1、通信公司分组域核心网维护安全管理规定编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目 录第一章 概述3第二章 维护组织4第一节 维护组织机构及职责4第二节 分组域核心网与其它网络/系统间责任划分5第三章 系统的日常维护和管理7第四章 故障管理9第五章 质量管理11第六章安全管理13附录：分组域核心网故障处理流程15修订历史16第一章 概述第一条 分组域核心网是数据业务的承载网络， 它与2/3/4G无线接入网、互联网相结合，通过无线接入为用户实现WAP浏览、INTERNET浏览、行业应用等数据业务。第二条 分组域核心网包括骨干分组2、域核心网和省网分组域核心网。骨干分组域核心网包括BG、根DNS和NTP SERVER，省网分组域核心网包括SGSN/MME、GGSN/SAEGW（含兼做根GGSN/SAEGW的省网GGSN/SAEGW）、CG、DNS和防火墙。第三条 本管理办法适用于骨干分组域核心网和省网分组域核心网中所有设备。第四条 为了规范分组域核心网的维护管理，合理、可靠、安全、高效地组织、管理分组域核心网，提高分组域核心网的通信服务质量，提高维护队伍整体素质和水平，特制定本管理规定，作为组织、管理分组域核心网的依据。第五条 本管理规定按照网络运行维护规程框架编制，未详尽描述部分参照网络运行维护规程执行。第六条 各级维护3、管理部门应认真执行本规定。各省公司在本规定的基础上，结合本省实际情况，编制实施细则，以确保分组域核心网安全、可靠、高效地运行。第七条 本管理规定的解释权和修改权属于通信有限公司网络部。第二章 维护组织第一节 维护组织机构及职责第八条 分组域核心网的维护管理按照统一领导、分级管理、分级负责的原则，在总部统一领导下，总部及各省公司负责各自管辖范围内分组域核心网的维护管理工作。第九条 总部网络部主要职责为：1. 负责组织制定分组域核心网的维护管理规定，监督各省落实维护规定的情况，对各省的维护工作给予指导。2. 负责制定分组域核心网网络运行质量考核指标和考核办法，定期检查和分析分组域核心网网络的运行质4、量，组织考核评比。3. 负责分组域核心网重大故障和重大安全事件的管理。4. 负责为分组域核心网的设备维护、优化和故障处理提供技术支援。5. 负责国内外运营商的分组域核心网网间互联工作。6. 负责制定分组域核心网网络组织、路由原则、局数据原则和全网业务的网络实施方案。7. 负责分组域核心网的设备、软件、局数据、资源管理等工作。8. 组织制定全网分组域核心网的应急通信保障方案，具体负责骨干分组域核心网的应急演练，指导各省公司制定省内分组域核心网的应急方案。9. 分析全网分组域核心网网络的运行情况，指导全网分组域核心网网络的优化调整工作。10. 实施骨干分组域核心网设备的维护和优化工作，负责724小5、时实时监控骨干分组域核心网设备的运行状况，负责故障处理、资源调度、网络预警、质量控制、软件装载、局数据制作等工作，并落实相关安全要求。11. 组织实施骨干分组域核心网设备工程建设期间的工程随工及验收测试工作。12. 负责监视各省分组域核心网网络的运行情况，并对各省重大故障的处理进行督办。13. 牵头组织各级维护人员的技术、业务交流与培训。第十条 各省公司网络维护部门主要职责为：1. 贯彻总部分组域核心网维护管理规定制度，根据本省情况制定切实可行的维护管理实施细则。2. 负责落实总部分组域核心网网络运行质量考核指标和考核办法，建立质量分析制度和质量监督体系。3. 负责省内分组域核心网的安全工作。6、4. 组织制定省内分组域核心网应急通信保障方案并定期演练。5. 负责制定本省分组域核心网结构、路由原则和省内业务的网络实施方案。