史曉宇

隨著云計算、移動互聯(lián)網(wǎng)、國密SM算法等技術(shù)日臻完善，以5G移動網(wǎng)絡(luò)為基礎(chǔ)平臺的各類業(yè)務(wù)應(yīng)用得以蓬勃發(fā)展。政府部門的移動執(zhí)法終端、政務(wù)云平臺、移動辦公等，有效推動了政務(wù)公開、便民服務(wù)。商業(yè)銀行的離行式ATM、PAD金融終端、手機銀行、微信銀行等產(chǎn)品，豐富了金融服務(wù)內(nèi)容，有效提升了普惠金融的覆蓋率、有效性和滿意度。

目前，人民銀行業(yè)務(wù)網(wǎng)通信網(wǎng)絡(luò)是租用通信運營商地面專線，作為唯一數(shù)據(jù)傳輸渠道，有礙于無線業(yè)務(wù)的發(fā)展。為進(jìn)一步滿足人民銀行移動辦公、政務(wù)公開、現(xiàn)場執(zhí)法檢查、無線備份網(wǎng)絡(luò)的業(yè)務(wù)發(fā)展需要，助推人民銀行業(yè)務(wù)轉(zhuǎn)型升級，結(jié)合政府及商業(yè)銀行成熟的5G無線網(wǎng)絡(luò)部署模式，研究部署人民銀行省級5G無線網(wǎng)絡(luò)平臺。具體可行性方案研究如下：

一、必要性

（一）移動辦公和執(zhí)法檢查的必要性

當(dāng)前，人民銀行沒有建設(shè)無線網(wǎng)絡(luò)，綜合辦公、賬戶、征信、外匯等系統(tǒng)只能依托有線網(wǎng)絡(luò)開展工作，導(dǎo)致領(lǐng)導(dǎo)在非辦公區(qū)內(nèi)不能處理緊急公務(wù)，也不能及時掌握決策輔助信息;執(zhí)法人員在現(xiàn)場執(zhí)法過程中不能實時查閱數(shù)據(jù)、錄入證據(jù)、當(dāng)場簽寫法律文書等。由此看來，無無線網(wǎng)絡(luò)阻礙了人民銀行業(yè)務(wù)的架構(gòu)轉(zhuǎn)型升級。

構(gòu)建一套基于5G無線通訊平臺，實現(xiàn)人民銀行業(yè)務(wù)向移動終端延伸和拓展，可以為決策者隨時隨地提供提供準(zhǔn)確、可靠和快捷的移動信息服務(wù)和技術(shù)支撐;也可以為現(xiàn)場執(zhí)法人員提供信息上傳、信息檢索、監(jiān)督現(xiàn)場執(zhí)法、監(jiān)督檢查文書出具與接收等。

（二）備份網(wǎng)絡(luò)的必要性

據(jù)悉，城市地下管道、強電、弱電有統(tǒng)一的規(guī)范，由此決定了不同運營商的通信線路均鋪設(shè)在道路的同側(cè)，且水平距離較近，一般情況下不超過2米，一旦城市開展地下軌道、管道改造建設(shè)，就會存在2條線路同時被挖斷的情況，屆時將嚴(yán)重影響業(yè)務(wù)系統(tǒng)的連續(xù)性，因此有必要建設(shè)部署無線網(wǎng)絡(luò)備份，保障業(yè)務(wù)系統(tǒng)的連續(xù)性。

在發(fā)生區(qū)域重大自然災(zāi)害后，移動運營商會基于5G無線網(wǎng)絡(luò)的簡便、快捷、高適應(yīng)性等優(yōu)勢，迅速架設(shè)5G網(wǎng)絡(luò)，保障電話暢通和數(shù)據(jù)傳輸，人民銀行可利用此時的無線網(wǎng)絡(luò)，建立應(yīng)急保障網(wǎng)絡(luò)通道，及時有效辦理資金往來業(yè)務(wù)，進(jìn)而保障災(zāi)后恢復(fù)工作。

二、5G網(wǎng)絡(luò)優(yōu)勢研究

隨著5G 移動網(wǎng)絡(luò)的迅速普及，各大移動運營商在提供更多基于5G 多媒體業(yè)務(wù)的同時，也給個人用戶及企業(yè)客戶帶來更好的無線接入體驗，5G 作為靈活、快速、安全、高效的廣域網(wǎng)接入方式，已逐步成為用戶廣域網(wǎng)接入的新興主流選擇。其無線網(wǎng)絡(luò)具有不可比擬的三大優(yōu)勢：

（一）能夠滿足多類業(yè)務(wù)應(yīng)用

5G無線網(wǎng)絡(luò)是集5G與WLAN于一體，并能夠快速傳輸數(shù)據(jù)、高質(zhì)量音頻、視頻和圖像等。

（二）運營成本低廉

無線網(wǎng)絡(luò)鑒于無需鋪設(shè)線路，通過無線傳輸，因此可較快、低成本建設(shè)5G通信網(wǎng)絡(luò)。

（三）具備快速恢復(fù)能力

在發(fā)生區(qū)域性地震、火災(zāi)等自然災(zāi)害后，移動運營商原則上優(yōu)先恢復(fù)無線網(wǎng)絡(luò)，其次再逐步恢復(fù)地面有線網(wǎng)絡(luò)。

