中國電信吉安分公司IP城域網(wǎng)安全風(fēng)險評估報(bào)告.doc

知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 中國電信江西省固定通信網(wǎng)中國電信江西省固定通信網(wǎng) 安全風(fēng)險評估報(bào)告安全風(fēng)險評估報(bào)告 中國電信吉安分公司中國電信吉安分公司 二零零九年七月 評估對象：評估對象： ip承載網(wǎng)吉安ip城域網(wǎng) 評估單位：評估單位： 吉安分公司網(wǎng)絡(luò)維護(hù)安裝中心 評估日期：評估日期：2009 年年 7 月月 20 日至日至 2009 年年 7 月月 31 日日 編號：編號： ctsecjiangxi-jian-01- 200907 企業(yè)秘密企業(yè)秘密 編號： ctsecjiangxi-jian-01- 200907 企業(yè)秘密 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 目目 錄錄 1概述3 1.1目的 3 1.2內(nèi)容及范圍 3 1.3風(fēng)險評估方法 3 1.4評估依據(jù) 3 2資產(chǎn)分析3 2.1本地網(wǎng) 3 2.2省內(nèi)長途網(wǎng) 4 3威脅分析5 3.1本地網(wǎng) 5 3.2省內(nèi)長途網(wǎng) 5 4脆弱性分析7 4.1本地網(wǎng) 7 4.2省內(nèi)長途網(wǎng) 7 5已有安全措施8 6安全風(fēng)險分析8 7風(fēng)險處置計(jì)劃及整改情況9 8總結(jié)9 9附件9 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱文檔名稱 中國電信江西省吉安市 ip 承載網(wǎng)安全風(fēng)險評估報(bào)告 文件編號 編制人王桂英 保密級別企業(yè)秘密 修改過程 版本號版本號日期日期負(fù)責(zé)人負(fù)責(zé)人概述概述 v1.02009.7.26王桂英 評審過程 版本號版本號日期日期評審者評審者概述概述 分發(fā)范圍 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 1概述概述 1.1目的目的 近期中國電信陸續(xù)發(fā)生網(wǎng)絡(luò)障礙、服務(wù)效能事件、安全事件，造成很不良的社會 影響。為全面查找 ip 承載網(wǎng)的維護(hù)管理、網(wǎng)絡(luò)運(yùn)行中存在的薄弱環(huán)節(jié)、安全隱患， 并針對存在的問題及時采取有效措施，全面開展網(wǎng)絡(luò)優(yōu)化、安全整治工作，落實(shí) 安全防護(hù)措施，消除安全隱患，從而提高網(wǎng)絡(luò)運(yùn)行的安全性、可靠性，提升網(wǎng)絡(luò) 運(yùn)行質(zhì)量，為全業(yè)務(wù)運(yùn)營打下堅(jiān)實(shí)的基礎(chǔ)。同時，為 60 周年國慶活動提供可靠的 網(wǎng)絡(luò)安全保障。 1.2內(nèi)容及范圍內(nèi)容及范圍 定級對象：吉安 ip 城域骨干網(wǎng) 說明定級對象的情況，包括所提供的業(yè)務(wù)功能、覆蓋范圍、網(wǎng)絡(luò)架構(gòu)、與其他網(wǎng) 絡(luò)之間的邊界等，并說明對哪些方面（如管理制度、防攻擊防病毒等）進(jìn)行風(fēng)險 評估。 吉安寬帶城域骨干網(wǎng)分為核心匯聚層、業(yè)務(wù)控制層兩個層次。 核心匯聚層： 在 82 局和 81 局各設(shè)有一臺 cisco 高端路由器 gsr12816 和華為 ne5000 設(shè)備 構(gòu)成核心匯聚層，作為吉安城域網(wǎng)核心出口。對上各以一條 10g 鏈路分別連接南 昌和九江國家骨干網(wǎng)接入路由器，使得吉安城域網(wǎng)總出口帶寬為 40g；兩核心設(shè) 備之間以 2 個 2.5g 鏈路互聯(lián)，并分別通過 2*ge 鏈路連至 cn2 骨干接入節(jié)點(diǎn)， 實(shí)現(xiàn)與 cn2 網(wǎng)的互聯(lián)。 二、業(yè)務(wù)接入控制層： 1、業(yè)務(wù)接入控制層分別由 82 局、81 局、83 局、idc 將各一臺 sr 設(shè)備和全市共 20 臺寬帶接入服務(wù)器構(gòu)成。具體的設(shè)備組成為：82 局 osr7609 、81 局 3 osr7609 、師院 ma5200g、81 局 me60 、82 局 se800、82 局 se1200、83 局 se800、安福 se800 、泰和 se800-1 、 泰和 se800-2、遂川水北 se800 、遂川 水南 se800、吉安縣中心局 se400 、吉安縣開發(fā)區(qū) se800、吉水 se400 、新干 se800 、萬安 se800、峽江 se800 、永豐 se800 、永新 se800 、井岡山茨坪 se800、井岡山新城區(qū) ma5200g。 2、3 臺 sr 設(shè)備 osr7600 和 20 臺寬帶接入服務(wù)器各通過兩條 ge 鏈路上聯(lián)至兩 臺核心路由器，idc 機(jī)房的 gsr12416 上聯(lián)鏈路為 2 個 2.5g。 3、為確保寬帶接入業(yè)務(wù)控制層面和匯聚層面網(wǎng)絡(luò)的安全可靠運(yùn)行，保障在出現(xiàn) 較大故障等意外緊急情況下，迅速搶通電路，恢復(fù)通信，82 局 se1200 設(shè)備在分 擔(dān) 82 局向部分業(yè)務(wù)的同時作為全市集中的應(yīng)急 bas 設(shè)備，分別對除 82 局、吉安 縣、泰和、遂川、師院之外的 bas 設(shè)備進(jìn)行冗余備份保護(hù)。