營業(yè)廳聯(lián)網(wǎng)及安全

呂子虎

摘 要：河南有線電視網(wǎng)絡(luò)集團(tuán)數(shù)字化整轉(zhuǎn)大局中，各地市出現(xiàn)的業(yè)務(wù)辦理和管理先進(jìn)性的需求，現(xiàn)將各地市營業(yè)廳以MPLS-VPN的方式引入到數(shù)據(jù)網(wǎng)中，和省中心BOSS系統(tǒng)互連；利用VPN技術(shù)在數(shù)據(jù)公網(wǎng)上建立營業(yè)廳業(yè)務(wù)內(nèi)部虛擬專網(wǎng)， 提高終端接入和組網(wǎng)的可靠性和安全性。保證營業(yè)廳業(yè)務(wù)辦理的便捷和用戶信息的安全管理，實(shí)現(xiàn)營業(yè)廳全省互連，全省互通，統(tǒng)一管理，安全有效的戰(zhàn)略布局。

關(guān)鍵詞：VPN；營業(yè)廳數(shù)據(jù)隔離

針對(duì)目前河南有線電視網(wǎng)絡(luò)集團(tuán)數(shù)字化整轉(zhuǎn)大局中，各地市出現(xiàn)的業(yè)務(wù)辦理和管理先進(jìn)性的需求，現(xiàn)將各地市營業(yè)廳以MPLS-VPN的方式引入到數(shù)據(jù)網(wǎng)中，和省中心BOSS系統(tǒng)互連；利用VPN技術(shù)在數(shù)據(jù)公網(wǎng)上建立營業(yè)廳業(yè)務(wù)內(nèi)部虛擬專網(wǎng)，提高終端接入和組網(wǎng)的可靠性和安全性。保證營業(yè)廳業(yè)務(wù)辦理的便捷和用戶信息的安全管理，實(shí)現(xiàn)營業(yè)廳全省互連，全省互通，統(tǒng)一管理，安全有效的戰(zhàn)略布局；提升對(duì)營業(yè)廳系統(tǒng)運(yùn)維操作的監(jiān)管能力，提高公司網(wǎng)絡(luò)信息安全管理和運(yùn)維水平。

⑴實(shí)現(xiàn)營業(yè)廳VPN通道的安全性。充分利用VPN的三個(gè)技術(shù)特點(diǎn)：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密；在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對(duì)數(shù)據(jù)進(jìn)行加密，保證各項(xiàng)業(yè)務(wù)在專線通信中的安全性。

⑵更安全的路由保護(hù)策略。初期的營業(yè)廳和BOSS互聯(lián)是核心交換機(jī)思科6509E和BOSS防火墻路由互指，來實(shí)現(xiàn)營業(yè)廳普通數(shù)據(jù)的互通；重新建設(shè)的營業(yè)廳聯(lián)網(wǎng)將訪問外網(wǎng)和訪問BOSS系統(tǒng)的數(shù)據(jù)劃分開，并將訪問BOSS的流量放進(jìn)VPN里；同時(shí)在防火墻和6509之前起trunk保證業(yè)務(wù)流量的高速帶寬。

⑶實(shí)現(xiàn)多項(xiàng)數(shù)據(jù)的隔離性。各個(gè)網(wǎng)點(diǎn)在和省中心數(shù)據(jù)的同步和交互時(shí)，通過使用準(zhǔn)確的身份驗(yàn)證和加密手段對(duì)于敏感的數(shù)據(jù)進(jìn)行分隔；只有企業(yè)內(nèi)部擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與服務(wù)器的VPN連接，才可以訪問網(wǎng)絡(luò)中受到保護(hù)的敏感資源。

⑷實(shí)現(xiàn)營業(yè)廳管理的及時(shí)性和高效性。將營業(yè)廳服務(wù)器和省中心BOSS系統(tǒng)互連；實(shí)時(shí)同步數(shù)據(jù)和用戶信息更新，實(shí)現(xiàn)營業(yè)網(wǎng)點(diǎn)、Radius服務(wù)器和數(shù)據(jù)中心之間的專屬隧道連接。

⑸實(shí)現(xiàn)業(yè)務(wù)管理的統(tǒng)一性。對(duì)營業(yè)廳工作人員賬號(hào)的權(quán)限分配和操作進(jìn)行統(tǒng)一管理和監(jiān)控，針對(duì)不同的業(yè)務(wù)進(jìn)行精細(xì)劃分和集中管理；發(fā)揮業(yè)務(wù)支撐系統(tǒng)和管理系統(tǒng)的協(xié)調(diào)性優(yōu)勢(shì)。

1 主要技術(shù)創(chuàng)新點(diǎn)

⑴安全通信的可靠性：充分利用VPN特點(diǎn)從三個(gè)方面：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密著手提高互聯(lián)網(wǎng)絡(luò)的安全系數(shù)。營業(yè)廳終端向省中心服務(wù)器發(fā)出請(qǐng)求，服務(wù)器響應(yīng)請(qǐng)求并向終端發(fā)出身份質(zhì)詢，終端將加密的響應(yīng)信息發(fā)送到服務(wù)器，服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，并根據(jù)賬戶相應(yīng)的權(quán)限給出對(duì)應(yīng)的響應(yīng)；VPN安全功能模塊可有效地避免安全隱患，保障數(shù)據(jù)安全。

