案例实践 | 保旺达助力电信运营商打造异构融合4A平台
更新时间:2024-03-22 来源: 编辑:管理员 浏览:231


随着中国电信“云转数改”战略的提出,各省分公司亟需建立起一套异构融合的新4A系统以打造统一的身份安全底座,实现集团“一张网、一朵云、一个系统、一套流程”。


电信运营商融合4A平台建设背景

根据工信部和集团公司4A平台建设要求,中国电信某省分公司针对运维域及IT域不同的业务场景和需求,建设了运维域和IT域两套4A平台,两套4A平台在运营期间为保障系统安全及运维安全发挥了重要作用。

随着数字强国战略的推进,传统网络安全和数字经济安全发展相结合的需求日益迫切。为满足这一需求,该省分公司以 “网是基础、云为核心、网随云动、云网一体”的思路不断探索实践,在夯实云网融合信息基础设施的同时,打破云网安全传统壁垒,满足“云改数转”云网融合要求,对云网基础设施安全纳管,实现云网运维安全一体化供给、一体化运营、一体化服务实现省内融合4A平台的统一规划、统一建设、统一运维和统一管理,统筹规划需求,提升投资收益。

保旺达异构4A平台融合方案

综合考虑到该省分公司原有两套4A平台无论是从架构上、功能上、性能上都无法满足云网融合的需求,保旺达对原4A平台进行全面重构、深度融合,构建新一代云网安全运营管理体系有效推进统一平台建设:

01

设计模式采用微服务架构


利用微服务架构提升平台柔性适配能力,实现平台安全能力快速开通、安全能力供给可配置、可调整、可编排,满足IT域对“4A平台的灵活性、高可用性、数据安全性”和运维域对“4A平台实现多种类网元管控、高并发、支持特色工具单点登录”的要求。

02

植入大量高可用性设计



融合后平台纳管用户和资源数大幅增加,对融合4A平台统一承载和集约运营能力都提出了更高的要求,融合4A平台进行了大量高可用性的设计,创新性采用多层冗余备用、性能实时监控、资源动态调度等技术提供可靠持续的4A服务。

03

搭载原子化安全能力


4A安全能力融合,通过安全原子能力服务化,为周边运维系统提供安全管控能力,包括集中认证能力、授权管控能力、敏感高危指令识别能力、金库管控能力、脚本识别审计能力,这些能力实现了对外输出,巩固了安全能力基座。并与巡检平台、集约化平台、综调系统、ICNOC智能云网调度运营中心其他系统实现对接,利用4A安全能力,在提升运维自动化的基础上保障运维全过程安全。 


融合4A平台快速平稳割接方案

4A平台作为云网基础设施安全运维的重要平台,用户数多、资产量大、业务连续性要求高,如何快速、平稳地割接以保障系统平稳运行是用户最为关心的问题。因此,保旺达和该省分公司就平台割接方案进行多轮评审,最终商定将整个割接过程划分为五个阶段:

01

第一阶段:

制定周密的上线割接方案

割接期间新旧平台并轨运行通过自动化脚本程序进行新旧平台间用户、资产、授权、金库策略数据实时同步;提前梳理、打通用户-服务器-资产之间的网络连接;遵照循序渐进的原则,先小范围试用,逐步扩大割接范围,最后全面推广。

02

第二阶段:

进行多轮割接演练


项目团队进行了数据同步演练、功能验证、高并发性能测试、应急容灾演练并根据演练过程中发现的问题进行完善再演练,直至消除所有问题和隐患。

03

第三阶段:

制定应急预案


梳理各种突发情况及应对方法,组织应急小分队按照先恢复、后排查,先核心、后边缘的原则,模拟处置突发情况,保证割接过程发生故障时能迅速采取有效措施进行处置。

04

第四阶段:

按不同维度分步骤割接

依据割接方案按不同维度分步骤割接,按组织架构顺序:建设部门->省公司->13个地市公司;按业务架构顺序:维域->IT域;按运维域网元设备顺序:城域网->新城网->Ipran->IDC/ISP->AC设备。

05

第五阶段:

提供有力割接后保障支撑


成立割接保障团队,由公司副总挂帅,产品经理、技术经理驻场,提供7*24小时保障服务,随时进行用户答疑工作并处理割接过程中出现的问题,为了推进割接进度,专门成立引流小组,通过短信、邮件、平台通知的方式引导用户使用融合4A平台。


融合4A平台建设成果

在保旺达的技术支撑下,中国电信某省分公司融合4A平台上线以来运行稳定,截至目前,已纳管140000+个资源、7000+个主账号,用户操作审计400万+/日,接入各类不同云网资源,包括5GC、Ipran、DCN网资源、公网资源、新城网、城域网、IDC/ISP、AC设备等各类资源。4A平台的各项性能均得到大幅提升:

使全新UI界面设计和前后端分离技术让响应速度更快、交互更人性化;

对后端服务从业务维度和独立功能维度进行微服务化拆分,降低业务耦合、提升功能可扩展性

通过资源批量登录、个性化脚本管理来简化资源访问过程和提升运维操作效率

充分利用分布式缓存和智能负载算法对Tacacs+协议核心认证流程进行优化,从原4A系统50并发提升至1000+

通过整合外部平台能力来拉通上下游数据流和业务流, 如:通过与统一工号、统一认证系统交互,实现统一身份管理和认证标准化;

通过与ITSM、SOC平台对接,自动化纳管全省资产

通过程序账号管理、高危指令识别,将采控平台、运监系统的资源操作全部纳入4A管控


融合4A平台建设亮点

01

基于动态信任评估的身份安全管控能力

平台采用保旺达自主研发的动态信任评估引擎,该引擎基于用户身份、网络环境和设备终端的信任评估,结合账号权限和操作行为的上下文,对用户操作行为进行持续的信任评估。根据风险评估结果,实时智能化分析和管控用户的登录和操作行为。

02

基于AI+数据驱动的自适应审计能力

融合4A创新性地研发了AI与数据驱动的审计分析能力。通过数据挖掘和分析,平台自动生成并持续优化审计策略,结合智能决策与专家系统进行定期自适应调整,最大程度地满足各种不同的审计场景需求。同时,平台利用AI技术对审计数据进行自动化处理、分析和解读,快速准确地识别安全威胁和异常行为,提高审计效率和准确性,提供了更加全面和高效的安全保障。

03

基于云原生架构的快速响应交付能力

融合4A基于云原生架构,通过DevOps实现高效协作、基于微服务提升灵活性和可维护性、支持设计态与运行态分离简化开发流程、全环节云原生部署实现动态资源和高效扩展。平台具备更高的灵活性、可扩展性和安全性,能够更好地应对不断变化的业务需求,同时降低运维成本和风险。


保旺达融合4A平台目前已经在多个运营商省分公司落地部署,具备应对不同身份安全需求场景的拓展能力未来保旺达将继续致力于为客户构建统一的身份安全底座,提升客户整体身份安全防护能力。




创造更安全的数字未来 身份与访问安全 · 数据安全 · 安全管理与运营 · 安全服务 · 军工保密 查看更多