是的,任何人都可以从事电信IT应用支撑工作。电信IT应用支撑主要是支持企业的IT系统,管理其网络系统和数据库,以及协助客户处理技术问题。因此,只要有足够的技术能力和经验,不管是男性还是女性都可以从事电信IT应用支撑工作。
重庆电信企业信息化事业部 傅诣
目前垂直的部门管理模式对“以客户为中心”、“零不爽”要求弊端日益明显。特别是在当前市场需求瞬息万变,需求要求快速支持的背景下,需求无法高质量的实现,首先表现在需求实施的效率与速度上,无法快速支持需求。其次表现在需求实施质量上,需求上线问题较多,带来很多次生问题,需求质量业务单位与分公司都不满意,影响IT口碑。
以客户需求为中心,启用矩阵式需求管理,建设高、精、尖需求界面团队,在企信部设立后方资源池,深入需求一线,让需求一线指挥炮火,实现需求小前端,大后端,前端综合化、后端专业化,后端全力支持前端。
现状:目前企信部采用传统的垂直化组织架构,各域组织界面分明,容易形成部门壁垒,需求由需求前置团队接收,分派到各个域,较为复杂的联合需求由各域分别评估,各域再进行联合确认,再与需求业务单位进行沟通,期间反馈多次,效率较低,特别是在部分需求细节存在问题时,往往需要多次开会共同确认,在实现方案上各部门也往往各执一词,耽误需求实施时间,也影响需求实施质量。
措施:
1采用需求矩阵式管理:针对重要需求,采用项目制管理,由各部门部门负责人、技术专家、实施人员、厂商组建临时需求实施团队,此团队不隶属于任何一个部门,采用承包方式,将需求承包给虚拟团队,每个需求团队负责人拥有可以“呼唤炮火”的权利与“签署责任书”的义务,做到权责对立,平衡(后面会详细说明)。这样就可以整合事业部各部门的专家优势,打通部门壁垒,快速实现需求。该方式也就在事业部层面就形成了一个垂直于传统部门的需求实施矩阵,与各域的生产维护形成互补。
2“黄金四边形”:黄金四边型目标是建立贴近需求一线的敏捷化组织,在事业部层面对外形成统一的界面,能灵敏捕捉到公司领导及一线的关键需求,找准需求“痛点、关键点”,迅速调动资源,建立专项团队,灵活快速实现需求,打破部门壁垒,突破原始需求流程的烦冗。团队必须包含“项目经理”、“需求分析团队”、“方案设计实施团队”、“后期维护支撑团队”四个关键团队,形成黄金四边型。
各团队职责如下
(1)项目经理:项目经理是团队的****,是需求的第一责任人,拥有“呼唤炮火”调度资源的权利,同时,也是需求目标达成的第一责任人,签署需求实施承诺责任书,在需求完成后接受事业部对实施情况的考评。厂商负责人也纳入项目经理。
(2)需求分析团队:需求分析人员是与业务单位接触的排头兵,是第一接触人,首要任务是找到需求的“痛点”或“题眼”,其次是需求实施的桥梁,对外,负责引导业务单位按照IT“先上菜”进行推进,引导业务单位采用IT推荐的需求实施方案与分布实施的时间计划;对内,负责将需求与方案设计实施团队沟通,形成需求支撑方案,并与前端沟通。再次,在需求实施全生命周期中对需求变更进行管理。分析团队工作必须量化,每个需求必须要有需求分析说明书,每次需求会议必须要有需求沟通(或评审)会议纪要,每次需求变更需要有需求变更记录。
(3)方案设计实施团队:由各域的专家与执行人员组成,负责需求实施方案的落地,并与需求人员一起对实施方案向业务单位沟通,达成一致,最后由此团队的实施人员完成需求上线(执行人员可能与后面的“后期维护支撑团队”人员重复)。方案实施团队必须输出每个需求的方案,方案由事业部形成统一的模板输出,方案质量纳入管控。此环节是当前需求实施中的短板,很多需求在完成需求分析后,直接丢给厂商实施,实施方案中功能部分内容没有评审,界面部分在实施中也没有DEMO,没有也业务单位沟通,导致质量不被业务单位认可。该点如何提升,建议如下:
首先把需求分为5个层次,要求在方案模板中必须都进行说明,底层为功能需求,仅仅针对功能本身;第二层为服务需求,本层包含业务及流程,提升服务能力的需求;第三层为体验需求,考虑到客户感知的需求,含易用性, *** 作性,感知方面;第四层为关系需求;顶层为成功需求,即满足公司组织成功,有效推动业务发展。我们现在往往注重第一层的功能需求,对其他层次需求不够关注。即使在第一层功能需求中,还存在“简单功能做不好,复杂功能做得好”的情况,原因就是以IT惯性思维技术为导向,没有以客户需求为中心,没有抓住需求“痛点”,将IT功能做得复杂。后续,我们要多放精力到第2至第5个需求层次中,更加注重易用性, *** 作性,快速支撑。
(4)后期维护支撑团队:目前我们往往“重建设,轻维护”,需求上线后,就算完了,监控、作业计划没有跟上,上线后也不能主动发现问题,往往前端发现问题后,已经晚了,造成了较严重的后果。对此,后续维护支撑团队,首要任务是建立需求上线初期的监控保障手段,用数据说话,证明新需求上线后的运营情况,提前于业务单位发现问题,及时处理。其次,对新需求上线后的监控,作业计划进行实施,对新需求上线后出现的问题进行集中解决,为一线提供支撑。
前面说了,我们建立了矩阵式需求管理制度,组建了高、精、尖的需求团队,那么如何进行运作?
