中國電信吉安分公司IP城域網(wǎng)安全風險評估報告.doc

知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 中國電信江西省固定通信網(wǎng)中國電信江西省固定通信網(wǎng) 安全風險評估報告安全風險評估報告 中國電信吉安分公司中國電信吉安分公司 二零零九年七月 評估對象：評估對象： ip承載網(wǎng)吉安ip城域網(wǎng) 評估單位：評估單位： 吉安分公司網(wǎng)絡維護安裝中心 評估日期：評估日期：2009 年年 7 月月 20 日至日至 2009 年年 7 月月 31 日日 編號：編號： ctsecjiangxi-jian-01- 200907 企業(yè)秘密企業(yè)秘密 編號： ctsecjiangxi-jian-01- 200907 企業(yè)秘密 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 目目 錄錄 1概述3 1.1目的 3 1.2內(nèi)容及范圍 3 1.3風險評估方法 3 1.4評估依據(jù) 3 2資產(chǎn)分析3 2.1本地網(wǎng) 3 2.2省內(nèi)長途網(wǎng) 4 3威脅分析5 3.1本地網(wǎng) 5 3.2省內(nèi)長途網(wǎng) 5 4脆弱性分析7 4.1本地網(wǎng) 7 4.2省內(nèi)長途網(wǎng) 7 5已有安全措施8 6安全風險分析8 7風險處置計劃及整改情況9 8總結(jié)9 9附件9 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱文檔名稱 中國電信江西省吉安市 ip 承載網(wǎng)安全風險評估報告 文件編號 編制人王桂英 保密級別企業(yè)秘密 修改過程 版本號版本號日期日期負責人負責人概述概述 v1.02009.7.26王桂英 評審過程 版本號版本號日期日期評審者評審者概述概述 分發(fā)范圍 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 1概述概述 1.1目的目的 近期中國電信陸續(xù)發(fā)生網(wǎng)絡障礙、服務效能事件、安全事件，造成很不良的社會 影響。為全面查找 ip 承載網(wǎng)的維護管理、網(wǎng)絡運行中存在的薄弱環(huán)節(jié)、安全隱患， 并針對存在的問題及時采取有效措施，全面開展網(wǎng)絡優(yōu)化、安全整治工作，落實 安全防護措施，消除安全隱患，從而提高網(wǎng)絡運行的安全性、可靠性，提升網(wǎng)絡 運行質(zhì)量，為全業(yè)務運營打下堅實的基礎(chǔ)。同時，為 60 周年國慶活動提供可靠的 網(wǎng)絡安全保障。 1.2內(nèi)容及范圍內(nèi)容及范圍 定級對象：吉安 ip 城域骨干網(wǎng) 說明定級對象的情況，包括所提供的業(yè)務功能、覆蓋范圍、網(wǎng)絡架構(gòu)、與其他網(wǎng) 絡之間的邊界等，并說明對哪些方面（如管理制度、防攻擊防病毒等）進行風險 評估。 吉安寬帶城域骨干網(wǎng)分為核心匯聚層、業(yè)務控制層兩個層次。 核心匯聚層： 在 82 局和 81 局各設有一臺 cisco 高端路由器 gsr12816 和華為 ne5000 設備 構(gòu)成核心匯聚層，作為吉安城域網(wǎng)核心出口。對上各以一條 10g 鏈路分別連接南 昌和九江國家骨干網(wǎng)接入路由器，使得吉安城域網(wǎng)總出口帶寬為 40g；兩核心設 備之間以 2 個 2.5g 鏈路互聯(lián)，并分別通過 2*ge 鏈路連至 cn2 骨干接入節(jié)點， 實現(xiàn)與 cn2 網(wǎng)的互聯(lián)。 二、業(yè)務接入控制層： 1、業(yè)務接入控制層分別由 82 局、81 局、83 局、idc 將各一臺 sr 設備和全市共 20 臺寬帶接入服務器構(gòu)成。具體的設備組成為：82 局 osr7609 、81 局 3 osr7609 、師院 ma5200g、81 局 me60 、82 局 se800、82 局 se1200、83 局 se800、安福 se800 、泰和 se800-1 、 泰和 se800-2、遂川水北 se800 、遂川 水南 se800、吉安縣中心局 se400 、吉安縣開發(fā)區(qū) se800、吉水 se400 、新干 se800 、萬安 se800、峽江 se800 、永豐 se800 、永新 se800 、井岡山茨坪 se800、井岡山新城區(qū) ma5200g。 2、3 臺 sr 設備 osr7600 和 20 臺寬帶接入服務器各通過兩條 ge 鏈路上聯(lián)至兩 臺核心路由器，idc 機房的 gsr12416 上聯(lián)鏈路為 2 個 2.5g。 3、為確保寬帶接入業(yè)務控制層面和匯聚層面網(wǎng)絡的安全可靠運行，保障在出現(xiàn) 較大故障等意外緊急情況下，迅速搶通電路，恢復通信，82 局 se1200 設備在分 擔 82 局向部分業(yè)務的同時作為全市集中的應急 bas 設備，分別對除 82 局、吉安 縣、泰和、遂川、師院之外的 bas 設備進行冗余備份保護。