阜陽供電公司信息廣域網(wǎng)安全防護管理系統(tǒng)

王建玲

(安徽阜陽供電公司，安徽 阜陽236000)

隨著20世紀末計算機網(wǎng)絡的迅速普及，各種類型的計算機網(wǎng)絡構成了經(jīng)濟全球化運行的基礎，因此需要有大量的網(wǎng)絡管理員來進行管理，使這一信息資源的基礎性設施物盡其用［1］.在阜陽供電公司信息廣域網(wǎng)日常管理過程中，時常遇到某個業(yè)務應用異常、網(wǎng)絡性能下降、缺乏應急策略等問題，尤其是在供電企業(yè)網(wǎng)絡中包含的設備越來越多，需要部署綜合在線監(jiān)測、直流在線監(jiān)測、視頻監(jiān)控、油色譜等多種設施.在這類網(wǎng)絡上部署新型應用時，需要在每臺網(wǎng)絡設備上修改配置，其網(wǎng)絡日常維護與管理的工作量和難度都很大.因此，供電企業(yè)信息管理部門迫切需要更快速、便捷的廣域網(wǎng)管理方案.

當前的網(wǎng)絡已經(jīng)發(fā)展成為“以應用為中心”的信息基礎平臺，網(wǎng)絡管理的要求已上升到業(yè)務層次，傳統(tǒng)的網(wǎng)絡管理方法已不能有效支持網(wǎng)絡管理需求的發(fā)展.因此供電企業(yè)迫切需要高效的網(wǎng)絡管理方案，能夠滿足“以應用為中心”的智能網(wǎng)絡運營維護要求，并形成一套智能化的管理系統(tǒng)，以減輕網(wǎng)絡管理人員的工作量.

1 廣域網(wǎng)安全防護管理體系的設計

阜陽供電公司信息廣域網(wǎng)安全防護管理體系主要包括市供電公司信息網(wǎng)、老局營銷樓信息網(wǎng)、南郊生產(chǎn)基地信息網(wǎng)、縣供電公司信息網(wǎng)、變電所信息網(wǎng)、集控站信息網(wǎng)等.針對目前阜陽供電公司廣域網(wǎng)的現(xiàn)有情況進行分類，可分為辦公信息系統(tǒng)、采集系統(tǒng)、監(jiān)控系統(tǒng)、管理控制信息系統(tǒng)，以及在線檢測系統(tǒng)等.

網(wǎng)絡管理就是指監(jiān)督、組織和控制網(wǎng)絡通信服務及處理信息等活動的總稱［2］.我們制定的廣域網(wǎng)安全防護管理體系中，其組織架構分為日常維護人員、網(wǎng)絡管理小組、技術專家小組.而建立的工作流程主要是明確廣域網(wǎng)中各項業(yè)務運行的常規(guī)流量，并進行監(jiān)控.當流量出現(xiàn)異常時，監(jiān)控模塊會報警，并根據(jù)應急預案進行處理.

1.1 入網(wǎng)安全控制模塊流程

廣域網(wǎng)安全防護管理體系中入網(wǎng)安全控制模塊的主要功能是確認業(yè)務的合法性、業(yè)務的網(wǎng)絡狀態(tài)需求及相關負責人.其具體的控制流程如圖1所示.

廣域網(wǎng)安全防護管理體系中的“入網(wǎng)安全控制”，用以建立入網(wǎng)審核制度，以達到明確入網(wǎng)設備及其功能，并明確訪問范圍的目的，為建立防護措施和判斷廣域網(wǎng)異常行為提供依據(jù).

圖1 廣域網(wǎng)入網(wǎng)安全控制流程

1.2 監(jiān)控模塊流程

廣域網(wǎng)安全防護管理體系中的監(jiān)控模塊全部由信息維護人員完成，主要是監(jiān)控網(wǎng)絡設備、物理鏈路，以及業(yè)務服務是否正常，其監(jiān)控內(nèi)容流程如圖2所示.

圖2 廣域網(wǎng)安全防護管理體系監(jiān)控模塊流程

廣域網(wǎng)安全防護管理體系中的“監(jiān)控模塊”是使用技術手段實現(xiàn)廣域網(wǎng)中設備資源及物理通道資源的控制，防止由于某一業(yè)務異常而導致廣域網(wǎng)整體資源耗盡、鏈路擁塞.