1小前方,大后方:需求分析团队直面业务单位,但我们后面有一个强大的支撑保障团队(各域专家、实施人员、战略合作伙伴等),各域整合资源形成整体支撑大平台,提供解决方案,提供技术支持,这样才能让小前方需求分析人员有底气,有引导需求,主导实施的资本。
2一线呼唤炮火:当需求人员或需求预沟通发现重点需求时,一线要迅速做出反应,立即呼唤炮火支撑,后端将根据需求难易程度,配备必要的资源,在实施过程中动态补充人员,必要时采用王牌团队或王牌专家,快速应对需求,落实方案,稳步推进。
实现小前方、大后方,一线呼唤炮火的措施:
(1)呼叫的炮火要集中在一点原则:集中在“痛点”或“需求题眼”上,才能实现“闪电战”。这也是中心领导说的先上关键“菜”。虽然我们呼唤到了火力,但是如果针对整个需求的方方面面,无法显示出火力的局部优势(火力被分散了),这就要求我们的需求项目团队,与业务单位沟通,集中火力先上关键“菜”,这个原则的度一定要控制好。
(2)组织人员保障:按不同域对不同人员进行打标,定义他们的责任,为他们指明发展方向,形成人力资源池。按照需求项目管理,需求实施需要管理者、需求分析人员、技术保障人员、上线后维护支撑人员。需要对各部门人员打标,属于哪一种角色,形成专家库,为随时组建队伍做准备。
(3)需求考评机制:事业部拟定出台《需求实施承诺书》,包含权利与义务。权利是可以在一定范围内调配资源,承诺为需求完成的目标,在完成目标时对应的奖励与惩罚。项目经理代表团队签署承诺书,并在需求上线后1个月内接受事业部考评,并进行奖励或处罚,并给团队及成员等级评定。
(4)团队及专家等级晋升机制:各种人才打标后,均成为此类型的专家,需要对组建的团队与专家根据需求实施效果进行考评,采用军队的晋升方式。通过考评筛选出王牌团队与王牌专家,在遇到重要需求,疑难问题时,优先使用王牌团队与王牌专家,使其成为“特种部队”。这样做的目的,是将事业部目前的“屯兵模式”提升为“精兵模式”,让不确定、困难复杂的关键需求,由精兵完成,提升感知。通过此方式,还可以建立企信部的战略预备队,为IT队伍的后续发展提供帮助。
(5)仲裁(指导)委员会:仲裁委员会设立的目的就是打破部门间的壁垒,具备横向传递沟通及协同作战能力。前面说到,项目经理作为需求项目实施的第一负责人,具有一定的动态调配资源的权限,但如果在需求实施工程中,出现与职能部门的壁垒或冲突,或遇到其他管理问题、人力资源问题,由仲裁委员会仲裁决定。建议仲裁委员会由事业部领导及部门领导组成,针对非技术性问题进行协调仲裁。
(6)技术委员会:事业部技术委员会负责需求实施中遇到的方案问题解决及支撑,特别是对在哪个系统实施较优方面进行确认。在需求遇到技术难题时,技术委员会将对技术细节进行指导。
(7)需求管理平台(缺失):事业部目前使用门户及ITSM系统结合对需求流程进行管理,但缺失一个统一的需求管理平台,各部门目前均使用EXCEL对需求进行管理,哪些需求已超期,哪些需求为事业部当前重点需求,哪些需求不合理,没有一个需求管理系统进行管理,所以,建立一套需求管理分析系统,迫在眉睫。
(8)会议管理系统(缺失):以业务部为例,上周业务部有10个会议,其中需求会议6项。业务部目前通过人员进行管理,罗敏每周五发会议周报,列举会议清单,从安徽学习后,业务部要求每个参会的人员出具会议纪要,由罗敏汇总。简单会议出简单的会议纪要,重要会议,出详细的会议纪要。我们希望有一个会议管理系统,将每次会议的纪要进行上传,纳入系统管理,这样,可以有效杜绝需求、专项工作进度上下不一致的情况。
(9)需求变更文档化:加强需求文档管理,这里重点强调一下需求变更管理,由于一些重要需求是公司领导需求,需要业务单位按照领导要求细化,并不断与领导沟通,这样必然会多次变更需求,IT为保障需求尽快上线,必然存在需求在实施中多次变更的情况。这就要求,每次需求变更必须文档化,把整个需求变更的情况记录下来,也要求需求团队与方案设计团队、后续维护支撑团队做好沟通,将每次确认的内容文档固话。这里建立事业部出具需求变更模板。
(10)需求模式固化:先选取少量需求试点此方式,在积累经验后,迅速固化实施流程,并将流程清晰、重复运营的流程及工作模板化,抓住主要的模板建设,再把相关的模板流程串起来,不断优化。形成知识库,事业部通过呼叫炮火的方式,集中支持,集中处理,解决共性问题,这些共性问题的解决要形成知识库,在后续遇到类似问题时,快速支撑。
(11)需求透明化:月初,需求版本部署会议,与业务单位沟通本月需要实现的需求;月中,由事业部整体出面(或各需求项目经理)与需求业务单位就需求进度进行沟通;次月上线后,与需求单位进行需求后评估,对需求后续维护及问题解决进行落实,对需求后评估结果进行沟通。
(12)加强需求过程管控:在建立此机制后,需要进一步加强需求过程管控,授权不等于放任,必要时实时监控。
当前,为推进IT支撑系统集约化建设和运营,进一步发挥集中化能力优势,IT云成为运营商IT支撑系统建设的基础架构。但在IT云资源池部署过程中,服务器技术面临多个新挑战,主要体现在以下3个方面。