市本部 81、83 中心 匯聚交換機各以一條裸纖傳輸 ge 鏈路連接應急 bas，而各縣市分公司中心匯聚 交換機先經(jīng)過級聯(lián)后，以中心機房的匯聚交換機通過一個 ge 波分傳輸鏈路連接 應急 bas，作為各 ip 端局接入?yún)R聚層的應急保護鏈路。82 局、吉安縣、泰和、 遂川兩臺 bas 設備互為冗余備份，師院 ma5200g 以 81 局 me60 作為應急 bas 進行冗余保護。目前冗余保護的業(yè)務主要為 pppoe 何 dhcp 業(yè)務，采用的熱備 份方式。 具體網(wǎng)絡拓撲如下： 4 cn2 南南昌昌 大大樓樓河河東東 a1 a2 s1s2 sisi 大樓 se800 大樓 7609 sisi 井岡 山 se800 sisi 河東 5200 g sisi 吉安 縣 se400 sisi 師院 5200 g sisi 安福 se800 sisi 城南 se800 sisi 吉水 se400 sisi 永新 se800 sisi 遂川 se800 sisi 永豐 se800 sisi 泰和 se800 sisi 峽江 se800 sisi 新干 se800 idcgs r1241 6 河東 7609 ge gegegege ge ge ge gegegegege ge gege 2.5ge ge ge ge gege ge gege ge 2.5ge ge gegege gege 九九江江 10ge 10ge 2*2.5g 10ge10ge sisi 萬安 se800 ge ge 2.5g 2.5g2.5g2.5g 2.5ge 2.5ge 城南 7609 sisi 大樓 me60 -8 sisi 大樓 se120 0 sisi 泰和 se800 sisi 吉安 先縣 新城 區(qū) se800 sisi 遂川 se800 吉吉安安ip城城域域網(wǎng)網(wǎng)拓拓撲撲方方案案圖圖 骨骨干干層層 核核心心匯匯聚聚層層 接接入入控控制制層層 本次評估將從吉安 ip 城域網(wǎng)的網(wǎng)絡結(jié)構(gòu)、路由部署的合理性，設備運行安全、 可靠性（包括硬件環(huán)境、單板、單點隱患、設備性能、鏈路可靠性、安全防護、 數(shù)據(jù)配置的規(guī)范性等）和維護管理等幾個方面進行風險評估。 1.3風險評估方法風險評估方法 說明采取的風險評估方式，步驟、方法等。評估方式包括訪談、查閱文檔、測試 等，評估步驟包括資產(chǎn)識別、脆弱性識別、威脅識別等，方法包括具體的資產(chǎn)、 威脅和脆弱性識別方法，風險分析方法、風險結(jié)果判斷依據(jù)等。 本次評估采取的評估方式有：查閱文檔、咨詢廠家、技術(shù)驗證、測試、人工檢查， 維護骨干集中討論、分析。 評估步驟：首先進行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi) 容、收集相關(guān)信息、開展脆弱性評估、威脅性評估，編寫評估報告和整治計劃。 評估方法有：根據(jù)收集網(wǎng)絡和設備現(xiàn)狀相關(guān)信息，與相關(guān)維護管理規(guī)范和廠家設 備技術(shù)規(guī)范核查，并結(jié)合實際維護工作經(jīng)驗，識別設備威脅和脆弱性。 5 1.4評估依據(jù)評估依據(jù) 說明本次安全風險評估參考的標準和文檔，如安全防護系列標準等。 2資產(chǎn)分析資產(chǎn)分析 說明該定級對象包括的資產(chǎn)及相關(guān)屬性。ip 城域骨干網(wǎng)包括城域網(wǎng)核心設備和業(yè) 務控制層的 bas 和 sr 設備，涉及的資產(chǎn)重要性分析如下： 2.1城域網(wǎng)核心設備城域網(wǎng)核心設備 吉安 ip 城域網(wǎng)核心設備有兩臺，分別為大樓的 gsr12816 和河東的 ne5000，這 兩臺設備作為本地網(wǎng)的核心匯聚設備，匯聚了業(yè)務控制層 20 臺 bras 設備和 3 臺業(yè)務路由器，即承擔本地網(wǎng)路由的交換，又與 chinanet 骨干網(wǎng)互聯(lián)，實現(xiàn) 路由的交換和數(shù)據(jù)的轉(zhuǎn)發(fā)，是 ip 城域網(wǎng)的核心，具有非常高的重要性。 表 1 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 硬件高 軟件：軟件版本 文件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務高 文檔中 維護人員中 1 大樓核心設備 gsr12816 網(wǎng)絡拓撲中 6 硬件高 軟件：軟件版本 文件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務高 文檔中 人員中 2 河東核心設備 ne5000 網(wǎng)絡拓撲中 注：資產(chǎn)類型包括硬件、設備軟件、重要數(shù)據(jù)、提供的服務、文檔、人員、網(wǎng)絡 拓撲、碼號資源等類別；重要性等級分為高中低三檔。