移动本地业务支撑网安全性的研究与优化策略

任建满

摘 要 移动本地网均建设有MDCN、BOSS、网管网等业务支撑网，随着网络发展扩容，使用人数的不断增加，业务支撑网的组网安全就显得尤为重要，文章以某中小城市的业务支撑网为背景，从安全角度提出组网的优化策略及思路。

关键词 业务支撑网；安全；优化策略；思路

中图分类号：TN915 文献标识码：A 文章编号：1671-7597（2014）14-0042-01

随着网络技术的进步，网络的互联性使得网络安全问题日益突出，当前网络攻击已经发展成为了一门完整的、系统的学科，网络攻击技术越来越高，攻击的手段也越来越多，以至于对以往我们认为较为安全的运营商内部业务支撑网也产生了严峻的安全挑战。

移动本地业务支撑网承载了确保企业能正常运行的OA、MDCN、BOSS、网管等各种重要系统，因此，移动业务支撑网必须具有足够严密的安全防护措施，一但业务支撑网发生安全问题，会危及客户、危及社会信息安全，甚至引起严重的网络中断，影响社会的正常运作。保障业务支撑网的安全运行，是网络建设者和运营者的一项重要使命。

1 某地业务支撑网现状

某地业务支撑网核心由2台华为S8505做为路由及交换核心，其中具体网络连接如下。

1）连接2台PE上联至省公司2个节点。

2）连接市总部办公区域的2台华为S6506。

3）接各个区县分公司办公区域的2台华为S6506。

4）连接汇聚内部管理服务器、内部应用服务器的2台华为S6506。

5）连接联通BOSS、同步、计费系统的2台ISG1000防火墙。

其具体网络图如图1所示。

2 某地业务支撑网存在问题

由本地业务支撑网现状连接及网络设备配置调研得知，本地业务支撑网现状目前存在以下安全问题。

1）安全域划分没有细化，没有区分对内与对外应用，没有区分内外终端，没有区分OA终端与业支终端。

2）本地管理支撑网内部不同安全域之间的业务主要通过ACL、VLAN的方式进行保护，安全防护手段简单，存在严重的安全隐患。

3）专业系统侧缺少防火墙，终端没有经过防火墙直接访问系统，存在严重的安全隐患。

4）企业应用服务器、管理服务器侧缺少防火墙，终端没有经过防火墙直接访问服务器，存在严重的安全隐患。

3 某地业务支撑网安全优化方案

3.1 划分安全区域

根据该地业务支撑网现状及存在问题的分析，结合安全域划分防护原则，将该地业务支撑网划分为以下安全区域。

1）核心安全区：包括信息系统重要的应用服务器、数据库、管理控制台和服务器等。是安全控制和保护级别最高的区域。

2）内部业务区：主要是IT支撑系统如BOSS和网管。

3）终端安全区：包括信息系统办公终端、维护终端、营业终端及一些重要程度不高的服务器。是安全控制和保护级别较高的区域。

4）半安全区：包括所有能被非信任来源（一般主要是合作伙伴）直接访问并提供服务的系统。是公共区与内部网络安全区的“过渡”区域。

3.2 网络实施方案

为实现上述安全区域的划分，具体网络硬件扩容优化方案如下。

1）新增2台核心防火墙，型号为Juniper SRX 3400，做为各个安全区域的边界。

2）扩容原有的2台Juniper ISG 1000防火墙，扩展端口。

3）新增2台汇聚交换机，型号为华为S9303，做为半安全区、内部业务区的汇聚。

4）新增2台汇聚交换机，型号为S3352P，汇聚IT支撑系统。

具体的网络结构优化方案如图2所示。

4 结束语

总之，通过对该移动业务支撑网进行统一规划和优化调整后，有效地提高了网络的安全性、网络结构的冗余性，在面对突发安全事件时，可以做到有恃无恐，应付自如。随着网络技术、网络安全问题的不断发展，我们也将研究新的技术、新的网络结构，以保障业务支撑网络的正常运行。

