中国电信吉安分公司支撑网安全风险评估报告

1、中国电信江西省支撑网 安全风险评估报告 中国电信吉安市公司 二零零玖年陆月 评估对象：填写定级对象名称 评估单位：填写评估单位名称 评估日期： 2009 年 6 月 1 日至 2009 年 9 月 30 日 编号：单位（中国电信为 ctsec）-省 （如湖北为 hubei）-文档编号（01 开始）- 时间（200904） 企业秘密 编号：单位（中国电信为 ctsec）-省 （如湖北为 hubei）-文档编号（01 开始）- 时间（200904） 企业秘密 编号：单位（中国电信为 ctsec）-省 （如湖北为 hubei）-文档编号（01 开始）- 时间（200904） 企业秘密 编号：单位（中

2、国电信为 ctsec）-省 （如湖北为 hubei）-文档编号（01 开始）- 时间（200904） 企业秘密 目目 录录 1概述3 1.1目的 .3 1.2内容及范围 .3 1.3风险评估方法 .3 1.4评估依据 .3 2资产分析3 2.1dcn 网.3 2.2业务运营支撑系统 .5 3威胁分析5 3.1dcn 网.6 3.2业务运营支撑系统 .7 4脆弱性分析8 4.1dcn 网.8 4.2业务运营支撑系统 .9 5已有安全措施10 6安全风险分析10 7风险处置计划及整改情况11 8总结11 9附件11 内部资料，注意保密，未经同意，请勿翻印 文档信息 文档名称文档名称 文件编号 编制

3、人 保密级别企业秘密 修改过程 版本号版本号日期日期负责人负责人概述概述 评审过程 版本号版本号日期日期评审者评审者概述概述 分发范围 1概述概述 1.1 目的目的 集团公司关于开展通信网络安全检查工作的通知中国电信2009510 号文、原信息产业部 关于进一步开展电信网络安全防护工作的实施意见（信部电2007555 号）、工业和信息化 部关于开展通信网络安全检查工作的通知（工信部保2009224 号)。 为进一步查找我市 dcn 网络安全运营的薄弱环节、落实防护措施、消除安全隐患，提高通信网 络整体安全防护水平，并为国庆 60 周年网络安全保障工作打好基础。 1.2 内容及范围内容及范围 吉

4、安市 dcn 网于 2008 年 6 月在原 dcn 网基础上升级扩容而成，市公司核心层由二台汇聚路由 器 ne40-4、二台三层交换机 3952、一台 eudemon 200 防火墙及二台 5200f 组成，通过 2*155m 光纤上联至省公司 dcn 网，市公司本埠井冈山大道生产楼、河东分局、城南分局通过 1*100m 光纤上联到汇聚路由器 ne40 中；井冈山大道办公楼通过 1*100m 光纤上联至 5200f，各县市分 公司办公楼通过 1*10m 的 mstp 链路上联至 5200f；各县市分公司配置两台 ar46-8 路由器及 2 台三层 3528 交换机通过 2*10m 的 mst

5、p 链路上联至汇聚路由器 ne40-4，为了更好的满足 dcn 网中部分办公人员收发邮件、查找资料需求，利用 eudemon200 实现 dcn 网与互联网的隔离， 防范来自互联网的恶意攻击及病毒感染。 业务运营支撑系统采用 c/s 架构，服务器端由 8 台性能相当的服务器组成一组负载均衡终端 服务器集群，客户端设备为瘦客户机，客户端通过 rdp 连接到集群服务器。 吉安市 idc 网络机房于 2007 年 5 月从数据机房分离，市公司核心层由一台汇聚路由器 cisco12416、一台三层交换机华为 6506、两台 s5624p、一台 h3c 5500 和一台华为 usg3040 组 成，通过

6、 2*1000m 光纤上联至城域网。 全球眼系统平台由 7 台服务器和一台磁盘阵列组成，客户端设备为视频服务器。客户端通过城 域网连接到平台。 农村党教市级平台由 13 台服务器和 2 台磁盘阵列组成，各县级平台由 2 台服务器组成，共 35 台服务器。 主机托管服务由 idc 机房提供电源和网络。 本次评估内容包括管理制度、防攻击防病毒、安全防范等进行风险评估。 1.3 风险评估方法风险评估方法 评估方式包括访谈、查阅文档、测试等，评估步骤包括资产识别、脆弱性识别、威胁识别等，方 法包括具体的资产、威胁和脆弱性识别方法，风险分析方法、风险结果判断依据等。 1.4 评估依据评估依据 说明支撑网