6. 在总部的指导下，负责做好本省分组域核心网设备的设备、软件、局数据、资源管理等工作。7. 负责定期分析省内分组域核心网的网络运行状况，做好网络预警工作，制定并实施相应的改造、优化措施。8. 负责724小时实时监控省内分组域核心网设备的运行状况，负责设备的日常维护、故障处理、资源调度、软件装载、局数据制作等工作。重大故障需向总部网络部报告，并组织解决省内分组域核心网运行维护中的问题。9. 骨干分组域核心网设备所在省公司配合总部网络部做好现场维护工作。10. 负责省内7、分组域核心网设备工程建设期间的工程随工和验收测试工作。11. 组织本省维护技术人员的交流和培训工作。第十一条 地市公司网络维护部门主要职责:1. 贯彻落实省公司分组域核心网维护管理实施细则。2. 分组域核心网设备所在地市公司承担属地设备的现场维护职责。3. 配合省公司进行应急通信保障预案的演练与实施。4. 完成省公司委派的其它各项任务。第二节 分组域核心网与其它网络/系统间责任划分第十二条 分组域核心网和无线网之间维护分工以Gb/Iu/S1接口划分，Gb/Iu/S1接口内侧属于分组域核心网，Gb/Iu/S1接口外侧属于无线网。第十三条 分组域核心网与电路域核心网之间维护分工以Gr/SGs/S68、a/Sv接口划分，分组域核心网侧设备由分组域核心网维护部门负责维护，另一侧设备由电路域核心网维护部门负责维护。第十四条 分组域核心网与IMS网之间维护分工以SGi/Rx接口划分，分组域核心网侧设备由分组域核心网维护部门负责维护，另一侧设备由IMS网维护部门负责维护。第十五条 分组域核心网与CMNet网络之间维护分工以分组域核心网防火墙出口为界面，防火墙（含）内侧设备由分组域核心网维护部门负责维护，外侧设备由CMNET维护部门负责维护。第十六条 由于分组域核心网通过CMNET与其他网络、系统互联，所以分工界面同CMNet网，这类网络、系统包括：WAP网关、彩信中心等。第十七条 对于离线计费：分组9、域核心网与计费系统的维护分工界面是分组域核心网的CG/LCG设备连接到计费系统的接口，接口内侧设备归属分组域核心网，接口外侧设备归属计费系统；对于在线计费：分组域核心网与计费系统的维护分工界面是分组域核心网的GGSN/SAEGW连接到计费系统OCG的Gy接口，接口内侧设备归属分组域核心网，接口外侧设备归属计费系统。第十八条 分组域核心网在增加节点、进行重大局数据修改或实施软件版本升级计划前，必须事先通报相关部门和相关系统维护人员，必要时需在相关部门和系统维护人员的协助下完成上述工作。第十九条 分组域核心网要积极配合完成与IMS网、GSM网、无线网、CMNET网、IP承载网、传输 PTN网、WA10、P网关、计费系统等有关的网络调整工作，并配合进行相关测试。第三章 系统的日常维护和管理第二十条 分组域核心网维护工作主要指设备网元和网络层面的维护，包括系统本身及相关连接设备的定期检测、数据备份、故障处理等。第二十一条 系统维护作业计划的编制。1. 对于骨干分组域核心网，总部网络部参照本规定中所制定的维护监测项目、周期和要求, 制定详细的作业计划，并将部分作业计划任务指派给设备所在省公司网络维护部门实施。总部网络部和设备所在省公司网络维护部门按照分工职责分别执行作业计划，设备所在省公司根据总部网络部要求定期上报作业计划执行情况和设备检测结果，在设备检测中一旦发现异常情况，应立即上报总部网络部。11、2. 对于省内分组域核心网，省公司负责组织编制日常维护作业计划并组织实施和定期检查。第二十二条 分组域核心网日常维护测试项目和测试周期参考下表。各省分组域核心网配置不尽相同，测试项目可根据各自设备的实际情况自行补充，测试周期可根据实际情况调整，但频度不得低于下表所列。