市本部 81、83 中心 匯聚交換機(jī)各以一條裸纖傳輸 ge 鏈路連接應(yīng)急 bas，而各縣市分公司中心匯聚 交換機(jī)先經(jīng)過級聯(lián)后，以中心機(jī)房的匯聚交換機(jī)通過一個 ge 波分傳輸鏈路連接 應(yīng)急 bas，作為各 ip 端局接入?yún)R聚層的應(yīng)急保護(hù)鏈路。82 局、吉安縣、泰和、 遂川兩臺 bas 設(shè)備互為冗余備份，師院 ma5200g 以 81 局 me60 作為應(yīng)急 bas 進(jìn)行冗余保護(hù)。目前冗余保護(hù)的業(yè)務(wù)主要為 pppoe 何 dhcp 業(yè)務(wù)，采用的熱備 份方式。 具體網(wǎng)絡(luò)拓?fù)淙缦拢?4 cn2 南南昌昌 大大樓樓河河?xùn)|東 a1 a2 s1s2 sisi 大樓 se800 大樓 7609 sisi 井岡 山 se800 sisi 河?xùn)| 5200 g sisi 吉安 縣 se400 sisi 師院 5200 g sisi 安福 se800 sisi 城南 se800 sisi 吉水 se400 sisi 永新 se800 sisi 遂川 se800 sisi 永豐 se800 sisi 泰和 se800 sisi 峽江 se800 sisi 新干 se800 idcgs r1241 6 河?xùn)| 7609 ge gegegege ge ge ge gegegegege ge gege 2.5ge ge ge ge gege ge gege ge 2.5ge ge gegege gege 九九江江 10ge 10ge 2*2.5g 10ge10ge sisi 萬安 se800 ge ge 2.5g 2.5g2.5g2.5g 2.5ge 2.5ge 城南 7609 sisi 大樓 me60 -8 sisi 大樓 se120 0 sisi 泰和 se800 sisi 吉安 先縣 新城 區(qū) se800 sisi 遂川 se800 吉吉安安ip城城域域網(wǎng)網(wǎng)拓拓?fù)鋼浞椒桨赴笀D圖 骨骨干干層層 核核心心匯匯聚聚層層 接接入入控控制制層層 本次評估將從吉安 ip 城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、路由部署的合理性，設(shè)備運(yùn)行安全、 可靠性（包括硬件環(huán)境、單板、單點(diǎn)隱患、設(shè)備性能、鏈路可靠性、安全防護(hù)、 數(shù)據(jù)配置的規(guī)范性等）和維護(hù)管理等幾個方面進(jìn)行風(fēng)險評估。 1.3風(fēng)險評估方法風(fēng)險評估方法 說明采取的風(fēng)險評估方式，步驟、方法等。評估方式包括訪談、查閱文檔、測試 等，評估步驟包括資產(chǎn)識別、脆弱性識別、威脅識別等，方法包括具體的資產(chǎn)、 威脅和脆弱性識別方法，風(fēng)險分析方法、風(fēng)險結(jié)果判斷依據(jù)等。 本次評估采取的評估方式有：查閱文檔、咨詢廠家、技術(shù)驗(yàn)證、測試、人工檢查， 維護(hù)骨干集中討論、分析。 評估步驟：首先進(jìn)行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi) 容、收集相關(guān)信息、開展脆弱性評估、威脅性評估，編寫評估報(bào)告和整治計(jì)劃。 評估方法有：根據(jù)收集網(wǎng)絡(luò)和設(shè)備現(xiàn)狀相關(guān)信息，與相關(guān)維護(hù)管理規(guī)范和廠家設(shè) 備技術(shù)規(guī)范核查，并結(jié)合實(shí)際維護(hù)工作經(jīng)驗(yàn)，識別設(shè)備威脅和脆弱性。 5 1.4評估依據(jù)評估依據(jù) 說明本次安全風(fēng)險評估參考的標(biāo)準(zhǔn)和文檔，如安全防護(hù)系列標(biāo)準(zhǔn)等。 2資產(chǎn)分析資產(chǎn)分析 說明該定級對象包括的資產(chǎn)及相關(guān)屬性。ip 城域骨干網(wǎng)包括城域網(wǎng)核心設(shè)備和業(yè) 務(wù)控制層的 bas 和 sr 設(shè)備，涉及的資產(chǎn)重要性分析如下： 2.1城域網(wǎng)核心設(shè)備城域網(wǎng)核心設(shè)備 吉安 ip 城域網(wǎng)核心設(shè)備有兩臺，分別為大樓的 gsr12816 和河?xùn)|的 ne5000，這 兩臺設(shè)備作為本地網(wǎng)的核心匯聚設(shè)備，匯聚了業(yè)務(wù)控制層 20 臺 bras 設(shè)備和 3 臺業(yè)務(wù)路由器，即承擔(dān)本地網(wǎng)路由的交換，又與 chinanet 骨干網(wǎng)互聯(lián)，實(shí)現(xiàn) 路由的交換和數(shù)據(jù)的轉(zhuǎn)發(fā)，是 ip 城域網(wǎng)的核心，具有非常高的重要性。 表 1 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 硬件高 軟件：軟件版本 文件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務(wù)高 文檔中 維護(hù)人員中 1 大樓核心設(shè)備 gsr12816 網(wǎng)絡(luò)拓?fù)渲?6 硬件高 軟件：軟件版本 文件 高 重要數(shù)據(jù)：路由、 策略 高 提供的服務(wù)高 文檔中 人員中 2 河?xùn)|核心設(shè)備 ne5000 網(wǎng)絡(luò)拓?fù)渲?注：資產(chǎn)類型包括硬件、設(shè)備軟件、重要數(shù)據(jù)、提供的服務(wù)、文檔、人員、網(wǎng)絡(luò) 拓?fù)洹⒋a號資源等類別；重要性等級分為高中低三檔。按照重要性等級（高中低 三檔）從高到低排列。 