CN109831327B - 基于大数据分析的ims全业务网络监视智能化运维支撑系统 - Google Patents
基于大数据分析的ims全业务网络监视智能化运维支撑系统 Download PDFInfo
- Publication number
- CN109831327B CN109831327B CN201910080513.0A CN201910080513A CN109831327B CN 109831327 B CN109831327 B CN 109831327B CN 201910080513 A CN201910080513 A CN 201910080513A CN 109831327 B CN109831327 B CN 109831327B
- Authority
- CN
- China
- Prior art keywords
- data
- monitoring
- ims
- management
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于大数据分析的IMS全业务网络监视智能化运维支撑系统,包括:处理器,所述处理器接收数据采集端采集的资源管理数据、业务受理数据、信令监测数据以及告警监控数据,进行分析、存储和展示;所述处理器包括:IMS运维及监视模块、资源管理及开销户模块、重点分机监测保障模块、可视化监测模块、系统管理模块以及统计分析模块。本发明有益效果:实现IMS交换网各设备及终端的一体化、智能化、自动化运维管理,实现用户实名制,提升IMS行政交换网运维工作效率和运行安全可靠性,为电力通信的运维和管理提供更好的技术支撑。
Description
技术领域
本发明涉及一种基于大数据分析的IMS全业务网络监视智能化运维支撑系统。
背景技术
随着IP等分组技术的不断发展,基于电路交换技术的程控交换设备开始逐步面临技术演进的问题。国家电网公司交换网也面临网络转型的问题,需要设计一张技术先进、业务丰富、成本可控、运维便捷的交换网络作为网络演进的方向,解决当前程控交换设备逐步停产对现网运行带来的挑战。IMS(IP Multimedia Subsystem,IF多媒体子系统)是继电路交换技术后先后出现的下一代网络(NGN)交换技术,是当前主流的交换技术体制之一。IMS系统作为一种全新的多媒体业务形式,其技术网络架构更先进、业务开发环境更开放、标准协议更统一、屏蔽了接入层的差异,通过业务与会话控制的进一步分离,IMS技术能够满足现在的终端客户更新颖、更多样化多媒体业务的需求。此外,根据国家电网公司重点推广新技术目录,为确保公司电路行政交换网向IMS交换网平滑演进,提升公司行政交换网运维智能化和信息化支撑水平,需开展有关运维支撑平台和系统的研究和建设。
目前,发明人发现国网总部IMS行政交换运维至少存在如下问题:
(1)IMS核心网用户开户配置复杂,涉及对核心网多个网元网管的操作配置;此外,随业务范围的扩大,为满足各接入单位业务的快速开通,必然面临核心网部分网管功能分权分域管理的问题,目前一方面IMS核心网网管分权分域能力不够灵活,另一方面直接将核心网的网管权限进行分发,存在一定运行风险。
(2)IMS交换网接入网设备(如IAD、AG、IP-PBX)会涉及多厂家品牌设备,设备数量多(每万用户需约50台IAD设备),且均无统一网管,仅可通过网页形式逐台登录进行监视维护和数据配置,操作繁琐且时效性不强。
(3)IMS核心网设备涉及网元众多、组网方式复杂、系统告警、信令等消息繁多。此外,IMS交换网涉及核心网设备、接入网设备、核心网组网设备、IP承载网设备等多方面,运维工作复杂度较高,对运维人员传输网、数据网和业务网等技术的全面性要求高,且无统一的监视和管理平台和跨专业管理问题;缺乏自动化巡视巡检和告警、故障辅助分析工具,全手工查询运维工作效率底下。
(4)总部交换系统运维号码资源、用户信息和配置信息管理缺乏信息化支撑手段,资源管理、配置管理和统计分析等工作效率不高。此外,缺乏话务量统计等能力。
(5)交换网管理始终缺乏针对终端级别的检测保障手段。
发明内容
为了解决上述问题,本发明提出了一种基于大数据分析的IMS全业务网络监视智能化运维支撑系统,实现IMS交换网各设备及终端的一体化、智能化、自动化运维管理,实现用户实名制,提升IMS行政交换网运维工作效率和运行安全可靠性,为电力通信的运维和管理提供更好的技术支撑。
为了实现上述目的,本发明采用如下技术方案:
在一种或多种实施方式中公开的一种基于大数据分析的IMS全业务网络监视智能化运维支撑系统,包括:处理器,所述处理器接收数据采集端采集的资源管理数据、业务受理数据、信令监测数据以及告警监控数据,进行分析、存储和展示;
所述处理器包括:
IMS运维及监视模块,被配置为实现对IMS相关设备的告警监控、性能分析及全业务网络监视和智能巡检;
资源管理及开销户模块,被配置为实现对IMS号码资源、设备资源、用户资源、网管资源、中继资源的信息化管控及用户开户、销户、变更和补充业务的受理;
重点分机监测保障模块,被配置为实现对重点分机的维护管控,包括保障等级设置、保障时段设置及重点号码监测;
可视化监测模块,被配置为实现对业务信令、媒体流可视化监视及消息网元类型管控;
系统管理模块,被配置为实现对系统组织结构维护、权限及日志审计管控;
统计分析模块,被配置为实现对系统内告警数据、业务受理数据的统计分析及图表展示功能。
进一步地,所述IMS运维及监视模块实现对IMS相关设备的告警监控具体包括:
告警数据采集;
定义标准告警信息的格式及字段,将采集到的不同厂家型号设备的告警信息映射为标准告警信息;
配置告警信息的主从及衍生关联关系,对关联参数进行配置,并将设备告警转为该设备告警所影响的业务告警;
应用图表、设备树或者拓扑图方式展示告警信息;配置声音告警文件,并结合已有的短信平台,进行告警提醒;
对告警数据进行工程标记或消除处理;
实现核心网维度、接入网维度或者重点用户维度的告警数据统计分析。
