1、编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密中国电信江西省支撑网安全风险评估报告评估对象:填写定级对象名称评估单位:填写评估单位名称评估日期:2009年6月1日至2009年9月30日中国电信吉安市
2、公司二零零玖年陆月2目 录1概述31.1目的31.2内容及范围31.3风险评估方法31.4评估依据32资产分析32.1DCN网32.2业务运营支撑系统53威胁分析53.1DCN网63.2业务运营支撑系统74脆弱性分析84.1DCN网84.2业务运营支撑系统95已有安全措施106安全风险分析107风险处置计划及整改情况118总结119附件11内部资料,注意保密,未经同意,请勿翻印文档信息文档名称文件编号编制人保密级别企业秘密修改过程版本号日期负责人概述评审过程版本号日期评审者概述分发范围141 概述1.1 目的集团公司关于开展通信网络安全检查工作的通知中国电信2009510 号文、原信息产业部关
3、于进一步开展电信网络安全防护工作的实施意见(信部电2007555号)、工业和信息化部关于开展通信网络安全检查工作的通知(工信部保2009224号)。为进一步查找我市DCN网络安全运营的薄弱环节、落实防护措施、消除安全隐患,提高通信网络整体安全防护水平,并为国庆60周年网络安全保障工作打好基础。1.2 内容及范围吉安市DCN网于2008年6月在原DCN网基础上升级扩容而成,市公司核心层由二台汇聚路由器NE40-4、二台三层交换机3952、一台Eudemon 200防火墙及二台5200F组成,通过2*155M光纤上联至省公司DCN网,市公司本埠井冈山大道生产楼、河东分局、城南分局通过1*100M光
4、纤上联到汇聚路由器NE40中;井冈山大道办公楼通过1*100M光纤上联至5200F,各县市分公司办公楼通过1*10M的MSTP链路上联至5200F;各县市分公司配置两台AR46-8路由器及2台三层3528交换机通过2*10M的MSTP链路上联至汇聚路由器NE40-4,为了更好的满足DCN网中部分办公人员收发邮件、查找资料需求,利用Eudemon200实现DCN网与互联网的隔离,防范来自互联网的恶意攻击及病毒感染。业务运营支撑系统采用C/S架构,服务器端由8台性能相当的服务器组成一组负载均衡终端服务器集群,客户端设备为瘦客户机,客户端通过RDP连接到集群服务器。吉安市IDC网络机房于2007年5
5、月从数据机房分离,市公司核心层由一台汇聚路由器cisco12416、一台三层交换机华为6506、两台S5624P、一台H3C 5500和一台华为usg3040组成,通过2*1000M光纤上联至城域网。全球眼系统平台由7台服务器和一台磁盘阵列组成,客户端设备为视频服务器。客户端通过城域网连接到平台。农村党教市级平台由13台服务器和2台磁盘阵列组成,各县级平台由2台服务器组成,共35台服务器。主机托管服务由IDC机房提供电源和网络。本次评估内容包括管理制度、防攻击防病毒、安全防范等进行风险评估。1.3 风险评估方法评估方式包括访谈、查阅文档、测试等,评估步骤包括资产识别、脆弱性识别、威胁识别等,方
6、法包括具体的资产、威胁和脆弱性识别方法,风险分析方法、风险结果判断依据等。1.4 评估依据说明支撑网安全风险评估参考的标准和文档,如安全防护系列标准等。2 资产分析说明该定级对象包括的资产及相关属性。支撑网的资产分析范围包括:DCN网和业务运营支撑系统。DCN网覆盖以下网络:固定通信网、消息网、智能网、接入网、传送网、IP承载网、信令网、同步网。业务运营支撑系统包括:计费系统、营业系统、账务系统。涉及的资产重要性分析如下: 2.1 DCN网DCN网资产的识别与选取应符合科学性、合理性,其资产类型大致包括设备硬件、软件、数据、网络、服务、文档和人员等。DCN网资产按照重要性,分为高、中、低三档,
