中国吉安电信信令网网络安全评估报告

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 中国电信 江西 省 信令 网 安全风险评估报告 中国电信 江西吉安分 公司 二零零 九 年 七 月 评估对象 ： 江西省吉安市本地信令网 评估 单位： 江西省吉安市电信分公司 评 估 日期： 2009 年 7 月 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘 密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01开始） -时间（ 200904） 企业秘密 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 概述 3 1.1 目的 . 3 1.2 内容及范围 . 3 1.3 风险评估方法 . 5 1.4 评估依据 . 5 2 资产分析 5 3 威胁分析 5 4 脆弱性分析 7 5 已 有安全措施 7 6 安全风险分析 10 7 风险处置计划及整改情况 12 8 总结 13 9 附件 13 II 内部资料，注意保密，未经同意，请勿翻印 文 档信息 文档名称 文件编号 编制人 习清华 保密级别 企业秘密 修改过程 版本号 日期 负责人 概述 评审过程 版本号 日期 评审者 概述 分发范围知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1 概 述 1.1 目的 为提高网络安全性，进一步查找我 市 网络安全运 营的薄弱环节、落实防护措施、消除安全隐患，提高通信网络整体安全防护水平，全市组织开展全专业网络评估专项活动，全面清查各专业网络在系统设备、维护管理等方面存在的安全隐患和薄弱环节，主动解决风险高、对业务影响面大以及涉及重要客户、大客户服务保障的重大网络安全问题，解决基础维护管理工作中的突出问题，并提出网络优化建议及下一步工作措施，从而指导后期的网规网优工作 。 1.2 内容及范围 吉安 LSTP 为华为 CC08 设备， 2 个 LSTP 平面分别放置在 大楼和河东局，于 2000年投入使用。 2 个 LSTP 的链路开放情况完全一致，每个局向 到 LSTP 能做到分担和保 护 。 其 中 LSTP 设 备 的 版 本 为 V701R200B01D003,DXC 设 备 的 版 本 为V200R007B01D008. 每个 LSTP 到纯汇、网关、 TS 都开有 2 个 2M/8 条 LINK，至其他端局都开有一个 2M/2 条 LINK（除个别话务量较小的端局外），双平面配置可以保证链路的安全性。 从日常的话务高峰 LSTP 负荷情况分析， LSTP 至 HSTP 平面话务较高，春节忙时每条 LINK 负荷平均高达 0.4ERL 以上，大于 LSTP 的理论最大负荷值 0.2ERL，对设备安全造成一定隐患，建议每个 LSTP 至每个 HSTP 再分别增开 2 条 LINK， 以 保证信令网的安全运行。 LSTP 的容量及使用情况如下表： 局向 链路容量 已使用链路数 2M 容量 已使用 2M 数 LSTP1 142 128 73 62 LSTP2 142 128 73 62 具体组网结构见图 1： 4 图 1：信令网的网络结构图 吉 安 市 七 号 信 令 网 络 图 大 楼 L S T P 永丰 S1240 永丰 CC08 峡江水 边CC08 峡江巴邱CC08 新干 S1240 新干 CC08 泰和 S1240 泰和 河西CC08 泰和沙村CC08 安福 S1240 安福 CC08 永新 S1240 吉水 S1240 万安 S1240 永新 CC08 吉水城南CC08 吉水枫江CC08 201智能平台 吉福路DMS100 大楼 163接入 大楼接入网 大楼 DMS 万安 CC08 吉安 TS 河东 08 网关 CC08 遂川 S1240 吉安县开发区 08 河东 163接入 河东接入网 IGW/HLR 吉安县CC08 宁冈 S1240 井冈山S1240 遂川水南CC08 河 东 L S T P HSTPA HSTPB 大楼 168 井冈山新城 区S1240S1240S1240 井冈山 08 吉福路 08 吉安 TG 大楼纯汇局 河东纯汇局 大楼SHLR河东SHLR 5 以网络安全性为背景，现从 管理制度、防攻击防病毒 方面 对本定级对象 进行风险评估 1.3 风险评估方法 采取的风险评估方式 为 查阅文档、测试，评估步骤包括资产识别、脆弱性识别、威胁识别等，方法包括具体的资产、威胁和脆弱性 识别方法，风险分析方法、风险结果判断依据等。 