1、附件5第X屆（20XX年）中中國電信西安分公公司“QC小組活動成果”報報告書成果名稱： 申報企業（全稱）： 報送時間：_年_月_日日題目：降低西安電信DCN網網安全故障率小組概況 小組成立時時間、本課題活動動時間、注冊時間間、注冊編號人員結構及文化技術素素質結構、組內分分工本課題類型本課題小組集體活動總總時數、出勤率 小組成員簡簡介二、選題理由 DCN是英文文Data Communication Network的的縮寫，中文意思思為數據通信網絡絡。中國電信股份份有限公司的DCN網網是一張運營商級級的用于承載企業業經營生產的全國國性骨干網絡。作作為電信業務、營營業、計費、網管管數據、多媒體通通信

2、等系統的傳輸輸通道和通信平臺臺，其范圍覆蓋全全國所有省、直轄轄市和自治區，共共計32個主干節節點。它具有分布布式網絡計算環境境和多級分布式數數據倉庫，可實現現網絡監控、管理理、維護以及決策策的信息化與自動動化。西安市電信信分公司的DCN網網絡是省級DCN網網的重要組成部分分。其前身是始建建于1997年九九七網絡，自2001年年至2010十年年間，為契合公司司轉型機遇，西安安電信分公司DCN網網先后經歷了兩期期大規模的改擴建建工程和一次優化化工程，逐步被打打造成為一張精品品DCN網絡。如如今已達到承載可可路由網絡設備60余余臺，監控機群、服務器機群、業業務機群共計3000余余臺的網絡規模，是是西

3、安市電信分公公司生產運營、業業務受理、計費、信息化管理的綜綜合網絡平臺，覆覆蓋連接全市及各各城郊區縣所有生生產用機。DCN網網絡的重要性不言言而喻，可以毫不不夸張的將之形容容為企業的“中樞神經系統”。它不但保證了了企業生產活動的的完整性、統一性性而且在協調、平平衡對外經營的過過程中起著主導作作用。 然而十年間，在在西安電信DCN網網隨著成本投資不不斷追加，網絡規規模、設備層級不不斷提升的同時，DCN信信息系統的安全問問題卻一直如影隨隨形，更有愈演愈愈烈的趨勢，比如如，據西安電信企企化部網絡班的值值班日志和維維護月報的統計計，局域網病毒造造成的網絡癱緩故故障平均占比達到到全年故障接報的的51%。

4、這不僅僅頻繁妨礙正常的的生產經營活動、嚴重減低勞動生生產效率，還極大大地挫傷了廣大基基層員工的生產積積極性，尤其是網網絡病毒造成的營營業廳網絡癱瘓故故障更是對公司形形象產生了負面的的社會影響。如何何提升DCN網絡絡信息系統的安全全水平，已成為我我們日常工作生產產（服務）中的薄薄弱環節和需要迫迫切解決的問題。作作為長期負責西安安市電信分公司DCN網網絡建設和維護的的專業人員，我們們有責任有義務在在此問題上獻計獻獻策，并采取切實實有效地行動。本本次QC活動，正正值北信源安全系系統正式上線之際際，所以我們決定定選取降低西安電信DCN網網安全故障率為題，沉下心來來，從DCN網的的基礎生產和基礎礎管理入

5、手，力求求從難點，重點和和關鍵問題上尋求求突破DCN信息息系統安全困境的的方法。三、現狀調查為徹底搞清我公司DCN網網絡安全問題頻發發的真正原因，掌掌握第一手材料，我我們QC小組于2010年年9至11月間，采采用各種調查手段段，針對DCN信信息系統安全現狀狀進行了大量的調調查取證工作，并并多次召開小組會會議討論分析主要要問題。這期間，具具體進行的調查活活動有：第一次調查：歷史統計計資料調查： 調查方法：資料料查閱： 調查時間：9月月上旬， 調查的內容和目目的：活動小組查查閱歷年DCN維維護日志和IT維維護故障日登記表表（電子版），對對涉及DCN網癱癱網慢等網絡安全全故障的產生原因因仔細進行了歸

