IP化時(shí)代運(yùn)維挑戰(zhàn)：第三方應(yīng)對(duì)安全挑戰(zhàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

5月19日，由于暴風(fēng)影音域名解析系統(tǒng)遭受攻擊，江蘇、河北、山西、廣西、浙江等省多個(gè)運(yùn)營(yíng)商遞歸域名解析服務(wù)器擁塞，進(jìn)而發(fā)生了大面積用戶斷網(wǎng)事故。事實(shí)上，在以互聯(lián)網(wǎng)為代表的IP網(wǎng)絡(luò)上，類似的攻擊層出不窮，只是影響大小不一?！　?/p>

憑借高度的靈活性和突出的性價(jià)比，IP網(wǎng)絡(luò)逐漸成為運(yùn)營(yíng)商承載包括移動(dòng)業(yè)務(wù)在內(nèi)的各種業(yè)務(wù)的首選平臺(tái)。但隨著網(wǎng)絡(luò)IP化的全面推開，IP協(xié)議的缺陷將深入到整個(gè)電信網(wǎng)絡(luò)的方方面面：首先，雖然IP網(wǎng)絡(luò)端到端的透明性使網(wǎng)絡(luò)應(yīng)用開發(fā)接口完全開放，從而帶來了IP網(wǎng)絡(luò)無限的發(fā)展空間，但是，IP網(wǎng)絡(luò)的缺陷也隨著網(wǎng)絡(luò)節(jié)點(diǎn)和拓?fù)鋽?shù)量的提高而不斷累積，潛在的風(fēng)險(xiǎn)越來越大;其次，在多個(gè)業(yè)務(wù)承載于同一網(wǎng)絡(luò)的情況下，業(yè)務(wù)之間相互影響，繼而帶來更多安全風(fēng)險(xiǎn)，比如，在統(tǒng)一的IP承載網(wǎng)上，各種攻擊可能將影響到話音業(yè)務(wù)的質(zhì)量;第三，網(wǎng)絡(luò)和業(yè)務(wù)的相對(duì)分離，導(dǎo)致了業(yè)務(wù)層面不能全面考慮網(wǎng)絡(luò)資源情況，濫用網(wǎng)絡(luò)資源時(shí)有發(fā)生，對(duì)運(yùn)營(yíng)商的業(yè)務(wù)控制力提出了極大挑戰(zhàn)。而無論網(wǎng)絡(luò)的硬件、軟件、物理環(huán)境、操作管理、惡意代碼以及管理越權(quán)等安全問題，都有可能對(duì)IP網(wǎng)絡(luò)的正常運(yùn)行帶來影響。

既要發(fā)展IP網(wǎng)絡(luò)，又要面對(duì)IP網(wǎng)絡(luò)本身固有的風(fēng)險(xiǎn)，運(yùn)營(yíng)商何去何從?

成功應(yīng)對(duì)IP網(wǎng)絡(luò)突發(fā)事件的啟示

“5·19”事件中，某省電信公司的做法足以給我們啟示。故障發(fā)生后，該公司的系統(tǒng)維護(hù)人員的手機(jī)收到告警信息，告警數(shù)據(jù)反映 DNS服務(wù)器用戶請(qǐng)求數(shù)據(jù)突然升高，超過正常數(shù)據(jù)量的4倍。經(jīng)過人工采樣數(shù)據(jù)的分析，維護(hù)技術(shù)人員對(duì)故障進(jìn)行了定位，并立即啟動(dòng)了應(yīng)急處理預(yù)案。經(jīng)過采取屏蔽操作等人工干預(yù)措施，故障在15分鐘內(nèi)恢復(fù)，該公司所有用戶均未受影響。

從中可以看出，雖然無法從根本上消除IP網(wǎng)絡(luò)帶來的隱患，但是在建設(shè)IP全網(wǎng)安全智能管理平臺(tái)的同時(shí)，通過基于網(wǎng)絡(luò)優(yōu)化及網(wǎng)絡(luò)薄弱環(huán)節(jié)分析的網(wǎng)絡(luò)安全管理、設(shè)置網(wǎng)絡(luò)安全事件處置預(yù)案、定期演練、提高維護(hù)人員的技術(shù)能力、對(duì)網(wǎng)絡(luò)關(guān)鍵部位實(shí)施必要值守等措施，可以將網(wǎng)絡(luò)安全事故的影響降到最小。

