股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
亚信安(ān)全助力上海電(diàn)信推动5G时代零信任框架实践
发布时间 :2021年05月12日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
基于零信任,推动企业安(ān)全體(tǐ)系架构重构,这是5G时代对身份安(ān)全提出的核心诉求之一。在此背景下,中(zhōng)國(guó)電(diàn)信股份有(yǒu)限公(gōng)司上海分(fēn)公(gōng)司(以下简称上海電(diàn)信)為(wèi)满足5G核心网18项安(ān)全能(néng)力建设内容和进度要求,采用(yòng)亚信安(ān)全提供的4A-iFORT堡垒机方案,与现网4A系统的认证和日志(zhì)对接,实现了统一访问控制、帐号管理(lǐ)、密码管理(lǐ)、授权管理(lǐ)、身份认证、审计等要求,全面提升了专网安(ān)全运维的能(néng)力。
满足5G安(ān)全要求,加强统一安(ān)全运维能(néng)力
随着上海電(diàn)信网络建设的迅猛发展,信息化管理(lǐ)技(jì )术的不断进步,各类业務(wù)应用(yòng)系统、办(bàn)公(gōng)自动化系统、ERP系统不断推出和投入运行,其使用(yòng)规模庞大的服務(wù)器主机、网络设备、安(ān)全设备来提供基础IT支撑服務(wù)。由于设备与系统众多(duō),运维管理(lǐ)工(gōng)作(zuò)压力巨大,越权访问、误操作(zuò)、滥用(yòng)、恶意破坏等情况时有(yǒu)发生,不仅降低企业的运行效率,还会对企业声誉造成重大影响。
此外,在電(diàn)信集团61号令中(zhōng)关于网络安(ān)全“三同步”、等保2.0和网信安(ān)全相关管理(lǐ)规定下,上海電(diàn)信為(wèi)满足5G核心网(以下简称5GC)18项安(ān)全能(néng)力建设内容和进度要求,需要将所有(yǒu)网运条線(xiàn)系统100%纳入4A,实现完整的帐号、认证、授权、审计功能(néng),并对NOC、信网部、号百、互联网部等多(duō)个部门的重要系统进行覆盖。
结合合规性要求和运维管理(lǐ)升级需要,上海電(diàn)信希望对5GC应用(yòng)实现统一运维审计管理(lǐ)。核心诉求包括以下两点:
运维要求:系统作(zuò)為(wèi)运维人员身份和操作(zuò)行為(wèi)集中(zhōng)化管理(lǐ)平台,必须全面覆盖所有(yǒu)运维人员和所有(yǒu)被管资源,任何人不允许绕过系统进行操作(zuò),以确保所有(yǒu)行為(wèi)均得到授权且所有(yǒu)行為(wèi)留存记录。因此,需要对系统维护人员、系统管理(lǐ)人员等,以及承载上述工(gōng)作(zuò)的第三方外包支撑厂商(shāng)运维人员提供统一的入口,记录用(yòng)户从登录系统直至退出的全程运维访问、操作(zuò)日志(zhì),并提供对这些记录的操作(zuò)审计功能(néng)。
对接要求:有(yǒu)部分(fēn)设备或运行单位由于客观原因不能(néng)和電(diàn)信大网完全网络畅通,这就需要利用(yòng)堡垒机在各个子网内部署来进行管控和运维审计,以满足安(ān)全能(néng)力建设要求。需要支持与现网4A系统的认证和日志(zhì)对接,支持支持Radius、TACACS协议、4A票据,基于中(zhōng)國(guó)電(diàn)信卡為(wèi)芯片的软令牌等多(duō)种认证方式。
实现统一入口,与4A平台实现无缝对接