7、安全风险评估参考的标准和文档，如安全防护系列标准等。 2资产分析资产分析 说明该定级对象包括的资产及相关属性。 支撑网的资产分析范围包括：dcn 网和业务运营支撑系统。dcn 网覆盖以下网络：固定通信网、 消息网、智能网、接入网、传送网、ip 承载网、信令网、同步网。业务运营支撑系统包括：计费 系统、营业系统、账务系统。涉及的资产重要性分析如下： 2.1 dcn 网网 dcn 网资产的识别与选取应符合科学性、合理性，其资产类型大致包括设备硬件、软件、数据、 网络、服务、文档和人员等。 dcn 网资产按照重要性，分为高、中、低三档，列表如下： 表 1 资产重要性列表 序号资产名称资产类型重要性等

8、级 设备硬件中 设备软件中 重要数据中 提供的服务中 维护人员中 网络拓扑中 码号资源低 文档中 1dcn 网 其它中 注：支撑网的资产可分为设备硬件、软件、数据、网络、服务、文档和人员等。附表1给出了支 撑网的资产列表，各省公司可参考此表进行资产分析，但不限于此表 附表 1 dcn 网资产列表 序 号 节点名 称 设备型号 数 量 155 m 1000m 电 口 fe 电 口 fe 光口 (10k) fe 光口 (40k) 1吉安 ne40-4 224 32 16 2吉安 ls-3952p-ei 24 96 3吉安 ls-3528-ea 27 648 28 4吉安 ar4680 23 184

9、 5 6 7 8 合计 5428960440 2.2 业务运营支撑系统业务运营支撑系统 业务运营支撑系统资产的识别与选取应符合科学性、合理性，其资产类型大致包括设备硬件、 软件、数据、网络、服务、文档和人员等。 客服呼叫中心资产按照重要性，分为高、中、低三档，列表如下： 表 2 资产重要性列表 序号资产名称资产类型重要性等级 设备硬件中 设备软件中 重要数据中 提供的服务中 维护人员中 网络拓扑中 码号资源低 文档中 1 业务运营支撑系统 其它中 附表 2 业务运营支撑系统资产列表 内存 cpu 硬盘 序 号 节点名 称 设备型号 数 量 容量 （g） 数量主频 数 量 总容量数量 raid

10、级别 ip 地址 1nlb-1 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.87 2nlb-2 升腾资讯 终端服务 器 14 intelr xe onl 3.2x2 26821 134.240. 7.94 3nlb-3 poweredg e-2950 142 e5310 1.6g*4 227245 134.240. 7.83 4nlb-4 poweredg e-2950 142 e5405 2.0*4 21159g65 134.240. 7.102 5nlb-5 升腾资讯 终端服务 器 14 intelr xe onl 3.2x2

11、26821 134.240. 7.194 6nlb-6 升腾资讯 终端服务 器 14 intelr xe onl 3.2x2 26821 134.240. 7.93 7nlb-7 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.146 8nlb-8 poweredg e-2650 136 intel xeonl 2.4 221920 134.240. 7.86 9 主域控 制器 poweredg e-2950 144 e5310 1.6g*4 2372g5 134.240. 7.97 10 web 服 务器 poweredg e-295

12、0 142 e5405 2.0*4 21159g65 134.240. 7.99 11 终端服 务器 poweredg e 1750 124 intel xeonl 2.4*2 220420 134.240. 7.90 12 故障机 poweredg e 1750 112 intel xeonl 2.4*2 214620 134.240. 7.31 13 终端服 务器 hpprolia ntml150 122 intel xeonl 2.8*2 26810 134.240. 7.92 14 cams 服 务器 poweredg e 2500 1512m2 pentiu m iii 1.1 13

13、410 134.240. 7.89 15 电话营 销系统 研华科技 610l 11g2 pentiu m 四 3.0 214610 134.240. 7.20 16 gps 导 航系统 hp ml 370 11g2 intel xeonl 3.0*2 26620 61.180.4 .250 17 磁盘阵 列 enc-20001000008 18 计费联 采-101 ibm-86711 134.240. 24.101 19 计费联 采-102 ibm-86711 134.240. 24.102 20 合计 2.3 idc 网网 idc 网资产的识别与选取应符合科学性、合理性，其资产类型大致包括设