2.2城域網(wǎng)業(yè)務(wù)控制層城域網(wǎng)業(yè)務(wù)控制層 吉安城域網(wǎng)業(yè)務(wù)控制層由 3 臺 sr 和 20 臺 bars 設(shè)備構(gòu)成，每臺設(shè)備承載了一個 ip 端局的業(yè)務(wù)，是城域網(wǎng)業(yè)務(wù)承載和控制的核心，具有舉足輕重的作用。 表 2 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 硬件高 1 大樓 se1200、大樓 se800、河?xùn)| me60、城南 se800、大樓 osr7609、河 東 osr7609。 軟件：軟件版本 文件 高 7 重要數(shù)據(jù)：路由、 策略 高 提供的服務(wù)高 文檔中 人員中 網(wǎng)絡(luò)拓?fù)渲?硬件中 軟件：軟件版本 文件 中 重要數(shù)據(jù)：路由、 策略 中 提供的服務(wù)中 文檔中 維護(hù)人員中 2 井大 ma5200g、城南 osr7609、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣中心局 se400、吉安縣開 發(fā)區(qū) se800、安福 se800、永新 se800、 井岡山新城區(qū) ma5200g、遂川水南 se800、萬安 se800、泰和中心局 se800- 1 和 se800-2、遂川水北 se800 網(wǎng)絡(luò)拓?fù)渲?說明：上述表中所述的大樓 se800se1200、河?xùn)| me60、城南 se800 由于承載的 用戶較多，而井岡山茨坪 se800 承載的是紅色教育基地井岡山風(fēng)景區(qū)的業(yè)務(wù)，具 有較強(qiáng)的政治影響，大樓 osr7609 和河?xùn)| osr7609 設(shè)備作為城域網(wǎng) asbr 設(shè)備， 承載了大量的與 cn2 網(wǎng)跨域互聯(lián)的業(yè)務(wù)，如軟交換業(yè)務(wù)、大客戶跨域 vpn 業(yè)務(wù)， 在城域網(wǎng)占有比較高的重要性，所以定位上述這幾個設(shè)備重要性為高等級。 8 3威脅分析威脅分析 ip 城域網(wǎng)的威脅根據(jù)來源可分為技術(shù)威脅、環(huán)境威脅、人為威脅和其他威脅。環(huán) 境威脅包括自然界不可抗的威脅和其它物理威脅。根據(jù)威脅的動機(jī)，人為威脅又 可分為惡意和非惡意兩種。 1、人為威脅 1）非惡意人為威脅：維護(hù)人員的操作不當(dāng)，從而影響到設(shè)備的正常運(yùn)行。為了 防止該現(xiàn)象發(fā)生，在設(shè)備升級、業(yè)務(wù)割接前應(yīng)準(zhǔn)備好詳細(xì)的升級和割接方案，一 旦升級、割接失敗則立即啟用回退方案；嚴(yán)格落實(shí)局?jǐn)?shù)據(jù)修改規(guī)范，落實(shí)雙人制 度：1 人操作，1 人檢查，防止誤操作。嚴(yán)格控制操作人員權(quán)限，不具備操作技能 的人員不給于權(quán)限。 2）惡意人為威脅：人為的惡意攻擊、導(dǎo)致設(shè)備癱瘓。為了防止此類現(xiàn)象發(fā)生， 已在設(shè)備上設(shè)置帳號密碼，采用 1 人 1 個帳號的原則，同時啟用防護(hù)策略封堵一 些常見的病毒端口，嚴(yán)格落實(shí)設(shè)備數(shù)據(jù)配置規(guī)范，關(guān)閉不必要的服務(wù)，通過訪問 控制列表精細(xì)控制不同應(yīng)用類型的訪問設(shè)備的源地址及其訪問權(quán)限。此外，應(yīng)在 城域網(wǎng)中部署一臺流量清洗設(shè)備，來有效過濾網(wǎng)絡(luò)中的惡意流量。同時做好機(jī)房 的“四防”工作。 2、技術(shù)威脅 設(shè)備硬件問題和軟件 bug 造成設(shè)備性能下降，影響網(wǎng)絡(luò)運(yùn)行，為防止該類現(xiàn)象 發(fā)生，需采用 ip 綜合網(wǎng)管平臺對設(shè)備和網(wǎng)絡(luò)運(yùn)行情況進(jìn)行監(jiān)控，同時要求各設(shè)備 廠家維護(hù)人員定期對設(shè)備進(jìn)行巡檢，廠家發(fā)現(xiàn)軟、硬件的 bug 和隱患應(yīng)及時告 知局方，并采取有效措施予以規(guī)避和解決。 3、環(huán)境威脅 1）自然界不可抗的威脅：ip 承載網(wǎng)業(yè)務(wù)控制層面以上的設(shè)備均防止在機(jī)房，遇 雷擊的可能性極小，抗震能力也較強(qiáng)； 9 2）其他物理威脅：機(jī)房環(huán)境溫度造成設(shè)備出現(xiàn)異常，需利用動環(huán)監(jiān)控系統(tǒng)，實(shí) 時監(jiān)控機(jī)房環(huán)境溫度，嚴(yán)格控制好通信機(jī)房的環(huán)境溫濕度；此外，利用 ip 綜合網(wǎng) 管的告警平臺， 對設(shè)備溫度進(jìn)行實(shí)時告警，發(fā)現(xiàn)異常，立即進(jìn)行處理。 ip 城域網(wǎng)的威脅分析如下： 3.1核心層核心層 1、大樓核心路由器 gsr12816 設(shè)備： 1） 、自然界不可抗力的威脅：大樓 gsr12416 設(shè)備放置在吉安大樓通信樞紐樓， 該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實(shí)，地勢較高，并且按照通信樓的建設(shè)標(biāo)準(zhǔn) 安裝了多級防雷設(shè)施，機(jī)房抗震、防雷、防洪等性能都較強(qiáng)，受自然界不可抗力 的威脅較低。 2） 、其他物理威脅（環(huán)境威脅）：該機(jī)房環(huán)境溫濕度符合要求，密封性好，不存 在相關(guān)威脅。