面向集團(tuán)的標(biāo)準(zhǔn)化安全加固方案

中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司鎮(zhèn)江分公司 宋嘯天 秦爾楠 劉志堅(jiān) 王易戈

面向集團(tuán)的標(biāo)準(zhǔn)化安全加固方案

中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司鎮(zhèn)江分公司 宋嘯天 秦爾楠 劉志堅(jiān) 王易戈

針針對(duì)集團(tuán)用戶施工實(shí)效低，后期維護(hù)難的情況，從配置注入快速化、驗(yàn)收操作明細(xì)化、組網(wǎng)安全完善化、排障手段多維化出發(fā)，提出了一種面向集團(tuán)的標(biāo)準(zhǔn)化安全加固方案。通過實(shí)施此方案后，縮減了工程放裝及驗(yàn)收耗時(shí)，降低了工程人員的人力消耗，解決了公司人員磨損嚴(yán)重的問題。同時(shí)提升了設(shè)備的安全等級(jí)，降低了集團(tuán)組網(wǎng)不合理引起的用戶上網(wǎng)慢投訴。

集團(tuán)客戶；安全；標(biāo)準(zhǔn)化

集團(tuán)用戶工程放裝效率和解決故障能力是能否快速有效地完成任務(wù)，對(duì)提高集團(tuán)用戶感知度起決定性的作用。由于接入設(shè)備配置耗時(shí)長(zhǎng)，手工方式受人為因素影響，配置易出錯(cuò)。驗(yàn)收人員流動(dòng)性強(qiáng)，技術(shù)能力不一，有時(shí)不能很好地檢測(cè)用戶上網(wǎng)環(huán)境，導(dǎo)致設(shè)備配置驗(yàn)收難，后期用戶組網(wǎng)配置容易沖突，影響鏈路正常使用。用戶組網(wǎng)安全性低，容易遭受外來攻擊和內(nèi)部攻擊，在遭受攻擊時(shí)沒有較好的手段減小影響范圍，極易造成用戶全網(wǎng)癱瘓。并且發(fā)生故障時(shí)，排查需安排人員現(xiàn)場(chǎng)查看，效率低下。面向集團(tuán)的標(biāo)準(zhǔn)化安全加固方案，在有效提高集團(tuán)用戶接入施工時(shí)效性的同時(shí)，支撐了后臺(tái)的故障投訴處理。

1 方案流程

面向集團(tuán)的標(biāo)準(zhǔn)化安全加固方案基于B/S（瀏覽器/服務(wù)器）應(yīng)用，通過智能控制實(shí)現(xiàn)一體化的工程放裝、驗(yàn)收及后期維護(hù)管理。有效地提升了工程的時(shí)效性及集團(tuán)組網(wǎng)的強(qiáng)健性，降低了因用戶組網(wǎng)問題而產(chǎn)生的投訴總量，在閉環(huán)處理的基礎(chǔ)上實(shí)現(xiàn)了工程側(cè)與支撐側(cè)的有機(jī)結(jié)合。

1.1 工程側(cè)方案

在工程側(cè)對(duì)設(shè)備進(jìn)行統(tǒng)一選型，便于施工及后期維護(hù)。配置及驗(yàn)收工具采用B/S結(jié)構(gòu)，適用于目前主流的各類操作系統(tǒng)，可進(jìn)行離線操作，不受網(wǎng)絡(luò)環(huán)境限制，操作簡(jiǎn)單、時(shí)效性高，避免人工干預(yù)，有效提升設(shè)備配置準(zhǔn)確性。同時(shí)驗(yàn)收工具利用自建案例庫(kù)進(jìn)行設(shè)備驗(yàn)收，根據(jù)組網(wǎng)實(shí)際需求，給出整改建議。

1.2 支撐側(cè)方案

在支撐側(cè)對(duì)設(shè)備預(yù)先進(jìn)行出廠安全配置，降低內(nèi)外網(wǎng)受攻擊概率、減小攻擊影響范圍。通過SNMP（簡(jiǎn)單網(wǎng)管協(xié)議）服務(wù)實(shí)時(shí)監(jiān)測(cè)設(shè)備，根據(jù)日志報(bào)告可先于用戶發(fā)現(xiàn)網(wǎng)絡(luò)異常故障。利用維護(hù)賬號(hào)遠(yuǎn)程登錄用戶設(shè)備，可直接遠(yuǎn)程發(fā)現(xiàn)故障、解決故障，無需維護(hù)人員現(xiàn)場(chǎng)處理。

1.3 方案流程

具體流程如下。

1）工程人員行至用戶現(xiàn)場(chǎng)后，通過自有終端連入接入設(shè)備；

2）使用集團(tuán)設(shè)備注入工具，輸入設(shè)備型號(hào)及用戶IP（網(wǎng)際協(xié)議）信息后進(jìn)行“一鍵注入”；

3）驗(yàn)收時(shí)使用集團(tuán)設(shè)備驗(yàn)收工具，輸入設(shè)備型號(hào)及用戶IP信息后進(jìn)行“一鍵驗(yàn)收”；

