QC小组活动成果材料发布规范文档格式.docx

1、西安市电信分公司的DCN网络是省级DCN网的重要组成部分。其前身是始建于1997年九七网络，自2001年至2010十年间，为契合公司转型机遇，西安电信分公司DCN网先后经历了两期大规模的改扩建工程和一次优化工程，逐步被打造成为一张精品DCN网络。如今已达到承载可路由网络设备60余台，监控机群、服务器机群、业务机群共计3000余台的网络规模，是西安市电信分公司生产运营、业务受理、计费、信息化管理的综合网络平台，覆盖连接全市及各城郊区县所有生产用机。DCN网络的重要性不言而喻，可以毫不夸张的将之形容为企业的“中枢神经系统”。它不但保证了企业生产活动的完整性、统一性而且在协调、平衡对外经营的过程中起

2、着主导作用。 然而十年间，在西安电信DCN网随着成本投资不断追加，网络规模、设备层级不断提升的同时，DCN信息系统的安全问题却一直如影随形，更有愈演愈烈的趋势，比如，据西安电信企化部网络班的值班日志和维护月报的统计，局域网病毒造成的网络瘫缓故障平均占比达到全年故障接报的51%。这不仅频繁妨碍正常的生产经营活动、严重减低劳动生产效率，还极大地挫伤了广大基层员工的生产积极性，尤其是网络病毒造成的营业厅网络瘫痪故障更是对公司形象产生了负面的社会影响。如何提升DCN网络信息系统的安全水平，已成为我们日常工作生产（服务）中的薄弱环节和需要迫切解决的问题。作为长期负责西安市电信分公司DCN网络建设和维护的

3、专业人员，我们有责任有义务在此问题上献计献策，并采取切实有效地行动。本次QC活动，正值北信源安全系统正式上线之际，所以我们决定选取降低西安电信DCN网安全故障率为题，沉下心来，从DCN网的基础生产和基础管理入手，力求从难点，重点和关键问题上寻求突破DCN信息系统安全困境的方法。三、现状调查为彻底搞清我公司DCN网络安全问题频发的真正原因，掌握第一手材料，我们QC小组于2010年9至11月间，采用各种调查手段，针对DCN信息系统安全现状进行了大量的调查取证工作，并多次召开小组会议讨论分析主要问题。这期间，具体进行的调查活动有：第一次调查：历史统计资料调查： 调查方法：资料查阅： 调查时间：9月上

4、旬， 调查的内容和目的：活动小组查阅历年DCN维护日志和IT维护故障日登记表（电子版），对涉及DCN网瘫网慢等网络安全故障的产生原因仔细进行了归类总结； 调查结果： 一、47%的故障现象和局域网环路、病毒有关； 二、20%的故障是由设备自然老化（如光收发器，网桥） 三、17%的故障是由设备异常掉电引起； 四、10%的故障是人为误操作造成的，比如用户的错误使用（如：误占用网关）； 五、4%是线路问题（网线、光纤质量下降或施工损毁造成的障碍） 六、其他原因：3%（如网络割接，升级改造） 结果分析：合并第一、四项，发现有57%的网络故障与各汇聚局域网恶劣的网络安全环境有关；第二次调查：安全产品使用情

5、况调查： 调查方法：服务器控制台信息读取；9月上旬；对DCN网现有网络终端安全产品：“北信源桌面安全管理平台及补丁分发系统”（试用版，以下简称VRV EDP）和 “Symantec防 病毒系统”的部署使用情况进行调查； 图：（厂家提供，协商中）（厂家提供）注册使用安全产品的单位、用户呈逐月下降趋势；综合部署情况已经不足20%；这说明80%以上的生产计算机存在网络安全产品（主要是打补丁软件和查杀病毒软件）的严重缺失和错误使用问题。第三次调查：现场调查暗访、抽查9月中旬至9月底； 使用工具：抓包工具；暗访钟楼局，小寨局，电子城局调查DCN网络违规外联情况，并对小寨和周至局进行局域网抓包分析网络异常

6、数据流量；1）DCN违规外联现象普遍，手段多样： DCN网俗名叫内网，是因其作为生产网，原则上必须和其他网络，尤其是互联网实现完整的物理隔离，故而至今全省DCN网络只在省公司建设了一个公网出口，并有专人维护；然而通过暗访发现，各大汇接局DCN网络违规外联现象十分普遍，而且是八仙过海各显神通： （1）小寨营维中心利用营业厅公免ADSL资源，私自在DCN网络上搭建公网出口，造成极大安全隐患。（已处理） （2）电子城接入维护中心使用外省DCN网络的公网代理出口上互联网；代理地址为：133.83.9.100，端口8080； （3）钟楼局工单调度岗97生产用机普遍安装双网卡，有员工甚至认为双网卡是内网计

