基于通信運營商運維4A管控措施探究

向新宇

通信運營商運維管理指的就是企業(yè)在經(jīng)營生產(chǎn)中項目的成本核算、運維分析、管理決策、控制方案等科學性管理統(tǒng)稱，其主要目標在于對企業(yè)經(jīng)營生產(chǎn)各項環(huán)節(jié)中的相關市場進行和力學部署與管理，確保生產(chǎn)環(huán)節(jié)的最小化消耗和最大化生產(chǎn)成果的雙向成效?；谖覈ㄐ判袠I(yè)大范圍改革重組中，通信運營商經(jīng)過分合改制，將融資合并企業(yè)最終形成如今具備一定運營特征 與規(guī)模的新型通信市場秩序。同時，為了謀奪運營市場的有限份額，各個通信運營商將生產(chǎn)重點置于運維管理方面，企圖以價格方面的優(yōu)勢占有市場的份額。通信運營商的運維管理在成本管理中占據(jù)較高的比例，所以，深入研究與探討通信運營商運維管理已是企業(yè)贏取市場的關鍵。

一、網(wǎng)絡以及管理信息的安全要求

雖說通信企業(yè)的運營商具備了很多類相關的安全設施，但不具備集中式管理體系及其對全網(wǎng)完全統(tǒng)籌性的管控方法；針對安全方面危害發(fā)生事故的監(jiān)控力度不夠以及困難的排查力度不足等諸多問題。

工信部明確指出將賬號、認證、授權(quán)、審計4A管理控制平臺列入2015年基礎的電信運營商，網(wǎng)絡與信息的安全性責任考核機制。

二、通信運營商運維4A管控措施

通信運營商運維4A管控措施包括賬號管理、認證管理、授權(quán)管理、安全審計等確保信息安全性的四大基礎要素。

（一）賬號管理分析

通信運營商運維4A管控中的賬號管理主要包括兩個賬號，即主賬號與從賬號，及其與賬號有關的可以在4A體系中的集中式管理賬號屬性，4A系統(tǒng)中唯一標識自然人ID的就是主賬號，其范圍涵蓋企業(yè)內(nèi)部的員工賬號以及外圍員工的賬號。從賬號隸屬可獲得訪問資源權(quán)限的賬號。資源涵蓋應用型與系統(tǒng)型兩類。利用4A系統(tǒng)監(jiān)理或?qū)胫髻~號之中，制定并維護主賬號與從賬號間的對應關聯(lián)，編輯主賬號和從賬號的的訪問資源登錄控制策略、密碼、及管理主賬號和從賬號使用周期策略等。

（二）認證管理分析

新賬號的注冊密碼下發(fā)需使用動態(tài)化的密碼方式，通過賬號的管理體系在賬號形成之后，利用手機隨機進行密碼的下發(fā)，以防選用初始密碼等統(tǒng)一固定的方式，確保下發(fā)密碼階段的安全性。以往賬號登陸的認證形式與手段不足，大部分都在使用系統(tǒng)賬號以及口令登陸的驗證方法，因嚴格密碼制度的缺乏，使得所設置的密碼太過簡單，員工對系統(tǒng)的安全意識弱化，進而對系統(tǒng)的安全性產(chǎn)生不利的影響，導致賬號被惡意盜用，密碼被人更改等安全方面的問題，通過對密碼使用有效期、密碼長度、新密碼出現(xiàn)在系統(tǒng)中的次數(shù)以及時間具有確切的規(guī)范，進而讓密碼切實成為真正地密碼，促使密碼在工作人員安全意識方面位置的有效提升。并對動態(tài)化密碼進行廣泛地運用，在系統(tǒng)中一些比較重要的模塊當中，使用動態(tài)化密碼鑒權(quán)，通過賬號登記使用者信息當中的手機密碼下發(fā)動態(tài)密碼，以此對使用特殊權(quán)限進行合理地控制，確保特殊權(quán)限可以正確運用。特殊賬號使用的智能卡、數(shù)字認證方式及生物特征都需進行鑒權(quán)，這樣才能保證驗證身份的真實有效性。

通信運營商運維4A管控中的認證管理包含認證賬號的身份，也就是通過4A集中管理體系對用戶的登錄進行認證；及從賬號的認證，即用戶在訪問被管理資源時進行認證。用戶在訪問被管理的相關資源之前，需先通過對主賬號進行認證。然后按照主賬號的授權(quán)管理，獲得被管理資源訪問的相關權(quán)限，用戶在訪問對被管理資源的流程中，利用4A集中管理系統(tǒng)統(tǒng)一認證服務器提供的認證方法與措施，以此識別用戶的身份是否合法。認證需采用模塊化的設計方法，支持靜態(tài)密碼的認證、強化及動態(tài)化的認證、靜態(tài)化的動態(tài)組合認證、以及重復認證等靈活性認證方法。

