中国电信吉安分公司固定通信网安全风险评估报告

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 中国电信 江西 省 吉安市 固定通信网 安全风险评估报告 中国电信 吉安分 公司 二 00九 年 七 月 评估对象： 吉安纯汇、 SHLR、 TS、 网关、 TG9000、端局 评估单位： 吉安电信 网络 维护安装中心 评估日期： 2009 年 月 日 31 日 编号： CTSEC-JIANGXI -01-200907） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01 开始） -时间（ 200904） 企业秘密 编号： CTSEC-JIANGXI -01-200907） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01 开始） -时间（ 200904） 企业秘密 编号： CTSEC-JIANGXI -01-200907） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01 开始） -时间（ 200904） 企业秘密 编号： CTSEC-JIANGXI -01-200907） 企业秘密 编号： 单位（中国电信为 CTSEC）-省（如湖北为 HUBEI） -文档编号（ 01 开始） -时间（ 200904） 企业秘密 编号： CTSEC-JIANGXI -01-200907） 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 概述 1.1 目的 . 2 1.2 内容及范围 . 2 1.3 风险评估方法 . 4 1.4 评估依据 . 4 2 资产分析 2.1 本地网 . 5 2.2 省内长途网 . 6 3 威胁分析 7 3.1 本地网 . 8 3.2 省内长途网 . 4 脆弱性分析 9 4.1 本地网 . 10 4.2 省内长途网 . 11 5 已有安全措施 6 安全风险分析 7 风险处置计划及整改情况 8 总结 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 内部资料，注意保密，未经同意，请勿翻印 文 档信息 文档名称 江西吉安固定通信网安全风险评估 文件编号 CTSEC-JIANGXI -01-200907 编制人 李爱碧 保密级别 企业秘密 修改过程 版本号 日期 负责人 概述 V1.0 20090731 李爱碧 V2.0 20080808 李爱碧 评审过程 版本号 日期 评审者 概述 分发范围知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1 概述 1.1 目的 为全面梳理吉安 交换 网络安全运营的薄弱环 节，落实防护措施，消除安全隐患，并 切实 为国庆 60 周年网络安全保障 做好准备 ， 组织 开展 吉安交换本地网 的网络安全检查及评估。 通过此次检查评估，全面掌握吉安 C本地网核心设备 ：纯汇、 SHLR、 TS、网关、软交换 TG9000、端局等设备的整体运行情况，及时提出整改 计划及 措施， 消除 隐患 ，提高吉安 本地交换网 整体安全防护水平。 1.2 内容及范围 评估对象： 吉安 C本地网核心设备：纯汇、 SHLR、 TS、网关、软交换 TG9000、37 个 端局 网络结构及组网分析 ： 目前吉安本地网由纯汇局汇接吉安市、吉水县、新干县、永新县、永丰 县、万安县、泰和县、遂川县、井冈山市、峡江县、安福县、吉安县等 12 个县市端局所有话务，包括长途话务、网间话务、网话话务、市话话务和智能业务，汇接C 网打电信本地固话、 C 网打固话长途及软交换打省际长途业务。 