华为UMA统一运维审计方案案例

华为安全审计解决方案在重庆移动的应用当中国的金猪年来到之际，除了鞭炮声、歌声和欢笑声，从手机里传来的祝福声同样融入到了重庆人民对新春的喜悦之中。

如果您在重庆过春节，任意时刻您都能发现周围有人在享受来自中国移动通信集团重庆有限公司（以下简称重庆移动）的优质服务。

持续的高话务冲击，重庆移动所提供的业务没有出现一次中断，再次经受住了考验。

不同的是，重庆移动今年有了更多的自信，这得益于刚对网络完成的安全改造。

安全问题的预防比解决更重要重庆移动是中国重庆直辖市最大的移动通信业务提供商，也是亚洲市值最大的电信运营公司――中国移动通信集团公司的一部分。

重庆移动一直致力于为用户“创造卓越品质”的移动信息服务，因此对网络的建设、维护均有很高的要求，特别是对业务起支撑作用的智能网。

智能网为用户提供实时计费和话务控制服务，同时还为帐务管理、业务受理等提供信令接入点，简而言之，如果智能网出了问题就打不成电话了！所以，网络中使用的均是最主流的设备，关键点处也都使用了冗余的设计，比如设置双核心，双防火墙保护链路等。

但是，这些努力究竟有多大的效果并不能明确，来自于网络安全的威胁也随时存在。

按照美国证券交易委员会的要求，自2006年7月15日起，中国所有在美国上市的企业都要接受萨班斯（SOX）404法案的监管，业务数据的安全是其中的重点之一。

重庆移动邀请多家专业网络安全方案提供商对其智能业务系统进行了安全评估。

其中来自华为安全产品线的Marketing技术总监郑志彬博士指出，“虽然网络中部分设备可以提供独立的运行报表，然而系统是协同工作的，建立一套完整的安全分析模型来帮助随时预测可能存在的安全风险比解决某个安全故障更加重要。

”对异构网络的兼容使扩展更有弹性要建立一套有效的安全模型，首先必须能收集到全局的工作日志进行统一分析。

这对于一个新建的网络是很容易办到的，所有设备可以按照采集系统的要求进行定购。

然而现实中我们所面临的网络并不简单。

信息安全技术框架信息安全技术框架为企业信息安全管理提供技术支撑，主要围绕企业信息安全的问题展开，包括：企业机密信息防泄密，基础设施防攻击防入侵，IT权限管控，安全管理以及合规审计等。

另外，身份认证与授权为企业安全基础设施，为防攻击方案，防泄密方案，IT权限管理，安全管理以合规审计及提供身份和授权服务，为企业业务发展保驾护航，保障企业商业交换的安全，构筑企业核心竞争力。

具体的信息安全技术框架归纳为安全管理(IT安全治理与合规)、身份认证与授权、防特权(权限滥用管控)、防泄密(数据或信息安全)、防攻击(ICT防护)等。

1、安全管理(IT安全治理与合规)主要涉及安全策略管理、安全运营管理、安全合规审计等。

安全策略管理：安全策略集中配置，批量下发，可视化操作；安全运营管理：提供安全事件分析、安全风险预警功能、安全运维管理功能；安全合规审计：记录操作过程，快速定位安全故障，为第三方审计机构提供审计报表和原始数据。

2、身份认证与授权主要涉及内网接入认证、外网接入认证、运维管理认证、内网上网认证。

内网接入认证：✧针对不同安全级别和类型的办公区域采取不同认证方式✧高安全要求：802.1x+Mac认证✧一般安全要求：Portal+Mac认证/SAGC方式✧内部无线办公要求:802.1x认证✧访客区域要求：portal认证外网接入认证：✧丰富的身份认证，广泛的终端支持：提供本地认证/多种第三方认证/组合认证；✧灵活的授权管理，细粒度的授权访问：基于角色/资源关联的授权方式，可同步外部组的授权；基于接入终端安全等级的动态授权访问企业资源。

运维管理认证：✧统一运维入口，实现单点登录✧统一身份、认证管理✧统一严格授权管理内网上网认证：✧多种认证机制，灵活选择✧免认证（特权用户/外来人员）；✧手动认证（Web认证/终端认证）；✧自动认证（AD/TSM单点登录/网段认证）；✧本地账号/第三方账号认证（AD/LDAP/Radius/TSM）✧基于用户的精细权限控制✧网络应用/站点访问/信息外发/邮件等权限控制。

