1、<p>　　中國(guó)電信江西省固定通信網(wǎng)</p><p><b>　　安全風(fēng)險(xiǎn)評(píng)估報(bào)告</b></p><p><b>　　中國(guó)電信吉安分公司</b></p><p><b>　　二零零九年七月</b></p><p>　評(píng)估對(duì)象：IP承載網(wǎng)吉安IP城域網(wǎng)</p&g

2、t;<p>　評(píng)估單位：吉安分公司網(wǎng)絡(luò)維護(hù)安裝中心</p><p>　評(píng)估日期：2009年7月20日至2009年7月31日</p><p><b>　　目 錄</b></p><p><b>　　1概述3</b></p><p><b>　　1.1目的3</b

3、></p><p>　　1.2內(nèi)容及范圍3</p><p>　　1.3風(fēng)險(xiǎn)評(píng)估方法3</p><p>　　1.4評(píng)估依據(jù)3</p><p><b>　　2資產(chǎn)分析3</b></p><p><b>　　2.1本地網(wǎng)3</b></p>&

4、lt;p>　　2.2省內(nèi)長(zhǎng)途網(wǎng)4</p><p><b>　　3威脅分析5</b></p><p><b>　　3.1本地網(wǎng)5</b></p><p>　　3.2省內(nèi)長(zhǎng)途網(wǎng)5</p><p><b>　　4脆弱性分析7</b></p>&

5、lt;p><b>　　4.1本地網(wǎng)7</b></p><p>　　4.2省內(nèi)長(zhǎng)途網(wǎng)7</p><p>　　5已有安全措施8</p><p>　　6安全風(fēng)險(xiǎn)分析8</p><p>　　7風(fēng)險(xiǎn)處置計(jì)劃及整改情況9</p><p><b>　　8總結(jié)9</b

6、></p><p><b>　　9附件9</b></p><p>　　內(nèi)部資料，注意保密，未經(jīng)同意，請(qǐng)勿翻印</p><p><b>　　文檔信息</b></p><p><b>　　修改過(guò)程</b></p><p><b>　　評(píng)審

7、過(guò)程</b></p><p><b>　　分發(fā)范圍</b></p><p><b>　　概述</b></p><p><b>　　目的</b></p><p>　　近期中國(guó)電信陸續(xù)發(fā)生網(wǎng)絡(luò)障礙、服務(wù)效能事件、安全事件，造成很不良的社會(huì)影響。為全面查找IP承載網(wǎng)的維護(hù)

8、管理、網(wǎng)絡(luò)運(yùn)行中存在的薄弱環(huán)節(jié)、安全隱患，并針對(duì)存在的問(wèn)題及時(shí)采取有效措施，全面開(kāi)展網(wǎng)絡(luò)優(yōu)化、安全整治工作，落實(shí)安全防護(hù)措施，消除安全隱患，從而提高網(wǎng)絡(luò)運(yùn)行的安全性、可靠性，提升網(wǎng)絡(luò)運(yùn)行質(zhì)量，為全業(yè)務(wù)運(yùn)營(yíng)打下堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，為60周年國(guó)慶活動(dòng)提供可靠的網(wǎng)絡(luò)安全保障。</p><p><b>　　內(nèi)容及范圍</b></p><p>　　定級(jí)對(duì)象：吉安IP城域骨干網(wǎng)&l

9、t;/p><p>　　說(shuō)明定級(jí)對(duì)象的情況，包括所提供的業(yè)務(wù)功能、覆蓋范圍、網(wǎng)絡(luò)架構(gòu)、與其他網(wǎng)絡(luò)之間的邊界等，并說(shuō)明對(duì)哪些方面（如管理制度、防攻擊防病毒等）進(jìn)行風(fēng)險(xiǎn)評(píng)估。</p><p>　　吉安寬帶城域骨干網(wǎng)分為核心匯聚層、業(yè)務(wù)控制層兩個(gè)層次。</p><p><b>　　核心匯聚層：</b></p><p>　　在82局和