1.4 评估依据 本次安全风险评估参考的标准为安全防护系列标准， 华为 设备日常维护要求等 2 资产 分析 吉安电信华为信令网设备为双平面配置， 主要提供 本地和长途局间呼叫信令转接 功能 ，因此具有非常高的重要性。 序号 资产名称 资产类型 重要性等级 1 吉安信令网设备 设备硬件 高 设备软件 高 重要数据 高 提供的服务 高 维护人员 中 网络拓扑 高 码号资源 低 文档 低 其它 低 3 威胁 分析 1）、环境威胁： 自然界不可 抗的威胁：吉安所处地理位置发生地震、泥石流、洪涝等自然灾 6 害的可能性极小，设备分别放置在大楼局二楼和河东分局三楼室内机房，机房做好了防雷防震措施，因此遇雷击、遭洪涝的可能性极小，抗震能力也较强； 其他物理威胁：机房环境温湿度异常将对设备产生影响，机房已安装动环监控系统，值班人员可利用网管告警平台远程实时监控机房环境，发现异常，立即进行处理。 2）、人为威胁： 非恶意人为威胁：维护人员需经过专业的培训方能担当该设备的维护角色。维护人员的操作不当将影响到设备的正常运行。为了防止该现象发生，在设备升级、业务割接前应 准备好详细的升级和割接测试方案，一旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制度： 1 人操作， 1 人检查，防止误操作。严格控制操作人员权限，不具备操作技能的人员不给予权限。 恶意人为威胁：人为的恶意攻击将导致设备瘫痪。为了防止此类现象发生，已在设备上设置登陆帐号密码，采用 分类权限（监控及维护）设置 原则，同时 启用访问控制策略，只允许特定维护 IP 地址访问该定级对象。 3）、其他威胁： 设备硬件和软件问题将造成设备性能下降，影响网络运行。为防止此类现象发生，已采用网管平台对设备和网络运行情 况进行实时监控，同时要求设备厂家维护人员定期对设备进行巡检。此外，局方在运行中发现不可预见性的软、硬件问题和隐患应及时告知厂家，并责其尽快采取有效措施予以规避和解决。 序号 资产名称 面临的威胁类型 威胁可能性等级 1 吉安信令网 设备 自然界不可抗的威胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 中 非恶意人为威胁 中 其它威胁 低 7 4 脆弱性 分析 信令网 设备 脆弱性包括技术脆弱性和管理脆弱性两个方面 ， 1）、技术脆弱性： 信令网 设备是国内大型设 备提供商华为公司生产，设备质量、售后服务及该产品的业务应用方面可得到较强的保障， 信令网 设备后台服务器为 联想 服务器，操作系统为 WINDOWS 95。机房物理环境符合 信令网 设备的环境要求。 2）、管理脆弱性： 信令网 设备采用包机到人的维护模式，设置了维护 A、 B 角，人为导致的设备故障或设备瘫痪将追究相关责任人责任。设备重大操作要求通过电子运维或公文形式上报，待相关领导审批同意后方可执行。重大操作要有详细的操作方案及回退方案，操作时务必要求局方人员在场，厂家操作也需遵循 1 人操作 1 人检查要求。维护人员需按维 护规程要求对设备进行维护，并制作填写维护作业计划。对于可预见性的影响设备运行能力或服务的问题，应尽早提出解决方案。 表 7 脆弱性严重程度列表 序号 资产名称 脆弱性类型 脆弱性严重程度等级 1 吉安信令网 设备 业务 /应用（技术脆弱性） 中 网络（技术脆弱性） 中 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 中 物理环境（技术脆弱性） 低 管理脆弱性 中 5 已有安全措施 根据现网该设备的维护现状，从网络维护的“七大方面”进行描述： 1通信网络安全管 理制度： 机房出入管理制度：本设备置于 大楼二楼 及河东三楼 综合机房，该机房钥匙由网监机房总体管控，非机房维护人员借用该机房钥匙需有相关借用归还登记手续， 8 出入机房需进行相关入室登记。 机房巡视检查；该机房为无人值守机房，每周巡视一到两次，并有相关巡视记录。 环境监控手段；通过 以太网 及 2M 方式在网监中心对该机房的环境温湿度，烟感，水浸 ，门禁 等进行远程监控。 密码管理策略；该设备的网管维护账号密码每季度更新一次，遇有维护人员流动时，及时增删 相关 帐号。 维护管理制度（值守、值班、维护作业计划等）；该设备制定有年度及月 度作业计划并按期执行。 分权分域管理：相关设备维护人员帐号权限高于监控人员帐号权限。 2灾难备份措施： 现网该设备 为双平面设置，平时负荷分担，应急时互为 容灾备份节点。 3防攻击、防病毒、防入侵措施： 本定级对象 因设备所配置的主机硬件条件限制， 相关移动存储介质 采用 专用 软盘 ，相关信息分别存储在 相关软盘或 主机 的 硬盘上。 