（三）授權(quán)管理分析

集中授權(quán)管理，具體是指在一個點，集中合理配置用戶運用的信息系統(tǒng)集體職員的狀況，實現(xiàn)對不同用戶訪問不同部分資源的有效控制。具體而言，即集中對各個用戶可以以任意方式訪問資源實現(xiàn)有效地管理。集中式授權(quán)管理包含全險分配與訪問授權(quán)兩個階段。權(quán)限分配階段指的是建設用戶賬號中為賬號賜予的相應權(quán)限，包括可以訪問系統(tǒng)與資源的方式。這屬于靜態(tài)授權(quán)流程。訪問授權(quán)階段通常又稱訪問控制，此階段屬于在用戶發(fā)出訪問具體以資源需求是，依據(jù)全階段的分配結(jié)果，決策用戶有無權(quán)利依據(jù)請求方法，訪問請求的資源。該階段屬于動態(tài)階段。利用4A體系授權(quán)的運行與維護操作、授權(quán)資源的訪問、授權(quán)系統(tǒng)性能等對訪問資源的權(quán)限進行合理的控制。利用Excel模板或人工操作，錄入授權(quán)內(nèi)容錄入，并將授權(quán)關系進行批量導入。

（四）審計管理分析

通信運營商運維4A管控中的審計管理主要利用SNMP、Syslog、（FTP/SFTP）文件、（ODBC/ JDBC）數(shù)據(jù)庫等諸多方法對賬號登錄、授權(quán)、認證、應急轉(zhuǎn)換等相關操作進行日常化管理，系統(tǒng)數(shù)據(jù)運營狀況，收集和儲存保存被管理資源訪問、登錄、操作等信息。通過屏幕錄像功能對實時采錄用戶的運維操作行為界面的有關數(shù)據(jù)。通過對相關數(shù)據(jù)數(shù)據(jù)信息與日志的采集，訪問敏感數(shù)據(jù)、重點操作的實施及結(jié)果進行詳細的記載，針對操作業(yè)務的行為、系統(tǒng)操作行為、4A數(shù)據(jù)運行狀況、4A主動管理操作行為加強記錄，提供可用作的職責追蹤證據(jù)及審計管理的支撐方法。

（五）防繞行管理分析

通信運營商運維4A管控中的防繞行管理主要需利用加強安全審計的管理禁止運行于維護員工繞過4A管控平臺，以此達到對4A管控平臺的集中使用標準。進行防繞行管理4A管控平臺，可用收集的流量、分析、阻斷等功能相關的防繞行設備，輔助并幫助運維人員在4A管控平臺上進行統(tǒng)一登錄執(zhí)行日常運維管理的一系列操作；可通過在防火墻或網(wǎng)絡設施設置訪問控制對策；還可通過采集系統(tǒng)日志，對日志進行分析，如若發(fā)現(xiàn)存在繞行行為必須立即報警。

三、通信運營商網(wǎng)絡系統(tǒng)接入4A平臺措施

通信行業(yè)的運營商已具備網(wǎng)絡系統(tǒng)銜接4A平臺的相關措施，具體可分為以下四種：第一：基本不需要改造，需進行銜接的網(wǎng)絡系統(tǒng)已處在4A系統(tǒng)承載網(wǎng)絡中。此種系統(tǒng)只要和4A承載網(wǎng)絡之間調(diào)節(jié)防火墻訪問控制策略，達成對4A系統(tǒng)到被管理資源的管理網(wǎng)絡端口開放；第二：改造網(wǎng)絡系統(tǒng)。此種網(wǎng)絡系統(tǒng)中的網(wǎng)關網(wǎng)與4A系統(tǒng)承載網(wǎng)間不是相同的一張網(wǎng)絡，需改造其網(wǎng)管體系確保其在4A承載網(wǎng)中實現(xiàn)有效地接入，進而保障網(wǎng)絡的互通；第三：綜合出口銜接4A系統(tǒng)方法。通信企業(yè)中已有網(wǎng)絡體系因歸屬單位、業(yè)務種類等因素的出現(xiàn)應用專網(wǎng)承載情況。專網(wǎng)隸屬單獨的網(wǎng)絡，所使用的則是私有網(wǎng)絡地址。承載在專網(wǎng)體系也需在專網(wǎng)與4A承載網(wǎng)的綜合出口位置裝置銜接制度和管控策略，進而和4A系統(tǒng)進行合理銜接；第四：專線銜接4A系統(tǒng)方法。此種一般屬于給運營商早期建立的網(wǎng)絡體系，網(wǎng)元眾多，網(wǎng)絡也很復雜，無網(wǎng)絡體系或網(wǎng)管體系無法全面覆蓋所有的網(wǎng)元。

四、結(jié)語

總而言之，在通信運營商中引進4A管控系統(tǒng)，對于網(wǎng)絡運行操作進行規(guī)范化管控，針對那些比較敏感的信息和要點數(shù)據(jù)進行綜合管理和轉(zhuǎn)換管控，切實做到發(fā)生問題可以明確定位和追溯，從而為網(wǎng)絡的安全性及信息泄露方面問題的降低提供最大化保障。

作者單位：上海市信產(chǎn)通信服務有限公司