10、81局各設(shè)有一臺(tái)CISCO高端路由器GSR12816和華為NE5000設(shè)備構(gòu)成核心匯聚層，作為吉安城域網(wǎng)核心出口。對(duì)上各以一條10G鏈路分別連接南昌和九江國(guó)家骨干網(wǎng)接入路由器，使得吉安城域網(wǎng)總出口帶寬為40G；兩核心設(shè)備之間以2個(gè)2.5G鏈路互聯(lián)，并分別通過(guò)2*GE鏈路連至CN2骨干接入節(jié)點(diǎn)，實(shí)現(xiàn)與CN2網(wǎng)的互聯(lián)。 </p><p>　　二、業(yè)務(wù)接入控制層：</p><p>　　1、業(yè)務(wù)接

11、入控制層分別由82局、81局、83局、IDC將各一臺(tái)SR設(shè)備和全市共20臺(tái)寬帶接入服務(wù)器構(gòu)成。具體的設(shè)備組成為：82局OSR7609 、81局OSR7609 、師院MA5200G、81局ME60 、82局SE800、82局SE1200、83局SE800、安福SE800 、泰和SE800-1 、 泰和SE800-2、遂川水北SE800 、遂川水南SE800、吉安縣中心局SE400 、吉安縣開(kāi)發(fā)區(qū)SE800、吉水SE400 、新干SE800

12、 、萬(wàn)安SE800、峽江SE800 、永豐SE800 、永新SE800 、井岡山茨坪SE800、井岡山新城區(qū)MA5200G。 </p><p>　　2、3臺(tái)SR設(shè)備OSR7600和20臺(tái)寬帶接入服務(wù)器各通過(guò)兩條GE鏈路上聯(lián)至兩臺(tái)核心路由器，IDC機(jī)房的GSR12416上聯(lián)鏈路為2個(gè)2.5G。</p><p>　　3、為確保寬帶接入業(yè)務(wù)控制層面和匯聚層面網(wǎng)絡(luò)的安全可靠運(yùn)行，保障在出現(xiàn)較大故障

13、等意外緊急情況下，迅速搶通電路，恢復(fù)通信，82局SE1200設(shè)備在分擔(dān)82局向部分業(yè)務(wù)的同時(shí)作為全市集中的應(yīng)急BAS設(shè)備，分別對(duì)除82局、吉安縣、泰和、遂川、師院之外的BAS設(shè)備進(jìn)行冗余備份保護(hù)。市本部81、83中心匯聚交換機(jī)各以一條裸纖傳輸GE鏈路連接應(yīng)急BAS，而各縣市分公司中心匯聚交換機(jī)先經(jīng)過(guò)級(jí)聯(lián)后，以中心機(jī)房的匯聚交換機(jī)通過(guò)一個(gè)GE波分傳輸鏈路連接應(yīng)急BAS，作為各IP端局接入?yún)R聚層的應(yīng)急保護(hù)鏈路。82局、吉安縣、泰和、遂川兩臺(tái)

14、BAS設(shè)備互為冗余備份，師院MA5200G以81局ME60作為應(yīng)急BAS進(jìn)行冗余保護(hù)。目前冗余保護(hù)的業(yè)務(wù)主要為PPPOE何DHCP業(yè)務(wù)，采用的熱備份方式。 </p><p><b>　　具體網(wǎng)絡(luò)拓?fù)淙缦拢?lt;/b></p><p>　　本次評(píng)估將從吉安IP城域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、路由部署的合理性，設(shè)備運(yùn)行安全、可靠性（包括硬件環(huán)境、單板、單點(diǎn)隱患、設(shè)備性能、鏈路可靠性、安全防

15、護(hù)、數(shù)據(jù)配置的規(guī)范性等）和維護(hù)管理等幾個(gè)方面進(jìn)行風(fēng)險(xiǎn)評(píng)估。</p><p><b>　　風(fēng)險(xiǎn)評(píng)估方法</b></p><p>　　說(shuō)明采取的風(fēng)險(xiǎn)評(píng)估方式，步驟、方法等。評(píng)估方式包括訪(fǎng)談、查閱文檔、測(cè)試等，評(píng)估步驟包括資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別等，方法包括具體的資產(chǎn)、威脅和脆弱性識(shí)別方法，風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)結(jié)果判斷依據(jù)等。</p><p>　

