中国电信吉安分公司ATM-FR网安全风险评估报告

编号： CTSECjiangxi-jian-02 200907企业秘密中国电信江西省固定通信网安全风险评估报告评估对象：IP承载网吉安IP城域网评估单位：吉安分公司网络维护安装中心评估日期：2009年7月20日至2009年7月31日中国电信吉安分公司二零零九年七月2目 录1概述31.1目的31.2内容及范围31.3风险评估方法31.4评估依据32资产分析32.1本地网32.2省内长途网43威胁分析53.1本地网53.2省内长途网54脆弱性分析74.1本地网74.2省内长途网75已有安全措施86安全风险分析87风险处置计划及整改情况98总结99附件911内部资料，注意保密，未经同意，请勿翻印文档信息文档名称中国电信江西省吉安市IP承载网安全风险评估报告文件编号编制人王桂英、徐文燕保密级别企业秘密修改过程版本号日期负责人概述V1.02009.7.26徐文燕V2.02009.7.31王桂英评审过程版本号日期评审者概述分发范围1 概述1.1 目的近期中国电信陆续发生网络障碍、服务效能事件、安全事件，造成很不良的社会影响。为全面查找ATM/FR网的维护管理、网络运行中存在的薄弱环节、安全隐患，并针对存在的问题及时采取有效措施，全面开展网络优化、安全整治工作，落实安全防护措施，消除安全隐患，从而提高网络运行的安全性、可靠性，提升网络运行质量，为60周年国庆活动期间该网络承载的金融用户网络提供可靠安全保障。1.2 内容及范围定级对象：吉安ATM/FR网ATM/FR网：由2个设备组成新桥36170设备和北电PASSPORT设备。一、新桥36170设备新桥36170设备通过2张155M板卡分别上联至南昌，九江骨干网节点，同时分别以8*2M 电路与抚州、赣州、萍乡、鹰潭、宜春相连，作为省帧中继网的备份中继电路，下联至DDN网并以2M相连。二、北电PASSPORT设备北电PASSPORT设备包括一台PP15K和一台PP7K，PP15通过两条155M中继分别上连至南昌、九江节点。具体网络拓扑如下： 本次评估将从吉安ATM/FR网的网络结构、路由部署的合理性，设备运行安全、可靠性（包括硬件环境、单板、单点隐患、设备性能、链路可靠性、安全防护、数据配置的规范性等）和维护管理等几个方面进行风险评估。1.3 风险评估方法本次评估采取的评估方式有：查阅文档、咨询厂家、技术验证、测试、人工检查，维护骨干集中讨论、分析。评估步骤：首先进行资产的识别、确定评估对象、评估方法、确定评估的具体内容、收集相关信息、开展脆弱性评估、威胁性评估，编写评估报告和整治计划。评估方法有：根据收集网络和设备现状相关信息，与相关维护管理规范和厂家设备技术规范核查，并结合实际维护工作经验，识别设备威胁和脆弱性。1.4 评估依据说明本次安全风险评估参考的标准和文档，如安全防护系列标准等。2 资产分析说明该定级对象包括的资产及相关属性。ATM/FR网包括新桥36170设备和北电PASSPORT设备，涉及的资产重要性分析如下：2.1 新桥36170设备吉安新桥36170设备一直承担着DDN/FR/ATM网络融合作用,在向金融、税务、政府等大客户提供高速高质量的ATM/FR专线电路同时，也负责承载全市DDN网络面向金融、税务、政府等大客户提供低速的DDN专线电路，是ATM网络A网的核心，具有非常高的重要性。表1 资产重要性列表序号资产名称资产类型重要性等级1新桥36170设备硬件高软件：软件版本文件高重要数据 高提供的服务高文档中维护人员中网络拓扑中网络拓扑中2.2 北电PASSPORT设备吉安PASSPORT设备由一台PP15K和一台PP7K设备构成，PP7K设备承载了多个银行的2M业务，PP15K设备承载了各银行等大客户至省的中继和用户汇聚，是ATM/FR网业务承载和控制的核心，具有举足轻重的作用。表2 资产重要性列表序号资产名称资产类型重要性等级1大楼PASSPORT 15K硬件高软件：软件版本文件高重要数据： 高提供的服务高文档中人员中网络拓扑中2大楼PASSPORT 7K硬件中软件：软件版本文件中重要数据中提供的服务中文档中维护人员中网络拓扑中3 威胁分析ATM网的威胁根据来源可分为技术威胁、环境威胁、人为威胁和其他威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机，人为威胁又可分为恶意和非恶意两种。