在性能方面,人工智能(AI)应用快速扩张,要求IT云采用高性能GPU服务器。AI已在电信业网络覆盖优化、批量投诉定界、异常检测/诊断、业务识别、用户定位等场景规模化应用。AI应用需求的大量出现,要求数据中心部署的服务器具有更好的计算效能、吞吐能力和延迟性能,以传统通用x86服务器为核心的计算平台显得力不从心,GPU服务器因此登上运营商IT建设的历史舞台。
在效率成本方面,IT云部署通用服务器存在弊端,催生定制化整机柜服务器应用需求。在IT云建设过程中,由于业务需求增长快速,IT云资源池扩容压力较大,云资源池中的服务器数量快速递增,上线效率亟需提高。同时,传统通用服务器部署模式周期长、部署密度低的劣势,给数据中心空间、电力、建设成本和高效维护管理都带来了较大的挑战。整机柜服务器成为IT云建设的另一可选方案。
在节能方面,AI等高密度应用场景的快速发展,驱动液冷服务器成为热点。随着AI高密度业务应用的发展,未来数据中心服务器功率将从3kW~5kW向20kW甚至100kW以上规模发展,传统的风冷式服务器制冷系统解决方案已经无法满足制冷需求,液冷服务器成为AI应用场景下的有效解决方案。
GPU服务器技术发展态势及在电信业的应用
GPU服务器技术发展态势
GPU服务器是单指令、多数据处理架构,通过与CPU协同进行工作。从CPU和GPU之间的互联架构进行划分,GPU服务器又可分为基于传统PCIe架构的GPU服务器和基于NVLink架构的GPU服务器两类。GPU服务器具有通用性强、生态系统完善的显著优势,因此牢牢占据了AI基础架构市场的主导地位,国内外主流厂商均推出不同规格的GPU服务器。
GPU服务器在运营商IT云建设中的应用
当前,电信业开始推动GPU服务器在IT云资源池中的应用,省公司现网中已经部署了部分GPU服务器。同时,考虑到GPU成本较高,集团公司层面通过建设统一AI平台,集中化部署一批GPU服务器,形成AI资源优化配置。从技术选型来看,目前运营商IT云资源池采用英伟达、英特尔等厂商相关产品居多。
GPU服务器在IT云应用中取得了良好的效果。在现网部署的GPU服务器中,与训练和推理相关的深度学习应用占主要部分,占比超过70%,支撑的业务包括网络覆盖智能优化、用户智能定位、智能营销、智能稽核等,这些智能应用减少了人工投入成本,提升了工作效率。以智能稽核为例,以往无纸化业务单据的人工稽核平均耗时约48秒/单,而AI稽核平均耗时仅约5秒/单,稽核效率提升达 90%。同时,无纸化业务单据人工稽核成本约15元/单,采用GPU进行AI稽核成本约0048元/单,稽核成本降低达968%。
整机柜服务器发展态势及在电信业的应用
整机柜服务器技术发展态势
整机柜服务器是按照模块化设计思路打造的服务器解决方案,系统架构由机柜、网络、供电、服务器节点、集中散热、集中管理6个子系统组成,是对数据中心服务器设计技术的一次根本性变革。整机柜服务器将供电单元、散热单元池化,通过节约空间来提高部署密度,其部署密度通常可以翻倍。集中供电和散热的设计,使整机柜服务器仅需配置传统机柜式服务器10%的电源数量就可满足供电需要,电源效率可以提升10%以上,且单台服务器的能耗可降低5%。
整机柜服务器在运营商IT云建设中的应用
国内运营商在IT云建设中已经推进了整机柜服务器部署,经过实际应用检验,在如下方面优势明显。
一是工厂预制,交付工时大幅缩短。传统服务器交付效率低,采用整机柜服务器将原来在数据中心现场进行的服务器拆包、上架、布线等工作转移到工厂完成,部署的颗粒度从1台上升到几十台,交付效率大大提升。以一次性交付1500台服务器为例,交付工作量可减少170~210人天,按每天配10人计算,现场交付时间可节省约17~21天。
二是资源池化带来部件数量降低,故障率大幅下降。整机柜服务器通过将供电、制冷等部件资源池化,大幅减少了部件数量,带来故障率的大幅降低。图1比较了32节点整机柜服务器与传统1U、2U服务器机型各自的电源部件数量及在一年内的月度故障率情况。由于32节点整机柜服务器含10个电源部件,而32台1U通用服务器的电源部件为64个,相较而言,整机柜电源部件数减少844%。由于电源部件数量的降低,32节点整机柜服务器相对于32台1U通用服务器的月度故障率也大幅缩减。
三是运维效率提升60%以上。整机柜服务器在工厂预制机柜布线,网络线缆在工厂经过预处理,线缆长度精确匹配,理线简洁,接线方式统一规范,配合运维标签,在运维中可以更方便简洁地对节点实施维护 *** 作,有效降低运维误 *** 作,提升运维效率60%以上,并大幅减少发生故障后的故障恢复时间。
液冷服务器技术发展态势及在电信业的应用
液冷服务器技术发展态势
液冷服务器技术也称为服务器芯片液体冷却技术,采用特种或经特殊处理的液体,直接或近距离间接换热冷却芯片或者IT整体设备,具体包括冷板式冷却、浸没式冷却和喷淋式冷却3种形态。液冷服务器可以针对CPU热岛精确定点冷却,精确控制制冷分配,能真正将高密度部署带到前所未有的更高层级(例如20kW~100kW高密度数据中心),是数据中心节能技术的发展方向之一,3种液冷技术对比如表1所示。
