通信運營商運維4A管控策略淺析

楊衛紅+張薇

【摘要】 隨著通信和互聯網技術的快速發展，網絡運維管理的規范化和安全性要求越來越高。本文結合運營商網絡運維管理的現狀，對運維的4A管控策略進行探討分析，提出安全管控系統部署的建議。

【關鍵字】 網絡安全 管控平臺

一、網絡及信息安全管控需求

運營商雖然安全設備眾多，但缺少集中管理體系及統籌全網的安全管控手段；針對安全威脅存在安全事件監控不足、排查困難等問題。

工信部考核要求（工信部保函[2015]5號“2015年網絡與信息安全”考核要點與評分標準），明確要求將集中賬號管理、認證、授權、審計（4A）平臺立項納入2015年基礎電信運營商，網絡與信息安全責任考核。

二、4A管控策略分析

1、賬號管理。帳號管理包括主帳號和從帳號，以及和帳號相關的可在4A系統中集中管理的帳號屬性。主帳號是4A系統中標識唯一自然人的ID，其范圍包括內部員工帳號及外部工作人員帳號。從帳號是可獲得對資源訪問權的帳號。資源包括系統資源（主機、網絡設備、數據庫、安全設備、其他）和應用資源兩大類。通過4A系統創建或導入主賬號，制定并維護主從賬號的對應關系，制定主從賬號的密碼策略、對資源的訪問登錄控制策略、以及主從賬號生命周期的管理策略等。

2、認證管理。認證包括主帳號身份認證，即用戶登錄4A集中管理系統的認證；以及從帳號認證，即用戶訪問被管資源時的認證。用戶在訪問被管理資源之前首先需要通過主帳號認證，然后根據主帳號的授權關系，獲得訪問被管資源的相應權限。用戶訪問被管資源時，由4A集中管理系統的單點登錄模塊協助其完成從帳號的認證。通過4A集中管理系統的統一認證服務器提供統一的認證方式和認證策略，來識別用戶身份的合法性。認證采用模塊化設計，支持靜態密碼認證、強認證及動態認證、靜態動態組合認證、以及二次認證等靈活的認證方式。

3、授權管理。對用戶在被管資源中能夠行使的權限進行分配。所有被管資源首先在4A集中管理系統上進行登記，包括資源名稱、資源地址、連接方式、資源類型、通信協議，相關參數等。通過4A系統的資源訪問授權、運維操作授權、系統功能授權等實現對資源的訪問權限控制。通過人工或者Excel模板，錄入授權內容，批量導入授權關系。

4、審計管理。通過Syslog、SNMP、數據庫（ODBC/ JDBC）、文件（FTP/SFTP）等多種方式對賬號登錄、授權、認證、應急切換等管理操作日志，系統的數據運營狀態，被管資源的登錄、訪問、操作日志等信息進行收集和存儲。通過屏幕錄像錄屏功能實時采錄用戶的運維操作行為時的界面錄像數據。通過一系列日志、信息和數據的采集，實現對訪問敏感數據、執行關鍵操作及其結果進行真實、全面的記錄，對業務操作行為、系統操作行為、4A自管理操作行為及4A數據運營狀態進行詳細記錄，提供可用于責任追蹤的相關證據及審計管理支撐手段。

5、防繞行管理。通過防繞行管理加強安全審計，杜絕運維人員繞行4A管控平臺，達到集中使用4A管控平臺的目的。實現防繞行管理，可以采用具備流量采集、分析與阻斷功能的防繞行設備，輔助并引導維護人員統一登錄4A管控平臺進行日常運維操作；可以在系統的防火墻或網絡設備上設置訪問控制策略；也可以通過采集系統日志，對系統日志進行分析，發現繞行行為并進行預警。

三、網絡系統接入4A平臺策略

現有網絡系統接入4A策略，主要分為四類：

第一類：基本不用改造，要接入的網絡系統已在4A系統的承載網中。

這類系統只需要調整與4A承載網之間的防火墻訪問控制策略，做到4A系統到被管資源的管理端口放開、網絡可達。

第二類：網絡系統的網管系統需要進行改造。

這類網絡系統的網管網與4A系統的承載網不是同一張網絡，需要對其網管系統改造接入4A系統的承載網，實現網絡的互通。

第三類：統一出口方式接入4A系統。

現有網絡系統因歸屬部門、業務種類等因素存在使用專網承載的情況。專網是單獨的網絡，使用的是私網地址。承載在專網上的網絡系統需要在專網與4A承載網的統一出口處部署相應的接入機制和管控策略，進而接入4A系統。

第四類：專線方式接入4A系統。

這類大多是運營商早期建設的網絡系統，網元多，網絡復雜，沒有網管系統或者網管系統無法覆蓋到所有網元。

四、結束語

及時引入4A管控系統，對網絡運維進行規范化可控的操作管理，對敏感信息和核心數據進行統一的歸口管理和流轉控制，做到出了問題可以追溯、精準定位，將大大減少網絡安全及信息泄露問題。

參 考 文 獻

[1]工信部通信行業標準《帳號、授權、認證和審計（4A）集中管理系統技術要求》

[2]李漢章，電信業務支撐網4A建設及應用研究，山東大學，2010，chi，TP393.08；

[3]中國移動通信企業標準《中國移動管理信息系統4A系統技術規范》（QB-X-024-2009）。