摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。
关键词:集中化改造 安全管理 安全策略 安全审计 网络安全 系统安全
Abstract: The security of OSS is more and more important after reconstruction of operator's OSS system. The requirement on information security is strict. There are many evaluation measurements on security. The thesis provided security evaluation measurements on OSS of large operators from view points of management and technology.
Keywords: Centralized reconstruction Security management Security strategy Security audit Network security System security
近年来,电信运营商为了满足不同层次的用户需求,不断地推出新业务和新服务,而业务、服务的增多往往意味着管理、协调等问题的增多。为了解决这些问题,国内的一些大型电信运营商纷纷建起了运营业务支撑系统(BOSS)。BOSS系统为原本相互独立的各种电信业务提供统一的支持、管理平台,它以客户为中心,为细化的用户市场提供有针对性的业务和服务,使企业的业务运营能力得到了很大提高。
目前,国内一些电信运营商构建BOSS系统存在过于分散的问题。BOSS系统的一个重要功能是实现统一管理并为企业决策提供信息支持,如果集中程度不够,统一管理和决策支持能力都将受到影响,同时也会造成人力资源及投资的浪费。因此,一些运营商对BOSS系统进行了集中化改造,集中化改造使系统在业务处理、业务管理以及系统维护、软件开发和升级等方面具有集中性,改造工程有力地提升了其业务支撑能力和服务能力,但集中化对BOSS系统的信息安全保障能力也提出了更高的要求。
集中化改造工程将使各省、各地区的BOSS系统实现联网。因此,只要有一个接入点出现问题,整个系统都可能受到影响。同时,随着业务开放程度的提高,现在的BOSS系统已不再是一个孤立的、与外界隔绝的系统,它将会与越来越多的合作伙伴互联,如ISP、金融单位等。另一方面,业务的发展要求进一步提高用户自助服务的比例,通过开通网上业务受理等方式,实现网上客户服务。因此,BOSS系统就必须要与互联网互联,目前互联网上黑客泛滥已是众人皆知的事实,而作为电信运营的重要支持,BOSS系统哪怕停顿一分钟都会造成重大的损失,所以必须要尽快解决各种安全漏洞和安全隐患,避免开放接口对BOSS系统产生的威胁。
安全防线的构成是多方面的,要保证BOSS系统能够安全稳定运行,涉及的因素很多,不但与安全技术、安全产品密切相关,完善的安全管理制度也是极其重要的。例如早在系统建设时期,各运营商就购置了防火墙、入侵检测及漏洞扫描等安全产品,但是由于存在认识上的差异和管理上的疏忽,有些运营商对于安全扫描等日常安全维护并不十分重视,所以,要让这些安全产品发挥应有的作用,管理维护制度也需要相应进行加强。
下面从管理安全和技术安全两方面对BOSS系统的安全评估方法进行详细探讨。
管理安全评估
1.安全策略、标准和指导
评估企业是否建立了BOSS系统安全规范和制度,若有,检查其是否已经完善和具体,因为只有完善的安全规范和制度才能实现BOSS系统的业务安全和运行安全,确保BOSS系统各类设备的正常运行以及业务流程安全,确保数据信息的安全存储与传输,为BOSS系统各类业务提供安全保证。
安全规范和制度包括安全策略、标准和指导。
安全策略是独立于具体实施的、概念上的信息安全政策描述决定一个企业对BOSS系统安全管理的目标和方向,它并不指定所使用的技术,而是明确告诉员工对BOSS系统能做什么,不能做什么,如果违反策略,就会受到惩罚。如果缺少安全策略,公司安全措施的有效性将会降低,并且无法与管理目标及要求保持一致。总体来说,针对BOSS系统的安全策略应主要包括:信息分类、用户访问、Internet、外联系统、网络监视、口令、主机安全、网络设备安全、防火墙安全、防病毒及远程访问等策略,这里不一一列举。