7、算机的标配产品。2）抓包信息暴露局域网病毒隐患：工具：vrvsiniffer抓包 现象：445端口攻击； 地点：小寨局华为3640路由器aspf抓包 现象：UDP半连接；周至局通过暗访和捕获生产局域网中的报文信息我们可以发现，生产用机的违规外联的现象相当普遍，而且手段不断翻新。如果结合第二项的“安全产品使用情况”的调查结果，不难看出，DCN网中有为数不少的生产用机时常裸奔于病毒泛滥的互联网，并在网络切换的过程中，将各种病毒带回内网生产环境，以至局域网病毒日益猖獗泛滥。加之汇接局域网网络安全监管维护人员缺失，我公司局域网信息系统安全形式十分严峻！下图是用360安全卫士软件对小寨营业厅某核心生产用

8、机扫描后的得分评价：第四次调查：对各部门单位组织架构、网络安全责任人员的现状调查：访问方式、问卷调查；10月上旬至中旬；本次调查，召集了DCN网络所承载的各个兄弟部门单位的网络安全员，着重调研如何在现行公司架构下组织人员开展网络安全工作的相关问题，摸清各兄弟 部门的组织架构和网络结构。并采用调查问卷的方式，倾听诸位一线安全员对网络安全相关工作的见解和心声。 结果分析：在安全管理上，各个部门单位松紧程度不一，人员组织松散，水平参差不齐，而且存在人员配比失衡的问题。具体来说： 1、管理最为严格，并且执行最好的部门是营业部，其次是各系统监控部门，而营维中心就相对忽视网络安全，违规也最为严重； 2、各

9、个部门单位的维护人员常常是随意指派，技术部门尚可，经营部门的安全员水平往往太过业余，也没有一个专门的组织作为交流成长的平台； 3、各汇接局存在严重的安全人员配比失衡问题。一个典型的汇接局，是由三个部门组成，分别是：隶属于营业部的营业厅，区营维中心和接入维护站（有的地方还有客户支撑中心）。然而由于历史原因，在一个汇接局内，往往只有一名（多为接入维护站选举）网络安全员负责整个汇接局的局域网相关工作，并与企化部终端班的对口维护人员进行工作联系。而事实上，市企化部的对口人往往需要负责两个以上的汇接局相关工作，如果加上各下属模块局，平均一个汇接局的局域网维护人员还不足1.5人，并需要维护三至四个单位的相

10、关网络安全工作，这显然不现实。第五次调查：调整网络结构，部署安全产品，加强网络安全管理的可行性调查，以及征求服务对象的意见与建议访问方式； 调查时间：10月下旬； 调查的内容和目的：本次调研主要是为解决现有问题而采取的一系列对策进行可行性调查。具体包括： 1、在终端班调研汇接局网络改造，即从97业务网内分离出营业厅的物理线路可行性， 2、以电子城营维中心、小寨营业厅、长安区分公司为代表，调研VRV EDP在营维中心、营业厅、郊县分公司按组织架构进行部署的可行性，并了解服务对象的需求和使用习惯； 3、调研网络监控中心及各生产机群的网络安全需求；基本符合预期，为对策应用提供了客观可信的可行性分析。

11、结论：市DCN网络现存的主要矛盾，是十年间应用服务系统、数据库服务系统快速增长，与业务保障系统一直发展建设缓慢之间的矛盾。 建设发展缓慢主要表现在两个方面：一是安全保障系统不完备，且现有系统适用性差，利用率低下；二是安全保障队伍建设不力，制度、管理缺失； 造成发展缓慢的根本原因是我们从思想上对网络安全工作的重视程度不足。四、目标确定 针对目前的网络现状，经QC小组开会讨论，决定从系统工具使用，人员队伍建设两方面入手，改善DCN信息系统安全中存在的主要问题。并根据系统工具历史使用的最好水平和借鉴数据等兄弟部门的管理经验，设定活动目标如下： 目标： 1、 将网管软件VRV EDP的注册率提升并保持

12、在70%以上； 2、 组建一支由20多人组成的DCN网络安全“虚拟团队”；五、原因分析因果图 关联图： 树图： 主要阐明：1、技防系统相关：为什么网管系统注册率低；2、人防体系相关：为什么安全员对网络安全管理工作的积极性不高；六、确定主因 结合原因分析图，确定要因如下： 1、技防手段注册率低是因为技防拓扑不适应现行组织架构； 2、人防队伍建设难的核心问题是人员面对维护压力时无管理手段，无组织归属，无绩效奖励的“三无”囧境。七、制定对策 根据上述确定的两点主要原因，我们认为不仅要选择功能强大，适用性高的网管系统，更关键的是还要有人用好，用巧这些系统。也只有走人防、技防相辅相成的路子，才能真正解决

13、当前网络安全中的困境，才能真正从思想上扭转我们对网络安全工作的认识。于是我们针对这两方面，分别制定了如下对策，并注意各个对策之间的互动。 首先，应对VRV EDP 系统的区域划分方式和终端注册逻辑作了全局性调整。之前VRV EDP项目部署目的是用于测试，于是采用了基于业务系统的快速注册部署方式，而在实践应用的三年间，积累了大量的应用难题，极大的削减了软件使用效率和员工使用热情。针对这一问题，QC小组开会决定：将过去基于业务的划分方式调整为基于实际生产组织架构的新方法。为保证新划分方式的适用性， 结合QC小组事先做了充分的调研和试点工作，摸索出一套高效、灵活的组织管理方法。 其次，人员及使用管理

