淺析省級BOSS系統(tǒng)安全認證審計解決方案

1、BOS繇統(tǒng)是中國移動面向用戶服務的綜合性業(yè)務支撐系統(tǒng)，含有眾多敏感數(shù)據(jù)。為了確保系統(tǒng)安全，部分省級公司實施了安全認證審計的綜合安全解決方案，取得了比較好的效果。目前絕大多數(shù)移動公司已經在網(wǎng)絡級、系統(tǒng)級安全防護方面部署了相關的安全產品，但是這些是針對外部防護安全，而缺少在應用級安全防護措施，例如非授權用戶訪問、存在一部分公用賬戶、管理員對BOSSI統(tǒng)的管理維護和對數(shù)據(jù)的讀寫缺少審計日志等，因而有可能出現(xiàn)用戶詳單外泄或用戶數(shù)據(jù)被篡改等事件發(fā)生后無法追查，進而給移動公司造成較大的經濟損失和社會影響。為從根本上解決上述安全隱患，業(yè)內不少廠家提出了不同的解決辦法，下面以某省移動公司為例介紹其采用的ACA

2、(Authenti-cationControlAudit)安全認證解決方案。針對該移動公司的業(yè)務運營支撐系統(tǒng)已部署的安全產品，結合目前的安全需求，該移動通信公司提出在BOS繇統(tǒng)上建立的安全審計認證系統(tǒng)必須具備如下功能：1. 加強用戶身份防護，防止合法用戶身份輕易泄漏；2. 實現(xiàn)對應用系統(tǒng)訪問的操作過程進行審計；3. 對業(yè)務運營支撐系統(tǒng)內重要業(yè)務主機之間的通信進行審計；4. 及時對業(yè)務系統(tǒng)的非法操作和訪問做出響應；5. 為用戶提供統(tǒng)一的遠程維護登錄接口，包括某些特殊情況下處理突發(fā)事件提供統(tǒng)一登錄接口。總體方案設計通過分析該省業(yè)務系統(tǒng)現(xiàn)狀及安全審計認證需求，決定采用以下技術方式實現(xiàn)。具體實現(xiàn)邏輯架

3、構圖如圖1所示：圖1業(yè)務運營支攆系統(tǒng)數(shù)據(jù)安全實現(xiàn)邏輯結構圖1 .在整個應用平臺之前增加統(tǒng)一的身份認證安全模塊，對系統(tǒng)管理員、操作員及廠商維護人員等內部合法用戶身份進行認定。2 .在整個應用平臺之前增加統(tǒng)一的訪問控制安全模塊，結合系統(tǒng)管理員、操作員及廠商維護人員等內部合法用戶的身份賦予其不同的訪問權限并對其訪問相關業(yè)務主機進行控制；3 .在整個應用平臺之前增加統(tǒng)一的應用審計安全模塊，對系統(tǒng)管理員、操作員及廠商維護人員等內部合法用戶訪問相關業(yè)務主機的操作進行日志記錄并提供事后的安全審計報告。該移動公司業(yè)務系統(tǒng)安全產品的部署如圖2所示。其中被保護的應用都通過直接或者是間接的方式接入BOSS（統(tǒng)核心交

4、換機，并且兩臺核心交換機之間做了負載均衡。JJJJJJBOSS系統(tǒng)審計中心Jan3審計、管理控制S M CServer業(yè)冬運營支撐系坡控制通信控制造信iCA安全期務器以辦公區(qū)域及地市1 維護，操作人員ACA安全.服務器B圖2業(yè)務運營支撐系統(tǒng)安全產品部署示意圖 為審計所有相關的數(shù)據(jù)，這里部署了兩臺ACA安全服務器，其抓報端口分別通過SPAN1接兩臺交換機上，這樣就可以通過偵聽、抓報的方式得到相關的數(shù)據(jù)，而且對原有系統(tǒng)不產生任何影響。 為了對合法用戶進行身份認證，在業(yè)務運營支撐系統(tǒng)內部署了ACA管理中心，通過ACA管理中心可以為合法的用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）發(fā)放相關的數(shù)字證書令牌

5、。 通過部署ACA管理中心，我們可以對相關的合法用戶（系統(tǒng)管理員、操作員、廠商開發(fā)人員等）進行訪問授權，通過他們與ACA安全服務器的控制通信接口下發(fā)相關的訪問授權策略，由ACA安全服務器進行相應的用戶策略控制。 要進行操作審1t的對象在ACAt理中心進行審計策略設置并下發(fā)到AC砥全服務器進行與策略相關的抓報審計工作，抓到的相關數(shù)據(jù)包提交到ACA審計中心并存儲到相關的存儲設備中以備事后審計。 當緊急事件發(fā)生時，如果管理員或開發(fā)廠商不在公司，需要用撥號的方式接入公司內網(wǎng)，進行系統(tǒng)維護，ACA系統(tǒng)可以支持如下解決方案：在核心交換機接入相關數(shù)量的堡壘主機來提供接入通道。 由于要對使用撥號方式訪問公司內

