[孙亚红 练皓琳 肖洪 杨江枫]
随着互联网的迅猛发展,运营商从语音业务迅速转向数据业务,大量的互联网数据日益受到运营商及互联网等公司重视,DPI(Deep Packet Inspection,深度报文解析)的部署建设成为运营商构建大数据平台的基石,不仅可制定市场策略进行运营管理,也满足了上级监管部门对于网络与信息安全运营需要。
然而DPI 系统所包含的分光器、分流器及链路等都是不能直接管理的资源,特别是分光器属于哑资源,不能直接管理,主要以人工巡检、纸质记录为主,导致资源经常出现错误,多次发生分光器违规使用不合规事件。目前DPI 技术原理较成熟应用广泛,但由于互联网应用协议众多且不断更新,各厂家实现 DPI 的方法不尽相同,系统架构各异、软硬件实现不一、接口私有、设备规格多样,由此带来了很多不便[1]。出现问题不仅无法第一时间发现,也难以快速查询和分析,给设备维护和用户体验带来很大的影响。以上问题如得不到有效整治,遇到相关故障难以排查、长时间无法定位故障原因,影响网络正常运行,且存在被黑客流量劫持非法获取重要信息从事危害网络信息安全等违法犯罪活动的风险。
针对当前DPI 系统建设使用过程,存在的系统数据及管理台账不一致,现网设备逾龄、资产不清、台账不实、基础数据严重缺失、日常审计不足等问题。文章从智慧化现场管理、动态网络变更管理、智能化合规稽核三个方面展开DPI 系统建设使用梳理,明确操作审计、日常管理要求、台账资料与资源系统双维度管理,实现DPI 系统哑资源账实相符、过程管控。
传统检测技术仅分析IP 包层以下的内容,包括源地址和目的地址、源端口和目的端口以及协议类型,DPI 增加了应用层分析,能识别各种应用及其内容。DPI 系统包括分光器、分析设备/控制设备、后台服务器等功能实体。分光器是一个光学器件通过一次性分光,将网络流量拷贝到检测分析系统。分析设备完成流量采集、业务识别。控制设备接收控制策略,完成控制功能。后台服务器支撑系统管理,流量控制策略下发,系统日志存储等[2]。
根据现有DPI 分光系统管理的范畴,包括宽带网络(CR/MSE/BR/OLT/交换机等)、移动网络(2/3/4/5G 核心网及出口、交换机、IPRAN 承载网等)、IDC 网络(CR/BR/交换机等)、云平台及办公网络等所接入的所有物理分光器(含多级分光、光放)、分光或端口镜像链路、协转分流设备、以及采集了以上分光分流流量的 DPI 或网信安全相关系统。DPI 系统所使用的分光器及分流器示意图如图1 所示。
图1 分光器、分流器、主链路、一级链路示意图
DPI 分光系统业务变更,具体包含如下五种场景:(1)对在网数据链路进行物理分光(含多级分光、光放);(2)在数通设备侧实施端口镜像;(3)占用已有分光设备空闲端口;(4)利用协转分流设备将解析流量直接分发至第三方系统;(5)对在用信令链路实施高阻跨接。
DPI 分光系统的端口分配、调整、占用的资源管理需要动态更新,实现从工程、验收、维护、报废全生命周期的动态管理。分光系统的现场维护,包括现场端口资源数据动态维护管理、端口占用的现场随工、台账动态更新,通过分光系统的智能化现场管理、建立动态变更流程和智能稽核,达到动态变更。
现场管理主要是对路由台账数据与现场数据进行对比,先根据路由台账数据,开展资源数据录入,建立全量设备信息表,核对资源数据录入情况,梳理分光系统资源数据录入规范,统一资源录入到资源系统DPI 数据模块下,并实现现场标签规范化管理,使用掌上资源系统实现分光系统路由信息的智能化现场管理。DPI 分光系统实现智能化现场管理如图2 所示。
图2 分光系统智能化现场管理示意图
(1)分光链路数据准确性