吉安市 C3 本地网范围内现有 2 个本地纯汇接局 (大楼纯汇、河东纯汇 )、 1个长途局 、 1 个 TG9000、 1 个 C 网 MGW、 1 个 PHS、 1 个网关局 、 2 个 LSTP、 2 个SHLR、 2 个 LSTP、 37 个端局。纯汇局对端局、 C 网 MGW、软交换（ TG9000）、网关、 TS 采用双汇接、全覆盖的组网形式。七号信令方式为准直联，纯汇局 与 C网 MGW 和软交换 TG9000 开设了直链。纯汇局采用了双汇接，可靠性较高。 同时，设置了大楼、河东两套 SHLR（综合用户属性数据库），分别与纯汇和软交换网络互连，实现了新业务在全网的统一开展，这两套 SHLR 采用了同步校对机制，保证了数据的一致性；长途局、网关局、 C 网、各农市话端局分别和大楼 MS1、河东 MS2 开通直达中继相连； 2 个纯汇接局之间设置有过桥中继，网关局与长途局开有直达中继。 吉安交换网话路和信令拓扑图如下： 3 4 长途局采用 S1240 设备，与本地网的纯汇局、网关局、省内各本地网 TS 及部分话务量较高的省际 TS 设置直达中继，用来疏通出入吉安的长途话务，并作为省内 SSP，与省内 SCP 配合实现 小灵通预付费 、 17909 等智能业务。单节点配置。 关口局采用 华为设备，与本地网纯汇局、 TS、其它运营商及南昌 TS2 开通直达中继，用来疏通其它运营商出入吉安的网间话务。将与新建的综合网关局双节点配置，分别设置在大楼二楼机房和河东三楼机房。 软交换 TG9000 主要用来疏通软交换用户与 PSTN、 C 网、 PHS 间的话务，同时也承担了 30%的省内长途话务。 吉安本地网端局共有 37 个，机型包括 S1240、 ZXJ10、 C&C08、 DSM100、大唐五种，每个端局都与两个纯汇局开通直达话路，用于疏通端局内部及出入端局的所有话务。 交换机使用年限表 （含 1 个 长途、 1 个 网关、 2 个 纯汇）。 运行时间 DMS100 S1240 ZXJ10 C&C08 SP30 1-5 年 2 6-9 年 1 10 年以上 2 11 4 21 2 为确保吉安本地交换网络安全， 本次评估将从吉安 C本地网的网络结构、硬件环境、设备、资源、话务、容灾措施和维护管理等几个方面进行风险评估。 1.3 风险评估方法 本次风险评估采取的评估方式有：查阅文档、咨询厂家、测试、 远程巡检、现场 检查 、 维护人员集中讨论、分析等。通过对 C本地网 的资产识别、脆弱性识别、威胁识别等步骤来进行评估。 1.4 评估依据 本次安全风险评估参考的标准为安全防护系列标准， 本地网目前网络结构、设备情况，承载的业务， 核心设备日常维护要求等。 5 2 资产分析 吉安本地网范围内现有 2 个本地纯汇接局 (大楼纯汇、河东纯汇 )、 1 个 长途局 、 1 个 TG9000、 1 个 C 网 MGW、 1 个 PHS、 1 个网关局 、 2 个 LSTP、 2 个 SHLR、2 个 LSTP、 37 个端局。 网络核心节点是本地网大楼纯汇和河东纯汇，由这两个核心节点实现全网PSTN、 PHS、 C 网话务的汇接以及通过 MSG9000（ TG/SG）实现了软交换与 PSTN 网络的互通汇接。 2.1 本地网 吉安 2 个纯汇作为本地网固话业务核心承载设备，汇接了本地网端局所有话务，包括长途话务、网间话务、网话话务 、 市话话务和智能业务、 C 网话务， 因此具有非常高的重要性。 网关做为与异网互联互通设备，其重要性也非常 高。 软交换做为固网设备更新的方向，其重要性也高。 目前 PSTN 端局所有话务都要上纯汇汇接，端局的计费采集点已经上收至纯汇，端局仅作为用户的接入设备，由于 PSTN 端局开通较早，还承载了政府、金融等重要客户的电话，其重要性为中。 