中国电信吉安分公司IP城域网接入层安全风险评估报告

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 中国电信 江西 省 固定通信网 安全风险评估报告 中国电信 吉安分 公司 二零零 九 年 七 月 评估对象 ： 吉安 IP 接入 网 评估 单位： 吉安分公司网络维护安装中心 评 估 日期： 2009 年 7 月 20 日至 2009 年 8 月 10 日 编 号 ： CTSEC jiangxi-jian-01-200907 企业秘密 编号： CTSEC jiangxi-jian-01-200907 企业秘密 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 概述 2 1.1 目的 . 2 1.2 内容及范围 . 2 1.3 风险评估方法 . 4 1.4 评估依据 . 错误 !未定义书签。 2 资产分析 4 2.1 城域 网 接入汇聚节点 . 错误 !未定义书签。 2.2 城域 网 用户接入节点 . 错误 !未定义书签。 3 威胁分析 6 3.1 城域网接入汇聚节点 . 错误 !未定义书签。 3.2 城域网用户接入节点 . 错误 !未定义书签。 4 脆弱性分析 10 4.1 城域网接入汇聚节点 . 错误 !未定义书签。 4.2 城域网用户接入节点 . 错误 !未定义书签。 5 已有安全措施 12 6 安全风险分析 错误 !未定义书签。 7 风险处置计划及整改情况 12 8 总结 14 9 附件 14 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 内部资料，注意保密，未经同意，请勿翻印 文档信息 文档名称 中国电信江西省吉安市 IP 承载网安全风险评估报告 文件编号 编制人 王桂英 保密级别 企业秘密 修改过程 版本号 日期 负责人 概述 V1.0 2009.8.8 刘建平 评审过程 版本号 日期 评审者 概述 分发范围知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1 概 述 1.1 目的 近期中国电信 陆续发生网络障碍、服务效能事件、安全事件，造成很不良的 社会 影响。为全面查找 IP 承载网的维护管理、网络运行中存在的薄弱环节、安全隐患，并针对存在的问题及时 采取有效措施，全面 开展网络优化、安全整治工作，落实安全防护措施 ，消除安全隐患，从而提高网络运行的安全性、可靠性，提升网络运行质量， 提升网络维护、管理水平， 为全业务运营打下坚实的基础。同时，为 60 周年国庆活动提供可靠的网络安全保障。 1.2 内容及范围 定级对象：吉安 IP 接入网 吉安市宽带接入网经过 近 年 来不断的发展、变化 ，已形成 中心汇聚层、二级汇聚层、 接入汇聚层 、边缘接入层四个层次的网络结构。中心汇聚层主要设置在市本部 81、 82、 83 三个分局、师院机房和各县市中心机房、重要乡镇接入 网 机房，市公司分局和县市中心机房采用华为 S6503/6506R、 7810 或 9306 设备，各县重要乡镇一级汇聚点采用华为 S3552-EA 交换机；各 中心汇聚层节点各以一个GE 分别上行至本地的 BRAS， 81、 82、 83 局中心汇聚交换机同时还通过一条GE 链路与本机房的 SR 设备互联。二级汇聚层节点包括园区汇聚节点和乡镇中心汇聚节点，园区汇聚节点设置城区各大型接入网机房，乡镇中心汇聚节点设置在重要的 乡镇接入网机房，采用华为 S3552P/EA 或 3528P/EA 系列设备，二级汇聚层节点上行一般以一个 GE 接入中心汇聚层节点；接入汇聚层由小区中心交换机和一般的乡镇接入网点组成，采用华为 S2000 系列设备并以一个 GE 或 FE 上行园区汇聚节点或乡镇中心汇聚节点。 