張順喜

摘 要：依據(jù)國家信息安全等級(jí)保護(hù)基本技術(shù)要求，結(jié)合公司信息安全現(xiàn)狀和當(dāng)前信息安全審計(jì)先進(jìn)技術(shù)，建設(shè)運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)，規(guī)范和完善公司信息系統(tǒng)運(yùn)維審計(jì)，落實(shí)信息系統(tǒng)運(yùn)維人員實(shí)名制，加強(qiáng)對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫等系統(tǒng)的運(yùn)維操作審計(jì)，規(guī)范信息系統(tǒng)運(yùn)維人員操作行為，提升對(duì)信息系統(tǒng)運(yùn)維操作的監(jiān)管能力，提高公司網(wǎng)絡(luò)與信息安全管理與運(yùn)維水平。

關(guān)鍵詞：信息安全；運(yùn)維管理；文件備份

依據(jù)國家信息安全等級(jí)保護(hù)基本技術(shù)要求，結(jié)合公司信息安全現(xiàn)狀和當(dāng)前信息安全審計(jì)先進(jìn)技術(shù)，建設(shè)運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)，規(guī)范和完善公司信息系統(tǒng)運(yùn)維審計(jì)，落實(shí)信息系統(tǒng)運(yùn)維人員實(shí)名制，加強(qiáng)對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫等系統(tǒng)的運(yùn)維操作審計(jì)，規(guī)范信息系統(tǒng)運(yùn)維人員操作行為，提升對(duì)信息系統(tǒng)運(yùn)維操作的監(jiān)管能力，提高公司網(wǎng)絡(luò)與信息安全管理與運(yùn)維水平。

⑴實(shí)現(xiàn)維護(hù)接入的集中化管理。對(duì)運(yùn)行維護(hù)進(jìn)行統(tǒng)一管理，包括設(shè)備賬號(hào)管理、運(yùn)維人員身份管理。⑵實(shí)現(xiàn)運(yùn)維人員統(tǒng)一權(quán)限管理，解決操作者合法訪問操作資源的問題，避免可能存在的越權(quán)訪問，建立有效的訪問控制。⑶實(shí)現(xiàn)運(yùn)維日志記錄，記錄運(yùn)維操作的日志信息，包括對(duì)被管理資源的詳細(xì)操作行為。⑷實(shí)現(xiàn)運(yùn)維操作審計(jì)，對(duì)運(yùn)維人員的操作進(jìn)行全程監(jiān)控和記錄，實(shí)現(xiàn)運(yùn)維操作的安全審計(jì)滿足信息安全審計(jì)要求。

1 主要技術(shù)創(chuàng)新點(diǎn)

⑴網(wǎng)絡(luò)安全性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)的部署對(duì)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)影響應(yīng)盡可能小。系統(tǒng)對(duì)現(xiàn)有網(wǎng)絡(luò)不應(yīng)有特殊要求。對(duì)系統(tǒng)故障有完善的保護(hù)機(jī)制，系統(tǒng)故障后不會(huì)影響業(yè)務(wù)系統(tǒng)正常運(yùn)營，并能夠快速恢復(fù)達(dá)到保障運(yùn)維正常進(jìn)行的要求。⑵信息安全性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)提供完善的用戶管理、賬號(hào)管理、行為審計(jì)等多種安全手段的同時(shí)，確保系統(tǒng)本身的信息收集、處理和保存過程的安全，系統(tǒng)提供保存信息的加密存儲(chǔ)確保敏感信息不能泄露或被竊取，系統(tǒng)提供嚴(yán)格的自審計(jì)系統(tǒng)，保證對(duì)設(shè)備操作的完整記錄。⑶準(zhǔn)確性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)應(yīng)保證數(shù)據(jù)處理的準(zhǔn)確性和一致性。⑷開放性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)采用符合河南有線現(xiàn)有的、規(guī)范的、開放的接口協(xié)議，以保證系統(tǒng)對(duì)各種外部系統(tǒng)的互連能力。⑸擴(kuò)展性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)具備平滑擴(kuò)容的能力，擴(kuò)容時(shí)應(yīng)不改變組網(wǎng)結(jié)構(gòu)，不降低系統(tǒng)性能，能滿足河南有線業(yè)務(wù)發(fā)展的需求。⑹易用性：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)具有良好的人機(jī)操作界面、更好的提示信息，方便系統(tǒng)管理人員使用。⑺技術(shù)領(lǐng)先以及后續(xù)支持能力保證原則：能夠提供開放和完整的API接口供二次開發(fā)使用，并在業(yè)內(nèi)同類型產(chǎn)品中處于領(lǐng)先地位并有持續(xù)的研發(fā)技術(shù)團(tuán)隊(duì)，能夠滿足河南有線的特色化需求。