进一步地,所述IMS运维及监视模块实现对IMS相关设备的性能分析具体包括:
采集性能数据并存储;
配置各个性能监测点的阈值信息,自动清除不满足阈值设定范围的告警信息;
对性能告警数据进行展示。
进一步地,所述IMS运维及监视模块实现对IMS相关设备的全业务网络监视具体为:通过IMS全网拓扑图及设备内端口接线图实现全业务网络监测。
进一步地,所述IMS运维及监视模块实现对IMS相关设备的智能巡检具体为:配置巡检设备范围、巡检内容以及巡检周期,自动进行巡检工作并输出巡检结果。
进一步地,所述资源管理及开销户模块对IMS号码资源的信息化管控包括:
号码管理:实现号码单个、批量添加或删除;实现可用号码的查询、禁用、筛选、靓号匹配标记;实现号码调拨以及号码资源查询统计;
号段管理:实现号段添加和分发。
进一步地,所述可视化监测模块实现对业务信令管控包括:
通过端口镜像,采集信令消息;
注册信令信息列表展示;
呼叫信令信息列表展示;
应用时序图进行注册信令及呼叫信令的可视化展示。
进一步地,还包括:基于日志的结构化数据复制技术,通过解析源数据库在线日志或归档日志获得数据的增量变化,将这些变化应用到目标数据库,从而实现源数据库与目标数据库同步更新。
进一步地,还包括:安全防护模块,所述安全防护模块包括应用安全单元,所述应用安全单元包括:身份认证子单元、权限授权子单元、输入输出验证子单元、配置管理子单元、会话管理子单元、数据加密子单元、参数操作子单元、异常管理子单元、日志与审计子单元以及WEB攻击防护和网页防篡改子单元中的至少一种。
进一步地,所述安全防护模块还包括:主机安全单元,所述主机安全单元包括:主机访问控制子单元、主机安全加固子单元、主机入侵检测子单元、主机内容安全子单元、病毒防范子单元、主机身份鉴别子单元、数据加密子单元、主机监控审计子单元、数据恢复子单元和资源控制子单元中的至少一种。
与现有技术相比,本发明的有益效果是:
实现IMS交换网各设备及终端的一体化、智能化、自动化运维管理,实现用户实名制,提升IMS行政交换网运维工作效率和运行安全可靠性,为电力通信的运维和管理提供更好的技术支撑。
通过进行IMS运维及监视,实现告警信息采集、标准化、关联、呈现及处理的全过程管控及统计分析;实现全业务网络自动监测及自动化智能巡检,避免手工查询带来的操作不便以及出错率高的问题;实现性能数据采集、分析存储、阈值配置、告警查询及处理的全过程管理。
实现对IMS核心网设备的全业务统一监控,实现运维号码资源、用户信息和配置信息的统一管控,实现用户license、并发license、业务受理数据统计、告警数据统计、话务量分析、中继占用情况分析、局向号数据分析等各种统计分析功能,提高资源管理、配置管理和统计分析等工作的工作效率,提高系统的辅助决策能力。
实现IMS自动化的数据配置、实现交换网智能化故障监测及处理、实现便捷快速的IMS开销户和业务变更;实现更完善易用的网管业务配置分权分域能力,避免不同接入单位人员直接访问IMS核心网管;
实现对核心网设备、接入网设备(IAD和AG)、终端设备等统一监控管理;实现号码资源、配置信息、用户信息的全电子化以及用户实名制管理,确保各项信息及时更新;实现网络路由和消息信令流、媒体流跟踪、监测等内容的直观呈现和分权分域查询能力;实现话务量等各类统计分析能力。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1是实施例一中基于大数据分析的IMS全业务网络监视智能化运维支撑系统的架构图;
图2是实施例一中系统数据架构图;
图3是实施例一中基于大数据分析的IMS全业务网络监视智能化运维支撑系统数据流转示意图;
图4是实施例一中基于大数据分析的IMS全业务网络监视智能化运维支撑系统集成示意图。
具体实施方式
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
实施例一
在一个或多个实施方式中公开了一种基于大数据分析的IMS全业务网络监视智能化运维支撑系统,包括:处理器,处理器接收数据采集端采集的资源管理数据、业务受理数据、信令监测数据以及告警监控数据,进行分析、存储和展示。
其中,处理器包括:
IMS运维及监视模块,被配置为实现对IMS相关设备的告警管理、性能分析及全业务网络监视和智能巡检;
资源管理及开销户模块,被配置为实现对IMS号码资源、设备资源、用户资源、网管资源、中继资源的信息化管控及用户开户、销户、变更和补充业务的受理;其中,中继信息包含了描述中继端口号、使用情况等的信息。
重点分机监测保障模块,被配置为实现对重点分机的维护管理,包括保障等级设置、保障时段设置及重点号码监测;
可视化监测模块,被配置为实现对业务信令、媒体流可视化监视及消息网元类型管控;
系统管理模块,被配置为实现对系统组织结构维护、权限信息管理和日志信息审计管理;其中,权限信息为用于描述系统操作账号、角色、权限关系的信息;日志信息为用于描述系统访问日志、操作日志、告警日志信息。
统计分析模块,被配置为实现对系统内告警数据、业务受理数据的统计分析及图表展示功能。
图1给出了系统的技术架构图,包括:
数据采集层,被配置为进行资源管理数据、业务受理数据、信令监测数据以及告警监控数据的采集;
基础功能层,被配置为实现权限服务、图形展示平台、接口适配以及数据存储;
业务功能层,用于实现IMS运维及监视、资源管理及开销户、重点分机监测保障、可视化监测、系统管理以及统计分析功能。
展现层,包括展示框架、桌面终端界面以及展示组件库,用于实现对各种信息的统计分析展示。
图2为系统数据架构图,采集的数据包括:资源管理、业务受理、告警监控以及信令监测数据;其中,资源管理数据包括:号码资源数据、设备资源数据、用户资源数据以及组织机构数据;业务受理数据包括:用户开户数据、用户销户数据、资料变更数据以及指令重发数据;告警监控数据包括:设备告警数据和设备性能数据。
数据采集的来源主要包括:核心网网管、承载网设备以及接入网设备。
其中,接入网设备的相关信息包括:接入网设备版本号、服务器版本、类型、厂家型号等信息。