通过对分光链路进行全面清查,核查每一条分光链路的主链路信息,每一条分光链路从分光器到分流器中间经过所有的跳点信息,每个跳点间的连接关系等,最终达到全分光链路信息表账实一致。
(2)全量纳入资源系统管理
通过清查、复查等方式补录历史工程遗留问题,统一设备名称,针对历史遗留问题,要求对应的割接部门及故障处理部门按照实际现场的变更情况进行资源管理系统更新,避免影响后续故障重现时,故障处理进展较慢。
(3)路由台账数据与资源数据开展稽核
为了核对路由台账数据与资源录入数据,将资源数据与路由台账数据展开比对,根据不一致的情况开展不同形式的比对,比对的方式包括全量信息匹配、单口匹配、合波器匹配、是否在同一链路中出现等。
(4)资源系统功能优化,实现现场智能化管理
资源系统功能优化后实现数据汇聚,将原来分散在其他模块的数据调整到资源管理系统DPI 模块,同时,完善电路基本信息,将产品信息与割接审批信息关联,实现完整的链路绘制,可根据所属本地网、所属系统、所属机房、所属机架、所属设备等维度完整的绘制一条分光链路经过的所有分光设备、分流设备、ODF 架等信息。系统进一步实现数据分析统计功能,可以实现设备、端口、电路等多维度分析。
(1)网络变更的管理流程
关于网络的日常维护、处理等,建立变更流程,实现动态化管理,明确资源数据纳入日常维护作业、故障处理各环节开展动态更新管理,分光变更纳入到运营商割接流程统一管理,涉及IDC、5G、VOLTE 等专业割接,各级管理部门统一审批、统一验收,并确定了各个岗位环节的职责,职责示意表如表1 所示。
表1 分光割接流程职责示意表
割接系统流程中增加割接专业“分光与镜像”,并且对应相应的分光系统分类“移网DPI”、“固网DPI”、“IDCISP”业务类别,根据业务类别明确分光操作所涉及设备的维护部门,根据分光与镜像的分类到达省级单位审批。
在割接实施之前,割接工程实施方须完成现场割接实施内容的整理,包括割接所涉及的机房、机架、设备、链路信息等。割接实施过程中在割接流程调用资源系统模块,录入设备信息、链路信息,省级总体管控部门完成审核后,才能闭环,实现割接的全生命流程管理。
对DPI 分光系统的操作开展智能审计,采集全网操作日志,按照设备、时间、操作人进行审计,对DPI 系统涉及到的数据进行分析,查看指令为查询服务状态、关闭情况,要求维护人员严格按照配置要求开展配置。
对于镜像的变更开展动态性稽核,实现从资源全量设备数据与专业维护网管间的联动,借助网管手段对设备批量下发稽核指令,自动汇总检查结果,并自动判断,实现检查设备100%全覆盖,实现镜像电路审计流程自动化。
开展分光系统操作审计,实现事后溯源,检查的内容包括日常管理要求、现场与台账资料、台账资料与资源系统双维度的管理。定期根据割接单提供的网络变更情况,提取分公司的分光台账数据、分光资源数据开展核对,及时发现问题,确保现场与台账一致,避免违规使用分光设备的情况。
广东电信在2022 年以来对移动网DPI、固网DPI、IDCISP、互联网专线等开展分光链路信息的清查、整治,修正了链路台账及资源管理系统错误,补录了缺失的设备和链路信息,发现了部分未记录的链路信息,解决了链路存在的安全隐患,通过分光内容的审计工作,协助相关部门对接入监管的系统的风险内容进行审计,防止违规操作。
分光管理中的设备虽然是哑资源,必须结合现有的手段提升管理的方式,资源系统已经在其他系统中得到了很好的应用,将分光系统纳入到资源管理系统,并结合分光系统的特性提出对资源系统的改造需求,进一步扩充资源系统的管理,实现资源系统的全量纳管,并结合资源标签二维码在现场的推广使用,实现哑资源的智慧化管理。