液冷服务器在运营商IT建设中的应用
液冷服务器技术目前在我国仍处于应用初期,产业链尚不完备、设备采购成本偏高、采购渠道少、电子元器件的兼容性低、液冷服务器专用冷却液成本高等问题是液冷服务器尚未大规模推广的重要原因。从液冷服务器在运营商数据中心领域的具体应用案例来看,运营商在IT云资源池规划和建设过程中,通常会对液冷服务器的发展现状、技术成熟度等进行分析论证。
考虑到目前液冷服务器规模化应用尚处于起步阶段,需要3~5年的引入期,因此暂时未在IT云资源池建设中进行大规模落地部署,但在部分地区有小规模应用,如中国移动南方基地数据中心已经开展液冷服务器试点应用,中国联通研究院也在开展边缘数据中心服务器喷淋式液冷系统的开发。未来,随着IT云建设规模、建设密度的继续攀升,以及液冷产业生态体系的逐步成熟,液冷服务器在IT云建设中将有更大的应用空间。
总体来看,运营商IT云资源池建设对服务器计算性能、延迟、吞吐、制冷、定制化、分布式部署等方面都提出了更高要求。未来,GPU服务器、定制化整机柜服务器、液冷服务器等新兴服务器技术将快速迭代,为运营商数据中心服务器技术的发展和演进带来新的思路和路径。
IT基础架构
随着运营商业务的不断发展和3G业务的不断临近,以及从全面服务客户的角度出发,充分实现应用系统共享的需求越发明显,面向服务的架构(SOA)已成为使企业实现IT与业务紧密结合,提高业务流程灵活性,从而真正帮助企业快速响应外部变化,是企业发展、创新的重要IT工具。
(1)应用集成阶段
各运营商都在进行企业应用集成平台的建设,应用集成技术分为三个阶段:
第一阶段的应用集成技术是在中间件基础之上,发展丰富的连接与转换技术及全面的元数据(META DATA)管理与应用能力,解决信息共享与信息交换的问题,同时也使得企业的应用系统容易维护与管理,为企业节省运行及维护费用。这种应用集成技术所解决的问题更多地集中在数据层面,而不是业务层面。
第二阶段的应用集成技术是在业务流程管理/集成(BPM/BPI)基础上,对企业业务流程进行自动处理、管理和监控。第二代应用集成技术更多关注业务层面的问题,然后由业务层面下移分析技术层面。第二代应用集成技术是目前主流的企业应用集成技术。
第三代应用集成技术是在第二代集成技术的基础上,采用最新的技术规范对集成技术本身进行规范,其主要目标在于实现企业业务的“可复用性”、“可扩展性”和“灵活性”。第三代应用集成技术突破了以往应用集成技术的局限,基于最新的技术规范,不仅能缩短EAI/BPI集成平台的实施周期,更为重要的是能基于共性的行业知识、更规范的技术标准,修改现有集成平台,不断开发并集成新应用。
(2)应用整合的工具和技术
从应用整合所使用的工具和技术来划分,可以分成下面多个层次,分别是界面整合、数据整合、应用整合、流程整合和业务对业务的整合(B2Bi)。
界面整合是把原有零散的系统的界面集中在一个新的、通常是浏览器的界面中,实现统一接入、统一认证和内容的统一展示;
数据整合是为新的商业目的,提供一个可访问已有的多个数据库系统的新的接口。即通过提取和可能的转化过程,实现对应用所使用的数据的定向和传输;
应用整合是为了实现企业内部不同应用系统之间的互连,通过应用集成实现数据在多个系统之间的同步和共享;
流程整合层用于将不同的应用系统连接在一起,进行协同工作,并提供商业流程管理的相关功能,包括流程设计、监控和规划,实现业务流程的管理;
业务对业务的整合也成为与合作伙伴的整合,是整合的最高层次和未来发展方向。实现了产业链上下游伙伴之间的业务整合。
近年来,运营商竞争的焦点已经逐步由网络质量的竞争转向后台IT支撑系统的竞争,IT支撑系统的竞争未来会逐渐转向通过复杂的服务流程进行更深层次的以客户服务为中心的竞争。因此,在各应用系统实现面向客户的发展过程中,运营商首先应进行IT基础架构的整体规划设计,然后逐步建立企业级数据中心,建立良好的整合机制,使其能迅速适应新业务上线,尽快建立面向客户的服务能力。目前,一些运营商的IT基础架构已经开始逐步向SOA发展,未来应该根据本企业的实际情况和应用集成技术的发展继续进行系统整合,加强各系统之间的集成,以更好的支持新业务及原有业务的开展。
IT支撑系统发展现状
1BSS系统
BSS系统主要实现对电信span>业务、电信资费、电信营销的管理,以及对客户的管理和服务的过程,它所包含的主要系统包括:计费系统、客服系统、帐务系统、结算系统以及经营分析系统等。目前国内各电信运营商的基本发展情况如下:
●中国移动:中国移动从2001年起开始建设全省集中、一体化的业务运营支撑系统(BOSS),经过了BOSS 10、15以及20的建设,目前正在考虑向下一代BOSS即NGBOSS的演进。
●中国电信:中国电信各省公司从2003年起陆续按照企业信息化战略规划(ITSP)的思路开始规划自身的BSS/OSS系统,原有系统模块的划分有所变化,但系统功能仍然保留。系统建设仍逐渐由本地网集中向省集中过渡,功能模块之间将共享核心数据模型。
