WCDMA移动核心网网络安全策略.doc

WCDMA移动核心网网络安全策略摘要:保障网络安全运行是运行维护工作的首要任务。本文以华为业务区移动核心网网络现状为例,介绍了网络安全策略在保障网络安全运行中的应用。 关键词:华为业务区 3G移动核心网 网络安全策略 中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2012)09(c)-0008-01 安全策略即是在一个特定的环境里,为保证提供一定级别的安全性所必须遵守的规则。对于一个设备集中、网元众多的网络,必须把网络的安全性放在首位。而实现网络安全管理,不但要靠先进的技术,也得靠严格的管理制度,既要在各个方面遵守网络安全策略,包括组网安全策略、路由安全策略、网络预警安全策略、维护管理安全策略等。本文将以某地华为业务区为例,对核心网网络安全策略进行探讨。 1 组网安全策略 1.1 设备设置策略 WCDMA核心网设备在网络实体上分为MSC Server和MGW,实现了控制与承载的分离。所以,在选择设备放置地点时,完全可以考虑把MSC Server放置在中心城市或维护技术水平高的地市。在经济不发达地区可以只设置MGW来和RNC互通。基于这样的考虑,在建网初期,华为业务区MSC Server设置就以“统一规划,集中放置、区域管理”为原则,制定了以省会城市、区域中心城市为中心的网络格局。这样对整个网络的维护管理具备较好的安全保障性,再根据地市的业务量情况设置本地网MGW。 1.2 组网方式 华为业务区采用组网模式为,MSC Server与汇接局、关口局、BSC、RNC、HLR、信令转接点之间的信令链路均通过MGW转接。这种模式逻辑结构清晰,尤其是因为MSC Server与其他网元无连接,所以当MSC Server故障,需要进行主备切换时,其他周边网元无需进行任何设置更改,方便快捷,对整个网络的影响面小,网络的安全性强。 1.3 容灾备份策略 R4组网模式下,MSC Server的集中设置,使得MSC Server容量必须足够大,可以管理多个本地网。因此,当一个MSC Server故障就会造成很大的影响,网络安全性问题尤为凸现。针对这个问题,引入了MSC Server的容灾备份机制,即让一个MGW在MSC Server发生故障时,可以注册到另外一个MSC Server下。华为业务区采取了N+1双归属备份的方式。在备份MSC Server中,我们“克隆”其他主用MSC Server的数据。一旦出现某个MSC Server无法正常工作的情况,备用MSC Server会启用接管机制,完全接管主用故障Server的数据及用户,从而保障网络运行不中断,用户感知不受影响。 2 路由安全策略 路由的设置对于整个交换网络来说都是确保网络安全性的重中之重。 2.1 长途话务路由 根据华为业务区网络实际,华为业务区出局长途话务路由均采用负荷分担或主备方式送入长途网。例如:对于异地中国联通、中国移动PLMN话务,采用负荷分担方式送入长途话务网1和软交换汇接网等。所以,即使至某个局向发生故障,也不会影响用户的正常使用。 2.2 本地话务路由 对于本地业务,本地网MSC Server至每个HLR均设置了以HSTP为备用的第二信令路由,即使至HLR中断也可保证话务寻址不受影响;到每个本地网直联端局都设置了以长途话务网1为备份的第二路由,保障网内话务的安全。 对于本地异网话务,在话务量大的本地网设置双关口局,保障业务本地网间话务安全。在话务量较小的本地网发生紧急情况时,采用人工疏导的方式,全力保障业务不中断。 2.3 CE路由安全策略 随着WCDMA网络的建设,项目配套CE大量的运用到了网络组网中,主要用于承载无线和核心网部分业务。华为业务区CE采用双平面路由器负荷分担+无交换机方式组网,路由器之间使用OSPF协议寻址,各本地网均设有一对CE路由器。由于采用了“双平面 双备份”的组网方式与保护机制,网络结构做到了动态的主备倒换。当CE发生故障时,可实现路由自动保护,节点间的倒换能做到用户无感知切换。 3 网络预警安全策略 网络预警安全策略是在网络故障发生前发现异常情况,从而能够采取有效措施,最大程度的降低因故障对网络造成的影响。华为业务区根据网元的重要程度、告警影响程度将网元预警分为三级。红色预警是网络中可能引发重要等级以上故障或存在潜在重大安全影响的异常状况。橙色预警是可能引发一般故障或存在潜在安全影响的异常状况。黄色预警是可能引发轻微故障的异常状况。各级预警中所包含的指标主要分为设备自身引起的预警,如设备出现带有外围模块的高级别的重新启动等;由于网络负荷引起的预警,如系统的处理能力达到阀值、话路、信令负荷达到阀值等;由于网络故障引起的预警,如局间主用路由不可达