中国电信吉安市分公司重要客户网络安全风险评估

知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 国电信 吉安市重要客户网络 安全风险评估报告 中国电信 吉安分 公司 二零零 九 年 四 月 评估对象 ： 重要客户 评估 单位： 吉安市电信分公司 评 估 日期： 2009 年 03 月 5 日至 2009 年 08 月 20 日 编号： 单位（中国电信为 湖北为 01开始） 200904） 企业秘密 编号： 单位（中国电信为 湖北为 01开 始） 200904） 企业秘密 编号： 单位（中国电信为 湖北为 01开始） 200904） 企业秘密 编号： 单位（中国电信为 湖北为 01开始） 200904） 企业秘密 编号： 单位（中国电信为 湖北为 01开始） 200904） 企业秘密 编号： 单位（中国电信为 湖北为 01开始） 200904） 企业 秘密 知识水坝（豆丁网 您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 概述 4 的 . 4 容及范围 . 4 险评估方法 . 4 估依据 . 4 2 资产分析 5 端 . 5 户端 . 7 3 威胁分析 7 端 . 7 户端 . 8 4 脆弱性分析 9 端 . 9 户端 . 11 5 已有安全措施 14 要网络安全管理制度 . 14 难备份措施 . 14 攻击、防病毒、防入侵措施 . 15 程维护管控措施 . 15 及国庆重大活动网络单元的安全防护情况 . 15 络组网、设备能力、环境等工作（安全风险分析在重点结合其阐述） . 15 护人员情况 . 15 6 安全风险分析 16 要客户安全风险分析等级 . 16 融客户 (采用 R 组网 ) . 17 字电路 . 20 1、 组网情况 20 2、已实施的网络优化改造 21 4、重要大客户核心节点网络安全等级评估 21 3 安市网吧客户网络优化 . 24 1、网络现状 24 2、优化方案 24 要客户宽带上网专线网络 . 25 2、政企客户宽带网络差异化改造 25 客户 . 26 3、安全等级： 26 7 风险处置计划及整改情况 26 级 32 家吉安落地重要客户网络风险排查和整改工作计划 . 26 级 118 家吉安落地重要客户网络风险排查和整改工作计划表 . 28 8 结速语 29 9附件 30 4 1 概 述 的 为了不断提高客户感知，提升电信品牌形象，保障重要大客户网络的稳定运行，建立一个安全高效、灵活快速地提供多种业务、可持续发展的大客户网络，围绕大客户网络优化的目标，客户网络支撑服务中心对省级 118 家重要大客户使用电信不同业务及承载业务的电信网络和设备的安全性进行了一次全面网络安全评估，分析 重要大客户网络中存在的安全隐患和薄弱 环节，协调相关单位对 重点大客户进行网络优化，实行主动维护服务，提高客户的满意度和感知度。 容及范围 重要客户 网络评估的内容 主要 包括：业务评估、网络保护评估、组网评估。此次传输网络评估的对象为吉安市电信宽带型大客户和其组网的网络设备， 包括专线电路大客户， 客户 ， 网吧客户 ，宽带专线上网客户等。 险评估方法 本次 评估采用评审法、漏洞分析法、层次分析法和 定性分析 相结合的方法，评估方式包括 调查查看客户机房现场设备和环境 、查阅文档、 业务 测试 、 小组讨论、调查问卷、检查列表、人员访谈 等，评估步骤 对资产识别、脆弱 性识别、威胁识别 等。 