成都國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)建設(shè)思路探討

廖 明（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心四川分中心，四川成都610074）

0 前言

為加強(qiáng)技術(shù)手段建設(shè)，實(shí)時(shí)監(jiān)測(cè)成都國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)的網(wǎng)間通信質(zhì)量，四川省通信管理局按照工業(yè)和信息化部《國(guó)家通信網(wǎng)互聯(lián)互通監(jiān)控中心互聯(lián)網(wǎng)監(jiān)測(cè)系統(tǒng)技術(shù)要求》，組織編制《四川省互聯(lián)網(wǎng)監(jiān)測(cè)管理可行性研究報(bào)告》，并于2014年8月5日上報(bào)工業(yè)和信息化部審查，工業(yè)和信息化部于2014年12月8日印發(fā)《關(guān)于四川省（成都）國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)建設(shè)工程項(xiàng)目建議書（代可行性研究報(bào)告）的批復(fù)》（工信部規(guī)函［2014］563號(hào)）：“同意建設(shè)主動(dòng)監(jiān)測(cè)子系統(tǒng)、被動(dòng)監(jiān)測(cè)子系統(tǒng)、寬帶測(cè)速子系統(tǒng)和監(jiān)控中心子系統(tǒng)，實(shí)現(xiàn)成都直聯(lián)點(diǎn)互聯(lián)鏈路性能監(jiān)測(cè)、網(wǎng)絡(luò)運(yùn)行安全監(jiān)測(cè)、網(wǎng)間不規(guī)范路由監(jiān)測(cè)、過(guò)網(wǎng)流量流向及業(yè)務(wù)監(jiān)測(cè)、端到端網(wǎng)絡(luò)通信性能監(jiān)測(cè)、端到端業(yè)務(wù)訪問(wèn)質(zhì)量監(jiān)測(cè)、網(wǎng)間通信障礙責(zé)任判定測(cè)量等功能”。一套較為科學(xué)、系統(tǒng)、全面的互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)，對(duì)成都骨干直聯(lián)點(diǎn)建設(shè)和發(fā)展發(fā)揮著基石和加速器的作用，是鞏固成都國(guó)家級(jí)通信樞紐地位，實(shí)時(shí)監(jiān)測(cè)分析網(wǎng)間通信質(zhì)量，確保網(wǎng)間通信暢通，保障成都骨干直聯(lián)點(diǎn)安全高效運(yùn)行的有力技術(shù)手段。

1 建設(shè)分工界面

從監(jiān)測(cè)系統(tǒng)的可擴(kuò)展性、可維護(hù)性出發(fā)，梳理確定監(jiān)測(cè)系統(tǒng)的建設(shè)維護(hù)分工界面。

1.1 省通信管理局負(fù)責(zé)建設(shè)主要內(nèi)容

監(jiān)測(cè)系統(tǒng)的軟硬件及主機(jī)房裝修、空調(diào)、-48 V直流電源系統(tǒng)、動(dòng)力環(huán)境監(jiān)控等配套設(shè)備的安裝、調(diào)測(cè)及功能運(yùn)行。

主動(dòng)監(jiān)測(cè)子系統(tǒng)/寬帶測(cè)速子系統(tǒng)的服務(wù)器軟件安裝、調(diào)測(cè)及功能運(yùn)行。

1.2 基礎(chǔ)電信企業(yè)負(fù)責(zé)建設(shè)主要內(nèi)容

主動(dòng)監(jiān)測(cè)子系統(tǒng)/寬帶測(cè)速子系統(tǒng)的服務(wù)器硬件；被動(dòng)監(jiān)測(cè)子系統(tǒng)配套的分光器、光放大器等。監(jiān)測(cè)系統(tǒng)主機(jī)房的OTN傳輸設(shè)備、光配線架、直流電源頭柜、入局光纜等。

把成都骨干直聯(lián)點(diǎn)互聯(lián)鏈路割接、分光彩集及傳送到監(jiān)測(cè)系統(tǒng)主機(jī)房的光配線架上。主動(dòng)監(jiān)測(cè)子系統(tǒng)/寬帶測(cè)速子系統(tǒng)服務(wù)器到監(jiān)測(cè)系統(tǒng)主機(jī)房光配線架上的鏈路調(diào)通、調(diào)測(cè)和上線運(yùn)行。