按照重要性等級（高中低 三檔）從高到低排列。 2.2城域網(wǎng)業(yè)務控制層城域網(wǎng)業(yè)務控制層 吉安城域網(wǎng)業(yè)務控制層由 3 臺 sr 和 20 臺 bars 設備構(gòu)成，每臺設備承載了一個 ip 端局的業(yè)務，是城域網(wǎng)業(yè)務承載和控制的核心，具有舉足輕重的作用。 表 2 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 硬件高 1 大樓 se1200、大樓 se800、河東 me60、城南 se800、大樓 osr7609、河 東 osr7609。 軟件：軟件版本 文件 高 7 重要數(shù)據(jù)：路由、 策略 高 提供的服務高 文檔中 人員中 網(wǎng)絡拓撲中 硬件中 軟件：軟件版本 文件 中 重要數(shù)據(jù)：路由、 策略 中 提供的服務中 文檔中 維護人員中 2 井大 ma5200g、城南 osr7609、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣中心局 se400、吉安縣開 發(fā)區(qū) se800、安福 se800、永新 se800、 井岡山新城區(qū) ma5200g、遂川水南 se800、萬安 se800、泰和中心局 se800- 1 和 se800-2、遂川水北 se800 網(wǎng)絡拓撲中 說明：上述表中所述的大樓 se800se1200、河東 me60、城南 se800 由于承載的 用戶較多，而井岡山茨坪 se800 承載的是紅色教育基地井岡山風景區(qū)的業(yè)務，具 有較強的政治影響，大樓 osr7609 和河東 osr7609 設備作為城域網(wǎng) asbr 設備， 承載了大量的與 cn2 網(wǎng)跨域互聯(lián)的業(yè)務，如軟交換業(yè)務、大客戶跨域 vpn 業(yè)務， 在城域網(wǎng)占有比較高的重要性，所以定位上述這幾個設備重要性為高等級。 8 3威脅分析威脅分析 ip 城域網(wǎng)的威脅根據(jù)來源可分為技術(shù)威脅、環(huán)境威脅、人為威脅和其他威脅。環(huán) 境威脅包括自然界不可抗的威脅和其它物理威脅。根據(jù)威脅的動機，人為威脅又 可分為惡意和非惡意兩種。 1、人為威脅 1）非惡意人為威脅：維護人員的操作不當，從而影響到設備的正常運行。為了 防止該現(xiàn)象發(fā)生，在設備升級、業(yè)務割接前應準備好詳細的升級和割接方案，一 旦升級、割接失敗則立即啟用回退方案；嚴格落實局數(shù)據(jù)修改規(guī)范，落實雙人制 度：1 人操作，1 人檢查，防止誤操作。嚴格控制操作人員權(quán)限，不具備操作技能 的人員不給于權(quán)限。 2）惡意人為威脅：人為的惡意攻擊、導致設備癱瘓。為了防止此類現(xiàn)象發(fā)生， 已在設備上設置帳號密碼，采用 1 人 1 個帳號的原則，同時啟用防護策略封堵一 些常見的病毒端口，嚴格落實設備數(shù)據(jù)配置規(guī)范，關(guān)閉不必要的服務，通過訪問 控制列表精細控制不同應用類型的訪問設備的源地址及其訪問權(quán)限。此外，應在 城域網(wǎng)中部署一臺流量清洗設備，來有效過濾網(wǎng)絡中的惡意流量。同時做好機房 的“四防”工作。 2、技術(shù)威脅 設備硬件問題和軟件 bug 造成設備性能下降，影響網(wǎng)絡運行，為防止該類現(xiàn)象 發(fā)生，需采用 ip 綜合網(wǎng)管平臺對設備和網(wǎng)絡運行情況進行監(jiān)控，同時要求各設備 廠家維護人員定期對設備進行巡檢，廠家發(fā)現(xiàn)軟、硬件的 bug 和隱患應及時告 知局方，并采取有效措施予以規(guī)避和解決。 3、環(huán)境威脅 1）自然界不可抗的威脅：ip 承載網(wǎng)業(yè)務控制層面以上的設備均防止在機房，遇 雷擊的可能性極小，抗震能力也較強； 9 2）其他物理威脅：機房環(huán)境溫度造成設備出現(xiàn)異常，需利用動環(huán)監(jiān)控系統(tǒng)，實 時監(jiān)控機房環(huán)境溫度，嚴格控制好通信機房的環(huán)境溫濕度；此外，利用 ip 綜合網(wǎng) 管的告警平臺， 對設備溫度進行實時告警，發(fā)現(xiàn)異常，立即進行處理。 ip 城域網(wǎng)的威脅分析如下： 3.1核心層核心層 1、大樓核心路由器 gsr12816 設備： 1） 、自然界不可抗力的威脅：大樓 gsr12416 設備放置在吉安大樓通信樞紐樓， 該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準 安裝了多級防雷設施，機房抗震、防雷、防洪等性能都較強，受自然界不可抗力 的威脅較低。 2） 、其他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存 在相關(guān)威脅。