16、　本次評(píng)估采取的評(píng)估方式有：查閱文檔、咨詢(xún)廠家、技術(shù)驗(yàn)證、測(cè)試、人工檢查，維護(hù)骨干集中討論、分析。</p><p>　　評(píng)估步驟：首先進(jìn)行資產(chǎn)的識(shí)別、確定評(píng)估對(duì)象、評(píng)估方法、確定評(píng)估的具體內(nèi)容、收集相關(guān)信息、開(kāi)展脆弱性評(píng)估、威脅性評(píng)估，編寫(xiě)評(píng)估報(bào)告和整治計(jì)劃。</p><p>　　評(píng)估方法有：根據(jù)收集網(wǎng)絡(luò)和設(shè)備現(xiàn)狀相關(guān)信息，與相關(guān)維護(hù)管理規(guī)范和廠家設(shè)備技術(shù)規(guī)范核查，并結(jié)合實(shí)際維護(hù)工作經(jīng)驗(yàn)，

17、識(shí)別設(shè)備威脅和脆弱性。</p><p><b>　　評(píng)估依據(jù)</b></p><p>　　說(shuō)明本次安全風(fēng)險(xiǎn)評(píng)估參考的標(biāo)準(zhǔn)和文檔，如安全防護(hù)系列標(biāo)準(zhǔn)等。</p><p><b>　　資產(chǎn)分析</b></p><p>　　說(shuō)明該定級(jí)對(duì)象包括的資產(chǎn)及相關(guān)屬性。IP城域骨干網(wǎng)包括城域網(wǎng)核心設(shè)備和業(yè)務(wù)控制層的

18、BAS和SR設(shè)備，涉及的資產(chǎn)重要性分析如下：</p><p><b>　　城域網(wǎng)核心設(shè)備</b></p><p>　　吉安IP城域網(wǎng)核心設(shè)備有兩臺(tái)，分別為大樓的GSR12816和河?xùn)|的NE5000，這兩臺(tái)設(shè)備作為本地網(wǎng)的核心匯聚設(shè)備，匯聚了業(yè)務(wù)控制層20臺(tái)BRAS設(shè)備和3臺(tái)業(yè)務(wù)路由器，即承擔(dān)本地網(wǎng)路由的交換，又與CHINANET骨干網(wǎng)互聯(lián)，實(shí)現(xiàn)路由的交換和數(shù)據(jù)的轉(zhuǎn)發(fā)，

19、是IP城域網(wǎng)的核心，具有非常高的重要性。</p><p>　　表1 資產(chǎn)重要性列表</p><p>　　注：資產(chǎn)類(lèi)型包括硬件、設(shè)備軟件、重要數(shù)據(jù)、提供的服務(wù)、文檔、人員、網(wǎng)絡(luò)拓?fù)?、碼號(hào)資源等類(lèi)別；重要性等級(jí)分為高中低三檔。按照重要性等級(jí)（高中低三檔）從高到低排列。</p><p><b>　　城域網(wǎng)業(yè)務(wù)控制層</b></p>&l

20、t;p>　　吉安城域網(wǎng)業(yè)務(wù)控制層由3臺(tái)SR和20臺(tái)BARS設(shè)備構(gòu)成，每臺(tái)設(shè)備承載了一個(gè)IP端局的業(yè)務(wù)，是城域網(wǎng)業(yè)務(wù)承載和控制的核心，具有舉足輕重的作用。</p><p>　　表2 資產(chǎn)重要性列表</p><p>　　說(shuō)明：上述表中所述的大樓SE800\SE1200、河?xùn)|ME60、城南SE800由于承載的用戶(hù)較多，而井岡山茨坪SE800承載的是紅色教育基地井岡山風(fēng)景區(qū)的業(yè)務(wù)，具有較強(qiáng)的

21、政治影響，大樓OSR7609和河?xùn)|OSR7609設(shè)備作為城域網(wǎng)ASBR設(shè)備，承載了大量的與CN2網(wǎng)跨域互聯(lián)的業(yè)務(wù)，如軟交換業(yè)務(wù)、大客戶(hù)跨域VPN業(yè)務(wù)，在城域網(wǎng)占有比較高的重要性，所以定位上述這幾個(gè)設(shè)備重要性為高等級(jí)。</p><p><b>　　威脅分析</b></p><p>　　IP城域網(wǎng)的威脅根據(jù)來(lái)源可分為技術(shù)威脅、環(huán)境威脅、人為威脅和其他威脅。環(huán)境威脅包括自然