提供企業(yè)省內(nèi)公眾互聯(lián)網(wǎng)IP地址段表、鏈路端到端路由表、互聯(lián)鏈路備案表等數(shù)據(jù)。

2 系統(tǒng)總體架構(gòu)

監(jiān)測(cè)系統(tǒng)采用B/S架構(gòu)，提供Web展示界面，實(shí)現(xiàn)對(duì)用戶信息、角色、權(quán)限、系統(tǒng)參數(shù)、基礎(chǔ)數(shù)據(jù)、監(jiān)測(cè)系統(tǒng)設(shè)備信息和管理日志等配置。向用戶提供資源、設(shè)備管理、維護(hù)、任務(wù)定制、下達(dá)和控制等功能。提供統(tǒng)一的監(jiān)控視圖，采用數(shù)據(jù)挖掘技術(shù)，提供數(shù)據(jù)對(duì)比分析和趨勢(shì)分析功能。

a）門戶。門戶向用戶提供統(tǒng)一的平臺(tái)及展示界面，監(jiān)測(cè)系統(tǒng)分析處理工作人員通過(guò)監(jiān)控中心門戶進(jìn)入各類業(yè)務(wù)監(jiān)測(cè)功能模塊，進(jìn)行業(yè)務(wù)的監(jiān)測(cè)、分析等處理。

b）應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)在信息安全防護(hù)體系和管理體系基礎(chǔ)上，依托數(shù)據(jù)采集、分析層所提供的數(shù)據(jù)，由基礎(chǔ)功能平臺(tái)支撐并運(yùn)行。

c）數(shù)據(jù)分析層。數(shù)據(jù)分析主要對(duì)監(jiān)測(cè)到的數(shù)據(jù)、寬帶用戶的測(cè)試數(shù)據(jù)、網(wǎng)絡(luò)安全事件等數(shù)據(jù)進(jìn)行分析，最終將分析的結(jié)果提供給各子系統(tǒng)進(jìn)行展現(xiàn)。

d）數(shù)據(jù)庫(kù)層。數(shù)據(jù)處理主要是對(duì)采集到的鏈路性能質(zhì)量、網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)速率、網(wǎng)絡(luò)安全事件等數(shù)據(jù)進(jìn)行加工處理形成統(tǒng)一的數(shù)據(jù)庫(kù)。

e）數(shù)據(jù)采集層。數(shù)據(jù)采集層主要是通過(guò)分光器、采集服務(wù)器、接口對(duì)接等設(shè)備，采集鏈路性能質(zhì)量、網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)速率、網(wǎng)絡(luò)安全事件等相關(guān)重要數(shù)據(jù)。

f）基礎(chǔ)設(shè)施層。基礎(chǔ)設(shè)施層主要搭建各子系統(tǒng)硬件設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、安全等設(shè)備。同時(shí)在互聯(lián)單位部署相關(guān)的分光器、采集服務(wù)器等設(shè)備進(jìn)行數(shù)據(jù)采集。

監(jiān)控中心系統(tǒng)作為整個(gè)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)中樞，采用“分層+分區(qū)”的思路進(jìn)行其網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)。監(jiān)控中心系統(tǒng)網(wǎng)絡(luò)劃分為核心層與匯聚層，其中匯聚層將傳統(tǒng)的匯聚層與接入層進(jìn)行整合，匯聚層交換機(jī)承擔(dān)接入層與匯聚層的雙重工作，實(shí)現(xiàn)扁平化的網(wǎng)絡(luò)架構(gòu)，降低網(wǎng)絡(luò)復(fù)雜度，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，提高轉(zhuǎn)發(fā)性能。根據(jù)監(jiān)控中心系統(tǒng)應(yīng)用與管理的不同需求，利用防火墻和核心交換機(jī)對(duì)監(jiān)控系統(tǒng)各功能區(qū)域進(jìn)行邏輯劃分，主要分為數(shù)據(jù)中心區(qū)（含應(yīng)用接口服務(wù)器區(qū)、數(shù)據(jù)存儲(chǔ)區(qū)、管理維護(hù)區(qū)）、Web門戶區(qū)、網(wǎng)絡(luò)安全區(qū)等。

