河南联通对IT支撑系统的安全管理

    河南联通魏俊峰

    编者按：长期以来，电信运营企业的信息化建设都是两条腿走路：一则“主内”,即以IT手段满足整个集团的内部应用需求；一则“主外”,即丰富增值服务手段,为企业转型战略服务。

    而随着3G时代的到来，用户数量和业务数量将迎来一个新的增长高峰，这就要求运营商的IT支撑系统更加稳定，系统容量更大，系统的准确性和及时性提升到更高的水准。另外随着外联业务增长以及网络的互联性增大，外来非法访问和恶意入侵的增多以及各种新业务的应用，对系统安全性提出了更高的要求，结合了IT管理和安全特性的网管系统也因此成为了现阶段电信运营商信息化建设的重点。

    本文主要介绍了河南联通在信息化建设中的一些思路和做法，以供参考。

    一、河南联通信息化建设背景

    河南联通的信息化支撑网络主要由BSS（业务支撑系统）网络和MSS（管理支持系统）网络构成，承载着全省数百万联通用户的营业、计费、账务系统和全省数千员工的日常办公需求。

    在河南联通IT网管系统建设初期，BSS网络与MSS网络属分别建设，各自都有到下级地市的传输线路，无法实现传输资源、系统资源的共享，形成了两大信息孤岛。随着业务的发展，各系统资源共享的需求越来越迫切，为此，河南联通进行了第一次安全网络改造，尝试将BSS网络与MSS网络进行连接。

    改造过程中，出于对BSS网络数据传输的信息安全考虑，河南联通设立了DMZ（隔离区），将原有直接接入BSS网络的各外部访问统一调整至安全可控区域，并使用多级防火墙进行隔离控制，这一方面避免了BSS网络与MSS网络的直连互访，另一方面又可满足不同的业务访问需求。通过此次网络安全改造，河南联通实现了最初的信息资源整合，建立了初步的统一信息平台。

    面对迅速增长的业务和日益庞大的数据信息流，BSS和MSS原有至地市主干传输线路的带宽又成为了系统中的瓶颈，扩容BSS/MSS带宽以及增加MSS网络冗余备份线路成为另一个亟待解决的问题。经过反复的市场调研以及技术沟通，河南联通最终采用业内先进的BGP/MPLS-VPN技术方案来同时满足以上两张网的需求。2006年5月，该工程顺利结束，主干传输线路由原有的2Mbit/s的SDH升级到12Mbit/s的ATM电路。

    至此，河南联通不仅完成了原定的扩容冗余线路建设任务，同时也为今后各系统网络的统一建设打下了基础。

    二、河南联通实现安全管理的具体措施

    目前，在河南联通支撑网络中，共有各种高低端路由器以及交换机约100余台，省中心同时部署有30余台小型机以及各类存储备份设备。

    在网络运维方面，除了使用HP的OpenView软件可以监控设备性能外，公司还自行研发了一套监控系统，可以定期监控各设备的网络通断情况。各系统设备的端口状态、CPU、内存、SYSLOG（系统日志）、磁盘空间大小以及数据库的性能指标也可由此得到很好的监控。

    网络以及主机设备是系统安全稳定运行的基础，因此对于该批设备的监控成为首当其冲的问题。其中，链路监控包括链路通断以及带宽的监控手段，链路通断可以用最基本的PING命令或者监控设备的端口UP/DOWN情况来准实时监控；而带宽监控亦可采用部分流量以及带宽管理工具进行监控。

    虽然BSS内网与MSS外网在物理上已经联通，并有防火墙进行安全隔离，但仍存在一定的安全风险。另外由于办公应用的需求，从MSS网络上可以访问互联网，客观上也存在安全隐患。从目前来看，网络运维虽已进入电信行业，但只是起到简单的系统监控作用，尚未达到ITSM（IT服务管理）的水平，也没有形成一套标准流程化的监控和处理流程。现阶段支撑网络监控服务的功能主要体现在保证业务的稳定运行，譬如营业厅营业网络接入、HLR接入和短信接口等关于用户使用感知的重点线路以及重要系统和重要进程的监控。但对于电信行业的支撑网络来讲，网络设备、主机设备、数据库、中间件和应用都存在出现问题的可能性，由于支撑网络的特殊性，突发流量是很常见的现象，如前台系统忙，响应时间过长，表空间、磁盘空间突增等，为此，还需要有一套更为先进的网络管理系统来进行管理监控和预警。

    在部署网络管理时，首先要从故障的及时响应与准确定位，对业务流量的精细把握（保证业务拓展的延续性）以及对关键系统的业务进程进行监控等方面入手。因此在预警过程中，预警的准确性和各系统间的智能化关联程度都要提高。

    为了保证信息和整个系统的安全，河南联通采取了诸多方案对网络进行监控。

    第一，严格控制网络互访，加强防火墙策略管理，对数据流向进行端口级别控制。

    第二，部署IDS与安全审计产品，对异常流量和非法访问进行实时监控；同时不定期使用网络数据包分析工具，分析大流量数据，监控网络使用情况。

    第三，加强终端安全管理。由于与公网的联通性，病毒、木马、恶意程序、大流量网络应用成为了目前MSS网络的最大敌人，我们除了安装使用防病毒产品外，还在核心交换机以及各接入交换机上部署了大量的ACL。

    三、网络建设中若干注意点

    1．安全架构

    在网络建设以及后续改造的时候，要充分考虑到系统安全性：架构从完全开放信任到可控安全，从事后补救到预警和快速响应，从单点安全到全面安全。划定不同的安全等级区域，采用不同的网络安全产品进行合理应用，制定不同区域间的访问规则，通过网络管理平台有效控制信息流，及时通过短信、邮件、声音、脚本等警报方式预警，并应根据用户需求自动生成各种美观的图形、图表分析报告。

    2．节约成本

    在网络建设的时候，要充分考虑到设备线路的复用性与备用性。网络设备在进入部署前，要先进行全面测试。对于IT团队来说，前面的工作越细致，后面的麻烦相对就越小。在保证冗余备份的基础之上，充分利用新技术来提高设备的复用性；合理利用资源，通过信息化手段自动调整线程池大小，以保障系统的高可用性；分析网络QoS，进行流量管理减少带宽占用，利用压缩和高速缓存功能提高性能，并运用适当方法对网络进行优化，以减少对运营商的带宽需求，达到节约成本的目的。

    3．统一网管

    网络建设完成后，为了保证网络处于监控下运行，最好能够建立针对多种网络技术平台、多种网络设备和多种通信接口进行综合管理的网络管理系统，避免各系统监控各自为战、不能形成信息流程共享的恶性局面。同时可以考虑建设带外网管机制，这样不仅可以提高网管的效率与可靠性，也有利于提高网管数据的安全性。