1.3 應急處理模塊流程

當廣域網(wǎng)通訊出現(xiàn)異常時，一個完善的應急預案至關重要.廣域網(wǎng)安全防護管理體系中應急處理模塊是為了保證系統(tǒng)監(jiān)控告警后能及時進行應急處理而設置的，該模塊能夠根據(jù)設定的具體指標進行嚴格操作.

廣域網(wǎng)安全防護管理體系中的“應急處理模塊”是建立一套日常維護班組，對正常運行中的廣域網(wǎng)設備進行實時監(jiān)控，若發(fā)生報警，則立刻進行相關查詢，特大問題上報信息中心網(wǎng)絡運營維護負責人，并進行應急預案處理，盡快恢復網(wǎng)絡的正常運行.

廣域網(wǎng)安全防護應急處理的具體流程見圖3.

圖3 廣域網(wǎng)安全防護應急處理流程

2 廣域網(wǎng)安全防護管理體系的實施

在建立阜陽供電公司廣域網(wǎng)安全防護管理體系的過程中，共分為入網(wǎng)安全控制、監(jiān)控、應急處理3個部分.

2.1 入網(wǎng)安全控制階段的實施

在廣域網(wǎng)安全防護管理體系的入網(wǎng)安全控制階段中，重點是放在確認各類業(yè)務的狀態(tài)上，需要確認的步驟如下.

(1)確認業(yè)務是否能夠使用廣域網(wǎng) 若該業(yè)務部(室)的信息業(yè)務必須要使用到廣域網(wǎng)絡時，由該部(室)專員負責填寫業(yè)務入網(wǎng)申請，得到該部門領導確認后提交給信息中心網(wǎng)絡負責人確認歸檔，以完成入網(wǎng)申請步驟(即生成入網(wǎng)申請表，并歸檔);

(2)確認業(yè)務終端的需求信息 業(yè)務申請通過后，需要業(yè)務專員填寫業(yè)務的需求信息，如是否需要獨立網(wǎng)絡環(huán)境、是否需要與信息網(wǎng)服務器通訊、所需要的最小帶寬、Server與Client的服務端口等.網(wǎng)絡負責人負責確認廣域網(wǎng)是否能夠滿足其業(yè)務需求，完成入網(wǎng)業(yè)務需求調(diào)查步驟(生成入網(wǎng)需求表，并歸檔);

(3)確認業(yè)務的責任負責人 在完成業(yè)務入網(wǎng)需求調(diào)查后，需要確認業(yè)務部門中該業(yè)務的負責人員，并記錄其姓名和分機號碼.確立負責人員主要是為了在業(yè)務通訊網(wǎng)絡發(fā)生故障或者業(yè)務需要遷移的時候能夠迅速找到負責人組成的技術專家小組，分析和測試業(yè)務恢復后的運行結果(信息運營維護應急聯(lián)系方式).

通過以上手段，保證了進入廣域網(wǎng)的業(yè)務必須是網(wǎng)絡管理員所了解的業(yè)務，以杜絕非法業(yè)務的出現(xiàn).

2.2 監(jiān)控階段的實施

在了解所需要實施的廣域網(wǎng)安全控制后，進入監(jiān)控階段.該階段主要由信息中心的網(wǎng)絡管理負責人完成.

(1)設置網(wǎng)絡設備上的基本防護體系 包括新建VPN和業(yè)務分派，制定QOS保障的最低帶寬，在廣域網(wǎng)控制防火墻上設定該業(yè)務的訪問范圍及訪問服務端口，這些配置均需要進行設備保存和文檔保存;

(2)設置設備告警 主要通過網(wǎng)絡監(jiān)控軟件如Beta得以實施.監(jiān)控內(nèi)容包括實施后的設備運行狀態(tài)是否超標、鏈路利用率是否超標，以及在廣域網(wǎng)出口處監(jiān)控該業(yè)務實時流量、監(jiān)控服務器或終端的服務端口運行是否正常.需要進行設備保存和圖像保存，另外，需要將監(jiān)控拓撲以文檔形式進行保存;

(3)制定應急策略 網(wǎng)絡管理員應盡可能為重要的業(yè)務提供動態(tài)冗余或設備、鏈路的應急策略，確保在業(yè)務通訊發(fā)生故障時能夠順利啟動應急預案［3］.

