中国电信吉安分公司CN2承载网安全评估_第1页
中国电信吉安分公司CN2承载网安全评估_第2页
中国电信吉安分公司CN2承载网安全评估_第3页
中国电信吉安分公司CN2承载网安全评估_第4页
中国电信吉安分公司CN2承载网安全评估_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、知识水坝(豆丁网pologoogle)为您倾心整理(下载后双击删除)百度一下知识水坝中国电信江西省吉安市 cn2 承载网安全风险评估报告中国电信江西省吉安市分公司二零零九年七月评估对象:cn2 承载网评估单位:吉安市电信分公司评估日期:2009 年 7 月 1 日至 2009 年 7 月 31 日编号: ctsecjiangxi-jian-03-200907企业秘密知识水坝(豆丁网pologoogle)为您倾心整理(下载后双击删除)百度一下知识水坝目目 录录1概述21.1目的 .21.2内容及范围 .21.3风险评估方法 .41.4评估依据 .52资产分析52.1cn2 承载网.52.2ngn

2、、c 网承载网.53威胁分析73.1cn2 承载网.83.2ngn、c 网承载网.84脆弱性分析85已有安全措施96安全风险分析97风险处置计划及整改情况108总结10知识水坝(豆丁网pologoogle)为您倾心整理(下载后双击删除)百度一下知识水坝内部资料,注意保密,未经同意,请勿翻印文档信息文档名称文档名称中国电信江西省吉安市 cn2 承载网安全风险评估报告文件编号编制人王桂英、刘建平保密级别企业秘密修改过程版本号版本号日期日期负责人负责人概述概述v1.02009 年 7 月 31 日刘建平v1.22009 年 7 月 31 日王桂英评审过程版本号版本号日期日期评审者评审者概述概述分发范

3、围知识水坝(豆丁网pologoogle)为您倾心整理(下载后双击删除)百度一下知识水坝1概述概述1.1目的目的为进一步查找吉安分公司网络安全运营的薄弱环节,落实防护措施,消除安全隐患,提高通信网络整体安全防护水平,并为国庆 60 周年网络安全保障工作打好基础,全面开展cn2 城域网的网络安全检查及评估,通过此次检查评估,全面掌握网络安全分级保护、风险评估、灾难备份的基本方法和标准,通过全面落实网络安全检查、评估及整改措施,提高吉安 cn2 承载网的整体安全防护水平。1.2内容及范围内容及范围定级对象:cn2 网以及软交换网络、c 网的承载网。一、组网现状1、cn2 网络:吉安 cn2 网络由

4、2 台 p 设备、2 台 pe 设备和 2 台延伸交换机组成。2台 p 设备为两台 gsr12816,布署在大楼数据机房,各以一条 2.5g 链路至南昌 cn2 汇聚节点,一条 2.5g 链路至九江 cn2 汇聚节点,形成 10g 的本地网出口带宽,设备之间以2*2.5g 互联。同时两台 p 设备各以 2*ge 链路与城域网络两台核心路由器互联,实现两个网络之间的互联。pe 设备为两台 gsr12416,分别布署在大楼数据机房和河东综合机房,各以一条 2.5g 与两个 p 节点互联,同时各自以一条 ge 链路就近与同机房城域网 sr 互联,实现mpls 的跨域互联。2 台延伸交换机由 zxr1

5、0-3906 构成,分别以 ge 链路与各自同机房的pe 互联,作为 pe 设备的扩展。同时大楼 pe 节点开通了至传输 155m 电路做为 n*64k 大客户接入通道。具体网络拓扑如下。2.3九江浔阳路南昌孺子路a1a2s1s22.5g2.5g2.5g2.5g2.5g2.5g吉吉安安城城域域网网2.5g2.5gw1w2gsr12816ne5000e传输155m2.5g2.5gosr7609osr76092、 ngn、c 承载网:软交换网 ce 设备为 2 台中兴 t64g 三层交换机,该设备各 以1*ge 链路就近与同机房的 cn2 网 pe 设备互联,同时两 ce 节点间以 2*ge 捆绑

6、链路互联。河东局设有两台华为 ne40,作为 c 网承载网的 ce(以下称 ce1、ce2)节点,两 ce设备与 cn2 网两 pe 间共有 4 组 2*ge 链路互联,大楼和河东方向各两组,其中每组 2*ge链路中一个 ge 走分组域流量,一个走电路域流量。同时 ce1、ce2 之间以 2*ge 链路互联。大楼局另设置两台华为 ne40,作为大楼方向的软交换和 c 网承载网 ce 设备(以下称ce3、ce4) ,该两 ce 与 cn2 网两台 pe 间通过 4*ge 链路互联,同时 ce3、ce4 之间通过2*ge 链路互联。另,ce1 与 ce3 之间、ce2 与 ce4 之间各以 ge

