用戶數(shù)據(jù)面臨的主要風險用戶數(shù)據(jù)作為通信網(wǎng)絡中最重要的資產(chǎn),安全可靠的性能是保障網(wǎng)絡正常運行的基礎(chǔ)。若用戶數(shù)據(jù)不可靠,輕則造成部分用戶業(yè)務不正常,重則造成整個網(wǎng)絡業(yè)務癱瘓,給運營商和用戶帶來巨大損失。近年來國內(nèi)外也出現(xiàn)過由于關(guān)鍵用戶數(shù)據(jù)丟失造成通信系統(tǒng)癱瘓的事件,可見對用戶數(shù)據(jù)安全可靠性的保障尤為重要。
目前,用戶數(shù)據(jù)的安全可靠主要面臨如下風險:
● 數(shù)據(jù)可靠性不足,引起用戶數(shù)據(jù)容易丟失, 節(jié)點間數(shù)據(jù)容易不一致, 出現(xiàn)故障時用戶數(shù)據(jù)難以恢復等風險。
● 數(shù)據(jù)安全性不高,造成非法用戶可以訪問,竊聽和篡改用戶數(shù)據(jù),存在個人數(shù)據(jù)容易被泄露的風險。
為了化解用戶數(shù)據(jù)存在的各種風險,確保用戶數(shù)據(jù)的安全可靠,中興通訊推出了云化統(tǒng)一數(shù)據(jù)層CUDR(Cloud Unified Data Repository)解決方案。
中興通訊CUDR:確保數(shù)據(jù)安全可靠的解決方案 CUDR位于通信網(wǎng)絡中的公共數(shù)據(jù)層,為通信網(wǎng)絡中的各種NF(Network Function)和應用提供通用的數(shù)據(jù)存儲服務,是一種面向5G的、云化的、基于3GPP數(shù)據(jù)服務要求的公共數(shù)據(jù)層,它實現(xiàn)了2G/3G/4G/5G和IMS網(wǎng)絡用戶數(shù)據(jù)的融合和統(tǒng)一存儲,可以靈活滿足運營商不同部署需求。
圖1 ZXUN CUDR云化統(tǒng)一數(shù)據(jù)層解決方案架構(gòu)圖
CUDR包括UDR(Unified Data Repository)和UDSF(Unstructured data storage function), 其中UDR負責結(jié)構(gòu)化數(shù)據(jù)的存儲與處理,UDSF負責非結(jié)構(gòu)化數(shù)據(jù)的存儲與處理;贑UDR,通信網(wǎng)絡實現(xiàn)了計算與存儲分離,應用專注于業(yè)務邏輯的處理,CUDR專注于用戶數(shù)據(jù)的處理與可靠性,為應用提供高性能的數(shù)據(jù)訪問接口,應用與數(shù)據(jù)各自可獨立靈活彈縮,實現(xiàn)完全負荷分擔,極大增強了網(wǎng)絡可靠性。
中興通訊CUDR支持海量用戶數(shù)據(jù)的存儲,提供毫秒級的用戶數(shù)據(jù)訪問服務,是一種全分布、大容量、高性能、高可靠的共享數(shù)據(jù)層解決方案。
海量存儲對數(shù)據(jù)可靠性提出更高要求,中興通訊CUDR的可靠性主要體現(xiàn)如下幾點:
1.可靠的地理容災: 支持靈活的N+K地理容災,各站點的數(shù)據(jù)保持嚴格一致,在某站點發(fā)生災難時,業(yè)務和數(shù)據(jù)可被其他站點平滑接管。容災倒換過程無需人工干預,無需發(fā)送Reset,全自動控制,立即恢復網(wǎng)絡業(yè)務。
2.SON(Self-Organizing Network)網(wǎng)絡,完善的故障監(jiān)控與自愈能力能夠自動監(jiān)測系統(tǒng)、虛機和業(yè)務組件狀態(tài)。在異常情況下,系統(tǒng)通過自動隔離故障節(jié)點,自動恢復節(jié)點,虛機自愈等措施自動恢復系統(tǒng)正常,無需人工干預,便于系統(tǒng)維護。
