网内运维审计在电信行业中的应用
我国电信业正处于不断变革的时期,一直致力于市场格局的调整与优化,历经2008年最后一次拆分与重组,彻底打破由中国电信独家垄断经营的格局。现阶段国内市场由中国电信、中国联通与中国移动三家运营商共同主导,面向社会提供网络服务和信息服务,实现信息通信和资源共享。伴随信息技术的发展及应用的深入,电信运营商之间的市场竞争已逐步演变为信息安全保障服务能力的抗衡。
某市级电信运营商,为了应对电信行业运营格局的变化,对其行政组织机构进行调整,兼并与整合下属县级业务,原有市级数据中心升级为主中心机房,下属各县级地区机房改设为分支机构,同时新增BSS、EIP、OCS、计费结算等众多业务系统,实现业务数据及信息集中化整合。
该运营商现行总部与多分支机构的业务运营管理模式彻底打破了传统的“信息孤岛”,促使网络规模、业务能力与服务水平满足新增业务的需求,提升企业核心竞争力。然而,经过一段时间实际运行发现,分支机构众多导致运维操作分散,信息安全与风险管理不可控,此外,原本分散各地的运维模式根本无法满足当前集中化的管理体制。
针对该电信运营商运维业务量扩大的现状,及网内运维风险防控管理需求的提升,德讯科技基于改善运维操作管理水平及集中化控管能力,维护网内安全运维环境的目标,为其提供一套IT运营风险防范解决方案。
首先,本解决方案通过“ICS+DCLive”分布式联合部署架构突破地域、时空的距离限制,实现“运维操作独立化,审计管理集中化”(如下图所示)。
各地分支机构分别部署ICS安全运维网关设备,通过“旁路审计”与“代理访问”相结合模式,建立本地化运维通道对各自机房内计算机、服务器、网络路由等目标设备实施运维操作,独立化运行,互不干扰;主中心机房内DCLive管理平台,通过VPN或NAT端口映射模式实现与下级分支机构ICS通信,并通过WEB浏览器方式实时监管各分支机构当前所有操作行为,进行合规性审计,以及事后审计数据的查看。
该分布式网络部署模式严格遵循运营商制定的安全管理体制,从技术层面上实现众多分支机构网内运维安全的统一管理,对所有访问会话及操作行为实现集中管理、实时监控、全面审计,同时满足分支机构的未来扩展需求。 其次,针对该运营商运维人员繁多(包括中心、分支、代维以及厂商等),且运维角色繁杂(如操作系统帐户、网络设备帐户、业务系统、数据库帐户),造成运维分散不好管,操作行为不可控的现状。
本方案提供用户统一访问入口,支持本地平台身份认证机制,结合实际应用需求,还支持LDAP/AD域、Radius、RSA等第三方认证方式,有效确保用户的合法性。对于临时创建的用户,提供临时授权管理,对其操作范围、操作时间、操作权限进行约定与控制。基于运维管理平台支持单点登录、密码代填,支持合法用户一站式进入目标设备实施远程访问以及运维操作,无需再次输入管理帐户与密码,解决身兼多种运维角色导致帐户信息记忆混淆或遗忘的问题。
采取“统一帐户、统一认证、统一授权”的管理办法,对网内运维操作源头实施排查与控管,从根本上杜绝非法因素的入侵,有效提升安全防范与风险抵御能力。
此外,本方案基于自身安全性及高可靠性的考虑,主中心机房DCLive平台提供active-active部署方式的双机热备,实时保障数据同步与完整性,提供整个系统的防灾恢复。各分支机构设立两台ICS,构成一个设备组,共同分担局域网内多路并发会话的运维压力,实现负载均衡,缩短会话服务响应时间,可显著提升运维管理效率。
