当前，我国电信业正处于发展和变革的时期，相关部委和电信运营商一直致力于市场格局的调整与优化。2008年最后一次拆分与重组之后，彻底打破了原先的垄断经营格局。现阶段，国内市场由中国移动、中国联通与中国电信三家运营商共同主导，面向社会提供网络服务和信息服务，实现信息通信和资源共享。伴随信息技术的发展及应用的深入，电信运营商之间的市场竞争已逐步演变为信息安全保障服务能力的抗衡。
　　
　　某市级电信运营商，为了应对电信行业运营格局的变化，对其行政组织机构进行调整，重组、整合下属县级业务，将原有的市级数据中心升级为主中心机房，下属各县级地区机房改设为分支机构，同时新增BSS、EIP、OCS、计费结算等众多业务系统，最终实现业务数据及信息集中化整合的目标。
　　
　　该运营商所采用的总部与多分支机构的业务运营管理模式彻底打破了传统的“信息孤岛”，促使其网络规模、业务能力与服务水平满足新增业务的需求，提升企业核心竞争力。然而，经过一段时间实际运行后发现，分支机构众多导致运维操作分散和信息安全与风险管理的不可控性，此外，原本分散的运维模式根本无法满足当前集中化的管理体制。
　　
　　针对该电信运营商运维业务量扩大的现状，及运维操作风险防控管理需求的提升，为改善其运维操作管理水平及集中化控管能力，维护网内安全运维环境，德讯科技为其提供了一套运维操作审计（堡垒主机）解决方案。
　　
　　首先，本解决方案通过“ICS＋DCLive”的分布式联合部署架构，突破地域、时空的距离限制，实现“运维操作独立化，审计管理集中化”的管理目标（如图1所示）。

图1 运维操作审计（堡垒主机）解决方案体系架构图

　　本方案的配置架构为：在各地分支机构分别部署ICS安全运维网关设备，通过“旁路审计”与“代理访问”相结合的模式，建立本地化运维通道，对各自机房内计算机、服务器、网络路由等目标设备实施运维操作，独立化运行，互不干扰；在主中心机房内部署DCLive管理平台,通过VPN或NAT端口映射模式实现与下级分支机构之间的ICS通信，并通过WEB浏览器方式实时监管各分支机构当前所有操作行为，并进行合规性审计以及事后审计数据的查看。
　　
　　该分布式网络部署模式严格遵循运营商制定的安全管理体制，从技术层面上保证对众多分支机构网内运维安全的统一管理，对所有访问会话及操作行为实现集中管理、实时监控、全面审计，同时满足分支机构的未来扩展需求。
　　
　　其次，针对该运营商运维人员繁多（包括中心、分支、第三方代维人员以及厂商等）、运维角色繁杂（如操作系统帐户、网络设备帐户、业务系统、数据库帐户），造成运维分散、管理难度大、操作行为不可控的现状。本方案为用户提供统一访问入口，支持本地平台身份认证机制，结合实际应用需求，还支持LDAP/AD域、Radius、RSA等第三方认证方式，确保用户的合法性。此外，本方案支持对临时创建的用户提供临时授权管理，对其操作范围、操作时间、操作权限进行约定与控制。基于运维管理平台支持单点登录、密码代填，支持合法用户一站式进入目标设备实施远程访问以及运维操作，无需再次输入管理帐户与密码，解决身兼多种运维角色所导致的帐户信息记忆混淆或遗忘的问题。

图2 运维操作审计（堡垒主机）解决方案设计思路示意图

　　本方案采取“统一帐户、统一认证、统一授权”的管理办法，对网内运维操作源头实施排查与控管，从根本上杜绝非法因素的入侵，有效提升企业的安全防范与风险抵御能力。
　　
　　此外，本方案基于自身安全性及高可靠性的考虑，主中心机房DCLive平台提供active-active部署方式的双机热备，实时保障数据的同步性与完整性，提供对整个系统的防灾恢复。各分支机构分别部署两台ICS，构成一个设备组，共同分担局域网内多路并发会话的运维压力，实现负载均衡，缩短会话服务响应时间，显著提升运维管理效率。