上述处理器包含的功能模块中,IMS运维及监视功能模块主要包括:
告警采集:系统通过采集代理自动采集告警数据及运维人员通过用户报修、投诉等手工录入告警信息;告警信息主要包括:核心网告警信息、接入网告警信息以及对重点用户的告警信息。告警信息中包括了描述告警级别、告警设备、告警专业、告警处理情况等的信息。
告警标准化:定义标准化告警格式、字段,将收集的不同厂家型号设备的告警映射为标准告警;
告警关联:配置告警主从、衍生等关联关系,对关联参数等进行配置,并将设备告警转为影响业务告警;
告警呈现:应用图表、设备树、拓扑图等方式展示告警信息;配置声音告警文件,并结合已有的短信平台,进行告警提醒;
告警处理:实现告警数据工程标记、消除等处理功能;
告警统计:实现核心网、接入网及重点用户等维度的告警数据统计分析;
以上功能实现了IMS相关设备的告警信息采集、标准化、关联、呈现及处理的全过程管控及统计分析。
全业务网络监测:通过IMS全网拓扑图及设备内端口接线图实现全业务网络监测。构建全网监测视图,描述IMS设备端到端连接的拓扑图及设备内接线图,并在图形上显示各类告警信息。
智能巡检:配置巡检设备范围、巡检内容、巡检周期等,自行进行巡检工作并输出巡检结果。
性能数据采集:从IMS接入网、终端、核心网网管等收集性能数据;性能数据为用于描述设备性能的数据。
性能指标处理:性能数据的分析存储;
性能告警规则:配置各个性能监测点的阈值信息;
性能告警处理:系统自动清除不满足阈值设定范围的告警;人工处理性能告警信息;
性能告警呈现:进行性能告警数据的展示。
以上功能实现了IMS相关设备的性能数据采集、分析存储、阈值配置、告警查询及处理的全过程管理。
上述处理器包含的功能模块中,资源管理及开销户模块的功能主要包括:
用户查询:根据部门、人员、号码等信息进行用户查询;
用户开户:填写用户信息、选择业务套餐进行开户;
用户变更:进行用户信息、业务套餐等变更;
用户销户:注销用户注册信息;
补充业务受理:呼叫转移、一号通等补充业务办理、更改、注销;
指令管理:对网元施工失败的操作进行指令查询、重发;
批量开户:根据开户模板整理相关开户信息,批量完成用户开户;
批量销户:根据销户模板整理相关销户信息,批量完成用户销户;
通讯里信息维护、通讯录信息自动同步以及通讯录信息排重管理:根据业务受理情况,自动进行通讯录数据同步,进行通讯录数据重复项合并、删除等。其中,通讯录信息为描述通讯录单位/部门、人员、号码等的信息;号码信息包括了描述号码使用人、关联设备等台账信息。
号码管理:号码单个、批量添加或删除;可用号码的查询、禁用、筛选、靓号匹配标记;号码调拨;号码资源查询统计;
号段管理:号段添加、分发等。
设备信息管理、品牌型号管理:设备单个、批量添加或删除、设备资源关联关系配置、设备资源查询统计;设备品牌型号库维护。其中,设备信息中包含了描述设备位置、归属单位、厂家型号等台账信息。
用户信息管理、关联设备链路:实现用户信息查询、注册状态查询;用户使用的设备信息查询;其中,用户信息,用于描述用户基本信息、开通业务套餐、重点保障状态、注册状态等。重点保障状态包括描述重点保障分机范围、保障等级、保障时段等信息。
网管信息管理、网管接口管理、中继资源管理:实现网管参数维护、网管各个接口维护以及中继资源维护、查询统计。其中,网管信息为用于描述网管基本台账的信息。
上述处理器包含的功能模块中,重点分机保障监测模块的功能主要包括:
保障等级管理:设置保障等级,不同等级区分保障机制,包括保障方式等;
保障时段管理:设置保障时间段,可全天或正常工作时间;
重点号码监测:重点号码保障状态查询、监测、告警。
上述处理器包含的功能模块中,可视化监测模块的功能主要包括:
业务信令可视化监测:业务信令采集、分析、处理及可视化展示查询;
其中,信令采集分析:通过端口镜像,采集信令消息;信令消息包含了描述号码、源IP、目的IP、时间、信令状态等的信息;
注册信令信息:用于注册信令信息列表展示;
注册信令时序图:用于应用时序图进行注册信令可视化展示;其中,信令时序图用于对信令消息可视化展示;通过消息类型描述信令消息及时序图中响应信息的对应关系;
呼叫信令信息:用于呼叫信令信息列表展示;
呼叫信令时序图:用于呼叫时序图进行呼叫信令可视化展示。
媒体流可视化监测:用于媒体流流向及流量数据采集分析及媒体流追踪可视化展示查询;
消息类型配置:用于消息类型维护。
上述处理器包含的功能模块中,系统管理模块的功能主要包括:
组织结构管理:用于公司组织结构维护;
角色管理:用于角色创建、修改、删除;
账号管理:用于系统账号创建、修改、删除;
角色授权:用于角色权限分配;
访问日志管理、操作日志管理、接口日志管理分别实现登录登出日志查询、业务操作日志查询以及数据接口日志查询;
备份定期转储:用于系统数据自动备份、转储;
账号异常报警:账号异常登录、异地登录、频繁登录失败等异常情况监测报警;
实名制管理:账号对应人员身份证号码管理;
日志审计管理:对业务流水号、用户、开始时间、结束时间、操作内容、操作结果等日志查询审计。
上述处理器包含的功能模块中,统计分析模块的功能主要包括:
用户license统计、并发license统计分别用于进行用户license统计查询和并发license统计查询;其中,并发license信息用于描述用户数量、核心网总体并发license数量,通过饼图展示。
开销户数据统计:进行开销户数据统计查询;其中,开销户数据统计体现为描述按照时间维度的开销户、用户变更等的数据曲线。
告警数据统计:进行核心网、接入网、重点分机等告警信息统计查询,按照告警级别、告警状态进行统计分析,告警信息统计体现为描述告警信息分布情况的统计图表。
根据告警级别、告警专业、设备位置、网元类型、告警状态、告警时间等查询条件进行告警信息查询。
话务量统计分析:进行话务量统计查询;
中继占用统计分析:进行中继占用情况统计查询;
局向号统计分析:进行局向号统计查询。
按照业务应用的数据特点分类,业务应用数据可分为配置数据、主数据、实时数据和统计查询数据。