22、界不可抗的威脅和其它物理威脅。根據(jù)威脅的動(dòng)機(jī)，人為威脅又可分為惡意和非惡意兩種。</p><p><b>　　1、人為威脅</b></p><p>　　1）非惡意人為威脅：維護(hù)人員的操作不當(dāng)，從而影響到設(shè)備的正常運(yùn)行。為了防止該現(xiàn)象發(fā)生，在設(shè)備升級(jí)、業(yè)務(wù)割接前應(yīng)準(zhǔn)備好詳細(xì)的升級(jí)和割接方案，一旦升級(jí)、割接失敗則立即啟用回退方案；嚴(yán)格落實(shí)局?jǐn)?shù)據(jù)修改規(guī)范，落實(shí)雙人制度：1人

23、操作，1人檢查，防止誤操作。嚴(yán)格控制操作人員權(quán)限，不具備操作技能的人員不給于權(quán)限。</p><p>　　2）惡意人為威脅：人為的惡意攻擊、導(dǎo)致設(shè)備癱瘓。為了防止此類(lèi)現(xiàn)象發(fā)生，已在設(shè)備上設(shè)置帳號(hào)密碼，采用1人1個(gè)帳號(hào)的原則，同時(shí)啟用防護(hù)策略封堵一些常見(jiàn)的病毒端口，嚴(yán)格落實(shí)設(shè)備數(shù)據(jù)配置規(guī)范，關(guān)閉不必要的服務(wù)，通過(guò)訪(fǎng)問(wèn)控制列表精細(xì)控制不同應(yīng)用類(lèi)型的訪(fǎng)問(wèn)設(shè)備的源地址及其訪(fǎng)問(wèn)權(quán)限。此外，應(yīng)在城域網(wǎng)中部署一臺(tái)流量清洗設(shè)備，來(lái)

24、有效過(guò)濾網(wǎng)絡(luò)中的惡意流量。同時(shí)做好機(jī)房的“四防”工作。</p><p><b>　　2、技術(shù)威脅</b></p><p>　　設(shè)備硬件問(wèn)題和軟件BUG造成設(shè)備性能下降，影響網(wǎng)絡(luò)運(yùn)行，為防止該類(lèi)現(xiàn)象發(fā)生，需采用IP綜合網(wǎng)管平臺(tái)對(duì)設(shè)備和網(wǎng)絡(luò)運(yùn)行情況進(jìn)行監(jiān)控，同時(shí)要求各設(shè)備廠家維護(hù)人員定期對(duì)設(shè)備進(jìn)行巡檢，廠家發(fā)現(xiàn)軟、硬件的BUG和隱患應(yīng)及時(shí)告知局方，并采取有效措施予以規(guī)避和

25、解決。</p><p><b>　　3、環(huán)境威脅</b></p><p>　　1）自然界不可抗的威脅：IP承載網(wǎng)業(yè)務(wù)控制層面以上的設(shè)備均防止在機(jī)房，遇雷擊的可能性極小，抗震能力也較強(qiáng)；</p><p>　　2）其他物理威脅：機(jī)房環(huán)境溫度造成設(shè)備出現(xiàn)異常，需利用動(dòng)環(huán)監(jiān)控系統(tǒng)，實(shí)時(shí)監(jiān)控機(jī)房環(huán)境溫度，嚴(yán)格控制好通信機(jī)房的環(huán)境溫濕度；此外，利用IP綜合

26、網(wǎng)管的告警平臺(tái)， 對(duì)設(shè)備溫度進(jìn)行實(shí)時(shí)告警，發(fā)現(xiàn)異常，立即進(jìn)行處理。</p><p>　　IP城域網(wǎng)的威脅分析如下：</p><p><b>　　核心層</b></p><p>　　1、大樓核心路由器GSR12816設(shè)備：</p><p>　　1）、自然界不可抗力的威脅：大樓GSR12416設(shè)備放置在吉安大樓通信樞紐樓，該