3 系統(tǒng)建設(shè)方案

3.1 應(yīng)用系統(tǒng)功能整體架構(gòu)設(shè)計(jì)

應(yīng)用系統(tǒng)功能架構(gòu)如圖1所示。

3.1.1 主動(dòng)監(jiān)測(cè)子系統(tǒng)

主動(dòng)監(jiān)測(cè)是在網(wǎng)絡(luò)中通過(guò)主動(dòng)監(jiān)測(cè)服務(wù)器發(fā)起探測(cè)數(shù)據(jù)，并對(duì)測(cè)試數(shù)據(jù)的轉(zhuǎn)發(fā)情況進(jìn)行統(tǒng)計(jì)分析的一種測(cè)試方法。主動(dòng)監(jiān)測(cè)子系統(tǒng)根據(jù)監(jiān)測(cè)范圍不同分為骨干網(wǎng)主動(dòng)監(jiān)測(cè)、城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)2個(gè)子系統(tǒng)。

a）在四川電信、四川移動(dòng)、四川聯(lián)通骨干網(wǎng)機(jī)房骨干互通路由器側(cè)配置一臺(tái)主動(dòng)監(jiān)測(cè)服務(wù)器，此服務(wù)器放置在監(jiān)測(cè)系統(tǒng)監(jiān)控中心機(jī)房，通過(guò)企業(yè)配套傳輸系統(tǒng)與互聯(lián)邊界路由器連接，實(shí)現(xiàn)對(duì)骨干網(wǎng)及互聯(lián)鏈路性能的監(jiān)測(cè)。數(shù)據(jù)流向?yàn)椋汗歉陕酚善?互聯(lián)邊界路由器?傳輸網(wǎng)絡(luò)?監(jiān)控中心骨干網(wǎng)主動(dòng)監(jiān)測(cè)服務(wù)器?路由器?數(shù)據(jù)核心交換區(qū)?主動(dòng)接口服務(wù)器。

b）在各市（州）各互聯(lián)單位城域網(wǎng)機(jī)房部署主動(dòng)監(jiān)測(cè)服務(wù)器，實(shí)現(xiàn)到其他省性能監(jiān)測(cè)、省內(nèi)網(wǎng)內(nèi)/網(wǎng)間網(wǎng)絡(luò)質(zhì)量及業(yè)務(wù)質(zhì)量監(jiān)測(cè)、省內(nèi)網(wǎng)絡(luò)架構(gòu)、網(wǎng)站架構(gòu)相關(guān)分析以及用于寬帶測(cè)速，此63臺(tái)主動(dòng)監(jiān)測(cè)服務(wù)器由各互聯(lián)單位按照要求自行投資采購(gòu)配套。數(shù)據(jù)流向?yàn)椋撼怯蚓W(wǎng)主動(dòng)監(jiān)測(cè)設(shè)備?各互聯(lián)單位城域網(wǎng)/數(shù)據(jù)專網(wǎng)?傳輸網(wǎng)絡(luò)?路由器?數(shù)據(jù)核心交換區(qū)?主動(dòng)接口服務(wù)器。

綜合考慮城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)數(shù)據(jù)的可復(fù)用性和數(shù)據(jù)安全性，要求城域網(wǎng)主動(dòng)監(jiān)測(cè)服務(wù)器對(duì)城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)數(shù)據(jù)進(jìn)行本機(jī)存儲(chǔ)，存儲(chǔ)周期至少達(dá)到半年。

圖1 應(yīng)用系統(tǒng)功能整體架構(gòu)

3.1.2 被動(dòng)監(jiān)測(cè)子系統(tǒng)

被動(dòng)監(jiān)測(cè)是一種由流量/協(xié)議分析設(shè)備或軟件在網(wǎng)絡(luò)中對(duì)流量或協(xié)議的交互過(guò)程進(jìn)行捕獲及分析的手段。

被動(dòng)監(jiān)測(cè)子系統(tǒng)通過(guò)旁路分光彩集互聯(lián)鏈路的流量，對(duì)流量進(jìn)行細(xì)粒度的測(cè)量，提取和記錄不同網(wǎng)絡(luò)層次的網(wǎng)絡(luò)流元數(shù)據(jù)；然后根據(jù)用戶的需求，從不同維度對(duì)微觀、細(xì)粒度的網(wǎng)絡(luò)流元數(shù)據(jù)進(jìn)行統(tǒng)計(jì)聚合，從而實(shí)現(xiàn)對(duì)宏觀、粗粒度的質(zhì)量指標(biāo)的精確測(cè)量。