2 系統(tǒng)主要功能

⑴身份認(rèn)證與授權(quán)：身份認(rèn)證采取設(shè)置不同賬號(hào)，來區(qū)分自然人的身份，從而將誰使用共享賬號(hào)的情況準(zhǔn)確定位到自然人身上；授權(quán)，能夠?qū)⒕S護(hù)不同設(shè)備的管理員嚴(yán)格劃分，使管理員只能看到自己維護(hù)的設(shè)備資源。系統(tǒng)提供基于用戶、運(yùn)維協(xié)議、目標(biāo)主機(jī)、運(yùn)維時(shí)間段、會(huì)話時(shí)長、運(yùn)維客戶端IP等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實(shí)際授權(quán)的需求。

⑵用戶管理：可以根據(jù)具體的維護(hù)人員添加唯一與其身份對(duì)應(yīng)的用戶，實(shí)現(xiàn)維護(hù)人員身份的唯一性管理。可以劃分多種用戶角色，以實(shí)現(xiàn)賬號(hào)權(quán)限的三權(quán)分立（使用權(quán)、管理權(quán)、監(jiān)督權(quán)）；提供臨時(shí)用戶賬號(hào)功能，臨時(shí)帳號(hào)可定期自動(dòng)回收；提供賬號(hào)有效期管理，設(shè)置用戶賬號(hào)的有效時(shí)間，時(shí)間精確到天。

⑶訪問控制：可實(shí)現(xiàn)基于用戶、目標(biāo)設(shè)備、系統(tǒng)帳號(hào)、登陸規(guī)則、訪問協(xié)議類型，設(shè)定比較詳細(xì)的訪問控制列表，可以對(duì)用戶訪問權(quán)限進(jìn)行查看、變更、刪除等操作；針對(duì)每條訪問控制，可以設(shè)置一條或者多條基于時(shí)間段、地址范圍的登錄規(guī)則，以方便對(duì)用戶接入的限制管理。針對(duì)采用http/https協(xié)議的訪問，可以做到基于URL訪問控制；

⑷密碼管理：以靜態(tài)口令登錄的服務(wù)器，可以用運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)統(tǒng)一管理，這樣可以控制將設(shè)備口令透露給第三方人員。通過對(duì)目標(biāo)設(shè)備密碼的托管，實(shí)現(xiàn)對(duì)后臺(tái)設(shè)備的自動(dòng)登錄；可以實(shí)現(xiàn)對(duì)后臺(tái)windows、unix、linux設(shè)備系統(tǒng)密碼的定期自動(dòng)修改。

⑸設(shè)備訪問：可以通過運(yùn)維操作管理系統(tǒng)的WEB頁面直接登錄到后臺(tái)各類設(shè)備，不再依賴任何客戶端程序；字符類型操作設(shè)備，也可以同時(shí)支持常用客戶端軟件登陸；字符設(shè)備訪問支持賬號(hào)間的自動(dòng)切換登錄和不同設(shè)備間的自動(dòng)切換登錄；windows的遠(yuǎn)程登錄要支持磁盤映射功能。

⑹實(shí)時(shí)監(jiān)控：可以通過網(wǎng)絡(luò)連接查看當(dāng)前正在運(yùn)維人員對(duì)設(shè)備的實(shí)時(shí)操作情況。

監(jiān)控正在運(yùn)維的會(huì)話，信息包括運(yùn)維用戶、運(yùn)維客戶端地址、資源地址、協(xié)議、開始時(shí)間等；

監(jiān)控后臺(tái)資源被訪問情況；提供在線運(yùn)維操作的實(shí)時(shí)監(jiān)控功能。針對(duì)命令交互性協(xié)議可以圖像方式實(shí)時(shí)監(jiān)控正在運(yùn)維的各種操作，其信息與運(yùn)維客戶端所見完全一致。

⑺文件傳輸：對(duì)于Windows設(shè)備，還可以支持磁盤映射功能，將本地磁盤映射到目標(biāo)服務(wù)器上去，以方便文件的傳輸操作。用戶可以通過運(yùn)維操作管理系統(tǒng)，進(jìn)行文件的FTP/SFTP/SCP方式的傳輸操作；

⑻報(bào)表功能：運(yùn)維權(quán)限集中管理與審計(jì)系統(tǒng)提供多種報(bào)表展示的同時(shí)還能夠提供客戶自定義報(bào)表生成；審計(jì)員可導(dǎo)出報(bào)表后發(fā)郵件給相關(guān)負(fù)責(zé)人，可以將用戶信息、設(shè)備信息、系統(tǒng)用戶和權(quán)限列表生成表格，并以excel格式導(dǎo)出備份。

[參考文獻(xiàn)]

[1]徐茂智.信息安全概論.人民郵電出版社.北京： 2007.8.

[2]楚狂，等，編著.《網(wǎng)絡(luò)安全與防火墻技術(shù)》.北京：人民郵電出版社，2000.4.

[3]韓海東，王超，李群.《入侵檢測系統(tǒng)實(shí)例剖析》.北京：清華大學(xué)出版社，2002.5.