参考文献

[1]文静.中国移动业务支撑网建设运营以及未来发展[J].电信工程技术与标准化，2005（08）.endprint

摘 要 移动本地网均建设有MDCN、BOSS、网管网等业务支撑网，随着网络发展扩容，使用人数的不断增加，业务支撑网的组网安全就显得尤为重要，文章以某中小城市的业务支撑网为背景，从安全角度提出组网的优化策略及思路。

关键词 业务支撑网；安全；优化策略；思路

中图分类号：TN915 文献标识码：A 文章编号：1671-7597（2014）14-0042-01

随着网络技术的进步，网络的互联性使得网络安全问题日益突出，当前网络攻击已经发展成为了一门完整的、系统的学科，网络攻击技术越来越高，攻击的手段也越来越多，以至于对以往我们认为较为安全的运营商内部业务支撑网也产生了严峻的安全挑战。

移动本地业务支撑网承载了确保企业能正常运行的OA、MDCN、BOSS、网管等各种重要系统，因此，移动业务支撑网必须具有足够严密的安全防护措施，一但业务支撑网发生安全问题，会危及客户、危及社会信息安全，甚至引起严重的网络中断，影响社会的正常运作。保障业务支撑网的安全运行，是网络建设者和运营者的一项重要使命。

1 某地业务支撑网现状

某地业务支撑网核心由2台华为S8505做为路由及交换核心，其中具体网络连接如下。

1）连接2台PE上联至省公司2个节点。

2）连接市总部办公区域的2台华为S6506。

3）接各个区县分公司办公区域的2台华为S6506。

4）连接汇聚内部管理服务器、内部应用服务器的2台华为S6506。

5）连接联通BOSS、同步、计费系统的2台ISG1000防火墙。

其具体网络图如图1所示。

2 某地业务支撑网存在问题

由本地业务支撑网现状连接及网络设备配置调研得知，本地业务支撑网现状目前存在以下安全问题。

1）安全域划分没有细化，没有区分对内与对外应用，没有区分内外终端，没有区分OA终端与业支终端。

2）本地管理支撑网内部不同安全域之间的业务主要通过ACL、VLAN的方式进行保护，安全防护手段简单，存在严重的安全隐患。

3）专业系统侧缺少防火墙，终端没有经过防火墙直接访问系统，存在严重的安全隐患。

4）企业应用服务器、管理服务器侧缺少防火墙，终端没有经过防火墙直接访问服务器，存在严重的安全隐患。

3 某地业务支撑网安全优化方案

3.1 划分安全区域

根据该地业务支撑网现状及存在问题的分析，结合安全域划分防护原则，将该地业务支撑网划分为以下安全区域。

1）核心安全区：包括信息系统重要的应用服务器、数据库、管理控制台和服务器等。是安全控制和保护级别最高的区域。

2）内部业务区：主要是IT支撑系统如BOSS和网管。

3）终端安全区：包括信息系统办公终端、维护终端、营业终端及一些重要程度不高的服务器。是安全控制和保护级别较高的区域。

4）半安全区：包括所有能被非信任来源（一般主要是合作伙伴）直接访问并提供服务的系统。是公共区与内部网络安全区的“过渡”区域。

3.2 网络实施方案

为实现上述安全区域的划分，具体网络硬件扩容优化方案如下。

1）新增2台核心防火墙，型号为Juniper SRX 3400，做为各个安全区域的边界。

2）扩容原有的2台Juniper ISG 1000防火墙，扩展端口。

3）新增2台汇聚交换机，型号为华为S9303，做为半安全区、内部业务区的汇聚。

4）新增2台汇聚交换机，型号为S3352P，汇聚IT支撑系统。

具体的网络结构优化方案如图2所示。

4 结束语

总之，通过对该移动业务支撑网进行统一规划和优化调整后，有效地提高了网络的安全性、网络结构的冗余性，在面对突发安全事件时，可以做到有恃无恐，应付自如。随着网络技术、网络安全问题的不断发展，我们也将研究新的技术、新的网络结构，以保障业务支撑网络的正常运行。

