傳統(tǒng)媒體傳播模式從思想層面上來講�,是一種預(yù)先策劃好的自上而下的線性傳播�,是中國社會(huì)能夠穩(wěn)步向前發(fā)展的一塊基石。新媒體是“所有人面向所有人進(jìn)行的傳播”���,傳統(tǒng)媒體和新媒體具有很強(qiáng)的互補(bǔ)性����,新媒體和傳統(tǒng)媒體的聯(lián)動(dòng)融合���,相互依存���、相互借鑒、共同發(fā)展將引導(dǎo)輿論新格局�。傳統(tǒng)媒體與新媒體走融合發(fā)展之路,共同朝著智能媒體的方向邁進(jìn)�����,這是媒體行業(yè)的共同特點(diǎn)����。
網(wǎng)絡(luò)電視臺(tái)(新媒體)網(wǎng)絡(luò)安全解決方案
網(wǎng)絡(luò)電視臺(tái)(新媒體)是在三網(wǎng)融合大趨勢下構(gòu)建的新媒體運(yùn)營平臺(tái),其建設(shè)目標(biāo)是通過統(tǒng)一的視頻內(nèi)容整合和管理能力���,提供基于IPTV����、手機(jī)電視���、互聯(lián)網(wǎng)電視��、門戶網(wǎng)站等多種終端的媒體傳播����,實(shí)現(xiàn)支持跨終端業(yè)務(wù)聯(lián)動(dòng)和服務(wù)融合�����,從而建立全新的媒體產(chǎn)業(yè)化運(yùn)營模式���。
網(wǎng)絡(luò)電視臺(tái)(新媒體)的整體業(yè)務(wù)是匯聚來自IPTV收錄�、上載�、合作伙伴專線接入、網(wǎng)絡(luò)上傳等渠道傳送的節(jié)目和素材�,經(jīng)過編輯加工,形成適合新媒體業(yè)務(wù)的節(jié)目形態(tài)�,經(jīng)IPTV、手機(jī)電視、互聯(lián)網(wǎng)電視和門戶網(wǎng)站的播出平臺(tái)對(duì)外發(fā)布����。業(yè)務(wù)體系包括節(jié)目和素材的采、編��、播�、管、存等基礎(chǔ)業(yè)務(wù)�����,與傳統(tǒng)電視臺(tái)相比���,其最大的區(qū)別在于網(wǎng)絡(luò)電視臺(tái)的生產(chǎn)系統(tǒng)需要連接外網(wǎng)����,這就把網(wǎng)絡(luò)安全提高到戰(zhàn)略的層面��。
面臨的挑戰(zhàn)及安全需求
網(wǎng)絡(luò)電視臺(tái)(新媒體)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)需要滿足四大重點(diǎn)需求:
1)建立內(nèi)容生產(chǎn)服務(wù)平臺(tái)與播控區(qū)互聯(lián)互通的安全網(wǎng)絡(luò)通道�����;建立與合作伙伴進(jìn)行安全高效的素材交換的網(wǎng)絡(luò)通道�����;建立接入網(wǎng)絡(luò)與來自互聯(lián)網(wǎng)的合作伙伴的進(jìn)行素材交換;建立與辦公網(wǎng)絡(luò)和媒資系統(tǒng)互聯(lián)互通的安全網(wǎng)絡(luò)通道��。
2)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全域�����,基于基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)��,梳理上下載��、上傳�����、收錄���、編輯、內(nèi)容管理��、發(fā)布等業(yè)務(wù)邊界���。
3)需要建設(shè)網(wǎng)絡(luò)安全保障與風(fēng)險(xiǎn)防范����、綜合安全監(jiān)控管理系統(tǒng),實(shí)現(xiàn)基于監(jiān)控����、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度的信息系統(tǒng)安全管理功能����。
4)需要實(shí)現(xiàn)業(yè)務(wù)終端區(qū)設(shè)備的安全接入和統(tǒng)一認(rèn)證、單點(diǎn)登錄���、分散授權(quán)����,保證節(jié)目的快編����、精編、上下載和運(yùn)維管理業(yè)務(wù)的順暢運(yùn)行����,同時(shí)實(shí)現(xiàn)運(yùn)維管理人員的雙因素認(rèn)證功能,確保人員身份唯一性��。
安全解決方案