27、樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實(shí)，地勢(shì)較高，并且按照通信樓的建設(shè)標(biāo)準(zhǔn)安裝了多級(jí)防雷設(shè)施，機(jī)房抗震、防雷、防洪等性能都較強(qiáng)，受自然界不可抗力的威脅較低。</p><p>　　2）、其他物理威脅（環(huán)境威脅）：該機(jī)房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān)威脅。但是，該設(shè)備所在機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，但是設(shè)備是直接坐落在地板上，未安裝底座，存在滑動(dòng)、塌陷的隱患，遇地震、爆炸等自然或認(rèn)為災(zāi)害，很容易

28、引起設(shè)備滑動(dòng)、塌陷，導(dǎo)致重大通信故障，因此定義威脅等級(jí)為“中”級(jí)。</p><p>　　3）、惡意和非惡意人為威脅：考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù)雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來(lái)越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范措施外，沒(méi)有其他任何有效防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性比較大，定義威脅等級(jí)為“中”級(jí)。</p><

29、;p>　　4）、其他威脅：低。</p><p>　　2、河?xùn)|核心路由器NE5000設(shè)備：</p><p>　　1） 自然界不可抗力的威脅：河?xùn)|NE5000設(shè)備放置在吉安大樓通信樞紐樓，該樓為框架混泥土結(jié)構(gòu)，房屋結(jié)構(gòu)結(jié)實(shí)，地勢(shì)較高，并且按照通信樓的建設(shè)標(biāo)準(zhǔn)安裝了多級(jí)防雷設(shè)施，機(jī)房抗震、防雷、防洪等性能都較強(qiáng)，受自然界不可抗力的威脅較低。</p><p>　　2）

30、 其他物理威脅（環(huán)境威脅）：該機(jī)房環(huán)境溫濕度符合要求，密封性好，不存在相關(guān)威脅。</p><p>　　3）惡意和非惡意人為威脅：考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù)雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來(lái)越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范措施外，沒(méi)有其他任何有效防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性比較大，定義威脅等級(jí)為“中”級(jí)。</p>

31、;<p>　　4） 其他威脅：低。</p><p>　　本地網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下：</p><p>　　表4 威脅可能性列表</p><p><b>　　業(yè)務(wù)控制層</b></p><p>　　業(yè)務(wù)控制層面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下：</p

32、><p>　　表5 威脅可能性列表</p><p>　　1）上述設(shè)備均放置在市或縣中心局的通信樓機(jī)房?jī)?nèi)，均按照通信幾樓設(shè)計(jì)標(biāo)準(zhǔn)設(shè)計(jì)、建設(shè)的，所以機(jī)房的防震、防雷、防洪水等抗自然災(zāi)害性均較強(qiáng)，而且機(jī)房環(huán)境按照相關(guān)管理標(biāo)準(zhǔn)進(jìn)行控制，其威脅性都較低。</p><p>　　2）在上表所述大樓SE800、SE1200設(shè)備的其他物理威脅等級(jí)為“中”主要指大樓數(shù)據(jù)機(jī)房GS12816設(shè)

33、備所在機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，但是設(shè)備是直接坐落在地板上，未安裝底座，存在滑動(dòng)、塌陷的隱患，遇地震、爆炸等自然或認(rèn)為災(zāi)害，很容易引起設(shè)備滑動(dòng)、塌陷，導(dǎo)致重大通信故障。</p><p>　　3）惡意和非惡意人為威脅定位為“中”等級(jí)主要是考慮設(shè)備運(yùn)行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復(fù)雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來(lái)越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，而目前該設(shè)備除自身配置上采取了一些防范

34、措施外，沒(méi)有其他任何有效防范手段，因而我們認(rèn)為其受惡意和非惡意人為威脅的可能性比較大。</p><p><b>　　脆弱性分析</b></p><p>　　IP城域網(wǎng)的脆弱性包括技術(shù)脆弱性和管理脆弱性?xún)蓚€(gè)方面，技術(shù)脆弱性又可分為業(yè)務(wù)/應(yīng)用、網(wǎng)絡(luò)、設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫(kù)）、物理環(huán)境等方面的脆弱性。脆弱性識(shí)別對(duì)象應(yīng)以資產(chǎn)為核心。吉安IP城域網(wǎng)的脆弱性分析如下：</