網(wǎng)絡安全防護主要為實現(xiàn)兩個目的:一是制定一個正常流量作為參考;二是在廣域網(wǎng)絡通訊異常時可有一個最低帶寬利用率進行保障.

2.3 應急處理階段的實施

廣域網(wǎng)安全防護管理體系的監(jiān)控要求實時執(zhí)行，依據(jù)網(wǎng)絡監(jiān)控設備將故障分為3類，并由相關專業(yè)人員進行處理.

(1)運行維護人員的職責 24 h監(jiān)控網(wǎng)絡，若發(fā)生單點故障，如斷電、通訊鏈路中斷、用戶更改IP地址等，則需確認現(xiàn)場設備環(huán)境;若發(fā)生規(guī)模性斷網(wǎng)、服務中斷或10 min內(nèi)無法確認故障等情況，需及時通告信息中心網(wǎng)絡管理負責人進行處理;

(2)網(wǎng)絡管理負責人的職責 接到通訊故障通告后，判斷網(wǎng)絡故障原因并進行處理，包括更換冗余設備，以及啟用冗余通道或修改防火墻安全策略、啟動應急預案等.若無法解決故障需及時組織技術專家小組，上報省公司，并編寫事故處理報告并記錄到相關文檔中;

(3)技術專家小組的職責 針對具體問題進行處理、測試、恢復廣域網(wǎng)業(yè)務.

2.4 廣域網(wǎng)管理崗位的職責

廣域網(wǎng)管理崗位的職責主要是提供充足的人力資源以確保流程的正常執(zhí)行(即組織機構、崗位設置及要求等情況).

(1)運行維護人員的崗位職責 熟練掌握計算機應用的軟硬件基礎知識，具備一定的計算機故障處理經(jīng)驗;掌握計算機網(wǎng)絡知識，初步了解廣域網(wǎng)的結構及各網(wǎng)點分布情況，熟悉設備名稱及用途;大致了解Windows操作系統(tǒng)及數(shù)據(jù)庫管理系統(tǒng)，理解電子郵件、數(shù)據(jù)備份、系統(tǒng)效率、文件復制、IIS等概念;熟悉各種設備的正常使用狀況，能及時將故障反映給相應系統(tǒng)負責人［4］.

(2)網(wǎng)絡管理負責人的崗位職責 熟練掌握計算機網(wǎng)絡的基礎知識，了解阜陽供電公司整體網(wǎng)絡架構;熟練使用如交換機、防火墻、路由器等計算機網(wǎng)絡設備，熟悉鏈路通訊條件，了解路由，MPLS，TCP/IP，Vlan 等各類技術協(xié)議;了解各業(yè)務的運行環(huán)境和業(yè)務需求及業(yè)務的重要等級，并有能力判斷故障點;熟練掌握應急預案的使用及執(zhí)行步驟，并能夠果斷地執(zhí)行應急預案，判斷業(yè)務中斷的損失及影響.

(3)業(yè)務負責人的崗位職責 了解業(yè)務的運行流程，能夠對業(yè)務運行進行測試，確保各項業(yè)務工作正常;熟悉業(yè)務系統(tǒng)的架構，正確判斷業(yè)務系統(tǒng)的故障產(chǎn)生位置;明確業(yè)務的影響范圍，在使用應急預案或業(yè)務恢復運行后可通知相關部門.

(4)技術專家小組的崗位職責 技術能力要求全面覆蓋廣域網(wǎng)領域，技術專家小組由網(wǎng)絡底層通訊技術支持專家和部門業(yè)務負責人、信息中心專家等組成.其人員應具備供電公司信息網(wǎng)絡運行維護的多年經(jīng)驗，實施可信度高，能夠快速確定網(wǎng)絡通訊故障的關鍵點，提出恢復建議;具備相關技術中級以上的能力水平，能夠對現(xiàn)場問題提供有效的解決方案，并具備執(zhí)行能力;保證流程正常運行的專業(yè)管理績效考核與控制.

2.5 廣域網(wǎng)管理人員的考核內(nèi)容

廣域網(wǎng)管理人員的考核包括對運行維護人員、網(wǎng)絡管理負責人、技術專家小組人員的考核.