7、链路互联。两台 t64g 下挂业务有软交换 shlr、大楼 tg 以及少量 ag 节点。ce1、ce2 下挂中兴bsc、c 网中兴 mgw、北电 bsc 以及与传输开通 155m cpos 链路接入新干、永丰北电do 站点。ce3、ce4 下挂华为 umg(综合网关局) 。具体网络拓扑如下图:4cn2河东t64g大楼t64g2*ges1s2ngn网络hdj-ce-1.cdmahdj-ce-2.cdma2*ge2*ge2*ge2*ge2*gedl-ce-4.cdmadl-ce-3.cdma2*gegegegegegege1.3风险评估方法风险评估方法说明采取的风险评估方式,步骤、方法等。评估方式

8、包括访谈、查阅文档、测试等,评估步骤包括资产识别、脆弱性识别、威胁识别等,方法包括具体的资产、威胁和脆弱性识别方法,风险分析方法、风险结果判断依据等。本次评估采取的评估方式有:查阅文档、咨询厂家、技术验证、测试、人工检查,维护骨干集中讨论、分析。评估步骤:首先进行资产的识别、确定评估对象、评估方法、确定评估的具体内容、收5集相关信息、开展脆弱性评估、威胁性评估,编写评估报告和整治计划。评估方法有:根据收集网络和设备现状相关信息,与相关维护管理规范和厂家设备技术规范核查,并结合实际维护工作经验,识别设备威胁和脆弱性。1.4评估依据评估依据说明本次安全风险评估参考的标准和文档,如安全防护系列标准等

9、。2资产分析资产分析定级对象:cn2 网及软交换、c 网承载网,重要性分析如下:2.1cn2 网网cn2 网的识别与选取应符合科学性、合理性,cn2 网资产大致包括设备/主机、数据信息、业务、文件、人员、物理环境设施等。cn2 网资产按照重要性,分为高、中、低三档,列表如下:表 1 资产重要性列表序号资产名称资产类型重要性等级硬件高软件:软件版本文件高重要数据:路由、策略高提供的服务高文档中维护人员中1大楼两台 p 设备 gsr12816;大楼、河东 pe 设备 gsr12416网络拓扑中6硬件中软件:软件版本文件中重要数据:路由、策略中提供的服务中文档低维护人员低2大楼、延伸交换机 zxr1

10、0-3906网络拓扑低2.2ngn、c 网承载网网承载网ngn、c 网承载网的识别与选取应符合科学性、合理性,ngn、c 网承载网资产大致包括设备/主机、数据信息、业务、文件、人员、物理环境设施等。ngn、c 网承载网资产按照重要性,分为高、中、低三档,列表如下:表 1 资产重要性列表序号资产名称资产类型重要性等级硬件高软件:软件版本文件高重要数据:路由、策略高提供的服务高文档中1大楼、河东软交换 ce 设备 t64g;河东 c 网ce1、ce2 设备和大楼 ce3、ce4 设备维护人员中7网络拓扑中3威胁分析威胁分析cn2 承载网以及 ngn、c 网承载网的威胁根据来源可分为技术威胁、环境威

11、胁和人为威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。cn2 承载网以及 ngn、c 网承载网的威胁分析如下:1)非恶意人为威胁:维护人员的操作不当,从而影响到设备的正常运行。为了防止该现象发生,在设备升级、业务割接前应准备好详细的升级和割接方案,一旦升级、割接失败则立即启用回退方案;严格落实局数据修改规范,落实双人制度:1 人操作,1 人检查,防止误操作。严格控制操作人员权限,不具备操作技能的人员不给于权限。2)恶意人为威胁:人为的恶意攻击、导致设备瘫痪。为了防止此类现象发生,已在设备上设置帐号密码,采用账号专人专用的原则分配权限,同时

12、启用防护策略封堵一些常见的病毒端口,严格落实设备数据配置规范,关闭不必要的服务,通过访问控制列表精细控制不同应用类型的访问设备的源地址及其访问权限。同时做好机房的“四防”工作。2、技术威胁设备硬件问题和软件 bug 造成设备性能下降,影响网络运行,为防止该类现象发生,需采用 cn2 综合网管平台对设备和网络运行情况进行监控,同时要求各设备厂家维护人员定期对设备进行巡检,厂家发现软、硬件的 bug 和隐患应及时告知局方,并采取有效措施予以规避和解决。3、环境威胁1)自然界不可抗的威胁:ip 承载网业务控制层面以上的设备均防止在机房,遇雷击的可能性极小,抗震能力也较强;82)其他物理威胁:机房环境