配置数据:与所有单位共享的相对稳定不变的数据,如组织机构、角色等;
主数据:某个单位独享的相对稳定不变的数据,如设备数据等;
实时数据:是采集获取的监控数据,数据量巨大,采集频率高,数据结构简单;
业务数据:指日常业务开展发生的原始数据;
统计查询数据:由业务数据或实时数据加工而成的冗余数据,以方便查询及展示。
图3给出了基于大数据分析的IMS全业务网络监视智能化运维支撑系统与核心网设备、承载网设备以及接入网设备的数据流转示意图;考虑到配置数据、主数据、实时数据、业务数据、统计查询数据等数据访问的特点及对业务支撑的需要,采用关系型数据库SG-RDB来实现数据的存储。
系统占用数据库存储空间比较大的是系统操作日志和信令监控两类数据,这两类占据了数据库80%以上的空间容量,对数据库的能力主要体现在这两类数据的处理能力上。
组织机构、角色、用户、设备台账、号码资源信息是在系统中创建,属于系统自有数据。告警、监控数据是从核心网、承载网、接入网实时获取,并在系统展示。信令数据是从SBC和核心网网元交换机采集,解析后系统展示。
图4给出了基于大数据分析的IMS全业务网络监视智能化运维支撑系统与一体化调度运行支撑平台和统一权限平台的集成示意图,一体化调度运行支撑平台向运维支撑系统发送指标请求,运维支撑系统根据目标请求向统一权限平台请求相关的信息,并将统一权限平台返回的信息反馈至一体化调度运行支撑平台。
为考虑高峰时处理器的能力,并适当保留一些缓冲,确保在业务增长时,系统有扩展的余地。为保持快速的响应能力,建议为CPU保留20%至40%的富余量。结合已有系统的建设运维经验,推荐应用服务器每台服务器的核数至少为6核,主频3.8GHz以上,SG-RDB数据库服务器每台核数至少为6核,主频3.5GHz以上。
为满足系统的性能与可靠性需求,同时数据传输及服务调用也需要有充足的内存,并且要保留20%的余量以保证系统的稳定,推荐应用服务器配置32G内存,SG-RDB数据库服务器配置32G内存。
在另外一些实施方式中,基于大数据分析的IMS全业务网络监视智能化运维支撑系统还包括:系统灾备设计单元,基于日志的结构化数据复制技术,它通过解析源数据库在线日志或归档日志获得数据的增量变化,再将这些变化应用到目标数据库,从而实现源数据库与目标数据库同步。通过分析过滤日志来捕捉变化,可以实现跨平台的数据库复制以及非SG-RDB数据库的数据同步。
在另外一些实施方式中,基于大数据分析的IMS全业务网络监视智能化运维支撑系统还包括:系统安全设计模块,最大限度的保障系统的安全、可靠和稳定运行。系统安全设计模块包括:应用安全单元、数据安全单元、主机安全单元、网络安全单元、终端安全单元、边界安全单元以及物理安全单元。
其中,应用安全单元具体包括:
(1)身份认证子单元,所述身份认证子单元被配置为:基于统一权限平台ISC提供的过滤器进行单点登录跳转,通过将单点登录的认证用户信息放入网站的会话中,如果以单点登录则跳转至系统首页,否则跳转至统一门户的登录页面;不在cookie中保存登录密码,当浏览器被关闭所有的认证信息均被销毁;进行密码强度配置;支持密码强度配置开关和强制修改密码开关,启用开关后登录时校验密码强度,强度不够时强制修改密码;登录设定次数失败则锁定帐户;通过配置方式启用禁止同一帐号同时在多个IP登录。
(2)权限授权子单元,所述权限授权子单元被配置为:基于统一权限平台ISC进行授权;基于角色控制资源的访问权限,并支持细度的权限控制(修改、只读、隐藏);系统帐户绑定不同的角色,而每个角色可定义资源访问的权限以及资源禁止访问的权限,授权粒度或以控制到具体的角色和功能的访问控制,对配置管理服务(MWManagement)的访问,需要对该资源进行认证授权。
(3)输入输出验证单元,所述输入输出验证单元被配置为:在服务器端对所有显式、隐式输入(包括URL请求参数、表单的GET、POST数据,各种包含脚本程序的输入)进行合法性和有效性验证;统一输入及输出数据验证接口,保障验证逻辑的一致性;按照各接口数据格式,对输入数据数据进行格式化,例如URL、日期、数字、字符串等,确保数据格式正确;针对特殊字符进行检测,例如单引号、1=1、CDATA,分号、for、loop等,防止XML注入、SQL注入及脚本注入攻击;采用正则表达式验证数据结果;执行数据过滤及筛选,对不合法数据进行丢弃及报警。
(4)配置管理子单元,所述配置管理子单元被配置为:用户授权等配置管理功能只允许管理员角色的用户操作;禁止通过Web页面直接浏览服务端的目录和文件;对重要配置数据加密存储和传输。
(5)会话管理子单元,所述会话管理子单元被配置为:用户登录后界面提供登出、注销功能;用户注销或关闭浏览器后,服务端自动清除用户会话及分配给该用户的内存空间;设置会话存活时间为30分钟,超时后:客户侧应用用户再次操作时,对用户身份进行再次认证;运营侧、管理侧应用自动销毁用户会话,删除会话信息。用户登录成功后创建新的会话,并随机分配会话ID,绑定当前IP地址、机器名等信息;在服务端进行会话信息存储,对用户登录信息及身份凭证进行加密传输;不允许同一用户异地重复登录。
(6)加密技术子单元,所述加密技术子单元被配置为:在应用中采用国产加密算法(对称算法SM4、非对称算法SM2、哈希算法SM3)对数据进行加解密处理,以保障应用和数据的存储、传输和使用安全:用户鉴别信息:将用户密码与其它用户识别信息(如用户帐号或其它注册信息)采用哈希算法(SM3)进行处理后作为用户鉴别信息的哈希值存储,以保证每个用户的鉴别信息不同;重要业务数据的保密性:采用对称算法(SM4)对数据进行加密处理后进行传输或存储,算法处理中使用的对称算法密钥通过其它安全方式进行传输(如服务器CA证书私钥加密)或存储(如服务器CA证书公钥加密);重要业务数据的完整性:采用哈希算法(SM3)对重要业务数据生成数字摘要,必要时可添加时间戳信息;上述加解密过程采用国家密码管理局认证的服务器密码机设备提供的密码算法接口,并由服务器密码机提供密钥生成、分发、验证、更新、存储、备份、销毁等管理功能。
