《中国吉安电信信令网网络安全评估报告》由会员分享,可在线阅读,更多相关《中国吉安电信信令网网络安全评估报告(14页珍藏版)》请在金锄头文库上搜索。
1、编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(
2、如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始
3、)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密中国电信
4、江西省信令网安全风险评估报告评估对象:江西省吉安市本地信令网评估单位:江西省吉安市电信分公司评估日期:2009年7月中国电信江西吉安分公司二零零九年七月2目 录1概述31.1目的31.2内容及范围31.3风险评估方法31.4评估依据32资产分析33威胁分析44脆弱性分析45已有安全措施56安全风险分析57风险处置计划及整改情况68总结69附件6内部资料,注意保密,未经同意,请勿翻印文档信息文档名称文件编号编制人习清华保密级别企业秘密修改过程版本号日期负责人概述评审过程版本号日期评审者概述分发范围111 概述1.1 目的为提高网络安全性,进一步查找我市网络安全运营的薄弱环节、落实防护措施、消除安
5、全隐患,提高通信网络整体安全防护水平,全市组织开展全专业网络评估专项活动,全面清查各专业网络在系统设备、维护管理等方面存在的安全隐患和薄弱环节,主动解决风险高、对业务影响面大以及涉及重要客户、大客户服务保障的重大网络安全问题,解决基础维护管理工作中的突出问题,并提出网络优化建议及下一步工作措施,从而指导后期的网规网优工作。1.2 内容及范围吉安LSTP为华为CC08设备,2个LSTP平面分别放置在大楼和河东局,于2000年投入使用。2个LSTP的链路开放情况完全一致,每个局向到LSTP能做到分担和保护。其中LSTP设备的版本为V701R200B01D003,DXC设备的版本为V200R007B
6、01D008.每个LSTP到纯汇、网关、TS都开有2个2M/8条LINK,至其他端局都开有一个2M/2条LINK(除个别话务量较小的端局外),双平面配置可以保证链路的安全性。从日常的话务高峰LSTP负荷情况分析,LSTP至HSTP平面话务较高,春节忙时每条LINK负荷平均高达0.4ERL以上,大于LSTP的理论最大负荷值0.2ERL,对设备安全造成一定隐患,建议每个LSTP至每个HSTP再分别增开2条LINK,以保证信令网的安全运行。LSTP的容量及使用情况如下表:局向链路容量已使用链路数2M容量已使用2M数LSTP11421287362LSTP21421287362具体组网结构见图1:图1:
7、信令网的网络结构图河东纯汇局大楼纯汇局吉 安 市 七 号 信 令 网 络 图吉福路08吉安TG大 楼LSTP井冈山08井冈山新城区S1240S1240S1240IGW/HLR大楼168HSTPBHSTPA永丰S1240永丰CC08峡江水边CC08峡江巴邱CC08新干S1240新干CC08泰和S1240泰和河西CC08泰和沙村CC08安福S1240安福CC08永新S1240永新CC08万安S1240万安CC08遂川S1240遂川水南CC08吉水S1240宁冈S1240井冈山S1240吉安县CC08吉水城南CC08吉水枫江CC08201智能平台吉福路DMS100大楼163接入大楼接入网大楼DMS吉
8、安TS河东08网关CC08吉安县开发区08河东接入网河东163接入 河东SHLR大楼SHLR 河 东 LS T P以网络安全性为背景,现从管理制度、防攻击防病毒方面对本定级对象进行风险评估1.3 风险评估方法采取的风险评估方式为查阅文档、测试,评估步骤包括资产识别、脆弱性识别、威胁识别等,方法包括具体的资产、威胁和脆弱性识别方法,风险分析方法、风险结果判断依据等。1.4 评估依据本次安全风险评估参考的标准为安全防护系列标准,华为设备日常维护要求等2 资产分析吉安电信华为信令网设备为双平面配置,主要提供本地和长途局间呼叫信令转接功能,因此具有非常高的重要性。序号资产名称资产类型重要性等级1吉安信
9、令网设备设备硬件高设备软件高重要数据高提供的服务高维护人员中网络拓扑高码号资源低文档低其它低3 威胁分析1)、环境威胁: 自然界不可抗的威胁:吉安所处地理位置发生地震、泥石流、洪涝等自然灾害的可能性极小,设备分别放置在大楼局二楼和河东分局三楼室内机房,机房做好了防雷防震措施,因此遇雷击、遭洪涝的可能性极小,抗震能力也较强;其他物理威胁:机房环境温湿度异常将对设备产生影响,机房已安装动环监控系统,值班人员可利用网管告警平台远程实时监控机房环境,发现异常,立即进行处理。2)、人为威胁:非恶意人为威胁:维护人员需经过专业的培训方能担当该设备的维护角色。维护人员的操作不当将影响到设备的正常运行。为了防
10、止该现象发生,在设备升级、业务割接前应准备好详细的升级和割接测试方案,一旦升级、割接失败则立即启用回退方案;严格落实局数据修改规范,落实双人制度:1人操作,1人检查,防止误操作。严格控制操作人员权限,不具备操作技能的人员不给予权限。恶意人为威胁:人为的恶意攻击将导致设备瘫痪。为了防止此类现象发生,已在设备上设置登陆帐号密码,采用分类权限(监控及维护)设置原则,同时启用访问控制策略,只允许特定维护IP地址访问该定级对象。3)、其他威胁:设备硬件和软件问题将造成设备性能下降,影响网络运行。为防止此类现象发生,已采用网管平台对设备和网络运行情况进行实时监控,同时要求设备厂家维护人员定期对设备进行巡检
11、。此外,局方在运行中发现不可预见性的软、硬件问题和隐患应及时告知厂家,并责其尽快采取有效措施予以规避和解决。序号资产名称面临的威胁类型威胁可能性等级1吉安信令网设备自然界不可抗的威胁(环境威胁)低其它物理威胁(环境威胁)低恶意人为威胁中非恶意人为威胁中其它威胁低4 脆弱性分析信令网设备脆弱性包括技术脆弱性和管理脆弱性两个方面,1)、技术脆弱性: 信令网设备是国内大型设备提供商华为公司生产,设备质量、售后服务及该产品的业务应用方面可得到较强的保障,信令网设备后台服务器为联想服务器,操作系统为WINDOWS 95。机房物理环境符合信令网设备的环境要求。2)、管理脆弱性: 信令网设备采用包机到人的维
12、护模式,设置了维护A、B角,人为导致的设备故障或设备瘫痪将追究相关责任人责任。设备重大操作要求通过电子运维或公文形式上报,待相关领导审批同意后方可执行。重大操作要有详细的操作方案及回退方案,操作时务必要求局方人员在场,厂家操作也需遵循1人操作1人检查要求。维护人员需按维护规程要求对设备进行维护,并制作填写维护作业计划。对于可预见性的影响设备运行能力或服务的问题,应尽早提出解决方案。表7 脆弱性严重程度列表序号资产名称脆弱性类型脆弱性严重程度等级1吉安信令网设备业务/应用(技术脆弱性)中网络(技术脆弱性)中设备(含操作系统和数据库、后台服务器、计费服务器等)(技术脆弱性)中物理环境(技术脆弱性)低管理脆弱性中5 已有安全措施根
