甘肃联通移动办公系统实施方案.doc

甘肃联通移动办公系统实施方案 第3章甘肃联通信息系统现状分析 3.1甘肃联通信息系统概况 3.1.1甘肃联通信息系统简介 甘肃联通属于电信运营商企业，公司的日常经营管理工作均通过各信息来实 施，按照各业务系统的服务类别和功能，通常将其分为三类：MSS (Management support System管理支撑系统）、BSS (Business support system业务支撑系 统）以及OSS (Operation support system运营支撑系统）。具体内容见图3。 是一个综合的业务运营和管理平台，同时也是真正融合了传统IP数据业务与移 动增值业务的综合管理平台。BSS是面向运营商业务和服务的，而OSS是对BSS 提供技术（特别是计算机技术）支撑和管理的。有了 BSS才会有OSS。从辩证法 角度看，BSS决定OSS，但OSS对BSS起反作用，二者缺一不可。 OSS/BSS是电信运营商的一体化、信息资源共享的支持系统，它主要由网络 管理、系统管理、计费、营业、账务和客户服务等部分组成，系统间通过统一的 信息总线有机整合在一起。 3.1.2甘肃联通DCN网络结构 甘肃联通于2009年启动建设DCN (Data Commucation Network )，首期建成 了省公司双核心和地市单核心结构，经过2010年扩容，完全实现了地市到省完 全双设备双链路冗余。图4为目前甘肃联通的DCN网络拓扑图。 从图4来看，目前的DCN网络使用双链路结构，以策略控制MSS、 BSS以及 OSS的应用访问隔离，具有上联联通总部的出口。所有互联网的访问统一经由具 有防火墙控制的出口进行。该网络具有如下特点- 1) 双设备双链路的口字型冗余结构 2) 地市PE-省分P设备1000M带宽 3) MPLS/VPN实现不同系统数据隔离 4) 地市PEcisco7200/7600搭配、省分核心GSR12416，提供了高性能。 3.1.3甘肃联通VPN网关介绍 为了解决员工外出无法正常办公的问题，曾经由信息化部、产品创新部，网 络建设部、集团客户部等部门分别建立了自己的各类移动办公系统，其中有 VPN接入的，有使用JAVA手机开发的等等。2008年，随着电信行业重组，集团 公司要求公司内部办公网统一出口，将除信息化部的其他网出口统一关停，可以 通过公网访问公司办公内网的途径只剩下了一条：通过信息化部的VPN系统认证 后接入公司内网进行各业务系统的访问。 由于原VPN系统使用的是一套CISCO设备，用户使用动态令牌的方式进行认 证，每个密钥的成本较高不方便携带且具有使用时间的限制的缺点。2010年， 信息化部重新建设了使用SSL VPN技术的新VPN终端，使用用户名密码加上手机 短信认证的方式进行认证。用户通过在PC终端连接程序上输入用户名密码获取 短信认证码，然后通过验证码验证后VPN登入公司内容，处理相关业务。图5为 目前甘肃联通VPN网关连接的拓扑图。 虽然已经具备VPN条件，可以让用户在外出时通过VPN系统接入公司办公网 进行应急的操作，但是在实际使用过程中发现这种方式存在如下问题： 3.2.1前期准备工作复杂 首先，使用这种IPSec VPN的连接方式有两个前提条件- 1) 必须在PC终端上安装相应的客户端程序，并经行相应的配置；这个工作 事先需要专门的技术人员进行安装并进行相应的配置。 2) 用户所访问的系统如需要客户端或者进行浏览器插件的安装、配置，需 要在用户的PC上事先做好，否则即使网络连入公司办公网，也无法进行正常的 业务操作。 以上两个条件缺一不可，而其中的任何一种情况在技术人员不在现场的情况 下，很难通过操作手册或电话指导等形式进行远程的指导支撑，用户只能在外出 前在自己的笔记本电脑上进行完相应的配置后才能正常使用，而遇到紧急的外出 情况时，基本上就抓瞎了。 3.2.2办公场所限制 目前的VPN连接方式只能在较为稳定的网络条件以及办公场所中才能顺利 的支撑访问，如果条件不具备，如在交通工具移动的过程中，或者没有携带笔记 本电脑而旅馆没有提供上网的终端条件，这样就无法使用VPN连接进入系统进行 办公，无法实现真正意义的移动办公。 3.2.3安全隐患 PC终端通过IP方式接入公司办公内网，实际上打通了 PC与内部网之间的 通道，如果PC上有病毒或者木马程序，也能够通过这个通道对于公司内部的其 他设备进行传播，同时也存在较大的资料泄露的风险。 由于外出员工对于系统访问的需求不同，VPN系统需要打通与各个系统之间 的通道，如MSS、 BSS、 ESS、 OSS等，但是目前的VPN平台并不具备对于用户的 分级分权的鉴权机制，所有用户访问权限一致，无法从系统层面进行区分，这样 造成了管理的混乱，企业核心系统暴露于过多的未授权用户之前，存在