因本设备所配置的相关服务器及主机硬件条件限制 （内存只有 16M） ，无法 运行 相关 防病毒软件，现网 LSTP 网管终端为独立网段： 134.240.3.X,启用访问控制策略，只允许特定维护 IP 地址访问该定 级对象 BAM 及 IOC。 通过访问控制策略， 现网 该设备相关服务器及主机 未感染过病毒。 4远程维护管控措施 ： 本设备开放省网管 相关远程操作 帐号及权限，供省网管 远程维护 及厂家远程巡检用 。 但远程维护使用时，都由省网管统一安排，本地一般都不知情，无法实时管控。 5、涉及国庆重大活动网络单元的安全防护情况 ： 重大节假日保障的应急预案见附件 1； 模拟演练情况：暂未组织相关模拟演练 维护人员的现场值班情况：节假日除监控人员外，配有现场值班及远程支撑维护人员各一人。 话务分流措施： 该设备至所有局向信令路由都设置了至另一平面 的迂回路由。 厂家支撑情况等风险防范工作：截止目前，厂家每次支撑都为现场支撑，未在 9 远程支撑过。且每次都有维护人员陪同全过程，厂家每次登陆的帐号其维护后都会更改密码。 附件 1： 6、网络组网、设备能力、环境等工作（已固定通信网为例） 组网情况： 1、 本设备 到同一邻接局向电路都 是双平面配置， 具备第 2 路由； 2、到同一局向的本端物理端口都按规范合理配置（不同模块，不同机框或不同单板） 所承载业务保障： 1、 本设备 到同一邻接局向电路都 是双平面配置， 具备 第 2 路由； 2、到同一局向的本端物理端口都按规范合理配置（不同模块，不同机框或不同单板） 物理环境保障： 1、该 设备 机房整治情况已符合规范。 因 河东信令网 设备所在机房为综合机房，非机房出入人员及各类施工无法统一管控，因施工导致机房环境卫生问题无法实时解决。 2、通过 2M 或以太网 方式对该机房的温湿度、烟雾等环境进行监控； 3、网络维护中心检查室每月不定期对机房相关日常维护及机房现场进行抽查一到两次。 设备硬件： 1、重要板卡主备情况：本设备相关重要板件都有备件，具体见附件 2。 2、每年针对备卡进行一到 2 次（主要安排在设备扩容或升版期间）倒换测试： 3、重要板卡备件库的储备情况：见附件 2。 4、本设备已在网运行 10 年，尚未逾龄，但也面临设备老化问题； 10 5、后台服务器 及相关主机 运行较稳定，故障率较小， 因本设备所配置的相关服务器及主机硬件条件限制（内存只有 16M），无法运行相关 防病毒软件 ；配置很低 ， 不支持 USB 接口，且只支持 WIN9X 操作系统， 使 异地存储及相关负荷统计非常不便 。 重要数据保护： 1、 本设备无话单，相关数据每 个月异地备份至网管 软交换终端（保存 3-6 个月）； 2、新数据制作执行一人制作，测试，另一人核查机制。 七维护人员情况： 信令网 设备现主要维护人员 2 人，实行 A， B 角配置， 相关维护人员只 进行过省公司组织的一周培训。 6 安全风险分析 结合 信令网设备 包含的资产、自身存在的脆弱性、面临的安全威胁、已采取的安全措施等因素，分析 如下： 1通信网络安全管理制度： 河东信令网 设备因处于综合机房，同机房还有数据， 网关 ， C 网，网优中心 ETS、小灵通等设备，机房钥匙在本中心及无线网优中心都有。因近期各类网络优化，升级，割接不断，不同设备厂家人员 及其他非机房维护人员出入频繁，相关出入管理登记及钥匙外借手续无法统一管控，急需完善相关管理制度。 鉴于以上原因，从网络安全考虑， 建议 对该机房两个门口安装相关设备进行视频监控。 大楼二楼信令网设备只有本中心设备，机房出入及钥匙外借统一管控。 2灾难备份措施： 现网该设备 双平面配置，业务负荷分担且 互为容灾备份节点。 3防攻击、防病毒、防入侵措施： 从上述已有安全措施分析， 因硬件条件限制，只通过访问控制策略， 该方面 存在 较低 的 安全风险。 4远程维护管控措施 ： 11 截止目前， 除本地网相关维护人员及厂家支撑人员的相关 远程操作 ，本地一般都不知情 。 无法实时管控。 5、涉及国庆重大活动网络单元的安全防护情况 ： 因该设备所带业务为 本地网所有信令 ，暂未组织相关模拟演练。 需 在省公司 统一安排 组织下进行 相关 演练。 6、网络组网、设备能力、环境等工作 物理环境保障：因本设备所在机房为综合机房，非机房出入人员及各类施工无法统一管控，因施工导致机房环境卫生问题无法实时解决。 设备硬件： 本设备已在网运行 10 年，面临设备老化问题； 因本设备所配置的相关服务器及主机硬件条件限制（内存只有 16M），无法运行相关 防病毒软件 。 七维护人员情况： 信令网 设备现主要维护人员 2 人，实行 A， B 角配置， 相关维护人员只 进行过省公司组织的一周培训。 知识水坝（豆丁网 pologoogle）为您倾心整理（