估依据 本次安全风险评估 严格按照 准， 评估依据 (参考文档 )有 ： 1)R 13335996 2)信息安全技术 信息安全风险评估规范（ 20984 3) 信息技术安全技术信息技术安全性评估准则（ 18336 4) 电子计算机场地通用规范（ 2887 5) 计算机 网络 场地安全要求（ 6) 信息技术 安全技术 信息技术安全性评估准则 （ 18336 5 7) 信息技术 信息技术安全管理指南 （ 8) 信息技术 信息安全管理实用规则（ 19716 9) 信息安全技术 操作系统安全评估准则（ 20008 10) 信息安全技术 路由器安全评估准则（ 20011 11) 信息安全技术 信息系统安全管理要求（ 20269 12) 信息安全技术 网络基础安全技术要求（ 20270 17) 信息安全技术 信息系统通用安全技 术要求（ 20271 18) 信息安全技术 网络和终端设备隔离部件测试评价方法（ 20277 19) 信息安全技术 网络和终端设备隔离部件安全技术要求（ 20279 20) 信息安全技术 信息系统安全工程管理要求（ 20282 21) 信息安全技术 信息系统安全审计产品技术要求和评价方法（ 20945 22) 信息技术 安全技术 信息安全事件管理指南（ 20985 23) 信息 安全技术 信息安全事件分类分级指南（ 20986 24) 信息安全技术 服务器安全技术要求（ 21028 25) 信息安全技术 网络交换机安全技术要求（ 21050 26) 信息技术 信息安全管理实施细则（ 7799:2000） 27) 信息技术 信息安全管理实施规范（ 7001:2005） 2 资产 分析 按照 大客户网络组网 的构成， 大客户网络资产主要包括局端资产、客户端资产等， 涉及的资产 重要性分析如下： 端 局端 资产 类型 大致包括 设备、数据、 网络 、环境、提供的服务、文档、人员 等 。 6 局端 资产 按照重要性，分为高、中、低三档， 列表如下： 序号 资产名称 资产类型 重要性等级 责任部门 1 局端核心层 设备 (硬软件 ) 高 网络安装维护中心 数据 (业务、管理数据 ) 高 网络安装维护中心 网络 高 网络安装维护中心 环境 中 网络安装维护中心 提供的服务 中 网络安装维护中心 维护人员 中 网络安装维护中心 文档 低 网络安装维护中心 其它 低 2 局端接入层 设备 (硬软件 ) 高 网络安装维护中心、客户网络支撑中心 数据 (业务、管理数据 ) 高 网络安装维护中心、 网络 高 网络安装维护中心、客户网络支撑中心、线路维护中心 环境 中 网络安装维护中心、客户网络支撑中心 提供的服务 中 网络安装维护中心、客户网络支撑中心、线路维护中心 维护人员 中 网络安装维护中心、客户网络支撑中心、线路维护中心 文档 低 网络安装维护中心、客户网络支撑中心、线路维护中心 其它 低 7 户端 客户端 资产 类型 大致包括 设备、数据、网络 、环境、提供的服务、文档、人员 等 。 客户端 资产 按照重要性，分为高、中、低三档，列表如下： 3 威胁 分析 重要客户评估小组 通过召 网络安装维护中心 、 工程建设 中心 、客户网络支撑中心等部门 相关技术人员召开会议，查阅 大客户 设备日志 、 以 往的安全事件记录和故障记录 ，分析 大客户网络 在环境、网络、人员、设备故障、 人为威胁 等方面可能出现的情况 ，经评估小组组长和成员确认形成了大客户网络局端和客户端的威胁识别表，大客户网络 的威胁 主要 来源 于网络 访问者、系统 因素 、 环境 、其他因素四种，网络访问者包括 授权人员 (非恶意 )、非授权人员 (恶意 )， 环境 威胁 包括自然界不可抗的 威胁 和其它物理 威胁 (管理威胁 )。 大客户网络 的威胁分析 如下： 端 大客户网络局端 面临的威胁按照可能性概率，分为高、中、低三档，列表如下： 序号 资产名称 面临的威胁类型 威胁可能性等级 序号 资产名称 资产类型 重要性等级 1 客户端 设备 (硬软件 ) 高 数据 (业务、管理数据 ) 高 网络 高 环境 低 提供的服务 中 维护人员 中 文档 低 其它 低 8 1 核心 层 软硬件故障威胁 高 自然界不可抗 (地震、洪灾、火灾等 )的威胁（环境威胁） 高 其它物理 (断电、潮湿、温度等 )威胁（环境威胁） 高 恶意内部人为威胁 高 非恶意内部人为威胁 (操作失误等 ) 中 第三方 (合作方或供应商 )人为威胁 中 外部人为威胁 (外部攻击、破坏等 ) 高 其它威胁 低 2 接入层 软硬件故障威胁 高 自然界不可抗 (地震、洪灾、火灾等 )的威胁（环境威胁） 高 其它物理 (断电、潮湿、温度等 )威胁（环境威胁） 高 