城域传输网络安全评估、评级体系主报告.doc

《城域传输网络安全评估、评级体系主报告.doc》由会员分享，可在线阅读，更多相关《城域传输网络安全评估、评级体系主报告.doc（29页珍藏版）》请在三一办公上搜索。

1、城域传输网络安全评估、评级体系中国移动从2002年开始逐步建设自有城域传输网络，2004年开始大踏步前进，2005年基本实现了传输电路的自给自足，传输电路自建率全面超过95%，并基本能够确保未来三年自有业务电路的需要。20042006年开始，全国各省陆续开展了不同程度和形式的传输网络安全评估及优化工作，但普遍存在效率低、耗时长、耗费大等问题。传输网络的安全评估及优化是多年来困扰传输网络维护管理工作的重点、难点课题。在中国移动网络运维集中化不断推进，集中技术支援体系日趋完善的背景下，为了研究和解决传输网络运行维护中的疑难问题，提升传输网络管理水平，有限公司网络部于2007年下达了14个传输网络疑

2、难问题核心技术研究课题（见关于部署2007年传输网络疑难问题技术研究课题的通知（网通2007265号），广东公司承担了其中3个课题，本项目是其中非常重要的一个核心课题。本课题项目于2007年6月启动，于2008年4月通过了有限公司组织的终审和验收并获专家组最高评价，专家组一致认为该课题“研究成果及EXCEL工具具有很高的应用价值，建议全网推广”。目前本项研究成果已经在广东、浙江、重庆、河北等省获得不同程度的应用，在网络优化工作中发挥了积极的作用、取得了良好的效果。另外，本项目在2008年10月广东省公司规划技术部组织的2008年“科技进步及业务服务创新奖”申报和选拔工作的评比中排名全省前五，候

3、选送报集团公司。 一、成果形成背景1、城域传输网发展及其安全性提升的必然要求中国移动传输网络自2002年逐步开始建设以来，随着业务的快速发展和网络规模的不断扩大，对传输网络的安全性也提出了更高的要求。现网传输网络存在的各种安全隐患如网络单节点单路由、链状组网等也逐渐暴露出来，并对现网业务安全造成了极大的影响。例如，2004年11月19日凌晨2：50左右，广东云浮金山机楼局前井内进出同路由的两条本地光缆同时被砍断，由于金山机楼是云浮长途传输业务的唯一落地节点，故造成云浮自建长途传输电路全阻，历时5个多小时，教训十分惨重，同时也引发了全国范围内长达数年的网络单节点整治工作。为了消除传输网络安全隐患

4、，迫切需要对传输网安全状况进行准确评估和持续优化，而网络安全评估工作是一切优化工作的基础。建立一套系统的传输网络安全评估体系势在必行。2、解决传输网络安全评估工作局限性的需要自2004年以来，全国各省公司在集团公司要求下持续开展了传输网络安全评估及优化整治工作，但普遍存在评估效率低下、统计口径杂乱、无法横向对比等问题。以上问题的存在对传输网络的优化、维护工作造成了极大困扰。这些评估工作存在的主要问题包括：（1）安全评估指标不够完善。主要表现在：传输网络完全评估指标比较匮乏；现有的指标定义含糊或根本没有定义，统计口径不一；现有指标难以完整和恰当表征传输网络安全性。（2）网络评估工作难以量化。由于

5、评估指标不完善，多数评估工作主要基于定性分析评估，很难形成量化的结果，不够客观、不便于统计分析和横向比较，也不便后续进行分析和有侧重点整改。（3）评估内容不标准。没有可以完整评估传输网络安全性的模型，导致评估内容各种各样，没有统一标准和模板。（4）评估工作耗时较长，评估效率低下，并且普遍花费了大量人力物力。例如，广东公司21个地市在2005年开展的网络安全评估工作，历时近一年，并且全省耗费了至少400万以上的合作费用。以上问题的存在对传输网络的优化、维护工作造成了极大困扰。为了解决在城域传输网络安全评估工作中存在的主要问题，进一步提升中国移动传输网络管理水平，广东公司于2007年初向有限公司网

