移动网络PS业务安全评估报告课件

1、移动网络PS业务 四川联通核心业务网络安全评估报告2022/8/7Page 2目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）Page 2核心业务网络安全提升（思路）确定关键网络安全隐患清理1网络安全评估2网络优化建议34联席会议日常安全保障：应急预案、倒换测试、主备用通道可用性确认、培训组网安全评估设备安全评估传输安全评估备件安全评估例行维护评估移动网络PS业务移动网络CS业务传送网省干网络隐患评估总结网上隐患解决方案网络维护建议确认解决方案协商工作界面重大操作保障Page 3序号工作内容完成时间责任人1核心业务网络安全评估专题报告（ 移动网络PS业务）

2、6月3日孙剑锋/张巍铧2核心业务网络安全评估专题报告（ 移动网络CS业务）7月12日关月屹/张巍铧3核心业务网络安全评估专题报告（传送网）8月12日高建国4核心业务网络应急预案（ 移动网络PS业务）6月30日孙剑锋/张巍铧5核心业务网络应急预案（ 移动网络CS业务）7月5日关月屹/张巍铧6核心业务网络倒换测试（移动网络PS业务）8月20日孙剑锋/张巍铧7核心2G/3G语音业务多归属倒换演练9月20日关月屹/张巍铧8核心业务网络安全联席会议每季度何伟核心业务网络安全提升（计划）Page 4Page 5目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）整体评估成

3、都区域评估绵阳大区评估乐山大区评估南充大区评估非大区评估例行维护评估Page 5移动网络PS业务络移动网络PS业务网络整体拓扑评估组网拓扑Page 6移动网络PS业务络1 网络拓扑合理性评估（SGSN/CE/GGSN/BSC）网络结构清晰，CE接入AR均为双平面，口子型组网SGSN、RNC、GGSN双归属接入到两台CE上Gn接口采用双主配置，Ga、IU接口都是采用主备+Vrrp配置，构成各接口的双平面。移动网络PS业务网络整体拓扑评估隐患分析Page 7移动网络PS业务络链路、单板可靠性评估 CE与业务侧侧设备之间以及互联均采用GE高效链路,各接口流量未超过物理带宽限制，带宽利用率均正常。 建

4、网初期，考虑成本投入，CE设备上行和互联未分布在不同单板上 CE设备启用VRRP心跳互联链路未做到全部多链路Trunk捆绑，且未分布到不同单板上 华为基站FE业务接入CE未实现保护 宜宾SGSN设备IUPS接口没有配置ARP探测，存在单纤故障隐患绵阳SGSN设备没有配置Ga接口的ARP探测，存在单纤故障隐患移动网络PS业务网络整体拓扑评估隐患分析Page 8移动网络PS业务网络整体拓扑评估隐患分析传输路由评估CE设备和169网络的出口主备用通道没有承载在传输的不同平面成都2G/SG 1000个以上的基站承载在同一个传输平面上（成都联通A平面市区环）是否存在业务接入单点隐患业务单元均为双归属到C

5、E-1、CE-2上，CE设备不存在单点隐患前BSC都是对应一个SGSN，因此SGSN存在单点隐患。绵阳SGSN设备Gn侧CE路由器NE40E互联端口在同一单板上（1槽位）乐山SGSN设备接入BSC3和BSC4的双链路分布在同一块UGBI单板上。5 业务流量模型分析业务流量模型规划合理，各业务侧到移动网络络均按最优路径选择Page 9移动网络PS业务网络整体拓扑评估隐患分析6 网络安全隔离评估移动网络PS业务与Internet公共网络之间采取了安全隔离措施，有效地保障了网络安全 网络监控评估CE设备：省维护中心有一套DMS N2000系统，但因网管License受限，地市无监控终端，不能快速有效

6、的监控网络告警及处理故障，Page 10移动网络PS业务组网拓扑Page 11移动网络PS业务（整体）隐患分析网络监控评估风险：高潜在隐患：因网管License受限，地市无监控客户端隐患分析：现状目前只有茶店子6楼维护中心有客户端问题其余地市无网管客户端，不能快速有效的监控网络告警及处理故障，存在安全隐患解决方案：增加License，地市配置客户端Page 12潜在隐患：目前BSC都是对应一个SGSN，因此SGSN存在单点隐患。隐患分析：目前四个大区的SGSN物理位置分别位于四个大区，一旦某SGSN出现故障，那么所承载的大区将出现业务中断。解决方案：1、按照SGSN制定对应备份关系，预先准备相