恶意内部人为威胁 高 非恶意内部人为威胁 (操作失误等 ) 中 第三方 (合作方或供应商 )人为威胁 中 外部人为威胁 (外部攻击、破坏等 ) 高 其它威胁 低 户端 大客户网络客户端 面临的威胁按照可能性概率，分为高、中、低三档，列表如下： 序号 资产名称 面临的威胁类型 威胁可能性等级 1 客户端 软硬件故障威胁 高 自然界不可抗 (地震、洪灾、火灾等 ) 高 9 的威胁（环境威胁） 其它物理 (断电、潮湿、温度等 )威胁（环境威胁） 中 恶意内部人为威胁 中 非恶意内部人为威胁 (操作失误等 ) 中 外部人为威胁 (外部攻击、破坏等 ) 中 其它威胁 低 4 脆弱性 分析 评估 小组针对不同类型的重要资产分组进行脆弱性分析，对网络 、 设备、 环境 、 文档 、 人员和管理 进行了扫描，对网络 、 设备库进行了配置核查，对安全管理进行了现场走访， 评估 小组最后进行汇总并确认， 并 形成资产脆弱性汇总表。 大客户网络 的 脆弱性 分析 如下 ： 端 局端核心层和接入层 的 脆弱性 按照 其严重程度 ，分为高、中、低三档， 生频率分为经常、有时、很少发生三种， 列表如下： 脆弱性 潜在失效模式 潜在失效影响 严重程度 潜在原因 发生频率 设备 (技术脆弱性 ) 备件不够 发生故障时无备件，服务受影响 高 备件有没有、多少块 很少 使用年限过高 设备老化，故障率增加 高 折旧时间太长 很少 运行不稳定 故障率增加，影响性能 高 存在软件 少 性能缺陷 很少 10 负载过高 设备性能下降，并可能发生故障 中 带宽占用过高或并发用户数 很少 复杂程度高，故障处理时间长 影响大面积用户服务 高 技术支撑差，难以维护 很少 硬件发生故障 服务中断 高 接口板卡故障 有时 主控板故障 很少 电源板或电源模块故障 有时 风扇故障 有时 设备配置不当 性能受影响，并可能造成重大障碍 高 配置规范不明确 很少 人为操作失误 有时 环境 (技术脆弱性 ) 电源不稳定 设备受损，发生故障 高 供电电源不稳定 很少 温度过高 设备重起发生故障 高 空调不够 很少 湿度太低 易发生故障 低 加湿不够 很少 设备清洁差 温度升高，易老化 中 环境差，未按时清洁 有时 网络 (技术脆弱性 ) 结构不合理 局部故障 中 冗余度不够 有时 路由不合理 很少 线路 质量差 丢包，时延指标下降 高 衰耗大 经常 干扰严重 低 干扰严重 很少 网络接口问题 中 网络接口问题 有时 安全性差 设备性能下降，以致瘫痪 高 设备防攻击能力差 有时 未作安全防护 高 未作安全防护 有时 监控手段落后 故障发现不及时 中 网管能力差 经常 文档 (管理脆弱性 ) 应急方案不完善 发生重大障碍，修复时限长 中 未及时更新 很少 可操作性不强 有时 不完整 很少 11 备份资料不全 发生重大障碍，修复时限长 中 未按时备份 很少 备 份计划不科学 很少 备份失效 很少 维护文档不全 发生障碍，修复时限长 中 验收不严 有时 设备升级或启用新功能后未及时更新 很少 电路资料不准 发生障碍，修复时限长 高 验收不严 有时 未及时录入 很少 未及时更新 很少 人员 (技术脆弱性 ) 人员配备 影响故障修复时限 中 人员没有按需要分级配备 有时 技术能力差 影响故障修复时限 中 培训不够 有时 管理 (管理脆弱性 ) 流程不完善 影响故障修复时限 低 形式变化后未及时制定 很少 流程本身 有问题 很少 制度执行不力 易产生重大障碍 高 检查不到位，未落实考核 很少 传达不到位，未能充分理解 有时 跨部门协调不够 很少 资源受限，执行难度大 有时 户端 局端核心层和接入层的脆弱性按照其严重程度，分为高、中、低三档，生频率分为经常、有时、很少发生三种，列表如下： 脆弱性 潜在失效模式 潜在失效影响 严重程度 潜在原因 发生频率 12 设备 (技术脆弱性 ) 备件不够 发生故障时无备件，服务受影响 高 备件有没有、多少块 很少 使用年限过高 设备老化，故障率增 加 高 折旧时间太长 很少 运行不稳定 故障率增加，影响性能 高 存在软件 少 性能缺陷 很少 负载过高 