人民銀行業(yè)務(wù)網(wǎng)5G無線網(wǎng)絡(luò)方案設(shè)計(jì)與災(zāi)備思考

史曉宇

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、國(guó)密SM算法等技術(shù)日臻完善，以5G移動(dòng)網(wǎng)絡(luò)為基礎(chǔ)平臺(tái)的各類業(yè)務(wù)應(yīng)用得以蓬勃發(fā)展。政府部門的移動(dòng)執(zhí)法終端、政務(wù)云平臺(tái)、移動(dòng)辦公等，有效推動(dòng)了政務(wù)公開、便民服務(wù)。商業(yè)銀行的離行式ATM、PAD金融終端、手機(jī)銀行、微信銀行等產(chǎn)品，豐富了金融服務(wù)內(nèi)容，有效提升了普惠金融的覆蓋率、有效性和滿意度。

目前，人民銀行業(yè)務(wù)網(wǎng)通信網(wǎng)絡(luò)是租用通信運(yùn)營(yíng)商地面專線，作為唯一數(shù)據(jù)傳輸渠道，有礙于無線業(yè)務(wù)的發(fā)展。為進(jìn)一步滿足人民銀行移動(dòng)辦公、政務(wù)公開、現(xiàn)場(chǎng)執(zhí)法檢查、無線備份網(wǎng)絡(luò)的業(yè)務(wù)發(fā)展需要，助推人民銀行業(yè)務(wù)轉(zhuǎn)型升級(jí)，結(jié)合政府及商業(yè)銀行成熟的5G無線網(wǎng)絡(luò)部署模式，研究部署人民銀行省級(jí)5G無線網(wǎng)絡(luò)平臺(tái)。具體可行性方案研究如下：

一、必要性

（一）移動(dòng)辦公和執(zhí)法檢查的必要性

當(dāng)前，人民銀行沒有建設(shè)無線網(wǎng)絡(luò)，綜合辦公、賬戶、征信、外匯等系統(tǒng)只能依托有線網(wǎng)絡(luò)開展工作，導(dǎo)致領(lǐng)導(dǎo)在非辦公區(qū)內(nèi)不能處理緊急公務(wù)，也不能及時(shí)掌握決策輔助信息;執(zhí)法人員在現(xiàn)場(chǎng)執(zhí)法過程中不能實(shí)時(shí)查閱數(shù)據(jù)、錄入證據(jù)、當(dāng)場(chǎng)簽寫法律文書等。由此看來，無無線網(wǎng)絡(luò)阻礙了人民銀行業(yè)務(wù)的架構(gòu)轉(zhuǎn)型升級(jí)。

構(gòu)建一套基于5G無線通訊平臺(tái)，實(shí)現(xiàn)人民銀行業(yè)務(wù)向移動(dòng)終端延伸和拓展，可以為決策者隨時(shí)隨地提供提供準(zhǔn)確、可靠和快捷的移動(dòng)信息服務(wù)和技術(shù)支撐;也可以為現(xiàn)場(chǎng)執(zhí)法人員提供信息上傳、信息檢索、監(jiān)督現(xiàn)場(chǎng)執(zhí)法、監(jiān)督檢查文書出具與接收等。

（二）備份網(wǎng)絡(luò)的必要性

據(jù)悉，城市地下管道、強(qiáng)電、弱電有統(tǒng)一的規(guī)范，由此決定了不同運(yùn)營(yíng)商的通信線路均鋪設(shè)在道路的同側(cè)，且水平距離較近，一般情況下不超過2米，一旦城市開展地下軌道、管道改造建設(shè)，就會(huì)存在2條線路同時(shí)被挖斷的情況，屆時(shí)將嚴(yán)重影響業(yè)務(wù)系統(tǒng)的連續(xù)性，因此有必要建設(shè)部署無線網(wǎng)絡(luò)備份，保障業(yè)務(wù)系統(tǒng)的連續(xù)性。