6、部業(yè)務主機的用戶進行審計與控制，所有通過堡壘主機訪問公司內部業(yè)務主機的所有數(shù)據(jù)流必須經過核心交換機，這樣安全服務器就可以對其進行控制與審計。系統(tǒng)構建系統(tǒng)各主要組成部分及主要功能如下:1. ACA安全服務器提供客戶登錄認證、權限控制、抓包日志記錄、阻斷非法連接等功能。2. ACA管理中心提供主機與用戶的登記和管理、主機與用戶安全策略的管理、數(shù)據(jù)過濾管理、開放主機管理、信任客戶IP管理、安全服務器策略管理、系統(tǒng)設置、安全服務器配置管理、實時監(jiān)控管理、用戶登錄審計管理等功能。3. ACA審計中心提供存儲審計日志、IP包審計管理、數(shù)據(jù)庫備份管理、查看導出數(shù)據(jù)等功能。4. AC盼戶端提供基于USB硬件的

7、身份認證、用戶授權依據(jù)、登錄ACA安全服務器等功能。ACA安全服務器部署在核心網(wǎng)絡與其他網(wǎng)絡的交匯處（路由器或交換機上），并接在網(wǎng)絡設備上，網(wǎng)絡設備將外來數(shù)據(jù)流SPAN（鏡像）給ACA安全服務器。ACA系統(tǒng)的審計數(shù)據(jù)存放在ACA審計中心服務器內，并通過ACA審計中心控制臺對記錄下來的審計日志進行處理。AC蛤戶端是一套客戶端軟件和一個USB令牌，軟件安裝在客戶端用戶的PC上，插入US的牌,登錄ACA安全服務器進行認證，之后即可進行其正常的、權限內的業(yè)務操作。如果越權訪問，將會斷開連接，并返回“拒絕連接”的信息。上述四個部分組成的系統(tǒng)，都是在網(wǎng)絡層進行工作，不需要嵌入用戶的業(yè)務系統(tǒng)，安裝配置簡單，

8、應用環(huán)境要求少，極易進行測試、試用和廣泛應用。系統(tǒng)部署風險分析由于安全服務器是通過SPAN行接在網(wǎng)絡中，所以用戶數(shù)據(jù)流不是穿過該設備，而是旁路，安全設備只是監(jiān)聽數(shù)據(jù)流，對非法數(shù)據(jù)做出反應，即使安全設備死機也不會對用戶業(yè)務造成影響（當然，此時的安全功能自然消失）?？蛻舳讼到y(tǒng)只是用于與中心安全設備交互信息，與用戶的業(yè)務系統(tǒng)毫無牽連。當中心端安全安全服務器不啟用時，客戶端用戶也可正常操作其業(yè)務系統(tǒng)。所以，若遇意外情況要恢復原有系統(tǒng)，只需將安全服務器關機，即可立即恢復到原有網(wǎng)絡狀況。為了讓ACA系統(tǒng)的部署達到預期的目標，系統(tǒng)針對各種用戶對相關業(yè)務的訪問方式有針對性地添加了ACA系統(tǒng)訪問控制策略，但不對

9、所有策略生效，只對用戶策略進行生效，確保主機的通信可以正常。如果有意外情況發(fā)生，只需拆出ACA安全服務器與CISCO4507之間的抓包線路即可恢復原有系統(tǒng)網(wǎng)絡環(huán)境。ACA系統(tǒng)部署完成后如有意外情況發(fā)生，斷開ACA安全服務器的抓包連接，即可恢復原有業(yè)務運營支撐系統(tǒng)網(wǎng)絡環(huán)境、應用環(huán)境。解決方案特點該BOS繇統(tǒng)安全認證審計方案具有如下特點：1 .客戶端采用USB令牌硬件作為身份證。由于以前的口令/用戶名認證機制不便于管理，容易造成濫用，該安全系統(tǒng)采用硬件作為身份證，并可保證不被復制和讀取，一旦出現(xiàn)丟失，管理員在中心可以馬上進行作廢處理。2 .對系統(tǒng)管理員、操作員、廠商開發(fā)人員進行跨業(yè)務平臺的集中審計

10、。審計管理員可以根據(jù)需要進行審計，從而大大增強了系統(tǒng)的審計能力，為事后的故障分析提供了充分的證據(jù)。3 .集中管理訪問授權便于控制。安全系統(tǒng)管理人員可以隨時對每個客戶端進行策略配置和修改，允許訪問哪些服務器，不允許訪問哪些，并可詳細控制訪問哪些端口號、哪些數(shù)據(jù)需要審計、是上行數(shù)據(jù)或下行數(shù)據(jù)、哪些網(wǎng)絡需要保護、哪些客戶端網(wǎng)絡可以自由訪問等。4 .作為防火墻的補充，彌補防火墻的缺陷。防火墻只能基于遠程主機（IP地址和端口號）進行控制，而不能針對操作人員本身進行權限控制，同時，防火墻的審計功能也很薄弱，ACA系統(tǒng)則能很好地解決這兩個問題。5 .對原有系統(tǒng)無影響。中心端的ACA安全服務器是并接在網(wǎng)絡上的，用戶數(shù)據(jù)流不是穿過該設備。若要恢復原有系統(tǒng)，只需將安全服務器關機，即可立即恢復到原有網(wǎng)絡狀況。6 .自動切斷非法訪問。一旦發(fā)現(xiàn)非法連接，安全安全服務器自動發(fā)出切斷信息給訪問者和被訪問者，斷開該連接。彌補了其他安全系統(tǒng)的漏洞，進一步加強了系統(tǒng)的安全性。7 .基于X.509數(shù)字證書的強身份認證。不論訪問中心的哪個服務器，都需要到安全服務器進行認證，同時服務器本身的認證仍是需要的，這樣更加強了系統(tǒng)的安全性。ACA審計中心控制臺ACA管理中心I受