當前，我國電信業正處于發展和變革的時期，相關部委和電信運營商一直致力于市場格局的調整與優化。2008年最后一次拆分與重組之后，徹底打破了原先的壟斷經營格局。現階段，國內市場由中國移動、中國聯通與中國電信三家運營商共同主導，面向社會提供網絡服務和信息服務，實現信息通信和資源共享。伴隨信息技術的發展及應用的深入，電信運營商之間的市場競爭已逐步演變為信息安全保障服務能力的抗衡。
　　某市級電信運營商，為了應對電信行業運營格局的變化，對其行政組織機構進行調整，重組、整合下屬縣級業務，將原有的市級數據中心升級為主中心機房，下屬各縣級地區機房改設為分支機構，同時新增BSS、EIP、OCS、計費結算等眾多業務系統，最終實現業務數據及信息集中化整合的目標。
　　該運營商所采用的總部與多分支機構的業務運營管理模式徹底打破了傳統的“信息孤島”，促使其網絡規模、業務能力與服務水平滿足新增業務的需求，提升企業核心競爭力。然而，經過一段時間實際運行后發現，分支機構眾多導致運維操作分散和信息安全與風險管理的不可控性，此外，原本分散的運維模式根本無法滿足當前集中化的管理體制。
　　針對該電信運營商運維業務量擴大的現狀，及運維操作風險防控管理需求的提升，為改善其運維操作管理水平及集中化控管能力，維護網內安全運維環境，德訊科技為其提供了一套運維操作審計（堡壘主機）解決方案。
　　首先，本解決方案通過“ICS＋DCLive”的分布式聯合部署架構，突破地域、時空的距離限制，實現“運維操作獨立化，審計管理集中化”的管理目標（如圖1所示）。

圖1運維操作審計（堡壘主機）解決方案體系架構圖　

本方案的配置架構為：在各地分支機構分別部署ICS安全運維網關設備，通過“旁路審計”與“代理訪問”相結合的模式，建立本地化運維通道，對各自機房內計算機、服務器、網絡路由等目標設備實施運維操作，獨立化運行，互不干擾；在主中心機房內部署DCLive管理平臺,通過VPN或NAT端口映射模式實現與下級分支機構之間的ICS通信，并通過WEB瀏覽器方式實時監管各分支機構當前所有操作行為，并進行合規性審計以及事后審計數據的查看。
　　該分布式網絡部署模式嚴格遵循運營商制定的安全管理體制，從技術層面上保證對眾多分支機構網內運維安全的統一管理，對所有訪問會話及操作行為實現集中管理、實時監控、全面審計，同時滿足分支機構的未來擴展需求。
　　其次，針對該運營商運維人員繁多（包括中心、分支、第三方代維人員以及廠商等）、運維角色繁雜（如操作系統帳戶、網絡設備帳戶、業務系統、數據庫帳戶），造成運維分散、管理難度大、操作行為不可控的現狀。本方案為用戶提供統一訪問入口，支持本地平臺身份認證機制，結合實際應用需求，還支持LDAP/AD域、Radius、RSA等第三方認證方式，確保用戶的合法性。此外，本方案支持對臨時創建的用戶提供臨時授權管理，對其操作范圍、操作時間、操作權限進行約定與控制。基于運維管理平臺支持單點登錄、密碼代填，支持合法用戶一站式進入目標設備實施遠程訪問以及運維操作，無需再次輸入管理帳戶與密碼，解決身兼多種運維角色所導致的帳戶信息記憶混淆或遺忘的問題。

圖2運維操作審計（堡壘主機）解決方案設計思路示意圖

　　本方案采取“統一帳戶、統一認證、統一授權”的管理辦法，對網內運維操作源頭實施排查與控管，從根本上杜絕非法因素的入侵，有效提升企業的安全防范與風險抵御能力。
　　此外，本方案基于自身安全性及高可靠性的考慮，主中心機房DCLive平臺提供active-active部署方式的雙機熱備，實時保障數據的同步性與完整性，提供對整個系統的防災恢復。各分支機構分別部署兩臺ICS，構成一個設備組，共同分擔局域網內多路并發會話的運維壓力，實現負載均衡，縮短會話服務響應時間，顯著提升運維管理效率。