在發(fā)生區(qū)域重大自然災(zāi)害后，移動(dòng)運(yùn)營(yíng)商會(huì)基于5G無線網(wǎng)絡(luò)的簡(jiǎn)便、快捷、高適應(yīng)性等優(yōu)勢(shì)，迅速架設(shè)5G網(wǎng)絡(luò)，保障電話暢通和數(shù)據(jù)傳輸，人民銀行可利用此時(shí)的無線網(wǎng)絡(luò)，建立應(yīng)急保障網(wǎng)絡(luò)通道，及時(shí)有效辦理資金往來業(yè)務(wù)，進(jìn)而保障災(zāi)后恢復(fù)工作。

二、5G網(wǎng)絡(luò)優(yōu)勢(shì)研究

隨著5G 移動(dòng)網(wǎng)絡(luò)的迅速普及，各大移動(dòng)運(yùn)營(yíng)商在提供更多基于5G 多媒體業(yè)務(wù)的同時(shí)，也給個(gè)人用戶及企業(yè)客戶帶來更好的無線接入體驗(yàn)，5G 作為靈活、快速、安全、高效的廣域網(wǎng)接入方式，已逐步成為用戶廣域網(wǎng)接入的新興主流選擇。其無線網(wǎng)絡(luò)具有不可比擬的三大優(yōu)勢(shì)：

（一）能夠滿足多類業(yè)務(wù)應(yīng)用

5G無線網(wǎng)絡(luò)是集5G與WLAN于一體，并能夠快速傳輸數(shù)據(jù)、高質(zhì)量音頻、視頻和圖像等。

（二）運(yùn)營(yíng)成本低廉

無線網(wǎng)絡(luò)鑒于無需鋪設(shè)線路，通過無線傳輸，因此可較快、低成本建設(shè)5G通信網(wǎng)絡(luò)。

（三）具備快速恢復(fù)能力

在發(fā)生區(qū)域性地震、火災(zāi)等自然災(zāi)害后，移動(dòng)運(yùn)營(yíng)商原則上優(yōu)先恢復(fù)無線網(wǎng)絡(luò)，其次再逐步恢復(fù)地面有線網(wǎng)絡(luò)。

三、5G網(wǎng)絡(luò)的風(fēng)險(xiǎn)及解決方案分析

（一）安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn) 應(yīng)對(duì)方案

1、如何避免非法燒制5G卡？ 雙向鑒權(quán)，A-KEY不可讀。

2、如何防范5G環(huán)境下的數(shù)據(jù)竊聽？ 運(yùn)營(yíng)商密鑰、算法不公開，用戶兩端基于IPSEC對(duì)數(shù)據(jù)加密，密鑰是用戶頒發(fā)。

3、如何避免其它5G用戶非法接入到自己的專網(wǎng)？ IMSI+域名綁定

4、如何隔離5G與internet？ 關(guān)閉internet。

5、如何防范內(nèi)部用戶盜用帳號(hào)？ IMSI+用戶名+密碼綁定

6、如何防范數(shù)據(jù)篡改風(fēng)險(xiǎn)？ 高強(qiáng)度國(guó)密算法+IPSEC+CA

7、如何防范終端隨意接入？ IP+MAC綁定、基于時(shí)間ACL

（二）可靠性風(fēng)險(xiǎn)

可靠性風(fēng)險(xiǎn) 應(yīng)對(duì)方案

1、如何應(yīng)對(duì)運(yùn)營(yíng)商信5G信號(hào)覆蓋不穩(wěn)定的現(xiàn)象？ 雙制式5G卡，輕松切換

2、如何應(yīng)對(duì)5G鏈路中斷？ 斷線自動(dòng)重連

3、5G信號(hào)消失，業(yè)務(wù)無法辦理？ 切換到4G，嘗試應(yīng)急連接

4、機(jī)房、機(jī)柜屏蔽信號(hào)？ 延長(zhǎng)全向天線

5、單LNS，可靠性低？ 雙peer、雙5G卡實(shí)現(xiàn)

四、人民銀行省級(jí)5G網(wǎng)絡(luò)建設(shè)方案研究

以移動(dòng)運(yùn)營(yíng)商已建成的5G無線網(wǎng)絡(luò)為基礎(chǔ)，結(jié)合當(dāng)前較成熟的安全保障措施和SSL、IPSEC和SM國(guó)密算法等技術(shù)，在省級(jí)部署一套VPDN 撥號(hào)網(wǎng)絡(luò)和IPSEC技術(shù)的虛擬無線專網(wǎng)，滿足移動(dòng)辦公、現(xiàn)場(chǎng)執(zhí)法、無線備份網(wǎng)絡(luò)等需要。

