運(yùn)營(yíng)商DPI 分光系統(tǒng)智能化合規(guī)管理探索

［孫亞紅 練皓琳 肖洪 楊江楓］

1 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，運(yùn)營(yíng)商從語(yǔ)音業(yè)務(wù)迅速轉(zhuǎn)向數(shù)據(jù)業(yè)務(wù)，大量的互聯(lián)網(wǎng)數(shù)據(jù)日益受到運(yùn)營(yíng)商及互聯(lián)網(wǎng)等公司重視，DPI（Deep Packet Inspection，深度報(bào)文解析）的部署建設(shè)成為運(yùn)營(yíng)商構(gòu)建大數(shù)據(jù)平臺(tái)的基石，不僅可制定市場(chǎng)策略進(jìn)行運(yùn)營(yíng)管理，也滿足了上級(jí)監(jiān)管部門對(duì)于網(wǎng)絡(luò)與信息安全運(yùn)營(yíng)需要。

然而DPI 系統(tǒng)所包含的分光器、分流器及鏈路等都是不能直接管理的資源，特別是分光器屬于啞資源，不能直接管理，主要以人工巡檢、紙質(zhì)記錄為主，導(dǎo)致資源經(jīng)常出現(xiàn)錯(cuò)誤，多次發(fā)生分光器違規(guī)使用不合規(guī)事件。目前DPI 技術(shù)原理較成熟應(yīng)用廣泛，但由于互聯(lián)網(wǎng)應(yīng)用協(xié)議眾多且不斷更新，各廠家實(shí)現(xiàn) DPI 的方法不盡相同，系統(tǒng)架構(gòu)各異、軟硬件實(shí)現(xiàn)不一、接口私有、設(shè)備規(guī)格多樣，由此帶來(lái)了很多不便[1]。出現(xiàn)問(wèn)題不僅無(wú)法第一時(shí)間發(fā)現(xiàn)，也難以快速查詢和分析，給設(shè)備維護(hù)和用戶體驗(yàn)帶來(lái)很大的影響。以上問(wèn)題如得不到有效整治，遇到相關(guān)故障難以排查、長(zhǎng)時(shí)間無(wú)法定位故障原因，影響網(wǎng)絡(luò)正常運(yùn)行，且存在被黑客流量劫持非法獲取重要信息從事危害網(wǎng)絡(luò)信息安全等違法犯罪活動(dòng)的風(fēng)險(xiǎn)。

針對(duì)當(dāng)前DPI 系統(tǒng)建設(shè)使用過(guò)程，存在的系統(tǒng)數(shù)據(jù)及管理臺(tái)賬不一致，現(xiàn)網(wǎng)設(shè)備逾齡、資產(chǎn)不清、臺(tái)賬不實(shí)、基礎(chǔ)數(shù)據(jù)嚴(yán)重缺失、日常審計(jì)不足等問(wèn)題。文章從智慧化現(xiàn)場(chǎng)管理、動(dòng)態(tài)網(wǎng)絡(luò)變更管理、智能化合規(guī)稽核三個(gè)方面展開DPI 系統(tǒng)建設(shè)使用梳理，明確操作審計(jì)、日常管理要求、臺(tái)賬資料與資源系統(tǒng)雙維度管理，實(shí)現(xiàn)DPI 系統(tǒng)啞資源賬實(shí)相符、過(guò)程管控。

2 DPI 分光系統(tǒng)

傳統(tǒng)檢測(cè)技術(shù)僅分析IP 包層以下的內(nèi)容，包括源地址和目的地址、源端口和目的端口以及協(xié)議類型，DPI 增加了應(yīng)用層分析，能識(shí)別各種應(yīng)用及其內(nèi)容。DPI 系統(tǒng)包括分光器、分析設(shè)備/控制設(shè)備、后臺(tái)服務(wù)器等功能實(shí)體。分光器是一個(gè)光學(xué)器件通過(guò)一次性分光，將網(wǎng)絡(luò)流量拷貝到檢測(cè)分析系統(tǒng)。分析設(shè)備完成流量采集、業(yè)務(wù)識(shí)別。控制設(shè)備接收控制策略，完成控制功能。后臺(tái)服務(wù)器支撐系統(tǒng)管理，流量控制策略下發(fā)，系統(tǒng)日志存儲(chǔ)等[2]。