但是，該設(shè)備所在機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材 質(zhì)，但是設(shè)備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地 震、爆炸等自然或認(rèn)為災(zāi)害，很容易引起設(shè)備滑動、塌陷，導(dǎo)致重大通信故障， 因此定義威脅等級為“中”級。 3） 、惡意和非惡意人為威脅：考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù) 雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時 有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范措施外，沒有其他任何有效 防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性比較大，定義威脅 等級為“中”級。 4） 、其他威脅：低。 2、河?xùn)|核心路由器 ne5000 設(shè)備： 1） 自然界不可抗力的威脅：河?xùn)| ne5000 設(shè)備放置在吉安大樓通信樞紐樓， 10 該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實(shí)，地勢較高，并且按照通信樓的建設(shè)標(biāo)準(zhǔn) 安裝了多級防雷設(shè)施，機(jī)房抗震、防雷、防洪等性能都較強(qiáng)，受自然界不可抗力 的威脅較低。 2） 其他物理威脅（環(huán)境威脅）：該機(jī)房環(huán)境溫濕度符合要求，密封性好，不存 在相關(guān)威脅。 3）惡意和非惡意人為威脅：考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù) 雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時 有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范措施外，沒有其他任何有效 防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性比較大，定義威脅 等級為“中”級。 4） 其他威脅：低。 本地網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 4 威脅可能性列表 序號資產(chǎn)名稱面臨威脅類型威脅可能性等級 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 1 大樓核心設(shè)備 gsr12816 其它威脅 低 自然界不可抗的威 脅（環(huán)境威脅） 低 2 河?xùn)|核心設(shè)備 ne5000 其它物理威脅（環(huán) 境威脅） 低 11 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 3.2業(yè)務(wù)控制層業(yè)務(wù)控制層 業(yè)務(wù)控制層面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 5 威脅可能性列表 序號資產(chǎn)名稱面臨威脅類型威脅可能性等級 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 1 大樓 se800、se1200 設(shè)備 其它威脅 低 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán) 境威脅） 低 惡意人為威脅 中 非惡意人為威脅 中 2 新干、峽江、永豐、吉水、吉安 縣、安福、永新、井岡山、泰和、 遂川、萬安、河?xùn)|、城南、井岡 山大學(xué)的 bas 設(shè)備和大樓、河?xùn)| sr 設(shè)備 其它威脅 低 1）上述設(shè)備均放置在市或縣中心局的通信樓機(jī)房內(nèi)，均按照通信幾樓設(shè)計(jì)標(biāo)準(zhǔn) 設(shè)計(jì)、建設(shè)的，所以機(jī)房的防震、防雷、防洪水等抗自然災(zāi)害性均較強(qiáng)，而且機(jī) 12 房環(huán)境按照相關(guān)管理標(biāo)準(zhǔn)進(jìn)行控制，其威脅性都較低。 2）在上表所述大樓 se800、se1200 設(shè)備的其他物理威脅等級為“中”主要指大樓 數(shù)據(jù)機(jī)房 gs12816 設(shè)備所在機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)， 但是設(shè)備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地震、 爆炸等自然或認(rèn)為災(zāi)害，很容易引起設(shè)備滑動、塌陷，導(dǎo)致重大通信故障。 3）惡意和非惡意人為威脅定位為“中”等級主要是考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián) 網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù)雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來越多樣、隱蔽、高明，各 種網(wǎng)絡(luò)安全事件時有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范措施外， 沒有其他任何有效防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性 比較大。 