7、列表如下:表1 资产重要性列表序号资产名称资产类型重要性等级1DCN网设备硬件中设备软件中重要数据中提供的服务中维护人员中网络拓扑中码号资源低文档中其它中注:支撑网的资产可分为设备硬件、软件、数据、网络、服务、文档和人员等。附表1给出了支撑网的资产列表,各省公司可参考此表进行资产分析,但不限于此表附表1 DCN网资产列表序号节点名称设备型号数量155M1000M电口FE电口FE光口(10K)FE光口(40K)1吉安NE40-422432162吉安LS-3952P-EI24963吉安LS-3528-EA27648284吉安AR4680231845678合计54289604402.2 业务运营支撑
8、系统业务运营支撑系统资产的识别与选取应符合科学性、合理性,其资产类型大致包括设备硬件、软件、数据、网络、服务、文档和人员等。客服呼叫中心资产按照重要性,分为高、中、低三档,列表如下:表2 资产重要性列表序号资产名称资产类型重要性等级1业务运营支撑系统设备硬件中设备软件中重要数据中提供的服务中维护人员中网络拓扑中码号资源低文档中其它中附表2 业务运营支撑系统资产列表序号节点名称设备型号数量内存CPU硬盘RAID级别IP地址容量(G)数量主频数量总容量数量1NLB-1POWEREDGE-2850156Intel xeonl 3.026810134.240.7.872NLB-2升腾资讯终端服务器14
9、intelR xe onl 3.2X226821134.240.7.943NLB-3POWEREDGE-2950142E5310 1.6G*4227245134.240.7.834NLB-4POWEREDGE-2950142E54052.0*421159G65134.240.7.1025NLB-5升腾资讯终端服务器14intelR xe onl 3.2X226821134.240.7.1946NLB-6升腾资讯终端服务器14intelR xe onl 3.2X226821134.240.7.937NLB-7POWEREDGE-2850156Intel xeonl 3.026810134.240
10、7.1468NLB-8POWEREDGE-2650136Intel xeonl 2.4221920134.240.7.869主域控制器POWEREDGE-2950144E5310 1.6G*42372G5134.240.7.9710WEB服务器POWEREDGE-2950142E54052.0*421159G65134.240.7.9911终端服务器POWEREDGE 1750124Intel xeonl 2.4*2220420134.240.7.9012故障机POWEREDGE 1750112Intel xeonl 2.4*2214620134.240.7.3113终端服务器HPPROLI
11、ANTML150122Intel xeonl 2.8*226810134.240.7.9214CAMS服务器POWEREDGE 25001512M2PENTIUM III 1.1 13410134.240.7.8915电话营销系统研华科技 610L11G2Pentium 四 3.0214610134.240.7.2016GPS导航系统HP ML 37011G2Intel xeonl 3.0*22662061.180.4.25017磁盘阵列ENC-2000100000818计费联采-101IBM-86711134.240.24.10119计费联采-102IBM-86711134.240.24.1
12、0220合计2.3 IDC网IDC网资产的识别与选取应符合科学性、合理性,其资产类型大致包括设备硬件、软件、数据、网络、服务、文档和人员等。客服呼叫中心资产按照重要性,分为高、中、低三档,列表如下:表2 资产重要性列表序号资产名称资产类型重要性等级1全球眼业务平台设备硬件中设备软件中重要数据中提供的服务中维护人员中网络拓扑中码号资源低文档中其它中1农村党教网平台设备硬件中设备软件中重要数据中提供的服务中维护人员中网络拓扑中码号资源低文档中其它中附表3 IDC资产列表序号节点名称设备型号数量1吉安POWEREDGE-295072吉安磁盘阵列13吉安HP DL380354吉安Usg304015吉安