设备性能下降，并可能发生故障 中 带宽占用过高或并发用户数 很少 复杂程度高，故障处理时间长 影响大面积用户服务 高 技术支撑差，难以维护 很少 硬件发生故障 服务中断 高 接口板卡故障 有时 主控板故障 很少 电源板或电源模块故障 有时 风扇故障 有时 设备配置不当 性能受影响，并可能造成重大障碍 高 配置规范不明 确 很少 人为操作失误 有时 环境 (技术脆弱性 ) 电源不稳定 设备受损，发生故障 高 供电电源不稳定 很少 温度过高 设备重起发生故障 高 空调不够 很少 湿度太低 易发生故障 低 加湿不够 很少 设备清洁差 温度升高，易老化 中 环境差，未按时清洁 有时 网络 (技术脆弱性 ) 结构不合理 局部故障 中 冗余度不够 有时 路由不合理 很少 线路质量差 丢包，时延指标下降 高 衰耗大 经常 干扰严重 低 干扰严重 很少 网络接口问题 中 网络接口问题 有时 安全性差 设备性能下降，以致瘫痪 高 设备防攻击能力差 有时 13 未作安全防护 高 未作安全防护 有时 监控手段落后 故障发现不及时 中 网管能力差 经常 文档 (管理脆弱性 ) 应急方案不完善 发生重大障碍，修复时限长 中 未及时更新 很少 可操作性不强 有时 不完整 很少 备份资料不全 发生重大障碍，修复时限长 中 未按时备份 很少 备份计划不科学 很少 备份失效 很少 维护文档不全 发生障碍，修复时限长 中 验收不严 有时 设备升级或 启用新功能后未及时更新 很少 电路资料不准 发生障碍，修复时限长 高 验收不严 有时 未及时录入 很少 未及时更新 很少 人员 (技术脆弱性 ) 人员配备 影响故障修复时限 中 人员没有按需要分级配备 有时 技术能力差 影响故障修复时限 中 培训不够 有时 管理 (管理脆弱性 ) 流程不完善 影响故障修复时限 低 形式变化后未及时制定 很少 流程本身有问题 很少 制度执行不力 易产生重大障碍 高 检查不到位，未落实考核 很少 传达不到位，未能充分理解 有时 跨部门协调不够 很少 资源受限，执行难度大 有时 14 5 已有安全措施 该部分内容要与安全风险分析结合描述，结合自查汇总表模式，重点从网络维护的“七大方面”进行评估，其中已有的安全措施各方面要简要描述已实施的措施， 对存在的问题分层面的在安全风险分析中每各部分都要详细说明，存在哪些问题， 却哪些制度、哪些手段、网络层更是要仔细分析： 有多少设备 、多少机房、哪些设备类型等有问题（如老化量、机房环境不到位、电源风险设备数等） ，要有具体数据说明，格式如下： 要 网络安全管理制度 2006 年 12 月吉安市电信 公司 在网络部下设 立了 “ 客户网络维护中心 ” ， 负责协助各级大客户服务机构制定客户组网的解决方案；落实大客户进网的电路调度、调测开通、故障处理及网络监控、诊断、优化等技术保证工作，为实施一站服务提供全面的后台保证。 为了更好支撑客户以及客户经理，网络部组织中心和网络安装维护中心 (设备维护中心 )、客户终端维护中心 (原营销中心 )等部门详细制定了部门之间的职责，并更新相应的流程，随后针对大客户网络维护的重要性， 制定了 大客户安全工作与保密制度、 大客户网络 业务开通 制度、 大客户故障处理制度 、吉安电信在客户端的操作规范 ，制度着 重规定了大客户网络维护支撑工作中遵守的保密和安全制度、故障处理原则和业务开通的规范性等。 2007 年又制订了 大客户网络巡 检制度，对大客户进差异化服务，按客户级别分为 A、 B、 C 等级，不同等级按不同周期进行巡检走访， 通过 定期进行大客户网络巡 检走访工作 ， 发现大 客户网络的各种隐患， 通过故障分析报告、专题报告、服务总结会等多种形式，解决存在的问题，网络安全风险得到了抑制，网络运行质量和稳定性较以前有明显提高。 08 年 统一 了市本部大客户网络维护作业计划和县分公司大客户网络维护作业计划等模版等，对重要客户每月提供大客户网络 分析报告，重点分析大客户网络该月发生的故障，对故障原因进行分析总结。 