随着电信网络规模的逐年扩大,运营商对信息安全系统的建设愈加重视,同时传统的账号管理、网络配置、操作审计等网络维护管理方式的风险和隐患逐步显现,为了保证网络数据安全、提升业务运行维护的效率,甘肃联通迫切需要一套统一安全管理平台(后文简称为4A平台),实现对业务系统账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)的全面和集中管理。本文依据工信部4A安全考核要求和甘肃联通基础网络安全运维需求,提出了甘肃联通4A平台设计方案。主要设计工作内容及方法包括:首先,完成了4A平台与各专业网络的互通,实现了网络资源能够统一完整地接入;其次,在省级层部署运维门户和认证模块,面向省内各资源管理网络部署堡垒机采集机,实现对纳管的“应用资源”、“系统资源”的操作访问控制和日志收集;最后,配合集团层完成网络端口、链路和IP地址的网络配置和联调,最终实现集团层与省级层之间的数据同步。甘肃联通4A平台建设需要纳入三级及三级以上网元,但现网各个专业网管(数据网管、无线网管、传输网管、核心网网管)独立组网;地市到省分网管中心的网管业务承载方式多样,一部分承载在甘肃联通信息化部IT承载网或IP承载A网,一部分通过2M链路组网;现网各专业带外网管未与生产网分离,维护风险大,第三方平台无法实现平滑无缝接入,后期新建云平台无法接入实现集中运维。因此甘肃联通4A平台的建设中需要整合接入4A平台的网元,即网管网改造。在设计实施中,本人全面梳理了省内拟建4A管理平台的业务需求、功能目标、覆盖范围和整体方案。经过资源现状调研,全面掌握了省内需纳管系统的网络拓扑、设备软硬件配置信息;完成地市网管网至兰州网管网的打通;根据工程建设目标,配合“第三方集成商”制定了资源接管所需的网络方案和接管资源侧账号密码、登录认证相关参数的配置方案;规划了4A平台接入CE路由器和IP承载B网所涉及的网络端口、链路和IP地址资源,协调完成堡垒采集机接入平台所涉及的网络端口、链路和IP地址资源配置和联调;负责实现4A平台与各专业线“资源管理网络”的网络打通实施配置和网络层联调。4A平台解决了业务支撑系统内部用户帐号管理、授权管理相关问题,并将甘肃联通应用系统、主机系统、数据库、网络设备和安全设备整合到管理平台系统中,通过该平台对业务支撑系统所有IT资源进行集中管控,提供集中的帐号管理和授权管理,提升业务支撑系统的安全性和管理能力。本设计主要的创新点是实现了分部门的精确管理,满足了甘肃联通各部门的不同规范要求;同时根据《中国联通业务支撑网4A安全技术规范》的新要求对金库式管理、支撑系统管理流程提出了新的规划。4A平台可对授权人员的运维操作进行记录、分析、展现,做到事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强了内部业务操作行为监管,实现了日常运维和业务使用可视、可控、可信。4A系统在甘肃联通试运行后,从技术上保证了公司网络安全策略的实施,为甘肃联通网络安全保驾护航。