●中国网通:网通集团和下属各省公司按照既定的IT系统架构和IT规划在稳步的进行整合和建设的工作,整体思路在朝着综合业务、数据共享和管理集中的方向演进。
●中国联通:联通BSS也是以省为中心分别建设各个子系统,包括综合营账、综合结算、专业计费、客服等,目前正在启动新一代BSS系统试点工程,提出了“两分两合”的系统架构以及统一软件功能需求和业务需求的要求,其重点在于构建稳定的综合帐务系统和灵活的CRM系统。
总体上,各大电信企业都在朝着集中化方向大力建设BSS系统,BSS系统的支撑力度和服务质量总体上有了显著提高。随着竞争的日益加剧、业务和资源的形式多样化以及客户服务质量要求的提高,各运营商都在加强对市场的反应速度和应对措施,因此构建快速高效的BSS系统、缩短推出新业务和新产品的周期已经成为争取市场份额的关键。
2OSS系统
●中国移动:经过几年的大力发展,目前各省公司围绕各专业网络,建立了以话务网管、数据网管和传输网管为主体的网络支撑系统,形成了比较完备的网络管理体系,基本能够支撑各项业务开通及服务保障功能的实现。
●中国电信:继续落实和推进CTG-MBOSS的发展思路,加大了省集中化的建设力度,在梳理、分析各地市公司现有系统的基础上,逐步在各省公司建设了以综合网管和综合资源管理系统为主的综合类OSS,极大的提升了网络部门的支撑服务能力。
●中国网通:由于企业组织架构以及管理等诸多方面原因,中国网通的OSS在建设模式、系统功能、技术架构等方面都比较复杂,其OSS还处于比较分散的状况,仅长途话务网管等少数系统实现了统一规划与建设。目前,网通集团与各省公司正在根据发展规划中的目标与思路,探索有自身公司特色的OSS建设模式。
总的来看,OSS已经得到了国内各大电信运营企业的高度重视,并且已经成为企业核心竞争力的组成部分。但是国内OSS与国际先进运营商的OSS仍有较大差距,在建设过程中还面临不少的技术和管理方面的问题。比如,在建设综合的网管系统过程中,如何针对日益复杂的专业网络,建立一套完整、合理、规范的资源模型,如何使系统适应不断调整的组织架构和业务流程等,都是今后在建设过程中需要重点解决的问题。
3MSS系统
MSS系统是面向管理的支撑系统。狭义的MSS包括财务系统、人力资源系统、工程管理系统、OA系统、电子邮件系统及企业信息门户等。广义的MSS除包含上述系统外,还包括基于BSS、OSS、狭义MSS基础上面向管理需求的数据综合挖掘及分析,如企业级的运营决策支撑系统、企业工单流系统,以及包含网络资源和码号资源在内的企业资源管理系统(ERP)等。目前国内各电信运营商的发展情况基本如下:
●中国移动:中国移动的MSS建设已由早期OA系统的建设升华到企业统一信息平台的建设。包含人力、财务等的MIS系统的建设在继续向纵深方向发展的同时,也不断扩展管理内容,向企业的资源管理系统(ERP)方向发展。
●中国电信:中国电信从2003年制定企业信息化战略规划(IT-SP),一年后推出CTG-MBOSS规范,细化了包括MSS在内的各IT支撑系统的建设思路。经过近几年的发展,MSS逐渐向省集中方向发展,同时各省公司也正在以财务系统为突破口分别进行有关MSS系统的试点。
●中国网通:中国网通自2004年制定《网通集团信息化系统总体规划》以来,发布了MSS的整体发展蓝图,系统按照北方省和南方省分别规划建设,主要包括ERP的建设、OA与门户的建设等。
●中国联通:中国联通在2002年提出了UNI-IT信息化架构,2003年在山东、浙江两省分公司试点ERP系统,2005年6月已完成全公司ERP系统的集成,并且逐渐加入人力资源、网络资源管理等功能,MSS系统的雏形也在2005年6月基本完成。
总体来说,国内各运营商MSS的建设基本采取集团、省两级建设模式,逐步向纵深化发展,但同时也分别结合了本企业的发展特点,进行有重点、有突破性的建设,其中突破口一般是企业的最关注的方向,如财务管理、人力资源管理等。
文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天
根据我国《网络安全法》及《关键信息基础设施安全保护条例》,关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。其中,电信网络自身是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施,做好电信网络关键信息基础设施的安全保护尤为重要。
一、电信网络关键信息基础设施的范围
依据《关键信息基础设施安全保护条例》第 9条,应由通信行业主管部门结合本行业、本领域实际,制定电信行业关键信息基础设施的认定规则。
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信网络(以 CT 系统为主)与绝大多数其他行业的关键信息基础设施(以 IT 系统为主)不同,电信网络要复杂得多。电信网络会涉及移动接入网络(2G/3G/4G/5G)、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络,任何一个网络被攻击,都会对承载在电信网上的话音或数据业务造成影响。