难备份措施 08 年吉安市客户网络支撑中心在网络部、网络安装维护中心、工程建设中心的协助下，历时 1 个多个月成功完成了金融客户、保险等重要客户环网保护热备 15 份工作， 对其他重要客户也重做到双路由的冷备份，同时对不同客户制定应急预案并进行可操作性的演练， 从而完成在奥运会期间这些重要客户中心机房零中断的保障任务 。 攻击、防病毒、防入侵措施 针对重要客户宽带上网的专线网络，主要采用网络无忧 (商务光网 )解决网络频繁受攻击的安全隐患 (如吉安市政府办公室 、昌泰高速、吉安市劳动局、华能电厂、吉安市五中等客户 )，在网络无忧终端上根据需要做防 击、 击， 同时在局端方面推进宽带网络差异化的原则：适度超前，保证重要客户宽带网络整体竞争优势；聚集资源、有所侧重，面向重要客户、特定应用，在防拥塞、防中断、高安全方面强化网络差异化能力 对于 重要 户 的网络，主要在 由器上做防 击和 只让合访的 种访问控制 策略，同时将以前简单的 如 123456)改成复杂难猜的密钥， 增强 络的 安全性。 程维护管控措施 及国庆重大活动网络单元的安全防护情况 自客户网络维护中心成立以来，在网络部的组织下，完成了十七大、三次金融年底结算、国庆、奥运火炬井冈山传递以及奥运会召开等大客户网络通信保障工作。在保障 时 先后 开展了六七 金融客户、党政军等重要客户的网络进行专项巡检或网络倒换演等活动。 络组网、设备能力、环境等工作 （ 安全风险分析在重点结合其阐述 ） 护人员情况 在大客户网络维护人员保障方面，有要在核心层、接入层以及客户侧的维护人员采用 A、 B 角分工的措施，每个维护人员要负责某一专业网络的同进，需 掌握一到两门其他专业维护技能，担这一专业的 B 角，从而保障大客户网络维护人 16 员的稳定运行，但目前由于大多重要客户的客户端传输设备换成 备，绝大多数客户端维护人员对其不熟悉，给故障处理带来不便，使故障处理时限会延长，下一步需重点对传输基础知识和 备的工作原理进行培训。 6 安全风险分析 要客户安全风险分析等级 以星级作为安全风险的等级，标准以三星级为达标 ,低于三星级的则不达标，需重要整改，具体如下： 星级等级标准 组网链路 接入路由 客户端设备情况 机房环境、电源保障及接地情况 局端网络冗余 网络、设备 管理和监控 备注 链 单路由 般 核心层有部分冗余，接入层无冗余 局端能监控，客户端和电路均无法监控 优化 型 单路由 般 核心层冗余，接入层大部分无冗余 局端能监控，客户端设备无法监控 优化 网 /双路由 ,环中位置居中 ,不同缆同路由 好 核心层冗余，接入层大部分冗余 局端能监控，部分客户端设备无法监控 达标 网 双路由 ,环中位置居前 ,不同缆好 核心层冗余，接入层局端能监控，客户端设备线路达标 17 同路由 大部分冗余 均能监控 网 双路由 , 环中位置居前 ,不同缆不同路由 好 核心层冗余，接入层冗余 局端能监控，客户端设备线路均能监控 达标 融客户 (采用 1、 组网情况 ：江西省帧中继网络分为省市县三级，吉市帧中继网主要接入金融大客户业务，实现客户全网业务的畅通。客户核心路由器通过传输金融网环网接入过划分 155M 时隙，配置与局方对应的 及 识实现通道的互联。客户各办理网点，通过传 输网络接入至 K 设备，网点通过配置与局方对应的本地 识，实现业务的畅通，网点速率达到 2s。所有金融大客户网络市中心节点均实现了 向保护。 吉安至南昌 入的主要大客户有 七 家金融单位，分别是：中国建设银行吉安市分行、中国银行吉安市分行、中国农业银行吉安市分行、 中国工商银行吉安市分行、吉安市农村信用社联合社、吉安市人民银行、吉安市邮政储蓄。 吉安本地网 R 接入主要大客户有 三 家金融单位，分别是：中国建设银行吉安市分行、中国银行吉安市分行、中国工商银行吉安市分行 。 18 2、 已实施的网络优化措施： 1、对北电 新桥 36170 网管进行了升级，并认真做了巡检，在全省统一部署下，对设备进行了断电清洁，确保核心设备安全运行； 2、 备板卡更改为低密度接入，降低由于设备过热导致的板卡故障对客户业务面的影响。 