13、温度造成设备出现异常,需利用动环监控系统,实时监控机房环境温度,严格控制好通信机房的环境温湿度;此外,利用 ip 综合网管的告警平台, 对设备温度进行实时告警,发现异常,立即进行处理。3.1cn2 网网1、大楼 p 节点和 pe 节点、延伸交换机:1) 、自然界不可抗力的威胁:cn2 网两台 p 节点 gsr12816 设备放置在吉安大楼通信枢纽楼,该楼为框架混泥土结构,房屋结构结实,地势较高,并且按照通信楼的建设标准安装了多级防雷设施,机房抗震、防雷、防洪等性能都较强,受自然界不可抗力的威胁较低。2) 、其他物理威胁(环境威胁):该机房环境温湿度符合要求,密封性好,不存在相关威胁。但是,该设

14、备所在机房地板为架空钢底瓷面地板,支架也为钢管材质,但是设备是直接坐落在地板上,未安装底座,存在滑动、塌陷的隐患,遇地震、爆炸等自然或认为灾害,很容易引起设备滑动、塌陷,导致重大通信故障,因此定义威胁等级为“中”级。3) 、恶意和非恶意人为威胁:考虑设备运行公网中,目前互联网网络环境日益复杂和恶劣,网络病毒、攻击手段越来越多样、隐蔽、高明,各种网络安全事件时有发生,而目前该设备除自身配置上采取了一些防范措施外,没有其他任何有效防范手段,因而我们认为其受恶意和非恶意人为威胁的可能性比较大,定义威胁等级为“中”级。4) 、其他威胁:低。2、河东 pe 节点、延伸交换机:1) 自然界不可抗力的威胁:

15、河东 pe 设备放置在吉安大楼通信枢纽楼,该楼为框架混泥土结构,房屋结构结实,地势较高,并且按照通信楼的建设标准安装了多级防雷设施,机房抗震、防雷、防洪等性能都较强,受自然界不可抗力的威胁较低。2) 其他物理威胁(环境威胁):该机房环境温湿度符合要求,密封性好,不存在相关威胁。93)恶意和非恶意人为威胁:考虑设备运行公网中,目前互联网网络环境日益复杂和恶劣,网络病毒、攻击手段越来越多样、隐蔽、高明,各种网络安全事件时有发生,而目前该设备除自身配置上采取了一些防范措施外,没有其他任何有效防范手段,因而我们认为其受恶意和非恶意人为威胁的可能性比较大,定义威胁等级为“中”级。 4) 其他威胁:低。c

16、n2 网面临的威胁按照可能性概率,分为高、中、低三档,列表如下:表 4 威胁可能性列表序号资产名称面临威胁类型威胁可能性等级自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)中恶意人为威胁中非恶意人为威胁中1大楼两台 p 设备 gsr12816 和大楼 pe设备其它威胁低自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)低恶意人为威胁中非恶意人为威胁中2河东 pe 设备、两台延伸交换机其它威胁低103.2ngn、c 网承载网网承载网1、大楼 ngn ce 设备、c 网 ce3 设备:1) 、自然界不可抗力的威胁:上述设备放置在吉安大楼通信枢纽楼,该楼为框架混泥土结构,房屋结构结实,

17、地势较高,并且按照通信楼的建设标准安装了多级防雷设施,机房抗震、防雷、防洪等性能都较强,受自然界不可抗力的威胁较低。2) 、其他物理威胁(环境威胁):该机房环境温湿度符合要求,密封性好,不存在相关威胁。但是,该设备所在机房地板为架空钢底瓷面地板,支架也为钢管材质,但是设备是直接坐落在地板上,未安装底座,存在滑动、塌陷的隐患,遇地震、爆炸等自然或认为灾害,很容易引起设备滑动、塌陷,导致重大通信故障,因此定义威胁等级为“中”级。3) 、恶意和非恶意人为威胁:该设备运行 vpn 私网内,受外网攻击、破环的可能性较小,同时由于目前设备的逻辑操作权限限制在省 noc 和集团 noc 层面,本地网没有相关

18、操作权限,相对来说可操作的人员少,受人为威胁的可能性较小。4) 、其他威胁:低。2、河东软交换、c 网 ce 设备、大楼 c 网 ce4 设备:1) 自然界不可抗力的威胁:河东 pe 设备放置在吉安大楼通信枢纽楼,该楼为框架混泥土结构,房屋结构结实,地势较高,并且按照通信楼的建设标准安装了多级防雷设施,机房抗震、防雷、防洪等性能都较强,受自然界不可抗力的威胁较低。2) 其他物理威胁(环境威胁):该机房环境温湿度符合要求,密封性好,不存在相关威胁。3)恶意和非恶意人为威胁:该设备运行 vpn 私网内,受外网攻击、破环的可能性较小,同时由于目前设备的逻辑操作权限限制在省 noc 和集团 noc 层