4）根據(jù)工具提示進(jìn)行設(shè)備整改。

對(duì)于符合規(guī)范的設(shè)備具備遠(yuǎn)程監(jiān)控及遠(yuǎn)程操作能力，便于維護(hù)人員后期支撐工作的開展。由于工程人員的網(wǎng)絡(luò)知識(shí)存儲(chǔ)量跨度較大、表達(dá)能力較弱，終端設(shè)置各不相同，為了有效提高代維上門服務(wù)效率，需要徹底簡(jiǎn)化代維需進(jìn)行的操作。在此項(xiàng)目中，工程人員僅需啟用“一鍵”功能按鈕即可完成設(shè)備的全面配置和驗(yàn)收，無需進(jìn)行任何人工操作。

2 主要特點(diǎn)

本課題主要有以下7個(gè)特點(diǎn)。

2.1 設(shè)備統(tǒng)一選型

針對(duì)集團(tuán)用戶規(guī)劃設(shè)備選型，主要選取ICG3000信息通信網(wǎng)關(guān)、SRG2200路由器及S2326交換機(jī)作為組網(wǎng)設(shè)備，設(shè)備性能強(qiáng)、安全性高、價(jià)格低于同類產(chǎn)品。見圖1。

2.2 腳本注入自動(dòng)化

使用B/S結(jié)構(gòu)智能化工具進(jìn)行設(shè)備腳本注入，工程人員僅需按照“注入說明”中的要求，選擇設(shè)備類型、填寫IP地址信息，即可實(shí)現(xiàn)設(shè)備腳本注入“一鍵化”“快速化”“離線化”。

2.3 設(shè)備驗(yàn)收高效化

通過設(shè)備驗(yàn)收工具對(duì)已放裝設(shè)備進(jìn)行配置的快速驗(yàn)收，針對(duì)設(shè)備性能、用戶IP地址信息、組網(wǎng)結(jié)構(gòu)、安全策略等內(nèi)容進(jìn)行綜合驗(yàn)收，確保設(shè)備配置準(zhǔn)確性。

2.4 案例歸納分析

通過驗(yàn)收工具整改案例，對(duì)驗(yàn)收結(jié)果進(jìn)行歸納分析，自動(dòng)選取接近案例及整改方案，便于驗(yàn)收人員進(jìn)行配置修改。

2.5 內(nèi)外網(wǎng)安全防護(hù)

依據(jù)現(xiàn)網(wǎng)安全防護(hù)策略，結(jié)合集團(tuán)用戶實(shí)際組網(wǎng)需求，進(jìn)行設(shè)備出廠安全策略預(yù)配置，同時(shí)配置IP保護(hù)策略，避免內(nèi)網(wǎng)鏈路沖突，有效降低內(nèi)外網(wǎng)受攻擊概率、減小攻擊影響范圍。

2.6 網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控

通過SNMP服務(wù)實(shí)時(shí)監(jiān)測(cè)設(shè)備鏈路狀態(tài)、CPU（中央處理器）使用情況、異常網(wǎng)絡(luò)流量及非法操作。根據(jù)日志報(bào)告可先于用戶發(fā)現(xiàn)網(wǎng)絡(luò)故障，從而在用戶產(chǎn)生網(wǎng)絡(luò)投訴前進(jìn)行故障處理。

2.7 支持遠(yuǎn)程排障

采用Telnet及Web方式進(jìn)行用戶設(shè)備遠(yuǎn)程管理，將維護(hù)人員生產(chǎn)力從現(xiàn)場(chǎng)中解放出來，同時(shí)通過快速響應(yīng)機(jī)制可提升故障的處理效率。

3 實(shí)施效果

經(jīng)測(cè)試，采用本課題的集團(tuán)客戶網(wǎng)絡(luò)穩(wěn)定性及可靠性均有明顯提升，試運(yùn)行效果卓著，見表1。

?

1）實(shí)施此方案后，極大地縮減了工程放裝及驗(yàn)收耗時(shí)，降低了工程人員的人力消耗，解決了公司人員磨損嚴(yán)重的問題。

2）通過提升設(shè)備安全等級(jí)，有效地降低了集團(tuán)組網(wǎng)不合理引起的用戶上網(wǎng)慢投訴量。通過遠(yuǎn)端監(jiān)控和排障手段，提高了投訴處理的時(shí)效性，有效地支撐了公司的降本增效工作。

4 結(jié)論

本課題針對(duì)集團(tuán)用戶施工實(shí)效低，后期維護(hù)難的情況，從配置注入快速化、驗(yàn)收操作明細(xì)化、組網(wǎng)安全完善化、排障手段多維化四點(diǎn)出發(fā)，通過智能控制實(shí)現(xiàn)一體化的工程放裝、驗(yàn)收及后期維護(hù)管理。有效地提升了工程的時(shí)效性及集團(tuán)組網(wǎng)的強(qiáng)健性，降低了因用戶組網(wǎng)問題而產(chǎn)生的投訴總量，在閉環(huán)處理的基礎(chǔ)上，實(shí)現(xiàn)了工程側(cè)與支撐側(cè)的有機(jī)結(jié)合。

本課題適用于互聯(lián)網(wǎng)集團(tuán)用戶、工程人員、代維人員及支撐人員。課題引入需要以下3個(gè)前提條件，具備極高的可推廣性：

1）對(duì)設(shè)備進(jìn)行統(tǒng)一選型，廠家愿意協(xié)助進(jìn)行設(shè)備出廠預(yù)配置；

2）工程人員愿意安裝集團(tuán)設(shè)備注入系統(tǒng)及驗(yàn)收系統(tǒng)；

3）硬件支持、網(wǎng)絡(luò)支持、應(yīng)用程序本身的費(fèi)用。