彩鈴系統(tǒng)風(fēng)險分析及安全性提升措施研究

溫曉潔，耿輝，劉進(jìn)，盧楠

（中國移動通信集團設(shè)計院有限公司陜西分公司，西安 710077）

彩鈴系統(tǒng)風(fēng)險分析及安全性提升措施研究

溫曉潔，耿輝，劉進(jìn)，盧楠

（中國移動通信集團設(shè)計院有限公司陜西分公司，西安 710077）

彩鈴系統(tǒng)作為成熟型增值業(yè)務(wù)，用戶群龐大且對業(yè)務(wù)收入貢獻(xiàn)較高。保證彩鈴業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性是系統(tǒng)建設(shè)的重點。本文以移動某省彩鈴系統(tǒng)為例，從彩鈴平臺的設(shè)備層、網(wǎng)絡(luò)層、業(yè)務(wù)層逐層分析彩鈴系統(tǒng)存在的風(fēng)險。并以彩鈴平臺承載業(yè)務(wù)的重要程度對風(fēng)險進(jìn)行分級，提出安全性提升原則和具體方案。

彩鈴系統(tǒng)；單節(jié)點風(fēng)險；安全性

1 引言

以移動某省為例，彩鈴業(yè)務(wù)自2004年推出市場后用戶增長迅速。到2011年滲透率保持在67%左右。2011年，彩鈴業(yè)務(wù)收入占增值業(yè)務(wù)收入的20%，占省公司收入的4.15%。彩鈴業(yè)務(wù)作為一種成熟型增值業(yè)務(wù)，用戶群龐大且對業(yè)務(wù)收入貢獻(xiàn)度較高。對于具有這類特點的業(yè)務(wù)，其建設(shè)的重點也將從大規(guī)模擴容向保證業(yè)務(wù)連續(xù)性、數(shù)據(jù)安全性等提升系統(tǒng)穩(wěn)定性和安全性方面轉(zhuǎn)變。

本文將以移動某省彩鈴系統(tǒng)為例，從彩鈴平臺的設(shè)備層、網(wǎng)絡(luò)層、業(yè)務(wù)層逐層分析彩鈴系統(tǒng)存在的風(fēng)險。并以業(yè)務(wù)的重要性作為判斷風(fēng)險級別的依據(jù)，提出安全性提升原則和具體方案。

2 系統(tǒng)風(fēng)險分析

2.1 設(shè)備架構(gòu)

圖1為集團規(guī)范的彩鈴平臺設(shè)備邏輯架構(gòu)，分為前臺、后臺和Portal 3部分。圖2為某省移動公司的彩鈴平臺實際組網(wǎng)結(jié)構(gòu)。

圖1 彩鈴邏輯結(jié)構(gòu)

從表1可以看到實際組網(wǎng)與邏輯結(jié)構(gòu)的映射關(guān)系。對其中的主要設(shè)備及安全能力進(jìn)行簡要分析。

彩鈴平臺設(shè)備大部分為雙機或冗余配置，能夠滿足單機故障時的切換和業(yè)務(wù)的正常運行。但對于非單點故障的情況，設(shè)備本身難以實現(xiàn)對業(yè)務(wù)的保障。

圖2 彩鈴平臺實際組網(wǎng)

表1 邏輯框架和實際組網(wǎng)對照表

2.2 網(wǎng)絡(luò)結(jié)構(gòu)及路由方式

彩鈴平臺實際組網(wǎng)中基本由一個“管理＋呼叫”節(jié)點和多個純呼叫節(jié)點組成。節(jié)點之間通過一對高端交換機進(jìn)行鈴音文件同步和數(shù)據(jù)同步。彩鈴管理節(jié)點功能主要為用戶數(shù)據(jù)的管理、計費以及鈴音下載。彩鈴呼叫節(jié)點功能為處理具體的呼叫，根據(jù)查詢的信息播放制定的鈴音。

2．2．1 話路與信令網(wǎng)絡(luò)結(jié)構(gòu)