3.1.2.1 部署方式比較

由表1可知，集中部署的缺點(diǎn)是占用傳輸帶寬較高，但是由于本項(xiàng)目各互聯(lián)單位配套建設(shè)了骨干互通路由器機(jī)房到監(jiān)測(cè)系統(tǒng)監(jiān)控中心機(jī)房的傳輸系統(tǒng)，不需要額外投資，且集中部署具有節(jié)省設(shè)備數(shù)量和機(jī)房監(jiān)測(cè)設(shè)備采用集中部署的方案。

3.1.2.2 被動(dòng)監(jiān)測(cè)設(shè)備比較

目前市場(chǎng)上被動(dòng)監(jiān)測(cè)設(shè)備主要采用2種方案，一是使用匯聚設(shè)備，然后將流量分散給多臺(tái)服務(wù)器進(jìn)行監(jiān)測(cè)分析，以單臺(tái)處理10G流量能力的服務(wù)器計(jì)算，如果采集180G互聯(lián)帶寬，由于采集的流量是雙向的，相當(dāng)于最大360G流量，考慮帶寬利用率，至少需要30余臺(tái)采集服務(wù)器，且每臺(tái)服務(wù)器也需要安裝特殊的采集板卡，故在投資成本上并不具備絕對(duì)優(yōu)勢(shì)。二是采用流量采集分析大型設(shè)備，一般來(lái)說(shuō)此設(shè)備可以通過(guò)安裝多塊采集板卡實(shí)現(xiàn)大流量的采集，以單臺(tái)處理200G流量能力計(jì)算，本項(xiàng)目只需2臺(tái)設(shè)備即可。

表2示出的是被動(dòng)監(jiān)測(cè)設(shè)備比較。

本項(xiàng)目采用支持大流量采集分析設(shè)備，即接口承載板、大容量交換板以及多核應(yīng)用處理板高密度集成，所有采集分析工作在一個(gè)機(jī)箱內(nèi)完成。

表1 被動(dòng)監(jiān)測(cè)子系統(tǒng)部署方式比較

表2 被動(dòng)監(jiān)測(cè)設(shè)備比較

四川電信、四川聯(lián)通、四川移動(dòng)配套提供分光器、光放大器等設(shè)備，并通過(guò)互聯(lián)單位配套的傳輸系統(tǒng)將原始流量傳輸至監(jiān)測(cè)系統(tǒng)監(jiān)控中心機(jī)房。數(shù)據(jù)流向?yàn)椋夯ヂ?lián)邊界路由器?分光器?光放大器?互聯(lián)單位傳輸系統(tǒng)?監(jiān)控中心被動(dòng)監(jiān)測(cè)設(shè)備?核心交換機(jī)?被動(dòng)接口服務(wù)器。

在四川電信、四川移動(dòng)、四川聯(lián)通等互聯(lián)單位互聯(lián)互通機(jī)房，通過(guò)分光器對(duì)每一條互聯(lián)鏈路光發(fā)方向分出4路信號(hào)（采用1∶4分光器，分光比分別為70%、10%、10%、10%），其中一路光信號(hào)（分光比為10%）通過(guò)光放大器進(jìn)行功率放大，然后通過(guò)互聯(lián)單位新建OTN傳輸系統(tǒng)提供的多條10G專線，連接到監(jiān)測(cè)系統(tǒng)監(jiān)控中心機(jī)房的被動(dòng)監(jiān)測(cè)設(shè)備上。

3.1.3 寬帶測(cè)速子系統(tǒng)設(shè)計(jì)

寬帶接入速率測(cè)試需要在城域網(wǎng)部署測(cè)速服務(wù)器，由于該系統(tǒng)已在城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)采集子系統(tǒng)中部署了主動(dòng)監(jiān)測(cè)服務(wù)器，且由于測(cè)速服務(wù)主要對(duì)帶寬需求較高，已部署的主動(dòng)監(jiān)測(cè)服務(wù)器性能滿足測(cè)速需求，該項(xiàng)目考慮共用。

