中国吉安电信信令网网络安全评估报告

《中国吉安电信信令网网络安全评估报告》由会员分享，可在线阅读，更多相关《中国吉安电信信令网网络安全评估报告（14页珍藏版）》请在装配图网上搜索。

1、知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝中国电信江西省信令网安全风险评估报告中国电信江西吉安分公司二零零九年七月评估对象：江西省吉安市本地信令网评估单位：江西省吉安市电信分公司评估日期：2009 年 7 月编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编

2、号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为

3、CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如

4、湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密编号：单位（中国电信为CTSEC）-省（如湖北为 HUBEI）-文档编号（01 开始）-时间（200904）企业秘密知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝目目 录录1概述31.1目的 .31.2内容及范围 .31.3风险评估方法 .31.4评估依据 .32资产分析33威胁分析44脆弱性分析45已有安全措施56安全风险分析57风险处置计划及整改情况68总结69附件

5、6II内部资料，注意保密，未经同意，请勿翻印文档信息文档名称文件编号编制人习清华保密级别企业秘密修改过程版本号日期负责人概述评审过程版本号日期评审者概述分发范围知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝1概述概述1.1 目的目的为提高网络安全性，进一步查找我市网络安全运营的薄弱环节、落实防护措施、消除安全隐患，提高通信网络整体安全防护水平，全市组织开展全专业网络评估专项活动，全面清查各专业网络在系统设备、维护管理等方面存在的安全隐患和薄弱环节，主动解决风险高、对业务影响面大以及涉及重要客户、大客户服务保障的重大网络安全问题，解决基础维护管理工作中的突出

6、问题，并提出网络优化建议及下一步工作措施，从而指导后期的网规网优工作。1.2 内容及范围内容及范围吉安 LSTP 为华为 CC08 设备，2 个 LSTP 平面分别放置在大楼和河东局，于2000 年投入使用。2 个 LSTP 的链路开放情况完全一致，每个局向到 LSTP 能做到分担和保护。其中 LSTP 设备的版本为 V701R200B01D003,DXC 设备的版本为V200R007B01D008.每个 LSTP 到纯汇、网关、TS 都开有 2 个 2M/8 条 LINK，至其他端局都开有一个 2M/2 条 LINK（除个别话务量较小的端局外），双平面配置可以保证链路的安全性。从日常的话务高

7、峰 LSTP 负荷情况分析，LSTP 至 HSTP 平面话务较高，春节忙时每条 LINK 负荷平均高达 0.4ERL 以上，大于 LSTP 的理论最大负荷值 0.2ERL，对设备安全造成一定隐患，建议每个 LSTP 至每个 HSTP 再分别增开 2 条 LINK，以保证信令网的安全运行。LSTP 的容量及使用情况如下表：局向链路容量已使用链路数2M 容量已使用 2M 数LSTP11421287362LSTP21421287362具体组网结构见图 1：4图 1：信令网的网络结构图吉 安 市 七 号 信 令 网 络 图 大 楼LSTP永丰 S1240永丰 CC08峡江水边CC08峡江巴邱CC08新

8、干 S1240新干 CC08泰和 S1240泰和河西CC08泰和沙村CC08安福 S1240安福 CC08永新 S1240吉水 S1240万安 S1240永新 CC08吉水城南CC08吉水枫江CC08201 智能平台吉福路DMS100大楼 163接入大楼接入网大楼 DMS万安 CC08吉安 TS河东 08网关 CC08遂川 S1240吉安县开发区 08河东 163接入河东接入网IGW/HLR吉安县CC08宁冈 S1240井冈山S1240遂川水南CC08河 东 LS T PHSTPAHSTPB大楼 168井冈山新城区S1240S1240S1240井冈山 08吉福路 08吉安 TG大楼纯汇局河东纯