35、p><p><b>　　核心層</b></p><p>　　核心層的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下：</p><p>　　表7 脆弱性嚴(yán)重程度列表</p><p><b>　　業(yè)務(wù)控制層</b></p><p>　　業(yè)務(wù)控制層的脆弱性按照其嚴(yán)重程度，分為高、中

36、、低三檔，列表如下：</p><p>　　表7 脆弱性嚴(yán)重程度列表</p><p>　　以下是城域網(wǎng)網(wǎng)絡(luò)和設(shè)備性能分析：</p><p><b>　　鏈路流量分析</b></p><p>　　2）設(shè)備端口、槽位使用現(xiàn)狀：</p><p><b>　　3）設(shè)備性能統(tǒng)計(jì)：</b>

37、</p><p>　　具體的脆弱性分析詳見(jiàn)附件一。</p><p><b>　　已有安全措施</b></p><p>　?。?）制度建設(shè)：已建立機(jī)房出入管理制度、機(jī)房環(huán)境管理制度、機(jī)房信息保密制度、機(jī)房交接班制度、機(jī)房十不準(zhǔn)等制度，并上墻。建立了機(jī)房管理規(guī)范，如設(shè)施管理規(guī)范、維護(hù)作業(yè)規(guī)范、環(huán)境管理規(guī)范等，并組織學(xué)習(xí)和落實(shí)，</p>

38、<p>　　（2）所有機(jī)房已開(kāi)展了機(jī)房標(biāo)準(zhǔn)化整治工作，并建設(shè)了動(dòng)環(huán)監(jiān)控、煙感系統(tǒng)，目前實(shí)行市縣二級(jí)監(jiān)控。</p><p>　　（3）市公司網(wǎng)維中心每月定期開(kāi)展維護(hù)基礎(chǔ)管理，包括機(jī)房現(xiàn)場(chǎng)管理、資料管理、作業(yè)計(jì)劃、電子值班、電子機(jī)歷本、備品備件的管理的檢查，夯實(shí)維護(hù)基礎(chǔ)管理工作。</p><p>　?。?）6月份開(kāi)展了端局機(jī)房動(dòng)環(huán)監(jiān)控系統(tǒng)的全面檢查工作，對(duì)存在的問(wèn)題整擬定計(jì)劃進(jìn)行整

39、改。</p><p>　?。?）落實(shí)維護(hù)作業(yè)計(jì)劃和機(jī)房巡檢制度，每月定期進(jìn)行設(shè)備配置數(shù)據(jù)備份，進(jìn)行設(shè)備表面和風(fēng)扇過(guò)濾網(wǎng)的清潔工作，實(shí)時(shí)更新設(shè)備健康檔案和網(wǎng)絡(luò)維護(hù)相關(guān)資料。</p><p>　?。?） 按照專(zhuān)人專(zhuān)用的原則進(jìn)行設(shè)備維護(hù)管理賬號(hào)的分權(quán)分域管理，并按照安全要求設(shè)置強(qiáng)壯的口令，設(shè)置設(shè)備安全訪(fǎng)問(wèn)控制策略和防DDOS攻擊策略。</p><p>　　（7） 更新編

40、制了城域網(wǎng)業(yè)務(wù)承載和數(shù)據(jù)配置規(guī)范，并落實(shí)于日常維護(hù)建設(shè)工作中。</p><p>　?。?）更新編制了城域網(wǎng)應(yīng)急預(yù)案和應(yīng)急BAS應(yīng)急保障方案、演練方案，并組織相關(guān)維護(hù)人員學(xué)習(xí)。</p><p>　?。?）09年建設(shè)了一臺(tái)集中的應(yīng)急BAS，作為其他BAS設(shè)備冗余保護(hù)設(shè)備，目前只保護(hù)了PPPOE和DHCP業(yè)務(wù)，同時(shí)在82局、吉安縣、泰和、遂川建設(shè)了第二臺(tái)BAS設(shè)備，一是進(jìn)行了業(yè)務(wù)分擔(dān)，同時(shí)互為冗