根據(jù)各互聯(lián)單位或其他服務(wù)商提供的各市（州）各種簽約帶寬的比例發(fā)展友好用戶，用戶通過(guò)下載客戶端軟件并安裝在電腦上、手機(jī)上使用并測(cè)試。通過(guò)收集大量采集樣本進(jìn)行多維度的統(tǒng)計(jì)分析。

3.2 數(shù)據(jù)處理和存儲(chǔ)以及備份系統(tǒng)設(shè)計(jì)

該工程所需數(shù)據(jù)處理、存儲(chǔ)和備份功能由監(jiān)控中心系統(tǒng)數(shù)據(jù)中心承載，主要為主動(dòng)監(jiān)測(cè)子系統(tǒng)、被動(dòng)監(jiān)測(cè)子系統(tǒng)、寬帶測(cè)速子系統(tǒng)、企業(yè)數(shù)據(jù)采集子系統(tǒng)提供數(shù)據(jù)匯聚、清洗、轉(zhuǎn)換、存儲(chǔ)、應(yīng)用處理，并運(yùn)用相關(guān)性分析、多元分析等數(shù)據(jù)綜合分析方法，得到網(wǎng)絡(luò)質(zhì)量、業(yè)務(wù)質(zhì)量、運(yùn)行監(jiān)測(cè)等綜合性能指標(biāo)。

3.3 系統(tǒng)安全設(shè)計(jì)

3.3.1 系統(tǒng)安全設(shè)計(jì)思路

主要從網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、數(shù)據(jù)安全等4個(gè)維度進(jìn)行構(gòu)建。

3.3.2 網(wǎng)絡(luò)安全方案

互聯(lián)網(wǎng)接入安全主要包括以下方面。

a）在監(jiān)控中心機(jī)房的互聯(lián)網(wǎng)接入路由器上配置訪問(wèn)控制列表及安全加固，對(duì)常見(jiàn)網(wǎng)絡(luò)攻擊進(jìn)行基本防護(hù)。首先，應(yīng)該在路由器上禁用一些不需要的服務(wù)，例如IP路由選擇、代理ARP、http server等；第二，為路由器配置強(qiáng)口令，口令需要至少8個(gè)字符長(zhǎng)，口令中需包含大小寫字母、數(shù)字及特殊符號(hào)，并且確保每3個(gè)月更換一次；第三，禁用telnet服務(wù)，使用較安全的SSH作為維護(hù)連接；最后，部署訪問(wèn)控制列表，限制互聯(lián)網(wǎng)對(duì)內(nèi)網(wǎng)常見(jiàn)攻擊端口的訪問(wèn)。

b）在互聯(lián)網(wǎng)接口處部署防火墻，限制互聯(lián)網(wǎng)用戶對(duì)內(nèi)部服務(wù)器的訪問(wèn)。只有訪問(wèn)服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。

c）在核心網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全關(guān)口監(jiān)測(cè)系統(tǒng)，該系統(tǒng)是具備報(bào)文檢測(cè)、流監(jiān)測(cè)、網(wǎng)絡(luò)異常通信行為分析、惡意代碼檢測(cè)等多種安全監(jiān)測(cè)能力和多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析能力的一體化網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，通過(guò)對(duì)關(guān)口流量進(jìn)行監(jiān)測(cè)分析、告警、日志留存、網(wǎng)絡(luò)審計(jì)，可及時(shí)發(fā)現(xiàn)惡意代碼感染、惡意代碼傳播、網(wǎng)站后門、網(wǎng)頁(yè)篡改、惡意URL訪問(wèn)、DDoS攻擊及惡意網(wǎng)絡(luò)掃描等網(wǎng)絡(luò)安全事件，并可通過(guò)分析異常通信行為預(yù)警未知安全威脅，如APT攻擊。此外，該系統(tǒng)支持對(duì)歷史事件和數(shù)據(jù)的快速査詢和關(guān)聯(lián)分析，從而可對(duì)特定網(wǎng)絡(luò)安全事件進(jìn)行全程回溯分析，保障重要用戶網(wǎng)絡(luò)安全。

