导读:本文从电信运营商数字化的概况、信息化现状、容灾备份建设要求、系统容灾场景、案例简析等多维度分析行业数据安全和业务连续性建设的特点,尽可能为你呈现电信运营商在融合各类新兴技术时,所需数据保护和信息系统安全建设的不同,助力电信运营商在坚实的安全屏障下,全力聚焦市场竞争力发展。
一、行业概述
电信运营商是指提供固定电话、移动电话和互联网接入的通信服务公司。作为全球数据整合的关键环节,电信运营商掌握海量数据,包括客户资料、设备、网络、位置、用户偏好等信息。随着大数据、云计算技术、人工智能、5G 等技术的应用普及,电信运营商业务和用户数据向多样化发展。本内容讨论的数据安全和业务连续性主体,为各电信运营商下属机构及购买其数字服务的各类企业和组织,譬如电信运营商数据中心、医院、政府机构等。
凭借海量的数据资产,电信运营商在各行各业的数字化进程中,扮演智能管道的关键角色,为其他行业提供核心的数字业务,如智慧城市、科技金融、数字医疗等。电信运营商未来市场增值的机会就在于这些新业态的拓展,尤其是以大数据、云计算、物联网、数据安全为核心的数字化服务。因此,拥有一个安全、稳定、可靠的信息技术架构,成为电信运营商在取得市场决胜竞争力的关键之一,也是全球数字化浪潮下电信运营商的必经之路。
1.电信运营商安全防护要求
作为个人和企业用户间互联互通的智能管道,电信运营商的数字化建设涉及利益相关者甚多,其安全问题一直备受关注。在各类新兴技术带来时代变革的同时,也为电信运营商的信息安全问题带来了更大的挑战,如勒索病毒、逻辑错误、系统故障等。一旦发生数据丢失或业务中断的情况,将带来严重的经济损失和社会影响。为此,在不断深化新业态创新的同时,电信运营商必须强化数据和业务的保护工作,确保核心业务不中断,数据不丢失,维持电信级业务输出。
2013 年工信部发布的《电信和互联网用户个人信息保护规定》就明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理,并从岗位责任、管理制度、权限管理、存储介质、信息系统、操作系统、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。
除此之外,2020 年工信部发布的《网络数据安全标准体系建设指南》(征求意见稿)针对电信运营商不同业务的安全要求作出具体指示:
5G 安全机制在满足通用安全要求基础上,为不同业务场景提供差异化安全服务,适用多种网络接入方式及新型网络架构,保护用户个人隐私,并支持提供开放的安全能力,5G 领域的网络数据安全标准主要包括:5G 数据安全总体要求、5G 数据安全总体要求、5G 中断数据安全、5G 网络侧数据安全、5G 网络能力开放数据安全等。
传统移动互联网安全主要包括终端安全、网络安全和应用安全等方面。随着开放生态下移动操作系统的普遍应用和数据的大规模流动,移动互联网的数据安全风险进一步凸显。移动互联网领域的数据安全标准主要包括:移动应用个人信息保护、移动应用软件 SDK 安全等。
物联网安全涵盖物联网的感知层、传输层、应用层,涉及服务端安全、终端安全和通信网络安全等方面,数据安全贯穿其中的各个环节。物联网领域的网络数据安全标准主要包括:物联网云端数据安全保护、物联网管理系统数据安全保护、物联网终端数据安全保护等。
云计算安全以云主机安全为核心,涵盖网络安全、数据安全、应用安全、安全管理、业务安全等方面。云计算领域的网络数据安全标准主要包括:客户数据保护、云服务业务数据安全、云上资产管理等。
大数据安全覆盖数据全生命管理各环节,涵盖对大数据平台运行安全功能保障及以数据为对象进行资产管理等。大数据领域的网络数据安全标准主要包括:大数据平台安全、大数据资产管理等。
因此,电信运营商应根据不同的应用场景,基于不同的数据复制技术,选择不同的数据管理和灾备解决方案,保障数据安全和业务的连续性,减少因数据丢失和业务中断造成的重大影响。
2.电信运营商数字化政策要求