华为运营商安全解决方案易建超华为企业网络产品线产品总监运营商安全所面临的挑战及投资驱动力⏹降低设备运行故障时间⏹抵御显著增加的垃圾邮件内容 ⏹抵御显著产生的安全攻击威胁 ⏹提高抵御未知威胁能力 ⏹保护客户数据防止窃取⏹适应显著上升的骨干网络流量 ⏹适应移动网络流量增长趋势 ⏹数据中心升级扩容⏹基于云的安全解决方案诉求 ⏹增加新的收入来源⏹保证原有服务的持续竞争力威胁防护隐私保护网络发展增加收益安全威胁增多 用户隐私泄露网络不断演进 盈利能力有限面向大数据流量的下一代安全SolutionAbilityTopic数据中心安全 管道安全 IT 信息安全 安全运营FBB MBB LTE CGN AntiDDoS身份安全 数据安全 虚拟化安全 网络与边界安全防攻击 防泄密 防特权安全增值华为安全能力和愿景华为安全案例1Clean Pipe 管道安全运营商当前网络威胁CloudCore & IGWMetro & CoreTerminal & AccessEnterprise Finance MetroNPEPEPEIP/MPLSCore2G BTS3G NodeB 4G eNodeBBackhaulSGSN GGSNPS domainEPCBSC/RNC IP/MPLSCoreInternetIDCIPTVIMSTrafficInterceptionPPBRASUnauthorizedAccessSCTPVulnerabilityDDoS AttackWorm, Trojan,VirusUntrustTrafficIPv4 ExhaustionWorm, Trojan, VirusDDoS AttackWorm, Trojan,VirusIPv4Exhaustion管道网络升级MBB 管道安全 华为“ Clean Pipe ” 管道安全方案FBB 管道安全安全域隔离 固网DDOS 防护LTE IPSec 加密 SCTP 安全防护 移动网DDOS 防护 SGi 安全防护CGN 和日志溯源华为运营商固定网络防护PE-AGGHGAccess NodeDSLAMBRASBRASHGNPEAccessInternetHead-endVoD ServerTERMINALACCESSMETRO CORE & IGW MetroPE-AGGNPEBusinessCorporateCPECLOUDGPONAccess•NAT44/NAT444•DS-Lite/NAT64/6RDIPv6 MigrationAnti-DDoSAccess Sec•Firewall for unauthorized access•TCP Flood/UDP Flood •HTTP Flood •HTTPS DDoSCorePPISP-PEISP-PE华为运营商移动网络防护SGWIMSNon-Trusted DomainFirewallEPC Trusted DomainIP BackhaulNon-Trusted DomainIP Transport CoreInternetNMSSeGW•SCTP packets flooding and SCTP state checking.SCTP SecSGi ProtectionIPsec•Illegal devices access•Signal and user traffic leakage•Intrusion from internetattack.•Exhaustion for limitation public IP resource.IPv6 Evaluation华为CGN 解决方案2010 IPv6 commercialInternet scaleIPv4 address2016InitialingDevelopingDeveloped2012 2014 Network development needs IPv6Network development needs IPv6IPv4IPv4IPv4IPv4& IPv6IPv6IPv6IPv6Evaluation of network Evaluation of network.• IPv4 firewall• Carrier grade NAT• IPv4/IPv6 Dual-stack FW • NAT444•IPv6 DDoS •DS-Lite•IPv6 IPS •NAT64IPv6 internetIPv4 internetv4v4v4 v6 v4 v6 v6 v4v6v4v4v4v4华为运营商管道网络升级2数据中心安全安全是IDC 客户最大的担忧云计算大潮已经到来，安全问题是阻碍云计算发展的最大障碍Gartner 报告显示用户几个担忧都与安全有关！报告显示超过24小时的DDoS 攻击，每次造成近80万美金的损失管道安全数据中心安全 IT 信息安全 安全运营传统数据中心安全威胁◆ 身份与安全管理 帐号盗用，身份仿冒，违规操作，权限滥用◆ 应用与数据安全 SQL 注入、跨站等针对应用层的攻击已经成为安全最大的威胁。

华为UMA1000系列统一运维审计产品华为UMA(Unified Maintenance Audit)统一运维审计产品通过集中管理、监控与审计企业所有运维人员的操作行为，有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险，完善IT管理体系，同时满足相关法规、标准要求。

产品图UMA1520E/1550E6-2产品特点完善的账号管理机制•自动代填后端业务系统账号，每个运维人员只需管理一个账号，避免多个账号借用带来的风险。

•提供业务系统密码定期修改、加密发送、备份下载等功能，减少密码维护工作量。

全面记录IT运维过程•实现对命令行字符、图形操作、文件传输、数据库、KVM等运维操作过程的文本记录和视频记录。

•支持细粒度查询，避免恶意运维操作，确保责任可追溯。

支持丰富的运维协议、运维资产和运维方式•支持运维协议全面，包括图形协议RDP、VNC；字符协议SSH、Telnet和Rlogin；文件传输协议SFTP、FTP、RZSZ和SCP；数据库协议Oracle、SQL Server等。