在市本部分局机房和县市中心机房还设有一台大客户专用接入交换机，主要采用华为 3500 系列交换机。 边缘接入层主要由 DSLAM 设备和楼层交换机构成，中心机房的 DSLAM 设备直接接入本局的中心汇聚交换机，城区接入网机房和乡镇接入网机房的宽带DSLAM 设备 就近接入该节点 汇聚或接入 交换机，部分乡镇由于业务量小没有设置小区中心节点，该乡镇宽带 DSLAM 设备直接上连该乡镇所属的乡镇中心汇聚节点交换机，上连方式绝大部分为 FE，少部分二级汇聚点的 DSLAM 设备以 GE 上 3 行。目前全市接入交换机 95%以上采用华为的 S2000 系列交换机，类型主要有华为 S2403H/EI/HI/H-EA、 S2016/EI/HI、 S2008/EI/HI 等，也使用了少量的中兴 S2818和 S2816 交换机。 DSLAM 设备有中兴 8210/8220/9210、华为 5300/5600/5615/5605及 阿尔卡特 7300/7302/7324 等。 随着近两年“光进铜退”进程的推进和 EPON 技术的推广应用， EPON 网络在我市宽带接入网络中已具一定的规模， 目前已在全市所有一级汇聚节点和部分二级汇聚节点部署 OLT 设备，该设备一般以 1 个 GE 就近接入同机房的汇聚交换机。ONU 设备 主要分布在 城区和农村 光进铜退室外接入点、酒店宾馆、中小型企业和新建小区等区域 ，一般通过一级分光 连接 OLT， 农村 地区 少数网点 存在二级分光。 截止 2009 年 7 月 31 日，全市已建 OLT设备 约 30 台， ONU设备共 380 台， 其中90%以上使用的 是中兴设备，部分为华为设备。 OLT的设备型号主要有中兴 C220、C200 设备、华为 5180T。 ONU 设备型号主要有中兴 9806H、 F820、 F401/42 等，华为的 5620E、 5616T等。 网络结构模型图如下： SiSi宽带 IP 城域网B RAS楼道交换机一般乡镇或接入网点 三级接入层SR大客户接入交换机宽带 城域网中心汇聚层小区中心二级汇聚层边缘接入层业务接入控制层政企专线客户政企专线客户中心局或重要乡镇机房重要乡镇光缆网城区接入网机房重要乡镇光缆网光缆 光缆政企专线客户接入网D S L A M 设备ODN 网ONU设备ONU设备O L T 设备F T T X 网络D S L A M 设备政企专线客户楼道交换机接入网D S L A M 设备D S L A M 设备中心机房汇聚交换机宽带 城域网楼道交换机一般乡镇或接入网点 三级接入层大客户接入交换机宽带 城域网中心汇聚层小区中心二级汇聚层边缘接入层业务接入控制层政企专线客户政企专线客户中心局或重要乡镇机房重要乡镇光缆网城区接入网机房重要乡镇光缆网光缆 光缆政企专线客户接入网设备网设备设备设备网络设备政企专线客户楼道交换机接入网设备设备中心机房汇聚交换机本次评估将从吉安 IP 城域网 接入层 的网络结构、 拓扑 部署的合理性，设备运行安全、可靠性（包括硬件环境、单板、单点隐患、设备性能、链路可靠性、安全防 4 护、数据配置的规范性等）和维护管理等几个方面进行风险评估。 1.3 风险评估方法 本次评估采取的评估方式有：查阅文档、 咨询厂家、 技术验证、测试、人工检 查 ，维护骨干集中讨论、分析 。 评估步骤：首先进行资产的识别、确定评估对象、评估方法、确定评估的具体内容、 收集相关信息、开展脆弱性评估、威胁性评估，编写评估报告和整治计划。 评估方法有： 根据收集网络和设备现状相关信息，与相关维护管理规范和厂家设备技术规范核查，并结合实际维护工作经验，识别设备威胁和脆弱性。 