⑵精確路由控制和準(zhǔn)入原則：改變?cè)械臓I業(yè)廳和BOSS互聯(lián)方式，將營業(yè)廳訪問公網(wǎng)和訪問BOSS的數(shù)據(jù)分別對(duì)待；后者劃給新的vlan并加入vpn中，在BOSS系統(tǒng)側(cè)的防火墻上采用“準(zhǔn)入原則”和“華三inode”接入認(rèn)證；保證訪問BOSS系統(tǒng)時(shí)的可控性和高安全性。

⑶信息共享協(xié)調(diào)性：營業(yè)廳數(shù)據(jù)通過和省中心的BOSS系統(tǒng)對(duì)接后，能提供完善的用戶管理、賬號(hào)管理、行為審計(jì)等多種服務(wù)手段的同時(shí)，確保系統(tǒng)本身的信息收集和資源共享；針對(duì)新增客戶需求和業(yè)務(wù)類型及時(shí)反饋給后臺(tái)業(yè)務(wù)支撐，根據(jù)用戶的需求做出及時(shí)調(diào)整和迅速響應(yīng)。

⑷業(yè)務(wù)辦理的可操作性：營業(yè)廳作為面對(duì)客戶群體的重要接觸單元，應(yīng)保證處理用戶需求的方便快捷，針對(duì)省內(nèi)資源共享下的賬號(hào)應(yīng)能提供全方位、多層次、立體化的服務(wù)；保障用戶辦理一號(hào)通。

⑸后臺(tái)管理的統(tǒng)一性：營業(yè)廳互聯(lián)系統(tǒng)除了具有良好的人機(jī)操作界面、更好的提示信息，方便系統(tǒng)管理人員使用外；還著重將前臺(tái)數(shù)據(jù)轉(zhuǎn)化為后臺(tái)分析和業(yè)務(wù)統(tǒng)計(jì)的第一手資料，并對(duì)營業(yè)廳具體操作進(jìn)行科學(xué)化管理和模塊化分析。

⑹系統(tǒng)整體擴(kuò)展性：營業(yè)廳互聯(lián)架構(gòu)在合理需求的擴(kuò)容時(shí)，應(yīng)不改變組網(wǎng)結(jié)構(gòu)，保證系統(tǒng)性能，能滿足河南有線業(yè)務(wù)發(fā)展的需求；能夠提供開放和完整的API接口供二次開發(fā)使用。

2 項(xiàng)目詳細(xì)內(nèi)容

河南有線營業(yè)廳安全和聯(lián)網(wǎng)項(xiàng)目是在河南有線電視數(shù)字化整轉(zhuǎn)的浪潮下，為滿足新形勢(shì)的需求采取的新型互聯(lián)網(wǎng)方案；主要由路由器、交換機(jī)、服務(wù)器、編解碼設(shè)備等多種硬件及軟件系統(tǒng)組成，業(yè)務(wù)包括數(shù)據(jù)、傳輸、業(yè)務(wù)支撐、業(yè)務(wù)管理四個(gè)系統(tǒng)；每個(gè)地市的總前端和分前端都具備完整的互聯(lián)架構(gòu)和可實(shí)施環(huán)境，面對(duì)逐步推開的全省數(shù)字化整轉(zhuǎn)，舊的營業(yè)廳聯(lián)網(wǎng)模式只具備基本職能，已無法滿足新型業(yè)務(wù)市場(chǎng)的需求。

新的互聯(lián)網(wǎng)方案把直面客戶群的營業(yè)廳，當(dāng)做信息采集的最前沿終端；將客戶的需求第一時(shí)間準(zhǔn)確、安全、有效的反饋給省中心BOSS系統(tǒng)；后臺(tái)系統(tǒng)通過第一手資料的統(tǒng)計(jì)和分析做出準(zhǔn)確的響應(yīng)，給出完善的服務(wù)需求對(duì)操作者給出詳細(xì)的提示和注解；并在數(shù)據(jù)交互的過程中保證用戶信息的隱私和安全，保證整體系統(tǒng)的高速運(yùn)轉(zhuǎn)和平穩(wěn)過渡。

結(jié)合目前河南有線整體數(shù)據(jù)網(wǎng)絡(luò)的特點(diǎn)，首先采用MPLS-VPN技術(shù)將整套系統(tǒng)引入到各個(gè)地市的數(shù)據(jù)城域網(wǎng)中。其次將營業(yè)廳聯(lián)網(wǎng)和市中心BOSS系統(tǒng)（業(yè)務(wù)管理支撐系統(tǒng)）通過VPN引入對(duì)接，將營業(yè)廳的數(shù)據(jù)交由BOSS進(jìn)行全省范圍的匯總統(tǒng)計(jì)和分析；及時(shí)將用戶需求變成對(duì)用戶的響應(yīng)。再次將營業(yè)廳向上訪問的數(shù)據(jù)分門別類，訪問外網(wǎng)的走普通路由訪問省中心BOSS系統(tǒng)的走VPN業(yè)務(wù)，同時(shí)在BOSS防火墻上準(zhǔn)入原則和H3Cinode接入認(rèn)證技術(shù)。

[參考文獻(xiàn)]

[1]陳良寬.《計(jì)算機(jī)網(wǎng)絡(luò)與建筑智能化系統(tǒng)集成》.中國建筑工業(yè)出版社，2003.3.

[2]胡遠(yuǎn)萍，張治元.《計(jì)算機(jī)組網(wǎng)技術(shù)》.高等教育出版社，2003.6.

[3]周建軍.一種新型存儲(chǔ)體系結(jié)構(gòu)——SAN[J].電子計(jì)算機(jī)，2001.10.