梁楊

【摘要】 本文結(jié)合中國移動(dòng)通信集團(tuán)河北有限公司地市分公司的營業(yè)網(wǎng)絡(luò)現(xiàn)狀，分析了當(dāng)前地市級(jí)營業(yè)網(wǎng)絡(luò)的弊端及存在的安全隱患，提出了基于安全域場(chǎng)景劃分的營業(yè)網(wǎng)絡(luò)解決方案，有效提升了地市級(jí)營業(yè)網(wǎng)絡(luò)安全。

【關(guān)鍵詞 】 安全域 場(chǎng)景劃分 營業(yè)廳 安全

The solution of business network based on scenes-division security domains

Liang Yang China Mobile Group Design Institute Co.，Ltd. Hebei Branch.

Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.，Ltd， this article analyzes the drawbacks and underlying security problems in urban business network， and then proposes a solution of business network based on scenes-division security domains， which effectively enhances the network security.

Key words security domains； scenes division； service hall； security

一、地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀及分析

1.1 地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀

經(jīng)過多年的業(yè)務(wù)發(fā)展和市場(chǎng)拓展，目前中國移動(dòng)通信集團(tuán)河北有限公司全省實(shí)體渠道營業(yè)網(wǎng)點(diǎn)總數(shù)達(dá)16000多個(gè)，其中自建實(shí)體渠道營業(yè)網(wǎng)點(diǎn)達(dá)1600多個(gè)，合作廳和代理商實(shí)體營業(yè)網(wǎng)點(diǎn)達(dá)14000多個(gè)，營業(yè)終端數(shù)達(dá)23000多個(gè)。

各地市的自建廳全部通過SDH自有傳輸經(jīng)過MDCN上連至省業(yè)務(wù)支撐中心，但是合作廳和代理商實(shí)體營業(yè)廳接入省業(yè)務(wù)支撐中心的方式復(fù)雜多樣，經(jīng)過調(diào)研，結(jié)果如下：

承德、張家口、秦皇島、廊坊、保定、滄州、邯鄲七個(gè)地市分公司的合作廳/代理商廳均通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心；石家莊分公司大部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心，少部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心；唐山分公司部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心，部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心，還有一部分是通過租用其他通信公司企業(yè)專網(wǎng)VPN方式接入本地市的營業(yè)匯聚交換機(jī)再上連至省業(yè)務(wù)支撐中心；衡水分公司部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心，部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心；邢臺(tái)分公司少部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心，大部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機(jī)接入省業(yè)務(wù)支撐中心。

圖1 地市合作/代理廳營業(yè)網(wǎng)絡(luò)現(xiàn)狀結(jié)構(gòu)圖

各地市合作廳/代理商廳營業(yè)網(wǎng)絡(luò)現(xiàn)狀情況如上圖所示：

另外，中國移動(dòng)通信集團(tuán)河北有限公司近期啟動(dòng)了營業(yè)廳瘦終端改造工程，目標(biāo)是在未來5年內(nèi)，逐步實(shí)現(xiàn)全省營業(yè)廳的瘦終端化，瘦終端服務(wù)器群在省業(yè)務(wù)支撐中心集中部署，因此在當(dāng)前瘦終端尚未完全覆蓋全省的情況下，除了上述全省十一個(gè)地市分公司的營業(yè)網(wǎng)絡(luò)現(xiàn)狀外，又將增加一個(gè)瘦終端的接入方式，全省的營業(yè)網(wǎng)絡(luò)接入方式變得更加復(fù)雜。

1.2 地市營業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

從上述現(xiàn)狀描述中可以看出，針對(duì)不同性質(zhì)的營業(yè)廳，沒有進(jìn)行有效的安全域劃分：

首先，從網(wǎng)絡(luò)層面，通過公網(wǎng)SSL VPN和通過租用其他通信公司企業(yè)專網(wǎng)VPN這兩種方式接入省業(yè)務(wù)支撐中心的合作廳/代理商廳在地市匯聚接入時(shí)未采用雙層異構(gòu)防火墻安全措施，且所有類型的營業(yè)廳均直接接入地市營業(yè)匯聚交換機(jī)，未對(duì)不同性質(zhì)的營業(yè)廳進(jìn)行安全域隔離，在瘦終端尚未全面覆蓋的過渡期，合作廳/代理廳等所使用的終端、業(yè)務(wù)訪問行為等不能完全受河北移動(dòng)公司管理，安全方面存在隱患，例如存在代理商操作員在非代理商接入域登錄的現(xiàn)象，一旦出現(xiàn)安全問題，影響面積較大。

