中国电信吉安分公司IP城域网接入层安全风险评估报告.doc

知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 中国电信江西省固定通信网中国电信江西省固定通信网 安全风险评估报告安全风险评估报告 中国电信吉安分公司中国电信吉安分公司 二零零九年七月 评估对象：评估对象： 吉安ip接入网 评估单位：评估单位： 吉安分公司网络维护安装中心 评估日期：评估日期：2009 年年 7 月月 20 日至日至 2009 年年 8 月月 10 日日 编号：编号： ctsecjiangxi-jian-01- 200907 企业秘密企业秘密 编号： ctsecjiangxi-jian-01- 200907 企业秘密 知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 目目 录录 1概述3 1.1目的 3 1.2内容及范围 3 1.3风险评估方法 3 1.4评估依据 3 2资产分析3 2.1城域网接入汇聚节点 3 2.2城域网用户接入节点 4 3威胁分析5 3.1城域网接入汇聚节点 5 3.2城域网用户接入节点 5 4脆弱性分析7 4.1城域网接入汇聚节点 7 4.2城域网用户接入节点 7 5已有安全措施8 6安全风险分析8 7风险处置计划及整改情况9 8总结9 9附件9 知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 内部资料，注意保密，未经同意，请勿翻印 文档信息 文档名称文档名称 中国电信江西省吉安市 ip 承载网安全风险评估报告 文件编号 编制人王桂英 保密级别企业秘密 修改过程 版本号版本号日期日期负责人负责人概述概述 v1.02009.8.8刘建平 评审过程 版本号版本号日期日期评审者评审者概述概述 分发范围 知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除） 百度一下“知识水坝“ 1概述概述 1.1目的目的 近期中国电信陆续发生网络障碍、服务效能事件、安全事件，造成很不良的社 会影响。为全面查找 ip 承载网的维护管理、网络运行中存在的薄弱环节、安全 隐患，并针对存在的问题及时采取有效措施，全面开展网络优化、安全整治工作， 落实安全防护措施，消除安全隐患，从而提高网络运行的安全性、可靠性，提升 网络运行质量，提升网络维护、管理水平，为全业务运营打下坚实的基础。同时， 为 60 周年国庆活动提供可靠的网络安全保障。 1.2内容及范围内容及范围 定级对象：吉安 ip 接入网 吉安市宽带接入网经过近年来不断的发展、变化，已形成中心汇聚层、二级 汇聚层、接入汇聚层、边缘接入层四个层次的网络结构。中心汇聚层主要设置 在市本部 81、82、83 三个分局、师院机房和各县市中心机房、重要乡镇接入网 机房，市公司分局和县市中心机房采用华为 s6503/6506r、7810 或 9306 设备， 各县重要乡镇一级汇聚点采用华为 s3552-ea 交换机；各中心汇聚层节点各以一 个 ge 分别上行至本地的 bras，81、82、83 局中心汇聚交换机同时还通过一 条 ge 链路与本机房的 sr 设备互联。二级汇聚层节点包括园区汇聚节点和乡镇 中心汇聚节点，园区汇聚节点设置城区各大型接入网机房，乡镇中心汇聚节点 设置在重要的乡镇接入网机房，采用华为 s3552p/ea 或 3528p/ea 系列设备， 二级汇聚层节点上行一般以一个 ge 接入中心汇聚层节点；接入汇聚层由小区 中心交换机和一般的乡镇接入网点组成，采用华为 s2000 系列设备并以一个 ge 或 fe 上行园区汇聚节点或乡镇中心汇聚节点。 在市本部分局机房和县市 中心机房还设有一台大客户专用接入交换机，主要采用华为 3500 系列交换机。 