內(nèi)網(wǎng)安全主要采取以下措施。

a）在核心交換機(jī)上開(kāi)啟安全端口功能，使用安全端口，當(dāng)發(fā)現(xiàn)試圖連接到交換機(jī)的計(jì)算機(jī)MAC地址與配置的MAC地址不同時(shí)，交換機(jī)將禁止從該端口輸入。

b）將不同服務(wù)器劃入不同VLAN，并根據(jù)訪問(wèn)權(quán)限，在交換機(jī)VLAN端口上配置ACL，僅允許必要的流量跨VLAN通信，從而限制內(nèi)部攻擊的范圍。

c）利用網(wǎng)絡(luò)安全關(guān)口監(jiān)測(cè)系統(tǒng)監(jiān)視網(wǎng)絡(luò)流量，進(jìn)行漏洞掃描，對(duì)內(nèi)網(wǎng)設(shè)備全面檢查，并對(duì)終端漏洞進(jìn)行實(shí)時(shí)升級(jí)。

d）購(gòu)買一套防病毒系統(tǒng)，用于保護(hù)數(shù)據(jù)中心系統(tǒng)主機(jī)和終端，統(tǒng)一管理網(wǎng)絡(luò)內(nèi)防病毒策略定制及升級(jí)，自動(dòng)分發(fā)到網(wǎng)絡(luò)內(nèi)所有主機(jī)和服務(wù)器。

網(wǎng)絡(luò)設(shè)備安全加固主要包括如下6方面：賬號(hào)權(quán)限加固、網(wǎng)絡(luò)服務(wù)加固、網(wǎng)絡(luò)訪問(wèn)控制加固、審計(jì)策略加固、惡意代碼防范、Bug修復(fù)。

3.3.3 系統(tǒng)安全方案

操作系統(tǒng)安全包括賬號(hào)權(quán)限加固、網(wǎng)絡(luò)服務(wù)加固、數(shù)據(jù)訪問(wèn)控制加固、網(wǎng)絡(luò)訪問(wèn)控制、口令策略加固、用戶鑒別加固、審計(jì)策略加固、漏洞加固等。

主機(jī)物理安全主要包括以下幾方面。

a）限制通過(guò)網(wǎng)絡(luò)對(duì)主機(jī)的IPMI端口進(jìn)行訪問(wèn)，為上述端口配置密碼，并且在核心交換機(jī)上配置訪問(wèn)控制列表，僅允許指定的IP地址訪問(wèn)主機(jī)的IPMI端口。

b）將主機(jī)安裝在有鎖的機(jī)柜中，并保持機(jī)柜在鎖定狀態(tài)。

c）設(shè)置屏保密碼，并自動(dòng)鎖定主機(jī)。

主動(dòng)監(jiān)測(cè)服務(wù)器/測(cè)速服務(wù)器部署在各互聯(lián)單位城域網(wǎng)機(jī)房，需對(duì)服務(wù)器做相應(yīng)的安全加固，包括只開(kāi)放需要端口，并在iptables中做IP限制。同時(shí)需各互聯(lián)單位做好主動(dòng)監(jiān)測(cè)服務(wù)器在各自網(wǎng)絡(luò)環(huán)境中的安全保護(hù)。

在網(wǎng)絡(luò)安全區(qū)部署一套網(wǎng)絡(luò)關(guān)口審計(jì)系統(tǒng)進(jìn)行安全審計(jì)，加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)，并解決帶寬濫用、訪問(wèn)非法網(wǎng)站感染病毒等問(wèn)題，方便事后追查取證。

3.3.4 數(shù)據(jù)庫(kù)安全方案

主要包括操作系統(tǒng)安全、賬戶安全、密碼安全、訪問(wèn)權(quán)限安全、日志記錄、加密、管理員客戶端安全、安全補(bǔ)丁。

3.3.5 數(shù)據(jù)安全方案

主要包括數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)容錯(cuò)存儲(chǔ)、數(shù)據(jù)備份。

3.4 系統(tǒng)告警設(shè)計(jì)