※ 劃分安全域,梳理網(wǎng)絡(luò)邊界����,加強(qiáng)域間域內(nèi)訪問控制
媒資獲取渠道眾多,而這些渠道的安全性不能完全保障�����,攻擊及病毒等惡意代碼能夠通過媒資獲取渠道侵入網(wǎng)絡(luò)廣播電視臺(tái)系統(tǒng)媒資庫����,從而造成嚴(yán)重影響�����。因此�����,對(duì)于這類邊界必須進(jìn)行強(qiáng)隔離��,重點(diǎn)關(guān)注兩類防護(hù):一是進(jìn)行訪問控制���,避免非授權(quán)訪問及可能的網(wǎng)絡(luò)攻擊��;另一方面����,要對(duì)獲取的媒資進(jìn)行病毒等惡意代碼的檢查,避免病毒的侵入���??刹渴餟TM類產(chǎn)品(具備防火墻��、防毒墻����、入侵防御等各類邊界防護(hù)功能)。
1��、網(wǎng)絡(luò)外部邊界的關(guān)鍵安全措施包括:接入管理區(qū)防火墻�、接入VPN網(wǎng)關(guān)、安全交互區(qū)的UTM�、門戶網(wǎng)站去IDC機(jī)房防火墻、IPTV播控區(qū)去運(yùn)營商機(jī)房防火墻����。
2、內(nèi)部區(qū)域邊界的關(guān)鍵安全措施包括:接入管理區(qū)隔離UTM�、辦公與生產(chǎn)區(qū)域的隔離UTM���、移動(dòng)工作區(qū)隔離的防毒墻和內(nèi)容生產(chǎn)與播控隔離的防火墻。
※ 系統(tǒng)身份認(rèn)證和操作的合規(guī)性審計(jì)
內(nèi)容生產(chǎn)系統(tǒng)�����、播控平臺(tái)等系統(tǒng)內(nèi)有多類重要應(yīng)用����,直接影響著安全生產(chǎn)和播出,對(duì)于這些應(yīng)用系統(tǒng)的使用者必須進(jìn)行嚴(yán)格的身份鑒定���,僅依靠用戶名/口令較為薄弱�����,一旦口令泄露或者在網(wǎng)絡(luò)內(nèi)被嗅探,將有可能會(huì)使內(nèi)外部的非授權(quán)人員進(jìn)入核心應(yīng)用系統(tǒng)而進(jìn)行非法操作���,因此�,可考慮對(duì)應(yīng)用系統(tǒng)的使用人員采用雙因素認(rèn)證等措施加強(qiáng)身份認(rèn)證��,同時(shí)����,所有的應(yīng)用系統(tǒng)應(yīng)嚴(yán)格限制每個(gè)賬號(hào)的權(quán)限��。
※ 全網(wǎng)綜合安全監(jiān)測管理平臺(tái)
1����、綜合安全監(jiān)測管理平臺(tái):從監(jiān)控�、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度對(duì)信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控����、配置與事件的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢的評(píng)估����、事件集中收集、關(guān)聯(lián)分析和自動(dòng)化管理�,經(jīng)過平臺(tái)的處理與分析,在海量數(shù)據(jù)中挖掘出重要的�����、危險(xiǎn)的�����、有用的信息;全面地監(jiān)視網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)生的各種事件��,有助于了解網(wǎng)絡(luò)安全設(shè)備的安全環(huán)境等的使用狀況�;通過對(duì)安全事件的深度分析,并快速做出智能響應(yīng)����,實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的統(tǒng)一監(jiān)控分析和預(yù)警處理;利用多項(xiàng)指標(biāo)計(jì)算得出安全對(duì)象所面臨風(fēng)險(xiǎn)數(shù)值�����,并根據(jù)指標(biāo)的變化得出資產(chǎn)當(dāng)前的風(fēng)險(xiǎn)狀況����;掌握各資產(chǎn)的名稱、IP�����、CIA屬性機(jī)密性���、可用性、完整性及脆弱性信息�����,對(duì)網(wǎng)絡(luò)中的設(shè)備、主機(jī)�����、應(yīng)用系統(tǒng)等方面的綜合管理與監(jiān)控�����,利于實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的綜合安全管理