根據(jù)現(xiàn)有DPI 分光系統(tǒng)管理的范疇，包括寬帶網(wǎng)絡(luò)（CR/MSE/BR/OLT/交換機(jī)等）、移動(dòng)網(wǎng)絡(luò)（2/3/4/5G 核心網(wǎng)及出口、交換機(jī)、IPRAN 承載網(wǎng)等）、IDC 網(wǎng)絡(luò)（CR/BR/交換機(jī)等）、云平臺(tái)及辦公網(wǎng)絡(luò)等所接入的所有物理分光器（含多級(jí)分光、光放）、分光或端口鏡像鏈路、協(xié)轉(zhuǎn)分流設(shè)備、以及采集了以上分光分流流量的 DPI 或網(wǎng)信安全相關(guān)系統(tǒng)。DPI 系統(tǒng)所使用的分光器及分流器示意圖如圖1 所示。

圖1 分光器、分流器、主鏈路、一級(jí)鏈路示意圖

DPI 分光系統(tǒng)業(yè)務(wù)變更，具體包含如下五種場(chǎng)景：（1）對(duì)在網(wǎng)數(shù)據(jù)鏈路進(jìn)行物理分光（含多級(jí)分光、光放）；（2）在數(shù)通設(shè)備側(cè)實(shí)施端口鏡像；（3）占用已有分光設(shè)備空閑端口；（4）利用協(xié)轉(zhuǎn)分流設(shè)備將解析流量直接分發(fā)至第三方系統(tǒng)；（5）對(duì)在用信令鏈路實(shí)施高阻跨接。

3 基于DPI 分光系統(tǒng)的智慧化管理

DPI 分光系統(tǒng)的端口分配、調(diào)整、占用的資源管理需要?jiǎng)討B(tài)更新，實(shí)現(xiàn)從工程、驗(yàn)收、維護(hù)、報(bào)廢全生命周期的動(dòng)態(tài)管理。分光系統(tǒng)的現(xiàn)場(chǎng)維護(hù)，包括現(xiàn)場(chǎng)端口資源數(shù)據(jù)動(dòng)態(tài)維護(hù)管理、端口占用的現(xiàn)場(chǎng)隨工、臺(tái)賬動(dòng)態(tài)更新，通過(guò)分光系統(tǒng)的智能化現(xiàn)場(chǎng)管理、建立動(dòng)態(tài)變更流程和智能稽核，達(dá)到動(dòng)態(tài)變更。

3.1 分光系統(tǒng)智能化現(xiàn)場(chǎng)管理

現(xiàn)場(chǎng)管理主要是對(duì)路由臺(tái)賬數(shù)據(jù)與現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行對(duì)比，先根據(jù)路由臺(tái)賬數(shù)據(jù)，開展資源數(shù)據(jù)錄入，建立全量設(shè)備信息表，核對(duì)資源數(shù)據(jù)錄入情況，梳理分光系統(tǒng)資源數(shù)據(jù)錄入規(guī)范，統(tǒng)一資源錄入到資源系統(tǒng)DPI 數(shù)據(jù)模塊下，并實(shí)現(xiàn)現(xiàn)場(chǎng)標(biāo)簽規(guī)范化管理，使用掌上資源系統(tǒng)實(shí)現(xiàn)分光系統(tǒng)路由信息的智能化現(xiàn)場(chǎng)管理。DPI 分光系統(tǒng)實(shí)現(xiàn)智能化現(xiàn)場(chǎng)管理如圖2 所示。

