引入第三方應(yīng)對IP網(wǎng)絡(luò)安全挑戰(zhàn)

5月19日，由于暴風(fēng)影音域名解析系統(tǒng)遭受攻擊，江蘇、河北、山西、廣西、浙江等省多個運營商遞歸域名解析服務(wù)器擁塞，進而發(fā)生了大面積用戶斷網(wǎng)事故。事實上，在以互聯(lián)網(wǎng)為代表的IP網(wǎng)絡(luò)上，類似的攻擊層出不窮，只是影響大小不一。

憑借高度的靈活性和突出的性價比，IP網(wǎng)絡(luò)逐漸成為運營商承載包括移動業(yè)務(wù)在內(nèi)的各種業(yè)務(wù)的首選平臺。但隨著網(wǎng)絡(luò)IP化的全面推開，IP協(xié)議的缺陷將深入到整個電信網(wǎng)絡(luò)的方方面面：首先，雖然IP網(wǎng)絡(luò)端到端的透明性使網(wǎng)絡(luò)應(yīng)用開發(fā)接口完全開放，從而帶來了IP網(wǎng)絡(luò)無限的發(fā)展空間，但是，IP網(wǎng)絡(luò)的缺陷也隨著網(wǎng)絡(luò)節(jié)點和拓?fù)鋽?shù)量的提高而不斷累積，潛在的風(fēng)險越來越大；其次，在多個業(yè)務(wù)承載于同一網(wǎng)絡(luò)的情況下，業(yè)務(wù)之間相互影響，繼而帶來更多安全風(fēng)險，比如，在統(tǒng)一的IP承載網(wǎng)上，各種攻擊可能將影響到話音業(yè)務(wù)的質(zhì)量；第三，網(wǎng)絡(luò)和業(yè)務(wù)的相對分離，導(dǎo)致了業(yè)務(wù)層面不能全面考慮網(wǎng)絡(luò)資源情況，濫用網(wǎng)絡(luò)資源時有發(fā)生，對運營商的業(yè)務(wù)控制力提出了極大挑戰(zhàn)。而無論網(wǎng)絡(luò)的硬件、軟件、物理環(huán)境、操作管理、惡意代碼以及管理越權(quán)等安全問題，都有可能給IP網(wǎng)絡(luò)的正常運行帶來影響。

既要發(fā)展IP網(wǎng)絡(luò)，又要面對IP網(wǎng)絡(luò)本身固有的風(fēng)險，運營商何去何從？

成功應(yīng)對IP網(wǎng)絡(luò)突發(fā)事件的啟示

“5·19”事件中，某省電信公司的做法足以給我們啟示。故障發(fā)生后，該公司的系統(tǒng)維護人員的手機收到告警信息，告警數(shù)據(jù)反映DNS服務(wù)器用戶請求數(shù)據(jù)突然升高，超過正常數(shù)據(jù)量的4倍。經(jīng)過人工采樣數(shù)據(jù)的分析，維護技術(shù)人員對故障進行了定位，并立即啟動了應(yīng)急處理預(yù)案。經(jīng)過采取屏蔽操作等人工干預(yù)措施，故障在15分鐘內(nèi)恢復(fù)，該公司所有用戶均未受影響。

從中可以看出，雖然無法從根本上消除IP網(wǎng)絡(luò)帶來的隱患，但是在建設(shè)IP全網(wǎng)安全智能管理平臺的同時，通過基于網(wǎng)絡(luò)優(yōu)化及網(wǎng)絡(luò)薄弱環(huán)節(jié)分析的網(wǎng)絡(luò)安全管理、設(shè)置網(wǎng)絡(luò)安全事件處置預(yù)案、定期演練、提高維護人員的技術(shù)能力、對網(wǎng)絡(luò)關(guān)鍵部位實施必要值守等措施，可以將網(wǎng)絡(luò)安全事故的影響降到最小。

IP化時代的運維挑戰(zhàn)

但是，目前運營商的網(wǎng)絡(luò)維護按照交換、無線、傳輸、數(shù)據(jù)、動力、網(wǎng)管支撐等專業(yè)進行領(lǐng)域劃分，這種運維方式無形中成為了全網(wǎng)IP化背景下網(wǎng)絡(luò)維護的障礙。

首先，IP網(wǎng)絡(luò)下的故障或安全事件，通常會導(dǎo)致短時間內(nèi)故障影響迅速傳播，最終演變成全網(wǎng)故障。因此，IP網(wǎng)絡(luò)運維需要比傳統(tǒng)網(wǎng)絡(luò)運維具有更快的反應(yīng)速度。而按專業(yè)劃分的運維模式直接導(dǎo)致了運維邊界和接口的增加，這不但增加了網(wǎng)絡(luò)維護的難度，降低了對故障的反應(yīng)速度，同時，也使運維責(zé)任不清，增加了溝通交流的成本。

其次，與傳統(tǒng)網(wǎng)絡(luò)通過網(wǎng)管系統(tǒng)進行系統(tǒng)維護管理的方式不同，IP系統(tǒng)大多以命令行的運維方式為主。對于維護傳統(tǒng)交換、傳輸?shù)认到y(tǒng)的工程師而言，技術(shù)能力的繼承性成為了運營商不得不考慮的問題，運營商必須花費大量的時間及成本逐步提高維護人員的技術(shù)水平。這樣，時效性就成為了關(guān)鍵。而運營商技術(shù)維護人員的技術(shù)能力建設(shè)往往會落后于網(wǎng)絡(luò)的建設(shè)。

