构建安全无忧的云化核心网,夯实数字化社会基石

发布时间:2023-09-25 作者:中兴通讯CCN产品总经理 陈新宇

        随着信息技术的高速发展,数字化生活已成为人类社会发展的共识和必然选择,数字化浪潮正在深刻地改变人类生产和生活方式。移动通信是数字化社会建设的信息底座,新的移动通信技术的涌现更成为数字社会发展的牵引力和推动力。4G改变生活,5G改变社会,印证了通信技术对人们日常生活和社会发展的重要影响。

        安全稳定的云化核心网是移动通信网络的基石。中兴通讯严格遵循安全第一原则,从高可靠、可信赖、可管控三个方面建设、维护、运营稳健、安全的核心网。

 

高可靠网络保障安全

 

        高可靠架构和产品是网络安全运行的基石。中兴通讯云化核心网从网元内、网元间、网络三个层面构建局部到整体的高可靠安全网络。    

 

网元内可靠性

        中兴通讯云化核心网设备基于业务和数据分离的无状态架构设计,实现业务无损的资源弹性,弹性过程中确保用户状态数据不丢失,从而保证业务连续性。业务组件支持N+M全负荷分担,如果一个组件出现故障,其他组件可实时接管,保证业务无感。网元内同类型虚机或容器互斥部署,分布在不同的物理主机或裸机上,当主机运行故障时,虚机或容器可以进行本地自愈或异地重生,完成故障自恢复。

 

网元间可靠性

        云化核心网支持网元间负荷分担、1+1互备、1+1主备等不同备份方式,根据网元类型确定合适的备份容灾方式。当发生单网元故障时,系统充分利用网元的容灾机制实现网元间容灾,确保业务快速恢复。当某类容灾网元都发生故障时,邻接网元接口Bypass功能将被激活,通过及时旁路故障网元,可以在损失少量业务能力的情况下,最大限度地保障用户业务可持续。譬如AMF和SMF支持UDM Bypass功能,各NF支持NRF Bypass功能。

 

网络级可靠性

        为保障云化核心网的整体可靠性,在网络规划建设时须满足八级容灾要求,资源池须按照异地双DC方案建设。一旦发生资源池和机房级故障,能够将业务快速容灾到异地机房,实现业务快速接管。随着AMF/MME、SMF/GW-C、UPF/GW-U等网元热备功能在网络中的部署,云化核心网的接管效能得到了进一步提升,可以实现终端无重连的平滑接管。

        网络正常运行中发生的故障有时会触发信令风暴,如何有效预防化解信令风暴?核心思想是采取源头控制的端到端流控方式,系统依据源端动态感知的端到端能力,适量放通用户,确保后端网元在能力范围内接纳用户,避免过载。因此以数据域AMF/MME以及语音域PSBC作为入口网元,基于后端UDM/HSS网元能力联合部署端到端流控,建立防御信令风暴的坚实屏障。

 

可信技术保障产品安全

 

        尽管云化核心网处于Trust可信域,但仍面临信息安全威胁。为了确保云化核心网产品的可信安全,中兴通讯采用了行业一流的可信安全技术标准,并将可信安全融入产品血脉。

 

数据合规

        中兴通讯高度注重核心网产品的安全,将数据安全作为产品的一项基本属性融入到产品开发生命周期中,向客户提供安全的产品和解决方案。中兴通讯严格遵守各国法律法规以及行业规范,2020年100%通过权威GSMA NESAS审计;聚焦BSIMM模型,严格落地100+项安全活动,2021年5GC通过新思BSIMM 11安全评估,并完成BSI(英国标准组织)27701隐私保护认证。

 

内生安全

        云化核心网产品强化内生安全,主动治理网络安全,以网络中基础设施层、虚拟层、业务层、应用层、管理层安全能力为基础,实现网络安全自治、网络策略自动化智能分析、灵活编排等功能,形成智能化、自防御、自适应的动态一体化安全防护体系。

 

快速响应机制

        中兴通讯建立健全基于业务、产品、内控审计三道防线的组织架构来推进产品安全治理工作,从多角度、多层次保障产品的安全性。PSIRT(产品安全事故响应小组)可有效响应安全事件,确保产品与服务的安全透明与可信。

 

网络维护可管控,确保网络可靠运行

 

        云化核心网的复杂度决定了网络维护难度高,因此产品可测可维和配套的产品类工具至关重要。中兴通讯提供高效的维护工具降低对人的依赖,通过规范流程和工具管控方案质量和网络变更,让网络维护变得更加透明可控。产品、工具、方案三位一体协同高质量守护,确保网络安全、稳定运行。

 

运维可透视

        云化核心网通过CNIA(核心网智能分析系统)健康评估和指标看板对告警、性能、日志、巡检、拨测等数据进行分析,注入AI能力,生成设备健康度报表,透视网络运行动态,提前发现隐患,提高维护效率。通过虚拟化核心网IP网络故障端到端定界定位解决方案NetScope和虚层网络运维工具NetInsight的灵活部署,展示垂直承载网络完整拓扑,用于跨层监控和故障诊断。通过数据业务分析工具EMS+和语音业务分析工具MagicEye共同实现水平业务域定界定位联动,打通语音和数据隔阂,快速处置语音问题。

 

方案高质量

        首先,中兴通讯以集成验证的方式从源头保障云化核心网综合方案的整体质量。方案由专业的产品服务准备团队、集成团队、研发团队共同编写,并通过真实环境验证以确保方案的高质量输出。同时,集成团队参与方案的执行落地,为网络生命周期的稳定性保驾护航,保证网络综合方案可用可靠。

        其次,中兴通讯网研院专家团队对方案的首次操作进行全流程管控,包括编写、测试、评审、操作支持等,确保可安全实施,不会对现网产生负面影响。并通过工具对复杂方案进行自动化操作,避免人为操作失误。对于风险方案,则由方案测试团队再次测试验证,为操作方案加上双保险。

 

操作自动化

        中兴通讯设立专职的网络变更方案自动化团队,通过CNIA自动化操作工具封装更多操作场景,利用机器替代人工操作,降低人工操作的不可控因素对网络可能造成的风险,实现以自动化手段保障网络操作安全。

 

        中兴通讯始终践行安全第一准则,做到水平到边、垂直到底,形成端到端协同工作流程,为用户和企业打造安全无忧的云化核心网。未来,中兴通讯将继续全面推进云化核心网向着高可靠、可信赖、可管控的方向迈进,以随时随地随心的极致通信服务,助力数字化社会建设。