1、人为威胁1）非恶意人为威胁：维护人员的操作不当，从而影响到设备的正常运行。为了防止该现象发生，在设备升级、业务割接前应准备好详细的升级和割接方案，一旦升级、割接失败则立即启用回退方案；严格落实局数据修改规范，落实双人制度：1人操作，1人检查，防止误操作。严格控制操作人员权限，不具备操作技能的人员不给于权限。2）恶意人为威胁：人为的恶意攻击、导致设备瘫痪。2、技术威胁设备硬件问题和软件BUG造成设备性能下降，影响网络运行，为防止该类现象发生，需采用DDN网管和PP网管对设备和网络运行情况进行监控，同时要求各设备厂家维护人员定期对设备进行巡检，厂家发现软、硬件的BUG和隐患应及时告知局方，并采取有效措施予以规避和解决。3、环境威胁1）自然界不可抗的威胁：ATM./FR承载网设备均设置在机房，遇雷击的可能性极小，抗震能力也较强；2）其他物理威胁：机房环境温度造成设备出现异常，需利用动环监控系统，实时监控机房环境温度，严格控制好通信机房的环境温湿度；此外，利用PP网管对设备温度进行实时查询，发现异常，立即进行处理。ATM/FR网的威胁分析如下：3.1 新桥36170设备1、自然界不可抗力的威胁：新桥36170设备放置在吉安大楼通信枢纽楼，该楼为框架混泥土结构，房屋结构结实，地势较高，并且按照通信楼的建设标准安装了多级防雷设施，机房抗震、防雷、防洪等性能都较强，受自然界不可抗力的威胁较低。2、其他物理威胁（环境威胁）：该机房环境温湿度符合要求，密封性好，不存在相关威胁。但是，该设备所在机房地板为架空钢底瓷面地板，支架也为钢管材质，但是设备是直接坐落在地板上，未安装底座，存在滑动、塌陷的隐患，遇地震、爆炸等自然或认为灾害，很容易引起设备滑动、塌陷，导致重大通信故障，因此定义威胁等级为“中”级。3、恶意和非恶意人为威胁：考虑设备目前只承载了一些专网专线用户，都采用点到点或者端到端的入网方式，安全性比较高，因而我们认为其受恶意和非恶意人为威胁的可能性不太大，定义威胁等级为“低”级。 4、其他威胁：低。本地网面临的威胁按照可能性概率，分为高、中、低三档，列表如下：表4 威胁可能性列表序号资产名称面临威胁类型威胁可能性等级1新桥36170设备自然界不可抗的威胁（环境威胁）低其它物理威胁（环境威胁）中恶意人为威胁低非恶意人为威胁低其它威胁低3.2 PASSPORT7K/15K设备PASSPORT7K/15K设备面临的威胁按照可能性概率，分为高、中、低三档，列表如下：表5 威胁可能性列表序号资产名称面临威胁类型威胁可能性等级1大楼PASSPORT15K设备自然界不可抗的威胁（环境威胁）低其它物理威胁（环境威胁）中恶意人为威胁低非恶意人为威胁低其它威胁低2大楼PASSPORT7K设备自然界不可抗的威胁（环境威胁）低其它物理威胁（环境威胁）低恶意人为威胁低非恶意人为威胁低其它威胁低1）上述设备均放置在市或县中心局的通信楼机房内，均按照通信几楼设计标准设计、建设的，所以机房的防震、防雷、防洪水等抗自然灾害性均较强，而且机房环境按照相关管理标准进行控制，其威胁性都较低。2）在上表所述大楼PASSPORT设备的其他物理威胁等级为“中”主要指设备所在机房地板为架空钢底瓷面地板，支架也为钢管材质，但是设备是直接坐落在地板上，未安装底座，存在滑动、塌陷的隐患，遇地震、爆炸等自然或认为灾害，很容易引起设备滑动、塌陷，导致重大通信故障。4 脆弱性分析ATM/FR网的脆弱性包括技术脆弱性和管理脆弱性两个方面，技术脆弱性又可分为业务/应用、网络、设备（含操作系统和数据库）、物理环境等方面的脆弱性。脆弱性识别对象应以资产为核心。吉安ATM/FR的脆弱性分析如下：4.1 新桥36170新桥36170的脆弱性按照其严重程度，分为高、中、低三档，列表如下：表7 脆弱性严重程度列表序号资产名称脆弱性类型脆弱性严重程度等级1新桥36170业务/应用（技术脆弱性）低网络（技术脆弱性）低设备（含软件版本、重要数据）（技术脆弱性）低物理环境（技术脆弱性）低管理脆弱性低4.2 北电PASSPORT设备北电PASSPORT的脆弱性按照其严重程度，分为高、中、低三档，列表如下：序号资产名称脆弱性类型脆弱性严重程度等级1PASSPORT15K业务/应用（技术脆弱性）低网络（技术脆弱性）低设备（技术脆弱性）高物理环境（技术脆弱性）中管理脆弱性中2PASSPORT7K业务/应用（技术脆弱性）低网络（技术脆弱性）高设备（技术脆弱性）中物理环境（技术脆弱性）中管理脆弱性中具体的脆弱性分析如下：5 已有安全措施ATM/FR网的安全措施（1）制度建设：已建立机房出入管理制度、机房环境管理制度、机房信息保密制度、机房交接班制度、机房十不准等制度，并上墙。