向新宇

通信運(yùn)營(yíng)商運(yùn)維管理指的就是企業(yè)在經(jīng)營(yíng)生產(chǎn)中項(xiàng)目的成本核算、運(yùn)維分析、管理決策、控制方案等科學(xué)性管理統(tǒng)稱，其主要目標(biāo)在于對(duì)企業(yè)經(jīng)營(yíng)生產(chǎn)各項(xiàng)環(huán)節(jié)中的相關(guān)市場(chǎng)進(jìn)行和力學(xué)部署與管理，確保生產(chǎn)環(huán)節(jié)的最小化消耗和最大化生產(chǎn)成果的雙向成效。基于我國(guó)通信行業(yè)大范圍改革重組中，通信運(yùn)營(yíng)商經(jīng)過(guò)分合改制，將融資合并企業(yè)最終形成如今具備一定運(yùn)營(yíng)特征 與規(guī)模的新型通信市場(chǎng)秩序。同時(shí)，為了謀奪運(yùn)營(yíng)市場(chǎng)的有限份額，各個(gè)通信運(yùn)營(yíng)商將生產(chǎn)重點(diǎn)置于運(yùn)維管理方面，企圖以價(jià)格方面的優(yōu)勢(shì)占有市場(chǎng)的份額。通信運(yùn)營(yíng)商的運(yùn)維管理在成本管理中占據(jù)較高的比例，所以，深入研究與探討通信運(yùn)營(yíng)商運(yùn)維管理已是企業(yè)贏取市場(chǎng)的關(guān)鍵。

一、網(wǎng)絡(luò)以及管理信息的安全要求

雖說(shuō)通信企業(yè)的運(yùn)營(yíng)商具備了很多類相關(guān)的安全設(shè)施，但不具備集中式管理體系及其對(duì)全網(wǎng)完全統(tǒng)籌性的管控方法；針對(duì)安全方面危害發(fā)生事故的監(jiān)控力度不夠以及困難的排查力度不足等諸多問(wèn)題。

工信部明確指出將賬號(hào)、認(rèn)證、授權(quán)、審計(jì)4A管理控制平臺(tái)列入2015年基礎(chǔ)的電信運(yùn)營(yíng)商，網(wǎng)絡(luò)與信息的安全性責(zé)任考核機(jī)制。

二、通信運(yùn)營(yíng)商運(yùn)維4A管控措施

通信運(yùn)營(yíng)商運(yùn)維4A管控措施包括賬號(hào)管理、認(rèn)證管理、授權(quán)管理、安全審計(jì)等確保信息安全性的四大基礎(chǔ)要素。

（一）賬號(hào)管理分析

通信運(yùn)營(yíng)商運(yùn)維4A管控中的賬號(hào)管理主要包括兩個(gè)賬號(hào)，即主賬號(hào)與從賬號(hào)，及其與賬號(hào)有關(guān)的可以在4A體系中的集中式管理賬號(hào)屬性，4A系統(tǒng)中唯一標(biāo)識(shí)自然人ID的就是主賬號(hào)，其范圍涵蓋企業(yè)內(nèi)部的員工賬號(hào)以及外圍員工的賬號(hào)。從賬號(hào)隸屬可獲得訪問(wèn)資源權(quán)限的賬號(hào)。資源涵蓋應(yīng)用型與系統(tǒng)型兩類。利用4A系統(tǒng)監(jiān)理或?qū)胫髻~號(hào)之中，制定并維護(hù)主賬號(hào)與從賬號(hào)間的對(duì)應(yīng)關(guān)聯(lián)，編輯主賬號(hào)和從賬號(hào)的的訪問(wèn)資源登錄控制策略、密碼、及管理主賬號(hào)和從賬號(hào)使用周期策略等。