在电信行业关键信息基础设施认定方面,美国的《国家关键功能集》可以借鉴。2019 年 4 月,美国国土安全部下属的国家网络安全和基础设施安全局(CISA)国家风险管理中心发布了《国家关键功能集》,将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式,电信网络属于连接类。
除了上述电信网络和服务外,支撑网络运营的大量 IT 支撑系统,如业务支撑系统(BSS)、网管支撑系统(OSS),也非常重要,应考虑纳入关键信息基础设施范围。例如,网管系统由于管理着电信网络的网元设备,一旦被入侵,通过网管系统可以控制核心网络,造成网络瘫痪;业务支撑系统(计费)支撑了电信网络运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
二、电信网络关键信息基础设施的保护目标和方法
电信网络是数字化浪潮的关键基础设施,扮演非常重要的角色,关系国计民生。各国政府高度重视关键基础设施安全保护,纷纷明确关键信息基础设施的保护目标。
2007 年,美国国土安全部(DHS)发布《国土安全国家战略》,首次指出面对不确定性的挑战,需要保证国家基础设施的韧性。2013 年 2 月,奥巴马签发了《改进关键基础设施网络安全行政指令》,其首要策略是改善关键基础设施的安全和韧性,并要求美国国家标准与技术研究院(NIST)制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》(CSF)提出,关键基础设施保护要围绕识别、防护、检测、响应、恢复环节,建立网络安全框架,管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求,定义了 IPDRR能力框架模型,并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,是这五个能力的首字母。2018 年 5 月,DHS 发布《网络安全战略》,将“通过加强政府网络和关键基础设施的安全性和韧性,提高国家网络安全风险管理水平”作为核心目标。
2009 年 3 月,欧盟委员会通过法案,要求保护欧洲网络安全和韧性;2016 年 6 月,欧盟议会发布“欧盟网络和信息系统安全指令”(NISDIRECTIVE),牵引欧盟各国关键基础设施国家战略设计和立法;欧盟成员国以 NIS DIRECTIVE为基础,参考欧盟网络安全局(ENISA)的建议开发国家网络安全战略。2016 年,ENISA 承接 NISDIRECTIVE,面向数字服务提供商(DSP)发布安全技术指南,定义 27 个安全技术目标(SO),该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配,关键基础设施的网络韧性成为重要要求。
借鉴国际实践,我国电信网络关键信息基础设施安全保护的核心目标应该是:保证网络的可用性,确保网络不瘫痪,在受到网络攻击时,能发现和阻断攻击、快速恢复网络服务,实现网络高韧性;同时提升电信网络安全风险管理水平,确保网络数据和用户数据安全。
我国《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出,要着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。
参考 IPDRR 能力框架模型,建立电信网络的资产风险识别(I)、安全防护(P)、安全检测(D)、安全事件响应和处置(R)和在受攻击后的恢复(R)能力,应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF,开展电信网络安全保护,可按照七个步骤开展。一是确定优先级和范围,确定电信网络单元的保护目标和优先级。二是定位,明确需要纳入关基保护的相关系统和资产,识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状,创建当前的安全轮廓。四是评估风险,依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时,需要分析运营环境,判断是否有网络安全事件发生,并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距,通过分析这些差距,对其进行优先级排序,然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划,决定应该执行哪些行动以消除差距。
三、电信网络关键信息基础设施的安全风险评估
做好电信网络的安全保护,首先要全面识别电信网络所包含的资产及其面临的安全风险,根据风险制定相应的风险消减方案和保护方案。