13、磁盘阵列267合计463 威胁分析支撑网的威胁可分为设备威胁、环境威胁和人为威胁。环境威胁包括自然界不可抗的威胁和其它物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。附表2给出支撑网的威胁列表。附表2 支撑网威胁列表来源威胁描述设备威胁各类设备本身的软硬件故障,设备和介质老化造成的数据丢失,系统宕机环境威胁物理环境断电、静电、灰尘、潮湿、温度、电磁干扰等,意外事故或通讯线路方面的故障自然灾害鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷电人为威胁恶意人员不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络
14、或系统进行攻击;外部人员进行物理破坏、盗窃等非恶意人员内部人员由于缺乏责任心或者无作为而没有执行应当执行的操作、或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件3.1 DCN网DCN网面临的威胁按照可能性概率,分为高、中、低三档,列表如下:表3 威胁可能性列表序号资产名称面临的威胁类型威胁可能性等级1DCN网自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)高恶意人为威胁低非恶意人为威胁低其它威胁低表
15、4 威胁可能性列表来源威胁分析设备威胁DCN网属2008年全新扩容改造工程,核心设备不存在设备和介质老化造成的数据丢失,但分支机构接入 路由器 及综合办公用的接入层设备城域网淘汰设备,存在一定风险,但各类设备本身的软硬件故障存在,维修周期一般在二周以内环境威胁物理环境存在断电、静电、灰尘、潮湿、温度、电磁干扰等,意外事故或通讯线路方面的故障自然灾害存在火灾、雷电人为威胁恶意人员不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络或系统进行攻击;外部人员进行物理破坏、盗窃等非恶意人员内部人员由于缺乏责任心或者无作为而没有执行应
16、当执行的操作、或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件3.2 业务运营支撑系统业务运营支撑系统面临的威胁按照可能性概率,分为高、中、低三档,列表如下:表5 威胁可能性列表序号资产名称面临的威胁类型威胁可能性等级1DCN网自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)高恶意人为威胁低非恶意人为威胁低其它威胁低表6 威胁可能性列表来源威胁分析设备威胁存在设备本身的软硬件故障,设备和介质老化造成
17、的数据丢失,系统宕机环境威胁物理环境存在断电、静电、灰尘、潮湿、温度、电磁干扰等,意外事故或通讯线路方面的故障自然灾害存在火灾、雷电人为威胁恶意人员不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络或系统进行攻击;外部人员进行物理破坏、盗窃等非恶意人员内部人员由于缺乏责任心或者无作为而没有执行应当执行的操作、或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者
18、管理混乱导致安全事件3.3 IDC网IDC网面临的威胁按照可能性概率,分为高、中、低三档,列表如下:表7 威胁可能性列表序号资产名称面临的威胁类型威胁可能性等级1IDC网自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)高恶意人为威胁低非恶意人为威胁低其它威胁低表8 威胁可能性列表来源威胁分析设备威胁核心路由器Cisco12416为城域网退网的设备,网络设备本身可能出现软硬件故障,设备和介质老化造成的数据丢失,环境威胁物理环境存在断电、静电、灰尘、潮湿、温度、电磁干扰等,意外事故或通讯线路方面的故障自然灾害存在火灾、雷电人为威胁恶意人员不满的或有预谋的内部人员滥用权限进行恶意破坏;采用自