（二）認(rèn)證管理分析

新賬號(hào)的注冊(cè)密碼下發(fā)需使用動(dòng)態(tài)化的密碼方式，通過(guò)賬號(hào)的管理體系在賬號(hào)形成之后，利用手機(jī)隨機(jī)進(jìn)行密碼的下發(fā)，以防選用初始密碼等統(tǒng)一固定的方式，確保下發(fā)密碼階段的安全性。以往賬號(hào)登陸的認(rèn)證形式與手段不足，大部分都在使用系統(tǒng)賬號(hào)以及口令登陸的驗(yàn)證方法，因嚴(yán)格密碼制度的缺乏，使得所設(shè)置的密碼太過(guò)簡(jiǎn)單，員工對(duì)系統(tǒng)的安全意識(shí)弱化，進(jìn)而對(duì)系統(tǒng)的安全性產(chǎn)生不利的影響，導(dǎo)致賬號(hào)被惡意盜用，密碼被人更改等安全方面的問(wèn)題，通過(guò)對(duì)密碼使用有效期、密碼長(zhǎng)度、新密碼出現(xiàn)在系統(tǒng)中的次數(shù)以及時(shí)間具有確切的規(guī)范，進(jìn)而讓密碼切實(shí)成為真正地密碼，促使密碼在工作人員安全意識(shí)方面位置的有效提升。并對(duì)動(dòng)態(tài)化密碼進(jìn)行廣泛地運(yùn)用，在系統(tǒng)中一些比較重要的模塊當(dāng)中，使用動(dòng)態(tài)化密碼鑒權(quán)，通過(guò)賬號(hào)登記使用者信息當(dāng)中的手機(jī)密碼下發(fā)動(dòng)態(tài)密碼，以此對(duì)使用特殊權(quán)限進(jìn)行合理地控制，確保特殊權(quán)限可以正確運(yùn)用。特殊賬號(hào)使用的智能卡、數(shù)字認(rèn)證方式及生物特征都需進(jìn)行鑒權(quán)，這樣才能保證驗(yàn)證身份的真實(shí)有效性。

通信運(yùn)營(yíng)商運(yùn)維4A管控中的認(rèn)證管理包含認(rèn)證賬號(hào)的身份，也就是通過(guò)4A集中管理體系對(duì)用戶的登錄進(jìn)行認(rèn)證；及從賬號(hào)的認(rèn)證，即用戶在訪問(wèn)被管理資源時(shí)進(jìn)行認(rèn)證。用戶在訪問(wèn)被管理的相關(guān)資源之前，需先通過(guò)對(duì)主賬號(hào)進(jìn)行認(rèn)證。然后按照主賬號(hào)的授權(quán)管理，獲得被管理資源訪問(wèn)的相關(guān)權(quán)限，用戶在訪問(wèn)對(duì)被管理資源的流程中，利用4A集中管理系統(tǒng)統(tǒng)一認(rèn)證服務(wù)器提供的認(rèn)證方法與措施，以此識(shí)別用戶的身份是否合法。認(rèn)證需采用模塊化的設(shè)計(jì)方法，支持靜態(tài)密碼的認(rèn)證、強(qiáng)化及動(dòng)態(tài)化的認(rèn)證、靜態(tài)化的動(dòng)態(tài)組合認(rèn)證、以及重復(fù)認(rèn)證等靈活性認(rèn)證方法。

（三）授權(quán)管理分析

集中授權(quán)管理，具體是指在一個(gè)點(diǎn)，集中合理配置用戶運(yùn)用的信息系統(tǒng)集體職員的狀況，實(shí)現(xiàn)對(duì)不同用戶訪問(wèn)不同部分資源的有效控制。具體而言，即集中對(duì)各個(gè)用戶可以以任意方式訪問(wèn)資源實(shí)現(xiàn)有效地管理。集中式授權(quán)管理包含全險(xiǎn)分配與訪問(wèn)授權(quán)兩個(gè)階段。權(quán)限分配階段指的是建設(shè)用戶賬號(hào)中為賬號(hào)賜予的相應(yīng)權(quán)限，包括可以訪問(wèn)系統(tǒng)與資源的方式。這屬于靜態(tài)授權(quán)流程。訪問(wèn)授權(quán)階段通常又稱訪問(wèn)控制，此階段屬于在用戶發(fā)出訪問(wèn)具體以資源需求是，依據(jù)全階段的分配結(jié)果，決策用戶有無(wú)權(quán)利依據(jù)請(qǐng)求方法，訪問(wèn)請(qǐng)求的資源。該階段屬于動(dòng)態(tài)階段。利用4A體系授權(quán)的運(yùn)行與維護(hù)操作、授權(quán)資源的訪問(wèn)、授權(quán)系統(tǒng)性能等對(duì)訪問(wèn)資源的權(quán)限進(jìn)行合理的控制。利用Excel模板或人工操作，錄入授權(quán)內(nèi)容錄入，并將授權(quán)關(guān)系進(jìn)行批量導(dǎo)入。