9、汇局大楼SHLR河东SHLR5以网络安全性为背景，现从管理制度、防攻击防病毒方面对本定级对象进行风险评估1.3 风险评估方法风险评估方法采取的风险评估方式为查阅文档、测试，评估步骤包括资产识别、脆弱性识别、威胁识别等，方法包括具体的资产、威胁和脆弱性识别方法，风险分析方法、风险结果判断依据等。1.4 评估依据评估依据本次安全风险评估参考的标准为安全防护系列标准，华为设备日常维护要求等2资产分析资产分析吉安电信华为信令网设备为双平面配置，主要提供本地和长途局间呼叫信令转接功能，因此具有非常高的重要性。序号资产名称资产类型重要性等级设备硬件高设备软件高重要数据高提供的服务高维护人员中网络拓扑高码号

10、资源低文档低1吉安信令网设备其它低3威胁分析威胁分析1）、环境威胁：6 自然界不可抗的威胁：吉安所处地理位置发生地震、泥石流、洪涝等自然灾害的可能性极小，设备分别放置在大楼局二楼和河东分局三楼室内机房，机房做好了防雷防震措施，因此遇雷击、遭洪涝的可能性极小，抗震能力也较强；其他物理威胁：机房环境温湿度异常将对设备产生影响，机房已安装动环监控系统，值班人员可利用网管告警平台远程实时监控机房环境，发现异常，立即进行处理。2）、人为威胁：非恶意人为威胁：维护人员需经过专业的培训方能担当该设备的维护角色。维护人员的操作不当将影响到设备的正常运行。为了防止该现象发生，在设备升级、业务割接前应准备好详细的

11、升级和割接测试方案，一旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制度：1 人操作，1 人检查，防止误操作。严格控制操作人员权限，不具备操作技能的人员不给予权限。恶意人为威胁：人为的恶意攻击将导致设备瘫痪。为了防止此类现象发生，已在设备上设置登陆帐号密码，采用分类权限（监控及维护）设置原则，同时启用访问控制策略，只允许特定维护 IP 地址访问该定级对象。3）、其他威胁：设备硬件和软件问题将造成设备性能下降，影响网络运行。为防止此类现象发生，已采用网管平台对设备和网络运行情况进行实时监控，同时要求设备厂家维护人员定期对设备进行巡检。此外，局方在运行中发现不可预见性的软、硬

12、件问题和隐患应及时告知厂家，并责其尽快采取有效措施予以规避和解决。序号资产名称面临的威胁类型威胁可能性等级自然界不可抗的威胁（环境威胁）低其它物理威胁（环境威胁）低恶意人为威胁中非恶意人为威胁中1吉安信令网设备其它威胁低74脆弱性分析脆弱性分析信令网设备脆弱性包括技术脆弱性和管理脆弱性两个方面，1）、技术脆弱性： 信令网设备是国内大型设备提供商华为公司生产，设备质量、售后服务及该产品的业务应用方面可得到较强的保障，信令网设备后台服务器为联想服务器，操作系统为 WINDOWS 95。机房物理环境符合信令网设备的环境要求。2）、管理脆弱性： 信令网设备采用包机到人的维护模式，设置了维护 A、B 角

13、，人为导致的设备故障或设备瘫痪将追究相关责任人责任。设备重大操作要求通过电子运维或公文形式上报，待相关领导审批同意后方可执行。重大操作要有详细的操作方案及回退方案，操作时务必要求局方人员在场，厂家操作也需遵循 1 人操作 1 人检查要求。维护人员需按维护规程要求对设备进行维护，并制作填写维护作业计划。对于可预见性的影响设备运行能力或服务的问题，应尽早提出解决方案。表 7 脆弱性严重程度列表序号资产名称脆弱性类型脆弱性严重程度等级业务/应用（技术脆弱性）中网络（技术脆弱性）中设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性）中物理环境（技术脆弱性）低1吉安信令网设备管理脆弱性中5

