隨著國內通訊市場的高速發展，各大電信運營商在大力推廣內部信息化應用，利用先進的信息化管理系統來改善內部管理。如何實現運營商維護人員安全接入維護網絡和內部網絡，如何更好保障維護人員對網絡內部服務器的權限管理、操作過程的監控及行為審計，成為各大運營商不得不面對的問題。

為了解決企業內部IT運維人員的管控問題，啟明星辰自主研發了天玥業務堡壘機系統。這套系統是針對企業內網的運維操作和業務訪問行為進行細粒度控制和審計的合規性管理系統。它通過對運維人員和業務用戶的身份進行認證，對各類運維操作和業務訪問行為進行分析、記錄、匯報，以幫助用戶事前認證授權、事中實時監控、事后精確溯源，加強內外部網絡行為監管，促進核心資產(數據庫、服務器、網絡設備等)的正常運行。

下面我們通過對天玥堡壘機系統在某移動公司的實際應用進行詳細剖析，來了解一下該案例的應用背景、架構細節、方案特色以及試運行后取得的安全防護效果。

明晰主要需求

為應對SOX法案的檢查，某移動公司計劃建設IT系統用戶身份和訪問管理平臺。在該公司的SOX控制點中，涉及對口令、密碼、權限和審計管理的有30多項，涵蓋的系統包括：智能網、彩鈴、MISC、交換局和部分重要的主機、網絡設備，以及公司企業信息化系統。在對相關控制點進行修補的過程中，公司發現，雖然通過管理措施可以達到對相關控制點的修補目標，但由于技術手段的缺乏，需要付出更多人力成本的代價，加重了維護人員的工作負擔。而且采用非技術手段實施管理，會因為管理認知角度的不同，造成檢查者對相關控制點執行是否有效總是抱有疑慮。

因此需要根據該客戶的現狀，建設集中統一的安全管理技術和平臺，使得系統和安全管理人員可以對支撐系統的用戶和各種資源進行集中管理、集中權限分配、集中審計，從技術上保證支撐系統安全策略的實施。用戶主要的安全需求如下：

1. 需要針對所有業務支撐系統建立一套統一的認證、授權和審計系統;

2. 需要對所有業務支撐系統中的每個網絡設備、主機系統、業務系統、數據庫系統的運行、維護以及管理等操作行為進行集中、統一的審計，以便綜合關聯分析，及時發現違規行為;

3. 需要在多個支撐系統中建立集中統一的資源訪問控制平臺，集中按照最小權限原則分配權限;

4. 需要統一的用戶名和口令在多個支撐系統實現單點登錄，同時保證系統的安全性;

5. 需要在技術層面對第三方廠商的運維操作進行高強度的監管;

6. 需要對多人共用賬號產生的操作行為進行監控，以便確定安全事故真正責任人。

提供全面方案

本次項目涉及到的部門以及業務系統主要有

發展計劃部IT中心：OA、MIS;

網管中心：支撐室、交換室(彩鈴、智能網、端局)、數據室(MISC、GPRS、短信、彩信、WAP、CMNet)、網優室(話務網元);

本次共規劃管轄1000個點的設備管理，其中網絡設備(包括網元)600個，主機設備300個，通用應用50個，專用應用10個。允許接入的用戶為100個。對部分在互聯網上的業務系統接入該平臺系統，統一通過數據網管系統的防火墻進行，以便確保該平臺的安全。

工程緊緊圍繞系統的建設目標和移動集團的4A建設規范，在用戶管理、統一認證、統一授權、操作審計以及單點登錄管理幾個基礎功能上都達到了出色的效果。

此次項目采用啟明星辰的天玥網絡安全審計系統(業務堡壘機)和天玥網絡安全審計系統(業務網審計)兩個產品來滿足全部需求，產品的具體型號包括：

天玥網絡安全審計系統(業務堡壘機)數據中心：天玥業務堡壘機數據中心由管理系統、認證系統和報表系統三個子系統構成，管理系統負責對整個天玥業務堡壘機引擎和天玥業務網審計引擎進行管理配置，包括系統狀態監控和維護、運維審計對象定義、規則定義、審計策略配置等;認證系統負責對自然人進行身份認證和授權;報表系統負責審計日志的記錄和維護、日志檢索、統計和分析，并可根據用戶要求生成各種格式的審計報表。

天玥網絡安全審計系統(業務堡壘機)串行引擎：提供綜合維護接入網關功能，對加密協議進行審計記錄，審計事件上報數據中心;

天玥網絡安全審計系統(業務網審計)旁路引擎：通過交換機鏡像的方式捕獲數據包，對常用維護協議進行解析與審計，審計事件上報數據中心。

圖1 發展計劃部IT中心部署方案

圖2 網管中心部署方案

在本方案中，在省移動IT中心以及網管網三個科室的網絡環境中分別以在線方式部署一套天玥網絡安全審計系統(業務堡壘機)，每套系統由兩臺天玥堡壘機產品以HA 方式組成，實現對1000 臺網元設備的遠程訪問控制與審計;配合天玥網絡安全審計系統(業務網審計)實現對所轄網元設備用戶操作的統一賬號管理、統一認證、統一授權、統一審計。

實現有效整合

SOX 法案被稱作是有史以來最嚴苛、最復雜、最昂貴的法案，精確到企業運營中的很多細節。其中人對系統的操作、系統對系統的操作，只要屬于對財務報告可能產生影響的范疇都應被明確的定義，且審計和紀錄。從這一點出發，依托“4A綜合解決方案”，通過啟明星辰的天玥堡壘機，促使系統的用戶和各種資源進行集中管理、集中權限分配、集中審計，保證支撐系統的這些安全策略能夠統一實施。該方案的關鍵難點是3A 系統與審計系統的有效整合。解決方案中不僅需要天玥網絡安全審計系統(業務堡壘機)對3A 提供開放的接口，而且其3A 系統也需要有很好的定制能力，才可滿足與企業各個關鍵業務系統的持續同步發展。(啟明星辰 楊志泉)