6、络部提出了研究城域传输网络安全评估、评级体系的设想，获得有限公司的大力支持，并作为总部级传输网络疑难问题核心技术研究课题进行立项研究。二、成果内涵和主要做法基于全面技术和管理提升的城域传输网络安全评估、评级体系，通过研究传输网络安全评估模型和统一的指标体系，实现传输网络评估工作的标准化、规范化和准确量化；通过建立城域传输网络安全评级模型实现不同城域传输网络安全状况的横向比较；通过开发传输网络安全评估软件工具和标准模板，实现了评估、评级工作的自动化和高效率。从而实现整个传输网络安全评估工作的实质性全面提升。l 课题框架如下：城域传输网络安全评估体系安全评级体系安全评估标准模板安全评估指标实际应用

7、现网试点应用项目研究内容架构一是建立传输网络安全评估模型，明确术语定义，推动传输网络评估工作的规范化。2004年以来，由于没有建立完整的评估传输网络安全性的模型，各省市进行传输网络评估的内容各种各样，也没有形成统一的评估报告模板。另外，许多专业术语也没有明确定义。本课题项目通过分析城域传输网的特点和实际安全要求，参考各地城域传输网网络评估报告的主要格式和内容，整理出一套规范的城域传输网络安全评估标准模板，包括：明确的专有名词定义，抽象化的传输网络结构模型，统一的评估内容和标准的评估报告模板等。本课题研究明确了双平面、双节点、双路由等15个关键术语的定义，对城域传输网络的管理工作，甚至对整个行业

8、的传输网规范化水平的提升，将可能产生深远影响。本课题将现实众多复杂的网络结构抽象为有限的几个基础网络模型，大大降低了网络结构分析的难度，并使得网络结构安全性的横向对比和量化评估成为可能。例如，将骨干汇聚层之间若干复杂的互联组网结构抽象为“双归双节点、单归双节点、单归单节点”3种模型。课题规范了城域传输网安全评估的主要内容，并重点突出了对网络结构安全方面的评估，同时统一了评估报告模板。l 主要组网模式如下：表1组网模式描述网络层面组网模式描述备注骨干层与二干/一干的衔接1） 组网模式一：（环）双归（骨干层）双节点2） 组网模式二：（环）单归（骨干层）双节点3） 组网模式三：（环）单归（骨干层）单

9、节点见研究报告Error! Reference source not found.节。骨干层结构组网要素：a） 双平面b） 双路由c） 成环d） 结构与保护见研究报告Error! Reference source not found.节。汇聚层与骨干层的衔接1） 组网模式一：（环）双归（汇聚区）双节点2） 组网模式二：（环）单归（汇聚区）双节点3） 组网模式三：（环）单归（汇聚区）单节点见研究报告Error! Reference source not found.节。汇聚层结构组网结构要素：a） 双平面b） 双路由c） 成环d） 结构与保护见研究报告Error! Reference sourc

10、e not found.节。接入层与汇聚层的衔接1） 组网模式一：单系统双归，接入环与汇聚环共用设备2） 组网模式二：单系统双归，接入环与汇聚环设备分离3） 组网模式三：双系统双归，接入环与汇聚环共用设备4） 组网模式四：双系统双归，接入环与汇聚环设备分离5） 组网模式五：单节点，接入环或链与汇聚环共用设备6） 组网模式六：单节点，接入环或链与汇聚环设备分离见研究报告Error! Reference source not found.节。接入层结构组网结构要素：a） 成环b） 结构与保护见研究报告Error! Reference source not found.节。l 组网结构逻辑图举例：骨

11、干层以上组网模型环2二干/一干环1城域骨干共用机楼，设备独立或共用图1双归双节点（骨干层）二干/一干环2城域骨干环1环间互连方式：1）共用设备；2）DDF/ DDF；3）通过第三环转接。共用机楼，设备独立或共用图2单归双节点（骨干层）二干/一干环1城域骨干环2共用机楼，设备独立或共用图3单归单节点（骨干层）二是建立完善的传输网络安全评估指标体系，实现传输网络评估工作的精确量化。通过分析城域传输网现网的主流组网结构及其安全性，收集和参考国内外相关研究成果，提炼出一套能完整表征城域传输网安全性的评估指标体系，包括总共88个指标和22个关键指标。为了提高评估指标体系的科学性，在定义和确定各项指标时采