建立了机房管理规范，如设施管理规范、维护作业规范、环境管理规范等，并组织学习和落实，（2）所有机房已开展了机房标准化整治工作，并建设了动环监控、烟感系统，目前实行市县二级监控。（3）市公司网维中心每月定期开展维护基础管理，包括机房现场管理、资料管理、作业计划、电子值班、电子机历本、备品备件的管理的检查，夯实维护基础管理工作。（4）6月份开展了端局机房动环监控系统的全面检查工作，对存在的问题整拟定计划进行整改。（5）落实维护作业计划和机房巡检制度，每月定期进行设备配置数据备份，进行设备表面和风扇过滤网的清洁工作，实时更新设备健康档案和网络维护相关资料。 （6）针对设备温度过高问题，目前每天24小时安排值班人员加强设备温度情况的监视，遇有上升，及时通知维护人员处理：进一步降低机房温度、清晰风扇过滤网、封堵空闲槽位等。（7）去年在省网支的统一安排和部署下，开展了一次设备清洗工作，并对同路由、单板卡承载的电路进行了传输路由的调整和端口的调整，避免传输隐患和单板承载隐患。（8）制定了详尽了网络应急预案，并及时更新相关资料。 (9) 开展了新桥36170设备与PASSPORT15K之间155M互联及2M业务互通测试，测试成功，为故障情况下实现将7K上业务应急调度到36170设备做好了准备。6 安全风险分析1、设备单板隐患北电PASSPORT设备15K与7K互联为两个155M，但两条互联链路在两台设备上均为同一块板卡，此处存在单板隐患。虽然配有单、多模转换装置，但也只能解决15K板卡故障的应急问题，如果7K的多模155M卡发生故障，无板件更换，也无法更换端口，将导致北电7K下所有业务中断，存在较高的风险。2、备件隐患北电PASSPORT设备7K负责所有的2M接入业务，承载了中行、工行、建行三大金融系统的网点业务，但目前该设备端口利用率已经达到91%以上，只剩不到10个空闲端口，且本地无相关备件，如果出现板卡故障，将无备件可换，且只能调度部分端口到本节点，需要启用应急调度到新桥36170设备上， 调度时间长。3、设备维护人员该网维护人员分配有A,B角，但对该网的设备培训只限于去年的应急保障培训，维护人员的所有维护知识只能来自于自学，并未有系统的该网维护技能知识。7 风险处置计划及整改情况针对上述风险，提出以下整改计划序号网络风险处置计划责任部门预期效果实施条件计划进度17K设备单多模155M板运行隐患将两条上行链路调至两张不同的板卡上网络维护安装中心消除单板隐患7K上必须有两块板卡支持多模模块省公司统一安排解决27K E1板备件匮乏隐患使用新桥36170进行应急，故障发生时将2M电路应急调度到36170设备，通过该设备与15K之间的互联中继，实现业务互通；为降低电路调度时间，需预先放好36170设备至7K设备承载电路所在的DDF架，以备应急调度。网络维护安装中心在不扩容、不购买备件的情况下，能将业务进行应急调度抢通。36170设备上足够的相关端口，且需进一步确认36170与15K之间业务可互联互通。8月底前3设备维护人员安排维护人员进行内部培训或者至省公司培训网络部提高维护人员维护技能省公司安排8 总结对本次风险评估的整体情况作简单总结。通过本次评估，对吉安市ATM网的运行情况、存在的问题和隐患做了一次全面的检查、梳理、分析和评估，从网络的环境条件、基础维护管理、设备运行情况等几个方面找出了存在的问题和隐患，并指出可接受和不能接受的风险，针对存在的风险制定了详细的整改工作计划，对于在9月底之前能完成的整改工作，我们将全部按照计划完成，对于需要较长时间的整改的风险，我们将通过强化应急措施，保证在故障发生时能在最短的时间内抢通业务，减少故障影响，保障网络正常运行。在所有整改计划落实到位后将大大提高网络的抗风险能力和安全性，使我市的IP城域网运维水平得到进一步提高。9 附件附件一：机房维护管理制度：附件二：江西省网络设备风险操作管理办法：附件三：应急预案：