19、主或内外勾结的方式盗窃或篡改机密信息;外部人员利用恶意代码和病毒对网络或系统进行攻击;外部人员进行物理破坏、盗窃等非恶意人员内部人员由于缺乏责任心或者无作为而没有执行应当执行的操作、或无意地执行了错误的操作导致安全事件;内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致故障或攻击;安全管理制度不完善、落实不到位造成安全管理不规范或者管理混乱导致安全事件4 脆弱性分析支撑网的脆弱性可分为技术脆弱性和管理脆弱性两方面。附表3给出支撑网的脆弱性列表。序号资产名称脆弱性类型脆弱性严重程度等级1DCN网业务/应用(技术脆弱性)低网络(技术
20、脆弱性)中设备(含操作系统和数据库、后台服务器、计费服务器等)(技术脆弱性)低物理环境(技术脆弱性)低管理脆弱性低2业务运营支撑系统业务/应用(技术脆弱性)低网络(技术脆弱性)中设备(含操作系统和数据库、后台服务器、计费服务器等)(技术脆弱性)低物理环境(技术脆弱性)低管理脆弱性低2IDC网业务/应用(技术脆弱性)低网络(技术脆弱性)中设备(含操作系统和数据库、后台服务器、计费服务器等)(技术脆弱性)低物理环境(技术脆弱性)低管理脆弱性低4.1 DCN网DCN网的脆弱性按照其严重程度,分为高、中、低三档,列表如下:表5 脆弱性列表类型对象DCN网存在的脆弱性分析技术脆弱性服务/应用设备的处理或
21、备份能力不够而导致服务提供不连续网络不存在设备(软件、硬件和数据)不存在物理环境DCN网核心机房空调经常中断,导致机房温度过高;县局机房防雷措施不够,如吉安县、新干县在本季度均有设备被雷击导致网络中断管理脆弱性安全管理机构方面:岗位设置不合理,人员配置过少、目前负责DCN网维护只有一人;安全管理制度方面:不存在;人员安全管理方面:不存在;建设管理方面:不存在;运维管理方面:物理环境管理措施简单、操作管理不规范等。 4.2 业务运营支撑系统客服呼叫中心的脆弱性按照其严重程度,分为高、中、低三档,列表如下:表5 脆弱性列表类型对象业务运营支撑系统存在的脆弱性技术脆弱性服务/应用网络网络拓扑设计不合
22、理,无冗余链路,单点故障隐患,与互联网连接造成的访问控制漏洞设备(软件、硬件和数据)设备老化;系统存在可被外界利用的漏洞物理环境房空调经常中断,导致机房温度过高管理脆弱性安全管理机构方面:岗位设置不合理,人员配置过少、目前负责DCN网维护只有一人;安全管理制度方面:不存在;人员安全管理方面:不存在;建设管理方面:不存在;运维管理方面:物理环境管理措施简单、无恶意代码防范措施等4.3 IDC网IDC网的脆弱性按照其严重程度,分为高、中、低三档,列表如下:表5 脆弱性列表类型对象IDC网存在的脆弱性分析技术脆弱性设备(软件、硬件和数据)不存在设备(软件、硬件和数据)不存在服务/应用不存在物理环境I
23、DC网核心机房空调经常中断,导致机房温度过高。管理脆弱性安全管理机构方面:管理IDC机房部门多,难以精确管理;安全管理制度方面:不存在;人员安全管理方面:进入IDC机房人员多,对进出人员难以精确管理;建设管理方面:不存在;运维管理方面:物理环境管理措施简单、操作管理不规范等。 5 已有安全措施设备冗余:各县、市分公司DCN网路由器、交换机、MSTP链路均配备2台(条),作主备及负载均衡。业务支撑系统集群服务组由八台性能相当的服务器组成,通过操作系统自带功能实现负载均衡;IDC路由器、交换机链路均配备2台(条),作主备及负载均衡。全球眼平台和农村党教平台上联均有主备链路;全球眼平台和农村党教平台
24、服务器均有主备冗余;b安全防问控制:通过EUDEMON 200实现DCN网与互联网的隔离;定期修改设备维护密码,有效防护设备密码外泄对设备带来的风险;IDC网络设备与城域网使用同样的安全访问控制措施,限定访问者的源IP地址;病毒防范措施:在所有服务器中安装省公司统一布署的终端安全管理软件及360安全卫士,利用360安全卫士对操作系统进行补丁安装升级,以确保系统的安全性及稳定性。数据备份:对DCN网核心设备配置数据实行异地备份制;对主、次域控服务器实行多机备份制;对ORACLE数据库实行异地备份制;对IDC网核心设备配置数据实行异地备份制;对服务器实行定期备份;重大节日安全防护情况:制定节日值班