但是，該設備所在機房地板為架空鋼底瓷面地板，支架也為鋼管材 質(zhì)，但是設備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地 震、爆炸等自然或認為災害，很容易引起設備滑動、塌陷，導致重大通信故障， 因此定義威脅等級為“中”級。 3） 、惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復 雜和惡劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時 有發(fā)生，而目前該設備除自身配置上采取了一些防范措施外，沒有其他任何有效 防范手段，因而我們認為其受惡意和非惡意人為威脅的可能性比較大，定義威脅 等級為“中”級。 4） 、其他威脅：低。 2、河東核心路由器 ne5000 設備： 1） 自然界不可抗力的威脅：河東 ne5000 設備放置在吉安大樓通信樞紐樓， 10 該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實，地勢較高，并且按照通信樓的建設標準 安裝了多級防雷設施，機房抗震、防雷、防洪等性能都較強，受自然界不可抗力 的威脅較低。 2） 其他物理威脅（環(huán)境威脅）：該機房環(huán)境溫濕度符合要求，密封性好，不存 在相關(guān)威脅。 3）惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復 雜和惡劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時 有發(fā)生，而目前該設備除自身配置上采取了一些防范措施外，沒有其他任何有效 防范手段，因而我們認為其受惡意和非惡意人為威脅的可能性比較大，定義威脅 等級為“中”級。 4） 其他威脅：低。 本地網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 4 威脅可能性列表 序號資產(chǎn)名稱面臨威脅類型威脅可能性等級 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 1 大樓核心設備 gsr12816 其它威脅 低 自然界不可抗的威 脅（環(huán)境威脅） 低 2 河東核心設備 ne5000 其它物理威脅（環(huán) 境威脅） 低 11 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 3.2業(yè)務控制層業(yè)務控制層 業(yè)務控制層面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 5 威脅可能性列表 序號資產(chǎn)名稱面臨威脅類型威脅可能性等級 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 1 大樓 se800、se1200 設備 其它威脅 低 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 低 惡意人為威脅 中 非惡意人為威脅 中 2 新干、峽江、永豐、吉水、吉安 縣、安福、永新、井岡山、泰和、 遂川、萬安、河東、城南、井岡 山大學的 bas 設備和大樓、河東 sr 設備 其它威脅 低 1）上述設備均放置在市或縣中心局的通信樓機房內(nèi)，均按照通信幾樓設計標準 設計、建設的，所以機房的防震、防雷、防洪水等抗自然災害性均較強，而且機 12 房環(huán)境按照相關(guān)管理標準進行控制，其威脅性都較低。 2）在上表所述大樓 se800、se1200 設備的其他物理威脅等級為“中”主要指大樓 數(shù)據(jù)機房 gs12816 設備所在機房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)， 但是設備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地震、 爆炸等自然或認為災害，很容易引起設備滑動、塌陷，導致重大通信故障。 3）惡意和非惡意人為威脅定位為“中”等級主要是考慮設備運行公網(wǎng)中，目前互聯(lián) 網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各 種網(wǎng)絡安全事件時有發(fā)生，而目前該設備除自身配置上采取了一些防范措施外， 沒有其他任何有效防范手段，因而我們認為其受惡意和非惡意人為威脅的可能性 比較大。 4脆弱性分析脆弱性分析 ip 城域網(wǎng)的脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面，技術(shù)脆弱性又可分為 業(yè)務/應用、網(wǎng)絡、設備（含操作系統(tǒng)和數(shù)據(jù)庫） 、物理環(huán)境等方面的脆弱性。脆 弱性識別對象應以資產(chǎn)為核心。