淺析省級(jí)BOSS系統(tǒng)安全認(rèn)證審計(jì)解決方案

1、BOS繇統(tǒng)是中國移動(dòng)面向用戶服務(wù)的綜合性業(yè)務(wù)支撐系統(tǒng)，含有眾多敏感數(shù)據(jù)。為了確保系統(tǒng)安全，部分省級(jí)公司實(shí)施了安全認(rèn)證審計(jì)的綜合安全解決方案，取得了比較好的效果。目前絕大多數(shù)移動(dòng)公司已經(jīng)在網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)安全防護(hù)方面部署了相關(guān)的安全產(chǎn)品，但是這些是針對(duì)外部防護(hù)安全，而缺少在應(yīng)用級(jí)安全防護(hù)措施，例如非授權(quán)用戶訪問、存在一部分公用賬戶、管理員對(duì)BOSSI統(tǒng)的管理維護(hù)和對(duì)數(shù)據(jù)的讀寫缺少審計(jì)日志等，因而有可能出現(xiàn)用戶詳單外泄或用戶數(shù)據(jù)被篡改等事件發(fā)生后無法追查，進(jìn)而給移動(dòng)公司造成較大的經(jīng)濟(jì)損失和社會(huì)影響。為從根本上解決上述安全隱患，業(yè)內(nèi)不少廠家提出了不同的解決辦法，下面以某省移動(dòng)公司為例介紹其采用的ACA

2、(Authenti-cationControlAudit)安全認(rèn)證解決方案。針對(duì)該移動(dòng)公司的業(yè)務(wù)運(yùn)營支撐系統(tǒng)已部署的安全產(chǎn)品，結(jié)合目前的安全需求，該移動(dòng)通信公司提出在BOS繇統(tǒng)上建立的安全審計(jì)認(rèn)證系統(tǒng)必須具備如下功能：1. 加強(qiáng)用戶身份防護(hù)，防止合法用戶身份輕易泄漏；2. 實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)訪問的操作過程進(jìn)行審計(jì)；3. 對(duì)業(yè)務(wù)運(yùn)營支撐系統(tǒng)內(nèi)重要業(yè)務(wù)主機(jī)之間的通信進(jìn)行審計(jì)；4. 及時(shí)對(duì)業(yè)務(wù)系統(tǒng)的非法操作和訪問做出響應(yīng)；5. 為用戶提供統(tǒng)一的遠(yuǎn)程維護(hù)登錄接口，包括某些特殊情況下處理突發(fā)事件提供統(tǒng)一登錄接口。總體方案設(shè)計(jì)通過分析該省業(yè)務(wù)系統(tǒng)現(xiàn)狀及安全審計(jì)認(rèn)證需求，決定采用以下技術(shù)方式實(shí)現(xiàn)。具體實(shí)現(xiàn)邏輯架

3、構(gòu)圖如圖1所示：圖1業(yè)務(wù)運(yùn)營支攆系統(tǒng)數(shù)據(jù)安全實(shí)現(xiàn)邏輯結(jié)構(gòu)圖1 .在整個(gè)應(yīng)用平臺(tái)之前增加統(tǒng)一的身份認(rèn)證安全模塊，對(duì)系統(tǒng)管理員、操作員及廠商維護(hù)人員等內(nèi)部合法用戶身份進(jìn)行認(rèn)定。2 .在整個(gè)應(yīng)用平臺(tái)之前增加統(tǒng)一的訪問控制安全模塊，結(jié)合系統(tǒng)管理員、操作員及廠商維護(hù)人員等內(nèi)部合法用戶的身份賦予其不同的訪問權(quán)限并對(duì)其訪問相關(guān)業(yè)務(wù)主機(jī)進(jìn)行控制；3 .在整個(gè)應(yīng)用平臺(tái)之前增加統(tǒng)一的應(yīng)用審計(jì)安全模塊，對(duì)系統(tǒng)管理員、操作員及廠商維護(hù)人員等內(nèi)部合法用戶訪問相關(guān)業(yè)務(wù)主機(jī)的操作進(jìn)行日志記錄并提供事后的安全審計(jì)報(bào)告。該移動(dòng)公司業(yè)務(wù)系統(tǒng)安全產(chǎn)品的部署如圖2所示。其中被保護(hù)的應(yīng)用都通過直接或者是間接的方式接入BOSS（統(tǒng)核心交

