云網安全防護運維管控的研究

張曉燕 聶智戈

摘要：近年來，全國重大通信事件時有發生，網絡問題已上升到國家安全、社會穩定層面。隨著網絡云化，扁平化、集約化的進程，一個故障的影響范圍之大、傳播速度之快給維護帶來了非常大的壓力。由于故障數量呈上升趨勢，且跨專業的疑難故障比例不斷提升。本文通過對云網故障進行深入剖析，查找故障管控關鍵點。以重大故障關鍵管控點為切入，從提升網絡安全專項能力入手，探討如何構建出一套網絡安全防護管控體系，保障網絡安全、可靠、穩定和可持續演進。

關鍵字：云網;故障管控;網絡安全防護

一、引言

云網融合已經成為云計算領域的發展趨勢。隨著云計算產業的不斷成熟，業務需求和技術創新并行驅動，加速了網絡架構正發生深刻變革。云網融合，云特指云計算，網指代通信網絡。云計算主要指高速的計算能力，擴充性強的存儲能力，高效的管理協同性能;通信網絡涵蓋了基礎接入網，承載網，移動通信網等各大運營商所提供的網絡。云網融合已經成為新型信息基礎設施的發展方向。云網融合——“云是核心，網是基礎，網隨云動，云網一體”，成為新型信息基礎設施的必然發展方向。運用云技術加速新一代通信網絡技術創新，通過網絡加快云的應用和發展，與數字產業、實體經濟相結合，加速驅動數字產業化和產業數字化進程。

目前各種網絡云化程度各不相同。有高度云化的5G核心網，也有正被逐步融入的城域網絡。云與網正在高度協同，他們不再各自獨立。云計算的業務開展需要有通信網絡的支撐才能發揮作用。網絡的性能瓶頸同樣需要依賴云計算的優勢去消除。最終實現云與網彼此按需打通，實現智能化，高效率，深度融合的新生態云網通信網絡。

二、云網融合背景下的運維挑戰

云技術對于目前傳統通信網絡運維工程師是一個全新領域。新技術帶來的不僅僅是新技術的學習，伴隨的是網絡架構的變革，新業務的沖擊，ICT的融合，新型的網絡安全隱患等等，對于云網運維工程師帶來的是翻天覆地的變化。云網運維人員肩負著網絡和云平臺運維的雙重重任，承受著巨大的壓力。

三、探索云網防護管控體系的目標

本文以重大故障關鍵管控點為切入，輸出針對性的生產操作優化舉措，解決重大故障管控的痛點問題;基于云網基礎維護體系，進一步健全和優化基礎維護管理體系，指導云網基礎維護管理工作開展，實現從生產到管理的提升，為高質量云網維護奠定堅實管理基礎。

四、提升云網安全防護能力

為提高云網安全防護和應對能力，我們首先要深入挖掘網絡的潛在風險，提升網絡整體安全水平。在該維度下我們創建了三項任務：隱患排查整改;日常維護作業計劃;應急預案規范化。

（一）隱患排查整改

首先我們需要從以下方面進行隱患的逐級排查，盡可能全面的挖掘隱患。

1. 物理層安全隱患及措施

目前云網的構成設備主要是以路由器、交換機、服務器為主。網絡結構主要采用拓撲型結構方式。物理層隱患除了設備自身的隱患外，還包含物理鏈路的隱患，機房環境等多方面的因素。

云網安全隱患的基本問題很多來自于物理層安全隱患。對此，我們要加強物理層安全隱患的排查與整治。從各個通信專業看，物理層的基礎設施主要包括了傳輸光纜、市內光纖、無線信道等等。首先我們要加強機房管理，包括機房的門禁管理，機房消防設施配備，機房溫度，機房巡檢記錄完備性檢查，機房安全規范的張貼宣貫，設備標簽管理，防鼠板的設置等等。按照維護規程落實日常預檢預修。加強室內、室外設施的巡檢制度落實，對電源或電池性能劣化，波分系統光功率越限，傳輸通道誤碼，匯聚及核心設備板卡性能劣化、溫度過高、CPU/內存利用率過高等問題，日常隱患主動發現。

其次針對物理線路，要確保排線規范整潔，杜絕拉飛線。確保設備接入電源列頭柜的雙路保障。云網設備的端到端線路至少雙路由隱患排查也至關重要。對于云網設備硬件的定期巡檢，做到及早發現設備硬件預警。樞紐局（站）及承載匯聚、BBU池等網絡業務骨干節點機房電源與空調系統的結構性安全、設備完好性、監控有效性、機房環境安全等維度的運行安全評估;骨干節點機架、設備側單電源、單回路供電等隱患的定期排查整治。

2.系統性安全隱患及措施

無論是云計算設備還是網絡設備都無法避免網絡安全風險。網絡攻擊者會利用云網設備漏洞入侵系統，竊取數據信息。帶來的災難不僅僅是網絡的崩潰，還有用戶數據信息的泄露。加之云計算系統的融入，使得網絡安全得更加錯綜復雜。所以系統安全問題必須防患于未然。系統要及時的進行補丁操作及其版本更新。