边缘接入层主要由 dslam 设备和楼层交换机构成，中心机房的 dslam 设 备直接接入本局的中心汇聚交换机，城区接入网机房和乡镇接入网机房的宽带 3 dslam 设备就近接入该节点汇聚或接入交换机，部分乡镇由于业务量小没有设 置小区中心节点，该乡镇宽带 dslam 设备直接上连该乡镇所属的乡镇中心汇聚 节点交换机，上连方式绝大部分为 fe，少部分二级汇聚点的 dslam 设备以 ge 上行。目前全市接入交换机 95%以上采用华为的 s2000 系列交换机，类型主要有 华为 s2403h/ei/hi/h-ea、s2016/ei/hi、s2008/ei/hi 等，也使用了少量的中兴 s2818 和 s2816 交换机。dslam 设备有中兴 8210/8220/9210、华为 5300/5600/5615/5605 及阿尔卡特 7300/7302/7324 等。 随着近两年“光进铜退”进程的推进和 epon 技术的推广应用，epon 网络在 我市宽带接入网络中已具一定的规模，目前已在全市所有一级汇聚节点和部分二 级汇聚节点部署 olt 设备，该设备一般以 1 个 ge 就近接入同机房的汇聚交换机。 onu 设备主要分布在城区和农村光进铜退室外接入点、酒店宾馆、中小型企业和 新建小区等区域，一般通过一级分光连接 olt，农村地区少数网点存在二级分光。 截止 2009 年 7 月 31 日，全市已建 olt 设备约 30 台， onu 设备共 380 台，其 中 90%以上使用的是中兴设备，部分为华为设备。olt 的设备型号主要有中兴 c220、c200 设备、华为 5180t。onu 设备型号主要有中兴 9806h、f820、f401/42 等，华为的 5620e、5616t 等。网络结构模型图如下： 4 sisi 宽带 ip城域网 bras 楼道交换机 一般乡镇或接入网点三级接入层 sr 大客户接 入交换机 sisi 宽带 ip城域网 bras 中心汇聚层 小区中心 二级汇聚层 边缘接入层 sr业务接入控制层 政企专线 客户 政企专线 客户 中心局或重要 乡镇机房 重要乡镇 光缆网 城区接入 网机房 重要乡镇 光缆网 光缆光缆 政企专线 客户 接入网 dslam设备 odn网 onu 设备 onu 设备 olt设备 fttx网络 dslam设备 政企专线 客户 楼道交换机接入网 dslam设备 dslam设备 中心机房汇聚 交换机 sisisisi 宽带 ip城域网 bras 楼道交换机 一般乡镇或接入网点三级接入层 sr 大客户接 入交换机 sisisisi 宽带 ip城域网 bras 中心汇聚层 小区中心 二级汇聚层 边缘接入层 sr业务接入控制层 政企专线 客户 政企专线 客户 中心局或重要 乡镇机房 重要乡镇 光缆网 城区接入 网机房 重要乡镇 光缆网 光缆光缆 政企专线 客户 接入网 dslam设备 odn网 onu 设备 onu 设备 olt设备 fttx网络 dslam设备 政企专线 客户 楼道交换机接入网 dslam设备 dslam设备 中心机房汇聚 交换机 本次评估将从吉安 ip 城域网接入层的网络结构、拓扑部署的合理性，设备运行 安全、可靠性（包括硬件环境、单板、单点隐患、设备性能、链路可靠性、安全 防护、数据配置的规范性等）和维护管理等几个方面进行风险评估。 1.3风险评估方法风险评估方法 本次评估采取的评估方式有：查阅文档、咨询厂家、技术验证、测试、人工检查， 维护骨干集中讨论、分析。 评估步骤：首先进行资产的识别、确定评估对象、评估方法、确定评估的具体内 容、收集相关信息、开展脆弱性评估、威胁性评估，编写评估报告和整治计划。 评估方法有：根据收集网络和设备现状相关信息，与相关维护管理规范和厂家设 备技术规范核查，并结合实际维护工作经验，识别设备威胁和脆弱性。 