通信運營商運維4A管控策略淺析

楊衛(wèi)紅+張薇

【摘要】 隨著通信和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)運維管理的規(guī)范化和安全性要求越來越高。本文結(jié)合運營商網(wǎng)絡(luò)運維管理的現(xiàn)狀，對運維的4A管控策略進行探討分析，提出安全管控系統(tǒng)部署的建議。

【關(guān)鍵字】 網(wǎng)絡(luò)安全 管控平臺

一、網(wǎng)絡(luò)及信息安全管控需求

運營商雖然安全設(shè)備眾多，但缺少集中管理體系及統(tǒng)籌全網(wǎng)的安全管控手段；針對安全威脅存在安全事件監(jiān)控不足、排查困難等問題。

工信部考核要求（工信部保函[2015]5號“2015年網(wǎng)絡(luò)與信息安全”考核要點與評分標準），明確要求將集中賬號管理、認證、授權(quán)、審計（4A）平臺立項納入2015年基礎(chǔ)電信運營商，網(wǎng)絡(luò)與信息安全責任考核。

二、4A管控策略分析

1、賬號管理。帳號管理包括主帳號和從帳號，以及和帳號相關(guān)的可在4A系統(tǒng)中集中管理的帳號屬性。主帳號是4A系統(tǒng)中標識唯一自然人的ID，其范圍包括內(nèi)部員工帳號及外部工作人員帳號。從帳號是可獲得對資源訪問權(quán)的帳號。資源包括系統(tǒng)資源（主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、其他）和應(yīng)用資源兩大類。通過4A系統(tǒng)創(chuàng)建或?qū)胫髻~號，制定并維護主從賬號的對應(yīng)關(guān)系，制定主從賬號的密碼策略、對資源的訪問登錄控制策略、以及主從賬號生命周期的管理策略等。

2、認證管理。認證包括主帳號身份認證，即用戶登錄4A集中管理系統(tǒng)的認證；以及從帳號認證，即用戶訪問被管資源時的認證。用戶在訪問被管理資源之前首先需要通過主帳號認證，然后根據(jù)主帳號的授權(quán)關(guān)系，獲得訪問被管資源的相應(yīng)權(quán)限。用戶訪問被管資源時，由4A集中管理系統(tǒng)的單點登錄模塊協(xié)助其完成從帳號的認證。通過4A集中管理系統(tǒng)的統(tǒng)一認證服務(wù)器提供統(tǒng)一的認證方式和認證策略，來識別用戶身份的合法性。認證采用模塊化設(shè)計，支持靜態(tài)密碼認證、強認證及動態(tài)認證、靜態(tài)動態(tài)組合認證、以及二次認證等靈活的認證方式。

3、授權(quán)管理。對用戶在被管資源中能夠行使的權(quán)限進行分配。所有被管資源首先在4A集中管理系統(tǒng)上進行登記，包括資源名稱、資源地址、連接方式、資源類型、通信協(xié)議，相關(guān)參數(shù)等。通過4A系統(tǒng)的資源訪問授權(quán)、運維操作授權(quán)、系統(tǒng)功能授權(quán)等實現(xiàn)對資源的訪問權(quán)限控制。通過人工或者Excel模板，錄入授權(quán)內(nèi)容，批量導(dǎo)入授權(quán)關(guān)系。

4、審計管理。通過Syslog、SNMP、數(shù)據(jù)庫（ODBC/ JDBC）、文件（FTP/SFTP）等多種方式對賬號登錄、授權(quán)、認證、應(yīng)急切換等管理操作日志，系統(tǒng)的數(shù)據(jù)運營狀態(tài)，被管資源的登錄、訪問、操作日志等信息進行收集和存儲。通過屏幕錄像錄屏功能實時采錄用戶的運維操作行為時的界面錄像數(shù)據(jù)。通過一系列日志、信息和數(shù)據(jù)的采集，實現(xiàn)對訪問敏感數(shù)據(jù)、執(zhí)行關(guān)鍵操作及其結(jié)果進行真實、全面的記錄，對業(yè)務(wù)操作行為、系統(tǒng)操作行為、4A自管理操作行為及4A數(shù)據(jù)運營狀態(tài)進行詳細記錄，提供可用于責任追蹤的相關(guān)證據(jù)及審計管理支撐手段。