14、已有安全措施已有安全措施根据现网该设备的维护现状，从网络维护的“七大方面”进行描述：1通信网络安全管理制度：机房出入管理制度：本设备置于大楼二楼及河东三楼综合机房，该机房钥匙由网监机房总体管控，非机房维护人员借用该机房钥匙需有相关借用归还登记手8续，出入机房需进行相关入室登记。机房巡视检查；该机房为无人值守机房，每周巡视一到两次，并有相关巡视记录。环境监控手段；通过以太网及 2M 方式在网监中心对该机房的环境温湿度，烟感，水浸，门禁等进行远程监控。密码管理策略；该设备的网管维护账号密码每季度更新一次，遇有维护人员流动时，及时增删相关帐号。维护管理制度（值守、值班、维护作业计划等）；该设备制定有

15、年度及月度作业计划并按期执行。分权分域管理：相关设备维护人员帐号权限高于监控人员帐号权限。2灾难备份措施：现网该设备为双平面设置，平时负荷分担，应急时互为容灾备份节点。3防攻击、防病毒、防入侵措施：本定级对象因设备所配置的主机硬件条件限制，相关移动存储介质采用专用软盘，相关信息分别存储在相关软盘或主机的硬盘上。因本设备所配置的相关服务器及主机硬件条件限制（内存只有 16M），无法运行相关防病毒软件，现网 LSTP 网管终端为独立网段：134.240.3.X,启用访问控制策略，只允许特定维护 IP 地址访问该定级对象 BAM 及 IOC。通过访问控制策略，现网该设备相关服务器及主机未感染过病毒。

16、4远程维护管控措施：本设备开放省网管相关远程操作帐号及权限，供省网管远程维护及厂家远程巡检用。但远程维护使用时，都由省网管统一安排，本地一般都不知情，无法实时管控。5、涉及国庆重大活动网络单元的安全防护情况：重大节假日保障的应急预案见附件 1；模拟演练情况：暂未组织相关模拟演练维护人员的现场值班情况：节假日除监控人员外，配有现场值班及远程支撑维护人员各一人。话务分流措施：该设备至所有局向信令路由都设置了至另一平面的迂回路由。 9厂家支撑情况等风险防范工作：截止目前，厂家每次支撑都为现场支撑，未在远程支撑过。且每次都有维护人员陪同全过程，厂家每次登陆的帐号其维护后都会更改密码。附件 1：6、网络

17、组网、设备能力、环境等工作（已固定通信网为例）组网情况：1、本设备到同一邻接局向电路都是双平面配置，具备第 2 路由；2、到同一局向的本端物理端口都按规范合理配置（不同模块，不同机框或不同单板）所承载业务保障：1、本设备到同一邻接局向电路都是双平面配置，具备第 2 路由；2、到同一局向的本端物理端口都按规范合理配置（不同模块，不同机框或不同单板）物理环境保障： 1、该设备机房整治情况已符合规范。 因河东信令网设备所在机房为综合机房，非机房出入人员及各类施工无法统一管控，因施工导致机房环境卫生问题无法实时解决。2、通过 2M 或以太网方式对该机房的温湿度、烟雾等环境进行监控；3、网络维护中心检查

18、室每月不定期对机房相关日常维护及机房现场进行抽查一到两次。设备硬件：1、重要板卡主备情况：本设备相关重要板件都有备件，具体见附件 2。 2、每年针对备卡进行一到 2 次（主要安排在设备扩容或升版期间）倒换测试：3、重要板卡备件库的储备情况：见附件 2。104、本设备已在网运行 10 年，尚未逾龄，但也面临设备老化问题；5、后台服务器及相关主机运行较稳定，故障率较小，因本设备所配置的相关服务器及主机硬件条件限制（内存只有 16M），无法运行相关防病毒软件；配置很低，不支持 USB 接口，且只支持 WIN9X 操作系统，使异地存储及相关负荷统计非常不便。重要数据保护：1、本设备无话单，相关数据每个