5 2资产分析资产分析 ip 城域网接入层包括接入汇聚节点和用户接入节点，其中的接入汇聚节点按照重 要性分为三级，用户接入节点按照接入用户数以及接入设备类型也分为大型 adsl 节点、普通 adsl 接入节点以及楼栋交换机等，涉及的资产重要性分析如 下： 2.1接入汇聚节点接入汇聚节点 吉安 ip 城域网接入汇聚节点为城域网络二层网络的接入汇聚设备，尤其是其一 级接入汇聚节点，为二层网络树型拓扑的树根，具有非常高的重要性。 表 1 资产重要性列表 序号资产名称资产类型重要性等级 硬件高 软件：软件版本 文件 高 提供的服务高 重要数据：vlan 的透传与 vlan 的 封装 高 文档中 维护人员中 1 一级接入汇聚节点 网络拓扑中 2 二级接入汇聚节点硬件高 6 软件：软件版本 文件 高 重要数据：vlan 的透传于 vlan 的 封装 高 提供的服务中 维护人员中 网络拓扑低 文档中 硬件中 软件：软件版本 文件 中 重要数据：vlan 的透传于 vlan 的 封装 中 提供的服务中 维护人员中 网络拓扑中 3 三级接入汇聚节点 文档中 2.2用户接入节点用户接入节点 吉安城域网用户接入节点按照接入用户数以及接入设备类型可以分为大中型 7 adsl 接入节点、小型 adsl 接入节点和楼栋交换机，且由其接入用户数的多少 其重要性也有区别。 表 2 资产重要性列表 序号资产名称资产类型重要性等级 硬件高 软件：软件版本 文件 高 重要数据：端口 配置数据以及速 率模板配置等 高 提供的服务低 文档中 人员中 1 大中型 adsl 接入节点 网络拓扑中 硬件中 软件：软件版本 文件 中 重要数据：用户 接入端口数据配 置以及速率模板 中 提供的服务低 2 小型 adsl 接入节点以及楼栋交换机 文档低 8 维护人员低 网络拓扑低 3威胁分析威胁分析 ip 城域网的威胁根据来源可分为技术威胁、环境威胁、人为威胁和其他威胁。环 境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机，人为威胁又 可分为恶意和非恶意两种。 1、人为威胁 1）非恶意人为威胁：维护人员的操作不当，从而影响到设备的正常运行。为了 防止该现象发生，在设备升级、业务割接前应准备好详细的升级和割接方案，一 旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制 度：1 人操作，1 人检查，防止误操作。严格控制操作人员权限，不具备操作技 能的人员不给于权限。 2）恶意人为威胁：人为的恶意攻击、导致设备瘫痪。为了防止此类现象发生， 已在设备上设置帐号密码，一级接入汇聚交换机采用 1 人 1 个帐号的原则，在接 入控制层启用防护策略拒绝一切非法 ip 的访问以及关闭一切没必要的端口，严 格落实设备数据配置规范，关闭不必要的服务，通过访问控制列表精细控制不同 应用类型的访问设备的源地址及其访问权限。此外，应在城域网中部署一台流量 清洗设备，来有效过滤网络中的恶意流量。同时做好机房的“四防”工作。 2、技术威胁 设备硬件问题和软件 bug 造成设备性能下降，影响网络运行，为防止该类现象 发生，需采用 ip 综合网管平台对设备和网络运行情况进行监控，同时要求各设 备厂家维护人员定期对一级接入汇聚设备进行巡检，厂家发现软、硬件的 bug 和隐患应及时告知局方，并采取有效措施予以规避和解决。 9 3、环境威胁 1）自然界不可抗的威胁：ip 承载网接入层一、二级接入汇聚设备以及大中型 adsl 接入节点均部署在电信机房，遭遇雷击的可能性极小，部分三级接入汇聚 交换机以及小型 adsl 节点与楼栋交换机部署在比较简易的机房或者用户楼层内， 面临雷击威胁，为防止或者尽量降低该类危险造成的损失，每年会对雷区设备进 行清查统计，并作好防雷工作； 2）其他物理威胁：机房环境温度造成设备出现异常，需利用动环监控系统，实 时监控机房环境温度，严格控制好通信机房的环境温湿度；此外，利用 ip 综合 网管的告警平台， 对设备温度进行实时告警，发现异常，立即进行处理；小型 adsl 以及楼栋交换机等节点，大量部署在户外机柜或者楼宇内，存在环境温度 以及电源不稳定等威胁，对此，利用 ip 综合网管告警平台，监视节点的运行情 况，发现异常，立即派维护人员现场排查。 