網(wǎng)絡(luò)信息安全保障體系建設(shè)

1、附件3 網(wǎng)絡(luò)信息安全保障體系建設(shè)方案目錄網(wǎng)絡(luò)信息安全保障體系建設(shè)方案11、建立完善安全管理體系11.1成立安全保障機(jī)構(gòu)12、可靠性保證22.1操作系統(tǒng)的安全32.2系統(tǒng)架構(gòu)的安全32.3設(shè)備安全42.4網(wǎng)絡(luò)安全42.5物理安全52.6網(wǎng)絡(luò)設(shè)備安全加固52.7網(wǎng)絡(luò)安全邊界保護(hù)62.8拒絕服務(wù)攻擊防范62.9信源安全/組播路由安全7網(wǎng)絡(luò)信息安全保障體系建設(shè)方案1、建立完善安全管理體系1.1成立安全保障機(jī)構(gòu)山東聯(lián)通以及萊蕪聯(lián)通均成立以總經(jīng)理為首的安全管理委員會，以及分管副總經(jīng)理為組長的網(wǎng)絡(luò)運(yùn)行維護(hù)部、電視寬帶支撐中心、網(wǎng)絡(luò)維護(hù)中心等相關(guān)部門為成員的互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急小組，負(fù)責(zé)全省網(wǎng)絡(luò)信息安全的總

2、體管理工作。山東聯(lián)通以及萊蕪聯(lián)通兩個層面都建立了完善的內(nèi)部安全保障工作制度和互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，通過管理考核機(jī)制，嚴(yán)格執(zhí)行網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn)，接受管理部門的監(jiān)督檢查。同時針對三網(wǎng)融合對網(wǎng)絡(luò)信息安全的特殊要求，已將IPTV等寬帶增值業(yè)務(wù)的安全保障工作納入到統(tǒng)一的制度、考核及應(yīng)急預(yù)案當(dāng)中。內(nèi)容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術(shù)保障體系，域名信息登記管理制度IP地址溯源和上網(wǎng)日志留存等。并將根據(jù)國家規(guī)范要求，對三網(wǎng)融合下防黑客攻擊、防信息篡改、防節(jié)目插播、防網(wǎng)絡(luò)癱瘓技術(shù)方案進(jìn)行建立和完善。2、可靠性保證IPTV是電信級業(yè)務(wù)，對承載網(wǎng)可靠性有很高的要求。可靠性分為設(shè)備級別的可靠性

3、和網(wǎng)絡(luò)級別的可靠性。（1）設(shè)備級可靠性核心設(shè)備需要99.999%的高可靠性，對關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，需要采用雙機(jī)冗余備份。此外還需要支持不間斷電源系統(tǒng)（含電池、油機(jī)系統(tǒng)）以保證核心設(shè)備24小時無間斷運(yùn)行。（2）網(wǎng)絡(luò)級可靠性關(guān)鍵節(jié)點(diǎn)采用冗余備份和雙鏈路備份以提供高可靠性。網(wǎng)絡(luò)可靠性包括以下幾方面：Ø 接入層：接入層交換機(jī)主要利用STP/RSTP協(xié)議在OSI二層實(shí)現(xiàn)網(wǎng)絡(luò)收斂自愈。Ø 匯聚層：在OSI第三層上使用雙機(jī)VRRP備份保護(hù)機(jī)制，使用BFD、Ethernet OAM、MPlS OAM來對鏈路故障進(jìn)行探測，然后通過使用快速路由協(xié)議收斂來完成鏈路快速切換。Ø 核心層：在P設(shè)

4、備（Core設(shè)備和CR設(shè)備）上建立全連接LDP over TE。TE的數(shù)量在200以下。Ø 組播業(yè)務(wù)保護(hù)：主要基于IS-IS協(xié)議對組播業(yè)務(wù)采取快速收斂保護(hù)，對組播分發(fā)進(jìn)行冗余保護(hù)和負(fù)載分擔(dān)。2.1操作系統(tǒng)的安全在操作系統(tǒng)級別上，其安全需求主要表現(xiàn)在防止非法用戶入侵、防病毒、防止數(shù)據(jù)丟失等。Ø 防止非法用戶入侵：系統(tǒng)設(shè)置防火墻，將所有需要保護(hù)的主機(jī)設(shè)置在防火墻內(nèi)部，物理上防止惡意用戶發(fā)起的非法攻擊和侵入。為業(yè)務(wù)管理人員建立起身份識別的機(jī)制，不同級別的業(yè)務(wù)管理人員，擁有不同級別的對象和數(shù)據(jù)訪問權(quán)限。Ø 防病毒：部署防病毒軟件，及時更新系統(tǒng)補(bǔ)丁。Ø 數(shù)據(jù)安全：

