浅析省级BOSS系统安全认证审计解决方案

1、胺BOSS系统是哀中国移动面向用隘户服务的综合性懊业务支撑系统，稗含有众多敏感数敖据。为了确保系疤统安全，部分省版级公司实施了安岸全认证审计的综罢合安全解决方案埃，取得了比较好扒的效果。暗 敖目前绝大多数移阿动公司已经在网哀络级、系统级安扒全防护方面部署埃了相关的安全产靶品，但是这些是俺针对外部防护安哎全，而缺少在应挨用级安全防护措氨施，例如非授权耙用户访问、存在拌一部分公用账户拜、管理员对BO佰SS系统的管理爸维护和对数据的绊读写缺少审计日败志等，因而有可昂能出现用户详单斑外泄或用户数据傲被篡改等事件发绊生后无法追查，氨进而给移动公司袄造成较大的经济跋损失和社会影响肮。为从根案本上解决上述安

2、背全隐患，业内不白少厂家提出了不懊同的解决办法，奥下面以某省移动爱公司为例介绍其颁采用的ACA（邦Authent邦i-catio八n Contr拔ol Audi拜t）安全认证解按决方案。 办针对该移动公司巴的业务运营支撑绊系统已部署的安爸全产品，结合目盎前的安全需求，挨该移动通信公司扳提出在BOSS板系统上建立的安班全审计认证系统爸必须具备如下功按能： 拜1. 加强用户芭身份防护，防止巴合法用户身份轻办易泄漏； 班2. 实现对应叭用系统访问的操办作过程进行审计胺； 俺3. 对业务运唉营支撑系统内重安要业务主机之间班的通信进行审计扮； 澳4. 及时对业翱务系统熬的非法操作和访绊问做出响应； 摆5

3、. 为用户提般供统一的远程维翱护登录接口，包吧括某些特殊情况扳下处理突发事件暗提供统一登录接翱口。 背总体方案设计佰 罢通过分析该省业盎务系统现状及安斑全审计认证需求哎，决定采用以下盎技术方式实现。伴具体实现逻辑架伴构图如图1所示芭： 蔼1. 在整个应岸用平台之前增加邦统一的身份认证哀安全模块，对系肮统管理员、操作捌员及厂商维护人跋员等内部合法扒用户身份进行认按定。 澳2. 在整个应佰用平台之前增加柏统一的访问控制胺安全模块，结合版系统管理员、操霸作员及厂商维护澳人员等内部合法拌用户的身份赋予拔其不同的访问权把限并对其访问相埃关业务主机进行疤控制； 摆3. 在整个应奥用平台之前增加佰统一的应用

4、审计巴安全模块，对系版统管理员、操作拔员及厂商维护人叭员等内部合法用胺户访问相关业务埃主机的操作进行佰日志记录并提供百事后的安全审计拔报告。 案该移动公司业务暗系统安全产品的俺部署如图2所示般。其中被保护的隘应用都通过直接哀或者是间接的方邦式接入BOSS班系统核心交换机扮,并且两台核心百交换机之间做了巴负载均衡。 拜 为审计所有爸相关的数据，这安里部署了两台A靶CA安全服务器哀，其抓报端口分稗别通过SPAN芭连接两台交换机岸上，这样就可以捌通过侦听、抓报疤的方式得到相关傲的数据，而且对矮原有系统不产生白任何影响。 疤 为了对合法鞍用户进行身份认啊证，在业务运营版支撑系统内部署靶了ACA管理中班

5、心，通过ACA巴管理中心可以为袄合法的用户（系傲统管理员、操作拔员、厂商开发人阿员等）发放相关懊的数字证书颁令牌。 绊 通过部署A癌CA管理中心，把我们可以对相关癌的合法用户（系办统管理员、操作版员、厂商开发人拌员等）进行访问挨授权，通过他们奥与ACA安全服昂务器的控制通信氨接口下发相关的拌访问授权策略，吧由ACA安全服氨务器进行相应的扮用户策略控制。颁 皑 要进行操作扒审计的对象在A柏CA管理中心进般行审计策略设置奥并下发到ACA把安全服务器进行哎与策略相关的抓疤报审计工作，抓办到的相关数据包矮提交到ACA审埃计中心并存储到凹相关的存储设备矮中以备事后审计盎。 八 当紧急事件班发生时，如果管

6、盎理员或开发厂商敖不在公司，需要阿用拨号的方式接白入公司内网，进拔行系统维护，A拔C巴A系统可以支持傲如下解决方案：伴在核心交换机接凹入相关数量的堡傲垒主机来提供接按入通道。 凹 由于要对使拌用拨号方式访问奥公司内部业务主碍机的用户进行审罢计与控制，所有佰通过堡垒主机访岸问公司内部业务般主机的所有数据澳流必须经过核心稗交换机，这样安肮全服务器就可以把对其进行控制与艾审计。 拌系统构建碍 把系统各主要组成敖部分及主要功能捌如下： 隘1ACA安全靶服务器提供客户芭登录认证、权限霸控制、抓包日志办记录、阻断非法半连接等功能。 坝2ACA管理按中心提供主机与哎用户的登记和管蔼理、主机与用户背安全策略的

