基于網絡操作安全管控的研究和實現

許崢 王霞

（中國移動通信集團河北有限公司，河北 石家莊 050000）

引言

隨著社會不斷的前進和經濟的迅速發展，現代人們對高質量電信服務的需求日益提升，對電信網絡高效安全的運維提出了更高的要求，由此網絡數據配置自動化已在電信行業內廣泛使用，通過自動化系統實現了電信網絡數據自動配置，但存在系統生成及下發指令有誤從而對現網客戶感知造成不良影響的風險，所以探索并實踐自動化系統中對高風險指令進行安全管控，保障網絡操作的安全。

一、網絡配置自動化安全管控的總體思路

在電信網絡日常運維工作中，通過自動化系統進行數據配置十分普遍，整個過程由系統自動執行無人工干預。如果自動化系統自動生成的腳本存在問題，系統自動下發到網絡，將對通信網絡造成不可估量的損失。為了保障該環節的安全性，探索和實現對系統生成自動的腳本通過金庫模式實現對高風險指令的安全管控，系統通過匯總全網各專業各設備全量的高風險指令并分類管理，通過對生成的腳本進行分析檢測，對其中的高危指令需通過高級維護人員認證通過后，才能自動下發，避免了誤操作的風險，保證了網絡安全高效的運行。

二、網絡操作安全管控實現的設計關鍵

為實現網絡配置系統自動化過程中對高風險指令的安全管控，在自動化系統指令下發前增加金庫模式，通過金庫模式實現網絡操作的安全管控。

金庫模式的流程步驟如下：

（一）創建高危指令庫，以業務方案-網元類型-廠家進行分類管理。

（二）在執行數據配置前，系統生成同類型各廠家設備的制作指令，任務進入待下發狀態。

（三）在執行數據配置時，系統進入金庫模式的驗證，自動調取高危指令庫中的信息進行全量匹配。如匹配到高危指令，則進入高危操作審批環節。

（四）授權人員收到審批短信，短信內容包括制作人、廠家、類型、工單、驗證碼等信息。

（五）驗證無誤后，在驗證界面輸入驗證碼則審核通過，方可進行數據下發操作。

金庫模式的驗證為數據下發前最后一環也是必經的一個流程，它設立在實際數據配置下發前的最后一個環節，也是最重要的一個環節。金庫模式驗證可以作為之前流程的一個必要的補充性檢查，避免了高危指令可能帶來的網絡故障。

為了使金庫模式達到數據嚴謹、準確識別，首先建立高危指令庫，在系統生成指令后，進入必經的高危指令驗證過程，通過則可進行數據下發操作，不通過則返回重新進行數據制作。

三、網絡操作安全管控實現總體實現

（一）金庫模式流程

在整體流程中的下發環節中，包括金庫模式的子流程：指令下發后，系統首先根據高危指令庫判斷下發指令中是否包含高危指令，如有，則需要通過短信方式由金庫審核人員授權，指令授權通過后，才能下發到設備中執行；若授權不通過，則中斷操作。

（二）金庫模式設計

1.高危指令庫

設立高危指令庫，對執行后可能對現網設備數據造成影響的指令進行錄入管理

以業務方案-廠家-網元類型的分類錄入，添加備注信息，清晰展示指令含義，便于管理。

提供開啟/關閉選項，對于去除的高危指令可先行選擇為關閉狀態，高危指令重新生效后即可選擇開啟，無需再次配置。

具備權限的用戶可對高危指令庫進行新增、刪除等操作。

2.金庫審核授權

系統可為業務類型（CS/PS/VOLTE/承載網/CMNET）、設備類型、設備廠家所涉及的場景分別配置金庫審核人員，金庫審核人員一般為高級別網絡維護人員。

3.金庫驗證授權

在進行數據下發操作時，系統自動對所需制作指令與高危指令庫中的對應類型全量高危制令進行匹配，判定下發腳本中是否包含已配置需要識別的高危制令，如包含則觸發金庫模式，網絡配置生產子系統將向授權人員發送申請短信，授權人審核通過后，通過短信中的驗證碼進行驗證，通過即可進行高危指令的下發操作。

4.金庫日志

金庫的管理日志，對含高危指令的新增、添加、審批、修改、刪除操作均有日志留存，記錄操作是否成功，及操作對象的具體觸發事件。

四、網絡操作安全機制的應用

金庫的審核可定義各級別負責人或主管，分別負責不同業務域的金庫審核，并可根據業務域定義單獨的審核權限，實現了共同用戶、獨立權限，使系統的權限管理分級獨立化，從根本上避免了混淆情況的發生。

目前網絡配置管理系統中的金庫模式子流程已上線應用使用近1年時間，共錄入17個設備類型的725條高危指令，并根據業務變化不斷進行更新優化，完整匹配正確率達到100%，審核有效性達到100%。后續將繼續擴展金庫電子模式的應用范圍，嘗試使之應用通信網絡的全部設備和專業，保證通信網高效安全運行。