序号 资产名称 资产类型 重要性等级 1 纯汇 设备硬件 高 设备软件 高 重要数据 高 提供的服务 高 维护人员 高 网络拓扑 高 码号资源 高 文档 高 其它 高 2 SHLR 设备硬件 高 设备软件 高 重要数据 高 提供的服务 高 维护人员 中 网络拓扑 高 码号资源 中 6 文档 中 其它 低 3 网关 设备硬件 高 设备软件 高 重要数据 高 提供的服务 高 维护人员 中 网络拓扑 高 码号资源 中 文档 中 其它 低 4 软交换 设备硬件 高 设备软件 高 重要数据 高 提供的服务 中 维护人员 中 网络拓扑 中 码号资源 中 文档 中 其它 中 5 端局 设备硬件 中 设备软件 中 重要数据 中 提供的服务 中 维护人员 中 网络拓扑 中 码号资源 中 文档 中 其它 中 2.2 省内长途网 吉安长途交换机主要用来疏通吉安的长途出入话务，目前在纯汇通过 省内软交换 TG9000 和骨干 TG 分流了 30%的长途话务，从网络结构的演进看，长途交换机可以省去，各端局的长途业务通过纯汇汇接后，可直接全部通过省内软交换TG9000 和骨干 TG 承载，省公司将统一部署 TS 退网，其重要性列为中。 序号 资产名称 资产类型 重要性等级 1 长途局 设备硬 件 中 设备软件 中 重要数据 中 提供的服务 中 7 3 威胁分析 1）环境威胁 ： 自然界不可抗的威胁：吉安所处地理位置发生地震、泥石流、洪涝等自然灾害的可能性极小，设备放置的通信机房做好了防雷防震措施，核心机房、端局机房接地都很好，因此遇雷击、遭洪涝的可能性极小，抗震能力也较强； 其他环境威胁 ：机房环境温湿度 都按要求设置， 对设备产生影响 较 小 ， 所有端局以上的 机房 都 已安装动环监控系统， 一有停电、温湿度过高都会及时发出声音告警，值班人员可利在动环网管监控 平台远程 查看告警 ， 如有异常，立即会通知相关人员排查 。 2）人为威胁 ： 非恶意人为威胁：维护人员需经过专业的培训方能担当该设备的维护角色。目前市级的核心设备维护人员都经过厂家正规培训，也设置了 A、 B 角。但县级端局设备的 维护人员 技术能力良莠不齐 ，专业的维护人员极少， 维护人员的不正确操作将影响设备的正常运行。维护人员的技术技能低下，也将影响紧急故障处理。 为了防止该现象发生， 需 加强县级维护人员的技术培训，另外在设备升级、业务 割接前要做好详细的升级和割接测试方案，一旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制度： 1 人操作， 1 人检查，防止误操作。严格控制操作人员权限，不具备操作技能的人员不给予权限。 恶意人为威胁：人为的恶意攻击将导致设备瘫痪。为了防止此类现象发生，已在设备上设置登陆帐号密码，采用 1 人 1 个帐号的原则，同时启用防护策略封堵一些常见的病毒端口及通过安装正版杀毒软件来定期对设备查杀病毒。 维护人员 中 网络拓扑 中 码号资源 中 文档 中 其它 中 8 3）其他威胁： 设备硬件和软件问题将造成设备性能下降，影响网络运行。为防止此类现象发生，已采用网管平台对设备 和网络运行情况进行实时监控，同时要求各设备厂家维护人员定期对设备进行巡检。此外，局方在运行中发现不可预见性的软、硬件问题和隐患应及时告知厂家，并责其尽快采取有效措施予以规避和解决。 