(1)運維人員的考核 考核“24小時監(jiān)控運行維護表”，該表體現(xiàn)網(wǎng)絡運行狀態(tài)是否正常，運行率是否達標.在交接班時確認填寫，考核運行維護人員是否能夠及時發(fā)現(xiàn)問題，若發(fā)生1次運行故障則進行警告，2次以上除名.對“24小時監(jiān)控運行維護表”的“備注”欄，網(wǎng)絡發(fā)生故障后應及時在該欄中填寫原因，并移交相關責任人簽名.

(2)網(wǎng)絡管理負責人的考核 “業(yè)務入網(wǎng)需求表”的考核，廣域網(wǎng)每項業(yè)務必須有相關的需求表進行歸檔，主要是保證網(wǎng)絡中不存在不明確業(yè)務，若發(fā)生業(yè)務不明確，則必須例行調(diào)查，并進行記過處分，若未知業(yè)務對廣域網(wǎng)絡進行網(wǎng)絡攻擊，則上升到在部門會議上進行批評(邀請公司領導參加).“應急預案”的考核，網(wǎng)絡在正常情況下，必須將每個業(yè)務的應急預案進行歸檔.網(wǎng)絡發(fā)生異常情況，也能在設備故障時迅速查找出應急預案;未有應急預案則給予記過處分.

(3)技術專家小組的考核 要求技術能力過硬，技術范圍能夠覆蓋廣域網(wǎng)絡的各個方面.若缺少相關技術專家，則由網(wǎng)絡管理負責人負責尋找該領域平臺的技術人員，以確保在網(wǎng)絡故障發(fā)生時，能夠解決問題.

2.6 廣域網(wǎng)安全防護管理體系的實施目標

廣域網(wǎng)安全防護管理體系建立的主要宗旨是保障廣域網(wǎng)的實時正常運行，并保證故障快速反應、快速解決.

2.6.1 廣域網(wǎng)設備保護的設置指標

(1)MPLS VPN個數(shù)根據(jù)現(xiàn)有業(yè)務劃分為縣公司信息網(wǎng)、變電所信息網(wǎng)、視頻監(jiān)控網(wǎng)、采集專網(wǎng)、縣公司外網(wǎng)、變電所外網(wǎng)等;

(2)流量控制保證每個關鍵業(yè)務獨立占用10%～30%的基本帶寬;

(3)必須保證日常應用中，將CPU的利用率控制在50%以內(nèi)，內(nèi)存利用率控制在50%以下.2.6.2 廣域網(wǎng)故障處理要求

(1)廣域網(wǎng)異常故障必須在8 min內(nèi)反映到監(jiān)控系統(tǒng)上;

(2)運行維護人員24 h對廣域網(wǎng)監(jiān)控系統(tǒng)進行監(jiān)控;

(3)運行維護人員在15 min內(nèi)查明異常情況，并及時上報至網(wǎng)絡負責專工;

(4)網(wǎng)絡專工1 h內(nèi)抵達現(xiàn)場或遠程安排技術人員實施應急方案;

(5)2 h內(nèi)故障問題仍然發(fā)生，需上報運行維護專家，并上報省公司.

3 結語

隨著供電企業(yè)信息化程度越來越高，廣域網(wǎng)承載的業(yè)務應用日漸增多，其安全防護管理體系將更加多樣化、復雜化.因此供電企業(yè)在吸取廣域網(wǎng)管理理論精華的同時，更應該結合企業(yè)自身特點，有選擇、有步驟地將最新成果應用到實際項目中去，這樣才能不斷提高項目管理的效率.

［1］O’Reiuy公司.廣域網(wǎng)絡［M］.陳明，譯.北京:中國電力出版社，2000:67-68.

［2］崔海濤，王童童，賀靖民.IP網(wǎng)絡管理系統(tǒng)功能需求分析和描述［J/OL］.［2007-02-12］http://wenku.baidu.com/view/39e0b33143 323968011c9213.html.

［3］BAIDU文庫網(wǎng).北塔BTNM技術白皮書3.6.3.［EB/OL］.［2011-12-02］http://wenku.baidu.com/view/ec99a60d4a7302768e99396b.html.

［4］曾明，李建軍.網(wǎng)絡工程與網(wǎng)絡管理［M］.北京:電子工業(yè)出版社，2003:734-736.