通信报文:在访问重要的业务应用(如提交包含订单、支付等信息的页面)时,在对数据进行加密处理的基础上,强制使用HTTPS安全协议对整个通信报文进行加密传输;
集成服务:对于文件类型通过FTP流转的均采用SFTP安全协议传输,其他类型数据使用HTTPS安全协议传输,对于关键应用集成信息,采用数字签名进行安全防护。
(7)参数操作子单元,所述参数操作子单元被配置为:通过过滤器校验用户的输入,支持成功登录后分配一个随机会话id标识用户;基于POST方式提交页面表单;支持加密客户端sql的功能;通过客户端js验证和服务端验证两种方式对客户端的输入值校验。
(8)异常管理子单元,所述异常管理子单元被配置为:基于统一的出错页面显示异常信息,并且异常出错信息记入日志;出现意外情况,系统自动重新启动,自动保护当前状态。
(9)日志与审计子单元,所述日志与审计子单元被配置为:在应用中实现用户访问日志记录功能,对用户登录/退出、帐号维护、权限维护等涉及安全事件的关键操作进行记录;日志记录包含以下信息域:操作用户、操作对象、操作时间、操作内容、操作结果(成果/失败)等;严格限制对日志记录的访问,禁止对日志记录的手工删除、修改、新增等操作;保持至少6个月的在线日志记录和12个月的归档日志。通过开发独立的安全审计模块或使用第三方应用安全审计系统对上述日志进行分析和处理:支持系统的启动和停止的审计、登录信息的审计、用户密码变更的审计、系统帐户操作的审计、用户操作敏感数据的审计;保证审计进程不被非授权中断;提供统一的审计查询页面查询和分析审计的内容;审计信息的页面只能浏览和查询;可以生成审计报表,并能以多种格式导出。
(10)WEB攻击防护和网页防篡改子单元,所述WEB攻击防护和网页防篡改子单元被配置为:在应用层面,加强对用户的身份鉴别、访问权限控制等措施,防范用户身份假冒和越权访问(具体措施见“身份鉴别”、“授权”等项);加强输入输出验证,丢弃包含非法输入的访问请求,防范应用层面的注入、跨站等攻击(具体措施见“输入输出验证”、“参数操作”等项)。
其中,数据安全单元被配置为:
数据来自统一权限系统(ISC),用户登录操作时进行校验,系统获取用户和权限信息。
数据由采集模块从设备或业务系统采集后存储到实时数据库中,由应用进行展现。
数据由用户在界面进行输入,存储于数据库中,并可以查询展示。
数据在应用服务端生成,经过安全接入平台通道传输到web端,在浏览器中展示。
其中,主机安全单元,主机包括处理器和存储器,以及应用在处理器中的程序;主机安全单元具体包括:
(1)主机访问控制子单元,其被配置为:
控制用户对系统资源的最小访问,系统资源按角色实现权限分离;应用系统的设计采用二层以上结构,将提供数据显示功能与数据处理功能在物理或逻辑上分离;禁止默认用户访问;用户具有安全标记(口令),通过比较安全标记来确定是授予还是拒绝用户对系统的访问。
(2)主机安全加固子单元,其被配置为:
选择相对安全的操作系统、中间件和数据库系统,对主机系统进行必要的加固;限制对主机的访问权,对操作系统用户、中间件系统、数据库系统的用户进行有效管理,禁止缺省口令和弱口令;对系统文件进行有效的保护,防止被篡改和替换。
(3)主机入侵检测子单元,其被配置为:
对服务器运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况;设置资源报警阀值,以便在资源使用超过规定数值时发出警报。
(4)主机内容安全子单元,其被配置为:对服务器的重要信息资源设置敏感标记;控制用户对服务器环境的访问,禁止服务器的默认用户。
(5)病毒防范子单元,其被配置为:安装主机防病毒软件,对服务器和桌面终端安装防病毒软件;配置账户策略:更换管理员账户,杜绝Guest账户等;安全配置,关闭不必要的端口;定期进行版本和病毒库的更新。
(6)主机身份鉴别子单元,其被配置为:系统用户的身份标识应具有唯一性;对登录的用户进行身份标识和鉴别;系统用户的身份鉴别信息具有不易被冒用的特点,例如口令长度、复杂性和定期更新等;系统具有登录失败处理功能,如结束会话、限制非法登录次数,当登录连接超时,自动退出;应用系统及时清除存储空间中动态使用的鉴别信息。
(7)数据加密子单元,其被配置为:网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性;网络设备、操作系统、数据库管理系统和应用系统应为重要通信提供专用协议或安全通信协议服务,避免来自基于通用协议的攻击,破坏数据保密性。
(8)主机监控审计子单元,其被配置为:进行主机运行监视,包括监视主机的CPU、硬盘、内存和网络等资源的使用情况;对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进行有效管理;严格管理运行过程文档,其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等,并确保文档的完整性和一致性;定期或不定期对保密制度执行情况进行监督检查;建立安全管理中心,对恶意代码、补丁和审计等进行集中管理。
(9)数据恢复子单元,其被配置为:提供自动备份机制实现数据实时本地和异地备份;提供恢复数据的功能;提供重要业务系统的本地和异地系统级热备份;提供自动机制在灾难发生时实现自动业务切换和恢复。
(10)资源控制子单元,其被配置为:限制单个用户的多重并发会话;对最大并发会话连接数进行限制;对一个时间段内可能的并发会话连接数进行限制;通过设定终端接入方式、网络地址范围等条件限制终端登录;根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式;禁止同一用户账号在同一时间内并发登录;限制单个用户对系统资源的最大或最小使用限度。
其中,网络安全单元具体包括:
网络设备安全子单元,其被配置为:对网络设备进行安全配置,禁止不需要的服务和容易被dos用户利用的ip服务端口;对网络设备访问做好访问控制,禁止远程访问;对网络设备的配置需要进行及时更新和定期检查;采用严格的接入控制措施,保证系统网络只有合法的节点接入和数据流动。要点包括逻辑区划分和逻辑隔离。