12、用了专家访谈、德尔斐专家调查法等研究方法。l 总体指标共分为五类，主要突出网络结构安全方面的指标。城域传送网安全评估指标网络结构分析同步安全指标光缆安全指标网管安全指标设备安全指标结构安全指标l 网络结构安全评估指标指标分类网络层面组网描述指标名称骨干层指标骨干层与二干/一干的衔接组网模式一：双归双节点骨干环双归比例CRDHR骨干环物理双归比例CRPDHR骨干环逻辑双归比例CRLDHR上联骨干节点数量UCCNN组网模式二：单归双节点组网模式三：单归单节点骨干层结构双平面骨干系统双平面比例CSDPR骨干系统物理双平面比例CSPDPR骨干系统逻辑双平面比例CSLDPR骨干节点双系统通达率CLDSR

13、骨干节点物理双系统通达率CLPDSR骨干节点逻辑双系统通达率CLLDSR双路由骨干节点双路由比例CDRR成环骨干层物理成环比例CPRR骨干层逻辑成环比例CLRR结构与保护骨干环设备数量CREN汇聚层指标汇聚层与骨干层的衔接组网模式一：双归双节点汇聚环双归比例CvRDHR汇聚环物理双归比例CvRPDHR汇聚环逻辑双归比例CvRLDHR汇聚区双节点比例CvADNR汇聚区单节点比例CvASNR组网模式二：单归双节点组网模式三：单归单节点汇聚层结构双平面汇聚系统双平面比例CvSDPR汇聚系统物理双平面比例CvSPDPR汇聚系统逻辑双平面比例CvSLDPR汇聚节点双系统通达率CvNDSR汇聚节点物理双系

14、统通达率CvNPDSR汇聚节点逻辑双系统通达率CvNLDSR双路由汇聚节点双路由比例CvDRR成环汇聚层物理成环比例CvPRR汇聚层逻辑成环比例CvLRR结构与保护汇聚环设备数量CvREN 接入层指标接入层与汇聚层的衔接组网模式一：单系统双归，共用设备SDH接入点双归比例SANDHRSDH接入点单归比例SANSHR组网模式二：单系统双归，设备分离组网模式三：双系统双归，共用设备组网模式四：双系统双归，设备分离组网模式五：单归，共用设备组网模式六：单归，设备分离接入层结构成环SDH接入点成环比例SANRRSDH接入点物理成环比例SANPRRSDH接入点逻辑成环比例SANLRR结构与保护接入环设备

15、数量RAEN接入节点SDH接入比率ANSAR接入节点非SDH接入比例ANNSAR优级安全接入点比例SANR0一级安全接入点比例SANR1二级安全接入点比例SANR2l 设备安全指标序号指标分类指标名称1设备级保护电源盘保护比例PPR2交叉盘保护比例CPR3时钟盘保护比例SPR4支路盘保护比例TPR5互联光口的保护比例l 网管安全指标序号指标分类指标名称1网管配置安全网管系统管理冗余度2网元管理系统（EMS）保护比例3网络管理系统（NMS）保护比例4网管安全维护及故障统计分析网管数据库备份比例5网管系统软件故障率6网管系统硬件故障率7DCN通信安全网管系统DCN保护比例8网元DCN保护比9设置主

16、备用GNE的子网比例10管理子网NE数量11每GNE所带的网元数量l 网同步安全指标序号指标名称1未接定时的系统比例NITSR2单个定时注入点的系统比例SITSR3多个定时注入点的系统比例MITSR4时钟链最大长度TCMLl 光缆安全指标序号指标名称1节点光缆路由度数NFRD2光缆管道比例CCR3光缆架空比例CAR4光缆直埋比例CBRl 电源安全指标序号指标名称1传输双路电源保护比例DPPR三是通过建立城域传输网络安全评级模型，实现各省市不同城域传输网络安全状况的横向比较。通过对网络安全评估关键指标阈值和权重及与网络规模相关性的研究，建立了网络安全评估矩阵和评级体系，实现对不同城域传输网安全性

17、的横向比较和定级。具体的做法是：在传输网络安全评估指标体系中，根据重要性、普遍性和可操作性，选取22个最为关键的评估指标并赋予合理的权重（权重分配原则：注重网络结构安全，不区分地市类型，不同阶段权重可调整）和阈值，形成矩阵体系，利用该体系对城域传输网络进行评分，根据网络类别和所得的分数，即可确定该网络的安全级别。为了提高评级方法的科学性，在确定关键指标及其阈值和权重时，采用了专家访谈、德尔斐专家调查法等研究方法。l 评级举例如下：安全评估指标分类指标内容权重阈值评估结果得分网络结构安全评估指标骨干层与二干/一干的衔接上联骨干节点数量UCCNN72100.00%7.00 骨干层结构骨干节点双系统

