• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      關(guān)于諾西FLEXI BSC用戶權(quán)限管理的建議

      2015-09-01 16:06:37王胤灝
      科技視界 2015年25期

      王胤灝

      【摘 要】當(dāng)前FLEXI BSC的權(quán)限管理存在漏洞,發(fā)現(xiàn)因誤操作而造成所有指令無法執(zhí)行的安全隱患。通過研究FLEXI BSC的用戶權(quán)限管理機(jī)制,分析日常維護(hù)所需的安全需求,提出對應(yīng)的改進(jìn)建議。

      【關(guān)鍵詞】用戶權(quán)限;終端權(quán)限;指令權(quán)限

      1 故障現(xiàn)象

      在日常例行巡檢中發(fā)現(xiàn)諾西FLEXI BSC下,任何指令執(zhí)行失敗,系統(tǒng)提示:COMMAND NOT AUTHORIZED。嘗試使用兩個常用用戶登錄,指令執(zhí)行均失敗。而其他BSC正常。

      COMMAND NOT AUTHORIZED指示用戶無權(quán)限執(zhí)行該條MML指令,因此判斷該BSC下的權(quán)限被修改。

      2 權(quán)限原理

      FLEXI BSC定義了3類權(quán)限:用戶權(quán)限、終端權(quán)限、MML指令權(quán)限。3類權(quán)限相互關(guān)系為:用戶權(quán)限和終端權(quán)限決定了訪問權(quán)限,訪問權(quán)限與MML指令權(quán)限等級比較——如訪問權(quán)限等于或高于MML權(quán)限等級,則指令可執(zhí)行;訪問權(quán)限低于MML權(quán)限等級,則指令執(zhí)行失?。–OMMAND NOT AUTHORIZED)。

      權(quán)限定義與查詢:

      2.1 MML權(quán)限等級:COMMAND AUTHORITY

      設(shè)置MML指令權(quán)限的意圖是在于區(qū)分指令的重要等級,對于特別重要的指令僅限特定用戶才能執(zhí)行。

      MML被分為5個等級,用數(shù)字表示,由高到底:250、200、150、100、50,數(shù)字越高則MML權(quán)限等級越高,對用戶的權(quán)限要求越高。

      MML權(quán)限等級可用指令:IAT查詢。

      2.2 用戶權(quán)限:USERID AUTHERITY

      設(shè)置用戶權(quán)限,通過用戶名/密碼的限制,防止未授權(quán)人員操作BSC。

      對應(yīng)MML權(quán)限等級,普通用戶權(quán)限分為250、200、150、100、50,數(shù)字越高則用戶權(quán)限越高。

      特別的,可以定義超級用戶,其權(quán)限為251,從而可以執(zhí)行所有的MML指令。

      用戶權(quán)限可用指令:IAI查詢。

      2.3 終端權(quán)限:TERMINAL AUTHORITY

      設(shè)置終端權(quán)限,通過驗(yàn)證接入終端(如PC機(jī)等),防止未授權(quán)設(shè)備操作BSC。

      對應(yīng)MML權(quán)限等級,普通終端權(quán)限分為250、200、150、100、50,數(shù)字越高則用戶權(quán)限越高。

      特別的,可以定義超級終端,其權(quán)限為251,從而通過固定終端對BSC執(zhí)行所有的MML指令。

      終端權(quán)限可用指令:IAI查詢。

      2.4 訪問權(quán)限:SESSION AUTHORITY

      當(dāng)普通用戶通過普通終端登錄BSC時,兩者中較小的權(quán)限決定了其訪問權(quán)限。例如:250用戶權(quán)限+100終端權(quán)限——100訪問權(quán)限,只能執(zhí)行100及以下的指令。

      而如果超級用戶或超級終端符合其一,則訪問權(quán)限最大,為251,可進(jìn)行任何操作。例如:251用戶權(quán)限+50終端權(quán)限——251訪問權(quán)限,可執(zhí)行任何指令。

      2.5 PROFILE

      FLEXI BSC設(shè)置PROFILE權(quán)限組,通過將用戶/終端與PROFILE關(guān)聯(lián)的方式,設(shè)定用戶/終端的權(quán)限值。

      創(chuàng)建或修改PROFILE指令為:IAA。

      將用戶/終端與PROFILE關(guān)聯(lián)指令為:IAE。

      因此每個BSC的權(quán)限設(shè)置通過以下步驟完成:(1)分別創(chuàng)建USER ID PROFILE和TERMINAL PROFILE。(2)創(chuàng)建USER ID,同時指定至PROFILE,設(shè)置密碼。(3)將TERMINAL指定到對應(yīng)的PROFILE。

      3 故障處理

      在日常巡檢發(fā)現(xiàn)某BSC所有用戶均無法執(zhí)行MML指令,使用不同用戶名嘗試執(zhí)行均失敗,而接入方式均為遠(yuǎn)程登錄VTP形式,因此判斷因VTP的終端權(quán)限被修改導(dǎo)致。

      在該故障情況下,已無法執(zhí)行任何指令。因此動用了非常規(guī)手段,用FTT提取備份數(shù)據(jù)庫中/FBXXXXXX/LFILE/目錄中權(quán)限相關(guān)的三個文件:CAUTHOGX.IMG、PAUTHOGX.IMG、TAUTHOGX.IMG,覆蓋了當(dāng)前軟件包內(nèi)的三個文件,重啟OMU后權(quán)限設(shè)置恢復(fù)正常,MML指令可執(zhí)行。

      該故障的發(fā)生引起了維護(hù)人員的重視,現(xiàn)網(wǎng)FLEXI BSC權(quán)限管理存在漏洞:(1)無超級用戶和超級終端;(2)缺乏終端權(quán)限管理,VTP、VDP等終端指定至同一個PROFILE,因此所有終端權(quán)限均被修改。

      4 安全需求及權(quán)限管理建議

      針對現(xiàn)網(wǎng)權(quán)限管理漏洞,提出以下四點(diǎn)建議:

      (1)每個BSC增加一個超級用戶,從而可以不受限制地執(zhí)行指令,便于短時間內(nèi)處理誤操作,減少影響。同時在內(nèi)部管理上限制該用戶名/密碼的使用和使用者,非重大情況下不得使用。

      (2)BSC側(cè)創(chuàng)建一個超級終端(近端VDU),從而可以不受限制地執(zhí)行指令。同時在內(nèi)部管理上限制該終端的使用,非重大情況下不得使用。

      (3)區(qū)分VDU、VTP對應(yīng)的PROFILE,防止因操作失誤修改所有的終端權(quán)限。

      (4)對不同部門分配不同用戶名/密碼,同時將超級用戶MML COMMAND LOG ACCESSIBILITY參數(shù)設(shè)為COM,以便管理用戶和事后調(diào)查。

      【參考文獻(xiàn)】

      [1]DX200 i-series System Operation and Maintenance[Z].Nokia System Oy,2003.

      [責(zé)任編輯:劉展]

      阿合奇县| 荔波县| 凤翔县| 陵水| 安达市| 大英县| 枣强县| 子长县| 龙泉市| 广饶县| 兴宁市| 益阳市| 玛曲县| 盐亭县| 青神县| 石阡县| 蓬安县| 泸溪县| 高州市| 涟源市| 海阳市| 吉木萨尔县| 德化县| 杭锦后旗| 保亭| 宜黄县| 密山市| 伊吾县| 郁南县| 乐安县| 新竹市| 利川市| 浑源县| 凤山市| 公安县| 游戏| 揭阳市| 含山县| 申扎县| 扶余县| 海南省|