6、類類總結； 調查結果： 一、47%的的故障現象和局域域網環路、病毒有有關； 二、20%的的故障是由設備自自然老化（如光收收發器，網橋） 三、17%的的故障是由設備異異常掉電引起； 四、10%的的故障是人為誤操操作造成的，比如如用戶的錯誤使用用（如：誤占用網網關）； 五、4%是是線路問題(網線線、光纖質量下降降或施工損毀造成成的障礙) 六、其他他原因：3%（如如網絡割接，升級級改造） 結果分析：合并并第一、四項，發發現有57%的網網絡故障與各匯聚聚局域網惡劣的網網絡安全環境有關關； 第二次調查：安全產品品使用情況調查： 調查方法：服務務器控制臺信息讀讀取； 調查時間：9月月上旬； 調查的內容和目

7、目的：對DCN網網現有網絡終端安安全產品：“北信源桌面安全全管理平臺及補丁丁分發系統”(試用版，以下下簡稱VRV EDP)和 “Symantec防防 病毒系統”的部署使用情況況進行調查； 調查結果： 圖：（廠廠家提供，協商中中） 圖：（廠廠家提供） 結果分析：注冊冊使用安全產品的的單位、用戶呈逐逐月下降趨勢；綜綜合部署情況已經經不足20%；這這說明80%以上上的生產計算機存存在網絡安全產品品（主要是打補丁丁軟件和查殺病毒毒軟件）的嚴重缺缺失和錯誤使用問問題。第三次調查：現場調查查 調查方法：暗訪訪、抽查 調查時間：9月月中旬至9月底； 使用工具：抓包包工具； 調查的內容和目目的：暗訪鐘樓局局，

8、小寨局，電子子城局調查DCN網絡違規外聯情況，并對小寨和周至局進行局域網抓包分析網絡異常數據流量； 調查結果：1）DCN違規外聯現現象普遍，手段多多樣： DCN網網俗名叫內網，是是因其作為生產網網，原則上必須和和其他網絡，尤其其是互聯網實現完完整的物理隔離，故故而至今全省DCN網網絡只在省公司建建設了一個公網出出口，并有專人維維護；然而通過暗暗訪發現，各大匯匯接局DCN網絡絡違規外聯現象十十分普遍，而且是是八仙過海各顯神神通： （1）小小寨營維中心利用用營業廳公免ADSL資資源，私自在DCN網網絡上搭建公網出出口，造成極大安安全隱患。（已處處理） （2）電電子城接入維護中中心使用外省DCN網網

9、絡的公網代理出出口上互聯網；代代理地址為：133.83.9.100，端端口8080； （3）鐘鐘樓局工單調度崗崗97生產用機普普遍安裝雙網卡，有有員工甚至認為雙雙網卡是內網計算算機的標配產品。 2）抓包信息暴露局域域網病毒隱患： 圖：工具：vrvsiniffer抓抓包 現象：445端端口攻擊； 地點點：小寨局 圖：工具：華為3640路路由器aspf抓抓包 現象：UDP半半連接； 地點：周至局 結果分析：通通過暗訪和捕獲生生產局域網中的報報文信息我們可以以發現，生產用機機的違規外聯的現現象相當普遍，而而且手段不斷翻新新。如果結合第二二項的“安全產品使用情情況”的調查結果，不不難看出，DCN網網中

10、有為數不少的的生產用機時常裸裸奔于病毒泛濫的的互聯網，并在網網絡切換的過程中中，將各種病毒帶帶回內網生產環境境，以至局域網病病毒日益猖獗泛濫濫。加之匯接局域域網網絡安全監管管維護人員缺失，我我公司局域網信息息系統安全形式十十分嚴峻！下圖是是用360安全衛衛士軟件對小寨營營業廳某核心生產產用機掃描后的得得分評價： 圖：第四次調查：對各部門門單位組織架構、網絡安全責任人人員的現狀調查： 調查方法：訪問問方式、問卷調查查； 調查時間：10月月上旬至中旬； 調查的內容和目目的：本次調查，召召集了DCN網絡絡所承載的各個兄兄弟部門單位的網網絡安全員，著重重調研如何在現行行公司架構下組織織人員開展網絡安安

