甘肃联通4A统一安全管理平台的设计

发布时间：2020-07-22 14:08

【摘要】：随着电信网络规模的逐年扩大,运营商对信息安全系统的建设愈加重视,同时传统的账号管理、网络配置、操作审计等网络维护管理方式的风险和隐患逐步显现,为了保证网络数据安全、提升业务运行维护的效率,甘肃联通迫切需要一套统一安全管理平台(后文简称为4A平台),实现对业务系统账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)的全面和集中管理。本文依据工信部4A安全考核要求和甘肃联通基础网络安全运维需求,提出了甘肃联通4A平台设计方案。主要设计工作内容及方法包括:首先,完成了4A平台与各专业网络的互通,实现了网络资源能够统一完整地接入;其次,在省级层部署运维门户和认证模块,面向省内各资源管理网络部署堡垒机采集机,实现对纳管的“应用资源”、“系统资源”的操作访问控制和日志收集;最后,配合集团层完成网络端口、链路和IP地址的网络配置和联调,最终实现集团层与省级层之间的数据同步。甘肃联通4A平台建设需要纳入三级及三级以上网元,但现网各个专业网管(数据网管、无线网管、传输网管、核心网网管)独立组网;地市到省分网管中心的网管业务承载方式多样,一部分承载在甘肃联通信息化部IT承载网或IP承载A网,一部分通过2M链路组网;现网各专业带外网管未与生产网分离,维护风险大,第三方平台无法实现平滑无缝接入,后期新建云平台无法接入实现集中运维。因此甘肃联通4A平台的建设中需要整合接入4A平台的网元,即网管网改造。在设计实施中,本人全面梳理了省内拟建4A管理平台的业务需求、功能目标、覆盖范围和整体方案。经过资源现状调研,全面掌握了省内需纳管系统的网络拓扑、设备软硬件配置信息;完成地市网管网至兰州网管网的打通;根据工程建设目标,配合“第三方集成商”制定了资源接管所需的网络方案和接管资源侧账号密码、登录认证相关参数的配置方案;规划了4A平台接入CE路由器和IP承载B网所涉及的网络端口、链路和IP地址资源,协调完成堡垒采集机接入平台所涉及的网络端口、链路和IP地址资源配置和联调;负责实现4A平台与各专业线“资源管理网络”的网络打通实施配置和网络层联调。4A平台解决了业务支撑系统内部用户帐号管理、授权管理相关问题,并将甘肃联通应用系统、主机系统、数据库、网络设备和安全设备整合到管理平台系统中,通过该平台对业务支撑系统所有IT资源进行集中管控,提供集中的帐号管理和授权管理,提升业务支撑系统的安全性和管理能力。本设计主要的创新点是实现了分部门的精确管理,满足了甘肃联通各部门的不同规范要求;同时根据《中国联通业务支撑网4A安全技术规范》的新要求对金库式管理、支撑系统管理流程提出了新的规划。4A平台可对授权人员的运维操作进行记录、分析、展现,做到事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强了内部业务操作行为监管,实现了日常运维和业务使用可视、可控、可信。4A系统在甘肃联通试运行后,从技术上保证了公司网络安全策略的实施,为甘肃联通网络安全保驾护航。
【学位授予单位】：兰州交通大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：F626;TP311.52
【图文】：

兰州交通大学工程硕士学位论文[4]。）对从账号的认证：在主账号强认证完成后，从账号认证为系统提源的认证过程。点登录管理登录是指用户完成主账号认证后，在登录主机、数据库等被管资，直接访问被管资源的功能。单点登录管理要求包括：应具备模块自动提取用户从账号信息并完成登录资源；应具备从账号密现系统资源单点登录[5]。图 3.1 演示了登录与认证的典型场景，即分二级系统，然后再以从账号和密码代填方式实现系统资源单点登