18、通达率CNDSR790.00%83.33%5.83 骨干节点双路由比例CDRR740.00%100.00%7.00 骨干层物理成环比例CPRR7100.00%100.00%7.00 汇聚层与骨干层的衔接汇聚环双归比例CvRSHR580.00%100.00%5.00 汇聚层结构汇聚节点双系统通达率CvNDSR550.00%100.00%5.00 汇聚节点双路由比例CvDR530.00%100.00%5.00 汇聚层物理成环比例CvPRR5100.00%93.33%4.67 节点数量超过7的汇聚环比例50.00%100.00%5.00 接入层与汇聚层的衔接SDH接入点双归比例SANDHR560.0

19、0%89.29%4.46 接入层结构SDH接入点成环比例SANRR595.00%82.71%4.14 SDH接入点逻辑成环比例SANLRR590.00%100.00%5.00 接入节点SDH接入比率ANSAR590.00%84.08%4.20 一级安全接入点比例575.00%100.00%5.00 光传输设备交叉盘保护比例CPR骨干2100.00%100.00%2.00 汇聚2100.00%100.00%2.00 互联光口的保护比例骨干380.00%100.00%3.00 汇聚390.00%100.00%3.00 传输网管网管系统DCN保护比例3100.00%0.00%0.00 设置主备用GN

20、E的子网比例3100.00%100.00%3.00 光缆节点光缆路由度数骨干层NFRD大于等于3的节点比例3100.00%25.00%0.75 汇聚层NFRD大于等于2的节点比例3100.00%100.00%3.00 总分10091.05 评级结果一级安全说明得分范围评级结果80100一级安全6080二级安全060三级安全四是通过开发传输网络安全评估软件工具和标准模板，实现了评估、评级工作的自动化和高效率。本工具采用EXCEL宏编程的方法，实现了评估、评级的自动计算和结果输出，并能够将网络安全性不符合要求的指标选项和具体的隐患点用不同颜色标注出来，方便后续有侧重点的优化整治工作。l 填报说明：

21、介绍各个表格，说明如何填报l 封面：填写填报基础信息，选择网络类型（执行不同算法）l 表（1）网络安全评级结果：总体评估结果l 表（2）网络结构安全评估结果：红色部分表示不合格项l （3）设备安全评估结果l 表（4）网管安全评估l 表（5）网同步安全评估结果l 表（6）光缆安全评估结果l 表（7）电源安全评估结果l 表（8）、（9）、（11）、（12）、（14）、（16）、（18）、（20）、（22）、（24）为原始数据输入表格：录入区域用黄色标识，举例如下l 表（10）、（13）、（15）、（17）、（19）、（21）、（23）、（25）为指标计算过程表：自动计算和显示，不能更改，举例如下l

22、 表（26）评估指标指标阈值l 表（27）省市分类表l 更为具体的技术内容请见本项目的研究成果： 中国移动城域传输网络安全评估体系研究报告V6.2 中国移动城域传送网安全评估关键指标v3.0 中国移动城域传输网络安全评估报告模板V2.0 中国移动城域传输网络安全评估标准模板&自动计算工具V5.0 项目试点报告l 研究方法：本项目采用德尔斐调查法等研究方法确定评估指标体系和评级矩阵，大大提高研究成果的科学性和实用性。为尽量消除因主观差异所导致的偏差，本课题通过由集团公司网络部、中国移动研究院、各省公司（广东、重庆、河北等）的68名经验丰富的内部传输专家和来自信产部电信传输研究所、北京邮电大学等多

23、名外部专家学者组成的专家群体，借助于严谨的德尔斐专家调查法辅助确定评估指标体系和评级矩阵，特别是关键指标及其权重、阈值通过了多轮专家调查，从而确保了整个评估和评级体系的科学性和可操作性。 三、成果主要创新点1、首次建立了城域传输网络的基础模型并对相关术语给出了明确定义。将中国移动多种多样的复杂网络结构抽象为有限的几个基础网络模型（双归双节点、单归双节点、单归单节点等），大大简化了网络结构的复杂性，降低了结构分析的难度，奠定了网络结构安全性评估标准化、数量化的基础。 首次给出了以“双平面、双节点、双路由”为代表的、长期以来口口相传但非常模糊的多项专业术语的精确定义，这将对中国移动城域传输网络的管