网络基础服务安全子单元,其被配置为:网络硬件服务商的选择符合安全条件;关键的主机系统采用双机集群高可用性技术,实现任务分担、负载均衡和失效转移等功能。
网络业务信息流安全子单元,其被配置为:共享信息的保护,服务器的重要文件或路径禁止随意共享;安装必要的安全软件、防火墙及安全工具;定期备份系统重要数据。
其中,终端安全单元的设计根据具体的设计文件要求进行设计。
边界安全单元中的边界具体包括:信息内网横向边界和信息内网纵向边界;对于信息内网横向边界的防护包括:网络访问控制和网络入侵检测;对于信息内网纵向边界的防护包括:网络访问控制、网络入侵检测和边界安全审计;
物理安全单元的设计主要从机房出入控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温度、湿度控制、电力供应以及电磁防护等方面进行考虑。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (7)
1.基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,包括:处理器,所述处理器接收数据采集端采集的资源管理数据、业务受理数据、信令监测数据以及告警监控数据,进行分析、存储和展示;
所述处理器包括:
IMS运维及监视模块,被配置为实现对IMS相关设备的告警监控、性能分析及全业务网络监视和智能巡检;
资源管理及开销户模块,被配置为实现对IMS号码资源、设备资源、用户资源、网管资源、中继资源的信息化管控及用户开户、销户、变更和补充业务的受理;
重点分机监测保障模块,被配置为实现对重点分机的维护管控,包括保障等级设置、保障时段设置及重点号码监测;
可视化监测模块,被配置为实现对业务信令、媒体流可视化监视及消息网元类型管控;
系统管理模块,被配置为实现对系统组织结构维护、权限及日志审计管控;
统计分析模块,被配置为实现对系统内告警数据、业务受理数据的统计分析及图表展示功能;
基于日志的结构化数据复制技术,通过解析源数据库在线日志或归档日志获得数据的增量变化,将这些变化应用到目标数据库,从而实现源数据库与目标数据库同步更新;
安全防护模块,所述安全防护模块包括应用安全单元,所述应用安全单元包括:身份认证子单元、权限授权子单元、输入输出验证子单元、配置管理子单元、会话管理子单元、数据加密子单元、参数操作子单元、异常管理子单元、日志与审计子单元以及WEB攻击防护和网页防篡改子单元中的至少一种;
所述安全防护模块还包括:主机安全单元,所述主机安全单元包括:主机访问控制子单元、主机安全加固子单元、主机入侵检测子单元、主机内容安全子单元、病毒防范子单元、主机身份鉴别子单元、数据加密子单元、主机监控审计子单元、数据恢复子单元和资源控制子单元中的至少一种。
2.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述IMS运维及监视模块实现对IMS相关设备的告警监控具体包括:
告警数据采集;
定义标准告警信息的格式及字段,将采集到的不同厂家型号设备的告警信息映射为标准告警信息;
配置告警信息的主从及衍生关联关系,对关联参数进行配置,并将设备告警转为该设备告警所影响的业务告警;
应用图表、设备树或者拓扑图方式展示告警信息;配置声音告警文件,并结合已有的短信平台,进行告警提醒;
对告警数据进行工程标记或消除处理;
实现核心网维度、接入网维度或者重点用户维度的告警数据统计分析。
3.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述IMS运维及监视模块实现对IMS相关设备的性能分析具体包括:
采集性能数据并存储;
配置各个性能监测点的阈值信息,自动清除不满足阈值设定范围的告警信息;
对性能告警数据进行展示。
4.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述IMS运维及监视模块实现对IMS相关设备的全业务网络监视具体为:通过IMS全网拓扑图及设备内端口接线图实现全业务网络监测。
5.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述IMS运维及监视模块实现对IMS相关设备的智能巡检具体为:配置巡检设备范围、巡检内容以及巡检周期,自动进行巡检工作并输出巡检结果。
6.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述资源管理及开销户模块对IMS号码资源的信息化管控包括:
号码管理:实现号码单个、批量添加或删除;实现可用号码的查询、禁用、筛选、靓号匹配标记;实现号码调拨以及号码资源查询统计;
号段管理:实现号段添加和分发。
7.如权利要求1所述的基于大数据分析的IMS全业务网络监视智能化运维支撑系统,其特征在于,所述可视化监测模块实现对业务信令管控包括:
通过端口镜像,采集信令消息;
注册信令信息列表展示;
呼叫信令信息列表展示;
应用时序图进行注册信令及呼叫信令的可视化展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080513.0A CN109831327B (zh) | 2019-01-28 | 2019-01-28 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910080513.0A CN109831327B (zh) | 2019-01-28 | 2019-01-28 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109831327A CN109831327A (zh) | 2019-05-31 |
| CN109831327B true CN109831327B (zh) | 2021-11-19 |