41、余備份，減輕單點(diǎn)隱患。</p><p>　?。?0） 5月份開(kāi)展了對(duì)全市城域網(wǎng)業(yè)務(wù)控制層以上設(shè)備的本地CONSOLE串口電纜的清查和連接測(cè)試工作，目前所有設(shè)備的本地維護(hù)管理串口電纜都實(shí)時(shí)連接在設(shè)備上，以備應(yīng)急只需。</p><p><b>　　安全風(fēng)險(xiǎn)分析</b></p><p>　　經(jīng)過(guò)詳細(xì)、全面的分析和評(píng)估，目前我市IP城域網(wǎng)存在的安全風(fēng)險(xiǎn)

42、主要有：</p><p>　　1） 吉安市82局?jǐn)?shù)據(jù)機(jī)房地板為架空鋼底瓷面地板，支架也為鋼管材質(zhì)，其中D01機(jī)房設(shè)備是直接坐落在地板上，未安裝底座，存在滑動(dòng)、塌陷的隱患，遇地震、爆炸等自然或認(rèn)為災(zāi)害，很容易引起設(shè)備滑動(dòng)、塌陷，導(dǎo)致重大通信故障。此風(fēng)險(xiǎn)短期內(nèi)可接受，但從長(zhǎng)遠(yuǎn)來(lái)看，是一個(gè)較大的隱患，需要整治。</p><p>　　2） 吉安市82局?jǐn)?shù)據(jù)機(jī)房重要設(shè)備較多，且對(duì)溫度覺(jué)敏感，目前全部

43、采用普通的獨(dú)立式空調(diào)，環(huán)境溫濕度控制效果差，常導(dǎo)致機(jī)房?jī)?nèi)設(shè)備溫度過(guò)高告警。此風(fēng)險(xiǎn)短期內(nèi)通過(guò)加強(qiáng)機(jī)房環(huán)境監(jiān)控，適時(shí)做好空調(diào)溫度的調(diào)控，可避免溫度過(guò)高告警，但從長(zhǎng)期來(lái)看，應(yīng)盡快將空調(diào)更換為機(jī)房專(zhuān)用空調(diào)，以提高安全性，同時(shí)還節(jié)能。</p><p>　　3） 城域網(wǎng)設(shè)備備件匱乏，但由于核心路由器由冗余備份，而應(yīng)急BAS的建設(shè)又為其他BAS設(shè)備提供了冗余保護(hù)，通過(guò)應(yīng)急調(diào)度能在短時(shí)間內(nèi)（30分鐘）搶通業(yè)務(wù)，因此該風(fēng)險(xiǎn)為可接受

44、的風(fēng)險(xiǎn)。</p><p>　　4） 城域網(wǎng)IGP使用OSPF路由，目前只設(shè)有一個(gè)區(qū)域，而設(shè)備數(shù)量已接近40臺(tái)，存在區(qū)域內(nèi)路由處理效率降低的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)目前還能接受，但隨著設(shè)備的增加和業(yè)務(wù)的不斷擴(kuò)展，日常涉及路由的數(shù)據(jù)制作的頻繁性，該風(fēng)險(xiǎn)將日益提高，應(yīng)盡快采取措施解決：將城域網(wǎng)內(nèi)的IGP路由改為IS-IS或設(shè)置層次化的OSPF區(qū)域。</p><p>　　5） 大樓核心路由器GSR12816設(shè)

45、備的電源模塊還為GSR16型模塊，功率不足，存在風(fēng)險(xiǎn)。目前由于設(shè)備上所插板卡不多，數(shù)據(jù)轉(zhuǎn)發(fā)流量還不高，因此該電源模塊還能支撐設(shè)備正常運(yùn)行，但從長(zhǎng)遠(yuǎn)來(lái)看，存在供電不足的隱患，因此需盡快更換成GSR18型的模塊。</p><p>　　6） 城南OSR7609、城南SE800、新干SE800、峽江SE800、永豐SE800、吉水SE800、吉安縣SE800-1、吉安縣SE800-2、永新SE800、井岡山SE800、泰