3.1 本地网 根据以上分析得出吉安 C3 本地网的 威胁性等级如下： 序号 资产名称 面临的威胁类型 威胁可能性等级 1 纯汇局 、TG9000 自然界不可抗的威胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 低 非恶意人为威胁 低 其它威胁 低 2 SHLR 自然界不可抗的威 胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 低 非恶意人为威胁 低 其它威胁 低 3 关口局 自然界不可抗的威胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 低 非恶意人为威胁 低 其它威胁 低 4 端局 自然界不可抗的威胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 低 非恶意人为威胁 中 其它威胁 低 9 3.2 省内长途网 序号 资产名称 面临的威胁类型 威胁可能性等级 1 长途局 自然界不可抗的威胁（环境威胁） 低 其它物理威胁（环境威胁） 低 恶意人为威胁 低 非恶意人为威胁 低 其它威胁 低 4 脆弱性分析 吉安 C3 本地网 脆弱性包括技术脆弱性和管理脆弱性两个方面 ： 1） 技术脆弱性： 吉安 C本地网纯汇 、 SHLR 设备是国内大型设备提供商中兴公司生产，设备质量、售后服务及该产品的业务应用方面可得到较强的保障， 纯汇 、 SHLR 设备操作网管、计费 后台服务器为 DELL 服务器， 能满足日常业务功能需求， 操作系统为 WINDOWS 2003 SERVER，数据库为 SQL2005 版本。 吉安网关设备是国内大型设备提供商华为公司生产，设备质量、售后服务及该产品的业务应用方面可得到较强的保障， 但 应急工作站和 BAM 服务器运行年限已久， 性能低下， 希望有性能更高的终端或服务器进行替代。 吉安 TS 设备是上海贝尔生产，属中外合资，设备质量、售后服务及该产品的业务应用方面可得到较强的保障，其模块功能采用全分散方式，没有后台服务器，只有操作终端。 软交换 TG9000、大部分 AG、 IAD,软交换网管都是中兴设备，目前在软交换网管对 TG9000、中兴 AG、 IAD 有告警都没声音提示，需要维护人员不定时的在网管上下命令查看告警或查看退服的 AG.、 IAD，如果值班人员忙很难及时监控的退服的设备，存在安全隐患。 吉安大楼 MF、河东 MF 网管系统没有声音告警 存在安全隐患 。 S1240 端局 板件 告警 在监控机房的本地交换网管系统不能完全确切体现，需要值班人员或维护人员不定期通过网管巡视，存在安全隐患。 端局 DMS100、大唐设备已做退网计划，部分 S1240、 CC08 也运行年限已久，面临设备老化，存在安全隐患。 2）管理脆弱性： 10 纯汇 、 SHLR、网关、 TS 等核心 设 备采用包机到人的维护模式，设置了维护 A、B 角， 对人为的操作导致设备故障或设备瘫痪将追究相关责任人责任。对 A、 B角都送至厂家进行正规培训，培训回来还采取师傅带徒弟的方式进行实践操作。设备重大操作 严格按 要求 审批，待上级 领导审批同意后方可执行。 每次 重大操作都有详细 操作方案及回退方案，操作时 要求局方人员在场，厂家操作也需遵循 1人操作 1 人检查要求。维护人员严格 按维护规程要求对设备进行维护，并制作 填写维护作业计划。对于可预见性 影响设备运行能力或服务的问题， 都会要求厂家提出整改计划，并有专人进行问题跟踪 。 4.1 本地网 根据以上分析得出吉安 C3 本地网的 脆弱性等级如下： 序号 资产名称 脆弱性类型 脆弱性严重 程度等级 1 纯汇局/SHLR 业务 /应用（技术脆弱性） 低 网络（技术脆弱性） 低 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 低 物理环境（技术脆弱性） 低 管理脆弱性 低 2 TG9000 业务 /应用（技术脆弱性） 低 网络（技术脆弱性） 低 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 中 物理环境（技术 脆弱性） 低 管理脆弱性 低 3 关口局 业务 /应用（技术脆弱性） 低 网络（技术脆弱性） 低 