7、关应急传输电路。2、完成SGSN POOL改造。移动网络PS业务（整体）拓扑评估隐患分析BSC至SGSN切换可行性评估风险：高BSC/PCUSGSN中继传输网IP承载网GGSNSGSNPage 13移动网络PS业务（整体）拓扑评估隐患分析评估内容发现的隐患对业务的潜在威胁改进的建议风险链路可靠性评估CE互联链路只有一条或未分布到不同单板互联链路或单板故障后，VRRP在两台CE上会出现双主状态，业务中断建议增加互联链路并分布到不同单板上高链路可靠性评估基站FE业务接入CE路由器未实现双平面保护当CE接入基站业务单板出现故障，该单板下FE业务将全部受影响建议传输OSN设备增加单板并开启PBS保护中

8、网络监控评估因网管License受限，地市无监控终端不能快速有效的监控网络告警及处理故障，降低维护效率建议增加网管License客户端受权数中Page 14移动网络PS业务网络整体拓扑评估隐患分析评估内容发现的隐患对业务的潜在威胁改进的建议风险BSC至SGSN切换可行性评估目前BSC都是对应一个SGSN，因此SGSN存在单点隐患一旦某SGSN出现故障，那么所承载的大区将出现业务中断1、制定对应备份关系，预先准备应急传输电路。2、完成SGSN POOL改造。高Page 15Page 16目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）整体评估成都区域评估宜宾

9、区域评估绵阳大区评估乐山大区评估南充大区评估非大区评估例行维护评估Page 16潜在隐患：目前成都联通2G业务市区业务基本在图中的1576-调度枢纽楼八中调度；隐患分析：如果出现掉电、双向断纤等问题导致1576-调度枢纽楼八中脱网，会对成都联通的业务产生生灾难性的影响，市区的2G业务基本会断，风险很大。解决方案：需要升级现有的平面，提高容量，将业务分摊在不同平面上。移动网络PS业务（成都）拓扑评估隐患分析风险：高1577-调度茶二1576-调度枢纽八1575-调度茶三1579-调度茶新四1578-调度茶一基站业务BSC/RNC基站业务Page 17移动网络PS业务（成都区域）评估隐患分析链路可

10、靠性评估潜在隐患：成都Gn侧CE路由器NE40互联端口为单链路隐患分析：当互联链路故障或3槽位单板故障，CE路由器上对于SGSN启用的VRRP将出现双主状态，那么成都（川南大区）SGSN业务将中断解决方案：将4/1/0作为新增互联端口，实现互联链路扩容为2条且分布在不同单板上风险：高Page 18移动网络PS业务（成都）拓扑评估隐患分析四川联通3G网络各局向之间公用同一个传输波分环（环三），该环网未做环保护。该环波分环共分为5个波道，不同局向承载在不同波道上。如：枢纽楼至营门口承载在环三的波道4上，若该环网上任其一个节点光缆中断，那么枢纽楼到营门口链路都会中断传输路由评估Page 19移动网络

11、PS业务（成都）拓扑评估隐患分析传输路由评估（G i侧）潜在隐患：Gi侧防火墙E8080E主备用通道承载在同一传输平面上隐患分析：现状1、主备用通道都承载在传输波分环（环三）波道4上2、主备用通道承载在传输波分设备的不同单板上（海特方向：4-TOM 、营门口方向 2-TOM）问题点1、当整个传输平面出现故障，主备用通道都会中断，导致全网3G_NET业务中断解决方案：将其中一个通道承载到裸纤或不同传输平面上风险：中Page 20移动网络PS业务（成都）拓扑评估总结评估内容发现的隐患对业务的潜在威胁改进的建议风险链路可靠性评估成都Gn侧CE路由器NE40互联端口为单链路当互联链路故障或3槽位单板故

