摘要: 中国移动是中国领先的电信运营商,世界500强企业。中国移动通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高其信息安全保障水平。为了保证网络安全,提高安全保护水平,将安全管理工作流程化,中国移动总部发布了安全运行管理系统规...
中国移动是中国领先的电信运营商,世界500强企业。中国移动通信网络和支撑系统是国家基础信息设施,从国家要求和企业自身业务的要求考虑,都迫切需要提高其信息安全保障水平。为了保证网络安全,提高安全保护水平,将安全管理工作流程化,中国移动总部发布了安全运行管理系统规范,为安全管理工作提供了一个支撑平台。
为配合中国移动安全运行管理系统信息化建设,启明星辰为中国移动某省公司提供了安全管理平台解决方案。该解决方案能够确保该移动公司中合法的人做合法的事。按照“事先授权、事中监控、事后审计”的思路,有机结合账号口令集中管理和日志管理与审计、集中接入控制系统、客户端集中发布等手段,对内部维护人员和厂家人员操作业务系统和网管系统的全过程实施管控,最终实现系统内部的设备及应用系统的统一账号管理、统一认证、统一授权和统一审计。
但在实际推广安全运行管理平台的过程中,针对让所有操作必须通过集中控制的一个节点,即安全运行管理平台来实现对内部人员、厂家人员维护操作进行管控的建设思路没有完全实现。实际情况下发现大量绕行登录情况,给平台的推广增加了难度。
在运维人员的实际工作中,不论是数据库服务器还是类UNIX服务器、网络安全设备等一般都可以通过客户端直接访问或者通过标准的运维协议直接通过网络进行访问。在安全运行管理平台未上线时,上述访问方式毫无疑问且是必经之路。但随着安全运行管理平台的上线运营,要求所有维护人员首先要登录到安全运行管理平台,然后通过该平台的单点登录功能再访问后台的服务器、网络安全设备等资源。这样一来,运维人员的操作势必要被安全运行管理平台全部审计记录下来,故此很多运维人员从心里上对此有抵触,仍采用原有直接访问服务器的方式进行维护工作,这种行为被称为绕行登录。
为了杜绝维护人员绕行安全运行管理平台,达到集中使用安全运行管理平台的目的,项目中又采用启明星辰防绕行解决技术方案,部署了启明星辰防绕行产品,辅助并引导维护人员统一登录安全运行管理平台进行日常运维操作,最终使该省系统维护人员对安全运行管理平台的使用率达到了100%。
启明星辰防绕行解决方案是启明星辰网络安全审计的组成部分,由专业的防绕行产品线进行产品支撑。该解决方案在系统的维护区局域网出口处放置启明星辰天玥防绕行审计引擎,当用户直接向被安全运行管理平台所管理的资源发起登录连接请求时,审计引擎判断是否为非法登录,如果是非法登录,则向用户和被管资源同时发送拒绝连接指令,及时阻断非法绕行访问登录和操作。
用户通过局域网交换机直接访问资源,天玥防绕行产品进行判断,如果符合放行策略,就对用户进行放行,如图示绿色箭头;如果符合阻断策略,就执行双向阻断,如图红色箭头;达到了最终引导用户从安全运行管理平台登录资源设备的目的。
在部署启明星辰防绕行产品之前,该省移动安全运行管理平台共接入48套业务系统、1090个设备资源,管理自然人主账号810个、从账号31785个,但是日平均在线用户只有60人左右。随着防绕行产品的上线,安全运行管理平台的逐渐推广,资源不断的新增接入,以及天玥防绕行系统阻断策略的逐渐启用,安全运行管理平台的使用频率及次数大大提高,如下是在线数据比较:
启明星辰防绕行产品的部署,极大的提高了安全运行管理平台的使用率,有效的杜绝了维护人员绕过安全运行管理平台访问资源情况的发生。
以2011年1月1日到2011年9月6日为例,阻断Telnet、SSH、Oracle、Informix次数如下表:
该移动公司部署启明星辰天玥防绕行产品之后,再也没有发生非法绕行安全运行管理平台的事件,实现了安全运行管理平台集中访问控制、集中审计的根本要求。(原文)
游侠评论:
本文档开头写的是为客户安全运行管理平台(游侠的理解是运维堡垒机),会有运维人员抵触——因为会把所有行为进行审计,所以“又”采用了防绕行解决方案。话说游侠我一直认为防绕行应该放到运维堡垒机里面,作为其完整解决方案的一部分,但是,启明星辰把这个功能独立了。
启明星辰的这个方案,是把防绕行设备串入到网络中的,作用是:如果A账号符合策略,就允许其访问;如果不符合策略,就“双向阻断”。那么,问题:
放行的访问如何审计?telnet、http等明文协议是没问题的,但是SSH、RDP这样的加密协议、图形协议如何审计?如果不审计,明显不符合SOX的要求,对否?
看到下面提到“随着防绕行产品的上线,安全运行管理平台的逐渐推广,资源不断的新增接入,以及天玥防绕行系统阻断策略的逐渐启用,安全运行管理平台的使用频率及次数大大提高”。就是说,部署了防绕行设备之后,其根本结果还是要让运维用户登录到安全运行管理平台(运维堡垒机),那么又和前文说到的“运维人员的操作势必要被安全运行管理平台全部审计记录下来,故此很多运维人员从心里上对此有抵触,仍采用原有直接访问服务器的方式进行维护工作,这种行为被称为绕行登录。”相矛盾,并且下文提到“启明星辰防绕行产品的部署,提高了安全运行管理平台的使用率,有效的杜绝了维护人员绕过安全运行管理平台访问资源情况的发生”,我感觉理解貌似没错——就是通过部署防绕行产品,使运维人员被迫登录安全运行管理平台——绕了一圈子,又回来了!
为何,在各大品牌堡垒机都具有防绕行功能的前提下,单独做一个“防绕行”解决方案(或产品)?——不解!