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 中 物理环境（技术脆弱性） 低 管理脆弱性 低 4 端局 业务 /应用（技术脆弱性） 低 网络（技术脆弱性） 中 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 低 物理环境（技术脆弱性） 低 管理脆弱性 低 11 4.2 省内长途网 序号 资产 名称 脆弱性类型 脆弱性严重 程度等级 1 长途网 业务 /应用（技术脆弱性） 低 网络（技术脆弱性） 低 设备（含操作系统和数据库、后台服务器、计费服务器等）（技术脆弱性） 低 物理环境（技术脆弱性） 低 管理脆弱性 低 5 已有安全措施 列出已有安全措施 一、 通信网络安全管理制度 机房出入管理制度：进出 纯汇、 SHLR、 TS、网关、软交换 TG9000 等所有核心机房严格执行了机房出入管理制度。外来人员进入机房 都要到安保部门进行审批 。 内部人员进出机房填写机房出入登记表 。 机房巡视检查 ： 纯汇、 SHLR、 TG9000 在同一机房，网关、 TS 分别 在河东综合机房和大楼二楼通信机房，这三个机房为核心机房，做到每天 巡检一次。 环境监控手段 ： 通过 动力环境监控系统在网监机房 对对 纯汇、 SHLR、 TS、网关、软交换 TG9000 核心机房的环境温湿度，烟感，水浸等进行远程监控。 密码管理策略 ： 纯汇、 SHLR、 TS、网关、软交换 TG9000 的网管维护账号 按操作维护等级设置相应的操作权限，帐号 密码 做到 每季度更新一次，遇有维护人员变更 时，及时增删帐号。 维护管理制度（值守、值班、维护作业 计划等） ： 根据设备例行维护 要求制定并执行了交换机的日、周、月等作业计划，每月有小结和审核。 针对所有交换机制定了包机包区责任制，使交换机各项维护都有专人负责，并分配了 A、 B 角，重要设备更配备了 C 角。 12 定期制作计费带、后备带，并贴有记录文件内容 、制作时间、制作人的详细标签，重要设备的后备带做到异地备份 。 定期进行交换机时钟校对工作，确保交换机时间与北京时间不超过正负 3秒，并做好记录。 认真执行 纯汇、 SHLR、 TS、网关、软交换 TG9000 交换设备例测作业计划，对例测未通过的告警及时处理、清除，做到防患于未然。 对交换机各类告警，网络监控值班人员 基本上能在第一时间内发现并进行预处理，处理未恢复则根据故障的级别通过省综合化电子派单系统进行派单和跟踪，确保故障及时修复。 坚持 编写网络运行周报，每周对网络安全、运行情况进行分析、通报。 全市所有 交换机局数据全部集中在交换 支撑组制作， 目前主要有 3 人制作局数据， 坚持做到一人制作，双 人检查 、拨测 ，并在电子运维作业计划中填写“业务开通记录”、拨测情况等。 分权分域管理： 纯汇、 SHLR、 TS、网关、软交换 TG9000 的网管维护 帐号按操作维护等级设置相应的操作权限，设备维护人员 权限高于值班人员权限。 二 、 灾难备份措施 纯汇、 SHLR 分别有个 设备互为容灾，目前 个纯汇 到各局向 的话务是负荷分担且两纯汇间有过桥中继。 SHLR 固话方面是 1:1 负荷分担， PHS 是 1+1 主备 ， 在凌晨两 SHLR 会自动同步数据。 TS 单节点配置存在安全隐患。 TG9000 单节点配置存在安全隐患。 新综合网关局正在调测，将与老网关形成互备。 系统数据、计费数据定时进行备份，并将备份数据异地存放。 各网元制定应急预案，并进行培训和演练，做到系统发生灾难时能及时启动预案恢复通信。 三 、 防 攻击、防病毒、防入侵措施 1 对纯汇、 SHLR 安装了硬件防火墙，对全市华为 BAM 安装了 BAM 专用防护工具、对中兴、大唐交换机服务器及维护终端安装 了 防病毒软件。