DCN简介

信息化Informationization１．网管现状ＤＣＮ网络是网管与网元设备通信的通道，由网管端的以太网网络以及光路部分的ＤＣＣ（Ｄａｔａ　ＣｏｍｍｕｎｉｃａｔｉｏｎＣｈａｎｎｅｌ）通道组成，其通信协议采用ＯＳＩ，每个设备均有一个ＮＥＴ地址，亦即ＮＳＡＰ地址。

网管与网元之间的寻址方式通过ＮＳＡＰ地址来进行，寻址方法由路由协议ＥＳ－ＥＳ、ＥＳ－ＩＳ控制。

网管ＤＣＮ现状如图１所示。

网管设备ＩＴＭ－ＳＣ　ｓｅｒｖ１管理由独立ＡＤＭ１６／１组成的１０个２．５Ｇ　ＭＳ－ＳＲＰＩＮＧ环网以及下挂于ＬａｍｂｄａＵｎｉｔｅ设备下的６个ＭＳ－ＳＲＰＩＮＧ环网总共５９端ＡＤＭ１６／１设备；网管设备ＩＴＭ－ＳＣｓｅｒｖ２管理位于ＨＭＧ的１端ＤＡＣＳ４／４／１及其下挂的１端ＡＤＭ１６／１与位于ＸＸ的１端ＤＡＣＳ４／４／１及其下挂的２端的ＡＤＭ１６／１设备，即共管理２端ＤＡＣＳ４／４／１设备、３端ＡＤＭ１６／１设备；网管设备ＯＭＳ管理由２端ＬａｍｂｄａＵｎｉｔｅ、４端Ｕｎｉｖｅｒｓａｌ设备组成的１０Ｇ　ＭＳ－ＳＰＩＲＮＧ环。

所有以上设备共用一个路由域（Ａｒｅａ）００００。

２．网管ＤＣＮ存在问题分析网管ＩＴＭ－ＳＣ　ｓｅｒｖ２服务器管理网元共有５端，ｓｅｒｖ２管理网元出现了以下故障：在所管理网元与网管脱管后，当重新激活管理时，过一段时间出现Ｔｉｍｅ　ｏｕｔ而失败；创建或ｕｐｌｏａｄ网元ＭＩＢ速度很慢，过一段时间出现Ｔｉｍｅｏｕｔ而失败；更换ＨＵＢ或光ＭＯＤＥＭ，问题依旧；ＤＡＣＳ４／４／１及ＡＤＭ１６／１设备均能本地ＣＩＴ登录；ｓｅｒｖ１能成功创建由原属于ｓｅｒｖ２管理的ＤＡＣＳ４／４／１下挂的ＡＤＭ１６／１，ｓｅｒｖ２也能成功创建原属于ｓｅｒｖ１管理下的ＡＤＭ１６／１网元。

故障发生在ｓｅｒｖ２对网元设备的管理监控上，网管与设备间能通信，但由于响应时间过长而失败。

故障与ｓｅｒｖ２本身以及其所管理的网元设备ＤＡＣＳ４／４／１及ＡＤＭ１６／１本身无关，问题出现在网管设备ｓｅｒｖ２与网元设备的通道ＤＣＮ上。

DCN网络（数据通信网）安全解决方案DCN（数据通信网）是网通A公司的专用数据通信网，作为公司的Intranet，不仅是公司的生产网，同时也承载了大量的业务系统，如计费系统、综合客服系统、网管系统、呼叫中心和计费采集系统等。

作为内部IT系统的基础承载网络，网通A公司DCN采用VLAN+MPLSVPN技术来隔离各业务系统，网络安全问题由各业务系统自己解决。

在网络建设之初，缺乏统一规划，主要以满足各业务系统自身需求为出发点，欠缺整体上的安全保护策略，安全保护策略的部署差异很大，无法提供整体的安全解决方案，同时在一定程度上带来了维护和管理上的难度。

而且，DCN的网络设备在整体上缺乏保护措施，面临被黑客控制甚至被当作攻击跳板的危险，同时由于运营商的特殊角色，其网络设备面临严重的拒绝服务攻击的威胁。

本文从网络安全域角度出发，从网络边界防护、主机安全策略、身份认证和终端安全控制等多方面分析了网通A公司DCN网络安全解决方案。

2、网络安全域的划分为规划和建设一个安全可靠的IT系统，目前通用的做法是引入一个安全域的概念。

本文所讲述的安全域的概念是，在安全策略的统一指导下，根据各套IT系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将DCN及其所承载的IT系统划分成不同的域，将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。