其次，為滿足中國移動(dòng)通信集團(tuán)河北有限公司綠色瘦終端改造工程安全性建設(shè)的需要，要求綠色瘦終端營業(yè)廳同其他性質(zhì)的營業(yè)廳進(jìn)行安全隔離。

二、基于安全域場(chǎng)景劃分的營業(yè)網(wǎng)絡(luò)解決方案

2.1 方案說明

結(jié)合中國移動(dòng)通信集團(tuán)河北有限公司地市分公司的營業(yè)網(wǎng)絡(luò)現(xiàn)狀和未來幾年的瘦終端廳部署規(guī)劃，針對(duì)11個(gè)地市分公司的營業(yè)網(wǎng)絡(luò)進(jìn)行基于安全域的場(chǎng)景劃分如下：

將市公司的營業(yè)網(wǎng)絡(luò)接入域劃分為兩個(gè)安全域，即內(nèi)部接口子域和合作/代理子域；并劃分出四個(gè)場(chǎng)景分別部署不同性質(zhì)的營業(yè)廳，場(chǎng)景一為普通終端自建廳，場(chǎng)景二為瘦終端廳，場(chǎng)景三為具備傳輸條件的普通終端合作廳/代理商廳，場(chǎng)景四為不具備傳輸條件的普通終端合作廳/代理商廳。

自建營業(yè)廳，由于營業(yè)人員所使用的終端、業(yè)務(wù)訪問行為等能夠接受中國移動(dòng)通信集團(tuán)河北有限公司的管理，屬于內(nèi)部系統(tǒng)，瘦終端廳（無論是自建廳還是合作/代理廳）所采用的瘦終端將簡化只有鍵盤、鼠標(biāo)、顯示器和外接打印機(jī)、智能卡等設(shè)備，在集中部署的服務(wù)器端采用遠(yuǎn)程桌面技術(shù)，遠(yuǎn)程桌面服務(wù)作為瘦終端的代理，執(zhí)行營業(yè)系統(tǒng)的客戶端應(yīng)用，訪問業(yè)務(wù)系統(tǒng)，省公司還可以根據(jù)管理需求針對(duì)營業(yè)廳的性質(zhì)進(jìn)行瘦終端的配置，比如自辦廳可以額外配置磁盤，而合作/代理廳不配置磁盤等等，這種性質(zhì)的營業(yè)廳能夠規(guī)避營業(yè)員操作帶來的安全漏洞，能夠確保營業(yè)網(wǎng)絡(luò)的安全性，因此場(chǎng)景一和場(chǎng)景二部署在市公司內(nèi)部接口子域。

場(chǎng)景三中普通終端的合作廳/代理商廳因所使用的終端、業(yè)務(wù)訪問行為等則不能完全受中國移動(dòng)通信集團(tuán)河北有限公司的管理，屬于外部系統(tǒng)，因此場(chǎng)景三部署在市公司的合作/代理子域。

場(chǎng)景四中普通終端的合作廳/代理商廳因所使用的終端、業(yè)務(wù)訪問行為等則不能完全受中國移動(dòng)通信集團(tuán)河北有限公司的管理，屬于外部系統(tǒng)，由于場(chǎng)景四是通過公網(wǎng)Internet方式接入至省業(yè)務(wù)支撐系統(tǒng)，安全風(fēng)險(xiǎn)較代理廳、合作廳更大，針對(duì)此類場(chǎng)景的營業(yè)廳需要特殊處理，將其部署在省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域。

