基于網絡設備安全入網驗收工作系統建設的研究

王麗 吳克難

1. 中國電信股份有限公司杭州分公司 浙江 杭州 310040；

2. 浙江省專用通信局 浙江 杭州 310063

1 設備安全入網驗收的組織職責

入網驗收是“三分技術、七分管理”。 浙江電信遵循“誰負責、誰負責、誰維護、誰負責、誰使用、誰負責、誰接入、誰負責”的原則[1]。網絡設備安全入網驗收工作還明確了安全驗收管理部門、系統安全設計部門、安全驗收要求部門和安全驗收執行部門，形成了過程中的閉環，各個部門職責有下面內容。

1.1 安全驗收管理部門

根據浙江電信的實際情況，制定、完善和更新安全驗收管理辦法，定期組織宣傳、研究、督促檢查浙江電信安全驗收的執行情況；參與項目設計評審，配合項目管理單位進行系統安全設計，提出明確的審計意見。

1.2 系統安全設計部門

在規劃階段，系統設計需從軟硬件、網絡結構、業務邏輯、應急恢復等方面考慮系統的安全性，同時滿足冗余備份、多鏈路、嚴格的業務流程、緊急情況等，優先考慮關鍵功能等。配套的安全系統要與業務系統“同步規劃、建設、運行”，不能落后于業務系統的發展，避免出現安全漏洞。同時，為使各種網絡安全管理辦法能夠更好地實施，在項目建設的設計階段，按照相關安全規范進行設計，滿足安全管理和安全規范的要求。

1.3 安全驗收需求部門

安全驗收前，按有關規定實施安全配置要求，對入網設備提出安全驗收請求，并提供驗收所需材料。另外，安全驗收要求部門還應確認安全驗收結果，對需要整改的問題限期整改。對尚不能整改的問題，督促設備供應商或系統集成商備案，對備案材料進行整改[2]。供應商需承諾對剩余問題可能導致的信息安全問題負責并封存確認，一式4份，分別向設備供應商、安全驗收要求部門、設備網絡安全驗收管理部和系統維護部部門備案。

1.4 安全驗收執行部門

負責審核確認驗收工單，制定驗收計劃；對入網工單的設備清單進行必要的安全檢查，并提交相關檢查報告；檢查網絡設備需求部門提供的驗收所需材料是否符合安全驗收標準；輸出安全驗收報告，提出入網意見；督促安全驗收部門對遺留問題進行整改，對已完成整改的系統進行重新驗收，對遺留問題進行備案確認。

表1 設備安全入網驗收表

2 設備安全入網驗收的辦法

2.1 設備安全入網驗收的操作檢查

2.1.1 雙上聯可用性。確認雙上聯端口A-Z端端口為正常啟用狀態；現場觀察雙上聯狀態，確認在用與備用端口；現場測試電話保持通話狀態；拔出設備上在用端口網線，確認測試通話話路狀態；若通話中斷且再摘機聽不到撥號音，馬上插回網線/光纖，停止切換并作記錄；若通話能保持正常，確認上聯通道可用，插回網線；重復上述操作，確認雙上聯均可正常切換。遠程做長PING包，正常情況可觀察到切換期間，丟2個數據包。

2.1.2 上聯協商模式。檢查A端上聯協商模式，一般規范為強制百全雙工；檢查Z端下聯協商模式，一般規范為強制百/千兆全雙工；檢查A-Z端鏈路中間傳輸/數據連接端口，一般規范為與A端模式一致。

2.1.3 動環供電有效性。機房電源交流停電后蓄電池接續供電，接入交換設備正常運行不斷電；艾默生動環系統改造到局點，接入設備動環監控由艾默生動環系統替代，配合動力部門完成動艾默生環供電有效性驗證；接入設備規范規定直流工作電壓為-48V，電壓允許變化范圍為-57～-40V。動力維護在場情況下，建議查看電壓是否符合規范要求。