一个安全域内可进一步被划分为多个安全子域，安全子域也可继续依次细化。

这里需要明确的是，安全域划分并不是传统意义上的物理隔离。

物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享；而安全域划分是在认真分析各套IT系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许IT系统之间以及与其他系统之间正常传输和交换合法数据。

本文将网通A公司DCN及其所承载的IT系统划分为5个安全域，如图1所示。

图1网络安全域划分●核心主机域：各业务系统业务主机。

DCN网络安全分析摘要电信运营商的DCN网(Data Communication Network,数据通信网)是主要的内部专用网络。

承载着营业、计费、客服等多种业务系统，是公司内部各种支撑系统的统一网络平台。

随着网络本身的不断扩大和业务的逐渐增多，DCN 网络是否安全、稳定、高效，关系到电信企业各种基本业务的正常开展和用户的满意度体验。

关键词电信运营；DCN；安全1 网络安全概述计算机网络随着规模的扩大和信息量的增多，埋藏着许多安全方面的风险和隐患。

从根本上讲，网络安全就是指组成网络的硬件、软件及其负载的数据和业务受到保护，不因主观或者客观的原因遭到攻击、修改、泄露，系统可以连续、稳定、可靠的运行，服务不被中断。

2 网络安全的目标信息是网络的核心，网络安全的主要目标是在保证硬件设备可靠的前提下，确保网络的信息安全。

网络信息安全主要包括信息存储安全和信息传输安全两个方面。

3 主要的网络安全设备与技术目前市场上应用范围比较普遍的网络安全设备与技术主要有以下几种：1）防火墙防火墙是在内部网络和外部网络之间，根据配置的访问控制策略达到网络安全的一种计算机硬件和软件系统。

它将两个网络进行了隔离，通过特定的访问规则对经过它的信息进行审查和监控，将不符合要求的信息过滤掉，使得内部网络不被外界非法访问和攻击。

防火墙还具有NAT（Network Address Translate,网络地址转换）功能，可以将一个网络的IP地址映射到另一个网络的IP地址，将内部受保护的网络拓扑结构隐藏起来。

2）入侵检测入侵检测，通过对网络或者计算机系统的关键节点收集信息并进行分析，发现系统是否有被攻击和入侵的迹象。

入侵检测作为一种主动的安全防护技术，提供了对来自内部、外部的攻击和误操作的实时防护，在系统受到危害之前拦截和响应入侵行为，是防火墙的有效补充。

3）VPN技术VPN虚拟专用网，是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。

DCN云计算数据中心解决方案一.云计算数据中心简介以资源虚拟化为核心技术的云计算数据中心提供了一种新的IT资源使用模式，云基础架构的所有计算资源以虚拟化资源池的方式存在，用户可以根据自己业务系统的需求，选择相应的IT服务，云基础架构会以自动化的模式进行资源分配和重组，提供给用户使用，用户可以按照使用量来进行费用付给。

云基础架构计算资源同时拥有者弹性扩展和灵活配置的能力，可以根据用户在各个不同时期对资源需求的不同来进行变化，适应业务的请求，其对业务的响应速度相比传统数据中心具有很大的提升。

云能够提供给用户最理想的IT资源管理、使用和维护模式，通过从现有的数据中心转换成云，用户既保有传统数据中心的原有投资，同时又可利用到云计算带来的价值，包括服务质量(QoS)、性能、可扩展性、安全性和管理优点，云可以安全的使用内部资源（内部云）、外部资源（通过公共云中的服务提供商提供的外部云）或两者的组合。

二.云计算数据中心整体架构系统总体架构由基础设施云、平台云、应用云和云运营管理平台组成，云运营管理平台贯穿于各个层面中。

基础设施向各类业务应用提供必要的服务器、网络、存储设备基础环境，为各类业务应用提供可靠、有效的信息传输服务通道，是各类业务信息的最终承载者。

因此，基础设施位于整个系统总体结构的底层。

在云计算平台中，基础设施云就是虚拟化的数据中心，作为云计算迈进的必经阶段，也是实现云计算的基础，其中包括虚拟化基础平台，虚拟化管理系统，虚拟化备份系统，虚拟化运维系统，云安全平台，共5个组成部分：虚拟化平台：虚拟化数据中心的基础和应用运行平台，实现所有计算资源的池化，能够实现共享、动态、集中监控、集中管理、扩展和高可用的特性。