4、換機(jī)，并且兩臺(tái)核心交換機(jī)之間做了負(fù)載均衡。JJJJJJBOSS系統(tǒng)審計(jì)中心Jan3審計(jì)、管理控制S M CServer業(yè)冬運(yùn)營支撐系坡控制通信控制造信iCA安全期務(wù)器以辦公區(qū)域及地市1 維護(hù)，操作人員ACA安全.服務(wù)器B圖2業(yè)務(wù)運(yùn)營支撐系統(tǒng)安全產(chǎn)品部署示意圖 為審計(jì)所有相關(guān)的數(shù)據(jù)，這里部署了兩臺(tái)ACA安全服務(wù)器，其抓報(bào)端口分別通過SPAN1接兩臺(tái)交換機(jī)上，這樣就可以通過偵聽、抓報(bào)的方式得到相關(guān)的數(shù)據(jù)，而且對(duì)原有系統(tǒng)不產(chǎn)生任何影響。 為了對(duì)合法用戶進(jìn)行身份認(rèn)證，在業(yè)務(wù)運(yùn)營支撐系統(tǒng)內(nèi)部署了ACA管理中心，通過ACA管理中心可以為合法的用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）發(fā)放相關(guān)的數(shù)字證書令牌

5、。 通過部署ACA管理中心，我們可以對(duì)相關(guān)的合法用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）進(jìn)行訪問授權(quán)，通過他們與ACA安全服務(wù)器的控制通信接口下發(fā)相關(guān)的訪問授權(quán)策略，由ACA安全服務(wù)器進(jìn)行相應(yīng)的用戶策略控制。 要進(jìn)行操作審1t的對(duì)象在ACAt理中心進(jìn)行審計(jì)策略設(shè)置并下發(fā)到AC砥全服務(wù)器進(jìn)行與策略相關(guān)的抓報(bào)審計(jì)工作，抓到的相關(guān)數(shù)據(jù)包提交到ACA審計(jì)中心并存儲(chǔ)到相關(guān)的存儲(chǔ)設(shè)備中以備事后審計(jì)。 當(dāng)緊急事件發(fā)生時(shí)，如果管理員或開發(fā)廠商不在公司，需要用撥號(hào)的方式接入公司內(nèi)網(wǎng)，進(jìn)行系統(tǒng)維護(hù)，ACA系統(tǒng)可以支持如下解決方案：在核心交換機(jī)接入相關(guān)數(shù)量的堡壘主機(jī)來提供接入通道。 由于要對(duì)使用撥號(hào)方式訪問公司內(nèi)

6、部業(yè)務(wù)主機(jī)的用戶進(jìn)行審計(jì)與控制，所有通過堡壘主機(jī)訪問公司內(nèi)部業(yè)務(wù)主機(jī)的所有數(shù)據(jù)流必須經(jīng)過核心交換機(jī)，這樣安全服務(wù)器就可以對(duì)其進(jìn)行控制與審計(jì)。系統(tǒng)構(gòu)建系統(tǒng)各主要組成部分及主要功能如下:1. ACA安全服務(wù)器提供客戶登錄認(rèn)證、權(quán)限控制、抓包日志記錄、阻斷非法連接等功能。2. ACA管理中心提供主機(jī)與用戶的登記和管理、主機(jī)與用戶安全策略的管理、數(shù)據(jù)過濾管理、開放主機(jī)管理、信任客戶IP管理、安全服務(wù)器策略管理、系統(tǒng)設(shè)置、安全服務(wù)器配置管理、實(shí)時(shí)監(jiān)控管理、用戶登錄審計(jì)管理等功能。3. ACA審計(jì)中心提供存儲(chǔ)審計(jì)日志、IP包審計(jì)管理、數(shù)據(jù)庫備份管理、查看導(dǎo)出數(shù)據(jù)等功能。4. AC盼戶端提供基于USB硬件的

7、身份認(rèn)證、用戶授權(quán)依據(jù)、登錄ACA安全服務(wù)器等功能。ACA安全服務(wù)器部署在核心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的交匯處（路由器或交換機(jī)上），并接在網(wǎng)絡(luò)設(shè)備上，網(wǎng)絡(luò)設(shè)備將外來數(shù)據(jù)流SPAN（鏡像）給ACA安全服務(wù)器。ACA系統(tǒng)的審計(jì)數(shù)據(jù)存放在ACA審計(jì)中心服務(wù)器內(nèi)，并通過ACA審計(jì)中心控制臺(tái)對(duì)記錄下來的審計(jì)日志進(jìn)行處理。AC蛤戶端是一套客戶端軟件和一個(gè)USB令牌，軟件安裝在客戶端用戶的PC上，插入U(xiǎn)S的牌,登錄ACA安全服務(wù)器進(jìn)行認(rèn)證，之后即可進(jìn)行其正常的、權(quán)限內(nèi)的業(yè)務(wù)操作。如果越權(quán)訪問，將會(huì)斷開連接，并返回“拒絕連接”的信息。上述四個(gè)部分組成的系統(tǒng)，都是在網(wǎng)絡(luò)層進(jìn)行工作，不需要嵌入用戶的業(yè)務(wù)系統(tǒng)，安裝配置簡(jiǎn)單，