2�����、入侵檢測系統(tǒng)組件:在內(nèi)容生產(chǎn)區(qū)核心�����、門戶播控匯聚�、IPTV播控核心、接入管理區(qū)核心部署入侵檢測系統(tǒng)�,與綜合安全監(jiān)測管理平臺(tái)對(duì)接。
3�����、漏洞掃描和漏洞管理:部署全網(wǎng)無IP限制漏洞掃描系統(tǒng),實(shí)現(xiàn)全網(wǎng)漏洞掃描�����;部署漏洞管理系統(tǒng)����,實(shí)現(xiàn)漏洞的發(fā)現(xiàn)、驗(yàn)證���、修復(fù)等全生命周期管理�,與綜合安全監(jiān)測管理平臺(tái)對(duì)接����。
4、終端和服務(wù)器自身安全:對(duì)于移動(dòng)終端�����,由臺(tái)里統(tǒng)一安裝必備軟件�,并關(guān)閉管理員帳戶,避免用戶自由卸載�����、安裝軟件��。安全軟件需要加裝:防病毒�、補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入����、介質(zhì)管理(固定終端)。關(guān)鍵服務(wù)器和重要終端數(shù)據(jù)按需與綜合安全監(jiān)測管理平臺(tái)對(duì)接��。
解決方案整體安全措施部署示意圖如下所示:
有線電視前端交互系統(tǒng)安全審計(jì)解決方案
有線數(shù)字電視系統(tǒng)網(wǎng)絡(luò)的數(shù)字化��、網(wǎng)絡(luò)化和雙向網(wǎng)絡(luò)改造建設(shè)快速發(fā)展��,特別是體現(xiàn)人機(jī)互動(dòng)和交互功能特點(diǎn)的有線數(shù)字電視前端系統(tǒng)的發(fā)展尤為突出��。有線數(shù)字電視前端系統(tǒng)IT資產(chǎn)和業(yè)務(wù)應(yīng)用系統(tǒng)是有線數(shù)字電視網(wǎng)絡(luò)運(yùn)營商在互聯(lián)網(wǎng)浪潮和三網(wǎng)融合大背景下得以正常運(yùn)營的重要基礎(chǔ)設(shè)施����,管理好這些IT基礎(chǔ)設(shè)施,是各有線數(shù)字電視網(wǎng)絡(luò)運(yùn)營商必須完成的使命���。
各種安全事件呈幾何級(jí)增長��,來自外部的攻擊入侵事件頻發(fā)�,而且日益呈現(xiàn)出“組織性”、“針對(duì)性”和“目的性”的特點(diǎn)����,安全事件的應(yīng)急響應(yīng)的經(jīng)驗(yàn)告訴我們,一旦出現(xiàn)入侵事件后�,分析日志是發(fā)現(xiàn)入侵攻擊蛛絲馬跡的關(guān)鍵手段。內(nèi)部人員的誤操作或有意無意的泄密事件也時(shí)有發(fā)生��,日志分析也是排錯(cuò)的重要手段�,同時(shí)還可以協(xié)助我們進(jìn)行責(zé)任認(rèn)定。在這樣日益嚴(yán)峻的情況下����,如何確保有線數(shù)字電視前端系統(tǒng)的安全,尤其是如何更好地防范與審計(jì)內(nèi)部管理人員對(duì)前端系統(tǒng)的訪問和操作行為�����,成為當(dāng)前保障數(shù)據(jù)信息安全的重要環(huán)節(jié)�。
面臨的挑戰(zhàn)及安全需求
有線數(shù)字電視前端系統(tǒng)在日志管理方面的挑戰(zhàn)和需求是利用“日志留存”、“痕跡保留”和“運(yùn)維審計(jì)”手段實(shí)現(xiàn)綜合審計(jì)�����,具體包括日志全生命周期管理,精確的管理授權(quán)���、網(wǎng)絡(luò)與數(shù)據(jù)庫管理系統(tǒng)操作審計(jì)。