11、全工作的相關問問題，摸清各兄弟弟 部門的組組織架構和網絡結結構。并采用調查查問卷的方式，傾傾聽諸位一線安全全員對網絡安全相相關工作的見解和和心聲。 結果分析：在安安全管理上，各個個部門單位松緊程程度不一，人員組組織松散，水平參參差不齊，而且存存在人員配比失衡衡的問題。具體來來說： 1、管理理最為嚴格，并且且執行最好的部門門是營業部，其次次是各系統監控部部門，而營維中心心就相對忽視網絡絡安全，違規也最最為嚴重； 2、各個個部門單位的維護護人員常常是隨意意指派，技術部門門尚可，經營部門門的安全員水平往往往太過業余，也也沒有一個專門的的組織作為交流成成長的平臺； 3、各匯匯接局存在嚴重的的安全人員配

12、比失失衡問題。一個典典型的匯接局，是是由三個部門組成成，分別是：隸屬屬于營業部的營業業廳，區營維中心心和接入維護站（有有的地方還有客戶戶支撐中心）。然然而由于歷史原因因，在一個匯接局局內，往往只有一一名（多為接入維維護站選舉）網絡絡安全員負責整個個匯接局的局域網網相關工作，并與與企化部終端班的的對口維護人員進進行工作聯系。而而事實上，市企化化部的對口人往往往需要負責兩個以以上的匯接局相關關工作，如果加上上各下屬模塊局，平平均一個匯接局的的局域網維護人員員還不足1.5人人，并需要維護三三至四個單位的相相關網絡安全工作作，這顯然不現實實。第五次調查：調整網絡絡結構，部署安全全產品，加強網絡絡安全管

13、理的可行行性調查，以及征征求服務對象的意意見與建議 調查方法：訪問問方式； 調查時間：10月月下旬； 調查的內容和目目的：本次調研主主要是為解決現有有問題而采取的一一系列對策進行可可行性調查。具體體包括： 1、在終端班調調研匯接局網絡改改造，即從97業業務網內分離出營營業廳的物理線路路可行性， 2、以電子城營營維中心、小寨營營業廳、長安區分分公司為代表，調調研VRV EDP在在營維中心、營業業廳、郊縣分公司司按組織架構進行行部署的可行性，并并了解服務對象的的需求和使用習慣慣； 3、調研網絡監監控中心及各生產產機群的網絡安全全需求； 調查結果：基本符符合預期，為對策策應用提供了客觀觀可信的可行性

14、分分析。結論：市DCN網絡現存的主主要矛盾，是十年年間應用服務系統統、數據庫服務系系統快速增長，與與業務保障系統一一直發展建設緩慢慢之間的矛盾。 建設發展展緩慢主要表現在在兩個方面：一是安全保障系統不完完備，且現有系統統適用性差，利用用率低下；二是安全保障隊伍建設設不力，制度、管管理缺失； 造成發發展緩慢的根本原原因是我們從思想想上對網絡安全工工作的重視程度不不足。四、目標確定 針對目前的網網絡現狀，經QC小小組開會討論，決決定從系統工具使使用，人員隊伍建建設兩方面入手，改改善DCN信息系系統安全中存在的的主要問題。并根根據系統工具歷史史使用的最好水平平和借鑒數據等兄兄弟部門的管理經經驗，設定

15、活動目目標如下： 目標： 1、 將將網管軟件VRV EDP的注冊率率提升并保持在70%以以上； 2、 組建一支由20多多人組成的DCN網網絡安全“虛擬團隊”；五、原因分析因果圖 關聯圖： 樹圖： 主要闡明：1、技防系統相關：為什么網管系統統注冊率低；2、人防體系相關：為什么安全員對對網絡安全管理工工作的積極性不高高； 六、確定主因 結合原因分析析圖，確定要因如如下： 1、技防手段段注冊率低是因為為技防拓撲不適應應現行組織架構； 2、人防隊伍伍建設難的核心問問題是人員面對維維護壓力時無管理理手段，無組織歸歸屬，無績效獎勵勵的“三無”囧境。七、制定對策 根據上述確定的兩兩點主要原因，我我們認為不僅

16、要選選擇功能強大，適適用性高的網管系系統，更關鍵的是是還要有人用好，用用巧這些系統。也也只有走人防、技技防相輔相成的路路子，才能真正解解決當前網絡安全全中的困境，才能能真正從思想上扭扭轉我們對網絡安安全工作的認識。于于是我們針對這兩兩方面，分別制定定了如下對策，并并注意各個對策之之間的互動。 首先，應對VRV EDP 系統的的區域劃分方式和和終端注冊邏輯作作了全局性調整。之之前VRV EDP項項目部署目的是用用于測試，于是采采用了基于業務系系統的快速注冊部部署方式，而在實實踐應用的三年間間，積累了大量的的應用難題，極大大的削減了軟件使使用效率和員工使使用熱情。針對這這一問題，QC小小組開會決定