8、應(yīng)用環(huán)境要求少，極易進(jìn)行測(cè)試、試用和廣泛應(yīng)用。系統(tǒng)部署風(fēng)險(xiǎn)分析由于安全服務(wù)器是通過SPAN行接在網(wǎng)絡(luò)中，所以用戶數(shù)據(jù)流不是穿過該設(shè)備，而是旁路，安全設(shè)備只是監(jiān)聽數(shù)據(jù)流，對(duì)非法數(shù)據(jù)做出反應(yīng)，即使安全設(shè)備死機(jī)也不會(huì)對(duì)用戶業(yè)務(wù)造成影響（當(dāng)然，此時(shí)的安全功能自然消失）?？蛻舳讼到y(tǒng)只是用于與中心安全設(shè)備交互信息，與用戶的業(yè)務(wù)系統(tǒng)毫無牽連。當(dāng)中心端安全安全服務(wù)器不啟用時(shí)，客戶端用戶也可正常操作其業(yè)務(wù)系統(tǒng)。所以，若遇意外情況要恢復(fù)原有系統(tǒng)，只需將安全服務(wù)器關(guān)機(jī)，即可立即恢復(fù)到原有網(wǎng)絡(luò)狀況。為了讓ACA系統(tǒng)的部署達(dá)到預(yù)期的目標(biāo)，系統(tǒng)針對(duì)各種用戶對(duì)相關(guān)業(yè)務(wù)的訪問方式有針對(duì)性地添加了ACA系統(tǒng)訪問控制策略，但不對(duì)

9、所有策略生效，只對(duì)用戶策略進(jìn)行生效，確保主機(jī)的通信可以正常。如果有意外情況發(fā)生，只需拆出ACA安全服務(wù)器與CISCO4507之間的抓包線路即可恢復(fù)原有系統(tǒng)網(wǎng)絡(luò)環(huán)境。ACA系統(tǒng)部署完成后如有意外情況發(fā)生，斷開ACA安全服務(wù)器的抓包連接，即可恢復(fù)原有業(yè)務(wù)運(yùn)營支撐系統(tǒng)網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境。解決方案特點(diǎn)該BOS繇統(tǒng)安全認(rèn)證審計(jì)方案具有如下特點(diǎn)：1 .客戶端采用USB令牌硬件作為身份證。由于以前的口令/用戶名認(rèn)證機(jī)制不便于管理，容易造成濫用，該安全系統(tǒng)采用硬件作為身份證，并可保證不被復(fù)制和讀取，一旦出現(xiàn)丟失，管理員在中心可以馬上進(jìn)行作廢處理。2 .對(duì)系統(tǒng)管理員、操作員、廠商開發(fā)人員進(jìn)行跨業(yè)務(wù)平臺(tái)的集中審計(jì)

10、。審計(jì)管理員可以根據(jù)需要進(jìn)行審計(jì)，從而大大增強(qiáng)了系統(tǒng)的審計(jì)能力，為事后的故障分析提供了充分的證據(jù)。3 .集中管理訪問授權(quán)便于控制。安全系統(tǒng)管理人員可以隨時(shí)對(duì)每個(gè)客戶端進(jìn)行策略配置和修改，允許訪問哪些服務(wù)器，不允許訪問哪些，并可詳細(xì)控制訪問哪些端口號(hào)、哪些數(shù)據(jù)需要審計(jì)、是上行數(shù)據(jù)或下行數(shù)據(jù)、哪些網(wǎng)絡(luò)需要保護(hù)、哪些客戶端網(wǎng)絡(luò)可以自由訪問等。4 .作為防火墻的補(bǔ)充，彌補(bǔ)防火墻的缺陷。防火墻只能基于遠(yuǎn)程主機(jī)（IP地址和端口號(hào)）進(jìn)行控制，而不能針對(duì)操作人員本身進(jìn)行權(quán)限控制，同時(shí)，防火墻的審計(jì)功能也很薄弱，ACA系統(tǒng)則能很好地解決這兩個(gè)問題。5 .對(duì)原有系統(tǒng)無影響。中心端的ACA安全服務(wù)器是并接在網(wǎng)絡(luò)上的，用戶數(shù)據(jù)流不是穿過該設(shè)備。若要恢復(fù)原有系統(tǒng)，只需將安全服務(wù)器關(guān)機(jī)，即可立即恢復(fù)到原有網(wǎng)絡(luò)狀況。6 .自動(dòng)切斷非法訪問。一旦發(fā)現(xiàn)非法連接，安全安全服務(wù)器自動(dòng)發(fā)出切斷信息給訪問者和被訪問者，斷開該連接。彌補(bǔ)了其他安全系統(tǒng)的漏洞，進(jìn)一步加強(qiáng)了系統(tǒng)的安全性。7 .基于X.509數(shù)字證書的強(qiáng)身份認(rèn)證。不論訪問中心的哪個(gè)服務(wù)器，都需要到安全服務(wù)器進(jìn)行認(rèn)證，同時(shí)服務(wù)器本身的認(rèn)證仍是需要的，這樣更加強(qiáng)了系統(tǒng)的安全性。ACA審計(jì)中心控制臺(tái)ACA管理中心I受