联通安全建设内容网络部产品培训.pptx

联通4Ａ产品培训材料

（信息化）

亿阳信通.亿阳安全技术有限公司

2015年５月

产品介绍

背景及意义：

在中国联通大集中的背景下，总部对于各省的运维帐号权限现状无从得知，管理策略和标准也无法统一，造成了全国各省运维帐号权限管理能力参差不齐，使得省分公司运维帐号权限管理产生运维帐号管理的不足、运维授权管理的不足、认证管理的不足、审计管理的不足等问题，所以急需对中国联通信息化帐号权限系统的建设和运维。

产品介绍

产品的作用及解决的问题

主要将信息化IT支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)整合成集中、统一的安全服务系统，统称运维帐号权限管理与审计系统。

主要满足联通总部的要求如下：

1.通过帐号权限系统进行省分运维帐号集中管理和CRM、BILLING、计费等核心系统的后台运维帐号集中管理和审计，并配合集团系统进行数据上报集中管理。

2.通过帐号权限系统满足工信部安全检查主机安全、应用安全中关于身份鉴别、访问控制和安全审计的相关要求。

3.通过帐号权限系统进行总部和省内的安全系统和安全设备集中管理和展现，逐步将帐号权限系统发展成省公司的集中安全管理平台和与集团的唯一安全接口。

产品介绍

市场及上线情况

目前主要面向联通信息化部各省分系统，已有十个省份部署上线，其中大部分省份均已投入使用。

天津、河南、辽宁、陕西、贵州、湖南、西藏—统筹分签

甘肃、湖北、吉林—单独签署

【主要案例介绍】

目前天津、吉林、贵州等省份用户通过一期基本功能的使用，认可4A的实现的各项功能，均已提出二期的建设目标，并在4A的三期建设上提出很多个性化的想法。

目前系统的功能结构

具体功能推荐方向（红色部分）

后续产品规划

注重项目质量，及时满足各省份要求，提高用户体验

确保功能推荐，注重安全产品定位，与现有优秀安全产品做集成

注重产品对数据的处理性能及部署方式，扩建接入省份，达到用户及全行业的广泛认可

2014

2015

2016

2017

......

实现集团要求的基本功能，保障项目稳定运行

.

联通4Ａ产品培训材料

（网络部集团要求）

亿阳信通.亿阳安全技术有限公司

2015年５月

集团要求

联通集团2015年1月9日下发《关于进一步加强网络高危指令管理的通知》（网络运维〔2015〕5号），要求各省分公司进一步加强对网络高危指令的管理，防范由于高危指令操作不慎而引发的网络故障，确保网络的安全稳定运行。基于现有维护规程，集团公司对与高危指令相关的内容做出一些强调和补充的要求和考核要求。

以上内容表示，集团公司将对维护规程进行全面的修订和更新，并不定期的组织专项检查，以推动各省分公司进一步加强对网络高危指令的管理工作。

要求内容

（1）在本通知下发后两周内完成账号实名制整改及对各类不规范维护账号和密码的清理和整改；

（2）在春节前根据本通知要求落实细化各省的账号管理制度，完成账号权限的梳理和整改；

（3）在2015年3月底之前根据本通知要求落实细化各省的高危指令、多网元操作、批处理操作的维护管理制度，结合各省具体情况完成对各网元高危指令的进一步梳理。

（4）从2015年4月开始在各项网络维护工作中全面落实本通知的各项管理要求。

市场推广

重点推广省份：联通全国省公司网络运维部。如果用户有想法，可以推动落地实施。

推广内容

名称

描述

账号与密码管理

设备账号实行实名制管理，维护人员和操作账号一一对应。对账号实行分组管理。系统管理员至少每三个月对维护账号及对应权限核对一次，及时删除不再需要的账号，及时清理可疑账号，锁定两个月以上不用的账号。系统强制设定密码强度要求

授权管理

对设备维护账号应实行严格的分域管理，根据每个维护人员的职责分工圈定其账号能够管理的具体网元，应杜绝出现维护账号能够管理其职责之外网元设备的现象。对设备维护账号应实行严格的分权管理，厂家维护人员的维护账号应只能具有执行查询类指令的权限，原则上不允许为厂家维护人员分配具有设备操作指令权限的维护账号。

审计管理

高危指令执行完成后，应从网络告警、设备运行日志、网络性能统计、业务测试等多方面进行全面的结果确认，一方面确认高危指令的执行是否成功和达到预期效果，另一方面确认高危指令的执行是否对网络造成了预期之外的不良影响。

金库管理模式

对于高危指令的操作应遵循严格的申请审批流程，操作员执行高危指令之前应获得上级管理人员或部门指定的技术专家的审批授权。

堡垒主机

指令通道

在各类设备的具体维护工作中，可能存在多网元操作和批处理操作的场景。多网元操作是指同时对多个网元执行操作指令，批处