ip 城域网接入层的威胁分析如下： 3.1接入汇聚节点接入汇聚节点 1、一级接入汇聚节点： 1） 、自然界不可抗力的威胁：一级接入汇聚节点设备一般放置在市县局通信枢纽 楼，房屋结构结实，地势较高，并且按照通信楼的建设标准安装了多级防雷设施， 机房抗震、防雷、防洪等性能都较强，受自然界不可抗力的威胁较低。 2） 、其他物理威胁（环境威胁）：一级接入汇聚节点设备所处机房环境温湿度符 合要求，密封性好，不存在相关威胁。 3） 、恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复 杂和恶劣，网络病毒、攻击手段越来越多样、隐蔽、高明，各种网络安全事件时 有发生，而由于该设备作为城域网网络设备管理的中转节点，尚未在城域网络上 做有效的防护措施，因而我们认为其受恶意和非恶意人为威胁的可能性比较大， 定义威胁等级为“高”级。 10 4） 、其他威胁： 低 2、二级接入汇聚节点： 1） 自然界不可抗力的威胁：二级接入汇聚节点一般部署在县乡重要的接入网机 房，该类机房房屋结构结实，并且按照接入网机房的建设标准安装了防雷设施， 机房防雷性能都较强。 2） 其他物理威胁（环境威胁）：该类机房只有部分配备了空调，监控手段还不 是很完善，而且由于维护人员紧张，目前机房的定期巡检难以落实，工程随工也 不到位、机房的现场管理水平还较低，机房环境难以满足通信要求和规范，对设 备运行造成一定的威胁。 3）恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复 杂和恶劣，网络病毒、攻击手段越来越多样、隐蔽、高明，各种网络安全事件时 有发生，而目前在相关的 bas 上针对网络设备管理地址设置了访问控制，只允 许少量网管网段以及网管软件相关端口的访问权限，同时设备本身配置远程管理 登陆账号和密码。但是由于该类设备大多部署在无人值守接入网机房，目前机房 的现场管理水平还有一定的差距，对设备来说存在一定的恶意和非恶意认为威胁 性。 4） 其他威胁： 3、三级接入汇聚节点： 1） 自然界不可抗力的威胁：三级接入汇聚节点一般部署在县乡偏远的接入网机 房，该类机房房屋结构一般，部署了一定能力的防雷措施，该类机房对抗自然界 不可抗拒力的威胁能力一般。 2） 其他物理威胁（环境威胁）：机房部分配备空调，且空调性能一般，物理环 境相对较恶劣，具有较大的环境威胁。 3）恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复 11 杂和恶劣，网络病毒、攻击手段越来越多样、隐蔽、高明，各种网络安全事件时 有发生，而目前在相关的 bas 上针对网络设备管理地址设置了访问控制，只允 许少量网管网段以及网管软件相关端口的访问权限，同时设备本身配置远程管理 登陆账号和密码。但是由于该类设备大多部署在无人值守接入网机房，且防盗防 暴等措施一般，存在一定的威胁性。 4） 其他威胁：低 4、边缘接入节点： 边缘接入节点主要是指在偏远乡镇接入网机房、行政村接入网点、室外机柜、楼 宇内的交换机、dslam 或 onu 等设备。这类节点物理环境相对较恶劣，其防 雷防潮性能一般，抗自然灾害能力、防破坏能力都较弱。但是该类节点用户量少 且和用户质量较差，节点众多，要改善相关环境投入成本较高，收益不明显。 