数字化进程的不断推进,让电信运营商拥有的数据量级愈发庞大,服务涉及的应用场景越来越广,并在推动整体数字化发展中占据了举足轻重的地位。与此同时,电信运营商面临着数据泄露、恶意攻击、系统故障等一系列安全隐患。为保护用户个人隐私,提供更安全、高效的数字服务,其数据安全工作受到电信运营商和相关专管单位的高度重视,并对数据采集传输安全保密、数据分级、数据脱敏、数据加密、数据发布安全防护等方面,提出国家层面的法律法规进行约束和保护,并明确提出了对数据备份和业务连续性管理的相关要求。如:
· 2013 年《电信和互联网用户个人信息保护规定》进一步明确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等,是落实全国人大常委会《决定》规定的制度和措施,切实保护用户合法权益的要求。
· 2014 年《关于加强电信和互联网行业网络安全工作指导意见》明确要求,应当深化网络基础设施和业务系统安全防护;提升突发网络安全应急响应能力;维护公共互联网网络安全环境;推进安全可控关键软硬件应用;强化网络数据和用户个人信息保护。
· 2015 年《关于开展电信行业网络安全试点示范工作的通知》明确指出,实现业务支撑系统重要敏感数据的安全保护和备份,提升业务支撑系统综合防护能力。具备公有云平台及用户关键数据的安全防护能力,能对云计算虚拟化应用场景提供针对性保护,形成安全可靠的公有云安全防护体系。
· 2019 年《电信和互联网行业提升网络数据安全保护能力专项行动方案》要求加大网络数据安全技术投入,加快完善数据防攻击、防窃取、防泄漏、数据备份和恢复等安全技术保障措施,提升企业网络数据安全保障能力。
· 2020 年《电信运营商大数据安全风险及需求》指出,在数据存储安全,应提供完备的数据备份和恢复机制来保障数据的可用性和完整性。一旦发生数据丢失或破坏,可以利用备份来回复数据,从而保证在故障发生后数据不丢失;容灾备份方面,大数据平台应当具备容灾备份与灾难恢复能力,为关键数据、关键应用建立异地备份。建立系统备份和处理机制,当遇到灾难事件时,可在短时间内根据系统备份和处理机制,使得系统恢复到安全状态保证系统正常运转,保证业务连续性。
“振兴电信运营商大数据应用业务”
《电子信息产业调整和振兴规划》
《促进大数据发展纲要》
《关于国民经济和社会发展第十三个五年规划纲要》
“安全开展大数据应用业务”
《中华人民共和国电信法》
《电信和互联网用户个人信息保护规定》
《中华人民共和国网络安全法》
《电信运营商的大数据应用业务安全技术要求》
《贵阳市大数据安全管理条例》
“加速电信物联网发展”
《国务院关于加快培育和发展战略性新兴产业的决定》
《物联网发展专项资金管理暂行办法》
《国民积极和社会发展第十三个五年规划》
《“十三五”国家信息化规划》
《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》
《关于开展2019年IPv6网络就绪专项行动的通知》
《国务院关于推进物联网有序健康发展的指导意见》
《物联网发展专项行动计划(2013-2015)》
《物联网安全白皮书》
《电信和互联网行业提升网络数据安全保护能力专项行动方案》
值得电信运营商 IT 管理人员注意的是,在相关法律法规要求下,如果未按相关规定建立起信息系统的安全等级保护制度,将会受到主管部门的处罚。
例如,根据武陵公安的通报,2019 年 1 月,对其电信运营商常德分公司下达了《网络安全限期整改通知书》,对该公司因存在未落实向公安机关提供技术支持和协助以及未落实网络日志留存措施等问题下达了《网络安全限期整改通知书》,要求该公司立即开展整改工作,并将整改情况书面回复。
《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其中,要求采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