對于網絡系統的安全防護，我們要采用多樣性的手段，以形成層次化，體系化的安全保護措施。首先是建設異常流量監測系統，大流量對攻擊對網絡的影響是最直接的，及早的發現異常流量，切斷異常源，讓影響減少到最小可以最大程度保護用戶的網絡使用感知。其次對于網絡安全部門發布的漏洞病毒要及時進行修補查殺。服務器設備要重視安全軟件的使用，外接設備的安全性，最大限度的避免病毒的傳播。

3.建立隱患風險值評估模型，量化隱患風險

隱患梳理完成后，需要將隱患進行分級，進而決定隱患的處理時長。那么如何科學的對隱患進行分級顯得尤為重要。本文提出了一種基于專家評價和風險矩陣的隱患風險評估模型，如圖1。

利用專家評價和二維矩陣法定量計算出受評系統的風險值和平穩運行值，進而計算出平臺風險總值與平臺平穩運行值。公式如下：

（1）

（2）

通過該模型可以計算出隱患風險評估值，將隱患進行科學理性的分級，量化隱患風險程度。

4.建立電子化隱患庫

對于梳理出來的隱患，要有持續性的跟蹤與動態管理。避免因為人員更迭造成隱患管理出現斷層。對各專業、各等級的網絡隱患、業務隱患進行清單式閉環管理。同時打通電子隱患庫與故障工單管理系統打通，對需要立即處理的隱患進行派單，跟蹤隱患處理狀態。

（二）日常維護作業計劃的管控

落實日常規程，對各專業的維護作業計劃進行統一管理，統一巡檢，統一呈現。一直以來日常維護作業是維護工作中最常見的計劃之一。但維護作業計劃的初衷是對網絡的日常檢查，發現問題及時處理。但往往維護作業計劃的系統是獨立于工單管理系統之外的。本文重點解決的是維護作業計劃的閉環管控問題。本文將各專業網管通過接口推送作業計劃執行匯總結果到日常維護作業計劃所在系統，進行匯總及統一展現。對于異常作業計劃可轉入電子隱患庫及派整治工單到相關崗位，從而完成閉環管控。

（三）應急預案規范化管理

應急預案是通過運維經驗預估可能發生的故障，并針對故障做出的應對措施方案。應急預案需要定期的進行模擬或實戰演練。目的是檢驗應急預案是否適應當前的網絡狀況，考察運維人員的處理能力，檢查故障處理流程是否順暢。目前的應急預案管理通常是分散的，各個專業彼此獨立，缺乏系統性的管控。但是目前各專業關聯性越來越緊密，應急預案的演練等環節需要跨專業協作。那么系統性的規范應急預案的管理非常重要。本文旨在將各大專業關聯起來，加強各專業之間的合作。實現對全專業應急預案和演練進行統一管理及展示，應急演練的審批和應急演練留痕實現全流程系統化。

如圖2，對于文檔型預案的存放，本系統選擇使用知識庫系統，便于日常查看。由應急預案牽頭人制訂應急預案演練計劃，到設定時間點，會自動觸發演練工單。由人工來判定是否需要風險審批。審批完成后，將觸發保障系統事件，系統會自動進行相關人員通知進行演練，演練完成后，更新相應的演練概況到計劃模板。整個環節可以全面考量緊急狀況的現象、診斷方式、應急手段，進而建立完善有效的應急預案。

五、維護人員云網安全意識的培養

加強人員的日常維護和規范管理也尤為重要。維護人員的技術水平和安全意識都直接影響到網絡設備與用戶信息的安全。首先要將云網安全管理納入日常維護工作中，制訂科學的安全維護計劃，使得網絡安全工作常態化。其次要配置專業的安全崗位人員，定期進行設備安全巡檢，協助并指導設備管理員進行安全防護。同時定期組織開展網絡安全教育培訓，提高維護人員安全應對能力和處理能力，加強維護人員安全素質的培養，提升安全責任意識，促進網絡安全人才交流。

六、結束語

隨著云計算的高速發展，通信行業也已步入云網融合時代的快速發展期。通信設備從傳統的通信設備逐步向云網型通信設備轉型。在新技術引領下，運維人員需要對新型網絡進行系統性的，科學的維護與管理。提升用戶的用網感知體驗，保護網絡信息的安全，保障人民安全的網絡環境，促進社會文明的發展。

作者單位：張曉燕? ? 中國電信股份有限公司浙江分公司

聶智戈? ? 中國移動智慧家庭運營中心

張曉燕（1980.12-），女，漢族，河北，碩士研究生，中級通信工程師，研究方向：數據維護通信;

聶智戈（1977.04-）， 男， 漢族，河南，碩士研究生，高級工程師， 研究方向：大規?；ヂ摼W業務運維保障;

李偉（1986.12-），? ?男，漢族，湖北，學士，高級工程師，研究方向：移動網絡規劃設計。

參? 考? 文? 獻

[1]王純子， 張斌， 李艷. 云網絡安全技術研究現狀綜述[J]. 信息安全與技術， 2015， 6（8）.

[2]王全， 方琰崴. 5G電信云網絡安全解決方案[J]. 郵電設計技術， 2018，（11）：6.

[3]羅曉波. 私有云網絡安全風險及安全策略設計[J].數字化用戶， 2019，025（021）：103-104.