5、建立數(shù)據(jù)安全傳輸體系，系統(tǒng)具備完善的日志功能，登記所有對系統(tǒng)的訪問記錄。建立安全的數(shù)據(jù)備份策略，有效地保障系統(tǒng)數(shù)據(jù)的安全性。2.2系統(tǒng)架構(gòu)的安全I(xiàn)PTV運(yùn)營管理平臺具備雙機(jī)熱備份功能，業(yè)務(wù)處理機(jī)、EPG服務(wù)器、接口機(jī)都支持主備功能。存儲系統(tǒng)能夠支持磁盤RAID模式，利用RAID5技術(shù)防止硬盤出現(xiàn)故障時數(shù)據(jù)的安全。支持HA（High Availability）模式，實(shí)現(xiàn)系統(tǒng)的熱備份，在主用系統(tǒng)故障時能夠自動切換到備用系統(tǒng)，可提供流媒體服務(wù)器多種單元的冗余備份。支持用戶通過手工備份功能。并且備份數(shù)據(jù)可保存到外部設(shè)備中。同時，設(shè)備可通過分布式部署，保證系統(tǒng)的安全。EPG服務(wù)器、VDN調(diào)度單元、網(wǎng)管均

6、支持分布式處理。2.3設(shè)備安全核心系統(tǒng)（服務(wù)器硬件、系統(tǒng)軟件、應(yīng)用軟件）能在常溫下每周7×24小時連續(xù)不間斷工作，穩(wěn)定性高，故障率低，系統(tǒng)可用率大于99.9。具備油機(jī)不間斷供電系統(tǒng)，以保證設(shè)備運(yùn)行不受市電中斷的影響。服務(wù)器平均無故障時間（MTBF）大于5,000小時，小型機(jī)平均無故障時間（MTBF）大于10,000小時，所有主機(jī)硬件三年內(nèi)故障修復(fù)時間不超過30個小時。2.4網(wǎng)絡(luò)安全I(xiàn)PTV業(yè)務(wù)承載網(wǎng)絡(luò)直接與internet等網(wǎng)絡(luò)互聯(lián)，作為IP網(wǎng)絡(luò)也面臨各種網(wǎng)絡(luò)安全風(fēng)險，包括網(wǎng)絡(luò)設(shè)備入侵、拒絕服務(wù)攻擊、路由欺騙、QOS服務(wù)破壞以及對網(wǎng)絡(luò)管理、控制協(xié)議進(jìn)行網(wǎng)絡(luò)攻擊等，故IPTV承載網(wǎng)絡(luò)的

7、安全建設(shè)實(shí)現(xiàn)方式應(yīng)包括物理安全、網(wǎng)絡(luò)設(shè)備的安全加固、網(wǎng)絡(luò)邊界安全訪問控制等內(nèi)容。2.5物理安全包括IPTV承載網(wǎng)絡(luò)通信線路、物理設(shè)備的安全及機(jī)房的安全。網(wǎng)絡(luò)物理層的安全主要體現(xiàn)在通信線路的可靠性，軟硬件設(shè)備安全性，設(shè)備的備份和容災(zāi)能力，不間斷電源保障等。2.6網(wǎng)絡(luò)設(shè)備安全加固作為IP承載網(wǎng)，首先必須加強(qiáng)對網(wǎng)絡(luò)設(shè)備的安全配置，即對網(wǎng)絡(luò)設(shè)備的安全加固，主要包括口令管理、服務(wù)管理、交互式訪問控制等措施?？诹畹陌踩芾?，所有網(wǎng)絡(luò)設(shè)備的口令需要滿足一定的復(fù)雜性要求；對設(shè)備口令在本地的存儲，應(yīng)采用系統(tǒng)支持的強(qiáng)加密方式；在口令的配置策略上，所有網(wǎng)絡(luò)設(shè)備口令不得相同，口令必須定時更新等；在口令的安全管理上，為

8、了適應(yīng)網(wǎng)絡(luò)設(shè)備的規(guī)?；?，必須實(shí)施相應(yīng)的用戶授權(quán)及集中認(rèn)證單點(diǎn)登錄等機(jī)制，不得存在測試賬戶、口令現(xiàn)象。服務(wù)管理，在網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)服務(wù)配置方面，必須遵循最小化服務(wù)原則，關(guān)閉網(wǎng)絡(luò)設(shè)備不需要的所有服務(wù)，避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在的安全漏洞增加網(wǎng)絡(luò)的安全風(fēng)險。對于必須開啟的網(wǎng)絡(luò)服務(wù)，必須通過訪問控制列表等手段限制遠(yuǎn)程主機(jī)地址。在邊緣路由器應(yīng)當(dāng)關(guān)閉某些會引起網(wǎng)絡(luò)安全風(fēng)險的協(xié)議或服務(wù)，如ARP代理、CISCO的CDP協(xié)議等?？刂平换ナ皆L問，網(wǎng)絡(luò)設(shè)備的交互式訪問包括本地的控制臺訪問及遠(yuǎn)程的VTY終端訪問等。網(wǎng)絡(luò)設(shè)備的交互式訪問安全措施包括：加強(qiáng)本地控制臺的物理安全性，限制遠(yuǎn)程VTY終端的IP地址；控制