2 资产 分析 IP 城域 网 接入层 包括 接入汇聚节点和 用户 接入节点，其中的接入汇聚节点按照重要性分为三级， 用户 接入节点按照接入用户数 以及接入设备类型 也分为大型 ADSL节点、普通 ADSL接入节点以及楼栋交换机等 ， 涉及 的资产 重要性分析如下： 2.1 接入汇聚节点 吉安 IP 城域网 接入汇聚节点为城域网络二层网络的接入汇聚 设备 ，尤其是其一级接入汇聚节点，为二层网络树型拓扑的树根 ，具有非常高的重要性。 表 1 资产 重要性列表 序号 资产名称 资产类型 重要性等级 1 一级接入汇聚节点 硬件 高 软件：软件版本文件 高 提供的服务 高 重要数据： vlan的透传 与 vlan 的封装 高 文档 中 维护 人员 中 5 网络拓扑 中 2 二级接入汇聚节点 硬件 高 软件：软件版本文件 高 重要数据： vlan的透传于 vlan 的封装 高 提供的服务 中 维护人员 中 网络拓扑 低 文档 中 3 三级接入汇聚节点 硬件 中 软件：软件版本文件 中 重要数据： vlan的透传于 vlan 的封装 中 提供的服务 中 维护人员 中 网络拓扑 中 文档 中 2.2 用户接入节点 吉安城域网 用户接入节点按照接入用户数以及接入设备类型可以分为大中型ADSL 接入节点、小型 ADSL 接入节点和楼栋交换机，且由其接入用户数的多少其重要性也有区别 。 表 2 资产 重要性列表 序号 资产 名称 资产类型 重要性等级 1 大中型 ADSL接入节点 硬件 高 6 软件：软件版本文件 高 重要数据： 端口配置数据以及速率模板配置等 高 提供的服务 低 文档 中 人员 中 网络拓扑 中 2 小型 ADSL接入节点以及楼栋交换机 硬件 中 软件：软件版本文件 中 重要数据： 用户接入端口数据配置以及速率模板 中 提供的服务 低 文档 低 维护人员 低 网络拓扑 低 3 威胁 分析 IP 城域网 的威胁根据来源 可分为 技术威胁、 环境威胁 、 人为威胁 和 其他威胁 。环境 威胁 包括自然界不可抗的 威胁 和其它物理 威胁 。根据威胁的动机，人为 威胁 又可分为恶意和非恶意两种。 1、 人为威胁 1） 非恶意人为威胁：维护人员的操作不当，从而影响到设备的正常运行。为了防止该现象发生，在设备升级、业务割接前应准备好详细的升级和割接方案，一旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制度：1 人操作， 1 人检查，防止误操作。 严格控制操作人员权限，不具备操作技能的人 7 员不给于权限。 2） 恶意人为威胁：人为的恶意攻击、导致设备瘫痪。为了防止此类现象发生，已在设备上设置帐号 密码， 一级接入汇聚交换机 采用 1 人 1 个帐号的原则， 在接入控制层 启用防护策略 拒绝一切非法 IP 的访问以及关闭一切没必要的端口 ，严格落实设备数据配置规范，关闭不必要的服务， 通过访问控制列表精细控制不同应用类型的访问设备的源地址及其访问权限。 此外，应在城域网中部署一台流量清洗设备，来有效过滤网络中的恶意流量。 同时做好机房的“四防”工作。 2、 技术威胁 设备硬件问题和软件 BUG 造成设备性能下降，影响网络运行，为防止该类现象发生，需采用 IP 综合网管平台对设备和网络 运行情况进行监控，同时要求各设备厂家维护人员定期对 一级接入 汇聚 设备进行巡检，厂家发现软、硬件的 BUG 和隐患应及时告知局方，并采取有效措施予以规避和解决。 3、 环境威胁 1） 自然界不可抗的威胁： IP 承载网 接入 层 一、二级接入汇聚设备以及大中型 ADSL接入节点均部署在电信机房，遭遇雷击 的可能性极小 ，部分三级接入汇聚交换机以及小型 ADSL 节点与楼栋交换机部署在比较简易的机房或者用户楼层内，面临雷击威胁，为防止或者尽量降低该类危险造成的损失，每年会对雷区设备进行清查统计，并作好防雷工作 ； 2） 其他物理威胁：机房环境温度造成设备出现异常，需利用动环监控系统，实时监控机房环境温 度， 严格控制好通信机房的环境温湿度； 此外，利用 IP 综合网管的告警平台， 对设备温度进行实时告警，发现异常，立即进行处理 ；小型 ADSL以及楼栋交换机等节点，大量部署在户外机柜或者楼宇内，存在环境温度以及电源不稳定等威胁，对此，利用 IP 综合网管告警平台，监视 节点的运行情况，发现异常，立即派维护人员现场排查。 