19、面,本地网没有相关操作权限,相对来说可操作的人员少,受人为威胁的可能性较小。 4) 其他威胁:低。11ngn、c 网承载网面临的威胁按照可能性概率,分为高、中、低三档,列表如下:表 4 威胁可能性列表序号资产名称面临威胁类型威胁可能性等级自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)中恶意人为威胁低非恶意人为威胁低1大楼 ngn ce 设备、c 网 ce3 设备其它威胁低自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)低恶意人为威胁低非恶意人为威胁低2河东软交换、c 网 ce 设备、大楼 c网 ce4 设备其它威胁低4脆弱性分析脆弱性分析cn2 网的脆弱性包括技术脆弱性和管理

20、脆弱性两个方面,技术脆弱性又可分为网络、设备/主机、物理环境等方面的脆弱性。脆弱性识别对象应以资产为核心。1、cn2 网的脆弱性分析如下:12序号资产名称面临威胁类型威胁可能性等级业务/应用(技术脆弱性)低网络(技术脆弱性)低设备(含软件版本、重要数据)(技术脆弱性)低物理环境(技术脆弱性)中1大楼两台 p 设备 gsr12816 和大楼 pe 设备管理脆弱性低业务/应用(技术脆弱性)低网络(技术脆弱性)低设备(含软件版本、重要数据)(技术脆弱性)中物理环境(技术脆弱性)中2河东 pe 设备、两台延伸交换机管理脆弱性低2、软交换、c 网承载网脆弱性分析:序号资产名称面临威胁类型威胁可能性等级业

21、务/应用(技术脆弱性)低1大楼 ngn ce 设备网络(技术脆弱性)低13设备(含软件版本、重要数据)(技术脆弱性)中物理环境(技术脆弱性)中管理脆弱性低业务/应用(技术脆弱性)低网络(技术脆弱性)低设备(含软件版本、重要数据)(技术脆弱性)低物理环境(技术脆弱性)低2河东 c 网 ce2 设备、大楼 c 网 ce4 设备管理脆弱性低业务/应用(技术脆弱性)低网络(技术脆弱性)低设备(含软件版本、重要数据)(技术脆弱性)低物理环境(技术脆弱性)中3c 网 ce3 设备管理脆弱性低业务/应用(技术脆弱性)低4c 网 ce1 设备和软交换 ce2网络(技术脆弱性)低14设备(含软件版本、重要数据)

22、(技术脆弱性)中物理环境(技术脆弱性)低管理脆弱性低详细脆弱性分析见如下cn2 网脆弱性分析5已有安全措施已有安全措施(1)制度建设:已建立机房出入管理制度、机房环境管理制度、机房信息保密制度、机房交接班制度、机房十不准等制度,并上墙。建立了机房管理规范,如设施管理规范、维护作业规范、环境管理规范等,并组织学习和落实,(2)所有机房已开展了机房标准化整治工作,并建设了动环监控、烟感系统,目前实行市县二级监控。(3)市公司网维中心每月定期开展维护基础管理,包括机房现场管理、资料管理、作业计划、电子值班、电子机历本、备品备件的管理的检查,夯实维护基础管理工作。(4)6 月份开展了端局机房动环监控系

23、统的全面检查工作,对存在的问题整拟定计划进行整改。(5)落实维护作业计划和机房巡检制度,每月定期进行设备配置数据备份,进行设备表面和风扇过滤网的清洁工作,实时更新设备健康档案和网络维护相关资料。(6) 去年 11 月份开展了软交换承载网优化改造工作,实现了城域网 asbr 设备与 cn2网 pe 设备的双设备双互联、ce 设备与 cn2 网 pe 设备的双节点双互联、优化了路由等;今年 6 月份开展了 cn2 网路由调整专项整治工作,消除同路由光缆传输、重要链路裸纤传输隐患,提高链路传输可靠性。156安全风险分析安全风险分析经过详细、全面的分析和评估,目前我市 cn2 网存在的安全风险主要有: 1) 吉安市 82 局数据机房地板为架空钢底瓷面地板,支架也为钢管材质,其中 d01 机房设备(cn2 网两台 p 设备、pe1、ngn ce1、延伸交换机、c 网 ce3 设备)是直接坐落在地板上,未安装底座,存在滑动、塌陷的隐患,遇地震、爆炸等自然或认为灾害,很容易引起设备滑动、塌陷,导致重大通信故障。此风险短期内可接受,但从长远来看,是一个较大的隐患,需要整治。2) 吉安市 82 局数据机房重要设备较多,且对温度觉敏感,目前全部采用普通的独立式空调,环境温湿度控制效果差,常导致机房内设备

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论