14、备硬件、软件、数据、 网络、服务、文档和人员等。 客服呼叫中心资产按照重要性，分为高、中、低三档，列表如下： 表 2 资产重要性列表 序号资产名称资产类型重要性等级 设备硬件中 设备软件中 重要数据中 提供的服务中 维护人员中 网络拓扑中 码号资源低 文档中 1 全球眼业务平台 其它中 1 农村党教网平台设备硬件中 设备软件中 重要数据中 提供的服务中 维护人员中 网络拓扑中 码号资源低 文档中 其它中 附表 3 idc 资产列表 序号 节点名称 设备型号 数量 1 吉安 poweredge- 29507 2吉安 磁盘阵列 1 3吉安 hp dl380 35 4吉安 usg3040 1 5吉安

15、 磁盘阵列 2 6 7 合计 46 3威胁分析威胁分析 支撑网的威胁可分为设备威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威 胁和其它物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。附表2给出支撑 网的威胁列表。 附表 2 支撑网威胁列表 来源威胁描述 设备威胁 各类设备本身的软硬件故障，设备和介质老化造成的数据丢 失，系统宕机 物理环 境 断电、静电、灰尘、潮湿、温度、电磁干扰等，意外事故或通讯 线路方面的故障 环境 威胁 自然灾 害 鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷电 恶意人 员 不满的或有预谋的内部人员滥用权限进行恶意破坏； 采用自主或内外勾结的

16、方式盗窃或篡改机密信息； 外部人员利用恶意代码和病毒对网络或系统进行攻击； 外部人员进行物理破坏、盗窃等 人为 威胁 非恶意内部人员由于缺乏责任心或者无作为而没有执行应当执行的 人员操作、或无意地执行了错误的操作导致安全事件； 内部人员没有遵循规章制度和操作流程而导致故障或信息损 坏； 内部人员由于缺乏培训、专业技能不足、不具备岗位技能要 求而导致故障或攻击； 安全管理制度不完善、落实不到位造成安全管理不规范或者 管理混乱导致安全事件 3.1 dcn 网网 dcn 网面临的威胁按照可能性概率，分为高、中、低三档，列表如下： 表 3 威胁可能性列表 序号 资产名称面临的威胁类型威胁可能性等 级

17、自然界不可抗的威胁（环境威胁）低 其它物理威胁（环境威胁）高 恶意人为威胁低 非恶意人为威胁低 1dcn 网 其它威胁低 表 4 威胁可能性列表 来源威胁分析 设备威胁 dcn 网属 2008 年全新扩容改造工程，核心设备不存在设备 和介质老化造成的数据丢失，但分支机构接入 路由器 及综 合办公用的接入层设备城域网淘汰设备，存在一定风险，但 各类设备本身的软硬件故障存在，维修周期一般在二周以内 物理环 境 存在断电、静电、灰尘、潮湿、温度、电磁干扰等，意外事故或 通讯线路方面的故障 环境 威胁 自然灾 害 存在火灾、雷电 恶意人 员 不满的或有预谋的内部人员滥用权限进行恶意破坏； 采用自主或内

18、外勾结的方式盗窃或篡改机密信息； 外部人员利用恶意代码和病毒对网络或系统进行攻击； 外部人员进行物理破坏、盗窃等 人为 威胁 非恶意 人员 内部人员由于缺乏责任心或者无作为而没有执行应当执行的 操作、或无意地执行了错误的操作导致安全事件； 内部人员没有遵循规章制度和操作流程而导致故障或信息损 坏； 内部人员由于缺乏培训、专业技能不足、不具备岗位技能要 求而导致故障或攻击； 安全管理制度不完善、落实不到位造成安全管理不规范或者 管理混乱导致安全事件 3.2 业务运营支撑系统业务运营支撑系统 业务运营支撑系统面临的威胁按照可能性概率，分为高、中、低三档，列表如下： 表 5 威胁可能性列表 序号 资

19、产名称面临的威胁类型威胁可能性等 级 自然界不可抗的威胁（环境威胁）低 其它物理威胁（环境威胁）高 恶意人为威胁低 非恶意人为威胁低 1dcn 网 其它威胁低 表 6 威胁可能性列表 来源威胁分析 设备威胁 存在设备本身的软硬件故障，设备和介质老化造成的数据丢 失，系统宕机 物理环 境 存在断电、静电、灰尘、潮湿、温度、电磁干扰等，意外事故或 通讯线路方面的故障 环境 威胁 自然灾 害 存在火灾、雷电 恶意人 员 不满的或有预谋的内部人员滥用权限进行恶意破坏； 采用自主或内外勾结的方式盗窃或篡改机密信息； 外部人员利用恶意代码和病毒对网络或系统进行攻击； 外部人员进行物理破坏、盗窃等 人为 威

