面向集團的標準化安全加固方案

中國移動通信集團江蘇有限公司鎮江分公司 宋嘯天 秦爾楠 劉志堅 王易戈

面向集團的標準化安全加固方案

中國移動通信集團江蘇有限公司鎮江分公司 宋嘯天 秦爾楠 劉志堅 王易戈

針針對集團用戶施工實效低，后期維護難的情況，從配置注入快速化、驗收操作明細化、組網安全完善化、排障手段多維化出發，提出了一種面向集團的標準化安全加固方案。通過實施此方案后，縮減了工程放裝及驗收耗時，降低了工程人員的人力消耗，解決了公司人員磨損嚴重的問題。同時提升了設備的安全等級，降低了集團組網不合理引起的用戶上網慢投訴。

集團客戶；安全；標準化

集團用戶工程放裝效率和解決故障能力是能否快速有效地完成任務，對提高集團用戶感知度起決定性的作用。由于接入設備配置耗時長，手工方式受人為因素影響，配置易出錯。驗收人員流動性強，技術能力不一，有時不能很好地檢測用戶上網環境，導致設備配置驗收難，后期用戶組網配置容易沖突，影響鏈路正常使用。用戶組網安全性低，容易遭受外來攻擊和內部攻擊，在遭受攻擊時沒有較好的手段減小影響范圍，極易造成用戶全網癱瘓。并且發生故障時，排查需安排人員現場查看，效率低下。面向集團的標準化安全加固方案，在有效提高集團用戶接入施工時效性的同時，支撐了后臺的故障投訴處理。

1 方案流程

面向集團的標準化安全加固方案基于B/S（瀏覽器/服務器）應用，通過智能控制實現一體化的工程放裝、驗收及后期維護管理。有效地提升了工程的時效性及集團組網的強健性，降低了因用戶組網問題而產生的投訴總量，在閉環處理的基礎上實現了工程側與支撐側的有機結合。

1.1 工程側方案

在工程側對設備進行統一選型，便于施工及后期維護。配置及驗收工具采用B/S結構，適用于目前主流的各類操作系統，可進行離線操作，不受網絡環境限制，操作簡單、時效性高，避免人工干預，有效提升設備配置準確性。同時驗收工具利用自建案例庫進行設備驗收，根據組網實際需求，給出整改建議。

1.2 支撐側方案

在支撐側對設備預先進行出廠安全配置，降低內外網受攻擊概率、減小攻擊影響范圍。通過SNMP（簡單網管協議）服務實時監測設備，根據日志報告可先于用戶發現網絡異常故障。利用維護賬號遠程登錄用戶設備，可直接遠程發現故障、解決故障，無需維護人員現場處理。

1.3 方案流程

具體流程如下。

1）工程人員行至用戶現場后，通過自有終端連入接入設備；

2）使用集團設備注入工具，輸入設備型號及用戶IP（網際協議）信息后進行“一鍵注入”；

3）驗收時使用集團設備驗收工具，輸入設備型號及用戶IP信息后進行“一鍵驗收”；

4）根據工具提示進行設備整改。

對于符合規范的設備具備遠程監控及遠程操作能力，便于維護人員后期支撐工作的開展。由于工程人員的網絡知識存儲量跨度較大、表達能力較弱，終端設置各不相同，為了有效提高代維上門服務效率，需要徹底簡化代維需進行的操作。在此項目中，工程人員僅需啟用“一鍵”功能按鈕即可完成設備的全面配置和驗收，無需進行任何人工操作。

2 主要特點

本課題主要有以下7個特點。

2.1 設備統一選型

針對集團用戶規劃設備選型，主要選取ICG3000信息通信網關、SRG2200路由器及S2326交換機作為組網設備，設備性能強、安全性高、價格低于同類產品。見圖1。

2.2 腳本注入自動化

使用B/S結構智能化工具進行設備腳本注入，工程人員僅需按照“注入說明”中的要求，選擇設備類型、填寫IP地址信息，即可實現設備腳本注入“一鍵化”“快速化”“離線化”。

2.3 設備驗收高效化

通過設備驗收工具對已放裝設備進行配置的快速驗收，針對設備性能、用戶IP地址信息、組網結構、安全策略等內容進行綜合驗收，確保設備配置準確性。

2.4 案例歸納分析

通過驗收工具整改案例，對驗收結果進行歸納分析，自動選取接近案例及整改方案，便于驗收人員進行配置修改。

2.5 內外網安全防護

依據現網安全防護策略，結合集團用戶實際組網需求，進行設備出廠安全策略預配置，同時配置IP保護策略，避免內網鏈路沖突，有效降低內外網受攻擊概率、減小攻擊影響范圍。

2.6 網絡實時監控

通過SNMP服務實時監測設備鏈路狀態、CPU（中央處理器）使用情況、異常網絡流量及非法操作。根據日志報告可先于用戶發現網絡故障，從而在用戶產生網絡投訴前進行故障處理。

2.7 支持遠程排障

采用Telnet及Web方式進行用戶設備遠程管理，將維護人員生產力從現場中解放出來，同時通過快速響應機制可提升故障的處理效率。

3 實施效果

經測試，采用本課題的集團客戶網絡穩定性及可靠性均有明顯提升，試運行效果卓著，見表1。

?

1）實施此方案后，極大地縮減了工程放裝及驗收耗時，降低了工程人員的人力消耗，解決了公司人員磨損嚴重的問題。

2）通過提升設備安全等級，有效地降低了集團組網不合理引起的用戶上網慢投訴量。通過遠端監控和排障手段，提高了投訴處理的時效性，有效地支撐了公司的降本增效工作。

4 結論

本課題針對集團用戶施工實效低，后期維護難的情況，從配置注入快速化、驗收操作明細化、組網安全完善化、排障手段多維化四點出發，通過智能控制實現一體化的工程放裝、驗收及后期維護管理。有效地提升了工程的時效性及集團組網的強健性，降低了因用戶組網問題而產生的投訴總量，在閉環處理的基礎上，實現了工程側與支撐側的有機結合。

本課題適用于互聯網集團用戶、工程人員、代維人員及支撐人員。課題引入需要以下3個前提條件，具備極高的可推廣性：

1）對設備進行統一選型，廠家愿意協助進行設備出廠預配置；

2）工程人員愿意安裝集團設備注入系統及驗收系統；

3）硬件支持、網絡支持、應用程序本身的費用。