WCDMA移动核心网网络安全策略

摘要:保障网络安全运行是运行维护工作的首要任务。本文以华为业务区移动核心网网络现状为例,介绍了网络安全策略在保障网络安全运行中的应用。

关键词:华为业务区 3G移动核心网 网络安全策略

中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2012)09(c)-0008-01

安全策略即是在一个特定的环境里,为保证提供一定级别的安全性所必须遵守的规则。对于一个设备集中、网元众多的网络,必须把网络的安全性放在首位。而实现网络安全管理,不但要靠先进的技术,也得靠严格的管理制度,既要在各个方面遵守网络安全策略,包括组网安全策略、路由安全策略、网络预警安全策略、维护管理安全策略等。本文将以某地华为业务区为例,对核心网网络安全策略进行探讨。

1 组网安全策略

1.1 设备设置策略

wcdma核心网设备在网络实体上分为MSC Server和MGW,实现了控制与承载的分离。所以,在选择设备放置地点时,完全可以考虑把MSC Server放置在中心城市或维护技术水平高的地市。在经济不发达地区可以只设置MGW来和RNC互通。基于这样的考虑,在建网初期,华为业务区MSC Server设置就以“统一规划,集中放置、区域管理”为原则,制定了以省会城市、区域中心城市为中心的网络格局。这样对整个网络的维护管理具备较好的安全保障性,再根据地市的业务量情况设置本地网MGW。

1.2 组网方式

华为业务区采用组网模式为,MSC Server与汇接局、关口局、BSC、RNC、HLR、信令转接点之间的信令链路均通过MGW转接。这种模式逻辑结构清晰,尤其是因为MSC Server与其他网元无连接,所以当MSC Server故障,需要进行主备切换时,其他周边网元无需进行任何设置更改,方便快捷,对整个网络的影响面小,网络的安全性强。

1.3 容灾备份策略

R4组网模式下,MSC Server的集中设置,使得MSC Server容量必须足够大,可以管理多个本地网。因此,当一个MSC Server故障就会造成很大的影响,网络安全性问题尤为凸现。针对这个问题,引入了MSC Server的容灾备份机制,即让一个MGW在MSC Server发生故障时,可以注册到另外一个MSC Server下。华为业务区采取了N+1双归属备份的方式。在备份MSC Server中,我们“克隆”其他主用MSC Server的数据。一旦出现某个MSC Server无法正常工作的情况,备用MSC Server会启用接管机制,完全接管主用故障Server的数据及用户,从而保障网络运行不中断,用户感知不受影响。

2 路由安全策略

路由的设置对于整个交换网络来说都是确保网络安全性的重中之重。

2.1 长途话务路由

根据华为业务区网络实际,华为业务区出局长途话务路由均采用负荷分担或主备方式送入长途网。例如:对于异地中国联通、中国移动PLMN话务,采用负荷分担方式送入长途话务网1和软交换汇接网等。所以,即使至某个局向发生故障,也不会影响用户的正常使用。

2.2 本地话务路由

对于本地业务,本地网MSC Server至每个HLR均设置了以HSTP为备用的第二信令路由,即使至HLR中断也可保证话务寻址不受影响;到每个本地网直联端局都设置了以长途话务网1为备份的第二路由,保障网内话务的安全。

对于本地异网话务,在话务量大的本地网设置双关口局,保障业务本地网间话务安全。在话务量较小的本地网发生紧急情况时,采用人工疏导的方式,全力保障业务不中断。

2.3 CE路由安全策略

随着WCDMA网络的建设,项目配套CE大量的运用到了网络组网中,主要用于承载无线和核心网部分业务。华为业务区CE采用双平面路由器负荷分担+无交换机方式组网,路由器之间使用OSPF协议寻址,各本地网均设有一对CE路由器。由于采用了“双平面 双备份”的组网方式与保护机制,网络结构做到了动态的主备倒换。当CE发生故障时,可实现路由自动保护,节点间的倒换能做到用户无感知切换。

3 网络预警安全策略

网络预警安全策略是在网络故障发生前发现异常情况,从而能够采取有效措施,最大程度的降低因故障对网络造成的影响。华为业务区根据网元的重要程度、告警影响程度将网元预警分为三级。红色预警是网络中可能引发重要等级以上故障或存在潜在重大安全影响的异常状况。橙色预警是可能引发一般故障或存在潜在安全影响的异常状况。黄色预警是可能引发轻微故障的异常状况。各级预警中所包含的指标主要分为设备自身引起的预警,如设备出现带有模块的高级别的重新启动等;由于网络负荷引起的预警,如系统的处理能力达到阀值、话路、信令负荷达到阀值等;由于网络故障引起的预警,如局间主用路由不可达等;由于网络质量、话务情况明显变化引起的预警等。重点对关键指标进行监测,及时对现网设备、系统网络预警是降低故障隐患,保障网络平稳安全运行的保障。

4 维护管理安全策略

严格的维护管理制度是确保安全策略落实的基础。

4.1 例行备份制度

制定完备数据备份制度,以离线备份为原则,定期将bam服务器上的自动备份内容存储在独立介质存储器上,每逢重大节假日和重大割接钱均做到专门备份。对于备份数据的存储做到专人负责,专门地点存放,一旦设备发生问题,可以做到快速数据恢复,缩短故障历时。

4.2 健康检查制度

核心网网元是通信网络的核心,因此对设备运行情况应进行定期健康检查,发现问题及时整治,保证交换机安全无隐患运行。特别要对容灾备份Server进行数据的核对,华为设备提供了主备Server数据一致性检查功能。通过此功能,用户可以检查双归属对网元数据是否一致,以确保系统发生双归属倒换后,一个MSC Server能够接管另一个MSC Server上的部分或全部数据。

4.3 应急保障制度

制定完备的应急保障制度,各地制定详尽的应急预案;明确应急小组成员,责任到人;定期举办应急演练,模拟可能出现的故障情况。确保一旦紧急情况发生做到有的放矢,从容应对,有章可循,责任分明,最大可能的缩短故障历时,保障通信顺畅。

5 结语

总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。通过技术手段与安全管理相结合的方法,我们在华为业务区基本做到了重要网元有备份,重要路由有分担,CE运行有保护,安全制度有保障,保证了网路安全可靠的运行。随着通信技术的发展,通信网络规模的扩张,网络安全问题将会变得日益突出。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。