20、胁 非恶意 人员 内部人员由于缺乏责任心或者无作为而没有执行应当执行的 操作、或无意地执行了错误的操作导致安全事件； 内部人员没有遵循规章制度和操作流程而导致故障或信息损 坏； 内部人员由于缺乏培训、专业技能不足、不具备岗位技能要 求而导致故障或攻击； 安全管理制度不完善、落实不到位造成安全管理不规范或者 管理混乱导致安全事件 3.3 idc 网网 idc 网面临的威胁按照可能性概率，分为高、中、低三档，列表如下： 表 7 威胁可能性列表 序号 资产名称面临的威胁类型威胁可能性等 级 自然界不可抗的威胁（环境威胁）低 其它物理威胁（环境威胁）高 恶意人为威胁低 非恶意人为威胁低 1idc 网

21、其它威胁低 表 8 威胁可能性列表 来源威胁分析 设备威胁 核心路由器 cisco12416 为城域网退网的设备，网络设备本身 可能出现软硬件故障，设备和介质老化造成的数据丢失， 物理环 境 存在断电、静电、灰尘、潮湿、温度、电磁干扰等，意外事故或 通讯线路方面的故障 环境 威胁 自然灾 害 存在火灾、雷电 恶意人 员 不满的或有预谋的内部人员滥用权限进行恶意破坏； 采用自主或内外勾结的方式盗窃或篡改机密信息； 外部人员利用恶意代码和病毒对网络或系统进行攻击； 外部人员进行物理破坏、盗窃等 人为 威胁 非恶意 人员 内部人员由于缺乏责任心或者无作为而没有执行应当执行的 操作、或无意地执行了错误

22、的操作导致安全事件； 内部人员没有遵循规章制度和操作流程而导致故障或信息损 坏； 内部人员由于缺乏培训、专业技能不足、不具备岗位技能要 求而导致故障或攻击； 安全管理制度不完善、落实不到位造成安全管理不规范或者管 理混乱导致安全事件 4脆弱性分析脆弱性分析 支撑网的脆弱性可分为技术脆弱性和管理脆弱性两方面。 附表 3 给出支撑网的脆弱性列表。 序号资产名称脆弱性类型脆弱性严重程度等级 业务/应用（技术脆弱性）低 网络（技术脆弱性）中 设备（含操作系统和数据库、后台服务器、计费 服务器等）（技术脆弱性） 低 物理环境（技术脆弱性）低 1 dcn 网 管理脆弱性低 业务/应用（技术脆弱性）低 网络

23、（技术脆弱性）中 设备（含操作系统和数据库、后台服务器、计费服 务器等）（技术脆弱性） 低 物理环境（技术脆弱性）低 2 业务运营支 撑系统 管理脆弱性低 业务/应用（技术脆弱性）低 网络（技术脆弱性）中 设备（含操作系统和数据库、后台服务器、计费 服务器等）（技术脆弱性） 低 物理环境（技术脆弱性）低 2 idc 网 管理脆弱性低 4.1 dcn 网网 dcn 网的脆弱性按照其严重程度，分为高、中、低三档，列表如下： 表 5 脆弱性列表 类型对象dcn 网存在的脆弱性分析 服务/应用设备的处理或备份能力不够而导致服务提供不连续 网络不存在 设备（软 件、硬件 和数据） 不存在 技术脆弱 性

24、物理环境 dcn 网核心机房空调经常中断，导致机房温度过高；县局 机房防雷措施不够，如吉安县、新干县在本季度均有设备被 雷击导致网络中断 管理脆弱性 安全管理机构方面：岗位设置不合理，人员配置过少、目前 负责 dcn 网维护只有一人； 安全管理制度方面：不存在； 人员安全管理方面：不存在； 建设管理方面：不存在； 运维管理方面：物理环境管理措施简单、操作管理不规范等。 4.2 业务运营支撑系统业务运营支撑系统 客服呼叫中心的脆弱性按照其严重程度，分为高、中、低三档，列表如下： 表 5 脆弱性列表 类型对象业务运营支撑系统存在的脆弱性 服务/ 应用 网络 网络拓扑设计不合理，无冗余链路，单点故障