系統(tǒng)告警主要包括以下功能：告警數(shù)據(jù)的采集與預(yù)處理、告警呈現(xiàn)、告警處理、告警影響分析、告警查詢與統(tǒng)計(jì)、系統(tǒng)自身管理等功能。

a）告警監(jiān)測(cè)。采用SNMP采集方式，監(jiān)測(cè)系統(tǒng)硬件設(shè)備的CPU利用率、內(nèi)存利用率，磁盤利用率以及進(jìn)程情況。

b）告警呈現(xiàn)。包括告警流水窗口，拓?fù)涑尸F(xiàn)。支持告警確認(rèn)、告警清除、查看告警詳細(xì)信息等操作。

c）告警處理?？赏ㄟ^(guò)圖形參數(shù)配置窗口設(shè)置告警信息的過(guò)濾條件，同時(shí)定制相應(yīng)的內(nèi)部和外部觸發(fā)命令，如發(fā)E-mail、短信等，實(shí)現(xiàn)告警數(shù)據(jù)的自動(dòng)響應(yīng)處理。

d）告警通知。當(dāng)監(jiān)測(cè)系統(tǒng)設(shè)備出現(xiàn)告警時(shí)，通過(guò)手機(jī)、E-mail郵箱等途徑，向省通信管理局相關(guān)人員進(jìn)行告警通知。當(dāng)成都國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)網(wǎng)間互聯(lián)鏈路出現(xiàn)通信障礙及帶寬利用率大于70%時(shí)，增加對(duì)四川電信、四川移動(dòng)、四川聯(lián)通等單位的維護(hù)人員及管理人員的告警通知。告警內(nèi)容、告警時(shí)間等可自動(dòng)發(fā)送到告警接收人員。

4 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

4.1 企業(yè)配套傳輸方案

4.1.1 主動(dòng)監(jiān)測(cè)系統(tǒng)帶寬需求

骨干網(wǎng)主動(dòng)監(jiān)測(cè)：四川電信、四川移動(dòng)、四川聯(lián)通3家互聯(lián)單位的每個(gè)互聯(lián)互通機(jī)房（共有3×2=6個(gè)）的互通路由器需通過(guò)已建設(shè)OTN傳輸系統(tǒng)提供的1條10G專線光路，連接到監(jiān)控中心的主動(dòng)監(jiān)測(cè)匯聚以太網(wǎng)交換機(jī)上，再連接至主動(dòng)監(jiān)測(cè)服務(wù)器。

城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)：四川電信、四川移動(dòng)、四川聯(lián)通3家互聯(lián)單位所有部署了城域網(wǎng)端到端主動(dòng)監(jiān)測(cè)服務(wù)器的機(jī)房，需對(duì)城域網(wǎng)監(jiān)測(cè)服務(wù)器提供1個(gè)至少1 000M以上的電口或光接口，連接至各互聯(lián)單位城域網(wǎng)，再通過(guò)各互聯(lián)單位內(nèi)部網(wǎng)絡(luò)匯聚，再上聯(lián)至企業(yè)側(cè)OTN傳輸設(shè)備，經(jīng)傳輸系統(tǒng)提供的不低于100M帶寬的專線鏈路，連接到監(jiān)控中心邊界路由器。

4.1.2 被動(dòng)監(jiān)測(cè)系統(tǒng)帶寬需求

在四川電信、四川移動(dòng)、四川聯(lián)通3家互聯(lián)單位的每個(gè)互聯(lián)互通機(jī)房，通過(guò)分光器對(duì)每一條互聯(lián)鏈路進(jìn)行分光（可采用1∶4分光器，分光比分別為70%、10%、10%、10%），其中一路光信號(hào)（分光比為10%）通過(guò)光放大器進(jìn)行信號(hào)功率放大，隨后通過(guò)新建的互聯(lián)單位OTN傳輸系統(tǒng)提供的10G專線光路，連接到監(jiān)控中心的被動(dòng)監(jiān)測(cè)系統(tǒng)采集服務(wù)器上。

4.1.3 寬帶測(cè)速系統(tǒng)帶寬需求

寬帶測(cè)速系統(tǒng)監(jiān)測(cè)服務(wù)器與主動(dòng)監(jiān)測(cè)服務(wù)器共用，因此鏈路帶寬與城域網(wǎng)主動(dòng)監(jiān)測(cè)系統(tǒng)鏈路合設(shè)共用。