12、障，CE路由器上对于SGSN启用的VRRP将出现双主状态，那么成都（川南大区）SGSN业务将中断将4/1/0作为新增互联端口，实现互联链路扩容为2条且分布在不同单板上高网络监控评估因网管License受限，地市无监控客户端其余地市无网管客户端，不能快速有效的监控网络告警及处理故障，存在安全隐患增加License，地市配置客户端中传输路由评估路由双平面保护未实现通过传输的不同平面承载若传输故障，那么路由主备平面均会受到影响，业务中断建议将传输分布到不同平面中传输路由评估Gi侧防火墙E8080E主备用通道承载在同一传输平面上1、当整个传输平面出现故障，主备用通道都会中断，导致全网3G_NET业务中

13、断将其中一个通道承载到裸纤或不同传输平面上高Page 21Page 22目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）整体评估成都区域拓扑评估宜宾区域评估绵阳大区评估乐山大区评估南充大区评估非大区评估例行维护评估Page 22潜在隐患：成都SGSN Iu口信令面和用户面均通过主备端口配置接入CE路由器，SGSN和CE采取11主备端口/VRRP的方式进行组网，但是没有配置IUPS接口的ARP探测。隐患分析：当IUPS接口出现非物理层的故障时，会导致链路中断。解决方案：增加成都SGSN上面IUPS用户面和信令面接口的ARP探测配置。移动网络PS业务（宜宾大区

14、）拓扑评估隐患分析Iu接口双平面评估风险：高SGSN主用UGFU主用UPIUUSIGUGFUUPIUIP1IP2IP1Gn_Iups-CE1IP1IP3IP3GTPUVRRPVLAN 1VLAN2VLAN 1VLAN2承载网Gn_Iups-CE2Page 23SGSN9810HSTP2HLRHSTP1SS7潜在隐患：目前成都SGSN到HSTP1和HSTP2局向分别仅配置1个2M，各8个64K信令链路。隐患分析：如果到1个信令链路不可达，如2M故障或者HSTP故障的情况下，另一条信令链路没有足够的容量承担全部业务。解决方案：HSTP1和HSTP2两个局向分别再增加一个2M。移动网络PS业务(宜宾

15、大区）拓扑评估隐患分析信令链路双平面评估风险：高Page 24潜在隐患：目前成都SGSN各个机框内部没有配置UGBI备用板。隐患分析：如果本軭的某UGBI单板故障，那么将没有备用单板承担故障单板的业务。解决方案：将軭内空闲的UGBI单板配置成备用单板，进行备份。移动网络PS业务（宜宾大区）拓扑评估隐患分析业务单板分担评估风险：中SGSN主用UGBIUEPI主用UGBIUEPIBSC/PCU中继传输网主用UGBIUEPIPage 25评估内容发现的隐患对业务的潜在威胁改进的建议风险Iu接口双平面评估IUPS接口没有配置ARP探测当IUPS接口出现非物理层的故障时，会导致链路中断。增加IUPS用户

16、面和信令面接口的ARP探测配置。高信令链路双平面评估SGSN到HSTP1和HSTP2局向分别仅配置1个2M，各8个64K信令链路。如果到1个信令链路不可达，如2M故障或者HSTP故障的情况下，另一条信令链路没有足够的容量承担全部业务。HSTP1和HSTP2两个局向分别再增加一个2M。高业务单板分担评估各个机框内部没有配置UGBI备用板。本軭的某UGBI单板故障，那么将没有备用单板承担故障单板的业务。将軭内空闲的UGBI单板配置成备用单板，进行备份。中移动网络PS业务（宜宾大区）拓扑评估总结Page 26Page 27目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络P

17、S业务）整体评估成都区域拓扑评估宜宾区域评估绵阳大区评估乐山大区评估南充大区非大区评估例行维护评估Page 27潜在隐患：绵阳SGSN Ga口通过主备端口配置接入CE路由器，但是没有配置Ga接口的ARP探测。隐患分析：当Ga接口出现非物理层的故障时，会导致链路中断。解决方案：将绵阳SGSN上面Ga口配置上ARP探测。移动网络PS业务拓扑评估（绵阳大区）隐患分析Ga接口双平面评估风险：高SGSN主用UGFUUPIUUGFUUPIUCE1CE2承载网CG1 CG1 UCDRPage 28移动网络PS业务（绵阳大区）拓扑评估隐患分析潜在隐患：绵阳Gn侧CE路由器NE40E互联端口在同一单板上（1槽位