14、方面：在新的区域组织模式下，结合网络安全虚拟团队的管理思路，拟采用全面开放平台的管理方式，具体说来，各网管人员作为下级管理员，可结合各个生产组织部门的固有特点，自主制定策略和统计相关区域数据，企业信息化部则主要负责策略审计和服务器维护工作，从而让企业信息化部真正回归IT工具提供者的服务角色。具体措施：1、技防系统方面： 因VRV EDP 项目已经正式采购，为有效保护公司投资，切实用好系统网管软件，QC小组决定发扬“不畏艰苦，连续作战”的精神，全面废止现有数据，在深入分析，充分调研的基础上，重新设计搭建新的部署注册逻辑，我们连续奋战一周，定义二级目录21个，三级目录340余个，重新整理划分DCN

15、网段880余段，手工录入网络信息1200余条。新的区域树形结构，不但从跟本上解决了旧系统遗留的客户端用户注册难，管理员职责不清，注册数据混乱，软件升级障碍等一系列长期困扰软件使用效率的老大难问题，而且为实现按生产部门实行差异化管理，差异化策略下发，差异化功能开发，以及DCN网络IP地址资源统计，终端硬件资料统计做出了基础性的贡献。 除此之外，我们还应仔细考虑了如下两个问题，并研究做出了应对方案： 1）注册部署方针： 根据测试期经验，注册点位时应注意如下问题，见部署分析图： 部署分析图：区域缓急程度参与人员预期效果特点网监中心急厂家、网监优，短期 专业人员维护，部署快速营维中心厂家、硬件班、网络

16、班、区局维护人员优，中期可以试点电子城局为示范，辐射带动郊县分公司维护人员良，中期前期以长安为试点，可以辐射带动监控集群差，长期对无人职守的机房，可保留测试期数据营业厅缓厂家、硬件班、营业部改造未完成，违规最少西华门生产机群企划部各相关人员最乱，最杂但便于开展维护 根据部署分析图，提出本次注册部署方针：首先，确保网监中心和各营维中心的注册率；其次，督促郊县分公司，监控机群的注册；最后，逐步完善营业部、西华门生产机群的注册工作； 2）脏数据的剔除问题： 正是由于采取了区域管理大规模的替换，基于C/S架构的VRV EDP系统会自动学习到很多基于老的区域管理信息数据，重新注册会出现两种情况：一，新数

17、据顶替老数据，二，老数据未被更替；针对这种情况，为保证资料的统一性，首先将老数据全部作为脏数据分入一个自定义的无效组中，待每个区域注册完成后，将顶替为新区域管理结构的数据信息放回正常环境，将未替换（即过去注册，本次未注册的终端）数据继续视为脏数据，放置在无效组中，待200日后有选择性的删除。从而杜绝新老数据混乱的情况。2、人防体系方面： 选取日常工作中表现好，能力强，和问卷调查中积极性高的同志作为网络安全虚拟团队成员，组建一支DCN网络安全虚拟团队； 基本思路有： 1、为自上而下提高对DCN网络安全性的重视，我们建议由陈杰副总亲自挂刷虚拟团队； 2、我们建议领导为参与虚拟团队的同志们向人力资源

18、部门申请一定的绩效奖励； 3、对参与虚拟团队的同志，在网络安全事故责任方面，原则上采取只奖不罚的政策； 4、制定网络安全虚拟团队章程； 5、为每个网络安全虚拟团队成员分配VRV EDP系统下级管理员账号，使其具备所辖局域网中信息统计和策略下发的权利； 5、组建虚拟团队QQ群，论坛等灵活的交流方式，邀请厂家人员有限度的参与其中，提升团员技术水平；八、对策实施 根据小组会议讨论，我们制定了“十步走”活动计划，目前已经走到第六步：一、加快市公司VRV EDP合同手续办理（备注：合并原有测试点位，为西安公司争取注册点位数）二、试点调研（备注：营业部试点：小寨营业厅；营维中心试点：电子城局，郊县试点：长

19、安，服务器环境：网监中心；调研内容详见“第五次调研”）三、试点注册（备注：发现问题：VRV EDP系统与180工单系统，清欠渠道系统存在不兼容和导出程序模块受影响等问题，原因：这些软件均采用构件化的软件系统开发方式， 某些功能模块发生冲突。解决情况：已解决，VRV EDP工程师通过修改参数名称解决。）四、VRV服务器环境搭建（备注：基于组织架构重新设计）五、推广注册六、分发下级管理员账号，组建虚拟团队，向领导为虚拟团队申请政策；七、策略调研八、策略试点九、策略推广十、现场培训 （备注：要求厂家去现场，手把手教授下级管理人员学会系统操作）九、效果检查十、巩固措施十一、活动体会及下一步打算具体内容用 小四号 宋体；如果涉及二级子标题（四号 黑体 粗体），三级子标题（小四号 黑体 粗体），四级子标题（小四号 宋体）