（一）組網(wǎng)概述

在省級(jí)二級(jí)節(jié)點(diǎn)部署1臺(tái)SSL VPN路由器，能夠滿足全省的移動(dòng)終端和5G無線路由器的接入;部署1套用戶認(rèn)證服務(wù)器和證書服務(wù)器，用于身份鑒別和認(rèn)證，對(duì)用戶帳號(hào)進(jìn)行整體的安全控制。

移動(dòng)終端的IP地址由運(yùn)營(yíng)商的LAC設(shè)備統(tǒng)一進(jìn)行分配，但I(xiàn)P地址由省級(jí)二級(jí)節(jié)點(diǎn)統(tǒng)一規(guī)劃，使用私有專用的IP地址段。

5G 路由器與LNS（L2TP Network Server）之間建立采用SM1 算法加密的IPSecVPN，實(shí)現(xiàn)安全接入人民銀行省級(jí)網(wǎng)絡(luò)。

LNS 側(cè)安全路由器：L2TP Network Server，接受5G 終端的拔號(hào)連接，并與遠(yuǎn)端建立IPSecVPN，實(shí)現(xiàn)遠(yuǎn)端的安全接入。

（二）安全策略設(shè)計(jì)

1.無線信號(hào)加密。SIM卡有運(yùn)算功能，運(yùn)營(yíng)商算法保密，會(huì)以加密的形式內(nèi)置一個(gè)密鑰，用戶與基站雙向鑒權(quán)，防止數(shù)據(jù)被非法竊聽、篡改。

2.屏蔽非法用戶。IMSI號(hào)是每張SIM卡的唯一標(biāo)識(shí)，IMSI號(hào)+域名綁定，實(shí)現(xiàn)非授權(quán)卡無法撥入專網(wǎng)。

3.關(guān)閉internet服務(wù)。限制授權(quán)5G卡的訪問，關(guān)閉Internet服務(wù)，做到“?？▽Ｓ谩保c互聯(lián)網(wǎng)邏輯隔離。

4.防止內(nèi)部用戶盜用。在AAA服務(wù)器上設(shè)置，通過IMSI和用戶的IP、用戶名綁定，有效防止內(nèi)部盜用，進(jìn)一步做到“?？?、專人、專用”，便于控制安全風(fēng)險(xiǎn)，加強(qiáng)安全管理。

5.端到端數(shù)據(jù)加密。為保護(hù)業(yè)務(wù)數(shù)據(jù)流，采用L2TP+IPSEC+SM1對(duì)數(shù)據(jù)流進(jìn)行端到端加密，進(jìn)而防止數(shù)據(jù)被竊聽、盜取、篡改，保證數(shù)據(jù)的一致性、可用性。

6.嚴(yán)格訪問控制。在防火墻中配置嚴(yán)格的訪問控制，包括限定訪問時(shí)間、IP地址、服務(wù)端口等，以確保合法終端合規(guī)使用各業(yè)務(wù)系統(tǒng)。

五、后續(xù)工作展望

鑒于現(xiàn)有辦公、業(yè)務(wù)系統(tǒng)均不兼容Android、蘋果IOS等移動(dòng)終端操作系統(tǒng)，先期可通過部署移動(dòng)“云”終端，將現(xiàn)有的辦公類系統(tǒng)快速部署并延伸到移動(dòng)PAD、智能手機(jī)等移動(dòng)終端，開展移動(dòng)辦公業(yè)務(wù)，然后再統(tǒng)籌規(guī)劃，分步實(shí)施對(duì)各類系統(tǒng)進(jìn)行升級(jí)、改造，逐步將更多的應(yīng)用系統(tǒng)兼容移動(dòng)終端操作系統(tǒng)，為人民銀行更廣泛地推進(jìn)移動(dòng)辦公業(yè)務(wù)夯實(shí)基礎(chǔ)。

作者單位：中國(guó)人民銀行銀川中心支行網(wǎng)絡(luò)科