IP化時(shí)代的運(yùn)維挑戰(zhàn)

但是，目前運(yùn)營(yíng)商的網(wǎng)絡(luò)維護(hù)按照交換、無線、傳輸、數(shù)據(jù)、動(dòng)力、網(wǎng)管支撐等專業(yè)進(jìn)行領(lǐng)域劃分，這種運(yùn)維方式無形中成為了全網(wǎng)IP化背景下網(wǎng)絡(luò)維護(hù)的障礙。

首先，IP網(wǎng)絡(luò)下的故障或安全事件，通常會(huì)導(dǎo)致短時(shí)間內(nèi)故障影響迅速傳播，最終演變成全網(wǎng)故障。因此，IP網(wǎng)絡(luò)運(yùn)維需要比傳統(tǒng)網(wǎng)絡(luò)運(yùn)維具有更快的反應(yīng)速度。而按專業(yè)劃分的運(yùn)維模式直接導(dǎo)致了運(yùn)維邊界和接口的增加，這不但增加了網(wǎng)絡(luò)維護(hù)的難度，降低了對(duì)故障的反應(yīng)速度，同時(shí)，也使運(yùn)維責(zé)任不清，增加了溝通交流的成本。

其次，與傳統(tǒng)網(wǎng)絡(luò)通過網(wǎng)管系統(tǒng)進(jìn)行系統(tǒng)維護(hù)管理的方式不同，IP系統(tǒng)大多以命令行的運(yùn)維方式為主。對(duì)于維護(hù)傳統(tǒng)交換、傳輸?shù)认到y(tǒng)的工程師而言，技術(shù)能力的繼承性成為了運(yùn)營(yíng)商不得不考慮的問題，運(yùn)營(yíng)商必須花費(fèi)大量的時(shí)間及成本逐步提高維護(hù)人員的技術(shù)水平。這樣，時(shí)效性就成為了關(guān)鍵。而運(yùn)營(yíng)商技術(shù)維護(hù)人員的技術(shù)能力建設(shè)往往會(huì)落后于網(wǎng)絡(luò)的建設(shè)。

最后，由于大多數(shù)運(yùn)營(yíng)商采用了分期建設(shè)、集中采購招標(biāo)的網(wǎng)絡(luò)建設(shè)方式，使得絕大多數(shù)省級(jí)運(yùn)營(yíng)商在同一張IP網(wǎng)絡(luò)內(nèi)至少面對(duì)2家以上的設(shè)備供應(yīng)商，多者甚至達(dá)到4到6家。這賦予IP網(wǎng)絡(luò)前所未有的復(fù)雜性。運(yùn)營(yíng)商不但需要維護(hù)各種應(yīng)用場(chǎng)景，應(yīng)對(duì)各種各樣的技術(shù)難題，還要熟悉若干家不同的設(shè)備供應(yīng)商的設(shè)備、面對(duì)不同的聯(lián)系接口和各種各樣的處理流程、配置若干種備品備件，這無疑成為了運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)維的又一障礙，不但增加網(wǎng)絡(luò)安全運(yùn)行的風(fēng)險(xiǎn)系數(shù)，而且增加了網(wǎng)絡(luò)運(yùn)營(yíng)成本OPEX以及CAPEX。

運(yùn)營(yíng)商急需第三方能力補(bǔ)充

故此，運(yùn)營(yíng)商需要在以下幾個(gè)方面著手，盡快解決組織結(jié)構(gòu)和和技術(shù)能力給網(wǎng)絡(luò)運(yùn)維帶來的挑戰(zhàn)。

首先，加快建設(shè)IP網(wǎng)絡(luò)統(tǒng)一智能管理平臺(tái)，盡量以統(tǒng)一、可視的手段降低運(yùn)維人員技術(shù)門檻。

