发展计划部IT中心:OA、MIS;
网管中心:支撑室、交换室(彩铃、智能网、端局)、数据室(MISC、GPRS、短信、彩信、WAP、CMNet)、网优室(话务网元);
本次共规划管辖1000个点的设备管理,其中网络设备(包括网元)600个,主机设备300个,通用应用50个,专用应用10个。允许接入的用户为100个。对部分在互联网上的业务系统接入该平台系统,统一通过数据网管系统的防火墙进行,以便确保该平台的安全。
工程紧紧围绕系统的建设目标和移动集团的4A建设规范,在用户管理、统一认证、统一授权、操作审计以及单点登录管理几个基础功能上都达到了出色的效果。
此次项目采用启明星辰的天玥网络安全审计系统(业务堡垒机)和天玥网络安全审计系统(业务网审计)两个产品来满足全部需求,产品的具体型号包括:
天玥网络安全审计系统(业务堡垒机)数据中心:天玥业务堡垒机数据中心由管理系统、认证系统和报表系统三个子系统构成,管理系统负责对整个天玥业务堡垒机引擎和天玥业务网审计引擎进行管理配置,包括系统状态监控和维护、运维审计对象定义、规则定义、审计策略配置等;认证系统负责对自然人进行身份认证和授权;报表系统负责审计日志的记录和维护、日志检索、统计和分析,并可根据用户要求生成各种格式的审计报表。
天玥网络安全审计系统(业务堡垒机)串行引擎:提供综合维护接入网关功能,对加密协议进行审计记录,审计事件上报数据中心;
天玥网络安全审计系统(业务网审计)旁路引擎:通过交换机镜像的方式捕获数据包,对常用维护协议进行解析与审计,审计事件上报数据中心。
图1 发展计划部IT中心部署方案
图2 网管中心部署方案
在本方案中,在省移动IT中心以及网管网三个科室的网络环境中分别以在线方式部署一套天玥网络安全审计系统(业务堡垒机),每套系统由两台天玥堡垒机产品以HA 方式组成,实现对1000 台网元设备的远程访问控制与审计;配合天玥网络安全审计系统(业务网审计)实现对所辖网元设备用户操作的统一账号管理、统一认证、统一授权、统一审计。
实现有效整合
SOX 法案被称作是有史以来最严苛、最复杂、最昂贵的法案,精确到企业运营中的很多细节。其中人对系统的操作、系统对系统的操作,只要属于对财务报告可能产生影响的范畴都应被明确的定义,且审计和纪录。从这一点出发,依托“4A综合解决方案”,通过启明星辰的天玥堡垒机,促使系统的用户和各种资源进行集中管理、集中权限分配、集中审计,保证支撑系统的这些安全策略能够统一实施。该方案的关键难点是3A 系统与审计系统的有效整合。解决方案中不仅需要天玥网络安全审计系统(业务堡垒机)对3A 提供开放的接口,而且其3A 系统也需要有很好的定制能力,才可满足与企业各个关键业务系统的持续同步发展。(启明星辰 杨志泉)