安全标准源于安全策略,是确保安全策略有效执行的具体技术标准、方法以及实施流程等。BOSS系统的安全标准主要包括信息资产分类、物理安全、平台加固、变更管理、电子邮件安全管理、病毒安全管理、用户身份认证与授权、紧急安全事件响应、网络安全等标准。
安全指导提供实现安全策略和标准的推荐方案,它不一定要求遵从,但它为企业提供一种与标准相符合的方法,而标准则与策略一致。
由于安全是一个动态过程,安全策略制定后不可能一成不变,相关的安全策略制定后,要求有专业审计人员对其进行定期的检查和审计,主要审计的内容包括政策的有效性以及对运营效率进行管制的成本和影响。审计后应适当调整安全政策。
2.安全组织
安全组织评估企业是否针对BOSS系统建立了一个总体范围的安全管理机制组织或部门,负责制定和实施自己的安全管理机制,以保证安全制度建立和实施及决策层安全决策的有效性和一致性。如果信息安全管理职能分散在各个部门,缺少一个强有力的直接向最高领导汇报的职能部门来协调及监督全公司的信息安全工作,安全政策的执行可能会缺乏力度,安全事件处理依据和结果可能会不一致。安全组织的职责包括以下几个主要方面:
·贯彻落实国家和集团公司有关BOSS系统安全工作的方针和政策;
·开展安全教育培训;
·就整个组织系统安全的作用和责任达成一致;
·审查和批准系统安全策略以及总体责任;
·就系统安全重要和原则性的方法、处理过程达成一致,并提供支持,如风险评估、信息分类方法等;
·确保将安全作为制定业务建设和维护计划、内部信息系统建设的一个部分;
·授权对安全控制措施是否完善进行评估,并协调新系统或新服务系统安全的控制措施的实施情况;
·审查重大的系统安全事故,并协调改进措施。
安全组织包括领导层参加的安全领导小组,以批准系统安全策略、分配安全责任并协调组织范围的安全策略实施,确保安全管理和建设有一个明确的方向并得到管理层的实际支持。
3.信息分级
BOSS系统涉及的信息繁多,如何保护关键的数据不被泄漏是运营商非常重视的一个问题。信息分级用来评估运营商是否建立了信息资产管理的规范,明确了信息资产的内容和级别,制定了有效的安全保护措施,如果没有,应该明确BOSS系统内的关键信息资产并列出清单,依据国家保密级别制定科学的信息资产分级标准,并作为风险评估的依据。参照国际信息系统安全标准BS7799/ISO17799对信息资产的描述和定义,可以将BOSS系统信息资产按照表1的方法进行分类。
4.安全审计
安全审计用来评估现有BOSS系统安全标准和制度的执行力度是否足够,执行情况是否一致。如果缺乏安全审计,安全标准和制度将失去效力,员工将由于不用担心违反某些安全规定的后果而导致安全事件的增加。
5.业务连续性计划
BOSS系统集中化改造后,业务连续性的计划更是重中之重,因为集中化后,一旦中心节点出现故障,BOSS系统停顿一分钟都会造成重大的损失。业务连续性计划通过及早采取措施对事态进行控制,在避免潜在的意外事故以及将这些意外事故给运营商造成的损失减至最低方面起着重要的作用。因此,要评估运营商是否建立了完善的业务连续性计划。由于BOSS系统中各个业务的关键程度不同所以各个业务系统对连续性的要求也不同,因此业务连续性计划中各种业务可容忍的灾难恢复时间与程度是有区别的。总体来说,在BOSS系统中计费、结算、账务处理、账务管理是最关键的业务系统,对业务连续性的要求最高,客户服务、系统管理和业务管理系统的关键性及其对业务连续性的要求次之,统计分析、数据交换等系统则相对较低。
6.安全培训
BOSS系统的复杂性和应用技术的先进性要求维护BOSS系统的员工应不断提高技术水平和安全意识。员工对安全制度的认识不足可能会导致其有意或无意地破坏BOSS系统,而且内部员工破坏造成的损失可能会更大。因此,应引进先进的安全教育方法并加强安全宣传和培训的广度,并且确保教育到人。培训的内容应涉及BOSS系统的安全管理与相关技术,主要包括:安全策略、安全标准、安全管理流程、操作系统/数据库安全管理、网络设备安全配置、黑客理论与技术、操作系统攻防技术、漏洞分析与修补方法等。
通过一系列安全管理评估,检查运营商BOSS系统的安全管理制度是否完善、有效,揭示出现有BOSS系统安全管理制度的优点与不足,使运营商能针对不足提出有效的解决方法。