其次，在相關(guān)領(lǐng)域整合現(xiàn)有管理組織結(jié)構(gòu)，特別在承載網(wǎng)絡(luò)層面，充分利用IP技術(shù)的特點(diǎn)，逐步統(tǒng)一到IP網(wǎng)絡(luò)運(yùn)維上來，減少人員接口，明晰責(zé)任，提高故障處理效率。

再次，在運(yùn)營(yíng)商運(yùn)維人員技術(shù)能力向IP技術(shù)逐步遷移和提升的過程中，在運(yùn)營(yíng)商技術(shù)支持能力尚未完全建立的情況下，充分引入和利用設(shè)備供應(yīng)商的技術(shù)支持能力作為補(bǔ)充，在現(xiàn)場(chǎng)運(yùn)維、故障處理、網(wǎng)絡(luò)優(yōu)化等多領(lǐng)域發(fā)揮其專業(yè)的特長(zhǎng)，保證網(wǎng)絡(luò)建設(shè)與安全維護(hù)同步進(jìn)行。

而針對(duì)上述網(wǎng)絡(luò)IP化過程中運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)運(yùn)維支撐的獨(dú)特要求，愛立信推出了一個(gè)全新的服務(wù)體系——IP全網(wǎng)支撐服務(wù)。愛立信IP全網(wǎng)支撐服務(wù)包括了基礎(chǔ)類、擴(kuò)展類以及定制類三類服務(wù)項(xiàng)目，其中，基礎(chǔ)類支持服務(wù)主要關(guān)注運(yùn)營(yíng)商日?；具\(yùn)維需求，擴(kuò)展類支持服務(wù)則涵蓋針對(duì)提高網(wǎng)絡(luò)安全系數(shù)、降低事故造成的損失、提高網(wǎng)絡(luò)防風(fēng)險(xiǎn)能力所開展的各種分析、評(píng)估、設(shè)計(jì)與規(guī)劃支持等服務(wù)，定制類支持服務(wù)則能夠?yàn)榭蛻艚鉀Q相對(duì)個(gè)別的實(shí)際問題開展相關(guān)專項(xiàng)服務(wù)。

為實(shí)現(xiàn)快速、準(zhǔn)確、高效的維護(hù)目標(biāo)，愛立信組建了包括駐場(chǎng)維護(hù)層、核心支持層以及培訓(xùn)拓展層在內(nèi)的技術(shù)支持體系，在項(xiàng)目經(jīng)理統(tǒng)一協(xié)調(diào)下進(jìn)行運(yùn)作。由維護(hù)工程師、資深專家、渠道專員和培訓(xùn)專家組成的立體支持體系，能夠幫助運(yùn)營(yíng)商第一時(shí)間處理故障，迅速恢復(fù)業(yè)務(wù)。

在多設(shè)備網(wǎng)絡(luò)的維護(hù)方面，作為全球最大的電信解決方案提供商，愛立信每年在全球各種主要技術(shù)標(biāo)準(zhǔn)的固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)中管理800多個(gè)網(wǎng)絡(luò)建設(shè)、擴(kuò)容或升級(jí)項(xiàng)目，愛立信在多廠商和多技術(shù)環(huán)境中為運(yùn)營(yíng)商、企業(yè)和國(guó)家安全以及公共安全機(jī)構(gòu)提供超過2000個(gè)系統(tǒng)集成項(xiàng)目。在IP網(wǎng)絡(luò)建設(shè)領(lǐng)域，愛立信不但可以獨(dú)立提供IP網(wǎng)絡(luò)中所涉及的核心、邊緣接入等主要設(shè)備，更與Juniper、Cisco、Extreme等主流設(shè)備供應(yīng)商建立了長(zhǎng)期的戰(zhàn)略合作關(guān)系，有能力為客戶提供端到端的IP網(wǎng)絡(luò)解決方案。

要發(fā)展IP網(wǎng)絡(luò)，就要面對(duì)IP網(wǎng)絡(luò)存在的無法預(yù)知的風(fēng)險(xiǎn)，如何在網(wǎng)絡(luò)IP化過程中，在減少投資成本和運(yùn)維成本的同時(shí)，增加網(wǎng)絡(luò)安全系數(shù)，降低網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)，引入第三方是一個(gè)運(yùn)營(yíng)商應(yīng)該考慮的選項(xiàng)。