虚拟化数据中心管理：虚拟化数据中心的管理平台不但可以实现对底层基础架构的管理，同时也可以实现对虚拟化资源的管理，并且可以在统一的管理平台上实现跨地域，多数据中心的管理。

虚拟化数据中心运维：虚拟化数据中心运维平台是确保虚拟化数据中心进行自动化操作的关键平台，也是和未来的有云门户进行接口的平台。

1. 什么是PCN\DCN\ECN ，DCN又分哪两种情况？PCN:产品变更ECN:工程变更DCN:设计变更DCN分为设计本身引发的变更和由工程变更引发的变更2.如何修改您的用户信息？打开CQ---View-Changr User profile---可修改用户名称,密码,邮箱,电话等用户信息.3.在变更申请在CQ系统变更流程中的修复条件是什么？A:送样前内部变更（非客户提出的变更），所有的DCN分配的任务都已执行完成并通过相关流程规定的审核确认或是通过评审；B:送样后的设计变更，已经通过相关流程规定的内部验证、质量检验、送样评审。

4. 所有变更申请在CQ系统变更中的关闭条件是什么？以提出者确认通过为总原则，具体情况如下但不限于这两种情况。

A:送样前内部变更（非客户提出的变更），通过研发流程规定的测试验证关闭;B:送样后的设计变更，客户验证通过。

5. 在样机试制过程中您发现图纸设计缺陷，您如何提交变更申请？打开CQ----点击NEW变更任务----填写任务描述-----填写相关人员----点击OK6.如何查询各结构人员的现有的变更任务的执行情况？打开CQ---点击所有任务---查看变更任务状态(分为SUBMIT(提交), ASSIGN DEV分配), REJECTOR(拒绝),OPEN(接受),FIX(修复),CLOSE(关闭)).7.接受分配给你的任务时,需要执行什么动作?接受分配给你的任务时,需要执行OPEN动作,使任务处在OPENED状态.8.结构设计完成提交审核时,需要执行什么动作?结构设计完成提交审核时,需要执行FIX动作, 使任务处在FIXED状态9.CQ系统变更中涉及到的角色与相应的操作权限有那些?涉及到的角色大概有5个之多:1.变更申请人负责收集问题和变更需求，提出变更申请。

跟踪整个变更与问题处理过程。

2.部门经理研发部门负责对样机评审后的向研发部门提出的变更申请，反馈问题进行审批。

1.0 目的：制定此过程控制产品设计、材料代用等工程问题的更改，确保新的设计过程、材料、作业方式、库存材料及新材料的正确取得，以优质的产品质量获取客户的信赖。

2.0 范围：此程序适用于公司的产品、材料特性、制造作业流程、检测方法及包装方式等有需要更改或要求改善之事件。

3.0 定义：工程变更（ECN）：适用于生产技术及工艺的更改，由工程部执行与发放。

设计变更（DCN）：适用于产品结构、电气性能、安规、零件代用、成本降低的更改，由研发部执行与发放。

工程变更申请（ECR）：适用于提出工程更改之部门，工程/品质/生产/采购/PMC。

PMC：生产物控部。

4.0 职责：4.1工程更改需求(ECR)的提出。

---工程/品质/生产/采购/PMC/市场4.2 设计更改的执行与设计更改通知(DCN)的发放。

---研发部4.2 工程更改的执行与工程更改通知(ECN)的发放。

---工程部4.3 工程更改的改善效果跟进。

---品质部4.4 批准工程更改需求(ECR)。

---申请部门主管4.5 批准工程更改需求(ECR)及工程更改通知(ECN) 。

---研发/工程/品质/生产/采购/PMC/市场5.0 程序：5.1 更改时机：5.1.1 客户提出更改需求时：由市场部于“ECR”单上填写更改原因，及提供更改需求数据或样品。