2.1.4 資源準確性。通過現場拔纖/線操作驗證雙上聯有效性同時與遠程傳輸/數據配合驗收同事配合，驗證上聯資源準確性。

2.2 設備安全入網驗收的網管檢查

2.2.1 上聯監控有效性。通過現場拔纖/線操作驗證雙上聯有效性同時與遠程網管驗收同事配合，驗證網管對于接入設備的上聯口中斷告警能正常上報；上聯光纖或網線插回后，查看網管告警恢復。

2.2.2 動環監控有效性。現場機房電源交流停電后蓄電池接續供電，同時與遠程網管驗收同事配合，驗證設備正常上報交流停電告警；現場恢復交流供電后，查看網管告警恢復；現場動環監控系統改造完成局點，由動力維護查看動環監控網管驗證。

2.2.3 設備告警清理。現場操作動作驗收完成后，查看網管設備告警，確認網管無驗收設備的其他告警。

2.3 設備安全入網驗收的現場檢查

2.3.1 機房的溫度和濕度。機房空調性能需要跢的好，室內溫度和相對濕度應滿足辦公室交換設備的使用條件，即溫度：18～28℃，相對濕度：20%～80%。D類機房溫度0～35攝氏度，濕度15%～85%。

2.3.2 機架設備清潔。機架的潔凈度需要滿足通信設備的要求指標，保持干凈整潔，沒有積灰，設備過濾網清潔無積灰。

2.3.3 線纜布置到末端。信號線、交直流電源線應分開布置。當避不開同一路線時，間隔應水于50mm。信號線曲率半徑符合規定。一般需小于60mm或小于直徑的10倍。光纜尾纖的曲率半徑不小于40mm[3]。電纜橋架上的電纜必須綁扎。捆扎后的線纜相互靠近，外觀筆直整齊，卡扣間距均勻，松緊度適中。尾纖布放入槽內時應套套保護，或放在單獨的光纜槽內，并用柔性扎帶綁扎均勻，不能太緊。綁扎后的辮子要筆直，不能有明顯的扭曲，嚴禁將尾纖擠在其他電纜下面。

2.3.4 標簽標識準確性。信號線纜、設備必須有標識。標簽可根據維護習慣制定，但編號應是唯一的，不得重復，顏色應按統一規定，編號方法一致。標簽應使用標簽紙來進行制作，同種線纜，使用同種規格的紙；同一機房的設備應采用統一規格的標簽。現場標簽標識信息準確無誤，符合綜資數碼化規范要求。

2.3.5 設備運行指示。設備運行正常，無告警指示燈閃亮，設備內風扇裝置應運轉良好。設備、配線架等各級聲光報警信號裝置應工作正常，報警準確。

2.4 設備安全入網驗收的資源檢查

2.4.1 網管數據一致性。匯聚交換機端口命名規范，交換機端口描述建議包含接入設備IP地址；接入 設備網管命名規范，命名滿足智能網管告警過濾規則；軟交換接入網關描述命名規范，命名規則與綜資系統一致。

2.4.2 資源數據一致性。接入設備資源錄入綜資，信息完整，命名規范，命名與軟交換網管一致。

2.4.3 同溝同纜核查。查看綜資系統，根據竣工資料網絡架構和全場資源配置中光路編碼，核實該局站光纜光路同溝情況。

2.5 設備安全入網驗收的保障檢查

2.5.1 白皮書內容完整性。網絡架構是否清晰；資源系統中，雙上聯資源是否完整，新、舊資源配置資料是否完整；應急計劃是否有效。

2.5.2 安全檢查。連接設備是否配置日志功能，記錄用戶登錄和使用行為。不同用戶是否共享賬號，是否存在與工作無關的賬號和過期賬號。是否驗證登錄用戶身份。

3 結束語

近年來，浙江電信完成了多項網絡安全驗收項目，成效顯著。為了更加方便客戶填寫表格，特制了詳細的填寫樣本。同時，我們組織安全專家編寫了安全驗收手冊。浙江電信的安防入網工作才剛剛開始，后續工作將重點關注如何確保工程建設部門高度重視并嚴格執行管理。