彩鈴平臺話路、信令網(wǎng)絡(luò)結(jié)構(gòu)分為TDM方式和IP方式兩種。IP承載時，彩鈴平臺通過IP承載網(wǎng)與所轄地市端局、關(guān)口局直連疏通話務(wù)，信令通過CMN轉(zhuǎn)接。TDM方式時，彩鈴平臺通過關(guān)口局與所轄地市疏通話務(wù)，關(guān)口局為話路的匯聚節(jié)點。信令通過L局疏通。

2．2．2 數(shù)據(jù)網(wǎng)結(jié)構(gòu)

彩鈴數(shù)據(jù)網(wǎng)絡(luò)包括彩鈴各節(jié)點。各節(jié)點間通過一對核心交換機連通，通過該鏈路傳遞彩鈴呼叫的鑒權(quán)、配置等用戶信息。

彩鈴管理DB承擔(dān)來自用戶經(jīng)Portal門戶遞交的彩鈴訂購、修改、刪除等操作數(shù)據(jù)，同時由數(shù)據(jù)庫自動觸發(fā)將用戶的訂購數(shù)據(jù)推送到各呼叫節(jié)點的呼叫DB數(shù)據(jù)庫中，保證各套呼叫DB的用戶數(shù)據(jù)一致。

管理節(jié)點的文件服務(wù)器每天定時接收來自四川音樂基地的鈴音更新文件，同時將更新后的鈴音文件同步推送到各呼叫節(jié)點的文件服務(wù)器。數(shù)據(jù)網(wǎng)管理節(jié)點、呼叫節(jié)點間數(shù)據(jù)流圖如圖3所示。

管理節(jié)點單節(jié)點設(shè)置。隨著彩鈴用戶的不斷增長，單個管理節(jié)點變得非常巨大，風(fēng)險性非常高。一旦出現(xiàn)管理節(jié)點故障將會造成計費流失、用戶數(shù)據(jù)丟失，用戶管理失敗等影響收入，影響用戶感知等問題的出現(xiàn)。

圖3 彩鈴管理節(jié)點、呼叫節(jié)點間數(shù)據(jù)流圖

呼叫節(jié)點IP承載和TDM承載方式并存，IP承載方式使得彩鈴節(jié)點地市局向之間的路由調(diào)度便捷，大大降低節(jié)點間相互容災(zāi)難度。這種承載方式優(yōu)勢明顯，是演進(jìn)趨勢。

為防范來自城域網(wǎng)的網(wǎng)絡(luò)病毒、攻擊威脅、入侵風(fēng)險，需要考慮按照業(yè)務(wù)網(wǎng)整體統(tǒng)一考慮規(guī)劃改造彩鈴的互聯(lián)網(wǎng)出口，通過安全域劃分提升互聯(lián)網(wǎng)網(wǎng)絡(luò)風(fēng)險防御能力。

2.3 業(yè)務(wù)分析

表2通過分析各業(yè)務(wù)故障影響范圍、涉及網(wǎng)元等情況，可以確定各類業(yè)務(wù)的重要級別?？梢钥吹?，級別高的業(yè)務(wù)多涉及用戶的數(shù)據(jù)部分，也是彩鈴安全提升的重點。

現(xiàn)網(wǎng)彩鈴平臺為管理單節(jié)點，呼叫多節(jié)點的網(wǎng)絡(luò)結(jié)構(gòu)。部分呼叫節(jié)點IP承載方式為節(jié)點間容災(zāi)提供便利，IP化承載是演進(jìn)趨勢。

彩鈴網(wǎng)絡(luò)對于控制非單機風(fēng)險的能力有限。特別是管理節(jié)點的單節(jié)點設(shè)置，使整個彩鈴系統(tǒng)處于高風(fēng)險下。

從業(yè)務(wù)層面來看，關(guān)鍵業(yè)務(wù)多存在于管理節(jié)點，管理節(jié)點的故障將會引起較多的計費和用戶感知雙重?fù)p失。