二、行业现状与需求
目前,电信行业正面临新的竞争格局和市场变化带来的行业变革,大型云平台和边缘计算等新技术、新业态也在进行规模化建设。以大数据、云计算、物联网、5G 等为代表的新技术应用是电信运营商发展趋势,电信运营商 ICT 服务从最初提供以数据中心为核心的信息通信基础设施,到以软件为主的集成化服务,再到目前围绕大数据、云计算、5G 等新兴技术开展的数字化服务。电信运营商正加速 5G、云、DICT、能力中心的数据汇聚,全面实现数据的互联互通,建设开放共融的大数据湖,为各行业用户提供智慧赋能的纯数字化服务,助力数字政府、智慧城市、科技金融等新产业的建设,实现全新的科技产业生态。
电信运营商业务复杂、规模庞大、系统管理及运维保障分为内部业务和外部业务。内部业务系统主要分三大类:
基础业务——即电信基础服务。涉及端到端的信息语音传输,如通话类服务、分组交换数据传输服务、电路传输服务、传真服务等。这类服务需要特定设备(如传输),使用特定协议(如 7 号信令)来完成语音交换。此类业务通过多中心冗余、多节点冗余、链路冗余 供业务连续性保障。
增值业务——即通过增加信息的形式或内容,对用户提供加值服务的业务,如电子邮件、来电提醒等。此类业务管理分散,大多由业务厂家提供完整的灾备方案。
业务支承及经济核算业务——即运营商内部管理与核算业务。如 OA、大数据分析、业务分析与预测等服务。这类业务数据量大,对计算性对要求较高,对数据的使用修改较为频繁。
随着云平台建设的发展,各大运营商依靠自身强大实力和云计算中心资源,对外提供企业级云服务。外部业务主要分为以下几部分:
IaaS 资源服务:如物理机器托管、租赁。
PaaS 资源服务:提供弹性云计算资源服务、云存储服务、系统维护等。
SaaS 资源服务:提供云备份,云业务迁移,云平台容灾、云与云或云与线下机房业务高可用等应用服务。
近年,电信运营商不断更新服务,增加各类支撑系统,以满足用户不同层次的需求,但这也意味更艰巨的运营管理任务。目前,电信行业的业务支撑系统 BSS、运营支撑系统 OSS、管理支撑系统 MSS、企业数据应用 EDA、IT 管控等,或底层对应的各类数据库系统(如 SQLServer、Sybase、Oracle、DB2、MySQL 等),其正常运行和电信运营商稳定的业务输出息息相关,任何系统的宕机都对企事业单位的运营影响巨大,所以要求每个系统要有可快速恢复的灾备配置。因此,电信运营商有必要加大灾备系统的建设力度,提升运营支撑系统的统一管理能力,加强其支撑系统的连续服务能力,并保障系统的数据安全。
同时,分散在全国各个省份以及规格标准不一信息系统的海量核心用户数据和企业资料,在存储、传输、使用等各个环节,都面临不同程度的风险。如何实现海量数据远距离的跨异构系统间的安全保护和管理,也成为数据和业务安全的一大挑战。
且随着业务范围的不断拓展,电信运营商系统内涉及的各类网络设备、服务器、数据库、应用系统等组件,越来越多地部署在互联网的接口下。在这些业务、技术、产品新旧更换或者相互链接的时候,系统是否存在安全空隙,出现如“网站第三方组件存在漏洞,被上传木马病毒”等情况,从而造成大量用户数据和企业资料的流失,这也是电信运营商必须考虑的问题。
面对丰富的信息系统、复杂的系统架构以及快速发展的数字环境,电信运营商的数据安全和业务连续性管理方面,还包含以下内容:
管理支撑系统的备份和 CDP 保护
运营、业务支撑系统的容灾
数据中心两地三中心灾备保护
多租户上云及灾备
大数据平台的数据抽取和汇聚
综上,针对电信运营商数字服务的大力发展以及数字化转型的深入,无论是内部的系统灾备系统的建立,还是外部用户服务的安全保障,都应该建立相应等级的备份、容灾以及高可用系统,防止因恶意攻击、人为误删除、断电、自然灾害等原因造成的数据丢失和业务中断的发生。
三、应用场景与解决方案
