關于諾西FLEXI BSC用戶權限管理的建議

王胤灝

【摘 要】當前FLEXI BSC的權限管理存在漏洞，發現因誤操作而造成所有指令無法執行的安全隱患。通過研究FLEXI BSC的用戶權限管理機制，分析日常維護所需的安全需求，提出對應的改進建議。

【關鍵詞】用戶權限；終端權限；指令權限

1 故障現象

在日常例行巡檢中發現諾西FLEXI BSC下，任何指令執行失敗，系統提示：COMMAND NOT AUTHORIZED。嘗試使用兩個常用用戶登錄，指令執行均失敗。而其他BSC正常。

COMMAND NOT AUTHORIZED指示用戶無權限執行該條MML指令，因此判斷該BSC下的權限被修改。

2 權限原理

FLEXI BSC定義了3類權限：用戶權限、終端權限、MML指令權限。3類權限相互關系為：用戶權限和終端權限決定了訪問權限，訪問權限與MML指令權限等級比較——如訪問權限等于或高于MML權限等級，則指令可執行；訪問權限低于MML權限等級，則指令執行失敗（COMMAND NOT AUTHORIZED）。

權限定義與查詢：

2.1 MML權限等級：COMMAND AUTHORITY

設置MML指令權限的意圖是在于區分指令的重要等級，對于特別重要的指令僅限特定用戶才能執行。

MML被分為5個等級，用數字表示，由高到底：250、200、150、100、50，數字越高則MML權限等級越高，對用戶的權限要求越高。

MML權限等級可用指令：IAT查詢。

2.2 用戶權限：USERID AUTHERITY

設置用戶權限，通過用戶名/密碼的限制，防止未授權人員操作BSC。

對應MML權限等級，普通用戶權限分為250、200、150、100、50，數字越高則用戶權限越高。

特別的，可以定義超級用戶，其權限為251，從而可以執行所有的MML指令。

用戶權限可用指令：IAI查詢。

2.3 終端權限：TERMINAL AUTHORITY

設置終端權限，通過驗證接入終端（如PC機等），防止未授權設備操作BSC。

對應MML權限等級，普通終端權限分為250、200、150、100、50，數字越高則用戶權限越高。

特別的，可以定義超級終端，其權限為251，從而通過固定終端對BSC執行所有的MML指令。

終端權限可用指令：IAI查詢。

2.4 訪問權限：SESSION AUTHORITY

當普通用戶通過普通終端登錄BSC時，兩者中較小的權限決定了其訪問權限。例如：250用戶權限+100終端權限——100訪問權限，只能執行100及以下的指令。

而如果超級用戶或超級終端符合其一，則訪問權限最大，為251，可進行任何操作。例如：251用戶權限+50終端權限——251訪問權限，可執行任何指令。

2.5 PROFILE

FLEXI BSC設置PROFILE權限組，通過將用戶/終端與PROFILE關聯的方式，設定用戶/終端的權限值。

創建或修改PROFILE指令為：IAA。

將用戶/終端與PROFILE關聯指令為：IAE。

因此每個BSC的權限設置通過以下步驟完成：（1）分別創建USER ID PROFILE和TERMINAL PROFILE。（2）創建USER ID，同時指定至PROFILE，設置密碼。（3）將TERMINAL指定到對應的PROFILE。

3 故障處理

在日常巡檢發現某BSC所有用戶均無法執行MML指令，使用不同用戶名嘗試執行均失敗，而接入方式均為遠程登錄VTP形式，因此判斷因VTP的終端權限被修改導致。

在該故障情況下，已無法執行任何指令。因此動用了非常規手段，用FTT提取備份數據庫中/FBXXXXXX/LFILE/目錄中權限相關的三個文件：CAUTHOGX.IMG、PAUTHOGX.IMG、TAUTHOGX.IMG，覆蓋了當前軟件包內的三個文件，重啟OMU后權限設置恢復正常，MML指令可執行。

該故障的發生引起了維護人員的重視，現網FLEXI BSC權限管理存在漏洞：（1）無超級用戶和超級終端；（2）缺乏終端權限管理，VTP、VDP等終端指定至同一個PROFILE，因此所有終端權限均被修改。

4 安全需求及權限管理建議

針對現網權限管理漏洞，提出以下四點建議：

（1）每個BSC增加一個超級用戶，從而可以不受限制地執行指令，便于短時間內處理誤操作，減少影響。同時在內部管理上限制該用戶名/密碼的使用和使用者，非重大情況下不得使用。

（2）BSC側創建一個超級終端（近端VDU），從而可以不受限制地執行指令。同時在內部管理上限制該終端的使用，非重大情況下不得使用。

（3）區分VDU、VTP對應的PROFILE，防止因操作失誤修改所有的終端權限。

（4）對不同部門分配不同用戶名/密碼，同時將超級用戶MML COMMAND LOG ACCESSIBILITY參數設為COM，以便管理用戶和事后調查。

【參考文獻】

[1]DX200 i-series System Operation and Maintenance[Z].Nokia System Oy，2003.

[責任編輯：劉展]