安装防护工具后可以有效防止病毒入侵，有效改善后台管理服务器的运行环境。 13 网关局 BAM 上已安装华为的进程管理软件，实时监控，只允许相关进程运行。启用访问控制策略，只允许特定维护 IP 地址访问该定级对象 BAM。 TS 没有 后台服务器。 软交换 TG9000 的后台服务器也安装了防病毒软件并做到每月升级。 四 、 远程维护管控措施 1.加强交换机远程登陆管理 ，平时将所有交换网元的 MODEM 都关闭，如果要进行远程登陆，必须有专人跟踪，并有相应的记录。 2.纯汇、 SHLR、 TG 000 在省网支都能远程登入，纯汇、 SHLR 的局数据是在本地维护，省网支修改的较少。软交换 TG 000 的数据主要在省网支维护。远程维护操作在网管服务器后台都有操作维护日志。 五 、 涉及国庆重大活动网络单元的安全防护情况 每到重要通信、春节、国庆 都会 组织 对核心 设备 进行预 检、预修，如：在 2008 年奥运前夕，组织了对吉安本地交换网的安全评估 ，相关安全评估报告如下： 2 在 2009 年春节前组织制定了“ 2009 年春节网调方案”，并组织 增开电路为节日期间疏通话务， 节日之后做好话务分析，总结经验，为下一个话务高峰疏通话务储备经验 。 2009 年春节网调方案 如下： 今年 7 月初 省公司组织了对中兴软交换设备 的应急演练，加强了维护人员在紧急情况下判断故障及处理故障的能力。 在涉及重大活动期间，都会安排维护骨干小时带班和要求厂家驻守。 在纯汇、 TS 等核心设备设置话务分流，制作好 话务控制脚本，在紧急情况下，可直接启用。 如： TS 目的码话务控制实现流程： 六 、 网络组网、设备能力、机房环境 (一 )组网情况 14 1.纯汇 吉安 C3 本地网以纯汇为中心 汇接了本地网端局所有话务，包括长途话务、网间话务、网话话务 ,市话话务和智能业务 、 C 网话务 ，纯汇局对 TS、网关、 C网 MGW、 TG9000、 端局采用双汇接、全覆盖的组网形式。七号信令方式为准直联，纯汇局与网关和长途局 、 TG9000 之间开设直达链路作为备用路由。纯汇局与 SHLR开设高速 2M 信 令链路。 纯汇与 TS、网关、 C 网 MGW、 TG9000、端局的话务都是按负荷分担方式分别开在两个纯汇。每个纯汇 到以上核心设备的话务 也是分别开在不同模块 的中继单板。 2.TS 长途局采用 S1240 设备，与本地网的纯汇局、网关局、省内各本地网 TS 及部分话务量较高的省继 TS 设置直达中继，用来疏通出入吉安的长途话务，并作为省内 SSP，与 SCP 配合实现 小灵通预付费 、 17909 等智能业务。单节点配置。 目前 长途话务 已通过 纯汇至 骨干 TG 和 TG9000 的电路 分流省际、省内话务， 两个纯汇 承担了第二长途路由作用，网络安全得到了可 靠保证。 但部分智能业务没有保障。 3.网关 除到大楼纯汇外，到同一邻接局向电路都不具备第 2 路由； 将准备启用新建的综合网关局作为至异网的第二关口局。 到同一局向的本端物理端口都按规范合理配置在 不同模块，不同机框或不同单板 。 4.软交换 软交换核心设备 TG9000 目前 与纯汇、 C 网 MGW 开了中继电路 分别开在不同的中继单板和 不同 SPC 业务处理板。 TG9000 物理上 配置了块 MSIPI 板和 2 块 MGEB 板，分别出个 100口和个GE 口与大楼 T64G 和河东 T64G 相连，通过 T64G 与 CN2 PE 设备相连，受控与九江 西二路 SS、浔阳路 SS。 5.SHLR SHLR 与纯汇的 M 高速信令链路分别开在不同模块的信令处理板。 与 LSTP、IGW 的信令链路 也 分别开在了不同模块。与 SS 的偶 联物理上是分别 通过 SHLR 的块 SIPI 与 T64G 相连。 