吉安 ip 城域網(wǎng)的脆弱性分析如下： 4.1核心層核心層 核心層的脆弱性按照其嚴重程度，分為高、中、低三檔，列表如下： 表 7 脆弱性嚴重程度列表 序號資產(chǎn)名稱脆弱性類型脆弱性嚴重程度等級 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 低 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 1 大樓核心設備 gsr12816 物理環(huán)境（技術(shù) 脆弱性） 低 13 管理脆弱性 低 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 低 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 低 物理環(huán)境（技術(shù) 脆弱性） 低 2 河東核心設備 ne5000 管理脆弱性 低 4.2業(yè)務業(yè)務控制層控制層 業(yè)務控制層的脆弱性按照其嚴重程度，分為高、中、低三檔，列表如下： 表 7 脆弱性嚴重程度列表 序號資產(chǎn)名稱脆弱性類型脆弱性嚴重程度等級 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 低 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 物理環(huán)境（技術(shù) 脆弱性） 低 1 大樓 sr 設備 osr7609、河東 7609、城南 7609、idc 機房 gsr12416 管理脆弱性 低 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 中 2 大樓 se800、井大 ma5200g、 吉安縣 se800、遂川水南 se800 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 14 物理環(huán)境（技術(shù) 脆弱性） 低 管理脆弱性 低 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 低 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 低 物理環(huán)境（技術(shù) 脆弱性） 低 3 大樓 se1200、河東 me60 管理脆弱性 低 業(yè)務/應用（技術(shù) 脆弱性） 低 網(wǎng)絡（技術(shù)脆弱 性） 中 設備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 物理環(huán)境（技術(shù) 脆弱性） 低 4 城南 se800、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣 se400、吉安縣 開發(fā)區(qū) se800、安福 se800、永 新 se800、井岡山 se800、泰和 se800-1、se800-2、遂川水北 se800、萬安 se800 管理脆弱性 中 以下是城域網(wǎng)網(wǎng)絡和設備性能分析： 鏈路流量分析 城域網(wǎng)核心設備至骨干網(wǎng)接入設備鏈路 序號 城域網(wǎng)核心設 備 骨干網(wǎng)接入設 備 鏈路帶 寬 下行流量 平均值 （m） 上行流量 平均值 （m） 下行流量 峰值 （m） 上行流量 峰值 （m） 181 局 ne5000e南昌10ge1700200027003100 281 局 ne5000e九江10ge1800170030002800 3 82 局 gsr12816 南昌 10ge893160015002700 4 82 局 gsr12816 九江 10ge1700190029003100 5 82 局 gsr12816 81 局 ne5000e 10ge82264714001000 15 6 82 局 gsr12816 81 局 ne5000e 10ge4836458001000 核心層/匯聚層下聯(lián)業(yè)務接入控制層鏈路 序號 核心層/匯聚層 設備 業(yè)務接入控制 層設備 鏈路帶 寬 下行流量 平均值 （m） 上行流量 平均值 （m） 下行流量 峰值 （m） 上行流量 峰值 （m） 181 局 ne5000e82 局 se800ge212226384400 281 局 ne5000e82 局 se800ge151179239275 381 局 ne5000e82 局 se1200ge169186263297 481 局 ne5000e83 局 se800ge164168265271 581 局 ne5000e81 局 me60-8ge173202283340 681 局 ne5000e井大 ma5200gge213169419358 781 局 ne5000e吉水 se800ge206236369408 881 局 ne5000e安福 se800ge166231291370 981 局 ne5000e萬安 se800ge188182339323 1081 局 ne5000e永新 se800ge139184254325 1181 局 ne5000e永豐 se800ge204360352630 1281 局 ne5000e峽江 se800ge102122162206 1381 局 ne5000e新干 