25、表及相应的应急预案;通信网络安全管理制度:机房出入管理制度:外来人员(来访者及临时工作人员)管理:实行进出登记制,专人接待;机房巡检制度:每周定期对机房进行巡检,及时发现、拔除设备存在的各项隐患;密码管理策略:系统管理员唯一制,口令定期修改审核;维护管理制度:在电子运维系统中制定维护作业计划,定期对相关设备进行维护;分权分域管理:将机房设备按系统具体分权至个人;6 安全风险分析目前DCN网存在的风险主要有:自然灾害如雷击:6月份有2个县公司由于雷击导致DCN网受影响,中断时间在1小时以内。机房环境:DCN网核心机房空调在去年夏天出现过2次宕机,致使机房环境温度达到50度以上,但由于发现及时没有
26、导致网络中断;机房管理:DCN网核心机房有N多人配有钥匙,包括装机班、电力室经常未经同意即进入机房施工,施工完后不清理现场卫生,给机房环境很大风险;如5月中旬动力室穿墙安装对流风扇,由于不正确的穿墙,导致DCN网设备及业务支撑系统集群服务器全布满一层厚厚的灰,严重影响设备正常使用;人员管理:维护人员单一;业务支撑系统存在的风险主要有:病毒防护:虽然服务器中安装有杀毒软件,但由于使用人员多,4月份曾发现极个别营业员将带病毒文件上传到服务器中,导致服务器出现异常;系统漏洞:由于操作系统本身不足对系统带来的风险;网络故障:由于网络设备出现故障导致服务中断,DCN网割接后2008年10月由于一台核心汇
27、聚交换软件故障,导致网络中断过一次;机房管理:IT机房进出人员较多,多人配备有钥匙,办公地点与机房相隔较远,难以有效管理;人员管理:维护人员单一;目前IDC网存在的风险主要有:设备硬件:3月由于2块光模块损坏导致农村党教平台中断一小时以上。机房环境:IDC网核心机房空调在去年夏天出现过2次宕机,致使机房环境温度达到50度以上,但由于发现及时没有导致网络中断;机房管理:DCN网核心机房有多个部门配有钥匙,给机房环境很大风险;全球眼平台和农村党教平台存在的风险主要有:系统漏洞:由于操作系统本身不足对系统带来的风险;网络故障:由于网络设备出现故障导致服务中断;机房管理:IDC机房进出人员较多,多人配
28、备有钥匙,办公地点与机房相隔较远,难以有效管理;支撑网s的安全风险在可接受范围内。7 风险处置计划及整改情况说明针对不可接受风险的风险处理计划。风险处理计划中应明确涉及的资产、责任部门、预期效果、实施条件、计划进度等内容。对于在检查过程中可通过整改消除的风险,企业应及时整改,并说明整改情况。企业可结合风险处理计划及整改情况对残余风险进行评估,确保采取的新的安全措施的有效性。序号网络风险处置计划责任部门预期效果计划进度1分支机构接入较慢在本地网增加接入设备客网与省公司接入设备形成主备用完成2综合办公接入设备存在老化现象增加一台5200F客网与原5200F形成主备用正在实施中3分支机构业务支撑系统
29、慢调整集群服务器,增加服务器数量客网服务器资源利用率控制在50%以内完成4系统缺陷定时升级系统补丁客网确保服务器不感染病毒完成8 总结本次风险评估历时一个月左右,主要对IDC网络、DCN网络、业务支撑系统集群服务器的安全、稳定性进行评估。在评估测试过程中对发现的问题及时制定整改措施,落实整改效果,使我公司支撑网更稳定。在目前支撑网设备最大的安全威胁来自于机房环境:所有支撑网核心设备全在市公司城北分局四楼机房,其中IDC机房与IT机房仅一墙之隔,两边机房在2008年夏天二次由于空调供电不稳定,环境温度远高于设备正常运行温度,IT机房在2009年7月31日再度出现一台空调运行不稳定现象;县局DCN网由于机房防雷措施不到位,雷雨季节经常出现设备被雷击烧坏现象,2009年6月份有两个县局分公司DCN网络由于雷击导致网络中断现象。其次是网络病毒的威胁:2008年综合楼网络履行前,整个办公楼经常由于病毒攻击导致网络中断;2009年6月由于某营业员将带病毒文件上传到集群服务器中的某台服务器中运行,导致单台服务器CPU、内存利用率过高,严重影响该服务器业务。9 附件列举附件(如管理制度等)名称