基于安全域场景划分营业网络解决方案.docVIP

基于安全域场景划分营业网络解决方案 　　【摘要】 本文结合中国移动通信集团河北有限公司地市分公司的营业网络现状，分析了当前地市级营业网络的弊端及存在的安全隐患，提出了基于安全域场景划分的营业网络解决方案，有效提升了地市级营业网络安全。 　　【关键词 】 安全域 场景划分 营业厅 安全 　　The solution of business network based on scenes-division security domains 　　Liang Yang China Mobile Group Design Institute Co.，Ltd. Hebei Branch. 　　Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.，Ltd， this article analyzes the drawbacks and underlying security problems in urban business network， and then proposes a solution of business network based on scenes-division security domains， which effectively enhances the network security. 　　Key words security domains； scenes division； service hall； security 　　一、地市营业网络现状及分析 　　1.1 地市营业网络现状 　　经过多年的业务发展和市场拓展，目前中国移动通信集团河北有限公司全省实体渠道营业网点总数达16000多个，其中自建实体渠道营业网点达1600多个，合作厅和代理商实体营业网点达14000多个，营业终端数达23000多个。 　　各地市的自建厅全部通过SDH自有传输经过MDCN上连至省业务支撑中心，但是合作厅和代理商实体营业厅接入省业务支撑中心的方式复杂多样，经过调研，结果如下： 　　承德、张家口、秦皇岛、廊坊、保定、沧州、邯郸七个地市分公司的合作厅/代理商厅均通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心；石家庄分公司大部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，少部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；唐山分公司部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心，还有一部分是通过租用其他通信公司企业专网VPN方式接入本地市的营业汇聚交换机再上连至省业务支撑中心；衡水分公司部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；邢台分公司少部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，大部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心。 　　图1 地市合作/代理厅营业网络现状结构图 　　各地市合作厅/代理商厅营业网络现状情况如上图所示： 　　另外，中国移动通信集团河北有限公司近期启动了营业厅瘦终端改造工程，目标是在未来5年内，逐步实现全省营业厅的瘦终端化，瘦终端服务器群在省业务支撑中心集中部署，因此在当前瘦终端尚未完全覆盖全省的情况下，除了上述全省十一个地市分公司的营业网络现状外，又将增加一个瘦终端的接入方式，全省的营业网络接入方式变得更加复杂。 　　1.2 地市营业网络现状分析 　　从上述现状描述中可以看出，针对不同性质的营业厅，没有进行有效的安全域划分： 　　首先，从网络层面，通过公网SSL VPN和通过租用其他通信公司企业专网VPN这两种方式接入省业务支撑中心的合作厅/代理商厅在地市汇聚接入时未采用双层异构防火墙安全措施，且所有类型的营业厅均直接接入地市营业汇聚交换机，未对不同性质的营业厅进行安全域隔离，在瘦终端尚未全面覆盖的过渡期，合作厅/代理厅等所使用的终端、业务访问行为等不能完全受河北移动公司管理，安全方面存在隐患，例如存在代理商操作员在非代理商接入域登录的现象，一旦出现安全问题，影响面积较大。 　　其次，为满足中国移动通信集团河北有限公司绿色瘦终端改造工程安全性建设的需要，要求绿色瘦终端营业厅同其他性质的营业厅进行安全隔离。 　　二、基于安全域场景划分的营业网络解决方案 　　2.1 方案说明