在电信运营商数字服务不断成熟的过程中,其数据安全和业务连续性管理以及大数据管理方面,主要集中在企业支撑系统、云平台租户上云及云灾备、大数据平台数据抽取和汇聚等场景,针对不同场景的实际需求, IT 管理人员应为其设计适合的解决方案。其中:
业务支撑系统 BSS
面向市场营销和客户服务等企业前端的应用造成平台,同时也是业务和财务管理等企业内部运营的重要一环。包括客户关系管理(crm)类系统、计费结算类系统等。
运营支撑系统 OSS
面向服务、资源和网络运营,提供电信业务后端运营造成的系统域。包括网络资源管理、服务开通、服务保障、综合网络管理等类系统,如 BOSS 系统一卡多号平台主要是实现国际漫游一卡多号业务受理的平台;112 系统是电信运营商解决电话故障申告维护的业务支持系统。
管理支撑系统 MSS
面向管理的支撑系统,包括企业内部门户与 OA 类系统、财务、人力资源、供应链等专业系统。
企业数据应用 EDA
面向企业数据的应用、以支撑数据共享和分析为目标的支撑系统域。主要包括运营数据存储(ODS)、企业数据仓库(EDW)、数据抽取转化与加载(ETL)及承载在其上的数据分析应用。
IT 管控 ITM
面向企业信息化管理工作,以为 IT 人员提供统一的技术手段、提高 IT 运营维护效率为目标的支撑系统域。主要包括 IT 服务管理系统、端到端业务流程监控系统、应用软件监控系统和统一 IT 基础设施监控系统等。
IT 基础基础平台部分包括内部 IT 专网(DCN 网络)、应用整合架构、安全类系统等。
根据主管部门对电信运营商安全等级保护工作的要求,有必要加强电信运营商各类支撑系统和服务在数据安全和业务连续性以及大数据管理等方面的建设。门徒娱乐在电信运营商行业具备多年丰富的项目时间经验,针对以上系统和云平台、大数据中心等方面的应用,提供备份、CDP、容灾、两地三中心、大数据汇聚等解决方案。
▼ 管理、业务、运营支撑系统容灾以及勒索病毒防范
场景特点
24 小时服务
业务涉及用户信息重要,且多并发
用户需求
电信级高可用 5 个 9 的要求
无备份窗口,业务切换前端用户无感知
保证灾后数据的可用性、完整性、连续性和恢复可靠性
英方应用实践
在本地及异地环境下,i2Availability 实现业务支撑系统的应用高可用,监控平台根据应用活动状态(网络中断、资源使用情况、物理故障等)进行判断,当故障发生时备份服务器马上接管,持续对外提供服务;i2CDP 为系统提供持续数据保护,当发生逻辑错误、硬盘损毁、病毒攻击时,可进行任意时间点的数据恢复。
▼ 电信运营商大数据平台的数据抽取和分发
场景特点
海量数据分散,形成数据孤岛
对数据时效性要求高
用户需求
数据实时抽取
异构平台数据分发
英方应用实践
通过 i2Stream 对数据库数据进行对接、转换,并发送给消息队列,最终写入 HDFS。在此基础上实现源端数据库数据的抽取,并分发给Kudu / HBase / Hadoop 等数据仓库。
▼ 电信运营商云平台多租户上云及云灾备
场景特点
业务系统全面上云
多租户共享云资源
云平台安全涉及多家企业
用户需求
前端用户对迁移无感知
数据零丢失、业务无中断
英方应用实践
在本地到云端的环境下,首先通过 i2Move 将业务系统在线热迁移至电信运营商云平台上,并通过 i2CloudDR 多租户云灾备管理平台,针对云平台上多租户的业务类型,开通云灾备账号,通过 i2CDP+i2Availability 模块,基于内核级的数据复制技术,实现 RPO 接近于零,RTO 控制在秒级的数据级容灾目标。同时针对数据的备份,在备份端进行数据再备份,不但解放生产机的备份压力,还可对数据进行多重保护。针对数据库数据、文件数据、应用软件实现连续保护。
▼ 电信运营商异地多终端文件共享云盘
场景特点
海量文件重复访问,管理分散安全性低
各种文件类型,重复传送,办事效率低
用户需求
异地、多终端的文件安全访问
校园数据的协同互通、备份、统一管理
网盘的多级别权限管理和历史数据的恢复
文件更新、分享的实时性、便捷性和管理智能化
英方应用实践
