浙江省通信資源管理系統二期擴容技術方案

季瑩瑩　虞成磊

【摘要】 浙江省通信資源管理系統的一期工程初步建立了全省電信基礎設施數據庫，實現了浙江省通信管理局對全省通信資源的數字化管理，實現了對鐵塔、基站、室分、管道、桿路五類基礎設施共建共享的電子化辦公。隨著今年寬帶中國戰略的發布，我們充分考慮未來一段時期內對通信資源管理的新增需求，對資源管理系統也提出了更高的要求，因此，我們基于一期工程的業務和技術架構上提出系統的二期擴容技術方案，對系統的功能模塊以及系統網絡結構進行改進。

【關鍵詞】 通信資源管理系統 擴容 改進方案

一、引言

2013年，國務院發布了《國務院關于印發“寬帶中國”戰略及實施方案的通知》，對我國的寬帶接入有了更高的要求，考慮到未來一段時期業務發展對通信資源管理的新增需求，為了我局更好的落實相關目標、有效管理全省基礎通信資源、協調和監督各運營商進行資源共建共享等工作，以信息化手段對運營商的駐地網建設、重點領域建設、第三方建設與代維、租費結算和建設評估進行有效管理，因此對一期系統的改造和擴容顯得十分必要。

二、一期系統現狀及問題分析

2.1 系統功能現狀

一期系統采用多層架構，主要包括業務展現層、應用服務層、數據服務層，業務展現層主要用于實現業務功能；應用服務層主要提供系統基礎服務，如：安全管理、權限管理、流程管理等；數據服務層主要提供系統基礎數據服務。

2.2 系統網絡現狀

現有硬件設備由四臺服務器組成，包括2臺應用服務器和2臺數據庫服務器。4臺服務器通過SAN交換機接入磁盤陣列，同時經防火墻接入公網。

2.3 存在問題分析

目前系統主要存在以下問題：（1）管理要素增加。目前共建共享管理范圍僅限于鐵塔、基站、管道、桿路、室內分布5類資源，對住宅小區工作缺乏統一的監管與協調，管理者也難以通過信息化手段，對駐地網建設中日趨激烈的競爭行為進行有效管理。（2）為系統安全長遠考慮。原有系統架構僅滿足鐵塔基站等五類基礎設施共建共享的系統需要，新增數個模塊后，對硬件和網絡環境有了更高要求，且為提高系統核心數據的安全級別，增加系統安全性，二期系統預計單獨進行數據的存儲和應用部署。（3）VPN不穩定。在工信部檢查前的補錄數據過程中，全省各運營商分公司一起登陸操作，在VPN大并發量登陸期間，雖未超出防火墻的參數限制，但仍發現有個別分公司VPN自動斷開的情況。（4）原有系統功能不足。共有產權的建設方式，在原有系統上無法體現；各企業無法在系統中實時查看本企業共建共享率是否滿足工信部考核指標。

三、二期系統建設目標及主要內容

二期擴容在現有系統的基礎上進行建設及升級，要求達到以下目的：（1）支撐駐地網管理工作：新增駐地網管理模塊，提供企業間駐地網建設協同辦公的功能；實現地市通信發展辦公室對地市共建共享建設的規劃情況、供求情況、實施情況的數據查詢及流程監控；實現監管單位、省級運營企業對地市企業建設情況的全面了解和監管，為相關管理決策和業務分析提供的統計數據和數據分析。（2）鐵塔基站等五類基礎設施共建共享月度報表：在現有鐵塔基站等基礎設施數據庫的基礎上，開發共建共享月度報表，提供更方便、快捷提取報表的功能。（3）提供評估手段：新增加建設評估和租費結算模塊，為企業與管理者提供有價值的分析數據，為節能減排、減少重復投資等經濟效益和社會效益的評估提供依據。（4）第三方建設與代維的管理：針對第三方廣泛參與通信基礎設施建設、代維的現狀，為管理者提供第三方建設、代維單位入圍管理手段；使企業可上報每個項目的第三方建設、代維單位；為第三方建設與代維單位統一管理提供手段。（5）適應重點領域建設需要：增加重點領域基本信息管理，滿足日后新增相關信息的需要；可將各個項目歸結至對應的重點領域；并提供重點領域匯總報表。（6）其他功能改進：在一期系統基礎上補充共建共享預警、共有產權管理、國家文件及標準庫等功能，進行優化與改進。