3 安全性提升方案

3.1 安全性提升原則

（1）彩鈴系統(tǒng)進(jìn)行多平面建設(shè)，盡量減小災(zāi)難影響范圍。

表2 業(yè)務(wù)分析表

* 節(jié)省資源投入，建設(shè)關(guān)鍵業(yè)務(wù)的容災(zāi)；

* 容災(zāi)設(shè)備參與生產(chǎn)，提供浪涌處理能力。

（2）管理與技術(shù)相結(jié)合。

* 多平臺要易于維護；

* 全面發(fā)揮系統(tǒng)的自動維護功能，減少人為操作環(huán)節(jié)。

3.2 安全性提升方案

3．2．1 管理節(jié)點

參考BOSS等IT支撐系統(tǒng)的容災(zāi)方案，從投資的角度和實現(xiàn)難度角度，彩鈴系統(tǒng)可以采用分步演進(jìn)的方式，從模式1（關(guān)鍵業(yè)務(wù)、應(yīng)用級、主備中心、降級容災(zāi)）到模式5（全業(yè)務(wù)、應(yīng)用級、主備中心、降級容災(zāi)），最終向模式8（全業(yè)務(wù)、應(yīng)用級、雙中心、同級容災(zāi)）演進(jìn)。

數(shù)據(jù)庫容災(zāi)技術(shù)主要包括4種：基于存儲的復(fù)制、基于邏輯卷的復(fù)制、基于數(shù)據(jù)庫的復(fù)制和日志挖掘數(shù)據(jù)復(fù)制技術(shù)?？紤]到彩鈴系統(tǒng)管理DB、呼叫DB均采用Oracle數(shù)據(jù)庫，故采用數(shù)據(jù)庫復(fù)制技術(shù)使用Oracle自帶的Data Guad軟件實現(xiàn)數(shù)據(jù)庫容災(zāi)。

新建容災(zāi)管理節(jié)點，同樣采用1對匯聚交換機使用吉比特光纜實現(xiàn)與原有管理節(jié)點的連通，新建1對光纖交換機、1對虛擬存儲控制器及2套磁盤陣列，與容災(zāi)管理節(jié)點服務(wù)器、文件服務(wù)器形成SAN存儲網(wǎng)絡(luò)，虛擬存儲控制器實現(xiàn)磁盤陣列的容量分配及管理，可以大大提高磁盤利用率，改善以往各套磁盤陣列利用率不均衡的狀況，利用SAN存儲網(wǎng)絡(luò)架構(gòu)提升數(shù)據(jù)訪問的安全性及訪問速度。

各個呼叫節(jié)點在正常情況下歸屬第一管理節(jié)點，配置第一管理IP節(jié)點地址。當(dāng)災(zāi)難發(fā)生時手動切換至容災(zāi)管理節(jié)點，后期主備中心容災(zāi)級別提升到雙中心方式后采用DNS解析方法的呼叫節(jié)點通過域名訪問管理節(jié)點，實現(xiàn)管理節(jié)點的快速切換。

同時改造彩鈴城域網(wǎng)出口，按照業(yè)務(wù)網(wǎng)統(tǒng)一規(guī)劃割接至統(tǒng)一出口，在業(yè)務(wù)網(wǎng)統(tǒng)一出口處按照安全域劃分改造要求增加IDS、及審計設(shè)備等安全措施，這樣，可以達(dá)到統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、等級防護的管理要求。

管理節(jié)點容災(zāi)涉及的關(guān)鍵指標(biāo)包括以下4項，在設(shè)計容災(zāi)節(jié)點時需要考慮、核算。

（1）呼叫節(jié)點與容災(zāi)管理節(jié)點間網(wǎng)絡(luò)流量帶寬需求。

流量主要包括呼叫節(jié)點涉及的用戶訂購數(shù)據(jù)和文件服務(wù)器的同步，鈴音文件服務(wù)器的同步由管理節(jié)點主動向呼叫節(jié)點定時推送，瞬時流量不大，計算時主要考慮呼叫產(chǎn)生的鑒權(quán)、查詢等流量。分析時可參考原有局域網(wǎng)內(nèi)交換機流量數(shù)據(jù)。

（2）數(shù)據(jù)庫切換時間。

按照主備關(guān)系建立的容災(zāi)管理節(jié)點隨時處于可用狀態(tài)，當(dāng)發(fā)生災(zāi)難需要切換數(shù)據(jù)庫時，主要的數(shù)據(jù)庫切換時間包括各呼叫節(jié)點、文件服務(wù)器的切換指向時間，即呼叫DB向管理節(jié)點切換時間+呼叫節(jié)點文件服務(wù)器向容災(zāi)文件服務(wù)器切換時間。