se800ge234241391389 1481 局 ne5000e井岡山 se800ge168235387378 1581 局 ne5000e 井岡山 ma5200gge139184254325 1681 局 ne5000e吉安縣 se400ge181199313343 1781 局 ne5000e吉安縣 se800ge176200311325 1881 局 ne5000e泰和 se800-1ge227195379310 1981 局 ne5000e泰和 se800-2ge223190389309 2081 局 ne5000e遂川 se800-1ge208243339378 2181 局 ne5000e遂川 se800-2ge196241315368 2281 局 ne5000e82 局 sr7609ge138214219344 2381 局 ne5000e81 局 sr7609ge7578130139 2481 局 ne5000e83 局 sr7609ge6973132156 26 82 局 gsr12816 82 局 se800 ge218191383346 27 82 局 gsr12816 82 局 se800 ge1553923877 28 82 局 gsr12816 82 局 se1200 ge169186263297 29 82 局 gsr12816 83 局 se800 ge164138264226 30 82 局 gsr12816 81 局 me60-8 ge166166276288 31 82 局 gsr12816 井大 ma5200g ge212121422237 32 82 局 gsr12816 吉水 se800 ge194201334368 33 82 局 gsr12816 安福 se800 ge167180285309 34 82 局 gsr12816 萬安 se800 ge190159344278 35 82 局 gsr12816 永新 se800 ge139175247306 16 36 82 局 gsr12816 永豐 se800 ge19290401196 37 82 局 gsr12816 峽江 se800 ge94109159187 38 82 局 gsr12816 新干 se800 ge221180396303 39 82 局 gsr12816 井岡山 se800 ge167180285309 40 82 局 gsr12816 井岡山 ma5200gge203179324308 41 82 局 gsr12816 吉安縣 se400 ge179192317322 42 82 局 gsr12816 吉安縣 se800 ge156197345338 43 82 局 gsr12816 泰和 se800-1 ge227183391307 44 82 局 gsr12816 泰和 se800-2 ge198178369356 45 82 局 gsr12816 遂川 se800-1 ge207187334311 46 82 局 gsr12816 遂川 se800-2 ge203179324308 47 82 局 gsr12816 82 局 sr7609 ge126170228265 48 82 局 gsr12816 81 局 sr7609 ge8359146126 49 82 局 gsr12816 83 局 sr7609 ge7942156112 2）設備端口、槽位使用現(xiàn)狀： 骨干路由器現(xiàn)狀表骨干路由器現(xiàn)狀表 10g10g 端口端口2.5g2.5g 端口端口gege 端口端口 序序 號號 設備名稱設備名稱現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 插槽空余數(shù)插槽空余數(shù) 18181 局局 ne5000ne50002 22 20 06 63 33 34040252515158 8 28282 局局 gsr12816gsr128162204315025258 業(yè)務路由器現(xiàn)狀表業(yè)務路由器現(xiàn)狀表 2.5g2.5g 端口端口gege 端口端口155m155m 端口端口100m100m 端口端口 序號序號設備名稱設備名稱 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空余空余 現(xiàn)現(xiàn) 有有 已已 用用 空余空余 插槽插槽 空余空余 數(shù)數(shù) 181 局 7609 000 207130004810385 282 局 7609 000 201370004811374 383 局 7609 000 243210000005 4 idc 機房 gsr12416 422145900000011 17 3）設備性能統(tǒng)計： 溫度（最高） 設備節(jié)點 設備版本 cpu 利 用率 (%) memory 利用率 (%) 主控 板 業(yè)務 板 大樓城域網(wǎng) gsr12816ios 12.0(32)sy4 2.006.8833.250 河東城域網(wǎng) ne5000e5.50 (ne5000e v200r003c02b609)6.2033.793338 