（四）審計(jì)管理分析

通信運(yùn)營(yíng)商運(yùn)維4A管控中的審計(jì)管理主要利用SNMP、Syslog、（FTP/SFTP）文件、（ODBC/ JDBC）數(shù)據(jù)庫(kù)等諸多方法對(duì)賬號(hào)登錄、授權(quán)、認(rèn)證、應(yīng)急轉(zhuǎn)換等相關(guān)操作進(jìn)行日常化管理，系統(tǒng)數(shù)據(jù)運(yùn)營(yíng)狀況，收集和儲(chǔ)存保存被管理資源訪問(wèn)、登錄、操作等信息。通過(guò)屏幕錄像功能對(duì)實(shí)時(shí)采錄用戶的運(yùn)維操作行為界面的有關(guān)數(shù)據(jù)。通過(guò)對(duì)相關(guān)數(shù)據(jù)數(shù)據(jù)信息與日志的采集，訪問(wèn)敏感數(shù)據(jù)、重點(diǎn)操作的實(shí)施及結(jié)果進(jìn)行詳細(xì)的記載，針對(duì)操作業(yè)務(wù)的行為、系統(tǒng)操作行為、4A數(shù)據(jù)運(yùn)行狀況、4A主動(dòng)管理操作行為加強(qiáng)記錄，提供可用作的職責(zé)追蹤證據(jù)及審計(jì)管理的支撐方法。

（五）防繞行管理分析

通信運(yùn)營(yíng)商運(yùn)維4A管控中的防繞行管理主要需利用加強(qiáng)安全審計(jì)的管理禁止運(yùn)行于維護(hù)員工繞過(guò)4A管控平臺(tái)，以此達(dá)到對(duì)4A管控平臺(tái)的集中使用標(biāo)準(zhǔn)。進(jìn)行防繞行管理4A管控平臺(tái)，可用收集的流量、分析、阻斷等功能相關(guān)的防繞行設(shè)備，輔助并幫助運(yùn)維人員在4A管控平臺(tái)上進(jìn)行統(tǒng)一登錄執(zhí)行日常運(yùn)維管理的一系列操作；可通過(guò)在防火墻或網(wǎng)絡(luò)設(shè)施設(shè)置訪問(wèn)控制對(duì)策；還可通過(guò)采集系統(tǒng)日志，對(duì)日志進(jìn)行分析，如若發(fā)現(xiàn)存在繞行行為必須立即報(bào)警。

三、通信運(yùn)營(yíng)商網(wǎng)絡(luò)系統(tǒng)接入4A平臺(tái)措施

通信行業(yè)的運(yùn)營(yíng)商已具備網(wǎng)絡(luò)系統(tǒng)銜接4A平臺(tái)的相關(guān)措施，具體可分為以下四種：第一：基本不需要改造，需進(jìn)行銜接的網(wǎng)絡(luò)系統(tǒng)已處在4A系統(tǒng)承載網(wǎng)絡(luò)中。此種系統(tǒng)只要和4A承載網(wǎng)絡(luò)之間調(diào)節(jié)防火墻訪問(wèn)控制策略，達(dá)成對(duì)4A系統(tǒng)到被管理資源的管理網(wǎng)絡(luò)端口開(kāi)放；第二：改造網(wǎng)絡(luò)系統(tǒng)。此種網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)關(guān)網(wǎng)與4A系統(tǒng)承載網(wǎng)間不是相同的一張網(wǎng)絡(luò)，需改造其網(wǎng)管體系確保其在4A承載網(wǎng)中實(shí)現(xiàn)有效地接入，進(jìn)而保障網(wǎng)絡(luò)的互通；第三：綜合出口銜接4A系統(tǒng)方法。通信企業(yè)中已有網(wǎng)絡(luò)體系因歸屬單位、業(yè)務(wù)種類等因素的出現(xiàn)應(yīng)用專網(wǎng)承載情況。專網(wǎng)隸屬單獨(dú)的網(wǎng)絡(luò)，所使用的則是私有網(wǎng)絡(luò)地址。承載在專網(wǎng)體系也需在專網(wǎng)與4A承載網(wǎng)的綜合出口位置裝置銜接制度和管控策略，進(jìn)而和4A系統(tǒng)進(jìn)行合理銜接；第四：專線銜接4A系統(tǒng)方法。此種一般屬于給運(yùn)營(yíng)商早期建立的網(wǎng)絡(luò)體系，網(wǎng)元眾多，網(wǎng)絡(luò)也很復(fù)雜，無(wú)網(wǎng)絡(luò)體系或網(wǎng)管體系無(wú)法全面覆蓋所有的網(wǎng)元。

四、結(jié)語(yǔ)

總而言之，在通信運(yùn)營(yíng)商中引進(jìn)4A管控系統(tǒng)，對(duì)于網(wǎng)絡(luò)運(yùn)行操作進(jìn)行規(guī)范化管控，針對(duì)那些比較敏感的信息和要點(diǎn)數(shù)據(jù)進(jìn)行綜合管理和轉(zhuǎn)換管控，切實(shí)做到發(fā)生問(wèn)題可以明確定位和追溯，從而為網(wǎng)絡(luò)的安全性及信息泄露方面問(wèn)題的降低提供最大化保障。

作者單位：上海市信產(chǎn)通信服務(wù)有限公司