序号资产名称面临威胁类型威胁可能性等级 自然界不可抗 的威胁 低 其它物理威胁 （环境威胁） 低 恶意人为威胁 中 非恶意人为威 胁 中 1 一级接入汇聚节点设备（包括汇聚交换 机、dslam、olt 等设备） 其它威胁 低 自然界不可抗 的威胁 中 其它物理威胁 （环境威胁） 中 恶意人为威胁 中 2 二级接入汇聚节点（包括汇聚交换机、 dslam、olt 等设备） 非恶意人为威 胁 中 12 其它威胁 低 自然界不可抗 的威胁（环境 威胁） 中 其它物理威胁 （环境威胁） 高 恶意人为威胁 高 非恶意人为威 胁 高 3 三级接入汇聚节点（包括汇聚交换机、 dslam、olt 等设备） 其它威胁 中 自然界不可抗 的威胁 高 其它物理威胁 （环境威胁） 高 恶意人为威胁 高 非恶意人为威 胁 高 4 边缘接入节点（dslam、接入交换机、 楼层交换机、onu 等设备） 其它威胁 低 4脆弱性和风险分析脆弱性和风险分析 ip 接入网的脆弱性包括技术脆弱性和管理脆弱性两个方面，技术脆弱性又可分为 业务/应用、网络、设备（含操作系统和数据库） 、物理环境等方面的脆弱性。脆 弱性识别对象应以资产为核心。吉安 ip 城域网接入网的脆弱性分析如下： 一、技术脆弱性 4.1一级汇聚层一级汇聚层 1、市本部 81 局、新干、永丰、吉水、吉安县、安福、永新、井冈山、泰和、遂 川中心局一级汇聚交换机 6503 设备和峡江、万安 6506r 设备主控卡均为单配， 13 一旦该控制卡发生故障，将导致整个设备中断，中断整个 ip 端局的宽带业务， 存在严重的单板隐患。除峡江、万安 6506 可增配一块主控板，进行主备冗余外， 其他节点的设备无法解决单板隐患，因为 6503 只能单主控板运行，只能通过分 担业务减轻隐患的影响的程度。 2、目前全市所有的一级汇聚设备至 bras 和 sr 设备的上行链路均只有 1 条，存 在单链隐患。 3、新干、永丰、吉水、安福、永新目前只设有一个一级汇聚点，全县的业务集 中由该汇聚交换机承载，存在较大的单点隐患，可在下半年或明年的接入网优化、 扩容工程中建设第二一级汇聚节点或设备予以解决。 4、一级接入汇聚设备 s9300 系列交换机，基于端口的灵活 qinq 部署，存在内层 vlan 数的限制，致使业务的配置复杂化，增大了日常的维护工作量，以及排查故 障的难度。厂家反映能通过升级软件版本的方法解决，但是目前无成熟版本。 s6500 系列交换机对灵活 qinq 的支持不仅不成熟，而且存在广播复制、流量复制 等问题存在安全隐患。 4.2二、三级汇聚层二、三级汇聚层 1、目前所有的 epon olt 设备主控板为单配，存在单板隐患，同时其上行链路 一般只有 1 条，为单链路。 2、所有的二级汇聚设备均为裸光纤单链传输，无任何保护措施，传输可靠性差。 此问题由于涉及新技术的引用和接入网网络架构的重新设计与规划，且建设成本 较高，需从长计议。 3、部分三级汇聚设备性能低，负荷重，不能满足网络和业务发展的需要，具体 设备情况见附件。 4.3 边缘接入层 1、目前所有的大型 dslam 设备主控板均为单配，一旦发生故障，不仅导致整 14 个设备的业务中断，而且由于更换板卡，数据也全部丢失，恢复起来时间长且容 易丢失用户属性数据。 2、部分 dslam 设备风扇已损坏，导致设备温度过高而引发故障。具体设备详 见附件。 3、部分大型 dslam，如阿尔卡特 7300、中兴 zx8210 等设备使用年限达 7-8 年， 设备老化现象严重，故障发生频繁，影响用户感知，可考虑将该类设备进行退网。 目前全市共有 zx8210 共 22 台，各个县市均有 1-2 台；7300 设备 17 台，其中泰 和 1 台，吉安市 16 台。 4、各类 dslam 设备的软件版本和板卡硬件版本不统一，有些甚至存在 bug， 需统一进行升级。 5、楼层 ban 箱、室外机柜存在门锁损坏、布线凌乱、未接地或接地不规范、电 源插座不牢固等问题，均不同程度地引发设备故障、用户故障，需加以整治。 6、epon 网络存在工程建设不规范、设备性能不稳定、业务技术支持能力不足、 网管系统功能不完善等问题，需加以整治和改进。 