针对上海電(diàn)信提高运维安(ān)全管理(lǐ)水平,跟踪、控制用(yòng)户的操作(zuò)行為(wèi),以及满足原4A系统对接的需求,亚信安(ān)全提供了基于零信任理(lǐ)念的4A-iFORT堡垒机。iFORT作(zuò)為(wèi)安(ān)全架构中(zhōng)的基础安(ān)全服務(wù)工(gōng)具(jù),满足了上海電(diàn)信运维安(ān)全层面实现统一访问控制、帐号管理(lǐ)、密码管理(lǐ)、授权管理(lǐ)、身份认证、审计,提升IT系统安(ān)全性和可(kě)管理(lǐ)能(néng)力的要求。在项目对接完成后,最终可(kě)以解决“When”、“Where”、“What”、“Who”、“How”问题,即谁能(néng)够在什么时候获得谁的授权来使用(yòng)某一个设备资源,如何去使用(yòng)该设备资源,以及知道谁在什么时间访问了哪些设备资源,实现访问行為(wèi)规范、操作(zuò)便捷,满足了電(diàn)信集团的要求。
在功能(néng)方面,亚信安(ān)全4A-iFORT堡垒机通过机器學(xué)习技(jì )术,具(jù)备风险自适应认证、零信任授权、安(ān)全护、密码保险箱等特性,以及开放性的对接能(néng)力,為(wèi)上海電(diàn)信5G网络业務(wù)提供了安(ān)全保障。
风险自适应认证能(néng)在保障安(ān)全性的情况下缩减 40%的登入时间,通过机器學(xué)习技(jì )术在无专业安(ān)全规则配置的情况下,能(néng)自动识别登录风险并执行加强认证及告警;
采用(yòng)改良安(ān)全协议能(néng)在 2 秒(miǎo)内实现遠(yuǎn)程主机登入,经过调查显示当登入遠(yuǎn)程主机时常超过 5 秒(miǎo),将会导致超过 90%的使用(yòng)者感到焦躁,而很(hěn)多(duō)传统堡垒机使用(yòng)未优化过的遠(yuǎn)程连接协议,登录时長(cháng)往往超过 5 秒(miǎo)甚至更多(duō);
具(jù)备账号自注册与权限申请流程,节约安(ān)全管理(lǐ)员 90%的日常账号管理(lǐ)工(gōng)作(zuò)量;
支持零信任授权,权限分(fēn)配临时化,权限自动回收,保障权限分(fēn)配极小(xiǎo)化;
4A-iFort 堡垒机自带 WAF 防护能(néng)力和自身抗DDOS能(néng)力,既能(néng)自身安(ān)全防护,又(yòu)能(néng)防护运维环境安(ān)全;
密码保险箱隔离人员与设备账号的接触,弱密码、定期改密等安(ān)全隐患一體(tǐ)解决。
扫清网络威胁死角,安(ān)全运维為(wèi)5G助力
项目实施后,4A-iFort堡垒机方案部署在上海電(diàn)信特定网络區(qū)域内,对特定网络中(zhōng)的主机设备实现运维操作(zuò)审计功能(néng),并能(néng)通过特定访问控制的方式实现与4A系统的集中(zhōng)认证对接。这也确保了上海電(diàn)信前期4A平台的效益最大化,实现了对原有(yǒu)安(ān)全能(néng)力的适当整合、恰到好处的基础架构设施配置,以及可(kě)弹性扩展的體(tǐ)系架构与平滑的升级空间。
上海電(diàn)信项目负责人表示:在项目实施完成后,在网络基本不进行大的调整下,实现了各个专网的设备运维审计要求,系统可(kě)以对接中(zhōng)國(guó)電(diàn)信上海公(gōng)司4A平台,并符合集团对5GC的堡垒机规范要求。4A-iFort支持高可(kě)靠的集群和分(fēn)布式部署,為(wèi)我们提供了可(kě)以信赖的强大性能(néng)与高可(kě)靠性,让运维自动化不再是法外之地,為(wèi)5G业務(wù)提供了可(kě)管理(lǐ)可(kě)审计的安(ān)全运维。
分(fēn)享到微信
X