圖2 分光系統(tǒng)智能化現(xiàn)場(chǎng)管理示意圖

（1）分光鏈路數(shù)據(jù)準(zhǔn)確性

通過(guò)對(duì)分光鏈路進(jìn)行全面清查，核查每一條分光鏈路的主鏈路信息，每一條分光鏈路從分光器到分流器中間經(jīng)過(guò)所有的跳點(diǎn)信息，每個(gè)跳點(diǎn)間的連接關(guān)系等，最終達(dá)到全分光鏈路信息表賬實(shí)一致。

（2）全量納入資源系統(tǒng)管理

通過(guò)清查、復(fù)查等方式補(bǔ)錄歷史工程遺留問(wèn)題，統(tǒng)一設(shè)備名稱，針對(duì)歷史遺留問(wèn)題，要求對(duì)應(yīng)的割接部門及故障處理部門按照實(shí)際現(xiàn)場(chǎng)的變更情況進(jìn)行資源管理系統(tǒng)更新，避免影響后續(xù)故障重現(xiàn)時(shí)，故障處理進(jìn)展較慢。

（3）路由臺(tái)賬數(shù)據(jù)與資源數(shù)據(jù)開展稽核

為了核對(duì)路由臺(tái)賬數(shù)據(jù)與資源錄入數(shù)據(jù)，將資源數(shù)據(jù)與路由臺(tái)賬數(shù)據(jù)展開比對(duì)，根據(jù)不一致的情況開展不同形式的比對(duì)，比對(duì)的方式包括全量信息匹配、單口匹配、合波器匹配、是否在同一鏈路中出現(xiàn)等。

（4）資源系統(tǒng)功能優(yōu)化,實(shí)現(xiàn)現(xiàn)場(chǎng)智能化管理

資源系統(tǒng)功能優(yōu)化后實(shí)現(xiàn)數(shù)據(jù)匯聚，將原來(lái)分散在其他模塊的數(shù)據(jù)調(diào)整到資源管理系統(tǒng)DPI 模塊，同時(shí)，完善電路基本信息，將產(chǎn)品信息與割接審批信息關(guān)聯(lián)，實(shí)現(xiàn)完整的鏈路繪制，可根據(jù)所屬本地網(wǎng)、所屬系統(tǒng)、所屬機(jī)房、所屬機(jī)架、所屬設(shè)備等維度完整的繪制一條分光鏈路經(jīng)過(guò)的所有分光設(shè)備、分流設(shè)備、ODF 架等信息。系統(tǒng)進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)分析統(tǒng)計(jì)功能，可以實(shí)現(xiàn)設(shè)備、端口、電路等多維度分析。

3.2 動(dòng)態(tài)網(wǎng)絡(luò)變更管理

（1）網(wǎng)絡(luò)變更的管理流程

關(guān)于網(wǎng)絡(luò)的日常維護(hù)、處理等，建立變更流程，實(shí)現(xiàn)動(dòng)態(tài)化管理，明確資源數(shù)據(jù)納入日常維護(hù)作業(yè)、故障處理各環(huán)節(jié)開展動(dòng)態(tài)更新管理，分光變更納入到運(yùn)營(yíng)商割接流程統(tǒng)一管理，涉及IDC、5G、VOLTE 等專業(yè)割接，各級(jí)管理部門統(tǒng)一審批、統(tǒng)一驗(yàn)收，并確定了各個(gè)崗位環(huán)節(jié)的職責(zé)，職責(zé)示意表如表1 所示。

表1 分光割接流程職責(zé)示意表

割接系統(tǒng)流程中增加割接專業(yè)“分光與鏡像”，并且對(duì)應(yīng)相應(yīng)的分光系統(tǒng)分類“移網(wǎng)DPI”、“固網(wǎng)DPI”、“IDCISP”業(yè)務(wù)類別，根據(jù)業(yè)務(wù)類別明確分光操作所涉及設(shè)備的維護(hù)部門，根據(jù)分光與鏡像的分類到達(dá)省級(jí)單位審批。