以上基于地市分公司安全域和省業(yè)務(wù)支撐系統(tǒng)安全域的四種場(chǎng)景劃分如圖2所示。

2.2 方案實(shí)施

市公司內(nèi)部接口子域和市公司合作/代理子域中涉及的三個(gè)營業(yè)場(chǎng)景需要物理上隔離，需要部署統(tǒng)一匯聚接入交換機(jī)和路由器，場(chǎng)景三還要在交換機(jī)南向接口部署隔離防火墻，且與省業(yè)務(wù)支撐系統(tǒng)防火墻形成雙層異構(gòu)，如表1所示方案實(shí)施前后采取的安全措施。

目前中國移動(dòng)通信集團(tuán)河北有限公司各地市分公司現(xiàn)有地市營業(yè)匯聚交換機(jī)為Cisco3750三層交換機(jī)，背板帶寬32Gbps，內(nèi)存256M，端口為10/100M自適應(yīng)以太端口，在現(xiàn)狀情況下剛剛能滿足需求；通過在石家莊瘦終端體驗(yàn)廳進(jìn)行測(cè)試，每臺(tái)瘦終端的帶寬需求為56KB至300KB，而目前每臺(tái)普通營業(yè)終端帶寬約為300KB，因此瘦終端的引入對(duì)目前的帶寬無影響；另外綜合考慮業(yè)務(wù)遠(yuǎn)期發(fā)展和一些業(yè)務(wù)可能帶來的復(fù)雜度提升以及節(jié)能降耗、最大化利用投資等因素的影響，地市公司的營業(yè)匯聚交換機(jī)采用較高性能的中端三層交換機(jī)，在交換機(jī)上通過劃分VLAN來區(qū)分隔離場(chǎng)景一、場(chǎng)景二和場(chǎng)景三，達(dá)到物理隔離提升安全性目的，場(chǎng)景三在交換機(jī)南向接口部署隔離防火墻，要求此防火墻和省業(yè)務(wù)支撐系統(tǒng)防火墻形成雙層異構(gòu)以保證安全性，另外，四個(gè)場(chǎng)景劃分后還需要重新劃分IP地址。

因?yàn)镸DCN和省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域負(fù)責(zé)四類場(chǎng)景的接入，為保證業(yè)務(wù)的順暢訪問，要求MDCN在各地市的接入節(jié)點(diǎn)以及省業(yè)務(wù)支撐系統(tǒng)互聯(lián)網(wǎng)接口子域接入交換機(jī)的各項(xiàng)性能指標(biāo)不低于營業(yè)匯聚交換機(jī)的性能指標(biāo)。

省業(yè)務(wù)支撐系統(tǒng)需要配合進(jìn)行應(yīng)用改造，地市公司至省公司的安全策略需要進(jìn)行調(diào)整，各地市公司間互訪隔離策略需要部署，以達(dá)到路由精簡，降低網(wǎng)絡(luò)節(jié)點(diǎn)負(fù)荷。

三、結(jié)束語

受傳輸條件限制和河北公司市場(chǎng)拓展的需要，本文上述各種性質(zhì)的營業(yè)廳將長期共存，互為補(bǔ)充，基于安全域場(chǎng)景劃分的營業(yè)網(wǎng)絡(luò)解決方案適應(yīng)了此形勢(shì)下的河北公司地市級(jí)營業(yè)網(wǎng)絡(luò)發(fā)展需求，解決了營業(yè)網(wǎng)絡(luò)的存在的弊端，規(guī)避了安全隱患，有效提升了營業(yè)網(wǎng)絡(luò)的安全性。根據(jù)河北公司營業(yè)廳瘦終端改造工程的推進(jìn)情況，本方案可以進(jìn)行彈性調(diào)整，在不久的未來全省自建廳全部實(shí)現(xiàn)瘦終端化后，場(chǎng)景一和場(chǎng)景二則合并成一個(gè)場(chǎng)景；更遠(yuǎn)的未來全省各種性質(zhì)的所有營業(yè)廳全部實(shí)現(xiàn)瘦終端化后，四個(gè)場(chǎng)景合并成一個(gè)場(chǎng)景，地市公司營業(yè)網(wǎng)絡(luò)的安全域也縮減為一個(gè)內(nèi)部接口子域。