15 (二 )设备能力 目前吉安市分公司有长途局、纯汇接局、 SHLR、网关局、 LSTP、 TG9000、 C网 MGW、智能网等设备，由两个 LSTP 和两个纯汇接局分别分担所有的信令和话路处理，确保各方向的话务均衡分担，相关交换机重要板件均有备件，确保设备高效可靠地运行。 1.纯汇 大楼纯汇目前剩 59 个 M,河东纯汇剩 60 个 M,但是 随着固网话务不断流失，根据 2008 年中秋话务情况， 吉安已制定 两纯汇到端局的中继调整计划，其中大楼纯汇可调整 323 个 M,河东纯汇可调整 323 个 M， 具体情况见下表： 目前两纯汇出现号码分析容量表不够，需要省公司牵头组织中兴厂家扩号码分析容量表解决。 2.TS TS 目前仅剩 10 个 2M，目前主要通过在纯汇做话务分流解决 TS 疏通话务高峰时的话务，根据省公司部署 TS 已列入 2010 年退网计划，其省际、省内长途话务将由 TG9000 和 DC1 软交换共同承担。 3.网关 网关目前已没有了中继资源，今后与异网增开电路主要通过新综合网关局解决。 4.软交换 TG9000可同时支持 5760个用户同时通话，吉安现有软交换用户为 .8 万户，随着光进铜退步伐不断加速， PSTN 交换机的退网，影响呼叫的 MVTCA(语音码型变换板 )将是考虑扩容的主要板件之一。中继资源也较紧张，目前只剩个 M，个光口，也要尽快考虑扩容。 5.SHLR 因网的用户数据没有融合到固网的 SHLR，目前 SHLR 能满足固网和 PHS 的业务需求。 大楼 SHLR 磁阵有 1 块硬盘有告警，需要 更换。 （三） 机房环境 16 为提高机房的安全性，结合集团公司、省公司提出的星级机房达标要求 ， 2007年 吉安 在全市范围内开展机房整治工作，组织对机房进行整体规划并改造，以期达到机房整洁、走线规范、资料齐全、设备摆放合理有序的效果，从而杜绝安全隐患。 对于无人值守机房的安全问题，网管监控中心利用动力环境监控设备，接入网管等监控手段，确保设备有任何异常 及烟雾告警 均能及时发现并予以解决。 确保了机房环境安全。 纯汇、 SHLR、 TG 000、网关在同一机房， 属新建机房， 机房环境负荷相关要求。 TS 机房经 过机房整治 符合要 求。 （四） 设备硬件 1.纯汇、 SHLR、 TS、网关、软交换 TG9000 重要板件都有主备用。纯汇、 SHLR属新建设备，重要板件都有备件。 形成了备品备件的集中电子化管理和分散布放，制定了备品备件的管理流程。对备品备件做到定期清理，及时将坏件返修，保证有足够的备品备件使用，不至于因为备品备件问题而耽误故障处理。 每项备品备件的存在地点、数量、型号都有清晰明了的表格，并及时更新，由专人负责，做到有条不紊的使用； 对没有的备品备件，及时反映省公司和厂家，调用省公司或厂家的备品备件，大大提高了故障处理及时率，有效的防 止了交换机瘫痪等重大事故的发生。 详见备件清单： 2.TS 运行时间 有 14 年， 目前运行尚稳定， 根据省公司部署安排 2010 年将退网。 3.TG9000 没有备品备件需要购置一些关键板件的备品备件。 4.网关 已在网运行 10 年，面临设备老化问题。 后台服务器 BAM 运行磁盘空间较小，每周都要对磁盘空间进行清理，只能保存 2 个月以内的话单，其应急工作站现已不能正常运行，急待修或更换。 目前正在调测新综合网关局， 在与异网的业务互通方面 将与老网关局形成互备。 17 （五） 重要数据 纯汇的话单通过前台 MP 实时传到计费服务器并映射到了计费前置机，省计费处理中心通过 ftp 实时采集 。纯汇的计费服务器和计费前置机能保存半年的话单。 每月会定期检查计费服务器和计费前置机的计费空间。 目前计费采集点为纯汇、网关、 PHS、软交换、 C 网、 TS,纯汇、网关、 PHS的计费服务器在本地可以实施 交换机 原始话单 文件数 、文件大小 与计费下载的计费文件数 、文件大小 比对 。 