通过在生产中心部署 i2Share 企业级文件管理软件,按需开通用户账号数量,细粒度的权限划分,保障数据访问安全。电信运营商全体员工与合作伙伴都可以通过账号在 Linux、Windows、Mac 桌面平台和 Android、iOS 移动平台访问共享网盘上的文件。i2Share 具备多终端同步、全历史版本恢复、文件协同应用、文件安全访问、加密存储、云端兼容等功能。
四、典型用户案例
▼ 省电信云灾备管理平台
项目亮点
i2Cloud 提供了云迁移、云高可用、云 CDP、云备份和恢复等功能,具备传输效率高,占有资源少,传输加密,无须停机,兼容性强等特点。
用户需求
某地方市银行和地区农村商业银行将其重要数据和核心业务转移到电信云上,为了保障数据和业务安全,需要对现有云平台进行灾备建设,提高系统面对潜在安全隐患的抵御能力,并减少灾难带来的重大损失。
解决方案
依托省电信的数据中心资源,采用英方自研的字节级复制技术,实时捕获源端所有 I/O 操作及数据,并将这些信息实时传输到云端,通过云端 I/O 日志的重复操作,严格保证客户端和云灾备中心数据的一致性和完整性。
▼ 中国移动手机阅读基地
项目亮点
两数据中心分别位于杭州的三墩和滨江两地,两边存储为异构存储,内容库部分的数据容量约为 40 亿 TB(截至 2017 年 11 月),文件数量超过 20 亿个,每一天的数据增量超过 10GB。
用户介绍
中国移动手机阅读基地是一个无线阅读的平台,该平台以 G3 阅读器为核心阅读载体,以 WAP、HTML5、客户端、WWW 和彩信为辅助阅读载体,为用户提供各类电子书,包括图书、杂志、漫画等。现有主备两个数据中心,分别位于杭州的三墩和滨江两地,两边的存储为异构存储,内容库部分的数据容量约为 40 亿 TB(截至2017 年 11 月),文件数量超过 20 亿个,每一天的数据增量超过 10GB。
用户需求
现需要将位于三墩主生产中心的内容库数据文件实时同步到滨江的备数据中心,且不能影响业务的正常运行,即对外阅读业务不能停止。且要求在灾备系统中能实现考虑到未来磁盘和服务器的弹性扩展以及两边灾备切换演练的需求。
解决方案
通过 i2NAS 将相关数据以增量方式实时复制到备端 NAS 存储上,具体数据流向以途中虚线 1、2、3 步所示,第 1 步为应用对数据的修改访问,数据的变化被门徒娱乐截获后,通过第 2 步发送到备端,然后再通过第 3 步实时存储到数据中心。两边存储可异构,部署时无需停止阅读应用,实现数据的动态同步复制。
▼ 河南某医院某电信运营商医疗云云灾备
项目亮点
作为医院和电信运营商共同打造“医疗云”云灾备的典型案例,此次部署根据用户 DRaaS 的具体要求,以可靠性、高效性、安全性为首位,通过 i2Cloud 先进的字节级数据复制技术,保障数据或应用顺利上云,并通过持续数据保护和应用高可用模块,完成数据的云灾备、应用云灾备。
用户介绍
该医院本地生产中心有 HIS、LIS、PACS等信息系统以及多台文件服务器,存放本区域海量患者医疗数据,为积极相应国家政策,保障医院系统的正常运作和医疗数据安全,院方大力推进数字化转型,加强医疗云的建设力度。
用户需求
针对重要的业务系统,提供持续的、不间断的保护,并可根据需求将数据快速恢复到之前的任意时间点。在不停机情况下迁移现有整个系统,包括操作系统、应用程序、用户信息、网络配置等数据,系统迁移完成,即可部署应用接管程序。
五、小结
数字技术的不断发展对电信运营商的运营环境、业务战略和实际运营都产生巨大的影响。从另一方面来说,也在不断强化数据安全、业务连续性管理等方面的信息建设和国产化要求。目前,国内大部分厂商均以国外数据复制技术为基础,其产品和服务并不适合电信运营商这类覆盖范围广、组织结构复杂、业务种类多样的企业。而英方全生态灾备软件产品,均以自主研发的数据技术为核心,为用户提供真正安全可靠、稳定高效的灾备和数据管理服务。
及时响应,快速服务,为您保驾续航
立即注册