三、5G網(wǎng)絡(luò)的風(fēng)險及解決方案分析

（一）安全風(fēng)險

安全風(fēng)險 應(yīng)對方案

1、如何避免非法燒制5G卡？ 雙向鑒權(quán)，A-KEY不可讀。

2、如何防范5G環(huán)境下的數(shù)據(jù)竊聽？ 運營商密鑰、算法不公開，用戶兩端基于IPSEC對數(shù)據(jù)加密，密鑰是用戶頒發(fā)。

3、如何避免其它5G用戶非法接入到自己的專網(wǎng)？ IMSI+域名綁定

4、如何隔離5G與internet？ 關(guān)閉internet。

5、如何防范內(nèi)部用戶盜用帳號？ IMSI+用戶名+密碼綁定

6、如何防范數(shù)據(jù)篡改風(fēng)險？ 高強度國密算法+IPSEC+CA

7、如何防范終端隨意接入？ IP+MAC綁定、基于時間ACL

（二）可靠性風(fēng)險

可靠性風(fēng)險 應(yīng)對方案

1、如何應(yīng)對運營商信5G信號覆蓋不穩(wěn)定的現(xiàn)象？ 雙制式5G卡，輕松切換

2、如何應(yīng)對5G鏈路中斷？ 斷線自動重連

3、5G信號消失，業(yè)務(wù)無法辦理？ 切換到4G，嘗試應(yīng)急連接

4、機房、機柜屏蔽信號？ 延長全向天線

5、單LNS，可靠性低？ 雙peer、雙5G卡實現(xiàn)

四、人民銀行省級5G網(wǎng)絡(luò)建設(shè)方案研究

以移動運營商已建成的5G無線網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合當(dāng)前較成熟的安全保障措施和SSL、IPSEC和SM國密算法等技術(shù)，在省級部署一套VPDN 撥號網(wǎng)絡(luò)和IPSEC技術(shù)的虛擬無線專網(wǎng)，滿足移動辦公、現(xiàn)場執(zhí)法、無線備份網(wǎng)絡(luò)等需要。

（一）組網(wǎng)概述

在省級二級節(jié)點部署1臺SSL VPN路由器，能夠滿足全省的移動終端和5G無線路由器的接入;部署1套用戶認(rèn)證服務(wù)器和證書服務(wù)器，用于身份鑒別和認(rèn)證，對用戶帳號進(jìn)行整體的安全控制。

移動終端的IP地址由運營商的LAC設(shè)備統(tǒng)一進(jìn)行分配，但I(xiàn)P地址由省級二級節(jié)點統(tǒng)一規(guī)劃，使用私有專用的IP地址段。

5G 路由器與LNS（L2TP Network Server）之間建立采用SM1 算法加密的IPSecVPN，實現(xiàn)安全接入人民銀行省級網(wǎng)絡(luò)。

LNS 側(cè)安全路由器：L2TP Network Server，接受5G 終端的拔號連接，并與遠(yuǎn)端建立IPSecVPN，實現(xiàn)遠(yuǎn)端的安全接入。

（二）安全策略設(shè)計

1.無線信號加密。SIM卡有運算功能，運營商算法保密，會以加密的形式內(nèi)置一個密鑰，用戶與基站雙向鑒權(quán)，防止數(shù)據(jù)被非法竊聽、篡改。

2.屏蔽非法用戶。IMSI號是每張SIM卡的唯一標(biāo)識，IMSI號+域名綁定，實現(xiàn)非授權(quán)卡無法撥入專網(wǎng)。

3.關(guān)閉internet服務(wù)。限制授權(quán)5G卡的訪問，關(guān)閉Internet服務(wù)，做到“?？▽Ｓ谩?，與互聯(lián)網(wǎng)邏輯隔離。

4.防止內(nèi)部用戶盜用。在AAA服務(wù)器上設(shè)置，通過IMSI和用戶的IP、用戶名綁定，有效防止內(nèi)部盜用，進(jìn)一步做到“?？?、專人、專用”，便于控制安全風(fēng)險，加強安全管理。

5.端到端數(shù)據(jù)加密。為保護(hù)業(yè)務(wù)數(shù)據(jù)流，采用L2TP+IPSEC+SM1對數(shù)據(jù)流進(jìn)行端到端加密，進(jìn)而防止數(shù)據(jù)被竊聽、盜取、篡改，保證數(shù)據(jù)的一致性、可用性。

6.嚴(yán)格訪問控制。在防火墻中配置嚴(yán)格的訪問控制，包括限定訪問時間、IP地址、服務(wù)端口等，以確保合法終端合規(guī)使用各業(yè)務(wù)系統(tǒng)。

五、后續(xù)工作展望

鑒于現(xiàn)有辦公、業(yè)務(wù)系統(tǒng)均不兼容Android、蘋果IOS等移動終端操作系統(tǒng)，先期可通過部署移動“云”終端，將現(xiàn)有的辦公類系統(tǒng)快速部署并延伸到移動PAD、智能手機等移動終端，開展移動辦公業(yè)務(wù)，然后再統(tǒng)籌規(guī)劃，分步實施對各類系統(tǒng)進(jìn)行升級、改造，逐步將更多的應(yīng)用系統(tǒng)兼容移動終端操作系統(tǒng)，為人民銀行更廣泛地推進(jìn)移動辦公業(yè)務(wù)夯實基礎(chǔ)。

作者單位：中國人民銀行銀川中心支行網(wǎng)絡(luò)科