大樓 osr6509 12.2(18)sxf313273945 城南 osr7609 ios 12.2(33)srd1.0019.823445 河東 osr7609 12.2(18)sxf31.0019.323743 井岡山大學 ma5200gma5200g-4-vrp5.30-release 331056001258.584953 大樓 se800 seos-5.0.7.9p5-release7.0086.063457 大樓 se1200 seos-6.1.3.5p5-release8.006.164643 河東 me60 version 5.30 (me60 v100r005c02b01b)9.522.524548 城南 se800 seos-5.0.7.9p5-release2.0027.093845 吉安縣 se400 seos-5.0.7.10p17-release3.0051.484260 吉安縣 se800 seos-6.1.1.5p10-release5.0019.92640 泰和 se800 seos-5.0.7.9p5-release2.0053.883447 泰和 se800 新 seos-6.1.1.5p10-release1.221.13442 遂川 se800 seos-5.0.7.9p5-release3.0058.544245 遂川 se800 新 seos-6.1.1.5p10-release2.0020.653444 永新 se800 seos-5.0.7.9p5-release3.0054.254251 永豐 se800 seos-5.0.7.9p5-release2.0059.284649 井岡山 se800 seos-5.0.7.9p5-release2.0066.285057 峽江 se800 seos-5.0.7.9p5-release0.0025.144256 安福 se800 seos-5.0.7.9p5-release5.0054.614245 萬安 se800 seos-5.0.7.9p5-release1.0023.734252 新干 se800 seos-5.0.7.9p5-release7.0075.074656 吉水 se400 seos-5.0.7.9p5-release3.0056.754260 具體的脆弱性分析詳見附件一。 18 5已有安全措施已有安全措施 （1）制度建設：已建立機房出入管理制度、機房環(huán)境管理制度、機房信息保密 制度、機房交接班制度、機房十不準等制度，并上墻。建立了機房管理規(guī)范，如 設施管理規(guī)范、維護作業(yè)規(guī)范、環(huán)境管理規(guī)范等，并組織學習和落實， （2）所有機房已開展了機房標準化整治工作，并建設了動環(huán)監(jiān)控、煙感系統(tǒng)， 目前實行市縣二級監(jiān)控。 （3）市公司網(wǎng)維中心每月定期開展維護基礎(chǔ)管理，包括機房現(xiàn)場管理、資料管 理、作業(yè)計劃、電子值班、電子機歷本、備品備件的管理的檢查，夯實維護基礎(chǔ) 管理工作。 （4）6 月份開展了端局機房動環(huán)監(jiān)控系統(tǒng)的全面檢查工作，對存在的問題整擬定 計劃進行整改。 （5）落實維護作業(yè)計劃和機房巡檢制度，每月定期進行設備配置數(shù)據(jù)備份，進 行設備表面和風扇過濾網(wǎng)的清潔工作，實時更新設備健康檔案和網(wǎng)絡維護相關(guān)資 料。 （6） 按照專人專用的原則進行設備維護管理賬號的分權(quán)分域管理，并按照安全 要求設置強壯的口令，設置設備安全訪問控制策略和防 ddos 攻擊策略。 （7） 更新編制了城域網(wǎng)業(yè)務承載和數(shù)據(jù)配置規(guī)范，并落實于日常維護建設工 作中。 （8）更新編制了城域網(wǎng)應急預案和應急 bas 應急保障方案、演練方案，并組織 相關(guān)維護人員學習。 （9）09 年建設了一臺集中的應急 bas，作為其他 bas 設備冗余保護設備，目 前只保護了 pppoe 和 dhcp 業(yè)務，同時在 82 局、吉安縣、泰和、遂川建設了第 二臺 bas 設備，一是進行了業(yè)務分擔，同時互為冗余備份，減輕單點隱患。 （10） 5 月份開展了對全市城域網(wǎng)業(yè)務控制層以上設備的本地 console 串 19 口電纜的清查和連接測試工作，目前所有設備的本地維護管理串口電纜都實時連 接在設備上，以備應急只需。 6安全風險分析安全風險分析 經(jīng)過詳細、全面的分析和評估，目前我市 ip 城域網(wǎng)存在的安全風險主要有： 1） 吉安市 82 局數(shù)據(jù)機房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，其中 d01 機房設備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地 震、爆炸等自然或認為災害，很容易引起設備滑動、塌陷，導致重大通信故障。 此風險短期內(nèi)可接受，但從長遠來看，是一個較大的隱患，需要整治。 