IP化時代運維挑戰(zhàn)：引入第三方應對安全挑戰(zhàn)

IP化時代運維挑戰(zhàn)引入第三方應對安全挑戰(zhàn)

5月19日，由于暴風影音域名解析系統(tǒng)遭受攻擊，江蘇、河北、山西、廣西、浙江等省多個運營商遞歸域名解析服務器擁塞，進而發(fā)生了大面積用戶斷網事故。事實上，在以互聯(lián)網為代表的IP網絡上，類似的攻擊層出不窮，只是影響大小不一。憑借高度的靈活性和突出的性價比，IP網絡逐漸成為運營商承載包括移動業(yè)務在內的各種業(yè)務的首選平臺。但隨著網絡IP化的全面推開，IP協(xié)議的缺陷將深入到整個電信網絡的方方面面：首先，雖然IP網絡端到端的透明性使網絡應用開發(fā)接口完全開放，從而帶來了IP網絡無限的發(fā)展空間，但是，IP網絡的缺陷也隨著網絡節(jié)點和拓撲數(shù)量的提高而不斷累積，潛在的風險越來越大;其次，在多個業(yè)務承載于同一網絡的情況下，業(yè)務之間相互影響，繼而帶來更多安全風險，比如，在統(tǒng)一的IP承載網上，各種攻擊可能將影響到話音業(yè)務的質量;第三，網絡和業(yè)務的相對分離，導致了業(yè)務層面不能全面考慮網絡資源情況，濫用網絡資源時有發(fā)生，對運營商的業(yè)務控制力提出了極大挑戰(zhàn)。而無論網絡的硬件、軟件、物理環(huán)境、操作管理、惡意代碼以及管理越權等安全問題，都有可能對IP網絡的正常運行帶來影響。既要發(fā)展IP網絡，又要面對IP網絡本身固有的風險，運營商何去何從?成功應對IP網絡突發(fā)事件的啟示“5·19”事件中，某省電信公司的做法足以給我們啟示。故障發(fā)生后，該公司的系統(tǒng)維護人員的手機收到告警信息，告警數(shù)據(jù)反映DNS服務器用戶請求數(shù)據(jù)突然升高，超過正常數(shù)據(jù)量的4倍。經過人工采樣數(shù)據(jù)的分析，維護技術人員對故障進行了定位，并立即啟動了應急處理預案。經過采取屏蔽操作等人工干預措施，故障在15分鐘內恢復，該公司所有用戶均未受影響。從中可以看出，雖然無法從根本上消除IP網絡帶來的隱患，但是在建設IP全網安全智能管理平臺的同時，通過基于網絡優(yōu)化及網絡薄弱環(huán)節(jié)分析的網絡安全管理、設置網絡安全事件處置預案、定期演練、提高維護人員的技術能力、對網絡關鍵部位實施必要值守等措施，可以將網絡安全事故的影響降到最小。IP化時代的運維挑戰(zhàn)但是，目前運營商的網絡維護按照交換、無線、傳輸、數(shù)據(jù)、動力、網管支撐等專業(yè)進行領域劃分，這種運維方式無形中成為了全網IP化背景下網絡維護的障礙。首先，IP網絡下的故障或安全事件，通常會導致短時間內故障影響迅速傳播，最終演變成全網故障。因此，IP網絡運維需要比傳統(tǒng)網絡運維具有更快的反應速度。而按專業(yè)劃分的運維模式直接導致了運維邊界和接口的增加，這不但增加了網絡維護的難度，降低了對故障的反應速度，同時，也使運維責任不清，增加了溝通交流的成本。其次，與傳統(tǒng)網絡通過網管系統(tǒng)進行系統(tǒng)維護管理的方式不同，IP系統(tǒng)大多以命令行的運維方式為主。對于維護傳統(tǒng)交換、傳輸?shù)认到y(tǒng)的工程師而言，技術能力的繼承性成為了運營商不得不考慮的問題，運營商必須花費大量的時間及成本逐步提高維護人員的技術水平。這樣，時效性就成為了關鍵。而運營商技術維護人員的技術能力建設往往會落后于網絡的建設。最后，由于大多數(shù)運營商采用了分期建設、集中采購招標的網絡建設方式，使得絕大多數(shù)省級運營商在同一張IP網絡內至少面對2家以上的設備供應商，多者甚至達到4到6家。這賦予IP網絡前所未有的復雜性。運營商不但需要維護各種應用場景，應對各種各樣的技術難題，還要熟悉若干家不同的設備供應商的設備、面對不同的聯(lián)系接口和各種各樣的處理流程、配置若干種備品備件，這無疑成為了運營商網絡運維的又一障礙，不但增加網絡安全運行的風險系數(shù)，而且增加了網絡運營成本OPEX以及CAPEX。運營商急需第三方能力補充故此，運營商需要在以下幾個方面著手，盡快解決組織結構和和技術能力給網絡運維帶來的挑戰(zhàn)。首先，加快建設IP網絡統(tǒng)一智能管理平臺，盡量以統(tǒng)一、可視的手段降低運維人員技術門檻。其次，在相關領域整合現(xiàn)有管理組織結構，特別在承載網絡層面，充分利用IP技術的特點，逐步統(tǒng)一到IP網絡運維上來，減少人員接口，明晰責任，提高故障處理效率。再次，在運營商運維人員技術能力向IP技術逐步遷移和提升的過程中，在運營商技術支持能力尚未完全建立的情況下，充分引入和利用設備供應商的技術支持能力作為補充，在現(xiàn)場運維、故障處理、網絡優(yōu)化等多領域發(fā)揮其專業(yè)的特長，保證網絡建設與安全維護同步進行。而針對上述網絡IP化過程中運營商對網絡運維支撐的獨特要求，愛立信推出了一個全新的服務體系——IP全網支撐服務。愛立信IP全網支撐服務包括了基礎類、擴展類以及定制類三類服務項目，其中，基礎類支持服務主要關注運營商日?；具\維需求，擴展類支持服務則涵蓋針對提高網絡安全系數(shù)、降低事故造成的損失、提高網絡防風險能力所開展的各種分析、評估、設計與規(guī)劃支持等服務，定制類支持服務則能夠為客戶解決相對個別的實際問題開展相關專項服務。為實現(xiàn)快速、準確、高效的維護目標，愛立信組建了包括駐場維護層、核心支持層以及培訓拓展層在內的技術支持體系，在項目經理統(tǒng)一協(xié)調下進行運作。由維護工程師、資深專家、渠道專員和培訓專家組成的立體支持體系，能夠幫助運營商第一時間處理故障，迅速恢復業(yè)務。在多設備網絡的維護方面，作為全球最大的電信解決方案提供商，愛立信每年在全球各種主要技術標準的固定網絡和移動網絡中管理800多個網絡建設、擴容或升級項目，愛立信在多廠商和多技術環(huán)境中為運營商、企業(yè)和國家安全以及公共安全機構提供超過2000個系統(tǒng)集成項目。在IP網絡建設領域，愛立信不但可以獨立提供IP網絡中所涉及的核心、邊緣接入等主要設備，更與Juniper、Cisco、Extreme等主流設備供應商建立了長期的戰(zhàn)略合作關系