1�、日志全生命周期管理。日志(Log)是對(duì)IT系統(tǒng)在運(yùn)行過程中產(chǎn)生的事件的記錄��。通過日志����,IT管理人員可以了解系統(tǒng)的運(yùn)行狀況,獲悉信息系統(tǒng)的安全運(yùn)行狀態(tài)����,識(shí)別針對(duì)信息系統(tǒng)的攻擊和入侵,以及來自內(nèi)部的違規(guī)和信息泄露事件�����,能夠?yàn)槭潞蟮膯栴}分析和調(diào)查取證提供必要的信息�����。網(wǎng)絡(luò)安全日志管理與審計(jì)系統(tǒng)能夠?qū)崟r(shí)不間斷地采集有線數(shù)字電視前端系統(tǒng)網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備、主機(jī)�����、操作系統(tǒng)��、數(shù)據(jù)庫管理系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息����,實(shí)現(xiàn)日志信息的范式化、關(guān)聯(lián)分析和基于日志的審計(jì)功能�,以幫助管理員有效排錯(cuò),便于事件追查和責(zé)任認(rèn)定��。
2��、精確的管理授權(quán)�����。首先實(shí)現(xiàn)基于對(duì)自然人身份以及資源�、資源賬號(hào)的集中管理,建立“自然人—資源—資源賬號(hào)”對(duì)應(yīng)關(guān)系�,實(shí)現(xiàn)自然人對(duì)資源的統(tǒng)一授權(quán)�。其次�,對(duì)運(yùn)維人員根據(jù)其職責(zé)進(jìn)行權(quán)限的分配和管理,運(yùn)維人員只能在權(quán)限范圍內(nèi)�����,進(jìn)行資源的訪問以及日常的運(yùn)維工作�,不能訪問未經(jīng)授權(quán)的資源�。然后可根據(jù)用戶、用戶組�����、訪問主機(jī)���、目標(biāo)系統(tǒng)賬號(hào)�����、訪問方式等設(shè)置細(xì)粒度訪問策略����,根據(jù)訪問授權(quán)列表自動(dòng)展示授權(quán)范圍內(nèi)的主機(jī)和可訪問的資源�,實(shí)現(xiàn)運(yùn)維用戶與后臺(tái)資源帳號(hào)相對(duì)應(yīng)���,限制帳號(hào)的越權(quán)使用。
3�����、網(wǎng)絡(luò)與數(shù)據(jù)庫管理系統(tǒng)操作審計(jì)�����。需要針對(duì)有線數(shù)字電視前端系統(tǒng)環(huán)境下的基于網(wǎng)絡(luò)的操作行為進(jìn)行細(xì)粒度審計(jì)的管理����,通過對(duì)運(yùn)維人員訪問網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的操作行為進(jìn)行解析、分析�、記錄、匯報(bào)���,以加強(qiáng)內(nèi)����、外部運(yùn)維人員對(duì)網(wǎng)絡(luò)和數(shù)據(jù)庫管理系統(tǒng)操作行為細(xì)顆粒度的監(jiān)管��。系統(tǒng)可針對(duì)網(wǎng)絡(luò)運(yùn)維協(xié)議進(jìn)行解析�����,以達(dá)到對(duì)網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫管理系統(tǒng)操作訪問的全面審計(jì),常用的運(yùn)維協(xié)議包括通過字符協(xié)議Telnet�����、Rlogin���、SSH的遠(yuǎn)程登錄���,通過圖形協(xié)議RDP����、VNC、X11的操作以及PLSQL����、SQLPlus等數(shù)據(jù)庫操作協(xié)議。
安全解決方案
有線數(shù)字電視前端系統(tǒng)一般包括CA條件接收系統(tǒng)���、EPG電子節(jié)目指南����、SMS用戶管理系統(tǒng)、數(shù)據(jù)廣播系統(tǒng)和VOD/NVOD等���。各業(yè)務(wù)應(yīng)用在網(wǎng)絡(luò)結(jié)構(gòu)上相對(duì)獨(dú)立����,為了保證現(xiàn)有的安全區(qū)域不發(fā)生根本變化�,使得各區(qū)域之間的安全策略改變最小,日志采集器連接在各業(yè)務(wù)系統(tǒng)的匯聚交換機(jī)上����,基于以下考慮因素:
1、日志采集器可非常方便地通過匯聚交換機(jī)到達(dá)有線數(shù)字電視前端各業(yè)務(wù)系統(tǒng)的設(shè)備�����,日志采集器與設(shè)備之間經(jīng)過的防火墻或ACL策略最少�����,對(duì)內(nèi)部防火墻的策略改動(dòng)最少�����,從而保證對(duì)現(xiàn)有系統(tǒng)的影響降至最低。日志采集器連接到有線數(shù)字電視前端各業(yè)務(wù)系統(tǒng)匯聚的交換機(jī)上��,在網(wǎng)絡(luò)路由層面上日志采集器與各資源的的通訊路徑最短���,在采集各設(shè)備上的日志時(shí)�,可減少網(wǎng)絡(luò)上的非業(yè)務(wù)流量的傳輸��,起到優(yōu)化網(wǎng)絡(luò)傳輸內(nèi)容的作用�����。