7、管理拌、数据过滤管理啊、开放主机管理艾、信任客户IP班管理爸、安全服务器策昂略管理、系统设懊置、安全服务器拜配置管理、实时袄监控管理、用户八登录审计管理等鞍功能。 氨3ACA审计叭中心提供存储审叭计日志、IP包鞍审计管理、数据佰库备份管理、查吧看导出数据等功搬能。 颁4ACA客户翱端提供基于US佰B硬件的身份认霸证、用户授权依安据、登录ACA爸安全服务器等功傲能。 捌ACA安全服务盎器部署在核心网案络与其他网络的叭交汇处（路由器懊或交换机上），拌并接在网络设备拔上，网络设备将蔼外来数据流SP阿AN（镜像）给白ACA安全服务扮器。 肮ACA系统的审熬计数据存放在A案CA审计中心服凹务器内，并通过

8、拌ACA审计中心暗控制台对记录下盎来拜的审计日志进行把处理。 安ACA客户端是蔼一套客户端软件胺和一个USB令奥牌，软件安装在半客户端用户的P爸C上，插入US安B令牌，登录A皑CA安全服务器邦进行认证，之后盎即可进行其正常柏的、权限内的业爸务操作。如果越傲权访问，将会断百开连接，并返回艾“拒绝连接”的矮信息。 扮上述四个部分组百成的系统，都是傲在网络层进行工氨作，不需要嵌入昂用户的业务系统鞍，安装配置简单盎，应用环境要求捌少，极易进行测背试、试用和广泛邦应用。 碍系统部署风险分板析佰 斑由于安全服务器柏是通过SPAN肮并行接在网络中瓣，所以用户数据班流不是穿过该设癌备，而是旁路，埃安全设备只是

9、监搬听数据流，对非敖法数据做出反应伴，即使安全设备挨死机也不会对用安户业务造成影响捌（当然，此时的鞍安全功能自然消笆失）。客户端系罢统只是用于与中哀心安全设备交互傲信息，与用户的芭业务系统毫无牵拔连。当中心端安版全安全服务器不澳启用时，客户端靶用户也可正常操绊作其业务系统。败所以，若遇意外摆情况要恢复原有哀系统，只需将安熬全服务器关机，凹即可立即恢复到板原有网络状况。拜 暗为了让ACA系白统的部署达到预隘期的目标，系统败针对各种用户对矮相关业务的访问伴方式有针对性地佰添加了ACA系败统访问控制策略靶，但不对所有策疤略生效，只对用翱户策略进行生效按，确保主机的通熬信可以正常。如巴果有意外情况发凹

10、生，拔只需拆出ACA昂安全服务器与C敖ISCO 45昂07之间的抓包扳线路即可恢复原芭有系统网络环境办。 搬ACA系统部署伴完成后如有意外绊情况发生，断开盎ACA安全服务笆器的抓包连接，吧即可恢复原有业颁务运营支撑系统蔼网络环境、应用霸环境。 拌解决方案特点罢 坝该BOSS系统蔼安全认证审计方瓣案具有如下特点霸： 班1. 客户端采扮用USB令牌硬熬件作为身份证。岸由于以前的口令安/用户名认证机班制不便于管理，笆容易造成滥用，斑该安全系统采用颁硬件作为身份证伴，并可保证不被颁复制和读取，一办旦出现丢失，管盎理员在中心可以百马上进行作废处哀理。 疤2. 对系统管坝理员、操作员、熬厂商按开发人员进行

11、跨斑业务平台的集中颁审计。审计管理捌员可以根据需要柏进行审计，从而搬大大增强了系统柏的审计能力，为皑事后的故障分析吧提供了充分的证疤据。 哎3. 集中管理肮访问授权便于控柏制。安全系统管昂理人员可以随时盎对每个客户端进斑行策略配置和修盎改，允许访问哪般些服务器，不允俺许访问哪些，并奥可详细控制访问傲哪些端口号、哪扳些数据需要审计癌、是上行数据或坝下行数据、哪些爸网络需要保护、拌哪些客户端网络扒可以自由访问等跋。 胺4. 作为防火捌墙的补充，弥补柏防火墙的缺陷。八防火墙只能基于板远程主机（IP把地址和端口号）瓣进行控制，而不案能针对操作人员俺本身进行权限控疤制，同时翱，防火墙的审计癌功能也很薄弱，啊ACA系统则能阿很好地解决这两靶个问题。 暗5. 对原有系胺统无影响。中心矮端的ACA安全袄服务器是并接在唉网络上的，用户暗数据流不是穿过坝该设备。若要恢疤复原有系统，只扮需将安全服务器挨关机，即可立即鞍恢复到原有网络肮状况。 癌6. 自动切断扒非法访问。一旦疤发现非法连接，把安全安全服务器稗自动发出切断信鞍息给访问者和被扒访问者，断开该艾连接。弥补了其艾他安全系统的漏熬洞，进一步加强埃了系统的安全性敖。 矮7. 基于X.扒5