技术安全评估
技术安全评估主要把重点集中在计算机系统和应用程序的现有控制措施上,而不是员工和业务活动上,技术安全的主要目标包括BOSS系统内信息资产的机密性、完整性和可用性。
1.网络安全评估
(1)现在的BOSS系统已不再是一个孤立的、与外界隔绝的系统,它与合作伙伴和Internet都有接口,外联接口存在的风险非常高,集中化改造使BOSS系统的外联接口都集中在中心节点,所以外联接口的网络安全应该有统一的建设标准,如在外联接口配置访问控制列表、部署防火墙等。
(2)现在大部分运营商为了管理方便,使BOSS系统与OA系统互联,OA的用户可以访问BOSS系统,这其实存在非常大的安全隐患。内部员工在OA的局域网络中发送的数据包非常容易被内部人员捕捉到,因此如果BOSS系统的用户账号和密码在OA网段传送,则其账号和密码十分容易被窃取。
(3)评估BOSS系统承载的核心网络是否存在单点故障,是否部署了入侵检测和漏斗扫描设备,检查各分节点到中心节点的网络访问控制策略、各分节点之间的网络访问控制策略。BOSS系统集中化改造后,基本的服务器都集中在中心节点,所以,对中心节点的保护非常重要,在中心节点和分节点部署防火墙是必不可少的。同时,分节点之间不应通过中心节点互访,这种访问策略从网络性能和网络安全的角度都不可取。
2.主机安全评估
(1)检查测试环境与应用环境是否分离。为了配合不断推出的新业务,BOSS系统应不断开发新的程序。若新程序的测试环境与应用环境在一起,有可能导致系统的出错和中断。
(2)评估主机所开放的服务,根据最小服务原则把主机的所有服务关闭,开放必要的服务端口。
(3)评估操作系统补丁是否及时更新。
3.访问控制安全评估
(1)物理访问控制。评估包括机房的门禁系统、空调、承重、防火及防水等。因为保证物理安全是构造安全系统的前提。
(2)VLAN 的访问控制。集中化改造把BOSS系统的大部分服务器集中在中心节点,按不同的应用把服务器划分到不同的VLAN,VLAN之间的访问控制策略不但可以控制BOSS系统承载网络的流量,还可防止服务器被作为“跳板”攻击其他VLAN的服务器。
(3)防病毒。检查BOSS系统的防病毒体系是否完善,防病毒体系应是一个多层次的纵深防护体系。在BOSS系统中主要应部署企业桌面防毒、服务器防毒、网关防毒等防病毒体系,使其整合在一起完成全面的防病毒工作。
·BOSS系统中拥有大量的客户端,每一个连接BOSS系统的客户端均被强制性地安装了防病毒产品。所有客户端防病毒产品的更新升级、定期扫描等工作都由企业级桌面系统的中央控制中心统一管理(中央控制中心服务器应该部署在区域中心或省中心),这样做可以保证BOSS系统的客户端防病毒系统都是最新的版本,并被有效定期地执行。
·文件服务器是内部网络中传播计算机病毒的主要渠道,现在大部分运营商的BOSS系统中都存在文件服务器,例如:省中心的清单服务器下发清单到区域中心的清单服务器就是采用文件的形式。防病毒系统应部署在文件服务器中文件的存储和访问区中,查找并清除计算机病毒。
·在Internet和BOSS系统之间部署网关防病毒是目前解决Internet病毒传播的重要手段。防病毒网关一般部署在Internet和BOSS系统之间,可以和网络防火墙配合,形成一个安全网关。
(4)认证机制。评估系统账号是否具有不可抵赖性,若发生事故是否可以确定操作人,对其进行责任追究。BOSS系统中存在多个承载着重要业务数据的系统与服务器,例如AIX、HP Unix、数据库服务器、业务服务器及测试服务器等,这些系统与服务器建立的账号特别是权限较高的帐号应具有唯一性,只有这样才能审计每个用户对系统与服务器的操作,具有不可抵赖性。
刘雪勇 广东电信规划设计院数据通信所工程设计师
Liu Xueyong Chief Designer Data Department Guangdong Planning & Designing Institute of Telecommunications
宋汇星 广东电信规划设计院数据通信所工程设计师
SongHuixing Chief Designer Data Department Guangdong Planning & Designing Institute of Telecommunications
安全中国首页 > 文章中心 > 安全防护