《運維操作審計在電信運營商領(lǐng)域的應用》由會員分享,可在線閱讀,更多相關(guān)《運維操作審計在電信運營商領(lǐng)域的應用(7頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,*,運維操作審計在電信運營商領(lǐng)域的應用,業(yè)務現(xiàn)狀及需求分析,對運維過程缺少有效的技術(shù)監(jiān)管手段,電信行業(yè)組織機構(gòu)龐大,業(yè)務繁多。然而,僅僅以制度和規(guī)范進行約束、以人工方式進行監(jiān)督的運維安全及內(nèi)控風險管理模式效果欠佳,效率低下,缺乏行之有效的技術(shù)輔助手段。,運維入口太多、運維通道獨立、運維工具分散,在數(shù)據(jù)中心常規(guī)運維模式下,各層各級運維人員基于本地客戶端啟用RDP/VNC/TELENT等遠程協(xié)議工具直接訪問數(shù)據(jù)中心目標設備,展開會話操作。這種運維模式的劣勢是運維入口過多(一臺客戶端提供一個運維入口);運維通
2、道相互獨立(需要為不同的協(xié)議工具建立不同的運維通道);運維工具部署分散(協(xié)議工具分別安裝于各運維客戶端)。因此,頗有一些電信企業(yè)目前面臨著網(wǎng)內(nèi)運維環(huán)境安全難以管理的局面。,補充4A平臺,運維管控全覆蓋,早些時候,部分電信企業(yè)部署了4A平臺,但由于歷史原因,仍有很多業(yè)務運行系統(tǒng)無法整合到4A平臺下統(tǒng)一運維,給安全運維管理帶來隱患。,行業(yè)新標準提出多人核實管理機制,行業(yè)安全等級保護基本要求規(guī)定,對如數(shù)據(jù)中心核心設備及關(guān)鍵業(yè)務系統(tǒng)等高風險運維操作,需采用多人核實機制(即在同時獲得兩人以上授權(quán)前提下,才能實施相應會話),以提升運維操作行為合規(guī)性控制的細粒度。,審計手段不全面,審計信息不直觀,現(xiàn)有的審計
3、手段基于操作系統(tǒng)日志進行審計,只能定位到訪問設備的IP地址、用戶、時間等基本信息,無法準確、直觀地追溯運維人員在目標設備上的會話過程,無法對事故原因進行客觀還原。,方案概述及部署,針對電信運營商領(lǐng)域的業(yè)務需求及業(yè)務現(xiàn)狀,德訊科技提供了一套IT設施運維操作審計(堡壘主機)解決方案。方案采用“DCLive+ICS”聯(lián)合部署模式,為各地市級運維人員提供一個統(tǒng)一的操作平臺,突破地域、時空、時間的限制,基于WEB瀏覽器即可實現(xiàn)如字符型會話、圖形訪問、數(shù)據(jù)庫管理及其它應用類運維操作等相關(guān)運維需求。,此外,方案為數(shù)據(jù)中心管理人員提供一個集中化的審計平臺:事中可實時監(jiān)視系統(tǒng)內(nèi)所有會話訪問與操作行為,事后第一時
4、間可及時審查整個運維過程。該方案從技術(shù)上保障了電信行業(yè)數(shù)據(jù)中心“分布式運維操作,集中式監(jiān)控審計”的安全管理目標。,本方案部署如圖1所示:,圖1(堡壘主機)解決方案部署圖,IT設施運維操作審計(堡壘主機)解決方案具備以下部署特點:,利用原有網(wǎng)絡拓撲架構(gòu),安裝部署簡便,無需加裝任何客戶端代理,不影響任何業(yè)務數(shù)據(jù)流;,將ICS設備分布式部署于各地級市,實現(xiàn)本地化運維,獨立化操作,互不干擾;,部署兩臺ICS設備,共同分擔局域網(wǎng)內(nèi)并發(fā)會話的壓力,實現(xiàn)各分支網(wǎng)絡負載均衡;,將DCLive管理平臺部署于省級中心機房,實現(xiàn)對下級分支機構(gòu)所有運維過程的集中監(jiān)視、控制、管理與審計;,HA部署主備兩臺DCLive設
5、備,以保障數(shù)據(jù)完整性以及整個系統(tǒng)的防災恢復。,應用價值,提供統(tǒng)一的運維平臺,方案提供統(tǒng)一的WEB管理入口,對登陸用戶身份的合法性實施統(tǒng)一認證;系統(tǒng)自帶字符類/圖形類/應用類多種運維工具,無需運維客戶端即可自行安裝,避免運維過程中出現(xiàn)工具不全面,版本不兼容等問題;支持會話代理訪問通道的建立,改變原有本地客戶端直接發(fā)起會話的運維模式,實現(xiàn)對運維過程的有效監(jiān)控與審計。,雙人授權(quán)訪問控制,依據(jù)行業(yè)安全等級保護標準,方案能夠?qū)崿F(xiàn)雙人授權(quán)訪問控制策略管理。權(quán)限范圍內(nèi)的任何一人登陸運維平臺,即使通過身份認證,也不能獨自執(zhí)行會話操作,必須要得到策略內(nèi)另一用戶的授權(quán)。系統(tǒng)支持本地口令輸入及遠程身份認證兩種授權(quán)方式。主要通過提升授權(quán)管理的細粒度,保障核心設備、關(guān)鍵業(yè)務以及第三方運維操作的合規(guī)性、安全性。,事后全面審計,保證操作留痕,方案提供網(wǎng)內(nèi)運維管理全生命周期的審計,即采用流媒體形式記錄運維人員登陸運維網(wǎng)關(guān)至登出運維網(wǎng)關(guān)的全過程,支持對字符、圖形、數(shù)據(jù)庫、WEB應用等多種類型會話的全面審計。審計結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn),符合4W(When/Where/Who/What,更多信息見 臺灣服務器 http:/