图 4.1 网管网整体改造前示意图3 网管网改造内容及方法3.1 网管网改造内容改造整体内容为：信息化部 IT 承载网改造实施，包含省中心两台核心骨干设备思 12416 实施；地市 28 台 PE 设备华为 NE40 的规划和调试；省公司网管网的所有核心备、汇聚设备、安全设备的改造调试；省网管中心新增的汇聚交换机的规划和调，其他专业平台的配合调试及割接；地市新增28台 CE的规划和调试、割接，地市网网改造规划和实施割接；省公司信息化部跨域防火墙的前期大量路由规划和策略实[13]；省公司信息化部跨域防火墙上关于各个网管专业需求的持续配合实施。3.2 网管网改造工程实施步骤（1）完成新建汇聚交换机的设备安装工作，包括柜内线缆的清理和设备接口数、连通性确认；（2）完成机柜电源端子的确认工作；

图 4.2 网管网整体改造后示意图4.6 4A 平台硬件配置4A 平台硬件配置包括业务服务器及资源存储服务器配置。4.6.1 业务服务器配置基础网络 4A 管理平台的业务节点整体部署示意如图 4.3 所示。

【相似文献】

相关期刊论文 前10条

1 扬帆;;不让网络端口任人摆布[J];个人电脑;2017年11期

2 扬帆;;不让网络端口任人摆布[J];个人电脑;2013年07期

3 刘文杰;韩利华;杨新锋;;最优网络端口通信选择模型的仿真分析[J];计算机仿真;2016年08期

4 张兵;包新彩;;浅谈网络端口与特洛伊木马[J];塔里木大学学报;2007年03期

5 武向阳,贺晓娜;关于网络端口过滤的法律思考[J];信息网络安全;2005年06期

6 郭建伟;;实战攻防TCP/IP筛选策略[J];网络安全和信息化;2016年02期

7 王道胜;;巧用网络端口保护服务器的安全[J];电脑开发与应用;2006年05期

8 王晟宇;;下一代安全平台五大创新功能 云安全为重中之重[J];计算机与网络;2017年09期

9 ;为了你的系统安全这些网络端口可以封锁[J];计算机与网络;2008年08期

10 翟新彦;;网络端口的安全防护[J];农村电工;2010年07期

相关会议论文 前3条

1 叶进;韦云;;多路径传输协议拥塞算法性能分析与研究[A];广西计算机学会2016年学术年会论文集[C];2016年

2 安宁;;IP地址盗用接口的快速定位模型[A];河南省通信学会2005年学术年会论文集[C];2005年

3 李妍;陈洪辉;;信息服务中心模块化分布式互联结构研究[A];第三届中国指挥控制大会论文集（上册）[C];2015年

相关重要报纸文章 前10条

1 夏冰;360“黑科技”亮相BlackHat和DEFCON[N];中国消费者报;2017年

2 于春;数字时代的大学校园（上）[N];科技日报;2004年

3 ;西班牙邮政加快网络邮政发展步伐[N];人民邮电;2006年

4 ;蓝波公司表示 网络过堵则封BT[N];人民邮电;2006年

5 周瑞琳;WatchGuard率先提供“型号升级”[N];广东科技报;2004年

6 解国军;强大的傲盾防火墙[N];中国电脑教育报;2004年

7 曾云娟　谢佳;我市全力推进政务公开[N];韶关日报;2011年

8 本报记者 别坤;私有云中的“核聚变”[N];计算机世界;2013年

9 杨亚娟邋王政 记者 闵守华;玉宇澄清万里埃[N];人民邮电;2007年

10 本报记者 汤铭;体验超薄的快感[N];计算机世界;2012年

相关硕士学位论文 前4条

1 马丽;甘肃联通4A统一安全管理平台的设计[D];兰州交通大学;2019年

2 罗利明;基于中间件的内网安全监控管理系统[D];北京邮电大学;2013年

3 高亚涛;商水一高校园网建设方案的设计[D];河南大学;2014年

4 夏胜飞;蜂窝与Ad Hoc异构融合网络路由算法研究与实现[D];西安电子科技大学;2014年

本文编号：2765915