4脆弱性分析脆弱性分析 ip 城域網(wǎng)的脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面，技術(shù)脆弱性又可分為 業(yè)務(wù)/應(yīng)用、網(wǎng)絡(luò)、設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫） 、物理環(huán)境等方面的脆弱性。脆 弱性識別對象應(yīng)以資產(chǎn)為核心。吉安 ip 城域網(wǎng)的脆弱性分析如下： 4.1核心層核心層 核心層的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 7 脆弱性嚴(yán)重程度列表 序號資產(chǎn)名稱脆弱性類型脆弱性嚴(yán)重程度等級 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 低 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 1 大樓核心設(shè)備 gsr12816 物理環(huán)境（技術(shù) 脆弱性） 低 13 管理脆弱性 低 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 低 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 低 物理環(huán)境（技術(shù) 脆弱性） 低 2 河?xùn)|核心設(shè)備 ne5000 管理脆弱性 低 4.2業(yè)務(wù)業(yè)務(wù)控制層控制層 業(yè)務(wù)控制層的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 7 脆弱性嚴(yán)重程度列表 序號資產(chǎn)名稱脆弱性類型脆弱性嚴(yán)重程度等級 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 低 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 物理環(huán)境（技術(shù) 脆弱性） 低 1 大樓 sr 設(shè)備 osr7609、河?xùn)| 7609、城南 7609、idc 機(jī)房 gsr12416 管理脆弱性 低 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 中 2 大樓 se800、井大 ma5200g、 吉安縣 se800、遂川水南 se800 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 14 物理環(huán)境（技術(shù) 脆弱性） 低 管理脆弱性 低 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 低 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 低 物理環(huán)境（技術(shù) 脆弱性） 低 3 大樓 se1200、河?xùn)| me60 管理脆弱性 低 業(yè)務(wù)/應(yīng)用（技術(shù) 脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱 性） 中 設(shè)備（含軟件版 本、重要數(shù)據(jù)） （技術(shù)脆弱性） 中 物理環(huán)境（技術(shù) 脆弱性） 低 4 城南 se800、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣 se400、吉安縣 開發(fā)區(qū) se800、安福 se800、永 新 se800、井岡山 se800、泰和 se800-1、se800-2、遂川水北 se800、萬安 se800 管理脆弱性 中 以下是城域網(wǎng)網(wǎng)絡(luò)和設(shè)備性能分析： 鏈路流量分析 城域網(wǎng)核心設(shè)備至骨干網(wǎng)接入設(shè)備鏈路 序號 城域網(wǎng)核心設(shè) 備 骨干網(wǎng)接入設(shè) 備 鏈路帶 寬 下行流量 平均值 （m） 上行流量 平均值 （m） 下行流量 峰值 （m） 上行流量 峰值 （m） 181 局 ne5000e南昌10ge1700200027003100 281 局 ne5000e九江10ge1800170030002800 3 82 局 gsr12816 南昌 10ge893160015002700 4 82 局 gsr12816 九江 10ge1700190029003100 5 82 局 gsr12816 81 局 ne5000e 10ge82264714001000 15 6 82 局 gsr12816 81 局 ne5000e 10ge4836458001000 核心層/匯聚層下聯(lián)業(yè)務(wù)接入控制層鏈路 序號 核心層/匯聚層 設(shè)備 業(yè)務(wù)接入控制 層設(shè)備 鏈路帶 寬 下行流量 平均值 （m） 上行流量 平均值 （m） 下行流量 峰值 （m） 上行流量 峰值 （m） 181 局 ne5000e82 局 se800ge212226384400 281 局 ne5000e82 局 se800ge151179239275 381 局 ne5000e82 局 se1200ge169186263297 481 局 ne5000e83 局 se800ge164168265271 581 局 ne5000e81 局 me60-8ge173202283340 681 局 ne5000e井大 ma5200gge213169419358 781 局 ne5000e吉水 se800ge206236369408 881 局 ne5000e安福 se800ge166231291370 981 局 ne5000e萬安 se800ge188182339323 1081 局 ne5000e永新 se800ge139184254325 1181 局 ne5000e永豐 se800ge204360352630 