25、隐患，与互联网 连接造成的访问控制漏洞 设备 （软件、 硬件 和数 据） 设备老化； 系统存在可被外界利用的漏洞 技术脆弱 性 物理 环境 房空调经常中断，导致机房温度过高 管理脆弱性 安全管理机构方面：岗位设置不合理，人员配置过少、目前负 责 dcn 网维护只有一人； 安全管理制度方面：不存在； 人员安全管理方面：不存在； 建设管理方面：不存在； 运维管理方面：物理环境管理措施简单、无恶意代码防范措施 等 4.3 idc 网网 idc 网的脆弱性按照其严重程度，分为高、中、低三档，列表如下： 表 5 脆弱性列表 类型对象idc 网存在的脆弱性分析 技术脆弱 性 设备（软 件、硬件 不存在 和

26、数据） 设备（软 件、硬件 和数据） 不存在 服务/应用不存在 物理环境idc 网核心机房空调经常中断，导致机房温度过高。 管理脆弱性 安全管理机构方面：管理 idc 机房部门多，难以精确管理； 安全管理制度方面：不存在； 人员安全管理方面：进入 idc 机房人员多，对进出人员难以 精确管理； 建设管理方面：不存在； 运维管理方面：物理环境管理措施简单、操作管理不规范等。 5已有安全措施已有安全措施 设备冗余：各县、市分公司 dcn 网路由器、交换机、mstp 链路均配备 2 台(条)，作主备及负载均 衡。业务支撑系统集群服务组由八台性能相当的服务器组成，通过操作系统自带功能实现负 载均衡；i

27、dc 路由器、交换机链路均配备 2 台(条)，作主备及负载均衡。全球眼平台和农村党教 平台上联均有主备链路；全球眼平台和农村党教平台服务器均有主备冗余；b 安全防问控制：通过 eudemon 200 实现 dcn 网与互联网的隔离；定期修改设备维护密码，有效 防护设备密码外泄对设备带来的风险；idc 网络设备与城域网使用同样的安全访问控制措施， 限定访问者的源 ip 地址； 病毒防范措施：在所有服务器中安装省公司统一布署的终端安全管理软件及 360 安全卫士，利 用 360 安全卫士对操作系统进行补丁安装升级，以确保系统的安全性及稳定性。 数据备份：对 dcn 网核心设备配置数据实行异地备份制

28、；对主、次域控服务器实行多机备份制； 对 oracle 数据库实行异地备份制；对 idc 网核心设备配置数据实行异地备份制；对服务器实 行定期备份； 重大节日安全防护情况：制定节日值班表及相应的应急预案； 通信网络安全管理制度： 机房出入管理制度：外来人员（来访者及临时工作人员）管理：实行进出登记制，专人接待； 机房巡检制度：每周定期对机房进行巡检，及时发现、拔除设备存在的各项隐患； 密码管理策略：系统管理员唯一制，口令定期修改审核； 维护管理制度：在电子运维系统中制定维护作业计划，定期对相关设备进行维护； 分权分域管理：将机房设备按系统具体分权至个人； 6安全风险分析安全风险分析 目前 dc

29、n 网存在的风险主要有： 自然灾害如雷击：6 月份有 2 个县公司由于雷击导致 dcn 网受影响，中断时间在 1 小时以内。 机房环境：dcn 网核心机房空调在去年夏天出现过 2 次宕机，致使机房环境温度达到 50 度以上， 但由于发现及时没有导致网络中断； 机房管理：dcn 网核心机房有 n 多人配有钥匙，包括装机班、电力室经常未经同意即进入机房施 工，施工完后不清理现场卫生，给机房环境很大风险；如 5 月中旬动力室穿墙安装对流风扇， 由于不正确的穿墙，导致 dcn 网设备及业务支撑系统集群服务器全布满一层厚厚的灰，严重 影响设备正常使用； 人员管理：维护人员单一； 业务支撑系统存在的风险主

30、要有： 病毒防护：虽然服务器中安装有杀毒软件，但由于使用人员多，4 月份曾发现极个别营业员将带 病毒文件上传到服务器中，导致服务器出现异常； 系统漏洞：由于操作系统本身不足对系统带来的风险； 网络故障：由于网络设备出现故障导致服务中断，dcn 网割接后 2008 年 10 月由于一台核心汇 聚交换软件故障，导致网络中断过一次； 机房管理：it 机房进出人员较多，多人配备有钥匙，办公地点与机房相隔较远，难以有效管理； 人员管理：维护人员单一； 目前 idc 网存在的风险主要有： 设备硬件：3 月由于 2 块光模块损坏导致农村党教平台中断一小时以上。 机房环境：idc 网核心机房空调在去年夏天出现过 2 次宕机，致使机房环境温度达到 50 度以上， 但由于发现及时没有导致网络中断； 机房管理：dcn