2�、日志采集器與安全審計(jì)中心服務(wù)器之間通訊的業(yè)務(wù)流向非常清晰,運(yùn)維區(qū)的安全管理員可以清晰地設(shè)計(jì)日志采集器與審計(jì)中心之間的網(wǎng)絡(luò)訪問策略�����。
如下圖所示��,基于有線數(shù)字電視前端系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)區(qū)域的劃分情況�,采用安全審計(jì)中心和日志采集器分離的部署模式�����。前端各個(gè)業(yè)務(wù)應(yīng)用本地分別部署一臺(tái)日志采集器,負(fù)責(zé)采集其所在區(qū)域業(yè)務(wù)應(yīng)用設(shè)備的日志數(shù)據(jù)�,同時(shí)采集運(yùn)維操作行為日志,數(shù)據(jù)傳送到安全審計(jì)中心服務(wù)器進(jìn)行集中存儲(chǔ)和關(guān)聯(lián)分析����,實(shí)現(xiàn)日志全生命周期管理和基于日志的安全審計(jì)功能。安全審計(jì)中心作為綜合審計(jì)平臺(tái)的前端用戶交互界面和管控中心����,實(shí)現(xiàn)運(yùn)維審計(jì)、帳號(hào)管理��、權(quán)限管理和身份認(rèn)證等核心功能����。
方案部署示意圖如下所示:
方案主要價(jià)值
在有線數(shù)字電視前端系統(tǒng)中部署綜合審計(jì)平臺(tái),利用運(yùn)維堡壘機(jī)這一重要組件很好的解決了運(yùn)維管理賬號(hào)分散���、認(rèn)證強(qiáng)度不一�����,授權(quán)管理混亂等諸多安全審計(jì)與管理問題�����,實(shí)現(xiàn)了運(yùn)維安全審計(jì)和控制的目的�����。
同時(shí)��,有效的解決了日志全生命周期的管理問題����,實(shí)現(xiàn)系統(tǒng)日志、網(wǎng)絡(luò)日志���、安全日志�����、操作行為日志的收集���、歸并、存儲(chǔ)�����、關(guān)聯(lián)分析�����,便于完成基于日志的安全審計(jì)����、排錯(cuò)與輔助責(zé)任認(rèn)定工作。
智慧廣電網(wǎng)絡(luò)4A解決方案
“寬帶中國”戰(zhàn)略的部署對(duì)于廣電行業(yè)網(wǎng)絡(luò)視聽領(lǐng)域帶來全新的發(fā)展機(jī)遇���,綜合利用有線����、無線技術(shù)推動(dòng)電信網(wǎng)�、廣播電視網(wǎng)和互聯(lián)網(wǎng)融合發(fā)展,加快構(gòu)建寬帶�����、融合����、安全、泛在的下一代國家信息基礎(chǔ)設(shè)施成為智慧廣電戰(zhàn)略的必由之路����。
“智慧廣電的本質(zhì)是新興信息技術(shù)與廣電產(chǎn)業(yè)有優(yōu)勢的高度融合�����,廣電產(chǎn)業(yè)不但是信息的生產(chǎn)者�、傳播者����,更應(yīng)該是新生活方式的發(fā)起者、組織者和提供者����。”
近年來有線網(wǎng)絡(luò)公司用戶的業(yè)務(wù)系統(tǒng)發(fā)展十分迅速��,內(nèi)部的系統(tǒng)數(shù)和用戶數(shù)不斷增加�,網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大,應(yīng)用擴(kuò)展和融合發(fā)展迅速��,同時(shí)作為廣電運(yùn)營商����、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營者對(duì)網(wǎng)絡(luò)安全的要求也與日俱增,其中賬號(hào)管理混亂��、身份認(rèn)證分散不統(tǒng)一權(quán)限分配隨意��、審計(jì)信息不全缺乏關(guān)聯(lián)是急需解決的重要安全問題之一�。
面臨的挑戰(zhàn)及安全需求