1 对不同的电信网络应分别进行安全风险评估
不同电信网络的结构、功能、采用的技术差异很大,面临的安全风险也不一样。例如,光传送网与 5G 核心网(5G Core)所面临的安全风险有显著差异。光传送网设备是数据链路层设备,转发用户面数据流量,设备分散部署,从用户面很难攻击到传送网设备,面临的安全风险主要来自管理面;而5G 核心网是 5G 网络的神经中枢,在云化基础设施上集中部署,由于 5G 网络能力开放,不仅有来自管理面的风险,也有来自互联网的风险,一旦被渗透攻击,影响面极大。再如,5G 无线接入网(5GRAN)和 5G Core 所面临的安全风险也存在显著差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面,从现网运维实践来看,RAN 被渗透的攻击的案例极其罕见,风险相对较小。5G Core 的云化、IT 化、服务化(SBA)架构,传统的 IT 系统的风险也引入到电信网络;网络能力开放、用户端口功能(UPF)下沉到边缘等,导致接口增多,暴露面扩大,因此,5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后,运营商应按照不同的网络单元,全面做好每个网络单元的安全风险评估。
2 做好电信网络三个平面的安全风险评估
电信网络分为三个平面:控制面、管理面和用户面,对电信网络的安全风险评估,应从三个平面分别入手,分析可能存在的安全风险。
控制面网元之间的通信依赖信令协议,信令协议也存在安全风险。以七号信令(SS7)为例,全球移动通信系统协会(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能导致任意用户非法位置查询、短信窃取、通话窃听;如果信令网关解析信令有问题,外部攻击者可以直接中断关键核心网元。例如,5G 的 UPF 下沉到边缘园区后,由于 UPF 所处的物理环境不可控,若 UPF 被渗透,则存在通过UPF 的 N4 口攻击核心网的风险。
电信网络的管理面风险在三个平面中的风险是最高的。例如,欧盟将 5G 管理面管理和编排(MANO)风险列为最高等级。全球电信网络安全事件显示,电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案(4A)、堡垒机、安全运营系统(SOC)、多因素认证等安全防护措施,但是,在通信网安全防护检查中,经常会发现管理面安全域划分不合理、管控策略不严,安全防护措施不到位、远程接入 *** 设备及 4A 系统存在漏洞等现象,导致管理面的系统容易被渗透。
电信网络的用户面传输用户通信数据,电信网元一般只转发用户面通信内容,不解析、不存储用户数据,在做好终端和互联网接口防护的情况下,安全风险相对可控。用户面主要存在的安全风险包括:用户面信息若未加密,在网络传输过程中可能被窃听;海量用户终端接入可能导致用户面流量分布式拒绝服务攻击(DDoS);用户面传输的内容可能存在恶意信息,例如恶意软件、电信诈骗信息等;电信网络设备用户面接口可能遭受来自互联网的攻击等。
3 做好内外部接口的安全风险评估
在开展电信网络安全风险评估时,应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险,尤其是重点做好外部接口风险评估。以 5G 核心网为例,5G 核心网存在如下外部接口:与 UE 之间的 N1 接口,与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等,还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域,存在不同风险。根据3GPP 协议标准定义,在 5G 非独立组网(NSA)中,当用户漫游到其他网络时,该用户的鉴权、认证、位置登记,需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通,需要经过公网传输。因此,这些漫游接口均为可访问的公网接口,而这些接口所使用的协议没有定义认证、加密、完整性保护机制。
4 做好虚拟化/容器环境的安全风险评估
移动核心网已经云化,云化架构相比传统架构,引入了通用硬件,将网络功能运行在虚拟环境/容器环境中,为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难,并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化(NFV)环境面临传统网络未遇到过的新的安全威胁,包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括:通过虚拟网络窃听或篡改应用层通信内容,攻击虚拟存储,非法访问应用层的用户数据,篡改镜像,虚拟机(VM)之间攻击、通过网络功能虚拟化基础设施(NFVI)非法攻击 VM,导致业务不可用等。
5 做好暴露面资产的安全风险评估