IP 城域网 接入层 的威胁分析 如下： 3.1 接入汇聚节点 1、 一级接入汇聚节点 ： 1）、 自然界不可抗力的威胁： 一级接入汇聚节点 设备 一般 放置在 市县局 通信枢纽楼，房屋结构结实，地势 较高，并且按照通信楼的建设标准安装了多级 防雷设施，机房抗震、防雷、防洪等性能都较强，受自然界不可抗力的威胁较低。 2）、 其他物理威胁（环境威胁）： 一级接入汇聚节点设备所处 机房 环境温湿度符合要求，密封性好，不存在相关威胁。 8 3）、 恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复杂和恶劣，网络病毒、攻击手 段越来越多样、隐蔽、高明，各种网络安全事件时有发生，而由于该设备作为城域网网络设备管理的中转节点，尚未在城域网络上做有效的防护措施 ，因而我们认为其受恶意和非恶意 人为威胁的可能性比较大，定义威胁等级 为“高 ”级。 4）、 其他威胁： 低 2、 二级接入汇聚节点 ： 1） 自然界不可抗力的威胁： 二级接入汇聚节点一般部署在县乡重要的接入网机房，该类机房 房屋结构结实，并且按照 接入网机房 的建设标准安装了防雷设施，机房防雷性能都较强。 2） 其他物理威胁（环境威胁）： 该类 机房 只有部分配备了 空调， 监控手段还不是很完善，而且由于维护人员紧张，目前机房的定期巡检难以落实，工程随工也不到位、机房的现场管理水平还较低，机房环境难以满足通信要求和规范，对设备运行造成一定的威胁。 3） 恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复杂和恶劣，网络病毒 、攻击手段越来越多样、隐蔽、高明，各种网络安全事件时有发生，而目前 在相关的 BAS 上针对网络设备管理地址设置了访问控制，只允许少量网管网段以及网管软件相关端口的访问权限，同 时设备本身配置远程管理登陆账号和密码。但是由于该类设备大多部署在 无人值守接入网机房， 目前机房的现场管理水平还有一定的差距，对设备来说存在一定的恶意和非恶意认为威胁性 。 4） 其他威胁： 3、三级接入汇聚节点： 1） 自然界不可抗力的威胁： 三 级接入汇聚节点一般部署在县乡 偏远 的接入网机房，该类机房房屋结构 一般 ， 部署了 一定能力的防雷措施，该类机房 对抗自然界不可抗拒力的威胁能力一般。 2） 其他物理威胁（环境威胁）：机房 部分 配备空调 ，且空调性能一般 ， 物理环境相对较恶劣 ， 具有较大的环境威胁 。 3）恶意和非恶意人为威胁：考虑设备运行公网中，目前互联网网络环境日益复杂和恶劣，网络病毒、攻击手段越来越多样、隐蔽、高明，各种网络安全事件时有发生，而目前在相关的 BAS 上针对网络设备管理地址设置了访问控制，只允许少量网管网段以及网管软件相关端口的访问权限，同时设备本身配置远程管理登陆账号和密码。但是由于该类设备大多部署 在 无人值守接入网机房 ，且防盗防暴等 9 措施一般 ， 存在一定的威胁性 。 4） 其他威胁： 低 4、边缘接入节点： 边缘接入节点主要是指在偏远乡镇接入网机房、行政村接入网点、室外机柜、楼宇内的交换机、 DSLAM 或 ONU等设备。 这类节点物理 环境相对较恶劣 ，其 防雷防潮性能一般，抗自然灾害能力 、防破坏 能力都 较弱。但是该类节点用户量 少且和用户 质量较差 ，节点众多，要改善相关环境投入成本较高，收益不明显。 