4.1.4 返遷終端帶寬需求

該工程考慮在四川省通信管理局百花辦公樓部署監(jiān)測(cè)系統(tǒng)的返牽終端，因此返牽終端通過(guò)原有傳輸網(wǎng)絡(luò)至各互聯(lián)單位，經(jīng)新建OTN傳輸系統(tǒng)提供的100M業(yè)務(wù)帶寬專線，連接至監(jiān)控中心系統(tǒng)。

4.2 路由部署方案

外部路由：根據(jù)對(duì)端的具體情況設(shè)置靜態(tài)路由，通過(guò)缺省路由連接各監(jiān)控中心網(wǎng)絡(luò)與各互聯(lián)單位網(wǎng)絡(luò)。

內(nèi)部路由：監(jiān)控中心系統(tǒng)各功能子區(qū)均通過(guò)2臺(tái)三層核心交換機(jī)進(jìn)行互聯(lián)，通過(guò)劃分VLAN區(qū)分不同子系統(tǒng)。系統(tǒng)內(nèi)部不運(yùn)行路由協(xié)議，所有VLAN間路由由核心交換機(jī)執(zhí)行并進(jìn)行維護(hù)。同時(shí)，基于系統(tǒng)可靠性考慮，2臺(tái)核心交換機(jī)所有的VLAN端口配置為VRRP端口組進(jìn)行冗余保護(hù)。

5 結(jié)論及評(píng)價(jià)

5.1 明確責(zé)任分工，發(fā)揮整體效能

按照監(jiān)測(cè)系統(tǒng)建設(shè)時(shí)的分工界面，確定與企業(yè)的維護(hù)界面，從而明確了責(zé)任分工，科學(xué)合理有序地分配維護(hù)資源，發(fā)揮相關(guān)單位整體效能，提高工作效率和工作質(zhì)量，有效地防止因系統(tǒng)維護(hù)內(nèi)容重疊而發(fā)生的工作扯皮現(xiàn)象。

5.2 設(shè)備集中部署，增強(qiáng)系統(tǒng)可靠性

監(jiān)測(cè)系統(tǒng)軟硬件集中部署安裝在監(jiān)控中心機(jī)房，做到真正的集中管理維護(hù)，升級(jí)快捷，一致性好，有效降低管理難度，降低IT資源消耗。減少被動(dòng)監(jiān)測(cè)設(shè)備等硬件數(shù)量，節(jié)約項(xiàng)目投資，降低能耗。有利于快速部署、維護(hù)管理，有效降低故障率，縮短故障修復(fù)時(shí)間，增強(qiáng)系統(tǒng)可靠性?？梢院芎玫貙?shí)現(xiàn)數(shù)據(jù)安全以及有效防范病毒。

5.3 部署告警系統(tǒng)，提高工作效率

告警管理系統(tǒng)部署完成后，極大提高系統(tǒng)設(shè)備維護(hù)人員的工作效率，減輕工作負(fù)荷，縮短設(shè)備故障處理時(shí)間，降低軟硬件故障率和維護(hù)成本。

5.4 方案設(shè)計(jì)創(chuàng)新性，具有推廣價(jià)值

成都國(guó)家級(jí)互聯(lián)網(wǎng)骨干直聯(lián)點(diǎn)監(jiān)測(cè)系統(tǒng)的創(chuàng)新建設(shè)，貫徹了工業(yè)和信息化部的管理創(chuàng)新思路，從工作實(shí)際出發(fā)，解決了系統(tǒng)設(shè)備集中部署、建設(shè)維護(hù)責(zé)任劃分不清所遇到的實(shí)際困難，為省通信管理局快速建設(shè)監(jiān)測(cè)系統(tǒng)，有效利用監(jiān)測(cè)系統(tǒng)應(yīng)用功能提供支持，有力支撐服務(wù)四川省互聯(lián)網(wǎng)的統(tǒng)籌發(fā)展、高效管理和安全運(yùn)行，全面推進(jìn)網(wǎng)絡(luò)強(qiáng)省建設(shè)。

監(jiān)測(cè)系統(tǒng)經(jīng)過(guò)1年的運(yùn)行，穩(wěn)定可靠，易于推廣使用，能夠?yàn)槠渌。ㄊ校┩ㄐ殴芾砭纸ㄔO(shè)監(jiān)測(cè)系統(tǒng)提供借鑒。