电信网络规模大,涉及的网元多,但是,哪些是互联网暴露面资产,应首先做好梳理。例如,5G网络中,5G 基站(gNB)、UPF、安全电子支付协议(SEPP)、应用功能(AF)、网络开放功能(NEF)等网元存在与非可信域设备之间的接口,应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口,因此,需重点做好暴露面资产的风险评估和安全加固。
四、对运营商加强电信网络关键信息基础设施安全保护的建议
参考国际上通行的 IPDRR 方法,运营商应根据场景化安全风险,按照事前、事中、事后三个阶段,构建电信网络安全防护能力,实现网络高韧性、数据高安全性。
1 构建电信网络资产、风险识别能力
建设电信网络资产风险管理系统,统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本,定期开展资产和风险扫描,实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元,例如,MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录(AD)域控服务器、运维 *** 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵,对电信网络的影响极大,因此,应做好对安全关键功能设备资产的识别和并加强技术管控。
2 建立网络纵深安全防护体系
一是通过划分网络安全域,实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域;管理面的网络管理安全域(NMS),其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区;对外暴露的网元(如 5G 的 NEF、UPF)等放在半信任区,核心网控制类网元如接入和移动管理功能(AMF)等和存放用户认证鉴权网络数据的网元如归属签约用户服务器(HSS)、统一数据管理(UDM)等放在信任区进行保护,并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护,包括互联网边界、承载网边界,基于对边界的安全风险分析,构建不同的防护方案,部署防火墙、入侵防御系统(IPS)、抗DDoS 攻击、信令防护、全流量监测(NTA)等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心(VDC)/虚拟私有网络(VPC)隔离,例如通过防火墙(Firewall)可限制大部分非法的网络访问,IPS 可以基于流量分析发现网络攻击行为并进行阻断,VDC 可以实现云内物理资源级别的隔离,VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内,采用虚拟局域网(VLAN)、微分段、VPC 隔离,实现网元访问权限最小化控制,防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单,在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。
3 构建全面威胁监测能力
在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力,通过部署深度报文检测(DPI)类设备,基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力,构建 *** 作系统(OS)入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式,构建全面威胁安全态势感知平台,及时发现各类安全威胁、安全事件和异常行为。
4 加强电信网络管理面安全风险管控
管理面的风险最高,应重点防护。针对电信网络管理面的风险,应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维 *** 作的安全审计等,防止越权访问,防止从管理面入侵电信网络,保护用户数据安全。
5 构建智能化、自动化的安全事件响应和恢复能力
在网络级纵深安全防护体系基础上,建立安全运营管控平台,对边界防护、域间防护、访问控制列表(ACL)、微分段、VPC 等安全访问控制策略实施统一编排,基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析,及时发现入侵行为,并能对攻击行为自动化响应。
(本文刊登于《中国信息安全》杂志2021年第11期)
以上就是关于电信it应用支撑适合女生吗全部的内容,包括:电信it应用支撑适合女生吗、IT需求如何主动支撑,快速支撑,高效支撑、数据中心服务器技术发展趋势与应用等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)