运维操作审计(堡垒主机)在电信运营商领域的应用
来源:中国电子政务网 更新时间:2012-09-25
业务现状及需求分析
  
  对运维过程缺少有效的技术监管手段
  
  电信行业组织机构庞大,业务繁多。然而,仅仅以制度和规范进行约束、以人工方式进行监督的运维安全及内控风险管理模式效果欠佳,效率低下,缺乏行之有效的技术辅助手段。
  
  运维入口太多、运维通道独立、运维工具分散
  
  在数据中心常规运维模式下,各层各级运维人员基于本地客户端启用RDP/VNC/TELENT等远程协议工具直接访问数据中心目标设备,展开会话操作。这种运维模式的劣势是运维入口过多(一台客户端提供一个运维入口);运维通道相互独立(需要为不同的协议工具建立不同的运维通道);运维工具部署分散(协议工具分别安装于各运维客户端)。因此,颇有一些电信企业目前面临着网内运维环境安全难以管理的局面。
  
  补充4A平台,运维管控全覆盖
  
  早些时候,部分电信企业部署了4A平台,但由于历史原因,仍有很多业务运行系统无法整合到4A平台下统一运维,给安全运维管理带来隐患。
  
  行业新标准提出多人核实管理机制
  
  行业安全等级保护基本要求规定,对如数据中心核心设备及关键业务系统等高风险运维操作,需采用多人核实机制(即在同时获得两人以上授权前提下,才能实施相应会话),以提升运维操作行为合规性控制的细粒度。
  
  审计手段不全面,审计信息不直观
  
  现有的审计手段基于操作系统日志进行审计,只能定位到访问设备的IP地址、用户、时间等基本信息,无法准确、直观地追溯运维人员在目标设备上的会话过程,无法对事故原因进行客观还原。
  
  方案概述及部署
  
  针对电信运营商领域的业务需求及业务现状,德讯科技提供了一套IT设施运维操作审计(堡垒主机)解决方案。方案采用“DCLive+ICS”联合部署模式,为各地市级运维人员提供一个统一的操作平台,突破地域、时空、时间的限制,基于WEB浏览器即可实现如字符型会话、图形访问、数据库管理及其它应用类运维操作等相关运维需求。
  
  此外,方案为数据中心管理人员提供一个集中化的审计平台:事中可实时监视系统内所有会话访问与操作行为,事后第一时间可及时审查整个运维过程。该方案从技术上保障了电信行业数据中心“分布式运维操作,集中式监控审计”的安全管理目标。
  
  本方案部署如图1所示:

图1 德讯科技运维操作审计(堡垒主机)解决方案部署图

  德讯科技IT设施运维操作审计(堡垒主机)解决方案具备以下部署特点:
  
  利用原有网络拓扑架构,安装部署简便,无需加装任何客户端代理,不影响任何业务数据流;
  
  将ICS设备分布式部署于各地级市,实现本地化运维,独立化操作,互不干扰;
  
  部署两台ICS设备,共同分担局域网内并发会话的压力,实现各分支网络负载均衡;
  
  将DCLive管理平台部署于省级中心机房,实现对下级分支机构所有运维过程的集中监视、控制、管理与审计;
  
  HA部署主备两台DCLive设备,以保障数据完整性以及整个系统的防灾恢复。
  
  应用价值
  
  提供统一的运维平台
  
  方案提供统一的WEB管理入口,对登陆用户身份的合法性实施统一认证;系统自带字符类/图形类/应用类多种运维工具,无需运维客户端即可自行安装,避免运维过程中出现工具不全面,版本不兼容等问题;支持会话代理访问通道的建立,改变原有本地客户端直接发起会话的运维模式,实现对运维过程的有效监控与审计。
  
  双人授权访问控制
  
  依据行业安全等级保护标准,方案能够实现双人授权访问控制策略管理。权限范围内的任何一人登陆运维平台,即使通过身份认证,也不能独自执行会话操作,必须要得到策略内另一用户的授权。系统支持本地口令输入及远程身份认证两种授权方式。主要通过提升授权管理的细粒度,保障核心设备、关键业务以及第三方运维操作的合规性、安全性。
  
  事后全面审计,保证操作留痕
  
  方案提供网内运维管理全生命周期的审计,即采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程,支持对字符、图形、数据库、WEB应用等多种类型会话的全面审计。审计结果以操作日志及录像相结合的形式呈现,符合4W(When/Where/Who/What)原则。同时,支持录像回放、SQL语句、关键字符与审计录像关联定位与检索,实现运维操作过程的快速定位、精确跟踪以及真实重现,协助审计人员对非法运维操作节点的排查及故障责任的追溯,提升数据中心精细化、规范化的运维安全管理水平。