Family
ID=66862690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910080513.0A Active CN109831327B (zh) | 2019-01-28 | 2019-01-28 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109831327B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110968482A (zh) * | 2019-12-18 | 2020-04-07 | 上海良鑫网络科技有限公司 | 企业服务及应用智能监控系统 |
| CN111190794A (zh) * | 2019-12-30 | 2020-05-22 | 天津浪淘科技股份有限公司 | 一种运维监控管理系统 |
| CN111541585A (zh) * | 2020-04-21 | 2020-08-14 | 国网浙江省电力有限公司信息通信分公司 | 接入设备的巡检方法及装置 |
| CN113765946B (zh) * | 2020-06-02 | 2024-03-01 | 中移物联网有限公司 | 一种边缘型蜂窝物联网专网系统 |
| CN111669295B (zh) * | 2020-06-22 | 2023-09-19 | 南方电网数字电网研究院有限公司 | 业务管理方法和装置 |
| CN111988199B (zh) * | 2020-08-04 | 2022-03-08 | 国网山东省电力公司信息通信公司 | 一种电力交换网ims信令分析系统及方法 |
| CN112187944B (zh) * | 2020-09-30 | 2022-11-25 | 国网河北省电力有限公司信息通信分公司 | 一种一号通业务报文的处理方法 |
| CN112395172A (zh) * | 2020-11-20 | 2021-02-23 | 城云科技(中国)有限公司 | 基于应用软件自动化监测数据的可视化展示方法 |
| CN112449019A (zh) * | 2020-11-27 | 2021-03-05 | 辽宁科电交通科技有限公司 | 一种ims智能物联网运维管理平台 |
| CN112996025B (zh) * | 2021-03-15 | 2023-06-27 | 广东电网有限责任公司广州供电局 | 无线通讯设备的管理系统、方法、存储介质及终端设备 |
| CN113472574B (zh) * | 2021-06-30 | 2022-08-26 | 中国电信股份有限公司 | 基于5g专网监控用户设备方法、装置、介质及电子设备 |
| CN113378169A (zh) * | 2021-07-07 | 2021-09-10 | 国网冀北电力有限公司 | 用于虚拟电厂运营的安全防护系统 |
| CN113810371B (zh) * | 2021-08-04 | 2023-04-18 | 苏州椰云科技有限公司 | 一种软硬件解耦平台的安全管理方法 |
| CN114047855B (zh) * | 2021-11-18 | 2023-11-07 | 北京字跳网络技术有限公司 | 一种表单编辑方法、装置及终端设备 |
| CN114448659B (zh) * | 2021-12-16 | 2022-10-11 | 河南大学 | 基于属性探索的黄河坝岸监测物联网访问控制优化方法 |
| CN114363040A (zh) * | 2021-12-30 | 2022-04-15 | 国网宁夏电力有限公司 | 一种电网负荷调控平台运行安全防护方法与系统 |
| CN114912143B (zh) * | 2022-05-05 | 2023-04-18 | 微神马科技(大连)有限公司 | 一种基于大数据的计算机数据安全评估系统 |
| CN115001708B (zh) * | 2022-05-30 | 2024-04-02 | 国网电力科学研究院有限公司 | 面向电网调度自动化主站系统的网络安全运维方法及装置 |
| CN115473815B (zh) * | 2022-08-23 | 2024-01-19 | 浪潮通信信息系统有限公司 | 基于设备变更的业务迁移系统及方法 |
| CN115499786B (zh) * | 2022-09-09 | 2023-08-11 | 国网陕西省电力有限公司安康供电公司 | 一种基于ims系统的应用系统数据采集及预警系统 |
| CN116170280A (zh) * | 2023-03-07 | 2023-05-26 | 广州爱浦路网络技术有限公司 | 5gc告警装置、方法、nf网元告警数据收发装置及方法 |
| CN116562848A (zh) * | 2023-05-05 | 2023-08-08 | 江西意孚欧科技有限公司 | 一种运维管理平台 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103903311A (zh) * | 2012-12-28 | 2014-07-02 | 新疆电力信息通信有限责任公司 | 机房智能巡检方法 |
| CN104301380A (zh) * | 2014-08-29 | 2015-01-21 | 中邮科通信技术股份有限公司 | 一种基于ims的终端管理及业务发放系统 |
| CN104407964A (zh) * | 2014-12-08 | 2015-03-11 | 国家电网公司 | 一种基于数据中心的集中监控系统及方法 |
| CN205301237U (zh) * | 2016-04-13 | 2016-06-08 | 交通运输部水运科学研究所 | 有毒有害气体应急监测机器人 |