•支持运维资产丰富，包括Linux/Unix服务器、Windows服务器、网络设备、文件服务器、Web应用服务器、数据库服务器、虚拟化服务器、远程管理服务器等各类IT系统。

•兼容多种客户端工具（如Xshell、SecureCRT、Mstsc、VNC Viewer、Putty、WinSCP、FlashFXP、SecureFX、OpenSSH等）和更加灵活的运维方式：◦Web登录运维，适用于习惯从Web页面登录目标主机的运维人员。

◦客户端登录运维，适用于习惯使用本地客户端工具登录DASUSM再登录目标主机的运维人员。

◦批量自动登录运维，适用于习惯一次性登录多台目标主机的运维人员。

◦网关透明登录运维，适用于习惯使用本地客户端工具直接登录目标主机的运维人员。

◦OpenSSH代理登录运维，适用于习惯用苹果系统、Linux/Unix的PC终端登录目标主机的运维人员，以及自动化运维等复杂场景。

{财务管理风险控制}明御运维审计与册风险控制系统用户手目录明御®运维审计与风险控制系统1目录2前言1章节概要1适用范围和先决条件2支持信息2第一章产品简介41.1产品概要41.2应用场景5第二章概念阐述72.1架构原理72.2权限模型82.3部署模式102.4支持的协议和客户端11第三章系统基本信息133.1出厂默认信息13第四章产品部署144.1外观示意图144.1.1前段面板144.2连接线缆164.2.1连接电源线164.2.2连接数据口线164.3配置IP16第五章登录195.1登录系统19第六章用户和用户组206.1用户管理206.1.1新建用户206.1.2编辑用户236.1.3删除用户256.1.4导入用户256.1.5导出用户276.1.6搜索用户276.1.7激活/锁定用户286.1.8批量为用户修改用户组286.2AD用户管理296.3LDAP用户管理296.4RADIUS用户管理296.5用户组管理306.5.1新建用户组306.5.2编辑用户组316.5.3删除用户组326.5.4搜索用户组326.5.5添加用户组成员336.5.6删除用户组成员346.5.7搜索用户组成员35第七章资产367.1主机管理367.1.1添加主机367.1.2编辑主机387.1.3删除主机397.1.4导入主机407.1.5搜索主机427.1.6启用/禁用主机427.1.7添加主机标签437.1.8删除主机标签447.1.9批量为主机修改标签457.2帐户管理457.2.1添加主机帐户467.2.2编辑主机帐户487.2.3删除主机帐户507.2.4导入主机账户517.2.5导出主机账户527.2.6搜索主机帐户537.2.7添加主机账户标签537.2.8删除主机账户标签547.3应用托管557.3.1查看应用托管557.3.2导出应用托管567.3.3添加应用托管587.3.4删除应用托管607.3.5应用托管搜索617.4密码托管617.4.1新建任务617.4.2开始/暂停任务637.4.3删除任务647.4.4已托管密码657.4.5手动改密677.4.6邮件方式发送托管密码687.4.7ftp方式发送托管密码70第八章策略728.1访问规则728.1.1查看访问规则728.1.2添加访问规则738.1.3编辑访问规则748.1.4删除访问规则768.1.5启用/禁用访问规则768.1.6搜索访问规则778.2行为规则788.2.2添加行为规则798.2.3编辑行为规则818.2.4删除行为规则828.2.5启用/禁用行为规则838.2.6搜索行为规则848.2.7查看行为规则命令858.2.8添加行为规则命令868.2.9删除行为规则命令878.2.10搜索行为规则命令888.2.11查看行为规则命令组898.2.12添加行为规则命令组918.2.13删除行为规则命令组928.2.14搜素行为规则命令组938.3审计规则948.3.1查看审计规则958.3.2添加审计规则958.3.3编辑审计规则978.3.4删除审计规则988.3.5启用/禁用审计规则998.3.6搜索审计规则1008.4策略日志1008.4.1查看访问规则日志1008.4.2搜索访问规则日志1018.4.3查看行为规则日志1028.4.4搜索行为规则日志1038.4.5查看审计规则日志1048.4.6搜索审计规则日志1058.5策略配置1068.5.1查看策略配置1068.5.2启用/禁用规则106第九章审计1089.1会话审计1089.1.2审计会话1099.1.3搜索会话1119.1.4查看事件1119.1.5审计事件1129.1.6搜索事件1149.2会话报表1149.2.1主机标签1149.2.2主机协议1159.2.3会话数量趋势1179.2.4主机会话数量1189.2.5用户会话数量1199.2.6主机会话源IP1209.2.7用户会话源IP1219