19、月异地备份至网管软交换终端（保存 3-6 个月）；2、新数据制作执行一人制作，测试，另一人核查机制。七维护人员情况：信令网设备现主要维护人员 2 人，实行 A，B 角配置，相关维护人员只进行过省公司组织的一周培训。6安全风险分析安全风险分析结合信令网设备包含的资产、自身存在的脆弱性、面临的安全威胁、已采取的安全措施等因素，分析如下：1通信网络安全管理制度：河东信令网设备因处于综合机房，同机房还有数据，网关，C 网，网优中心ETS、小灵通等设备，机房钥匙在本中心及无线网优中心都有。因近期各类网络优化，升级，割接不断，不同设备厂家人员及其他非机房维护人员出入频繁，相关出入管理登记及钥匙外借手续无法

20、统一管控，急需完善相关管理制度。鉴于以上原因，从网络安全考虑，建议对该机房两个门口安装相关设备进行视频监控。大楼二楼信令网设备只有本中心设备，机房出入及钥匙外借统一管控。2灾难备份措施：现网该设备双平面配置，业务负荷分担且互为容灾备份节点。3防攻击、防病毒、防入侵措施：从上述已有安全措施分析，因硬件条件限制，只通过访问控制策略，该方面存在较低的安全风险。114远程维护管控措施：截止目前，除本地网相关维护人员及厂家支撑人员的相关远程操作，本地一般都不知情。无法实时管控。5、涉及国庆重大活动网络单元的安全防护情况：因该设备所带业务为本地网所有信令，暂未组织相关模拟演练。需在省公司统一安排组织下进行

21、相关演练。6、网络组网、设备能力、环境等工作物理环境保障：因本设备所在机房为综合机房，非机房出入人员及各类施工无法统一管控，因施工导致机房环境卫生问题无法实时解决。设备硬件：本设备已在网运行 10 年，面临设备老化问题；因本设备所配置的相关服务器及主机硬件条件限制（内存只有 16M），无法运行相关防病毒软件。七维护人员情况：信令网设备现主要维护人员 2 人，实行 A，B 角配置，相关维护人员只进行过省公司组织的一周培训。知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）百度一下知识水坝7风险处置计划及整改情况风险处置计划及整改情况序号 网络风险处置计划责任部门预期效果实施条件

22、计划进度1河东信令网通信网络安全管理制度相关出入管理登记及钥匙外借手续统一管控，及视频监控网络部完善机房出入及钥匙外借手续，通过视频监控，间接保障网络安全钥匙统一管理，安装视频摄象头待定2防攻击，防病毒，防入侵措施需更换相关主机网络维护安装中心是得防病毒措施更完善待具备相关闲置终端年内3远程维护管控措施相关操作本地实时管控省网管统一安排告知本地网本地网实时管控本设备相关操作每次操作前，省网管统一安排告知本地网待定4模拟演练应急情况下的模拟演练， 省公司统一安排提高维护人员故障应急处理能力待，省公司统一安排待定5河东设备物理环境保障机房出入统一管控后，对外界施工影响卫生的情况可及时督促并处理网络部避免外界施工影响机房卫生，从而影响设备卫生，保障设备稳定运行钥匙统一管理，安装视频摄象头待定6设备硬件需更换相关主机网络维护安装中心是得防病毒措施更完善待具备相关闲置终端年内7维护人员情况相关培训省公司统一安排组织提高维护人员维护技能，更好的维护相关设备省公司统一安排组织待定138总结总结从以上网络安全及相关风险分析可看出，本设备在通信网络安全管理制度，防攻击，防病毒，防入侵措施，远程维护管控措施，模拟演练，组网情况，河东设备物理环境保障，设备硬件等方面仍存在有待完善的地方，我们将按相关计划逐步完善。9附件附件安全保密制度机房管理制度