3.完善的過負荷控制機制: 首先通過自動彈性擴容增加系統(tǒng)資源,自動提高系統(tǒng)處理高話務的能力;當系統(tǒng)資源被完全利用后還無法滿足當前高話務量的處理要求時,系統(tǒng)自動啟動負荷控制,根據(jù)不同的負荷水平啟動不同級別的業(yè)務控制,確保高優(yōu)先級業(yè)務得到優(yōu)先處理,盡最大能力保障用戶的業(yè)務體驗。
4.多級數(shù)據(jù)備份與恢復機制:采用自研的高性能內(nèi)存數(shù)據(jù)庫和文件存儲系統(tǒng)來處理用戶數(shù)據(jù),為保障數(shù)據(jù)的可靠性,內(nèi)存數(shù)據(jù)庫節(jié)點分為主節(jié)點和備節(jié)點,主節(jié)點和備節(jié)點間的數(shù)據(jù)完全同步。另外,為保證在系統(tǒng)斷電時用戶數(shù)據(jù)不丟失,存儲系統(tǒng)按需實時或準實時地持久化用戶數(shù)據(jù)到本地硬盤、云存儲和外部備份服務器上,這樣同一份數(shù)據(jù)多份備份,在數(shù)據(jù)節(jié)點恢復時,有多個備份可供使用,確保數(shù)據(jù)不丟失。
圖2 ZXUN CUDR多級數(shù)據(jù)備份方案
5.多層數(shù)據(jù)校驗機制:
1)數(shù)據(jù)讀寫時,基于schema實時校驗數(shù)據(jù)完整性;
2)主節(jié)點和備節(jié)點之間數(shù)據(jù)復制、恢復時嚴格校驗,確保主備節(jié)點間數(shù)據(jù)一致性;
3)內(nèi)存數(shù)據(jù)庫中的數(shù)據(jù)與持久化到磁盤中的數(shù)據(jù)嚴格校驗,若數(shù)據(jù)不一致,則自動通過重建備份進行恢復。
中興通訊CUDR的數(shù)據(jù)安全性主要體現(xiàn)如下幾點:
1.多維度的數(shù)據(jù)組織安全,包括:
1)租戶隔離:按租戶進行數(shù)據(jù)組織和訪問,數(shù)據(jù)存儲和訪問嚴格隔離。操作維護互相隔離,數(shù)據(jù)升級互不影響。各租戶單獨進行生命周期管理,彈縮互不影響;
2) 訪問安全:嚴格的ACL(Access Control List)數(shù)據(jù)訪問控制和嚴格的授權(quán)控制,基于權(quán)限提供不同的數(shù)據(jù)視圖。接入控制和視圖控制限制被授權(quán)的應用只能接入授權(quán)用戶數(shù)據(jù),同時限制接入操作類型,如新增,讀取,更新和刪除;
3)敏感數(shù)據(jù)和備份數(shù)據(jù)加密存儲,為敏感數(shù)據(jù)(如終端鑒權(quán)參數(shù)Ki)提供硬件和軟件安全加密機制,用來保護用戶數(shù)據(jù);
2.嚴格的個人數(shù)據(jù)保護,包括:
1)嚴格的權(quán)限控制,普通操作員僅可查看匿名操作界面,僅允許有權(quán)限的操作員才可以使用明文操作界面。
2)僅允許有權(quán)限的操作員導出用戶數(shù)據(jù),基于權(quán)限可以導出明文或脫密的用戶數(shù)據(jù)。
3)僅允許有權(quán)限的操作員可以基于權(quán)限導出明文或脫敏日志。
3.嚴格的安全審核:
1)系統(tǒng)類日志、操作類日志和受理類日志,全面記錄系統(tǒng)運行狀況。
2)提供在線日志、轉(zhuǎn)儲日志、備份日志三級日志存儲管理。
3)按照日志級別、關(guān)鍵字、日志類型以及日志的具體字段設置審計策略。
4)提供按照多種條件組合查詢?nèi)罩痉绞健?/P>
總結(jié)
中興通訊CUDR云化統(tǒng)一數(shù)據(jù)層解決方案為5G而生,為網(wǎng)絡中所有NF提供統(tǒng)一的數(shù)據(jù)存儲和處理。能夠確保用戶數(shù)據(jù)完整性、可靠性和一致性,從容應對自然災害和大話務量的沖擊,保障業(yè)務連續(xù)性;能夠保證用戶數(shù)據(jù)的安全性,保證用戶不易被非法訪問,篡改,嚴格保護個人數(shù)據(jù),確保用戶信息不被泄露。它是用戶數(shù)據(jù)的“保險箱”,時刻保障網(wǎng)絡業(yè)務安全穩(wěn)定運行。