1281 局 ne5000e峽江 se800ge102122162206 1381 局 ne5000e新干 se800ge234241391389 1481 局 ne5000e井岡山 se800ge168235387378 1581 局 ne5000e 井岡山 ma5200gge139184254325 1681 局 ne5000e吉安縣 se400ge181199313343 1781 局 ne5000e吉安縣 se800ge176200311325 1881 局 ne5000e泰和 se800-1ge227195379310 1981 局 ne5000e泰和 se800-2ge223190389309 2081 局 ne5000e遂川 se800-1ge208243339378 2181 局 ne5000e遂川 se800-2ge196241315368 2281 局 ne5000e82 局 sr7609ge138214219344 2381 局 ne5000e81 局 sr7609ge7578130139 2481 局 ne5000e83 局 sr7609ge6973132156 26 82 局 gsr12816 82 局 se800 ge218191383346 27 82 局 gsr12816 82 局 se800 ge1553923877 28 82 局 gsr12816 82 局 se1200 ge169186263297 29 82 局 gsr12816 83 局 se800 ge164138264226 30 82 局 gsr12816 81 局 me60-8 ge166166276288 31 82 局 gsr12816 井大 ma5200g ge212121422237 32 82 局 gsr12816 吉水 se800 ge194201334368 33 82 局 gsr12816 安福 se800 ge167180285309 34 82 局 gsr12816 萬安 se800 ge190159344278 35 82 局 gsr12816 永新 se800 ge139175247306 16 36 82 局 gsr12816 永豐 se800 ge19290401196 37 82 局 gsr12816 峽江 se800 ge94109159187 38 82 局 gsr12816 新干 se800 ge221180396303 39 82 局 gsr12816 井岡山 se800 ge167180285309 40 82 局 gsr12816 井岡山 ma5200gge203179324308 41 82 局 gsr12816 吉安縣 se400 ge179192317322 42 82 局 gsr12816 吉安縣 se800 ge156197345338 43 82 局 gsr12816 泰和 se800-1 ge227183391307 44 82 局 gsr12816 泰和 se800-2 ge198178369356 45 82 局 gsr12816 遂川 se800-1 ge207187334311 46 82 局 gsr12816 遂川 se800-2 ge203179324308 47 82 局 gsr12816 82 局 sr7609 ge126170228265 48 82 局 gsr12816 81 局 sr7609 ge8359146126 49 82 局 gsr12816 83 局 sr7609 ge7942156112 2）設(shè)備端口、槽位使用現(xiàn)狀： 骨干路由器現(xiàn)狀表骨干路由器現(xiàn)狀表 10g10g 端口端口2.5g2.5g 端口端口gege 端口端口 序序 號號 設(shè)備名稱設(shè)備名稱現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 插槽空余數(shù)插槽空余數(shù) 18181 局局 ne5000ne50002 22 20 06 63 33 34040252515158 8 28282 局局 gsr12816gsr128162204315025258 業(yè)務(wù)路由器現(xiàn)狀表業(yè)務(wù)路由器現(xiàn)狀表 2.5g2.5g 端口端口gege 端口端口155m155m 端口端口100m100m 端口端口 序號序號設(shè)備名稱設(shè)備名稱 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空空 余余 現(xiàn)現(xiàn) 有有 已已 用用 空余空余 現(xiàn)現(xiàn) 有有 已已 用用 空余空余 插槽插槽 空余空余 數(shù)數(shù) 181 局 7609 000 207130004810385 282 局 7609 000 201370004811374 383 局 7609 000 243210000005 4 idc 機(jī)房 gsr12416 422145900000011 17 3）設(shè)備性能統(tǒng)計(jì)： 溫度（最高） 設(shè)備節(jié)點(diǎn) 設(shè)備版本 cpu 利 用率 (%) memory 利用率 (%) 主控 板 業(yè)務(wù) 板 大樓城域網(wǎng) gsr12816ios 12.0(32)sy4 2.006.8833.250 河?xùn)|城域網(wǎng) ne5000e5.50 (ne5000e v200r003c02b609)6.2033.793338 大樓 osr6509 12.2(18)sxf313273945 城南 osr7609 ios 12.2(33)srd1.0019.823445 河?xùn)| osr7609 12.2(18)sxf31.0019.323743 井岡山大學(xué) ma5200gma5200g-4-vrp5.30-release 331056001258.584953 大樓 se800 seos-5.0.7.9p5-release7.0086.063457 