5.1.2 质量需求更改工艺时：检验员/生产相关人员若发现工艺失控，(不良率过高)即填写“品质异常单”，由品质部主管协调工程部人员来取技术上的改进措施。

5.1.3 质量需求修改产品时：市场部收到客户投诉或品质部及工程部门发现产品异常，经研究属产品本身设计或物料材质偏差，即由申请单位填写“ECR”表明需求。

5.1.4 产品更改设计提高竞争力时：因市场需求增强产品技术性能而更改时，由市场部提出ECR。

5.1.5 使用新物料代用：因物料缺乏需采用新物料代用或设备更新时，由采购部提出更改ECR。

5.2 主导部门5.2.1 涉及结构及性能更改时：由研发部主导，测试工程师验证，研发部执行并发出DCN，研发/工程/品质/生产/采购/PMC/市场部门确认。

DCN 网络（数据通信网）安全解决方案DCN（数据通信网）是网通 A 公司的专用数据通信网，作为公司的 Intranet，不仅是公司的生产网，同时也承载了大量的业务系统，如计费系统、综合客服系统、网管系统、呼叫中心和计费采集系统等。

作为内部 IT 系统的基础承载网络，网通 A 公司 DCN 采用 VLAN+MPLSVPN 技术来隔离各业务系统，网络安全问题由各业务系统自己解决。

在网络建设之初，缺乏统一规划，主要以满足各业务系统自身需求为出发点，欠缺整体上的安全保护策略，安全保护策略的部署差异很大，无法提供整体的安全解决方案，同时在一定程度上带来了维护和管理上的难度。

而且，DCN 的网络设备在整体上缺乏保护措施，面临被黑客控制甚至被当作攻击跳板的危险，同时由于运营商的特殊角色，其网络设备面临严重的拒绝服务攻击的威胁。

本文从网络安全域角度出发，从网络边界防护、主机安全策略、身份认证和终端安全控制等多方面分析了网通 A 公司 DCN 网络安全解决方案。

2、网络安全域的划分为规划和建设一个安全可靠的 IT 系统，目前通用的做法是引入一个安全域的概念。

本文所讲述的安全域的概念是，在安全策略的统一指导下，根据各套 IT 系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将 DCN 及其所承载的 IT 系统划分成不同的域，将不同 IT 系统中具有相近安全属性的组成部分归纳在同级或者同一域中。

一个安全域内可进一步被划分为多个安全子域，安全子域也可继续依次细化。

这里需要明确的是，安全域划分并不是传统意义上的物理隔离。

物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享；而安全域划分是在认真分析各套 IT 系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许 IT 系统之间以及与其他系统之间正常传输和交换合法数据。

本文将网通 A 公司 DCN 及其所承载的 IT 系统划分为 5 个安全域，如图 1 所示。

搭建安全的综合数据通信网（DCN网） ---Date Communicate Net作者：梁世红所属频道：安全发布时间：2007-01-16 10:16 综合数据通信网（DCN网）在企业信息化中的重要程度正不断提高，但要解决随之而来的安全问题，还需满足三大前提条件。

随着企业信息化程度的不断提高，采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网（DCN网），逐步成为企业应用趋势。

目前，省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。

而随着信息化系统整合，Internet和合作伙伴等也会接入到网络中，随着DCN网络信息资产价值的提高，其重要性和安全问题日益显现出来。

整体而言，DCN网络正面临着恶意软件攻击、内部员工误用、黑客入侵破坏等安全威胁，要建立安全的DCN网，必须满足一些前提条件。

安全需求具有明显特点DCN网络分为两层结构:省干核心层和地市汇聚层。

全省共设置了1个省中心节点、若干个地市中心节点。

DCN网络存在的安全问题主要集中在以下几个方面：组网方式随意性很强；网络区域之间边界不清晰，互通控制管理难度大、效果差，攻击容易扩散；安全防护手段部署原则不明确，已有设备也没有很好地发挥作用；网络资源比较分散，关键数据分散管理，部分通信资源无法共享；扩展性差，网络层次不清晰，会导致扩展性问题；非均匀的网络分布。

作为内部支撑业务的“数据通信网”，DCN网络与其他网络的安全需求相比存在着明显的特点。

可用性，可控性需求。

作为内部承载网络，DCN网络的可用性需求是最重要的安全需求，由于DCN网络的特点，公共网络那种以扩大资源（带宽、设备处理能力）为主的处理方式很明显不适合DCN网络的具体情况。