序号 资产名称 面临威胁类型 威胁可能性等级 1 一级接入汇聚节点 设备（包括汇聚交换机、 DSLAM、 OLT等设备） 自然界不可抗的威胁 低 其它物理威胁（环境威胁 ） 低 恶意人为威胁 中 非恶意人为威胁 中 其它威胁 低 2 二级接入汇聚节点 （包括汇聚交换机、DSLAM、 OLT等设备） 自然界不可抗的威胁 中 其它物理威胁（环境威胁） 中 恶意人为威胁 中 非恶意人为威胁 中 其它威胁 低 3 三级接入汇聚节点 （包括汇聚交换机、DSLAM、 OLT等设备） 自然界不可抗的威胁（环境威胁） 中 其它物理威胁（环境威胁） 高 恶意人为威胁 高 非恶意人为威胁 高 其它威胁 中 4 边缘接入节点（ DSLAM、接入交换机、 自然界不可抗的威胁 高 10 楼层交换机、 ONU等设备） 其它物理威胁（环境威胁） 高 恶意人为威胁 高 非恶意人为威胁 高 其它威胁 低 4 脆弱性 和风险 分析 IP 接入网 的脆弱性包括技术脆弱性和管理脆弱性两个方面 ，技术脆弱性又可分为业务 /应用、网络、设备（含操作系统和数据库）、 物理环境等方面的脆弱性 。脆弱性识别对象应以资产为核心。 吉安 IP 城域 网 接入网 的 脆弱性 分析 如下： 一、技术脆弱性 4.1 一级汇聚 层 1、 市本部 81 局、新干、永丰、吉水、吉安县、安福、永新、井冈山、泰和、遂川 中心局一级汇聚交换机 6503 设备 和峡江、万安 6506R设备 主控卡均为单配， 一旦该控制卡发生故障，将导致整个设备中断，中断整个 IP 端局的宽带业务， 存在严重的单板隐患。 除峡江、万安 6506 可增配一块主控板，进行主备冗余外，其他节点的设备无法解决单板隐患，因为 6503 只能单主控板运行，只能通过分担业务减轻隐患的影响的程度。 2、 目前全市所有的一级汇聚设备至 BRAS 和 SR设备的上行链路均只有 1 条，存在单链隐患。 3、新干、永丰、吉水、安福、永新 目前只设有一个一级汇聚点， 全县的业务集中由该汇聚交换机承载，存在较大的单 点隐患 ，可在下半年或明年的接入网优化、扩容工程中 建设第二一级汇聚节点或设备予以解决。 4、 一级接入汇聚设备 S9300 系列交换机，基于端口的灵活 qinq 部署，存在内层vlan 数的限制，致使业务的配置复杂化，增大了日常的维护工作量，以及排查故障的难度。厂家反映能通过升级软件版本的方法解决，但是目前无成熟版本。 S6500系列交换机对灵活 qinq 的支持不仅不成熟，而且存在广播复制、流量复制等问题存在安全隐患。 4.2 二、三级汇聚 层 1、 目前所有的 EPON OLT设备主控板为单配， 存在单板隐患，同时其上行链路一般只有 1 条， 为单链路。 11 2、 所有的二级汇聚设备均为裸光纤单链传输，无任何保护措施，传输可靠性差。此问题由于涉及新技术的引用和接入网网络架构的 重新 设计与规划，且建设成本较高， 需从长计议。 3、 部分三级汇聚设备性能低，负荷重，不能满足网络和业务发展 的 需要 ， 具体设备情况见附件。 4.3 边缘接入层 1、目前所有的大型 DSLAM 设备主控板均为单配，一旦发生故障，不仅导致整个设备的业务中断，而且由于更换板卡，数据也全部丢失，恢复起来时间长且容易丢失用户属性数据。 2、 部分 DSLAM 设备风扇已损坏，导致设备温度过高而引发故障。 具体 设备详见附件。 3、部分 大型 DSLAM， 如 阿尔卡特 7300、中兴 ZX8210 等设备使用年限达 7-8 年，设备老化 现象严重 ， 故障发生频繁， 影响用户感知 ，可考虑将该类设备 进行 退网 。目前全市共有 ZX8210 共 22 台，各个县市均有 1-2 台； 7300 设备 17 台，其中泰和 1 台，吉安市 16 台。 4、 各类 DSLAM 设备的软件版本和板卡硬件版本不统一，有些甚至存在 BUG，需统一进行升级。 5、楼层 BAN 箱、室外机柜存在门锁损坏、布线凌乱、未接地或接地不规范、电源插座不牢固等问题，均不同程度地引发设备故障、用户故障，需加以整治。 