四、二期系統改進方案

4.1 系統功能模塊改進方案

本項目需要增加駐地網、第三方建設代維、租費結算等數個功能模塊。設計時需充分考慮各功能模塊與現有系統的融合性。

軟件架構設計基于軟件系統的安全性、可擴展性、可復用性、可維護性、可移植性等原則，將業務實現從系統的基礎架構中分離，在一定程度上降低軟件模塊間的耦合，提高內聚合。系統以業務數據為主線，業務流程為驅動，將系統劃分為兩個層次：應用服務層和業務展現層，各層之間通過軟件接口對接，為業務實現提供了運行環境。

4.2 系統網絡結構改進方案

為迎接后續的全省運營商、地市通發辦、第三方建設單位錄入大量信息，同時為增強系統安全性，建議增加單獨服務器兩臺、磁盤陣列一臺。在二期擴容項目的內部組網采用雙機設計，新增的主設備包括磁盤陣列、2臺服務器，其中平臺PC服務器互為備份，使用雙機軟件實現熱備技術保證單點故障情況下系統仍能正常工作，同時網絡設備也互為主備，避免單點故障。

本項目PC服務器通過網絡交換機，經防火墻接入公網。系統用戶必須登錄VPN后才能通過防火墻認證并登錄系統，如果公網環境中用戶沒有VPN賬號密碼，則無法繞過防火墻登陸系統內網環境。

4.3 系統安全升級方案

1.系統安全評估。由于數據庫服務器安置于公網中，因此其數據安全性顯得尤為重要。為了對系統進行全面的安全升級，必須對系統進行全面的測評，內容針對代碼安全、數據庫安全、硬件安全等各方面內容。

2.針對性修復。在完成安全評估后，需要對系統進行針對性修復。信息系統常見的安全性問題，主要集中在以下幾個方面：（1）通用性的安全威脅。可能出現的情況包括攻擊者通過惡意代碼或木馬程序，對網絡、操作系統或應用系統進行攻擊；內部人員未經授權接入外部網絡、或下載/拷貝軟件或文件、打開可疑郵件時引入病毒；攻擊者利用應用系統、操作系統中的后門程序攻擊系統；授權用戶操作失誤導致系統文件被覆蓋、數據丟失或不能使用等。（2）業務信息安全性威脅。包括內部人員利用技術或管理漏洞，未經授權修改重要系統數據或系統程序；攻擊者利用各種工具獲取身份鑒別數據，并對鑒別數據進行分析和解剖，獲得鑒別信息，未經授權訪問網絡、系統，或非法使用應用軟件、文件和數據；以及攻擊者利用網絡結構設計缺陷旁路安全策略，未經授權訪問網絡等。（3）業務服務保證性威脅。指的是諸如攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意消耗網絡、操作系統和應用系統資源，導致拒絕服務；攻擊者利用各種工具獲取身份鑒別數據，并對鑒別數據進行分析和解剖，獲得鑒別信息，未經授權訪問網絡、系統，或非法使用應用軟件、文件和數據。（4）安全管理威脅。包括系統缺乏安全性的管理手段，引起的安全隱患。可通過安全巡檢以及針對性安全策略的制定調整工作來防范；防火墻白名單的及時開、關；用戶的系統口令的定期自行調整；用戶可使用電信上網卡以解決互聯互通不暢所導致的網速問題等手段。（5）軟硬件安全威脅。軟硬件方面容易出現的安全問題，包括服務器性能超負荷、硬件的故障、系統意外崩潰等。針對該層面的安全防護，在硬件設計時，就應考慮必須滿足系統開銷，同時確保雙機備份，數據庫服務器、應用服務器各有一主一備，其中一臺出現故障仍能維持系統正常運轉。

五、結束語

本項目針對浙江省通信管理局的需求以及工信部出臺的相關文件精神進行開發，將有效解決在資源共建共享工作的不斷深入，資源共建共享工作日趨復雜的環境下資源共建共享工作的管理需求。本系統建成后，可有效的協助浙江省通信管理局推進電信基礎設施資源共建共享工作，支撐駐地網工作，減少電信重復建設，提高電信基礎設施利用率；同時該系統集成資源共建共享工作的相關管理流程，實現協同辦公平臺，從而規范了資源共建共享管理工作的辦公流程。endprint