17、：將將過去基于業務的的劃分方式調整為為基于實際生產組組織架構的新方法法。為保證新劃分分方式的適用性， 結合QC小組事事先做了充分的調調研和試點工作，摸摸索出一套高效、靈活的組織管理理方法。 其次，人員及及使用管理方面：在新的區域組織織模式下，結合網網絡安全虛擬團隊隊的管理思路，擬擬采用全面開放平平臺的管理方式，具具體說來，各網管管人員作為下級管管理員，可結合各各個生產組織部門門的固有特點，自自主制定策略和統統計相關區域數據據，企業信息化部部則主要負責策略略審計和服務器維維護工作，從而讓讓企業信息化部真真正回歸IT工具具提供者的服務角角色。具體措施：1、技防系統方面： 因VRV EDP 項目已經

18、正式采采購，為有效保護護公司投資，切實實用好系統網管軟軟件，QC小組決決定發揚“不畏艱苦，連續續作戰”的精神，全面廢廢止現有數據，在在深入分析，充分分調研的基礎上，重重新設計搭建新的的部署注冊邏輯，我我們連續奮戰一周周，定義二級目錄錄21個，三級目目錄340余個，重重新整理劃分DCN網網段880余段，手手工錄入網絡信息息1200余條。新新的區域樹形結構構，不但從跟本上上解決了舊系統遺遺留的客戶端用戶戶注冊難，管理員員職責不清，注冊冊數據混亂，軟件件升級障礙等一系系列長期困擾軟件件使用效率的老大大難問題，而且為為實現按生產部門門實行差異化管理理，差異化策略下下發，差異化功能能開發，以及DCN網網

19、絡IP地址資源源統計，終端硬件件資料統計做出了了基礎性的貢獻。 除此之外，我我們還應仔細考慮慮了如下兩個問題題，并研究做出了了應對方案： 1）注冊部署方方針： 根據測試試期經驗，注冊點點位時應注意如下下問題，見部署分分析圖： 部署分析析圖： 區域緩急程度參與人員預期效果特點網監中心急廠家、網監優，短期 專業人員維護，部署署快速營維中心急廠家、硬件班、網絡班班、區局維護人員員優，中期可以試點電子城局為示示范，輻射帶動郊縣分公司急維護人員良，中期前期以長安為試點，可可以輻射帶動監控集群急維護人員差，長期對無人職守的機房，可可保留測試期數據據營業廳緩廠家、硬件班、營業部部優，短期 改造未完成，違規最

20、少少西華門生產機群緩企劃部各相關人員差，長期最亂，最雜但便于開展展維護 根據部署署分析圖，提出本本次注冊部署方針針：首先，確保網監中心和和各營維中心的注注冊率； 其次，督促郊縣分公司司，監控機群的注注冊； 最后，逐步完善營業部部、西華門生產機機群的注冊工作； 2）臟數據的剔除除問題： 正是由于采采取了區域管理大大規模的替換，基基于C/S架構的的VRV EDP系系統會自動學習到到很多基于老的區區域管理信息數據據，重新注冊會出出現兩種情況：一一，新數據頂替老老數據，二，老數數據未被更替；針針對這種情況，為為保證資料的統一一性，首先將老數數據全部作為臟數數據分入一個自定定義的無效組中，待待每個區域注冊完完成后，將頂替為為新區域管理結構構的數據信息放回回正常環境，將未未替換（即過去注注冊，本次未注冊冊的終端）數據繼繼續視為臟數據，放放置在無效組中，待待200日后有選選擇性的刪除。從從而杜絕新老數據據混亂的情況。2、人防體系方面： 選取日常工作中中表現好，能力強強，和問卷調查中中積極性高的同志志作為網絡安全虛虛擬團隊成員，組組建一支DCN網網絡安全虛擬團隊隊； 基本思路有： 1、為自上而下下提高對DCN網網絡安全性的重視視，我們建議由陳陳杰副總親自掛刷刷虛擬團隊； 2、我們建議領領導為參與虛擬團團隊的同志們向人人力資源部門申請請一定的績效獎勵勵； 3、對參與虛擬擬團隊的同志，