运营商业务平台信息安全主动防护的方案.docVIP

运营商业务平台信息安全主动防护的方案 　　【摘 要】针对当前日益严峻的信息安全形势，分析了运营商业务平台信息安全所面临的威胁和挑战。运用现有的信息安全防护技术手段，从人员、设备、数据3个方面提升安全管控能力，并构建了一套完整的业务平台信息安全主动防护系统，从而实现信息安全的主动防护。 　　【关键词】信息安全 主动防护 安全管控 　　doi：10.3969/j.issn.1006-1010.2015.18.007 中图分类号：TN918.91 文献标识码：A 文章编号：1006-1010（2015）18-0033-05 　　引用格式：王长春，黄仕龙. 运营商业务平台信息安全主动防护方案[J]. 移动通信， 2015，39（18）： 33-37. 　　1 引言 　　当前电信运营商的固网和移动网业务平台系统是一个异常复杂的大系统，在电信业务快速发展的过程中，如何保障系统和网络的高效运行及信息安全是一个急需考虑的问题。随着用户的不断发展，增值业务平台遭受安全攻击和信息泄密的风险也逐渐增加，而对这些系统自身的安全管理尚处于起步阶段。 　　传统的安全防护手段大多都是被动的安全防护措施，这就使得信息安全防御始终落后于信息安全攻击技术，往往是在产生重大的安全事件造成巨大损失后，对于信息安全防护技术才产生。 　　本文主要介绍如何借助现有安全技术对人员、设备、数据进行信息安全的主动管控，构建业务平台综合安全体系，提高运营商业务平台系统的防信息窃取的能力和水平，保护用户个人电子信息，从而最终保障基础电信网络和重要应用系统的安全。 　　2 业务平台安全威胁分析 　　2.1 安全事件分析 　　根据国外知名安全厂商Check Point发布的安全报告，揭示目前对IP网络影响最为重大的安全隐患如下： 　　（1）60%的数据泄密是由内部人员导致，大部分数据流向竞争对手； 　　（2）52%的用户日常生活遇到安全攻击和入侵； 　　（3）60%的数据中心经常遭到外部的攻击。 　　以上数据反映出网络信息安全现状是： 　　（1）安全攻击正逐步由网络层向业务层蔓延； 　　（2）安全事件对客户影响严重； 　　（3）内部威胁越来越突出。 　　2.2 安全威胁分析 　　结合当前运营商的实际运营状况可知，业务平台系统面临的网络信息安全威胁主要来自以下方面： 　　（1）人员对设备维护操作缺乏有效管理：弱口令、权限设置不合理、无身份认证、越权操作、无安全审计导致数据泄密而造成经济损失； 　　（2）设备自身配置存在错误，导致系统产生漏洞，从而产生信息安全风险； 　　（3）对数据的不当操作导致数据泄密、丢失。 　　2.3 信息安全主动管控的重要性 　　任何安全堡垒最容易被攻破的就是它的内部，对于运营商业务平台系统的信息安全也是如此。利用信息安全的管理漏洞获取所需的信息是最直接、花费代价最小的方法，所以在构建信息安全架构时，首先是构建主动的安全管控措施保障信息内部管理的安全。 　　3 信息安全主动管控的措施 　　构建信息安全主动管控体系需要从业务平台系统的内部管理开始入手，主要包含以下措施： 　　（1）通过使用4A管控手段对人员维护进行集中认证，统一授权管理； 　　（2）通过基线检查发现并指出设备中不合规的配置； 　　（3）通过数据管控对业务系统中的用户数据等敏感信息进行最小范围的授权操作。 　　3.1 人员维护管理――4A管控 　　在4A安全管理体系中，主要管理手段基于账号、认证、授权、审计4个方面，如图1所示： 　　图1 4A管控示意图 　　（1）账号管理 　　◆实现账号与人进行关联，统一账号管理； 　　◆与各主机、网络设备、信息系统无缝对接，实现将被管理账号及密码在4A系统中集中存放，维护人员登录4A系统并经过认证授权后就可以直接访问目标设备，无须再次手工输入设备账号和密码信息，实现SSO（Single Sign On，单点登录）； 　　◆账号的生命周期管理包括从员工入职时创建账号、激活账号到日常维护工作过程中账号锁定、密码周期修改，再到岗位变更时信息修改、员工离职时账号删除等全过程； 　　◆以主账号为基准，直接查询、编辑与该主账号相关的访问控制策略，查询该主账号有权访问的设备以及该主账号的审计信息。 　　（2）认证管理 　　◆可进行多种身份认证方式，包括但不限于：基本的本地用户名/口令的认证方式、基于LDAP（Lightweight Directory Access Protocol，轻量目录访问协议）的认证方式、基于RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）的认证方式、基于USBkey的认证方式； 　　◆用户在4A系