（3）管理節(jié)點與容災(zāi)節(jié)點之間的網(wǎng)絡(luò)延時。

根據(jù)數(shù)據(jù)傳輸延時要求，如果使用吉比特光纖波分系統(tǒng)互連管理節(jié)點與容災(zāi)節(jié)點，那么容災(zāi)節(jié)點與管理節(jié)點間距在10 km左右時，網(wǎng)絡(luò)延遲可以保證在50 ms以內(nèi)。

（4）對主用數(shù)據(jù)庫的影響。

為了保證主備容災(zāi)節(jié)點庫順利倒換，管理節(jié)點與容災(zāi)節(jié)點數(shù)據(jù)庫必須保證版本一致，同時數(shù)據(jù)庫最低在Oracle 11g版本。在該版本中Data Guard同步復(fù)制過程中備用數(shù)據(jù)庫一直處于active狀態(tài)，用戶可以在備用數(shù)據(jù)庫上進(jìn)行查詢、報表等操作，同時數(shù)據(jù)同步的效率更高、對硬件的資源要求更低。

3．2．2 呼叫節(jié)點

彩鈴呼叫節(jié)點“多節(jié)點”的結(jié)構(gòu)分散了整體風(fēng)險，安全性總體較好。同時考慮到現(xiàn)網(wǎng)呼叫節(jié)點TDM和IP承載方式共存，以IP承載為演進(jìn)方式的特點。其的安全性提升方案采用“節(jié)點間互備”的方式。具體措施為：TDM節(jié)點的容災(zāi)節(jié)點為IP節(jié)點； IP節(jié)點互為容災(zāi)節(jié)點。同時建議加快TDM節(jié)點的IP化改造。

對于“管理+呼叫”節(jié)點，需將管理功能剝離，變成單純的呼叫節(jié)點才能進(jìn)行IP化改造，所以新建容災(zāi)備份管理節(jié)點，剝離管理功能也是現(xiàn)網(wǎng)這種“管理+呼叫”節(jié)點IP化改造的前提條件。

4 結(jié)束語

彩鈴作為一種成熟的增值業(yè)務(wù)必將長期存在，保持良好的客戶感知和保證業(yè)務(wù)的連續(xù)性是彩鈴業(yè)務(wù)現(xiàn)階段發(fā)展的重點。彩鈴管理節(jié)點中保存有大量的用戶數(shù)據(jù)，也是各種數(shù)據(jù)傳遞的樞紐，所以是安全性提升的重點。新建容災(zāi)節(jié)點，可以有效實現(xiàn)對管理節(jié)點安全性的提升，同時使其具備第二管理節(jié)點的雛形。在投資允許時將管理和呼叫節(jié)點剝離，保證“管理＋呼叫”節(jié)點完成IP化改造，提升呼叫節(jié)點的安全性。

[1] 中國移動通信企業(yè)標(biāo)準(zhǔn)． 中國移動多媒體彩鈴業(yè)務(wù)平臺設(shè)備規(guī)范 QB-D-020-2011[S]．

[2] 中國移動通信企業(yè)標(biāo)準(zhǔn)． 彩鈴業(yè)務(wù)規(guī)范 QB-D-027-2011[S]．

[3] 張瑜瑾． 淺析OracleDataGuard災(zāi)備技術(shù)[J]． 通信管理與技術(shù)，2010(5)．

[4] 陳鵬． 容災(zāi)備份系統(tǒng)技術(shù)淺析[J]． 湖北電力， 2009(5)．

Risks analysis of color ring back tone service and promotion research of security

WEN Xiao-jie, GENG Hui, LIU Jin, LU Nan
(China Mobile Group Design Institute Co., Ltd. Shanxi Branch, Xi’an 710077, China)

In this paper, we take the color ring back tone service system of certain province mobile as an example to analyze the risks that exist in color ring back tone service system according to device layer, network layer, business layer of color ring back tone service platform. We also classify the risks by the importance of the carried services on the color ring back tone service platform and put forward the safety promotion principle and detailed scheme.

color ring back tone service; single node risk; security

TN929.5

A

1008-5599（2013）03-0043-05

2012-04-27