6、 EPON 网络存在工程建设不规范、设备性能不稳定、业务技术支持能力不足、网管系统功能不完善等问题，需加以整治和改进。 二、管理脆弱性 1、 作业计划流于形式，执行不到位，导致设备表面、风扇过滤网灰尘过多 而 引发故障；设备数据未定期备份，尤其是一些大型 DSLAM 的数据，各县市基本未做备份，一旦出现主控板等故障，将无法迅速恢复数据，影响故障修复速度，同时冗余丢失数据，影响用户上网。 设备日常监视、巡检工作落实不到位，以致发生告警和故障隐患不能及时发现和处理。 2、 部分新建 的 接入网点，机房封闭， 无窗户， 且无空调以 及相关通风换气系统，部分老机房要么未安装空调、要么空调和通风换气设施不能正常运转， 导致机房环境 温湿度不符合要求，空气质量差、静电多 ； 不仅 仅影响了工作人员的现场工作效率，更影响设备的正常运行，加速了设备的损耗速度，需加以整 治。 12 3、 由于人员不足，且工程周期短，往往工程已竣工就马上开放业务，工程随工、验收等工作严重缺失，导致工程建设不规范，留下很多遗留问题 在维护工作中不断补漏、优化，不仅使维护工作不断处于应对局面，降低维护工作效率，更重要是降低网络质量、影响感知。 4、接入网设备普遍存在数据配置不严谨、规范，如 设备、电路命名或描述不规范、冗余数据较多、重要参数选择不正确等，需进行全面梳理和整改。 5、设备、电路标签标识不规范，资料未及时在 CRM 系统、 IP 综合网管系统更新。 6、接入层面设备的备品备件不足，尤其是 EPON 设备，严重影响日常故障的及时修复。 5 已 采取的安全 措施 1、 为解决备品备件不足问题，省、市公司已着手购买一批备品备件。 2、 市本部上半年已开展了楼层 BAN 箱的整治，目前已将门锁的问题、接地、电源问题将基本处理和解决，但布线整治由于涉及几个部门的配合及工作量较大而基本未开展。 3、 已经制定详尽的城域网业 务承载和数据配置规范、相关工程规范，准备近期下发执行。 6 风险处置计划及整改情况 对于在检查过程中可通过整改消除的风险，企业应及时整改，并说明整改情况。 序号 网络风险 处置计划 责任部门 预期效果 实施条件 计划进度 1 一级汇聚设备上行链路 单链隐患 通过链路捆绑的方式将上行单链路改为聚合链路上行 网维中心 、各县市 提高 一级汇聚交换机上行链路传输 可靠性 ，消除 单链隐患。 一级汇聚交换机和 BAS、 SR设备上有足够的前兆端口及相关光模块。 9 月底前 2 峡 江 、 万 安6506R 单主控板隐患 增配一块主控板 网维 中心 、建设中心 实现主控板的主备冗 余保护，解决此两台设备的单主控板隐患。 购置两块同型号的主控板 10 月中旬前 3 EPON OLT 设 考虑设备的重 建设中心、 网 实现 OLT 设备 购置 20块左右 年底 13 备主控单配问题 要性，针对一级 汇 聚点 的OLT 设备每台设备增配 1 块主控板 维中心、各县市 主控板热备冗余保护。 的主控板 4 新干、永丰、吉水、安福、永新单一级汇聚节点设置问题 建设第二个一级汇聚节点或设备 建设中心、 网维中心 、相关县市 减轻单点隐患 建设资金 2010 年接入网优化工程，大约在 10 年 3 月底前 5 部 分三级汇聚设备性能低问题 采取调配或新建的方式，将设备更换成更高性能的设备 建设中心、 网维中心 、各县市 提 高 设备 性能，满足业务、网络发展需求 有设备可调配或新购设备 年底 6 部分大型DSLAM 设备主控板单配问题 对承载用户数超过 400 的DSLAM 设备增配备用控制卡 建设中心、 网维中心 、各县市 提高设备运行稳定性 建设投资 2010 年上半年 7 部分 DSLAM设备风扇损坏问题 开展 DSLAM设备全面巡检工作，重点检查设备风扇、板 卡 故障 隐患，发现问题予以维修 网维中心、各县市 提高 DSLAM设备运行稳