安全管理平台+

安全运行管理平台:此处禁止绕行


发布时间 2019-03-13   来源:商业电讯  


摘要:某移动公司部署启明星辰天玥防绕行产品之后,再也没有发生非法绕行安全运行管理平台的事件,实现了安全运行管理平台集中访问控制、集中审计的根本要求。

 

中国移动是中国领先的电信运营商,世界500强企业。中国移动通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高其信息安全保障水平。为了保证网络安全,提高安全保护水平,将安全管理工作流程化,中国移动总部发布了安全运行管理系统规范,为安全管理工作提供了一个支撑平台。

 

为配合中国移动安全运行管理系统信息化建设,启明星辰为中国移动某省公司提供了安全管理平台解决方案。该解决方案能够确保该移动公司中合法的人做合法的事。按照“事先授权、事中监控、事后审计”的思路,有机结合账号口令集中管理和日志管理与审计、集中接入控制系统、客户端集中发布等手段,对内部维护人员和厂家人员操作业务系统和网管系统的全过程实施管控,最终实现系统内部的设备及应用系统的统一账号管理、统一认证、统一授权和统一审计。

 

但在实际推广安全运行管理平台的过程中,针对让所有操作必须通过集中控制的一个节点,即安全运行管理平台来实现对内部人员、厂家人员维护操作进行管控的建设思路没有完全实现。实际情况下发现大量绕行登录情况,给平台的推广增加了难度。

 

在运维人员的实际工作中,不论是数据库服务器还是类UNIX服务器、网络安全设备等一般都可以通过客户端直接访问或者通过标准的运维协议直接通过网络进行访问。在安全运行管理平台未上线时,上述访问方式毫无疑问且是必经之路。但随着安全运行管理平台的上线运营,要求所有维护人员首先要登录到安全运行管理平台,然后通过该平台的单点登录功能再访问后台的服务器、网络安全设备等资源。这样一来,运维人员的操作势必要被安全运行管理平台全部审计记录下来,故此很多运维人员从心里上对此有抵触,仍采用原有直接访问服务器的方式进行维护工作,这种行为被称为绕行登录。


为了杜绝维护人员绕行安全运行管理平台,达到集中使用安全运行管理平台的目的,项目中又采用启明星辰防绕行解决技术方案,部署了启明星辰防绕行产品,辅助并引导维护人员统一登录安全运行管理平台进行日常运维操作,最终使该省系统维护人员对安全运行管理平台的使用率达到了100%。


启明星辰防绕行解决方案是启明星辰网络安全审计的组成部分,由专业的防绕行产品线进行产品支撑。该解决方案在系统的维护区局域网出口处放置启明星辰天玥防绕行审计引擎,当用户直接向被安全运行管理平台所管理的资源发起登录连接请求时,审计引擎判断是否为非法登录,如果是非法登录,则向用户和被管资源同时发送拒绝连接指令,及时阻断非法绕行访问登录和操作。

 


 

用户通过局域网交换机直接访问资源,天玥防绕行产品进行判断,如果符合放行策略,就对用户进行放行,如图示绿色箭头;如果符合阻断策略,就执行双向阻断,如图红色箭头;达到了最终引导用户从安全运行管理平台登录资源设备的目的。


在部署启明星辰防绕行产品之前,该省移动安全运行管理平台共接入48套业务系统、1090个设备资源,管理自然人主账号810个、从账号31785个,但是日平均在线用户只有60人左右。随着防绕行产品的上线,安全运行管理平台的逐渐推广,资源不断的新增接入,以及天玥防绕行系统阻断策略的逐渐启用,安全运行管理平台的使用频率及次数大大提高,如下是在线数据比较:

 

月份

登录次数(次)

2010年4月

2379

2010年6月

5055

2010年7月

10550

2011年6月

34316

 

启明星辰防绕行产品的部署,极大的提高了安全运行管理平台的使用率,有效的杜绝了维护人员绕过安全运行管理平台访问资源情况的发生。


以2011年1月1日到2011年9月6日为例,阻断Telnet、SSH、Oracle、Informix次数如下表:

 

协议

阻断次数(次)

Telnet

824

SSH

1681

Oracle

9579

Informix

2377

 

该移动公司部署启明星辰天玥防绕行产品之后,再也没有发生非法绕行安全运行管理平台的事件,实现了安全运行管理平台集中访问控制、集中审计的根本要求。


(来源:商业电讯)


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。