5、防繞行管理。通過防繞行管理加強安全審計，杜絕運維人員繞行4A管控平臺，達到集中使用4A管控平臺的目的。實現(xiàn)防繞行管理，可以采用具備流量采集、分析與阻斷功能的防繞行設(shè)備，輔助并引導(dǎo)維護人員統(tǒng)一登錄4A管控平臺進行日常運維操作；可以在系統(tǒng)的防火墻或網(wǎng)絡(luò)設(shè)備上設(shè)置訪問控制策略；也可以通過采集系統(tǒng)日志，對系統(tǒng)日志進行分析，發(fā)現(xiàn)繞行行為并進行預(yù)警。

三、網(wǎng)絡(luò)系統(tǒng)接入4A平臺策略

現(xiàn)有網(wǎng)絡(luò)系統(tǒng)接入4A策略，主要分為四類：

第一類：基本不用改造，要接入的網(wǎng)絡(luò)系統(tǒng)已在4A系統(tǒng)的承載網(wǎng)中。

這類系統(tǒng)只需要調(diào)整與4A承載網(wǎng)之間的防火墻訪問控制策略，做到4A系統(tǒng)到被管資源的管理端口放開、網(wǎng)絡(luò)可達。

第二類：網(wǎng)絡(luò)系統(tǒng)的網(wǎng)管系統(tǒng)需要進行改造。

這類網(wǎng)絡(luò)系統(tǒng)的網(wǎng)管網(wǎng)與4A系統(tǒng)的承載網(wǎng)不是同一張網(wǎng)絡(luò)，需要對其網(wǎng)管系統(tǒng)改造接入4A系統(tǒng)的承載網(wǎng)，實現(xiàn)網(wǎng)絡(luò)的互通。

第三類：統(tǒng)一出口方式接入4A系統(tǒng)。

現(xiàn)有網(wǎng)絡(luò)系統(tǒng)因歸屬部門、業(yè)務(wù)種類等因素存在使用專網(wǎng)承載的情況。專網(wǎng)是單獨的網(wǎng)絡(luò)，使用的是私網(wǎng)地址。承載在專網(wǎng)上的網(wǎng)絡(luò)系統(tǒng)需要在專網(wǎng)與4A承載網(wǎng)的統(tǒng)一出口處部署相應(yīng)的接入機制和管控策略，進而接入4A系統(tǒng)。

第四類：專線方式接入4A系統(tǒng)。

這類大多是運營商早期建設(shè)的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)元多，網(wǎng)絡(luò)復(fù)雜，沒有網(wǎng)管系統(tǒng)或者網(wǎng)管系統(tǒng)無法覆蓋到所有網(wǎng)元。

四、結(jié)束語

及時引入4A管控系統(tǒng)，對網(wǎng)絡(luò)運維進行規(guī)范化可控的操作管理，對敏感信息和核心數(shù)據(jù)進行統(tǒng)一的歸口管理和流轉(zhuǎn)控制，做到出了問題可以追溯、精準定位，將大大減少網(wǎng)絡(luò)安全及信息泄露問題。

參 考 文 獻

[1]工信部通信行業(yè)標準《帳號、授權(quán)、認證和審計（4A）集中管理系統(tǒng)技術(shù)要求》

[2]李漢章，電信業(yè)務(wù)支撐網(wǎng)4A建設(shè)及應(yīng)用研究，山東大學(xué)，2010，chi，TP393.08；

[3]中國移動通信企業(yè)標準《中國移動管理信息系統(tǒng)4A系統(tǒng)技術(shù)規(guī)范》（QB-X-024-2009）。