大樓 se1200 seos-6.1.3.5p5-release8.006.164643 河?xùn)| me60 version 5.30 (me60 v100r005c02b01b)9.522.524548 城南 se800 seos-5.0.7.9p5-release2.0027.093845 吉安縣 se400 seos-5.0.7.10p17-release3.0051.484260 吉安縣 se800 seos-6.1.1.5p10-release5.0019.92640 泰和 se800 seos-5.0.7.9p5-release2.0053.883447 泰和 se800 新 seos-6.1.1.5p10-release1.221.13442 遂川 se800 seos-5.0.7.9p5-release3.0058.544245 遂川 se800 新 seos-6.1.1.5p10-release2.0020.653444 永新 se800 seos-5.0.7.9p5-release3.0054.254251 永豐 se800 seos-5.0.7.9p5-release2.0059.284649 井岡山 se800 seos-5.0.7.9p5-release2.0066.285057 峽江 se800 seos-5.0.7.9p5-release0.0025.144256 安福 se800 seos-5.0.7.9p5-release5.0054.614245 萬安 se800 seos-5.0.7.9p5-release1.0023.734252 新干 se800 seos-5.0.7.9p5-release7.0075.074656 吉水 se400 seos-5.0.7.9p5-release3.0056.754260 具體的脆弱性分析詳見附件一。 18 5已有安全措施已有安全措施 （1）制度建設(shè)：已建立機(jī)房出入管理制度、機(jī)房環(huán)境管理制度、機(jī)房信息保密 制度、機(jī)房交接班制度、機(jī)房十不準(zhǔn)等制度，并上墻。建立了機(jī)房管理規(guī)范，如 設(shè)施管理規(guī)范、維護(hù)作業(yè)規(guī)范、環(huán)境管理規(guī)范等，并組織學(xué)習(xí)和落實(shí)， （2）所有機(jī)房已開展了機(jī)房標(biāo)準(zhǔn)化整治工作，并建設(shè)了動環(huán)監(jiān)控、煙感系統(tǒng)， 目前實(shí)行市縣二級監(jiān)控。 （3）市公司網(wǎng)維中心每月定期開展維護(hù)基礎(chǔ)管理，包括機(jī)房現(xiàn)場管理、資料管 理、作業(yè)計(jì)劃、電子值班、電子機(jī)歷本、備品備件的管理的檢查，夯實(shí)維護(hù)基礎(chǔ) 管理工作。 （4）6 月份開展了端局機(jī)房動環(huán)監(jiān)控系統(tǒng)的全面檢查工作，對存在的問題整擬定 計(jì)劃進(jìn)行整改。 （5）落實(shí)維護(hù)作業(yè)計(jì)劃和機(jī)房巡檢制度，每月定期進(jìn)行設(shè)備配置數(shù)據(jù)備份，進(jìn) 行設(shè)備表面和風(fēng)扇過濾網(wǎng)的清潔工作，實(shí)時更新設(shè)備健康檔案和網(wǎng)絡(luò)維護(hù)相關(guān)資 料。 （6） 按照專人專用的原則進(jìn)行設(shè)備維護(hù)管理賬號的分權(quán)分域管理，并按照安全 要求設(shè)置強(qiáng)壯的口令，設(shè)置設(shè)備安全訪問控制策略和防 ddos 攻擊策略。 （7） 更新編制了城域網(wǎng)業(yè)務(wù)承載和數(shù)據(jù)配置規(guī)范，并落實(shí)于日常維護(hù)建設(shè)工 作中。 （8）更新編制了城域網(wǎng)應(yīng)急預(yù)案和應(yīng)急 bas 應(yīng)急保障方案、演練方案，并組織 相關(guān)維護(hù)人員學(xué)習(xí)。 （9）09 年建設(shè)了一臺集中的應(yīng)急 bas，作為其他 bas 設(shè)備冗余保護(hù)設(shè)備，目 前只保護(hù)了 pppoe 和 dhcp 業(yè)務(wù)，同時在 82 局、吉安縣、泰和、遂川建設(shè)了第 二臺 bas 設(shè)備，一是進(jìn)行了業(yè)務(wù)分擔(dān)，同時互為冗余備份，減輕單點(diǎn)隱患。 （10） 5 月份開展了對全市城域網(wǎng)業(yè)務(wù)控制層以上設(shè)備的本地 console 串 19 口電纜的清查和連接測試工作，目前所有設(shè)備的本地維護(hù)管理串口電纜都實(shí)時連 接在設(shè)備上，以備應(yīng)急只需。 6安全風(fēng)險分析安全風(fēng)險分析 經(jīng)過詳細(xì)、全面的分析和評估，目前我市 ip 城域網(wǎng)存在的安全風(fēng)險主要有： 1） 吉安市 82 局?jǐn)?shù)據(jù)機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，其中 d01 機(jī)房設(shè)備是直接坐落在地板上，未安裝底座，存在滑動、塌陷的隱患，遇地 震、爆炸等自然或認(rèn)為災(zāi)害，很容易引起設(shè)備滑動、塌陷，導(dǎo)致重大通信故障。 此風(fēng)險短期內(nèi)可接受，但從長遠(yuǎn)來看，是一個較大的隱患，需要整治。 2） 吉安市 82 局?jǐn)?shù)據(jù)機(jī)房重要設(shè)備較多，且對溫度覺敏感，目前全部采用普通 的獨(dú)立式空調(diào)，環(huán)境溫濕度控制效果差，常導(dǎo)致機(jī)房內(nèi)設(shè)備溫度過高告警。