在割接實(shí)施之前，割接工程實(shí)施方須完成現(xiàn)場(chǎng)割接實(shí)施內(nèi)容的整理，包括割接所涉及的機(jī)房、機(jī)架、設(shè)備、鏈路信息等。割接實(shí)施過(guò)程中在割接流程調(diào)用資源系統(tǒng)模塊，錄入設(shè)備信息、鏈路信息，省級(jí)總體管控部門完成審核后，才能閉環(huán)，實(shí)現(xiàn)割接的全生命流程管理。

3.3 智能化合規(guī)稽核

對(duì)DPI 分光系統(tǒng)的操作開展智能審計(jì)，采集全網(wǎng)操作日志，按照設(shè)備、時(shí)間、操作人進(jìn)行審計(jì)，對(duì)DPI 系統(tǒng)涉及到的數(shù)據(jù)進(jìn)行分析，查看指令為查詢服務(wù)狀態(tài)、關(guān)閉情況，要求維護(hù)人員嚴(yán)格按照配置要求開展配置。

對(duì)于鏡像的變更開展動(dòng)態(tài)性稽核，實(shí)現(xiàn)從資源全量設(shè)備數(shù)據(jù)與專業(yè)維護(hù)網(wǎng)管間的聯(lián)動(dòng)，借助網(wǎng)管手段對(duì)設(shè)備批量下發(fā)稽核指令，自動(dòng)匯總檢查結(jié)果，并自動(dòng)判斷，實(shí)現(xiàn)檢查設(shè)備100%全覆蓋，實(shí)現(xiàn)鏡像電路審計(jì)流程自動(dòng)化。

開展分光系統(tǒng)操作審計(jì)，實(shí)現(xiàn)事后溯源，檢查的內(nèi)容包括日常管理要求、現(xiàn)場(chǎng)與臺(tái)賬資料、臺(tái)賬資料與資源系統(tǒng)雙維度的管理。定期根據(jù)割接單提供的網(wǎng)絡(luò)變更情況，提取分公司的分光臺(tái)賬數(shù)據(jù)、分光資源數(shù)據(jù)開展核對(duì)，及時(shí)發(fā)現(xiàn)問(wèn)題，確?，F(xiàn)場(chǎng)與臺(tái)賬一致，避免違規(guī)使用分光設(shè)備的情況。

4 成效

廣東電信在2022 年以來(lái)對(duì)移動(dòng)網(wǎng)DPI、固網(wǎng)DPI、IDCISP、互聯(lián)網(wǎng)專線等開展分光鏈路信息的清查、整治，修正了鏈路臺(tái)賬及資源管理系統(tǒng)錯(cuò)誤，補(bǔ)錄了缺失的設(shè)備和鏈路信息，發(fā)現(xiàn)了部分未記錄的鏈路信息，解決了鏈路存在的安全隱患，通過(guò)分光內(nèi)容的審計(jì)工作，協(xié)助相關(guān)部門對(duì)接入監(jiān)管的系統(tǒng)的風(fēng)險(xiǎn)內(nèi)容進(jìn)行審計(jì)，防止違規(guī)操作。

5 結(jié)束語(yǔ)

分光管理中的設(shè)備雖然是啞資源，必須結(jié)合現(xiàn)有的手段提升管理的方式，資源系統(tǒng)已經(jīng)在其他系統(tǒng)中得到了很好的應(yīng)用，將分光系統(tǒng)納入到資源管理系統(tǒng)，并結(jié)合分光系統(tǒng)的特性提出對(duì)資源系統(tǒng)的改造需求，進(jìn)一步擴(kuò)充資源系統(tǒng)的管理，實(shí)現(xiàn)資源系統(tǒng)的全量納管，并結(jié)合資源標(biāo)簽二維碼在現(xiàn)場(chǎng)的推廣使用，實(shí)現(xiàn)啞資源的智慧化管理。