廣電網(wǎng)絡(luò)公司在信息化系統(tǒng)中存在著賬號(hào)、認(rèn)證���、授權(quán)�����、審計(jì)等方面的各種問題����,所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和安全需求是帳號(hào)管理系統(tǒng)����、統(tǒng)一認(rèn)證系統(tǒng)、集中授權(quán)系統(tǒng)和綜合審計(jì)系統(tǒng)����。面臨的具體安全挑戰(zhàn)包括下面幾個(gè)方面:
1)帳號(hào)繁多,管理困難����,管理成本較高,難以實(shí)現(xiàn)帳號(hào)權(quán)限的有效監(jiān)督和審核��,難以維護(hù)有效的用戶帳號(hào)列表,對(duì)于離職或者工作崗位變更的用戶����,很難干凈徹底的刪除或者禁止相應(yīng)帳號(hào),容易產(chǎn)生無主帳號(hào)或者容易發(fā)生安全問題�,用戶自主設(shè)定、修改密碼���,密碼強(qiáng)度難以保證����、定期修改的規(guī)定難以執(zhí)行�����。
2)隨著業(yè)務(wù)系統(tǒng)的增多�,使用戶經(jīng)常要在各個(gè)系統(tǒng)之間切換,每次從一個(gè)系統(tǒng)切換到另一支撐系統(tǒng)時(shí)����,都需要輸入用戶名和口令進(jìn)行登錄,給用戶的工作帶來不便�,影響了工作效率。用戶為便于記憶口令會(huì)采用較簡單的口令或?qū)⒍鄠€(gè)支撐系統(tǒng)的口令設(shè)置成相同的,危害到系統(tǒng)的安全性��。
3)各系統(tǒng)管理員分別管理所屬的系統(tǒng)資源����,為本系統(tǒng)的用戶分配權(quán)限�,由此導(dǎo)致許多安全隱患,比如:缺乏集中統(tǒng)一的資源授權(quán)管理平臺(tái)�����,無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限���。
4)由于各支撐系統(tǒng)獨(dú)立運(yùn)行�����、維護(hù)和管理�,所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的��,不但各個(gè)系統(tǒng)單獨(dú)審計(jì)��,即使同一系統(tǒng)中的每個(gè)網(wǎng)絡(luò)設(shè)備���,每個(gè)主機(jī)系統(tǒng)��,每個(gè)業(yè)務(wù)系統(tǒng)及每個(gè)數(shù)據(jù)庫系統(tǒng)都要分別進(jìn)行審計(jì)�����,缺乏集中統(tǒng)一的系統(tǒng)訪問審計(jì)�。
安全解決方案
在帳號(hào)管理方面,需要實(shí)現(xiàn)對(duì)自然人身份�����,以及系統(tǒng)帳號(hào)和應(yīng)用帳號(hào)的統(tǒng)一集中管理��,包括按照密碼策略自動(dòng)更改密碼�����,賬號(hào)同步等����。
在認(rèn)證管理方面,需要實(shí)現(xiàn)對(duì)不同業(yè)務(wù)系統(tǒng)操作者身份認(rèn)證的統(tǒng)一集中管理���,并且采用SSO方式實(shí)現(xiàn)自然人訪問資源的透明登錄���。
在集中授權(quán)方面�����,需要實(shí)現(xiàn)自然人對(duì)資源的統(tǒng)一授權(quán)�����,建立“自然人帳號(hào)——資源——資源帳號(hào)”的對(duì)應(yīng)關(guān)系���,實(shí)現(xiàn)不同用戶對(duì)系統(tǒng)不同資源的訪問��。
在綜合審計(jì)方面��,需要完成對(duì)授權(quán)人員的業(yè)務(wù)操作行為進(jìn)行記錄���、分析���、展現(xiàn),以幫助內(nèi)控工作事前規(guī)劃預(yù)防����、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告���、事故追蹤回放�����,加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管�、避免核心資產(chǎn)(數(shù)據(jù)庫�����、服務(wù)器��、網(wǎng)絡(luò)設(shè)備等)損失����、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。
