪問方式有針對性地添加了ACA系統(tǒng)訪問控制策略，但不對所有策略生效，只對用戶策略進行生效，確保主機的通信可以正常。如果有意外情況發(fā)生，只需拆出ACA安全服務(wù)器與CISCO 4507之間的抓包線路即可恢復(fù)原有系統(tǒng)網(wǎng)絡(luò)環(huán)境。 ACA系統(tǒng)部署完成后如有意外情況發(fā)生，

9、斷開ACA安全服務(wù)器的抓包連接，即可恢復(fù)原有業(yè)務(wù)運營支撐系統(tǒng)網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境。 解決方案特點 該BOSS系統(tǒng)安全認證審計方案具有如下特點： 1. 客戶端采用USB令牌硬件作為身份證。由于以前的口令/用戶名認證機制不便于管理，容易造成濫用，該安全系統(tǒng)采用硬件作為身份證，并可保證不被復(fù)制和讀取，一旦出現(xiàn)丟失，管理員在中心可以馬上進行作廢處理。 2. 對系統(tǒng)管理員、操作員、廠商開發(fā)人員進行跨業(yè)務(wù)平臺的集中審計。審計管理員可以根據(jù)需要進行審計，從而大大增強了系統(tǒng)的審計能力，為事后的故障分析提供了充分的證據(jù)。 3. 集中管理訪問授權(quán)便于控制。安全系統(tǒng)管理人員可以隨時對每個客戶端進行策略配置和修改，允許

10、訪問哪些服務(wù)器，不允許訪問哪些，并可詳細控制訪問哪些端口號、哪些數(shù)據(jù)需要審計、是上行數(shù)據(jù)或下行數(shù)據(jù)、哪些網(wǎng)絡(luò)需要保護、哪些客戶端網(wǎng)絡(luò)可以自由訪問等。 4. 作為防火墻的補充，彌補防火墻的缺陷。防火墻只能基于遠程主機（IP地址和端口號）進行控制，而不能針對操作人員本身進行權(quán)限控制，同時，防火墻的審計功能也很薄弱，ACA系統(tǒng)則能很好地解決這兩個問題。 5. 對原有系統(tǒng)無影響。中心端的ACA安全服務(wù)器是并接在網(wǎng)絡(luò)上的，用戶數(shù)據(jù)流不是穿過該設(shè)備。若要恢復(fù)原有系統(tǒng)，只需將安全服務(wù)器關(guān)機，即可立即恢復(fù)到原有網(wǎng)絡(luò)狀況。 6. 自動切斷非法訪問。一旦發(fā)現(xiàn)非法連接，安全安全服務(wù)器自動發(fā)出切斷信息給訪問者和被訪問者，斷開該連接。彌補了其他安全系統(tǒng)的漏洞，進一步加強了系統(tǒng)的安全性。 7. 基于X.50