9、banner信息，不得泄露任何相關(guān)信息；遠(yuǎn)程登錄必須通過加密方式，禁止反向telnet等。2.7網(wǎng)絡(luò)安全邊界保護(hù)網(wǎng)絡(luò)安全邊界保護(hù)的主要手段是通過防火墻或路由器對不同網(wǎng)絡(luò)系統(tǒng)之間實(shí)施相應(yīng)的安全訪問控制策略，在保證業(yè)務(wù)正常訪問的前提下從網(wǎng)絡(luò)層面保證網(wǎng)絡(luò)系統(tǒng)的安全性。IPTV承載網(wǎng)絡(luò)邊界保護(hù)措施主要包括以下兩點(diǎn)：通過路由過濾或ACL的方式隱藏IPTV承載網(wǎng)路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址，減少來自Internet或其它不可信網(wǎng)絡(luò)的安全風(fēng)險。在IPTV承載網(wǎng)絡(luò)邊緣路由器與其它不可信網(wǎng)絡(luò)出口過濾所有的不需要的網(wǎng)絡(luò)管理、控制協(xié)議，包括HSRP、SNMP等。2.8拒絕服務(wù)攻擊防范拒絕服務(wù)攻擊對IPTV承載網(wǎng)絡(luò)

10、的主要影響有：占用IPTV承載網(wǎng)網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)性能的下降；消耗網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備或系統(tǒng)無法正常提供服務(wù)等。建議IPTV承載網(wǎng)絡(luò)采取以下措施實(shí)現(xiàn)拒絕服務(wù)攻擊的防范：實(shí)現(xiàn)網(wǎng)絡(luò)的源IP地址過濾，在IPTV承載網(wǎng)接入路由器對其進(jìn)行源IP地址的檢查。關(guān)閉網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)可能被利用進(jìn)行拒絕服務(wù)攻擊的網(wǎng)絡(luò)服務(wù)端口及其它網(wǎng)絡(luò)功能，如echo、chargen服務(wù)，網(wǎng)絡(luò)設(shè)備的子網(wǎng)直接廣播功能等。通過建立網(wǎng)絡(luò)安全管理系統(tǒng)平臺實(shí)現(xiàn)對拒絕服務(wù)攻擊的分析、預(yù)警功能，從全局的角度實(shí)現(xiàn)對拒絕服務(wù)攻擊的監(jiān)測，做到早發(fā)現(xiàn)、早隔離。下圖給出了IPTV承載網(wǎng)安全建設(shè)實(shí)現(xiàn)方式圖。2.9信源安全/組播路由安全盡

11、管組播技術(shù)具備開展新業(yè)務(wù)的許多優(yōu)勢，并且協(xié)議日趨完善，但開展組播業(yè)務(wù)還面臨著組播用戶認(rèn)證、組播源安全和組播流量擴(kuò)散安全性的問題。組播源管理：在組播流進(jìn)入骨干網(wǎng)絡(luò)前，組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分合法和非法媒體服務(wù)器，可以在RP上對組播源的合法性進(jìn)行檢查，如果發(fā)現(xiàn)來自未經(jīng)授權(quán)的組播源的注冊報文，可以拒絕接收發(fā)送過來的單播注冊報文，因此下游用戶就可以避免接收到非法的組播節(jié)目。為防止非法用戶將組播源接入到組播網(wǎng)絡(luò)中，可以在邊緣設(shè)備上配置組播源組過濾策略，只有屬于合法范圍的組播源的數(shù)據(jù)才進(jìn)行處理。這樣既可以對組播報文的組地址進(jìn)行過濾，也可以對組播報文的源組地址進(jìn)行過濾。組播流量擴(kuò)散安全性：在標(biāo)準(zhǔn)的組播中，接收者可以加入任意的組播組，也就是說，組播樹的分枝是不可控的，信源不了解組播樹的范圍與方向，安全性較低。為了實(shí)現(xiàn)對一些重要信息的保護(hù)，需要控制其擴(kuò)散范圍，靜態(tài)組播樹方案就是為了滿足此需求而提出的。靜態(tài)組播樹將組播樹事先配置，控制組播樹的范圍與方向，不接收其他動態(tài)的組播成員的加入，這樣能使組播信源的報文在規(guī)定的范圍內(nèi)擴(kuò)散。在網(wǎng)絡(luò)中，組播節(jié)目可能只需要一定直徑范圍內(nèi)的用戶接收，可以在路由器上對轉(zhuǎn)發(fā)的組播報文的TTL數(shù)進(jìn)行檢查，只對大于所配置的TTL閾值的組播報文進(jìn)行轉(zhuǎn)發(fā)，因此可以限制組播報文擴(kuò)散到未經(jīng)授權(quán)的范圍。組播用戶的管理：原有標(biāo)準(zhǔn)的組播協(xié)議沒有考慮用戶管