电信运营商第三方运行维护安全操作中心解决方运营维护
电信业重组之后,实现全业务运营的各大电信运营商面对更加激烈的市场竞争,必须进一步加强自身的信息化建设,以提升客户满意度和核心竞争力。而随着信息化水平的提高,业务支撑系统的作用日益突出,加之此前曾经发生过运营商因业务支撑系统的重要信息泄露而造成严重后果的事件,使得运营商系统运行维护安全问题受到了空前的关注。
在各大运营商中,集团公司或省市公司大都建设了安全域项,按照公司的安全域划分原则及指导思想对现有的业务系统,如网管网、MDCN 网络及 BOSS 系统等进行了安全域划分,并对重要的边界通过安装防火墙进行访问控制,保证了这些边界的安全。经过安全域的划分,第三方现场服务人员通过自备的笔记本电脑或者运营商提供的台式电脑从第三方维护区接入办公网。
面临挑战
在经过安全域建设之后,基本实现了网络的安全区域划分,有效解决了网络边界的访问控制问题。然而,安全域项目的建设并没有考虑和解决下列问题:
首先是响应速度慢,不能从外网随时随地进行运行维护工作。出现问题时,第三方维护人员必须赶到电信的IDC机房,从第三方维护区接入内网进行维护,如果是发生紧急情况,常常会因为响应不及时而造成较大损失。
其次,在第三方现场服务人员对运营商核心系统进行维护时,可以直接进入运营商的核心系统,带来数据管理安全方面的风险。
此外,缺乏对第三方现场服务人员访问过程的全程统一监控,目前的监控手段分散于终端管理软件、网络分析软件、防火墙日志、操作系统日志、数据库日志等上面,缺乏统一的安全监控和审计机制,无法监控其是否按照计划正确维护系统和设备。
CTBS解决方案
怎样在确保核心系统和内网安全的同时,又能提高IT运维服务的响应速度呢?为此,沟通科技针对运营商的需求,提出了运营商运行维护安全操作中心解决方案。在运营商现有的信息化成果和安全策略的基础上,通过建立数据安全管理和访问全程审计的监控体系,将第三方现场维护服务人员的维护操作和对数据的访问控制在运行维护安全操作中心的范围之内,从而以较低的成本解决了安全和响应速度的两大难题。
该方案的核心部件是CTBS 应用发布平台,将各种应用软件和工具的客户端集中安装并发布在CTBS代理服务器(群)上,第三方维护人员通过访问CTBS服务器来调用各种应用软件,在此过程中,所有应用软件的运算都 100%在服务器端执行,数据只在内网的CTBS服务器和应用服务器之间流转,不会有数据流转到外网,远程客户端与CTBS服务器之间传输的不是真实的业务数据,仅仅是截屏图像增量、鼠标和键盘的动作等数据量极小的信息。从而即确保了内网数据的安全,又实现了快速的访问。
沟通CTBS接入平台创新地应用了虚拟化技术和服务器计算技术,应用虚拟化就是将应用的显示逻辑和计算逻辑分离,应用尽可能完整地从用户设备中分离出来,不在本地设备上安装和使用软件,但用户的感觉就像在本地应用软件一样。服务器计算技术(SBC),是一种在服务器上100%地部署、管理、支持和执行应用程序的模式。它使用一个多用户操作系统和一种将应用程序的界面显示分配给客户端设备的方法。在服务器的数据中心部署软件,通过网络连接方式,服务器可让更多用户接入单个应用“会话”。该“会话”仅将应用界面变化部分经网络返回给用户设备,然后用户设备又会将鼠标控制和键盘敲击数据传输到“会话”中。(如下图)
在此方案中,通过CTBS的应用发布功能,可以将系统运行维护工作所涉及的应用软件或工具(不管是 B/S还是 C/S 应用)集中部署在CTBS服务器上。第三方维护人员无须到运营商的IDC机房,只需通过互联网访问CTBS服务器就能运行各种应用软件或者工具。远端客户端接入到CTBS服务器之后,逻辑上自动被限制为傻终端(瘦客户),只是作为输入输出的设备,本身不进行任何的应用执行和数据处理,数据的处理和应用程序的执行都在位于运行维护安全操作中心内的服务器端完成,从而确保了数据的安全。在CTBS应用服务器上,还可以进一步限制所能执行的应用,如限制打印、限制将数据存储回本地电脑等。
CTBS服务器可以按照用户权限来设定用户,可以指定这些用户在特定时间段访问特定应用,同时CTBS软件有日志审计功能,可以记录哪些用户在什么时间访问、什么时间退出、做了哪些操作等,方便日后查询。从而实现了业务办理安全审计,保证了 IT 对整个业务过程的端到端透明度。
整个通讯过程中,第三方维护人员不是直接接入到运营商的内网,而是通过登录CTBS服务器完成所有的操作,因此也无需为其配备专门的应用系统帐号和身份管理策略,大大降低了帐号被盗用和泄露的风险,提升了内网的安全性。
CTBS解决方案拓朴图
方案价值
■ 实现外网与内网的安全隔离
在该解决方案中,运营商的生产网是处于完全隔离的状态,仅需对外网开放一个80端口,外网的远程客户端通过访问CTBS服务器来运行各种应用系统,没有任何真实的业务数据流转到外网,因此不会对内网系统的正常运作造成任何影响,确保了内网的安全。
■ 提高响应速度
第三方运维服务人员不需要到运营商的IDC机房,在其公司甚至家里都可以随时登录到CTBS服务器去完成运维服务工作,第一时间响应运营商的服务需求。
■ 精细化的用户管理策略
运营商运行维护所涉及的第三方数量很多,包括各厂商、开发商、集成商、维护商等,每一个第三方往往有三四名以上的专责维护人员负责运行维护工作。因此非常有必要建立一个成熟的集中用户管理体系。采用CTBS解决方案,可以单独为每一个第三方伙伴建立一个用户组,并根据其产品和服务的特点,设置不用的权限和组策略,从而实现精细化的用户管理策略。此外,还可以为第三方的维护人员建立资质、安全审核机制,只有经过审核的维护人员才为其建立用户帐户,进一步确保了核心系统和数据的安全。
■ 周密的安全审计机制
通过CTBS解决方案,用户在使用过程中的每一个操作细节将被全程监控,如果出现问题或者故障,可以方便地追查出操作过程的不当之处,及时找出问题的根源和解决方法,并为安全审计和事件调查提供原始资料。
■ 集中管理
由于所有运行维护工作所涉及的应用软件或工具都全部是安装在CTBS服务器上,远端的客户端只是作为输入输出设备,因此只需对服务器端进行集中的管理与维护,省去了大量的客户端安装和维护的工作量,大大提高了运维方的工作效率。