| EP3045003A1 (en) * | 2013-09-12 | 2016-07-20 | Telefonaktiebolaget LM Ericsson (publ) | Paging procedure in a control node |
| CN106210034A (zh) * | 2016-07-07 | 2016-12-07 | 国网山东省电力公司信息通信公司 | 一种基于ims企业网的智能终端管控方法及系统 |
| CN107046481A (zh) * | 2017-04-18 | 2017-08-15 | 国网福建省电力有限公司 | 一种信息系统综合网管系统综合分析平台 |
-
2019
- 2019-01-28 CN CN201910080513.0A patent/CN109831327B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103903311A (zh) * | 2012-12-28 | 2014-07-02 | 新疆电力信息通信有限责任公司 | 机房智能巡检方法 |
| EP3045003A1 (en) * | 2013-09-12 | 2016-07-20 | Telefonaktiebolaget LM Ericsson (publ) | Paging procedure in a control node |
| CN104301380A (zh) * | 2014-08-29 | 2015-01-21 | 中邮科通信技术股份有限公司 | 一种基于ims的终端管理及业务发放系统 |
| CN104407964A (zh) * | 2014-12-08 | 2015-03-11 | 国家电网公司 | 一种基于数据中心的集中监控系统及方法 |
| CN205301237U (zh) * | 2016-04-13 | 2016-06-08 | 交通运输部水运科学研究所 | 有毒有害气体应急监测机器人 |
| CN106210034A (zh) * | 2016-07-07 | 2016-12-07 | 国网山东省电力公司信息通信公司 | 一种基于ims企业网的智能终端管控方法及系统 |
| CN107046481A (zh) * | 2017-04-18 | 2017-08-15 | 国网福建省电力有限公司 | 一种信息系统综合网管系统综合分析平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109831327A (zh) | 2019-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN110543464B (zh) | 一种应用于智慧园区的大数据平台及操作方法 | |
| CN112765245A (zh) | 一种电子政务大数据处理平台 | |
| US20020078382A1 (en) | Scalable system for monitoring network system and components and methodology therefore | |
| US11489876B2 (en) | System and apparatus for providing network security | |
| US20210006600A1 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
| US8880893B2 (en) | Enterprise information asset protection through insider attack specification, monitoring and mitigation | |
| EP2036305B1 (en) | Communication network application activity monitoring and control | |
| CN107395570B (zh) | 基于大数据管理分析的云平台审计系统 | |
| CN103413083B (zh) | 单机安全防护系统 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN112837194A (zh) | 一种智慧系统 | |
| CN1953454A (zh) | 基于角色管理的安全审计方法及系统 | |
| CN117319064A (zh) | 基于可信计算的网络空间安全管控系统 | |
| Jacobs | Security management of next generation telecommunications networks and services | |
| CN113378169A (zh) | 用于虚拟电厂运营的安全防护系统 | |
| KR102657161B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102669482B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102660695B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| CN106779458A (zh) | 一种机要件管理系统 | |
| CN117354317A (zh) | 一种基于审计的跨链桥管理系统 | |
| Pritz | Shell activity logging and auditing in exercise environments of security Lectures using OSS | |
| Vaarandi | PROVIDING RELIABLE LOG DELIVERY AND INTEGRITY OF LOGS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |