任建滿

摘 要 移動本地網(wǎng)均建設(shè)有MDCN、BOSS、網(wǎng)管網(wǎng)等業(yè)務(wù)支撐網(wǎng)，隨著網(wǎng)絡(luò)發(fā)展擴容，使用人數(shù)的不斷增加，業(yè)務(wù)支撐網(wǎng)的組網(wǎng)安全就顯得尤為重要，文章以某中小城市的業(yè)務(wù)支撐網(wǎng)為背景，從安全角度提出組網(wǎng)的優(yōu)化策略及思路。

關(guān)鍵詞 業(yè)務(wù)支撐網(wǎng)；安全；優(yōu)化策略；思路

中圖分類號：TN915 文獻標識碼：A 文章編號：1671-7597（2014）14-0042-01

隨著網(wǎng)絡(luò)技術(shù)的進步，網(wǎng)絡(luò)的互聯(lián)性使得網(wǎng)絡(luò)安全問題日益突出，當前網(wǎng)絡(luò)攻擊已經(jīng)發(fā)展成為了一門完整的、系統(tǒng)的學(xué)科，網(wǎng)絡(luò)攻擊技術(shù)越來越高，攻擊的手段也越來越多，以至于對以往我們認為較為安全的運營商內(nèi)部業(yè)務(wù)支撐網(wǎng)也產(chǎn)生了嚴峻的安全挑戰(zhàn)。

移動本地業(yè)務(wù)支撐網(wǎng)承載了確保企業(yè)能正常運行的OA、MDCN、BOSS、網(wǎng)管等各種重要系統(tǒng)，因此，移動業(yè)務(wù)支撐網(wǎng)必須具有足夠嚴密的安全防護措施，一但業(yè)務(wù)支撐網(wǎng)發(fā)生安全問題，會危及客戶、危及社會信息安全，甚至引起嚴重的網(wǎng)絡(luò)中斷，影響社會的正常運作。保障業(yè)務(wù)支撐網(wǎng)的安全運行，是網(wǎng)絡(luò)建設(shè)者和運營者的一項重要使命。

1 某地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀

某地業(yè)務(wù)支撐網(wǎng)核心由2臺華為S8505做為路由及交換核心，其中具體網(wǎng)絡(luò)連接如下。

1）連接2臺PE上聯(lián)至省公司2個節(jié)點。

2）連接市總部辦公區(qū)域的2臺華為S6506。

3）接各個區(qū)縣分公司辦公區(qū)域的2臺華為S6506。

4）連接匯聚內(nèi)部管理服務(wù)器、內(nèi)部應(yīng)用服務(wù)器的2臺華為S6506。

5）連接聯(lián)通BOSS、同步、計費系統(tǒng)的2臺ISG1000防火墻。

其具體網(wǎng)絡(luò)圖如圖1所示。

2 某地業(yè)務(wù)支撐網(wǎng)存在問題

由本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀連接及網(wǎng)絡(luò)設(shè)備配置調(diào)研得知，本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀目前存在以下安全問題。

1）安全域劃分沒有細化，沒有區(qū)分對內(nèi)與對外應(yīng)用，沒有區(qū)分內(nèi)外終端，沒有區(qū)分OA終端與業(yè)支終端。

2）本地管理支撐網(wǎng)內(nèi)部不同安全域之間的業(yè)務(wù)主要通過ACL、VLAN的方式進行保護，安全防護手段簡單，存在嚴重的安全隱患。

3）專業(yè)系統(tǒng)側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問系統(tǒng)，存在嚴重的安全隱患。

4）企業(yè)應(yīng)用服務(wù)器、管理服務(wù)器側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問服務(wù)器，存在嚴重的安全隱患。

3 某地業(yè)務(wù)支撐網(wǎng)安全優(yōu)化方案

3.1 劃分安全區(qū)域

根據(jù)該地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀及存在問題的分析，結(jié)合安全域劃分防護原則，將該地業(yè)務(wù)支撐網(wǎng)劃分為以下安全區(qū)域。

1）核心安全區(qū)：包括信息系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫、管理控制臺和服務(wù)器等。是安全控制和保護級別最高的區(qū)域。

2）內(nèi)部業(yè)務(wù)區(qū)：主要是IT支撐系統(tǒng)如BOSS和網(wǎng)管。

3）終端安全區(qū)：包括信息系統(tǒng)辦公終端、維護終端、營業(yè)終端及一些重要程度不高的服務(wù)器。是安全控制和保護級別較高的區(qū)域。

4）半安全區(qū)：包括所有能被非信任來源（一般主要是合作伙伴）直接訪問并提供服務(wù)的系統(tǒng)。是公共區(qū)與內(nèi)部網(wǎng)絡(luò)安全區(qū)的“過渡”區(qū)域。

3.2 網(wǎng)絡(luò)實施方案

為實現(xiàn)上述安全區(qū)域的劃分，具體網(wǎng)絡(luò)硬件擴容優(yōu)化方案如下。

1）新增2臺核心防火墻，型號為Juniper SRX 3400，做為各個安全區(qū)域的邊界。

2）擴容原有的2臺Juniper ISG 1000防火墻，擴展端口。

3）新增2臺匯聚交換機，型號為華為S9303，做為半安全區(qū)、內(nèi)部業(yè)務(wù)區(qū)的匯聚。

4）新增2臺匯聚交換機，型號為S3352P，匯聚IT支撐系統(tǒng)。

具體的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化方案如圖2所示。

4 結(jié)束語

總之，通過對該移動業(yè)務(wù)支撐網(wǎng)進行統(tǒng)一規(guī)劃和優(yōu)化調(diào)整后，有效地提高了網(wǎng)絡(luò)的安全性、網(wǎng)絡(luò)結(jié)構(gòu)的冗余性，在面對突發(fā)安全事件時，可以做到有恃無恐，應(yīng)付自如。隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全問題的不斷發(fā)展，我們也將研究新的技術(shù)、新的網(wǎng)絡(luò)結(jié)構(gòu)，以保障業(yè)務(wù)支撐網(wǎng)絡(luò)的正常運行。

參考文獻

[1]文靜.中國移動業(yè)務(wù)支撐網(wǎng)建設(shè)運營以及未來發(fā)展[J].電信工程技術(shù)與標準化，2005（08）.endprint

摘 要 移動本地網(wǎng)均建設(shè)有MDCN、BOSS、網(wǎng)管網(wǎng)等業(yè)務(wù)支撐網(wǎng)，隨著網(wǎng)絡(luò)發(fā)展擴容，使用人數(shù)的不斷增加，業(yè)務(wù)支撐網(wǎng)的組網(wǎng)安全就顯得尤為重要，文章以某中小城市的業(yè)務(wù)支撐網(wǎng)為背景，從安全角度提出組網(wǎng)的優(yōu)化策略及思路。

關(guān)鍵詞 業(yè)務(wù)支撐網(wǎng)；安全；優(yōu)化策略；思路

中圖分類號：TN915 文獻標識碼：A 文章編號：1671-7597（2014）14-0042-01

隨著網(wǎng)絡(luò)技術(shù)的進步，網(wǎng)絡(luò)的互聯(lián)性使得網(wǎng)絡(luò)安全問題日益突出，當前網(wǎng)絡(luò)攻擊已經(jīng)發(fā)展成為了一門完整的、系統(tǒng)的學(xué)科，網(wǎng)絡(luò)攻擊技術(shù)越來越高，攻擊的手段也越來越多，以至于對以往我們認為較為安全的運營商內(nèi)部業(yè)務(wù)支撐網(wǎng)也產(chǎn)生了嚴峻的安全挑戰(zhàn)。

移動本地業(yè)務(wù)支撐網(wǎng)承載了確保企業(yè)能正常運行的OA、MDCN、BOSS、網(wǎng)管等各種重要系統(tǒng)，因此，移動業(yè)務(wù)支撐網(wǎng)必須具有足夠嚴密的安全防護措施，一但業(yè)務(wù)支撐網(wǎng)發(fā)生安全問題，會危及客戶、危及社會信息安全，甚至引起嚴重的網(wǎng)絡(luò)中斷，影響社會的正常運作。保障業(yè)務(wù)支撐網(wǎng)的安全運行，是網(wǎng)絡(luò)建設(shè)者和運營者的一項重要使命。

1 某地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀

某地業(yè)務(wù)支撐網(wǎng)核心由2臺華為S8505做為路由及交換核心，其中具體網(wǎng)絡(luò)連接如下。

1）連接2臺PE上聯(lián)至省公司2個節(jié)點。

2）連接市總部辦公區(qū)域的2臺華為S6506。

3）接各個區(qū)縣分公司辦公區(qū)域的2臺華為S6506。

4）連接匯聚內(nèi)部管理服務(wù)器、內(nèi)部應(yīng)用服務(wù)器的2臺華為S6506。

5）連接聯(lián)通BOSS、同步、計費系統(tǒng)的2臺ISG1000防火墻。

其具體網(wǎng)絡(luò)圖如圖1所示。

2 某地業(yè)務(wù)支撐網(wǎng)存在問題

由本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀連接及網(wǎng)絡(luò)設(shè)備配置調(diào)研得知，本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀目前存在以下安全問題。

1）安全域劃分沒有細化，沒有區(qū)分對內(nèi)與對外應(yīng)用，沒有區(qū)分內(nèi)外終端，沒有區(qū)分OA終端與業(yè)支終端。

2）本地管理支撐網(wǎng)內(nèi)部不同安全域之間的業(yè)務(wù)主要通過ACL、VLAN的方式進行保護，安全防護手段簡單，存在嚴重的安全隱患。

3）專業(yè)系統(tǒng)側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問系統(tǒng)，存在嚴重的安全隱患。

4）企業(yè)應(yīng)用服務(wù)器、管理服務(wù)器側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問服務(wù)器，存在嚴重的安全隱患。

3 某地業(yè)務(wù)支撐網(wǎng)安全優(yōu)化方案

3.1 劃分安全區(qū)域

根據(jù)該地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀及存在問題的分析，結(jié)合安全域劃分防護原則，將該地業(yè)務(wù)支撐網(wǎng)劃分為以下安全區(qū)域。

1）核心安全區(qū)：包括信息系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫、管理控制臺和服務(wù)器等。是安全控制和保護級別最高的區(qū)域。

2）內(nèi)部業(yè)務(wù)區(qū)：主要是IT支撐系統(tǒng)如BOSS和網(wǎng)管。

3）終端安全區(qū)：包括信息系統(tǒng)辦公終端、維護終端、營業(yè)終端及一些重要程度不高的服務(wù)器。是安全控制和保護級別較高的區(qū)域。

4）半安全區(qū)：包括所有能被非信任來源（一般主要是合作伙伴）直接訪問并提供服務(wù)的系統(tǒng)。是公共區(qū)與內(nèi)部網(wǎng)絡(luò)安全區(qū)的“過渡”區(qū)域。

3.2 網(wǎng)絡(luò)實施方案

為實現(xiàn)上述安全區(qū)域的劃分，具體網(wǎng)絡(luò)硬件擴容優(yōu)化方案如下。

1）新增2臺核心防火墻，型號為Juniper SRX 3400，做為各個安全區(qū)域的邊界。

2）擴容原有的2臺Juniper ISG 1000防火墻，擴展端口。

3）新增2臺匯聚交換機，型號為華為S9303，做為半安全區(qū)、內(nèi)部業(yè)務(wù)區(qū)的匯聚。

4）新增2臺匯聚交換機，型號為S3352P，匯聚IT支撐系統(tǒng)。

具體的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化方案如圖2所示。

4 結(jié)束語

總之，通過對該移動業(yè)務(wù)支撐網(wǎng)進行統(tǒng)一規(guī)劃和優(yōu)化調(diào)整后，有效地提高了網(wǎng)絡(luò)的安全性、網(wǎng)絡(luò)結(jié)構(gòu)的冗余性，在面對突發(fā)安全事件時，可以做到有恃無恐，應(yīng)付自如。隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全問題的不斷發(fā)展，我們也將研究新的技術(shù)、新的網(wǎng)絡(luò)結(jié)構(gòu)，以保障業(yè)務(wù)支撐網(wǎng)絡(luò)的正常運行。

參考文獻

[1]文靜.中國移動業(yè)務(wù)支撐網(wǎng)建設(shè)運營以及未來發(fā)展[J].電信工程技術(shù)與標準化，2005（08）.endprint

摘 要 移動本地網(wǎng)均建設(shè)有MDCN、BOSS、網(wǎng)管網(wǎng)等業(yè)務(wù)支撐網(wǎng)，隨著網(wǎng)絡(luò)發(fā)展擴容，使用人數(shù)的不斷增加，業(yè)務(wù)支撐網(wǎng)的組網(wǎng)安全就顯得尤為重要，文章以某中小城市的業(yè)務(wù)支撐網(wǎng)為背景，從安全角度提出組網(wǎng)的優(yōu)化策略及思路。

關(guān)鍵詞 業(yè)務(wù)支撐網(wǎng)；安全；優(yōu)化策略；思路

中圖分類號：TN915 文獻標識碼：A 文章編號：1671-7597（2014）14-0042-01

隨著網(wǎng)絡(luò)技術(shù)的進步，網(wǎng)絡(luò)的互聯(lián)性使得網(wǎng)絡(luò)安全問題日益突出，當前網(wǎng)絡(luò)攻擊已經(jīng)發(fā)展成為了一門完整的、系統(tǒng)的學(xué)科，網(wǎng)絡(luò)攻擊技術(shù)越來越高，攻擊的手段也越來越多，以至于對以往我們認為較為安全的運營商內(nèi)部業(yè)務(wù)支撐網(wǎng)也產(chǎn)生了嚴峻的安全挑戰(zhàn)。

移動本地業(yè)務(wù)支撐網(wǎng)承載了確保企業(yè)能正常運行的OA、MDCN、BOSS、網(wǎng)管等各種重要系統(tǒng)，因此，移動業(yè)務(wù)支撐網(wǎng)必須具有足夠嚴密的安全防護措施，一但業(yè)務(wù)支撐網(wǎng)發(fā)生安全問題，會危及客戶、危及社會信息安全，甚至引起嚴重的網(wǎng)絡(luò)中斷，影響社會的正常運作。保障業(yè)務(wù)支撐網(wǎng)的安全運行，是網(wǎng)絡(luò)建設(shè)者和運營者的一項重要使命。

1 某地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀

某地業(yè)務(wù)支撐網(wǎng)核心由2臺華為S8505做為路由及交換核心，其中具體網(wǎng)絡(luò)連接如下。

1）連接2臺PE上聯(lián)至省公司2個節(jié)點。

2）連接市總部辦公區(qū)域的2臺華為S6506。

3）接各個區(qū)縣分公司辦公區(qū)域的2臺華為S6506。

4）連接匯聚內(nèi)部管理服務(wù)器、內(nèi)部應(yīng)用服務(wù)器的2臺華為S6506。

5）連接聯(lián)通BOSS、同步、計費系統(tǒng)的2臺ISG1000防火墻。

其具體網(wǎng)絡(luò)圖如圖1所示。

2 某地業(yè)務(wù)支撐網(wǎng)存在問題

由本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀連接及網(wǎng)絡(luò)設(shè)備配置調(diào)研得知，本地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀目前存在以下安全問題。

1）安全域劃分沒有細化，沒有區(qū)分對內(nèi)與對外應(yīng)用，沒有區(qū)分內(nèi)外終端，沒有區(qū)分OA終端與業(yè)支終端。

2）本地管理支撐網(wǎng)內(nèi)部不同安全域之間的業(yè)務(wù)主要通過ACL、VLAN的方式進行保護，安全防護手段簡單，存在嚴重的安全隱患。

3）專業(yè)系統(tǒng)側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問系統(tǒng)，存在嚴重的安全隱患。

4）企業(yè)應(yīng)用服務(wù)器、管理服務(wù)器側(cè)缺少防火墻，終端沒有經(jīng)過防火墻直接訪問服務(wù)器，存在嚴重的安全隱患。

3 某地業(yè)務(wù)支撐網(wǎng)安全優(yōu)化方案

3.1 劃分安全區(qū)域

根據(jù)該地業(yè)務(wù)支撐網(wǎng)現(xiàn)狀及存在問題的分析，結(jié)合安全域劃分防護原則，將該地業(yè)務(wù)支撐網(wǎng)劃分為以下安全區(qū)域。

1）核心安全區(qū)：包括信息系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫、管理控制臺和服務(wù)器等。是安全控制和保護級別最高的區(qū)域。

2）內(nèi)部業(yè)務(wù)區(qū)：主要是IT支撐系統(tǒng)如BOSS和網(wǎng)管。

3）終端安全區(qū)：包括信息系統(tǒng)辦公終端、維護終端、營業(yè)終端及一些重要程度不高的服務(wù)器。是安全控制和保護級別較高的區(qū)域。

4）半安全區(qū)：包括所有能被非信任來源（一般主要是合作伙伴）直接訪問并提供服務(wù)的系統(tǒng)。是公共區(qū)與內(nèi)部網(wǎng)絡(luò)安全區(qū)的“過渡”區(qū)域。

3.2 網(wǎng)絡(luò)實施方案

為實現(xiàn)上述安全區(qū)域的劃分，具體網(wǎng)絡(luò)硬件擴容優(yōu)化方案如下。

1）新增2臺核心防火墻，型號為Juniper SRX 3400，做為各個安全區(qū)域的邊界。

2）擴容原有的2臺Juniper ISG 1000防火墻，擴展端口。

3）新增2臺匯聚交換機，型號為華為S9303，做為半安全區(qū)、內(nèi)部業(yè)務(wù)區(qū)的匯聚。

4）新增2臺匯聚交換機，型號為S3352P，匯聚IT支撐系統(tǒng)。

具體的網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化方案如圖2所示。

4 結(jié)束語

總之，通過對該移動業(yè)務(wù)支撐網(wǎng)進行統(tǒng)一規(guī)劃和優(yōu)化調(diào)整后，有效地提高了網(wǎng)絡(luò)的安全性、網(wǎng)絡(luò)結(jié)構(gòu)的冗余性，在面對突發(fā)安全事件時，可以做到有恃無恐，應(yīng)付自如。隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全問題的不斷發(fā)展，我們也將研究新的技術(shù)、新的網(wǎng)絡(luò)結(jié)構(gòu)，以保障業(yè)務(wù)支撐網(wǎng)絡(luò)的正常運行。

參考文獻

[1]文靜.中國移動業(yè)務(wù)支撐網(wǎng)建設(shè)運營以及未來發(fā)展[J].電信工程技術(shù)與標準化，2005（08）.endprint