最后，由于大多數(shù)運營商采用了分期建設(shè)、集中采購招標(biāo)的網(wǎng)絡(luò)建設(shè)方式，使得絕大多數(shù)省級運營商在同一張IP網(wǎng)絡(luò)內(nèi)至少面對2家以上的設(shè)備供應(yīng)商，多者甚至達到4到6家。這賦予IP網(wǎng)絡(luò)前所未有的復(fù)雜性。運營商不但需要維護各種應(yīng)用場景，應(yīng)對各種各樣的技術(shù)難題，還要熟悉若干家不同的設(shè)備供應(yīng)商的設(shè)備、面對不同的聯(lián)系接口和各種各樣的處理流程、配置若干種備品備件，這無疑成為了運營商網(wǎng)絡(luò)運維的又一障礙，不但增加網(wǎng)絡(luò)安全運行的風(fēng)險系數(shù)，而且增加了網(wǎng)絡(luò)運營成本OPEX以及CAPEX。

運營商急需第三方能力補充

故此，運營商需要在以下幾個方面著手，盡快解決組織結(jié)構(gòu)和和技術(shù)能力給網(wǎng)絡(luò)運維帶來的挑戰(zhàn)。

首先，加快建設(shè)IP網(wǎng)絡(luò)統(tǒng)一智能管理平臺，盡量以統(tǒng)一、可視的手段降低運維人員技術(shù)門檻。

其次，在相關(guān)領(lǐng)域整合現(xiàn)有管理組織結(jié)構(gòu)，特別在承載網(wǎng)絡(luò)層面，充分利用IP技術(shù)的特點，逐步統(tǒng)一到IP網(wǎng)絡(luò)運維上來，減少人員接口，明晰責(zé)任，提高故障處理效率。

再次，在運營商運維人員技術(shù)能力向IP技術(shù)逐步遷移和提升的過程中，在運營商技術(shù)支持能力尚未完全建立的情況下，充分引入和利用設(shè)備供應(yīng)商的技術(shù)支持能力作為補充，在現(xiàn)場運維、故障處理、網(wǎng)絡(luò)優(yōu)化等多領(lǐng)域發(fā)揮其專業(yè)的特長，保證網(wǎng)絡(luò)建設(shè)與安全維護同步進行。

而針對上述網(wǎng)絡(luò)IP化過程中運營商對網(wǎng)絡(luò)運維支撐的獨特要求，愛立信推出了一個全新的服務(wù)體系——IP全網(wǎng)支撐服務(wù)。愛立信IP全網(wǎng)支撐服務(wù)包括了基礎(chǔ)類、擴展類以及定制類三類服務(wù)項目，其中，基礎(chǔ)類支持服務(wù)主要關(guān)注運營商日�；�本運維需求，擴展類支持服務(wù)則涵蓋針對提高網(wǎng)絡(luò)安全系數(shù)、降低事故造成的損失、提高網(wǎng)絡(luò)防風(fēng)險能力所開展的各種分析、評估、設(shè)計與規(guī)劃支持等服務(wù)，定制類支持服務(wù)則能夠為客戶解決相對個別的實際問題開展相關(guān)專項服務(wù)。

為實現(xiàn)快速、準(zhǔn)確、高效的維護目標(biāo)，愛立信組建了包括駐場維護層、核心支持層以及培訓(xùn)拓展層在內(nèi)的技術(shù)支持體系，在項目經(jīng)理統(tǒng)一協(xié)調(diào)下進行運作。由維護工程師、資深專家、渠道專員和培訓(xùn)專家組成的立體支持體系，能夠幫助運營商第一時間處理故障，迅速恢復(fù)業(yè)務(wù)。

在多設(shè)備網(wǎng)絡(luò)的維護方面，作為全球最大的電信解決方案提供商，愛立信每年在全球各種主要技術(shù)標(biāo)準(zhǔn)的固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)中管理800多個網(wǎng)絡(luò)建設(shè)、擴容或升級項目，愛立信在多廠商和多技術(shù)環(huán)境中為運營商、企業(yè)和國家安全以及公共安全機構(gòu)提供超過2000個系統(tǒng)集成項目。在IP網(wǎng)絡(luò)建設(shè)領(lǐng)域，愛立信不但可以獨立提供IP網(wǎng)絡(luò)中所涉及的核心、邊緣接入等主要設(shè)備，更與Juniper、Cisco、Extreme等主流設(shè)備供應(yīng)商建立了長期的戰(zhàn)略合作關(guān)系，有能力為客戶提供端到端的IP網(wǎng)絡(luò)解決方案。

要發(fā)展IP網(wǎng)絡(luò)，就要面對IP網(wǎng)絡(luò)存在的無法預(yù)知的風(fēng)險，如何在網(wǎng)絡(luò)IP化過程中，在減少投資成本和運維成本的同時，增加網(wǎng)絡(luò)安全系數(shù)，降低網(wǎng)絡(luò)運維風(fēng)險，引入第三方是一個運營商應(yīng)該考慮的選項。

作者：愛立信（中國）通信有限公司電信專業(yè)服務(wù)部 來源：通信世界周刊