类别项目周期备注分组域核心网系统状态硬件系统检查日包含：主服务器，存储设备，交换机，路由器，防火墙，安全设备网络连通性检查日系统软件检查日监测实时告警消息实时监控主备倒换测试半年系统各相关设备分组域核心网系统资源情况中继链路使用情况日主机文件系统使用情况日主机CPU和内存使用情况日分组域核心网系统进程管理主机设备主要进程状态检查日12、分组域核心网系统安全管理防火墙连通性检查日防火墙规则、日志检查月是否有安全更新周是否发现可疑进程和可疑端口日定期修改设备密码季分组域核心网系统数据管理应用系统数据及用户数据备份日系统数据核查季日志文件备份日文件系统备份半年其他IP地址资料的检查核对季端口资料的检查核对月软件版本核对月现场看护机房电源、空调、温湿度检查日备品备件的清理核对季第四章 故障管理第二十三条 故障处理中的职责划分：1. 对于骨干分组域核心网设备，总部网络部负责故障处理，对于需要设备所在省现场进行处理的故障，通过工单方式通知设备所在省。设备所在省负责配合总部进行故障处理。2. 对于省网分组域核心网设备，省公司网络维护部门负13、责故障处理，必要时可协商总部网络部和其他省公司进行配合。第二十四条 故障分类。1. 业务故障：由于分组域核心网内设备不能正常运行、局数据设置错误、互联互通故障、人为差错等各种原因，造成分组域核心网承载的某项或若干项业务质量下降甚至中断。2. 设备故障：分组域核心网内的主备用设备由于各种原因不能正常运行，对业务正常的运行造成隐患，但尚未影响业务。3. 在业务故障和设备故障同时出现的情况下，定义为业务故障。第二十五条 分组域核心网的紧急故障。1. 定义：全网性及区域性分组域核心网系统设备出现某项或若干项业务中断，造成全网或部分省用户无法正常使用业务，称为紧急故障。2. 上报要求：故障发现省必须在114、0分钟内上报总部网络部。3. 故障通报：总部网络部在发现紧急故障后，应将紧急故障通报业务受影响的省。4. 故障跟踪及处理：总部网络部和省公司按照分工职责，协调相关资源，抢通业务。若业务在短期内无法恢复，故障升级为重大故障，应按照重大故障的要求上报和处理。第二十六条 故障级别分为重大故障、严重故障和一般故障三级。第二十七条 分组域核心网的重大故障：1. 以下情况发生任意一种即为重大故障：1) 由于各种原因造成SGSN覆盖范围内相关业务（CMNET和CMWAP和行业应用）全阻，且业务没能割接到其它备份设备，设备故障历时超过60分钟。2) 由于各种原因造成GGSN覆盖范围内相关业务（CMNET和CM15、WAP和行业应用）全阻，且业务没能割接到其它备份设备，故障历时超过60分钟。3) 由于各种原因造成MME覆盖范围内相关业务全阻，且业务没能割接到其它备份设备，设备故障历时超过60分钟。4) 由于各种原因造成SAE-GW覆盖范围内相关业务全阻，且业务没能割接到其它备份设备，故障历时超过60分钟。2. 上报要求：重大故障一经确认，应立即上报，重大故障自障碍发生至上报到总部不得超过60分钟。3. 故障通报：故障省公司网络维护部门在发现重大故障后，应将重大故障通报业务部门。第二十八条 分组域核心网的严重故障：1. 以下情况发生任意一种即为严重故障：1) 由于各种原因造成分组域核心网的某项或若干项主要业16、务（CMWAP浏览、CMNET浏览等）中断，在凌晨1时至凌晨6时，业务故障历时不超过60分钟；在其他时间段，业务故障历时不超过30分钟； 2) 由于各种原因造成分组域核心网的某项或若干项非主要业务（如行业应用）中断，在凌晨6时至24时，业务故障历时超过60分钟；3) 由于各种原因造成分组域核心网的某项或若干项业务质量下降，业务运行指标（2/3G PDP激活成功率、4G 承载建立成功率）较正常水平低30%，时间超过60分钟；4) 分组域核心网系统核心节点发生故障造成本节点不能承载业务，且设备故障历时不超过60分钟。