软交换 的计费服务器在省公司，今后将加强软交换计费服务器计费文件数 、计费文件大小 与计费处理中心下载 的计费文件进行比对。 核心设备 的重要 数据制作都会做到一人操作，双人检查，并 按要求进行测试 。 七、维护人员情况 目前我市交换专业只有名部门级交换维护骨干 带 名交换维护人员 负责全市固网、 C 网、软交换设备维护；全市交换局数据制作、故障投诉处理、业务割接（扩容、升版）电路调度、工程随工、大客户支撑、县局交换维护支撑、专项工作、日常监控岗业务工单开通受理等。 因 C 网建设飞快，网络升级改版频繁，传统交换退网、光进同退持续推进，固话割接频繁，融合业务不断推出， 新业务 测试非常多， 维护人员工作量很 大，经常要加班加点， 吉安交换专业维护 工作安排 如下： 在维护人员培训方面，一贯采取 “送出去、请进来、自我培训”三种方法。送出去就是送技术人员参加厂家举办的培训班学习；请进来就是请厂方人员来公司授课或在进行设备升级、检测时现场授课；自我培训就是由维护技术好的人员进行授课，参加厂家培训的人员回来后必须进行讲课。例如，今年 4-5 月由参加深圳中兴通讯学院 3GCN 培训的人员回来进行二次培训，起到了很好的教学相长效果，提高维护人员对设备技术的理解和掌握。 6 安全风险分析 18 通过上述对定级对象包含的资产、自身存 在的脆弱性、面临的安全威胁、已采取的安全措施等因素的分析，可以得出本地固定通信网存在以下安全风险： 长途局为单点配置，存在不安全隐患，虽然省内、省际 长途话务可以通过省内、骨干软交换分流进行保护，但长途局同时充当了 SSP，无法得到保护。 随着 83 局退网用 AG 替代，光进铜退加快推进， TG9000 的 MVTCA 板和中继资源板容量不够，需要扩容。 TG9000 单点配置存在安全隐患， TG9000 没有备品备件需要购置。 软交换网管对 TG9000 设备告警、 AG、 IAD 退服不能及时用声音提示，存在安全隐患。 网关应急工作站性能低下，存在风险。 6 通过对县局端局设备进行“ PSTN 设备脆弱性 分析 ”主要发现了以下问题： （ 1）新 CC08 BAM 服务器需要更换， 0#的 MCCM 板倒换频繁，需要配置 1 块新的， 0 CTN 板也无备件需要配置 1 块。 新干 S1240 的报告机坏，需要 重装。 （ 2） 泰和河西和沙村 CC08 BAM 经常死机，请求换 2 台新的 BAM. （ 3） 井冈山等局的 S1240 备份介质 (2.6G MO 光盘老化 )，经统计需购置 17 块2.6G MO 光盘。 （ 4） 吉水移动基站的地线吉水枫江局进线室穿过导致枫江局上半年雷雨 时节用户框故障较多，移动对吉水 局的要求置之不理， 希 望市公司 能 协调 。 （ 5） 端局的应急预案需 增添各种场景下的紧急操作步骤。 10.通过对 全市 AG、 IAD 进行脆弱性分析统计发现以下问题： （ 1） AG、 IAD 备件缺乏，需要在市级 统一 配备。 （ 2） 没有统一的 EPON 网管和软交换网管，建议 给各县 配置 1 台性能高的计算机做网管，加快日常业务的响应。 （ 3） 一些重要单位的 EPON 设备（ 如： 法院、高中） 或 IAD 设备采用 市电 供电，如果市电一 停电 将 导致用户不能正常使用，影响用户感知，建议这些点增配小容量的 UPS 电源设备。 11.县局交换维护人员 流动很快， 技术能力良莠不齐，一旦设备有故障只能依靠厂家支撑或远程支撑，对迅速排查故障不利。 13 交换专业 维护人员 对职业生涯困惑，影响工作激情， 不利于设备的日常维护和故障处理。 对 于上述风险， 软交换网管对 TG9000 设备告警、 AG、 IAD 退服没有声音提示 风险较大，需要及时整改。 对端局的一些问题及时处