面向维护人员的网络安全管控平台建设与应用

（ １ ） 账 号管 理 ： 实 现对 所 有 的 自然 人 以 及 核 心设
备账 号 的统一 集 中管理 。 （ ２ ） 身 份 管理 ： 有 效解 决 传 统 模 式 下 的 共 享 账 号
问题 ． 通 过 自然 人账 号与 系 统账 号 的关联 实 现 网络 操 作 的实名 制 。 （ ３ ） 访问控制 ： 实 现 基 于 主 账 号 的集 中强 身 份认
（ １ ） 账号 管理 难度 大 各应 用 系 统相 对 独 立 且数 量 众 多 ，账 号 变更 频 繁、 管理 任 务 繁 重 ， 单 纯依 靠 人工 方 式 难 以实 现及 时 规 范 的账 号管 理 ， 各 系 统上 经 常 出 现过 期 账 号 、 孤立 用 户 的维 护操 作 和数据 访 问进 行集 中的认 证 、 审计 监
全 性
证 和访 问入 口 ， 通过 自定 义 访 问控 制规 则 为每 个用 户
各 系 统分 别管 理 系统 资源 和应 用 资源 ． 并 为本 系
统 的用户 分配 权 限 ， 由于 缺乏 集 中统一 的资源 授权 管 理， 无 法集 中按 照 最小 权 限原则 分 配 权 限 。 导 致 系统 安全 性无 法得 到充 分保证 。 （ ４ ） 安全 审计 不健全 各 系统登 录 接人 点分 散 ． 难 以对各 种 操作 行 为进
分 配 适 当 的 网络 资 源 ，只 允 许 合 法 的人 做 合 法 的访
问。
（ ４ ） 操 作审 计 ： 对所 有 访 问维护 操 作 （ 包 括 输 入命 令 与输 出结 果 ） 进行 记 录并 回放 ， 阻止 非法 访 问 、 违规
操作。
本文 着 眼于 维护 人员 维 护操 作 的合 规性 管 理 ， 探
护 人 员操 作 业 务 系统 和 支撑 系统 的 全 过程 实施 管控 ， 为 资 源访 问 、 日常 维 护 操 作 提 供 了安 全 、 可靠的途径 ， 确 保
合法的人做合 法的事、 非法的事能够及 时发现。
关键词 ： 安 全 管控 账 号 口令 访 问控 制 日志 审 计
１ 引言
随着通 信业 务 的发展 ， 各 种信 息 系统 的数 量 不断
令， 不 少人 以 明文方 式 存 储账 号 口令 信 息 ， 加 大 了系 统信 息泄 漏 的风险 ； 依 靠人 工方 式难 以实现 对 口令 的 有效 管理 ， 易 出现弱 口令或 长期 不修 改 的 口令 。
（ ３ ） 独立 的系 统 权 限授 权 管 理 ， 无法 保 证 系 统 安
督． 为用户 访 问资 源 、 进 行 维护 操 作提 供安 全 、 可靠 的 途径 。同时也 为加 强企 业 内部 网络与 信息 安 全控 制 、 满足 相 关 监 管要 求 提供 技 术 保 证 。具体 功 能需 求 包
括：
账号 ， 易导 致重要 信 息泄漏 事件 。
（ ２ ） 口令管理 不 规范 维 护人 员所 维 护 的设备 众 多 ， 需 记忆 大 量账 号 口
行审计 ， 出现安 全 事 件无 法 审计 到人 ， 很 难 落 实 事件 责任。 为加强 通 信 网 、 业 务 系统 和各 支撑 系统 的安全 防
防范 因 内部 人员 或 第三 方人 员 引发 的 内部安 全 事 增加， 对 运维 安全 提 出了新 的要求 。 口令 变更 不及 时 、 护， 必须 加 强 日常维 护 安全 管控 ， 确 保 合 法 的人 做 合 过期 账 号未 清理 、 敏 感操 作无 法追 溯 等安 全 隐患 的普 件 ， 非 法 的事能 够及 时发 现 。 为此 ， 需 要 全方位 规 遍存在 ， 极 大 增加 了网 络 的安 全 风 险 ， 存 在 的 问题 主 法 的事 、 范用 户账 号安 全管 理 、规 范用 户授 权 和访 问行 为 ， 对 要 表现 在 ：
第 ３ ３卷 第 １ 期 ２ ０ １ ３年 ３月
山 东 通 信 技 术
Ｓ ｈ ａ ｎ ｄ ｏ ｎｇ Ｃｏ ｍｍｕ ｎｉ ｃ ａ ｔ ｉ ｏ ｎ Ｔｅ ｃ ｈ ｎｏ ｌ ｏ ｇ ｙ
Ｖ０ ｌ ＿ ３ ３ ＮＯ ． １ Ｍａ ｒ ． ２ ０ １ ３
面 向维 护人员 的网络安全管控 平 台建设 与应 用
吕 雪 峰 刘 松 森 王 自亮
（ 中 国移 动 山东 公 司 ， 济南 ２ ５ ０ ０ ０ １ ）
摘
Leabharlann Baidu
要： 本 文 着 眼 于 维 护人 员维 护 操 作 的 合规 性 管理 ， 依 据 事前 授 权 、 事 中监 控 、 事后 审 计 的 安 全 管控 思路 ， 探 讨 了如 何
建 设 统 一 的安 全 管控 平 台。 平 台有机 整 合 了集 中接 入 控 制 、 账 号 口令 集 中 管理 和 日志 管 理 与 审 计 等 手段 ， 对 维