5) 分组域核心网系统核心冗余设备发生故障不能正常运行，尚未影响业务，但是对业务正17、常运行造成严重隐患，且设备故障历时超过120分钟。2. 除上述情况外，省公司可以根据实际情况对严重故障定义进行补充。第二十九条 分组域核心网的一般故障：1. 定义：除重大故障和严重故障外的其他故障为一般故障。第三十条 故障处理流程详见附件。第五章 质量管理第三十一条 为完善对分组域核心网各个环节的质量控制，应建立各级检查体系。做到统一领导，分级管理，分工负责，层层到位，把好质量关。第三十二条 总部网络部负责组织建立分组域核心网的质量分析制度。1. 总部网络部负责定期汇总全网分组域核心网系统运行质量、网络性能等指标，进行数据网运行质量分析，排除质量隐患，不断提高网络运行质量和服务质量。2. 对于18、省内分组域核心网系统，省公司负责汇总整理省内分组域核心网系统运行质量、网络性能等指标，进行质量分析，并将运行质量情况定期上报总部网络部。第三十三条 分组域核心网主要性能指标: 2/3G指标如下：（1） SGSN内部路由区更新成功率（2） 由MS发起的PDP上下文激活成功率（SGSN）（3） MS PDP上下文激活失败率（GGSN）（4） 单位时间内每个用户的平均带宽（上下行）（5） SGSN间路由区更新成功率（6） 附着成功率（7） 分组寻呼成功率（8） SGSN平均附着利用率（9） SGSN最大附着利用率（10） SGSN、GGSN平均激活PDP利用率（11） SGSN、GGSN最大激活PD19、P利用率（12） SGSN、GGSN下行数据丢包率（13） SGSN 、GGSN GTP信令丢包率（14） PCU利用率（15） PDCH的平均占用率（16） PDCH分配成功率（17） TBF分配成功率（18） TBF上下行时延4G指标如下：（19） 排除用户原因附着成功率（20） 寻呼成功率（21） 跟踪区更新成功率（22） MME切换成功率（23） PGW计费请求成功率（24） SGW缺省承载建立成功率第三十四条 对各项运行维护指标的考核评定以运行维护考评体系的规定为准。第六章安全管理第三十五条 分组域核心网安全管理工作主要指设备网元和网络层面的账户口令安全、漏洞、基线配置合规率等，安全20、工作以集团下发的相关安全规范为准。第三十六条 依据账户口令管理办法账户管理原则要求，帐号管理遵循职责匹配、最小授权原则，规范帐号创建、变更、删除审批流程，严格限制程序帐号的使用；第三十七条 口令管理原则(一) 口令至少由6位及以上大小写字母、数字及特殊符号等混合、随机组成，尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分。 (二) 应以HASH或者加密技术保存口令，不得以明文方式保存或者传输；(三) 口令至少每90天更换一次。修改口令时，须保留口令修改记录，包含帐号、修改时间、修改原因等，以备审计；(四) 5次以内不得设置相同的口令；(五) 由于员工离职等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的口令。第三十八条 定期（每月或者在设备发生变更时）进行弱口令检查，发现弱口令及时整改。第三十九条 通过渗透测试和安全漏洞扫描等手段，定期进行分组域核心网安全漏洞检查，对高危漏洞进行分析，在不影响现网业务运行的前提下，进行漏洞整改。第四十条 设备合规率是设备的安全配置对集团安全配置规范的符合程度。各省分组域核心网设备合规率应满足集团要求。附录：分组域核心网故障处理流程