.2.8访问告警等级1229.2.9行为告警等级1239.2.10审计告警等级1249.2.11主机访问告警1259.2.12主机行为告警1269.2.13主机审计告警1279.2.14用户访问告警1289.2.15用户行为告警1299.2.16用户审计告警1309.2.17源IP访问告警1319.2.18源IP行为告警1329.2.19源IP审计告警1339.2.20导出会话报表134第十章系统13510.1安全配置13510.1.1用户锁定配置13510.1.2密码策略配置13610.1.3登录配置13810.1.4双因素认证13910.1.5管理员登录配置14010.2网络配置14210.2.1查看网络配置14210.2.2接口配置14310.2.3DNS配置14410.2.4协议端口配置14610.2.5Web端口配置14810.3SNMP配置14910.4告警配置15110.4.1邮件告警15110.4.2Syslog告警15310.4.3选择等级15510.5认证配置15710.5.1启用/禁用认证15710.5.2LDAP认证配置15810.5.3同步LDAP用户16010.5.4AD认证配置16110.5.5同步AD用户16310.5.6RADIUS认证配置16410.6系统日志配置16610.7系统报表16810.7.1系统状态信息16810.7.2操作重要性16910.7.3用户控制17110.7.4主机控制17210.7.5会话控制17410.7.6用户与资产操作17510.7.7用户源IP17610.7.8异常用户17810.7.9异常IP18010.7.10导出系统报表18110.8系统日志18210.8.1查看系统日志18210.8.2搜索系统日志18310.9数据维护18410.9.1数据自动删除18410.9.2数据手动删除18510.9.3日志备份18610.9.4新建会话备份任务18810.9.5开始/暂停会话备份任务19010.9.6删除会话备份任务19110.10系统维护19210.10.1系统状态19210.10.2许可证管理-查看许可证19310.10.3许可证管理-导出系统认证19410.10.4许可证管理-导出许可证19610.10.5许可证管理-导入许可证19810.10.6系统管理-时间同步20010.10.7系统管理-系统升级20110.10.8系统管理-重启及恢复20310.10.9系统配置备份与还原20410.10.10磁盘管理-查看磁盘信息20610.10.11磁盘管理-磁盘检测20710.10.12磁盘管理-磁盘同步20810.10.13调试日志20910.10.14系统警报21010.10.15网络诊断连通性测试21210.10.16网络诊断TCPDump抓包21310.10.17系统诊断215第十一章运维21711.1会话管理21711.1.1查看会话21711.1.2会话监控21811.1.3阻断会话22011.1.4事件监控22111.2应用中心22311.2.1查看应用托管22311.2.2搜索应用托管22311.2.3下载单点登录器22411.2.4应用托管单点登录22411.3主机运维22611.3.1查看运维主机22611.3.2添加运维主机标签22611.3.3修改运维主机标签22811.3.4删除运维主机标签22911.3.5下载单点登录器23011.3.6下载第三方客户端23011.3.7单点登录全局配置23111.3.8单点登录细粒配置23211.3.9主机运维单点登录23311.3.10主机运维快速登录23511.4命令审批23611.4.1开启命令审批功能23711.4.2命令审批238第十二章运维授权24112.1用户授权账户24112.1.1查看用户授权账户24112.1.2添加用户授权账户24212.1.3删除用户授权账户24312.1.4搜索用户授权账户24512.2用户组授权账户24612.2.1查看用户组授权账户24612.2.2添加用户组授权账户24812.2.3删除用户组授权账户24912.2.4搜索用户组授权账户25012.3账户授权用户/用户组25212.3.1查看账户授权用户25212.3.2添加账户授权用户25312.3.3删除账户授权用户25412.3.4搜索账户授权用户25612.3.5查看账户授权用户组25712.3.6添加账户授权用户组25812.3.7删除账户授权用户组26012.3.8搜索账户授权用户组26112.4应用托管授权用户/用户组26212.4.1应用托管授权用户26212.4.2应用托管授权用户组26312.5账户未授权登录26412.5.1运维授权配置26412.5.2未授权登录26612.5.3授权审核268前言章节概要第一章产品简介介绍明御®运维审计与风险控制系统（DAS-USM）的主要功能和目的。