2） 吉安市 82 局數(shù)據(jù)機房重要設備較多，且對溫度覺敏感，目前全部采用普通 的獨立式空調(diào)，環(huán)境溫濕度控制效果差，常導致機房內(nèi)設備溫度過高告警。此風 險短期內(nèi)通過加強機房環(huán)境監(jiān)控，適時做好空調(diào)溫度的調(diào)控，可避免溫度過高告 警，但從長期來看，應盡快將空調(diào)更換為機房專用空調(diào)，以提高安全性，同時還 節(jié)能。 3） 城域網(wǎng)設備備件匱乏，但由于核心路由器由冗余備份，而應急 bas 的建設 又為其他 bas 設備提供了冗余保護，通過應急調(diào)度能在短時間內(nèi)（30 分鐘）搶 通業(yè)務，因此該風險為可接受的風險。 4） 城域網(wǎng) igp 使用 ospf 路由，目前只設有一個區(qū)域，而設備數(shù)量已接近 40 臺，存在區(qū)域內(nèi)路由處理效率降低的風險，該風險目前還能接受，但隨著設備的 增加和業(yè)務的不斷擴展，日常涉及路由的數(shù)據(jù)制作的頻繁性，該風險將日益提高， 應盡快采取措施解決：將城域網(wǎng)內(nèi)的 igp 路由改為 is-is 或設置層次化的 ospf 區(qū)域。 5） 大樓核心路由器 gsr12816 設備的電源模塊還為 gsr16 型模塊，功率不足， 存在風險。目前由于設備上所插板卡不多，數(shù)據(jù)轉(zhuǎn)發(fā)流量還不高，因此該電源模 塊還能支撐設備正常運行，但從長遠來看，存在供電不足的隱患，因此需盡快更 20 換成 gsr18 型的模塊。 6） 城南 osr7609、城南 se800、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣 se800-1、吉安縣 se800-2、永新 se800、井岡山 se800、泰和 se800-1，太和縣 se800-2、萬安 se800 等設備只配有 1 塊千兆卡，上下行鏈路均 開放在該板卡上，存在單板隱患。該隱患為不可接受的風險，隨時可能發(fā)生，需 要加以整改，并在今后的工程建設中盡量避免此類隱患。 7） 目前各 bas 設備只實現(xiàn)了對 pppoe 業(yè)務的保護，靜態(tài)用戶、vpn 等業(yè)務還 存在單點隱患，同時 sr 設備也存在單點隱患，需采取技術(shù)措施如 vrrp、人工 同步數(shù)據(jù)等方式解決。此風險是不可接受的風險，但是需要較長的時間才能得到 解決。 8） 井岡山大學 ma5200g、吉安縣開發(fā)區(qū) se800 和遂川水北 se800 設備兩條上 行鏈路走同光纜路由，存在嚴重的安全隱患，需盡快加以整改。 城域網(wǎng)大部分 se800/400 設備現(xiàn)運行的軟件版本存在 bug（據(jù)廠家明確） ，為不 可接受的風險，需盡快進行升級。 9）大樓 se800、井岡山 se800、新干 se800 設備內(nèi)存利用率偏高，主要原因可能 是設備軟件 bug 所致，需盡快升級軟件版本，消除隱患。 10） 井岡山大學 ma5200g 設備上千兆端口全部占用，無一個空閑端口，遇故障 將無端口更換，同時也缺乏備件，因而需要盡快進行擴容，以消除隱患。 11） 各縣市設備、電路的標簽標識不夠清晰和規(guī)范，同時未完全落實每月定期 清潔、清洗設備表面和風扇過濾網(wǎng)，下一步需整改和強化。 12） 部分設備存在一些冗余數(shù)據(jù)和不規(guī)范數(shù)據(jù)，需清理和整改，同時安全防范 措施還需全面梳理和加固。 13） 本地網(wǎng)乃至省骨干層面網(wǎng)絡缺乏有效地網(wǎng)絡安全檢測手段和防御措施， 網(wǎng) 絡的安全防御性能差，在遭網(wǎng)絡攻擊時易造成網(wǎng)絡流量異常和中繼擁塞等故障， 21 同時在故障發(fā)生時又缺乏高效的手段監(jiān)測、分析和排查故障，給維護管理帶來困 難，存在網(wǎng)絡運營、維護管理風險，希望能盡快建設相關(guān)安全防范、監(jiān)測手段。 14） cisco 設備和 redback 設備的維保質(zhì)量不高，本地化廠家技術(shù)支撐水平 不高，此風險暫時為可接受風險。 7風險處置計劃及整改情況風險處置計劃及整改情況 說明針對不可接受風險的風險處理計劃。風險處理計劃中應明確涉及的資產(chǎn)、責 任部門、預期效果、實施條件、計劃進度等內(nèi)容。 對于在檢查過程中可通過整改消除的風險，企業(yè)應及時整改，并說明整改情況。 序號網(wǎng)絡風險處置計劃責任部門預期效果實施條件計劃進度 1 城域網(wǎng) ospf 路由處理效率 低 將 ospf 路由 改為 is-is 路 由，或設置層 次化 ospf 區(qū) 域。 網(wǎng)維中心提高城域網(wǎng)內(nèi) igp 路由處理 效率，消除路 由運行隱患。 局數(shù)據(jù)調(diào)整即 可，影響業(yè)務， 涉及割接。 計劃在 9 月份， 下半年城域網(wǎng) 二期優(yōu)化工作 中進行整改。 2 大樓 gsr12816 電 源模塊功率不 足 從其他本