二、管理脆弱性 1、作业计划流于形式，执行不到位，导致设备表面、风扇过滤网灰尘过多而引 发故障；设备数据未定期备份，尤其是一些大型 dslam 的数据，各县市基本未 做备份，一旦出现主控板等故障，将无法迅速恢复数据，影响故障修复速度，同 时冗余丢失数据，影响用户上网。设备日常监视、巡检工作落实不到位，以致发 生告警和故障隐患不能及时发现和处理。 2、部分新建的接入网点，机房封闭，无窗户，且无空调以及相关通风换气系统， 部分老机房要么未安装空调、要么空调和通风换气设施不能正常运转，导致机房 环境温湿度不符合要求，空气质量差、静电多；不仅仅影响了工作人员的现场工 作效率，更影响设备的正常运行，加速了设备的损耗速度，需加以整治。 15 3、由于人员不足，且工程周期短，往往工程已竣工就马上开放业务，工程随工、 验收等工作严重缺失，导致工程建设不规范，留下很多遗留问题在维护工作中不 断补漏、优化，不仅使维护工作不断处于应对局面，降低维护工作效率，更重要 是降低网络质量、影响感知。 4、接入网设备普遍存在数据配置不严谨、规范，如设备、电路命名或描述不规 范、冗余数据较多、重要参数选择不正确等，需进行全面梳理和整改。 5、设备、电路标签标识不规范，资料未及时在 crm 系统、ip 综合网管系统更 新。 6、接入层面设备的备品备件不足，尤其是 epon 设备，严重影响日常故障的及 时修复。 5已采取的安全措施已采取的安全措施 1、为解决备品备件不足问题，省、市公司已着手购买一批备品备件。 2、市本部上半年已开展了楼层 ban 箱的整治，目前已将门锁的问题、接地、电 源问题将基本处理和解决，但布线整治由于涉及几个部门的配合及工作量较大而 基本未开展。 3、已经制定详尽的城域网业务承载和数据配置规范、相关工程规范，准备近期 下发执行。 6风险处置计划及整改情况 对于在检查过程中可通过整改消除的风险，企业应及时整改，并说明整改情况。 序号网络风险处置计划责任部门预期效果实施条件计划进度 1 一级汇聚设备 上行链路单链 通过链路捆绑 的方式将上行 网维中心、各 县市 提高一级汇聚 交换机上行链 一级汇聚交换 机和 9 月底前 16 隐患单链路改为聚 合链路上行 路传输可靠性， 消除单链隐患。 bas、sr 设 备上有足够的 前兆端口及相 关光模块。 2 峡江、万安 6506r 单主控 板隐患 增配一块主控 板 网维中心、建 设中心 实现主控板的 主备冗余保护， 解决此两台设 备的单主控板 隐患。 购置两块同型 号的主控板 10 月中旬前 3 epon olt 设 备主控单配问 题 考虑设备的重 要性，针对一 级汇聚点的 olt 设备每台 设备增配 1 块 主控板 建设中心、网 维中心、各县 市 实现 olt 设 备主控板热备 冗余保护。 购置 20 块左 右的主控板 年底 4 新干、永丰、 吉水、安福、 永新单一级汇 聚节点设置问 题 建设第二个一 级汇聚节点或 设备 建设中心、网 维中心、相关 县市 减轻单点隐患 建设资金2010 年接入网 优化工程，大 约在 10 年 3 月底前 5 部分三级汇聚 设备性能低问 题 采取调配或新 建的方式，将 设备更换成更 高性能的设备 建设中心、网 维中心、各县 市 提高设备性能， 满足业务、网 络发展需求 有设备可调配 或新购设备 年底 6 部分大型 dslam 设备 主控板单配问 题 对承载用户数 超过 400 的 dslam 设备 增配备用控制 卡 建设中心、网 维中心、各县 市 提高设备运行 稳定性 建设投资2010 年上半年 7 部分 dslam开展 dslam 网维中心、各 提高 dslam 无9 月底前 17 设备风扇损坏 问题 设备全面巡检 工作，重点检 查设备风扇、 板卡故障隐患， 发现问题予以 维修 县市设备运行稳定 性 8 dslam 设备 版本不统一问 题 升级相关设备 软件版本，尽