3、新桥 36170 增加了一条 吉安 至南昌 用电路，能够实现自动倒换； 4、面向各金融单位中心机房，在不同路由上做 网热备份，中心机房能远程监控 5、已经实现了吉安市 大客户网管系统与本地网传输网管系统和数据设备网管系统的对接，通过大客户网管能监控部分局端设备或客户端设备原因引起的故障 3、 风险分析： 金融客户关键资产风险分析 序号 客户名称 (省公司政企客户部提供） 客户端风险分析 局端风险析 整改方案 责任部门 中心机房是否双光纤路由（是/否） 中心机房是否） 机房电源是否有保障（是/否） 备 ） 机房温湿度情况是否符合要求（是设备安装是否符合规范（是/否） 设备机架散热情况（较好 /不好） 客户端监控 备 机房电源是否有保障（是/否） ） 机房温湿度情况是否符合要求（是网络冗余 网络、设备管理和监控 输环网保护 客户端侧 客户侧 局端侧 工行 行 行 行 行网点路由器 工行网点 行局端 户端侧 图 1 吉安市 客户端安装 络拓扑图 市工行中心机房路由器 吉安 昌 工行中心机房路由器 楼 9500/2500+ 各接入网 19 /否） /否） 1 人民银行吉安市支行 是，风险低 是，风险低 是（客户机房单路 环 ,双光纤路由，设备只有 1 路电源接入，存在安全风险 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 北电用 16 端口光口板和新桥36170 光口板没有备件，存在较大安全风险 少部分县分公司的北电维护力量也不够 有，风险低 部分传输设备板卡无备件 符合 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 因本地网只有一台而该设备板卡费用较贵 ,各本地网均无备件 ,希望省里统一安排解决此隐患问题 网络安装维护中心 3 中国银行吉安市分行 是，风险低 是，风险低 客户机房有 3路环 ,双局向双光纤路由，在安全风险 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 4 中国工商银行吉安市市分行 是，风险低 是，风险低 客户机房有 2路环 ,双光纤路由，在安全风险 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 5 中国建设银行吉安市分行 是，风险低 是，风险低 客 户机房有 2路环 ,双光纤路由，在安全风险 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 20 4、 安全等级： 字电路 1、 组网情况 数字电路客户的接入速率基本为 2s，承载在 吉安 市电信传输网，通过全安全风险 6 中国农业银行吉安市分行 是，风险低 是，风险低 客户机房有 2路环 ,双光纤路由 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 7 中国农业发展银行吉安市分行 是，风险低 是，风险低 客户机房有 2路环 ,双光纤路由 有，无风险 是，风险低 是 较好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 8 吉安市农村信用社联合社 是，风险低 是，风险低 客户机房有 2路环 ,双光纤路由 有，无风险 是，风险低 是 较 好 中心机房设备能监控，网点设备只能监控少部分，存在安全风险 有，风险低 核心网络实现冗余，部分接入网没有冗灾 基本实现所有的局端设备的障碍监控 21 网 现全业务的互联。主要接 入的重要大客户有：公安、农信社、人行、军分区、邮政、供电、国税 、保险公司、证券公司等。 网络拓扑如下： 客户核心设备客户网点路由.转 / 单 E 1 协转 / 单 E 1电信传输网2、 已实施的网络优化改造 1、已完成 31 家 省 大客户 路路由组环网络改造工程。对金融客 户核心网点局方接入点全部割接至 网，实现双路由环路保护，改造完后重要大客户中心机房核心节点接入都具备了非常良好的网络稳定性，网络安全性大大提高。 2、对重要大客户网点局方接入点全部割接至就近接入网，减少了光路跳节点，最大程度的减少了由于光路故障导致的业务中断。 