此風(fēng) 險短期內(nèi)通過加強(qiáng)機(jī)房環(huán)境監(jiān)控，適時做好空調(diào)溫度的調(diào)控，可避免溫度過高告 警，但從長期來看，應(yīng)盡快將空調(diào)更換為機(jī)房專用空調(diào)，以提高安全性，同時還 節(jié)能。 3） 城域網(wǎng)設(shè)備備件匱乏，但由于核心路由器由冗余備份，而應(yīng)急 bas 的建設(shè) 又為其他 bas 設(shè)備提供了冗余保護(hù)，通過應(yīng)急調(diào)度能在短時間內(nèi)（30 分鐘）搶 通業(yè)務(wù)，因此該風(fēng)險為可接受的風(fēng)險。 4） 城域網(wǎng) igp 使用 ospf 路由，目前只設(shè)有一個區(qū)域，而設(shè)備數(shù)量已接近 40 臺，存在區(qū)域內(nèi)路由處理效率降低的風(fēng)險，該風(fēng)險目前還能接受，但隨著設(shè)備的 增加和業(yè)務(wù)的不斷擴(kuò)展，日常涉及路由的數(shù)據(jù)制作的頻繁性，該風(fēng)險將日益提高， 應(yīng)盡快采取措施解決：將城域網(wǎng)內(nèi)的 igp 路由改為 is-is 或設(shè)置層次化的 ospf 區(qū)域。 5） 大樓核心路由器 gsr12816 設(shè)備的電源模塊還為 gsr16 型模塊，功率不足， 存在風(fēng)險。目前由于設(shè)備上所插板卡不多，數(shù)據(jù)轉(zhuǎn)發(fā)流量還不高，因此該電源模 塊還能支撐設(shè)備正常運(yùn)行，但從長遠(yuǎn)來看，存在供電不足的隱患，因此需盡快更 20 換成 gsr18 型的模塊。 6） 城南 osr7609、城南 se800、新干 se800、峽江 se800、永豐 se800、吉水 se800、吉安縣 se800-1、吉安縣 se800-2、永新 se800、井岡山 se800、泰和 se800-1，太和縣 se800-2、萬安 se800 等設(shè)備只配有 1 塊千兆卡，上下行鏈路均 開放在該板卡上，存在單板隱患。該隱患為不可接受的風(fēng)險，隨時可能發(fā)生，需 要加以整改，并在今后的工程建設(shè)中盡量避免此類隱患。 7） 目前各 bas 設(shè)備只實(shí)現(xiàn)了對 pppoe 業(yè)務(wù)的保護(hù)，靜態(tài)用戶、vpn 等業(yè)務(wù)還 存在單點(diǎn)隱患，同時 sr 設(shè)備也存在單點(diǎn)隱患，需采取技術(shù)措施如 vrrp、人工 同步數(shù)據(jù)等方式解決。此風(fēng)險是不可接受的風(fēng)險，但是需要較長的時間才能得到 解決。 8） 井岡山大學(xué) ma5200g、吉安縣開發(fā)區(qū) se800 和遂川水北 se800 設(shè)備兩條上 行鏈路走同光纜路由，存在嚴(yán)重的安全隱患，需盡快加以整改。 城域網(wǎng)大部分 se800/400 設(shè)備現(xiàn)運(yùn)行的軟件版本存在 bug（據(jù)廠家明確） ，為不 可接受的風(fēng)險，需盡快進(jìn)行升級。 9）大樓 se800、井岡山 se800、新干 se800 設(shè)備內(nèi)存利用率偏高，主要原因可能 是設(shè)備軟件 bug 所致，需盡快升級軟件版本，消除隱患。 10） 井岡山大學(xué) ma5200g 設(shè)備上千兆端口全部占用，無一個空閑端口，遇故障 將無端口更換，同時也缺乏備件，因而需要盡快進(jìn)行擴(kuò)容，以消除隱患。 11） 各縣市設(shè)備、電路的標(biāo)簽標(biāo)識不夠清晰和規(guī)范，同時未完全落實(shí)每月定期 清潔、清洗設(shè)備表面和風(fēng)扇過濾網(wǎng)，下一步需整改和強(qiáng)化。 12） 部分設(shè)備存在一些冗余數(shù)據(jù)和不規(guī)范數(shù)據(jù)，需清理和整改，同時安全防范 措施還需全面梳理和加固。 13） 本地網(wǎng)乃至省骨干層面網(wǎng)絡(luò)缺乏有效地網(wǎng)絡(luò)安全檢測手段和防御措施， 網(wǎng) 絡(luò)的安全防御性能差，在遭網(wǎng)絡(luò)攻擊時易造成網(wǎng)絡(luò)流量異常和中繼擁塞等故障， 21 同時在故障發(fā)生時又缺乏高效的手段監(jiān)測、分析和排查故障，給維護(hù)管理帶來困 難，存在網(wǎng)絡(luò)運(yùn)營、維護(hù)管理風(fēng)險，希望能盡快建設(shè)相關(guān)安全防范、監(jiān)測手段。 14） cisco 設(shè)備和 redback 設(shè)備的維保質(zhì)量不高，本地化廠家技術(shù)支撐水平 不高，此風(fēng)險暫時為可接受風(fēng)險。 7風(fēng)險處置計(jì)劃及整改情況風(fēng)險處置計(jì)劃及整改情況 說明針對不可接受風(fēng)險的風(fēng)險處理計(jì)劃。風(fēng)險處理計(jì)劃中應(yīng)明確涉及的資產(chǎn)、責(zé) 任部門、預(yù)期效果、實(shí)施條件、計(jì)劃進(jìn)度等內(nèi)容。 對于在檢查過程中可通過整改消除的風(fēng)險，企業(yè)應(yīng)及時整改，并說明整改情況。 序號網(wǎng)絡(luò)風(fēng)險處置計(jì)劃責(zé)任部門預(yù)期效果實(shí)施條件計(jì)劃進(jìn)度 1 城域網(wǎng) ospf 路由處理效率 低 將 ospf 路由 改為 is-is 路 由，或設(shè)置層 次化 ospf 區(qū) 域。 網(wǎng)維中心提高城域網(wǎng)內(nèi) igp 路由處理 效率，消除路 由運(yùn)行隱患。 局?jǐn)?shù)據(jù)調(diào)整即 可，影響業(yè)務(wù)， 涉及割接。 計(jì)劃在 9 月份， 下半年城域網(wǎng) 二期優(yōu)化工作 中進(jìn)行整改。 2 大樓 gsr12816 電 源模塊功率不 足 從其他本