引:对电信运营商而言,结合了IT管理和安全特性的网管系统,成为了信息化建设的重点领域
长期以来,电信运营企业的信息化建设都是两条腿走路:一则"主内",以IT手段满足整个集团的内部应用需求;一则"主外",丰富增值服务手段,为企业转型战略服务.而对电信运营商而言,结合了IT管理和安全特性的网管系统,成为了信息化建设的重点领域。
某省级联通作为一个电信运营商企业的缩影,带着他们的经验与困惑走入我们的视线。联通的信息化支撑网络主要由BSS(业务支撑系统)网络和MSS(管理支持系统)网络构成,承载着全省数百万联通用户的营业、计费、账务以及提供经营分析数据的任务,以及全省数千员工的日常办公需求。
为统一门户建设打基础
随着3G时代的到来,用户数量和业务数量的增长会又面临一个新的高峰,一方面要求IT支撑系统更稳定,系统容量更大,整体系统的准确性和及时性提升到更高的标准。另外随着外联业务增长以及网络的互联性增大,外来非法访问和恶意入侵的防范,各种新业务的应用,对系统安全性提出了更高的要求,需要相应的提供更高的安全等级的系统支撑。
在IT建设初期,由于BSS网络与MSS网络是分别建设的。两张网络彼此分离,之间没有任何的物理连接,每张网络都有各自到地市的传输线路,无法实现传输资源、系统资源的共享,因此形成了两大信息孤岛。
而随着业务的发展,各系统资源的共享也越来越迫切。为了满足业务需求进行了第一次安全改造,决定尝试将BSS网络与MSS网络进行连接,出于对BBS网络数据传输的信息安全考虑,需要将合作伙伴等外部访问用户进行剥离。
设立了DMZ区,将原有直接接入BSS网络的各外部访问统一调整至安全可控区域,一方面避免了BSS网络与MSS网络的直连互访,另一方面又可满足不同的业务访问需求。并使用多级防火墙进行隔离控制,进行严格的策略限定。通过这次的网络安全改造,实现了初步的信息资源整合,建立了初步的统一信息平台。
面对迅速增长的业务,日益庞大的数据信息流,BSS和MSS原有至地市主干传输线路的带宽又成为了系统中的瓶颈,扩容BSS/MSS带宽以及增加MSS网络冗余备份线路成为了摆在面前的主要问题。经反复市场调研以及技术沟通,最终确定了采用业内先进的BGP/MPLS-VPN技术方案来同时满足以上两张网的需求。
最终,于2006年5月份,该工程顺利结束,主干传输线路带宽由原有的2M-SDH升级到12MB的ATM电路,在传输平台层面,实现了融合统一,不仅完成了原定的扩容冗余线路建设任务,同时也为今后各系统网络的统一建设打下了基础。
注重信息安全
目前,在联通支撑网络中,共有路由器以及交换机约100余台,从高端的CISCO12016到低端的CISCO2600,从高端的CISCO6509到低端的CISCO1900均有应用;省中心同时部署有30余台小型机以及各类存储备份设备。
在网络运维方面,公司自行研发的一套监控系统,可以定期监控各设备的网络通断情况。各系统设备的端口状态、CPU、内存、SYSLOG、磁盘空间大小以及数据库的性能指标也可借由此进行完全的监控。
网络以及主机设备是系统安全稳定运行的基础,因此对于该批设备的监控成为了首当其冲的问题。其中,链路监控包括链路通断以及带宽的监控手段,链路通断可以用最基本的PING命令或者监控设备的端口UP/DOWN情况来准实时监控;而带宽监控亦可采用部分流量以及带宽管理工具进行监控。
虽然BSS内网与MSS外网在物理上已经联通,有防火墙进行安全隔离,但是仍存在一定的安全风险。并且由于办公应用的需求,从MSS网络上可以访问互联网,客观上也存在有安全隐患。因此,为了保证信息安全,保证整个系统的安全,采取了种种方案来进行控制监控:
一是严格控制网络互访,加强防火墙策略管理,对数据流向进行端口级别控制;
二是部署了IDS与安全审计产品,对异常流量,非法访问进行实时监控;同时不定期使用网络数据包分析工具,分析大数据流量,监控网络使用情况;
三是加强终端安全管理,由于与公网的联通性,病毒、木马、恶意程序、大流量网络应用成为了目前MSS网络的最大敌人。除了安装使用了防病毒产品外,还在核心交换机以及各接入交换机上部署了大量的ACL,来满足网络安全的需求。 |