18、）隐患分析：1、当互联链路故障，CE路由器对于SGSN、RNC业务启用的VRRP将出现双主状态，那么绵阳大区SGSN、RNC业务将中断2、当1槽位单板故障，那么绵阳RNC3业务将中断解决方案：将2/0/9作为新增互联端口，实现互联链路扩容为3条且分布在不同单板上链路可靠性评估风险：中Page 29评估内容发现的隐患对业务的潜在威胁改进的建议风险SGSN:Ga接口双平面评估SGSN:没有配置Ga接口的ARP探测。当Ga接口出现非物理层的故障时，会导致链路中断。Ga口配置上ARP探测高链路可靠性评估绵阳Gn侧CE路由器NE40E互联端口在同一单板上（1槽位）1、当互联链路故障，CE路由器对于SGS

19、N、RNC业务启用的VRRP将出现双主状态，那么绵阳大区SGSN、RNC业务将中断2、当1槽位单板故障，那么绵阳RNC3业务将中断将2/0/9作为新增互联端口，实现互联链路扩容为3条且分布在不同单板上中移动网络PS业务（绵阳大区）拓扑评估隐患分析Page 30Page 31目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）整体评估成都区域拓扑评估宜宾区域评估绵阳大区评估乐山大区评估南充大区非大区评估例行维护评估Page 31潜在隐患：乐山BSC3和BSC4双链路分布在同一块UGBI单板上。隐患分析：如果乐山BSC3和BSC4所在的UGBI单板故障，那么将导致

20、BSC3和BSC4的业务中断。解决方案：将BSC3和BSC4的链路分布在不同的UGBI单板上。PS域移动网络（乐山大区）拓扑评估隐患分析Gb接口双平面评估风险：中SGSN主用UGBIUEPIUGBIUEPIBSC/PCU中继传输网Page 32移动网络PS业务（乐山大区）拓扑评估隐患分析潜在隐患：乐山Gn侧CE路由器NE40E互联端口在同一单板上（1槽位）隐患分析：1、当互联链路故障，CE路由器对于SGSN、RNC业务启用的VRRP将出现双主状态，那么乐山大区SGSN、RNC业务将中断2、当1槽位单板故障，那么乐山本地RNC3业务将中断解决方案：将3/0/11作为新增互联端口，实现互联链路扩容

21、为3条且分布在不同单板上链路可靠性评估风险：中Page 33移动网络PS业务（乐山大区）拓扑评估隐患分析评估内容发现的隐患对业务的潜在威胁改进的建议风险SGSN:Gb接口双平面评估乐山BSC3和BSC4双链路分布在同一块UGBI单板上。如果乐山BSC3和BSC4所在的UGBI单板故障，那么将导致BSC3和BSC4的业务中断。将BSC3和BSC4的链路分布在不同的UGBI单板上。中链路可靠性评估乐山Gn侧CE路由器NE40E互联端口在同一单板上（1槽位）1、当互联链路故障，CE路由器对于SGSN、RNC业务启用的VRRP将出现双主状态，那么乐山大区SGSN、RNC业务将中断2、当1槽位单板故障，

22、那么乐山RNC3业务将中断将3/0/11作为新增互联端口，实现互联链路扩容为3条且分布在不同单板上中Page 34Page 35目录核心业务网络安全提升工作思路和工作计划核心业务网络安全评估报告（移动网络PS业务）整体评估成都区域拓扑评估宜宾区域评估绵阳大区评估乐山大区评估南充大区非大区评估例行维护评估Page 35移动网络PS业务（南充大区）拓扑评估隐患分析潜在隐患：南充Gn侧CE路由器NE40E互联端口在同一单板上（1槽位）隐患分析：1、当互联链路故障，CE路由器对于SGSN、RNC业务启用的VRRP将出现双主状态，那么南充大区SGSN、RNC业务将中断2、当1槽位0号子卡故障，那么南充本地RNC业务将中断解决方案：将2/0/9作为新增互联端口，实现互联链路扩容为3条且分布在不同单板上链路可靠性评估风险：中Page 36移动网络PS业务（南充大区）