打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

亚信安全助力上海电信推动5G时代零信任框架实践
发布时间 :2021年05月12日
类型 :公司新闻
分享:

基于零信任,推动企业安全体系架构重构,这是5G时代对身份安全提出的核心诉求之一。在此背景下,中国电信股份有限公司上海分公司(以下简称上海电信)为满足5G核心网18项安全能力建设内容和进度要求,采用亚信安全提供的4A-iFORT堡垒机方案,与现网4A系统的认证和日志对接,实现了统一访问控制、帐号管理、密码管理、授权管理、身份认证、审计等要求,全面提升了专网安全运维的能力。


202111151636979312824099946.jpg

满足5G安全要求,加强统一安全运维能力



随着上海电信网络建设的迅猛发展,信息化管理技术的不断进步,各类业务应用系统、办公自动化系统、ERP系统不断推出和投入运行,其使用规模庞大的服务器主机、网络设备、安全设备来提供基础IT支撑服务。由于设备与系统众多,运维管理工作压力巨大,越权访问、误操作、滥用、恶意破坏等情况时有发生,不仅降低企业的运行效率,还会对企业声誉造成重大影响。


此外,在电信集团61号令中关于网络安全“三同步”、等保2.0和网信安全相关管理规定下,上海电信为满足5G核心网(以下简称5GC)18项安全能力建设内容和进度要求,需要将所有网运条线系统100%纳入4A,实现完整的帐号、认证、授权、审计功能,并对NOC、信网部、号百、互联网部等多个部门的重要系统进行覆盖。


结合合规性要求和运维管理升级需要,上海电信希望对5GC应用实现统一运维审计管理。核心诉求包括以下两点:




运维要求:系统作为运维人员身份和操作行为集中化管理平台,必须全面覆盖所有运维人员和所有被管资源,任何人不允许绕过系统进行操作,以确保所有行为均得到授权且所有行为留存记录。因此,需要对系统维护人员、系统管理人员等,以及承载上述工作的第三方外包支撑厂商运维人员提供统一的入口,记录用户从登录系统直至退出的全程运维访问、操作日志,并提供对这些记录的操作审计功能。



对接要求:有部分设备或运行单位由于客观原因不能和电信大网完全网络畅通,这就需要利用堡垒机在各个子网内部署来进行管控和运维审计,以满足安全能力建设要求。需要支持与现网4A系统的认证和日志对接,支持支持Radius、TACACS协议、4A票据,基于中国电信卡为芯片的软令牌等多种认证方式。



实现统一入口,与4A平台实现无缝对接



针对上海电信提高运维安全管理水平,跟踪、控制用户的操作行为,以及满足原4A系统对接的需求,亚信安全提供了基于零信任理念的4A-iFORT堡垒机。iFORT作为安全架构中的基础安全服务工具,满足了上海电信运维安全层面实现统一访问控制、帐号管理、密码管理、授权管理、身份认证、审计,提升IT系统安全性和可管理能力的要求。在项目对接完成后,最终可以解决“When”、“Where”、“What”、“Who”、“How”问题,即谁能够在什么时候获得谁的授权来使用某一个设备资源,如何去使用该设备资源,以及知道谁在什么时间访问了哪些设备资源,实现访问行为规范、操作便捷,满足了电信集团的要求。

202111151636979333640010274.png

在功能方面,亚信安全4A-iFORT堡垒机通过机器学习技术,具备风险自适应认证、零信任授权、安全护、密码保险箱等特性,以及开放性的对接能力,为上海电信5G网络业务提供了安全保障。



风险自适应认证能在保障安全性的情况下缩减 40%的登入时间,通过机器学习技术在无专业安全规则配置的情况下,能自动识别登录风险并执行加强认证及告警;


采用改良安全协议能在 2 秒内实现远程主机登入,经过调查显示当登入远程主机时常超过 5 秒,将会导致超过 90%的使用者感到焦躁,而很多传统堡垒机使用未优化过的远程连接协议,登录时长往往超过 5 秒甚至更多;


具备账号自注册与权限申请流程,节约安全管理员 90%的日常账号管理工作量;


支持零信任授权,权限分配临时化,权限自动回收,保障权限分配极小化;


4A-iFort 堡垒机自带 WAF 防护能力和自身抗DDOS能力,既能自身安全防护,又能防护运维环境安全;


密码保险箱隔离人员与设备账号的接触,弱密码、定期改密等安全隐患一体解决。



扫清网络威胁死角,安全运维为5G助力



项目实施后,4A-iFort堡垒机方案部署在上海电信特定网络区域内,对特定网络中的主机设备实现运维操作审计功能,并能通过特定访问控制的方式实现与4A系统的集中认证对接。这也确保了上海电信前期4A平台的效益最大化,实现了对原有安全能力的适当整合、恰到好处的基础架构设施配置,以及可弹性扩展的体系架构与平滑的升级空间。


上海电信项目负责人表示:在项目实施完成后,在网络基本不进行大的调整下,实现了各个专网的设备运维审计要求,系统可以对接中国电信上海公司4A平台,并符合集团对5GC的堡垒机规范要求。4A-iFort支持高可靠的集群和分布式部署,为我们提供了可以信赖的强大性能与高可靠性,让运维自动化不再是法外之地,为5G业务提供了可管理可审计的安全运维。



分享到微信
X