如下圖所示�����,將賬號(hào)(Account)管理�����、認(rèn)證(Authentication)管理、授權(quán)(Authorization)管理和安全審計(jì)(Audit)��,4個(gè)A在內(nèi)的所有功能模塊集成在一起�,以一個(gè)統(tǒng)一的風(fēng)格呈現(xiàn)給最終用戶和系統(tǒng)管理員。
管理平臺(tái)Portal層作為平臺(tái)使用的統(tǒng)一入口��,為普通操作人員和管理人員提供一個(gè)基于Web方式的登錄界面��。
4A平臺(tái)管理系統(tǒng)的賬號(hào)管理用于集中維護(hù)包括自然人賬號(hào)(主帳號(hào))和資源賬號(hào)(從帳號(hào))在內(nèi)的全部帳號(hào)以及相關(guān)的賬號(hào)屬性�����。
4A平臺(tái)管理系統(tǒng)將管轄的資源進(jìn)行了邏輯上的集中授權(quán)管理���。在資源中擁有各自獨(dú)立的權(quán)限管理功能,對(duì)所管理對(duì)象和主帳號(hào)進(jìn)行授權(quán)�,實(shí)現(xiàn)了實(shí)體級(jí)的授權(quán)。對(duì)所管理對(duì)象上的從帳號(hào)可以使用角色進(jìn)行授權(quán)�,而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán),完成實(shí)體內(nèi)授權(quán)��。
4A平臺(tái)管理系統(tǒng)提供對(duì)審計(jì)事件��、告警事件��、帳號(hào)管理事件和認(rèn)證授權(quán)事件進(jìn)行實(shí)時(shí)采集、監(jiān)控����、告警和查詢功能,以便用戶實(shí)時(shí)監(jiān)控各業(yè)務(wù)系統(tǒng)的情況�,并根據(jù)預(yù)警做出相應(yīng)處理。
4A平臺(tái)管理系統(tǒng)通過防繞行組件可以針對(duì)有線網(wǎng)絡(luò)公司用戶跳開4A管理平臺(tái)直接登錄業(yè)務(wù)資源或者登錄系統(tǒng)資源的行為進(jìn)行記錄�、告警和阻斷。主要方法是通過繞行阻斷和重定向方式來實(shí)現(xiàn)����,保證所有的用戶都必須通過4A管理平臺(tái)來登錄所有資源,實(shí)現(xiàn)4A的賬號(hào)��、認(rèn)證��、授權(quán)��、審計(jì)管理�����。
4A平臺(tái)管理系統(tǒng)向有線網(wǎng)絡(luò)公司的外部系統(tǒng)提供賬號(hào)管理接口��、認(rèn)證接口�����、審計(jì)接口、授權(quán)接口���、外部管理接口等�����,可以靈活的與第三方系統(tǒng)相結(jié)合�。
方案主要價(jià)值
對(duì)用戶整個(gè)系統(tǒng)的帳號(hào)進(jìn)行集中管理���、統(tǒng)一身份認(rèn)證�、集中授權(quán)和綜合審計(jì)等功能��,可以為有線網(wǎng)絡(luò)公司用戶帶來較大價(jià)值���,其中包括:
1) 從賬號(hào)開通、職務(wù)變更帶來的賬號(hào)權(quán)限變更����、定期改密、發(fā)現(xiàn)空白賬號(hào)到賬號(hào)刪除吊銷證書��,實(shí)現(xiàn)賬號(hào)生命周期管理,可以減少賬號(hào)漏洞帶來的風(fēng)險(xiǎn)���。
2) 加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)核心信息資產(chǎn)的訪問控制與審計(jì)�����,減少破壞和信息泄漏分先����,降低損失����。
3) 采用基于角色的訪問控制與審計(jì)機(jī)制,不僅能夠有效控制運(yùn)維操作風(fēng)險(xiǎn)����,還能夠有效區(qū)分不同維護(hù)人員的身份,同時(shí)能夠完整回放事故當(dāng)時(shí)操作場景��,定位事故真正責(zé)任人�,便于事后追查原因與界定責(zé)任。
4) 實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立��,利于完善有線網(wǎng)絡(luò)公司IT內(nèi)控機(jī)制��。
400-001-9776