24、理工作、甚至对整个行业的传输网管理产生深远影响。2、首次建立了完整的城域传输网络安全评估体系和关键指标体系。针对城域传输网络的不同层次、不同角度的安全点，提炼了88个可量化的、可操作的安全指标（其中关键指标22个），形成了一套完整的安全评估体系。 3、首次建立了中国移动城域传输网络安全评估评级模型。通过对22个关键指标赋予权重和阈值构成矩阵体系，对城域传输网络进行评分、评级，实现了不同城域传输网络安全状况的横向比较。4、首次开发了中国移动城域传输网安全评估工具和模板。通过开发EXCEL评估工具和标准的评估模板，将理论研究成果形成生产工具，从而转化成生产力，在实现评估和评级工作的标准化、自动化的

25、同时，自动输出评估结果，直接指出网络隐患点，指明优化方向，大大提高评估和后续整治的效率。四、成果实施效益1、实施成本低，经济效益明显。本项目的直接经济效益主要体现在：由于本项目提供了直观、科学的评估方法和工具，使得城域传输网络优化工作的效率获得大幅提高，可以减少传输网络安全评估工作所需的人力资源，我司技术人员可以自行对网络安全性进行评估、评级，毋须委托给外部设计咨询单位，从而节省费用支出。本项目成果应用前，广东全省一类、二类、三类市公司每年用于网络安全评估的设计咨询费用分别约为30万、20万、15万元/年，全年合计400万元（一类公司120万元，二类公司100万元、三类公司180万元），应用本

26、项目成果后可以省去这部分费用。2007年广东全省约一半的市公司初步应用了本项目研究成果，2008年全部市公司都应用了本项目研究成果。若本项目成果能够在全国范围内大规模推广，将节约更多的费用开支。2、填补传输网络安全评估方面的理论和实践空白，提升了中国移动公司的软实力。在本成果推出之前，业内在传输网络安全评估方面的理论研究成果和工具手段非常匮乏，主要表现在：关键术语定义含糊不清，评估指标匮乏并且定义及统计口径不明确，更为重要的是，完全没有自动评估工具软件。本研究成果填补了中国移动甚至整个行业在城域传输网络安全评估和评级体系上的空白，并且随着时间的推移和应用的推广，将在业内产生深远的影响，大大提升

27、了中国移动的软实力。3、提升了传输网络管理和网络安全评估水平，并具有巨大的实际应用意义。本课题研究成果的效益更重要地体现在巨大的社会效益上，除了上述提到填补了该领域的理论空白外，还体现在实际应用中产生的巨大效益上：（1）网络评估指标体系及EXCEL工具的应用，实现了传输网络安全评估的标准化、自动化，大大提高了网络评估的效率，并且评估报告直接指明了网络隐患，因此也大大提高了网络优化整治的便捷性。（2）由于传输网络评估效率的大大提升，使得城域传输网络定期进行安全评估，形成持续评估-优化闭环机制成为可能，从而将大大提升中国移动城域传输网络的安全性和网络质量。下表是广东公司2008年1-8月部分传输网

28、络优化指标的提升情况：全省汇聚接入层主要安全指标(2008年8月)指标名称汇聚机房出入局双路由比例接入层双平面或双节点比例接入双归比例光接入成环率一级安全接入点比例二级安全接入点比例07年底指标值65.55%69.78%31.11%95.34%66.10%79.53%08年8月指标值76.88%77.08%36.43%96.75%72.08%87.73%提升11.33%7.30%5.32%1.41%5.98%8.20%其他应用包括：l 在2007年的项目试点中，在广东（广州、中山、汕头）、重庆（北碚）和河北（唐山）等省市的部分城域传输网络中试点应用了本课题的评估和评级体系，取得了良好效果并验证和完善了研究成果。l 从2008年7月开始，浙江公司对本课题的部分成果也进行了试点应用，并安排传输技术人员到广东公司进行了相关应用交流。l 有限公司网络部“建议全网推广”本课题成果，后续将有采取措施推动本项目成果在全国推广应用。