梁杨

【摘要】 本文结合中国移动通信集团河北有限公司地市分公司的营业网络现状，分析了当前地市级营业网络的弊端及存在的安全隐患，提出了基于安全域场景划分的营业网络解决方案，有效提升了地市级营业网络安全。

【关键词 】 安全域 场景划分 营业厅 安全

The solution of business network based on scenes-division security domains

Liang Yang China Mobile Group Design Institute Co.，Ltd. Hebei Branch.

Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.，Ltd， this article analyzes the drawbacks and underlying security problems in urban business network， and then proposes a solution of business network based on scenes-division security domains， which effectively enhances the network security.

Key words security domains； scenes division； service hall； security

一、地市营业网络现状及分析

1.1 地市营业网络现状

经过多年的业务发展和市场拓展，目前中国移动通信集团河北有限公司全省实体渠道营业网点总数达16000多个，其中自建实体渠道营业网点达1600多个，合作厅和代理商实体营业网点达14000多个，营业终端数达23000多个。

各地市的自建厅全部通过SDH自有传输经过MDCN上连至省业务支撑中心，但是合作厅和代理商实体营业厅接入省业务支撑中心的方式复杂多样，经过调研，结果如下：

承德、张家口、秦皇岛、廊坊、保定、沧州、邯郸七个地市分公司的合作厅/代理商厅均通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心；石家庄分公司大部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，少部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；唐山分公司部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心，还有一部分是通过租用其他通信公司企业专网VPN方式接入本地市的营业汇聚交换机再上连至省业务支撑中心；衡水分公司部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；邢台分公司少部分合作厅/代理商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，大部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心。

图1 地市合作/代理厅营业网络现状结构图

各地市合作厅/代理商厅营业网络现状情况如上图所示：

另外，中国移动通信集团河北有限公司近期启动了营业厅瘦终端改造工程，目标是在未来5年内，逐步实现全省营业厅的瘦终端化，瘦终端服务器群在省业务支撑中心集中部署，因此在当前瘦终端尚未完全覆盖全省的情况下，除了上述全省十一个地市分公司的营业网络现状外，又将增加一个瘦终端的接入方式，全省的营业网络接入方式变得更加复杂。

1.2 地市营业网络现状分析

从上述现状描述中可以看出，针对不同性质的营业厅，没有进行有效的安全域划分：

首先，从网络层面，通过公网SSL VPN和通过租用其他通信公司企业专网VPN这两种方式接入省业务支撑中心的合作厅/代理商厅在地市汇聚接入时未采用双层异构防火墙安全措施，且所有类型的营业厅均直接接入地市营业汇聚交换机，未对不同性质的营业厅进行安全域隔离，在瘦终端尚未全面覆盖的过渡期，合作厅/代理厅等所使用的终端、业务访问行为等不能完全受河北移动公司管理，安全方面存在隐患，例如存在代理商操作员在非代理商接入域登录的现象，一旦出现安全问题，影响面积较大。

其次，为满足中国移动通信集团河北有限公司绿色瘦终端改造工程安全性建设的需要，要求绿色瘦终端营业厅同其他性质的营业厅进行安全隔离。

二、基于安全域场景划分的营业网络解决方案

2.1 方案说明

结合中国移动通信集团河北有限公司地市分公司的营业网络现状和未来几年的瘦终端厅部署规划，针对11个地市分公司的营业网络进行基于安全域的场景划分如下：

将市公司的营业网络接入域划分为两个安全域，即内部接口子域和合作/代理子域；并划分出四个场景分别部署不同性质的营业厅，场景一为普通终端自建厅，场景二为瘦终端厅，场景三为具备传输条件的普通终端合作厅/代理商厅，场景四为不具备传输条件的普通终端合作厅/代理商厅。

自建营业厅，由于营业人员所使用的终端、业务访问行为等能够接受中国移动通信集团河北有限公司的管理，属于内部系统，瘦终端厅（无论是自建厅还是合作/代理厅）所采用的瘦终端将简化只有键盘、鼠标、显示器和外接打印机、智能卡等设备，在集中部署的服务器端采用远程桌面技术，远程桌面服务作为瘦终端的代理，执行营业系统的客户端应用，访问业务系统，省公司还可以根据管理需求针对营业厅的性质进行瘦终端的配置，比如自办厅可以额外配置磁盘，而合作/代理厅不配置磁盘等等，这种性质的营业厅能够规避营业员操作带来的安全漏洞，能够确保营业网络的安全性，因此场景一和场景二部署在市公司内部接口子域。

场景三中普通终端的合作厅/代理商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理，属于外部系统，因此场景三部署在市公司的合作/代理子域。

场景四中普通终端的合作厅/代理商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理，属于外部系统，由于场景四是通过公网Internet方式接入至省业务支撑系统，安全风险较代理厅、合作厅更大，针对此类场景的营业厅需要特殊处理，将其部署在省业务支撑系统互联网接口子域。

以上基于地市分公司安全域和省业务支撑系统安全域的四种场景划分如图2所示。

2.2 方案实施

市公司内部接口子域和市公司合作/代理子域中涉及的三个营业场景需要物理上隔离，需要部署统一汇聚接入交换机和路由器，场景三还要在交换机南向接口部署隔离防火墙，且与省业务支撑系统防火墙形成双层异构，如表1所示方案实施前后采取的安全措施。

目前中国移动通信集团河北有限公司各地市分公司现有地市营业汇聚交换机为Cisco3750三层交换机，背板带宽32Gbps，内存256M，端口为10/100M自适应以太端口，在现状情况下刚刚能满足需求；通过在石家庄瘦终端体验厅进行测试，每台瘦终端的带宽需求为56KB至300KB，而目前每台普通营业终端带宽约为300KB，因此瘦终端的引入对目前的带宽无影响；另外综合考虑业务远期发展和一些业务可能带来的复杂度提升以及节能降耗、最大化利用投资等因素的影响，地市公司的营业汇聚交换机采用较高性能的中端三层交换机，在交换机上通过划分VLAN来区分隔离场景一、场景二和场景三，达到物理隔离提升安全性目的，场景三在交换机南向接口部署隔离防火墙，要求此防火墙和省业务支撑系统防火墙形成双层异构以保证安全性，另外，四个场景划分后还需要重新划分IP地址。

因为MDCN和省业务支撑系统互联网接口子域负责四类场景的接入，为保证业务的顺畅访问，要求MDCN在各地市的接入节点以及省业务支撑系统互联网接口子域接入交换机的各项性能指标不低于营业汇聚交换机的性能指标。

省业务支撑系统需要配合进行应用改造，地市公司至省公司的安全策略需要进行调整，各地市公司间互访隔离策略需要部署，以达到路由精简，降低网络节点负荷。

三、结束语

受传输条件限制和河北公司市场拓展的需要，本文上述各种性质的营业厅将长期共存，互为补充，基于安全域场景划分的营业网络解决方案适应了此形势下的河北公司地市级营业网络发展需求，解决了营业网络的存在的弊端，规避了安全隐患，有效提升了营业网络的安全性。根据河北公司营业厅瘦终端改造工程的推进情况，本方案可以进行弹性调整，在不久的未来全省自建厅全部实现瘦终端化后，场景一和场景二则合并成一个场景；更远的未来全省各种性质的所有营业厅全部实现瘦终端化后，四个场景合并成一个场景，地市公司营业网络的安全域也缩减为一个内部接口子域。