3、已经实现了 吉安 大客户网管系统与本地网传输网管系统的对接； 吉安市重要大客户核心节点双路由保护网络拓扑图 4、重要大客户核心节点网络安全等级评估 22 吉安市客网中心组织对省级 118 家落地吉安本地网的重要大客户进行核心节点网络安全等级评估。重要 大客户网络安全风险主要从组网链路、接入路由、客户端设备、机房环境、电源及地线保障四个方面进行评估。评估网络 吉安 重要大客户网络评估具体如下： 客户名称 网络现状 网络 安全 评估等级 整改措施 天安保险股份有限公司 吉安 市分公司 3 星级 吉安市海关 路由冷备 1 星级 改造成 网 中国平安财产保险股份有限公司吉安分公司 单独组 网，双路由热备 3 星级 人民银行吉安支行 和其他四个银行组 网，双路由热备份，节点位置居前 4 星级 中国人民财产保险股份有限公司吉安市分公司 单独组 网，双路由热备 3 星级 吉安市公安交通警察支队 链 2 星级 再调通另一物理不同的路由组成 网 吉安市防汛办 路由冷备 1 星级 改造成 网 太平人寿保险有限公司吉安分公司 单独组 网，双路由热备 4 星级 中国石油化工集团公司吉安市石油公司 路由 1 星级 增加一条不的路由，改造成 网 中国农业发展银行吉安分行 单独组 网，双路由热备 3 星级 吉安市农村信用社联合社 市本部单独组 网，双路由热备，县分公司 路由 2 星级 对县分公司的信用社中心机房改造成 吉安市公安局 单独组 网，双路由热备 4 星级 吉安市邮政局 单独组 网，双路由热备 4 星级 吉安市人民检察院 链 2 星级 再调通另一物理不同的路由组成 网 中国人寿保险吉安市分公司 单独组 网，双路由热备 4 星级 23 吉安市国家税务局 路由 1 星级 加一条不的路由，改造成网 吉安市国家安全局 单独组 网，双路由热备 4 星级 中国太平洋人寿保险股份有限公司吉安分公司 单独组 网，双路由热备 3 星级 中国太平洋财产保险股份有限公司吉安分公司 单独组 网，双路由热备 3 星级 中国大地财产保险股份有限公司吉安分公司 单独组 网，双路由热备 3 星级 吉安市烟草专卖局 路由 1 星级 加一条不的路由，改造成网 中国银行业监督管理委员会吉安监管分局 网，双路由热备 4 星级 国盛证券有限责任公司吉安分公司 网，双路由热备 4 星级 江南证券有限公司 路由 1 星级 加一条不的路由，改造成 网 5、 网络隐患及整改方案 通过对用户核心站点网络组网方式、机房内设备线路、用户机房现场环境及地线设施等网络情况的评估，发现目前存在的安全隐患主要存在以下几个方面： 1)、核心节点组网方式不合理，采用 型组网，安全性较差。如 吉安市烟草公司 、 吉安市海关 、 吉安市国税局、江南证券、石油公司、吉安市防汛抗旱指挥部，这些重要客户将作为今年第二期 网改造的客户。 2)、用户吉安市公安交通警察支队、吉安市人民检察院、吉安供电公司采用 一步要求工程建设中心 再建一条不同路由器光路由，组建 网。 3)、用户机房内的光纤熔纤均采用的是终端盒方式放在机架内或地板下，即不美观也不安全，容易被老鼠咬断，建议光纤用 接在机架内。 4)、太平人寿保险有限公司 吉安 分公司已经实现环网改造，但是由于客户搬迁至新地址，环网正在建设中。 5)、电信机房内对重点客户的重点业务，没有明显差异化标识； 6)、用户机房大部分机柜没有地线设施，用户端设备未接地线。 24 安市 网吧客户网络优化 吉安市区现有网吧 92 家，租用我公司的业务有用于网吧运营的专线宽带接入和“全球眼”视频监控系统， 为了更好的为网吧客户服务，提高网络运行稳定性，提升网吧价值，吉安电信分公司客网中心特对网吧的网络优化提出如下建议并立项实施。 1、网络现状 吉安市区大部分网吧宽带接入都采用传统交换机及光纤收发器方式组网，而全球眼业务均与宽带上网共享带宽方式组网。 2、优化方案 将市区符合条件的网吧优化为 式，由于采用了单芯光纤技术，极大的节约了城域网光纤资源，将成为后期光纤接入宽带业务的主流方式。而且，客户端的 备上至少有 2 个 ，并能够