参考文献

[1]文静.中国移动业务支撑网建设运营以及未来发展[J].电信工程技术与标准化，2005（08）.endprint

摘 要 移动本地网均建设有MDCN、BOSS、网管网等业务支撑网，随着网络发展扩容，使用人数的不断增加，业务支撑网的组网安全就显得尤为重要，文章以某中小城市的业务支撑网为背景，从安全角度提出组网的优化策略及思路。

关键词 业务支撑网；安全；优化策略；思路

中图分类号：TN915 文献标识码：A 文章编号：1671-7597（2014）14-0042-01

随着网络技术的进步，网络的互联性使得网络安全问题日益突出，当前网络攻击已经发展成为了一门完整的、系统的学科，网络攻击技术越来越高，攻击的手段也越来越多，以至于对以往我们认为较为安全的运营商内部业务支撑网也产生了严峻的安全挑战。

移动本地业务支撑网承载了确保企业能正常运行的OA、MDCN、BOSS、网管等各种重要系统，因此，移动业务支撑网必须具有足够严密的安全防护措施，一但业务支撑网发生安全问题，会危及客户、危及社会信息安全，甚至引起严重的网络中断，影响社会的正常运作。保障业务支撑网的安全运行，是网络建设者和运营者的一项重要使命。

1 某地业务支撑网现状

某地业务支撑网核心由2台华为S8505做为路由及交换核心，其中具体网络连接如下。

1）连接2台PE上联至省公司2个节点。

2）连接市总部办公区域的2台华为S6506。

3）接各个区县分公司办公区域的2台华为S6506。

4）连接汇聚内部管理服务器、内部应用服务器的2台华为S6506。

5）连接联通BOSS、同步、计费系统的2台ISG1000防火墙。

其具体网络图如图1所示。

2 某地业务支撑网存在问题

由本地业务支撑网现状连接及网络设备配置调研得知，本地业务支撑网现状目前存在以下安全问题。

1）安全域划分没有细化，没有区分对内与对外应用，没有区分内外终端，没有区分OA终端与业支终端。

2）本地管理支撑网内部不同安全域之间的业务主要通过ACL、VLAN的方式进行保护，安全防护手段简单，存在严重的安全隐患。

3）专业系统侧缺少防火墙，终端没有经过防火墙直接访问系统，存在严重的安全隐患。

4）企业应用服务器、管理服务器侧缺少防火墙，终端没有经过防火墙直接访问服务器，存在严重的安全隐患。

3 某地业务支撑网安全优化方案

3.1 划分安全区域

根据该地业务支撑网现状及存在问题的分析，结合安全域划分防护原则，将该地业务支撑网划分为以下安全区域。

1）核心安全区：包括信息系统重要的应用服务器、数据库、管理控制台和服务器等。是安全控制和保护级别最高的区域。

2）内部业务区：主要是IT支撑系统如BOSS和网管。

3）终端安全区：包括信息系统办公终端、维护终端、营业终端及一些重要程度不高的服务器。是安全控制和保护级别较高的区域。

4）半安全区：包括所有能被非信任来源（一般主要是合作伙伴）直接访问并提供服务的系统。是公共区与内部网络安全区的“过渡”区域。

3.2 网络实施方案

为实现上述安全区域的划分，具体网络硬件扩容优化方案如下。

1）新增2台核心防火墙，型号为Juniper SRX 3400，做为各个安全区域的边界。

2）扩容原有的2台Juniper ISG 1000防火墙，扩展端口。

3）新增2台汇聚交换机，型号为华为S9303，做为半安全区、内部业务区的汇聚。

4）新增2台汇聚交换机，型号为S3352P，汇聚IT支撑系统。

具体的网络结构优化方案如图2所示。

4 结束语

总之，通过对该移动业务支撑网进行统一规划和优化调整后，有效地提高了网络的安全性、网络结构的冗余性，在面对突发安全事件时，可以做到有恃无恐，应付自如。随着网络技术、网络安全问题的不断发展，我们也将研究新的技术、新的网络结构，以保障业务支撑网络的正常运行。

参考文献

[1]文静.中国移动业务支撑网建设运营以及未来发展[J].电信工程技术与标准化，2005（08）.endprint