提升爱立信OSS话务网管帐号口令安全认证.ppt

技术创新成果,让互联网改善我们的生活,提升爱立信OSS话务网管帐号口令安全认证,申报单位：网络维护中心,中国移动广东公司惠州分公司,中国移动广东公司惠州分公司,项目名称,1.项目简介,主要完成人,功能简述,陈学洪、蓝 斌、刘春堂、叶荣浩、卓书恒 卢文滔、吴建东、李伟凯、陈培旭、李巧慧,为了实现为了统一管理OSS帐号、严防安全漏洞、 严格执行帐号口令管理办法以及SOX法案的要求, 网维中心网管组成员提出了完善OSS帐号口令策略 的创新性方案，使系统能够自动提醒并强制用户修 改口令，增加帐号口令认证的策略，实现统一用户 帐号管理、统一认证管理、统一授权管理和统一 安全审计。,中国移动广东公司惠州分公司,2.项目背景,爱立信OSS话务网管是平时我们网络维护人员用来监控、管理、维护爱立信网元的一个网管平台。目前对于OSS系统的访问，用户都是通过各个不同的工作站用各自的帐号口令登录到OSS服务器上去操作的。 OSS系统数据库中保存了我们爱立信网元的重要信息，安全级别要求级别比较高，帐号口令作为用户访问系统的唯一途径，起着关键的作用，同时也存在着极大的安全风险,静态密码的风险 密码被盗的危险,为了严防OSS系统访问的安全性漏洞，集中统一管理OSS用户帐号，提高工作效率，我们通过完善OSS帐号口令策略来实现帐号的统一安全管理。,中国移动广东公司惠州分公司,根据广东移动帐号口令管理办法第59条：用户应定期（至少90天）修改口令，以前用户口令的修改都是通过人工去通知的。 但随着网络的网络规模的迅速扩大，OSS帐号用户数量不断增加，人手管理OSS帐号口令存在着操作流程繁琐、可管理性差、不便进行访问权限控制、效率低下等问题，给网络的稳定运行带来了一定的安全隐患。 为了统一管理OSS帐号、严防安全漏洞、严格执行帐号口令管理办法以及SOX法案的要求，网维中心网管组成员提出了完善OSS帐号口令策略的创新性方案，使系统能够自动提醒并强制用户修改口令，增加帐号口令认证的策略，实现统一用户帐号管理、统一认证管理、统一授权管理和统一安全审计。,3.项目建设目的,中国移动广东公司惠州分公司,4.解决方案-四层验证,完善帐号口令策略后,未做帐号口令策略前,只有一层认证: 帐号口令是否符合,第一层认证:口令是否符合,第二层认证:密码是否过期,第三层认证:密码是否失效,第四层认证:口令是否符合规则,在密码验证上实现四层验证,中国移动广东公司惠州分公司,NO,4.解决方案-自动提醒,改进后修改密码流程：,OSS密码使用已超过76天,已改密码?,YES,NO,系统通知 用户修改密码,结束,90天到期?,已改密码?,NO,YES,冻结用户修 改密码权限,工作站同步 用户密码失效,YES,中国移动广东公司惠州分公司,4.解决方案-同步数据,将服务器上的帐号同步到各工作站,有同步功能示意图,没有同步功能示意图,中国移动广东公司惠州分公司,5.创新点-智能,很明显，只要将系统的密码修改流程自动化， 要实现目标指日可待!,到期系统自动通知 修改密码,系统锁定,超过最长期限,PASS,PASS,LOCK,改进后修改密码流程：,修改,修改,漏改,漏改,中国移动广东公司惠州分公司,5.创新点-同步,有同步功能示意图,没有同步功能示意图,帐号能同步到各工作站,中国移动广东公司惠州分公司,5.创新点-4A方案,提出新的帐号管理理论4A,认证Authentication 帐号Account 授权Authorization 审计Audit,此统一安全管理平台解决方案, 融合统一用户帐号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案涵盖单点登录（SSO）等安全功能 既能够为OSS用户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。,中国移动广东公司惠州分公司,帐号口令是否符合,密码是否失效,密码是否过期,完善的帐号口令策略,修改的口令是否符合密码规则,验证PASS,系统验证中,改进后四层密码验证方式,5.创新点-安全,中国移动广东公司惠州分公司,5.创新点-高效,提升前所用的时间,提升后所用的时间,我们来看一个实例 ,明显高效!,中国移动广东公司惠州分公司,6.应用效益,为规范OSS系统的帐号口令管理，网络、系统安全运行提供了强大的保障。 加强了对OSS系统用户身份的验证机制，统一授权管理用户帐号口令。 有效防止了用户对系统的非法访问与操作，大大提高了网络的安全与稳定性。 简化帐号口令管理流程，提升帐号口令管理效率，大大提高了维护人员的工作效率，节省了大量的人力物力。 有效的防范、控制了用户帐号口令泄露、被盗造成的系统配置信息、数据库被修改，从而破坏网络的稳定运行、影响网络业务的安全风险。,中国移动广东公司惠州分公司, 集中管理，对过期没修改口令的帐号或需回收的帐号系统将集中统一提醒用户修改口令，改变原先靠人工分散通知的情况； 实时控制，对OSS用户口令的状态进行实时控制，改变了原有靠人工管理可控制性差的情况； 严格受权认证，对OSS用户的口令信息进行扫描，杜绝了存在弱口令的情况，提高系统认证的安全性。,7.可推广性,中国移动广东公司惠州分公司,致谢,感谢聆听,Thank You!,