46、和SE800-1，太和縣SE800-2、萬(wàn)安SE800等設(shè)備只配有1塊千兆卡，上下行鏈路均開(kāi)放在該板卡上，存在單板隱患。該隱患為不可接受的風(fēng)險(xiǎn)，隨時(shí)可能發(fā)生，需要加以整改，并在今后的工程建設(shè)中盡量避免此類(lèi)隱患。</p><p>　　7） 目前各BAS設(shè)備只實(shí)現(xiàn)了對(duì)PPPOE業(yè)務(wù)的保護(hù)，靜態(tài)用戶(hù)、VPN等業(yè)務(wù)還存在單點(diǎn)隱患，同時(shí)SR設(shè)備也存在單點(diǎn)隱患，需采取技術(shù)措施如VRRP、人工同步數(shù)據(jù)等方式解決。此風(fēng)險(xiǎn)是不可接

47、受的風(fēng)險(xiǎn)，但是需要較長(zhǎng)的時(shí)間才能得到解決。</p><p>　　8） 井岡山大學(xué)MA5200G、吉安縣開(kāi)發(fā)區(qū)SE800和遂川水北SE800設(shè)備兩條上行鏈路走同光纜路由，存在嚴(yán)重的安全隱患，需盡快加以整改。</p><p>　　城域網(wǎng)大部分SE800/400設(shè)備現(xiàn)運(yùn)行的軟件版本存在BUG（據(jù)廠家明確），為不可接受的風(fēng)險(xiǎn)，需盡快進(jìn)行升級(jí)。</p><p>　　9）大樓S

48、E800、井岡山se800、新干SE800設(shè)備內(nèi)存利用率偏高，主要原因可能是設(shè)備軟件BUG所致，需盡快升級(jí)軟件版本，消除隱患。</p><p>　　10） 井岡山大學(xué)MA5200G設(shè)備上千兆端口全部占用，無(wú)一個(gè)空閑端口，遇故障將無(wú)端口更換，同時(shí)也缺乏備件，因而需要盡快進(jìn)行擴(kuò)容，以消除隱患。</p><p>　　11） 各縣市設(shè)備、電路的標(biāo)簽標(biāo)識(shí)不夠清晰和規(guī)范，同時(shí)未完全落實(shí)每月定期清潔、清

49、洗設(shè)備表面和風(fēng)扇過(guò)濾網(wǎng)，下一步需整改和強(qiáng)化。</p><p>　　12） 部分設(shè)備存在一些冗余數(shù)據(jù)和不規(guī)范數(shù)據(jù)，需清理和整改，同時(shí)安全防范措施還需全面梳理和加固。</p><p>　　13） 本地網(wǎng)乃至省骨干層面網(wǎng)絡(luò)缺乏有效地網(wǎng)絡(luò)安全檢測(cè)手段和防御措施， 網(wǎng)絡(luò)的安全防御性能差，在遭網(wǎng)絡(luò)攻擊時(shí)易造成網(wǎng)絡(luò)流量異常和中繼擁塞等故障，同時(shí)在故障發(fā)生時(shí)又缺乏高效的手段監(jiān)測(cè)、分析和排查故障，給維護(hù)管理

50、帶來(lái)困難，存在網(wǎng)絡(luò)運(yùn)營(yíng)、維護(hù)管理風(fēng)險(xiǎn)，希望能盡快建設(shè)相關(guān)安全防范、監(jiān)測(cè)手段。</p><p>　　14） CISCO設(shè)備和REDBACK設(shè)備的維保質(zhì)量不高，本地化廠家技術(shù)支撐水平不高，此風(fēng)險(xiǎn)暫時(shí)為可接受風(fēng)險(xiǎn)。</p><p>　　風(fēng)險(xiǎn)處置計(jì)劃及整改情況</p><p>　　說(shuō)明針對(duì)不可接受風(fēng)險(xiǎn)的風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確涉及的資產(chǎn)、責(zé)任部門(mén)、預(yù)期效果、實(shí)施條

51、件、計(jì)劃進(jìn)度等內(nèi)容。</p><p>　　對(duì)于在檢查過(guò)程中可通過(guò)整改消除的風(fēng)險(xiǎn)，企業(yè)應(yīng)及時(shí)整改，并說(shuō)明整改情況。</p><p><b>　　總結(jié)</b></p><p>　　通過(guò)本次評(píng)估，對(duì)吉安市IP城域網(wǎng)的運(yùn)行情況、存在的問(wèn)題和隱患做了一次全面的檢查、梳理、分析和評(píng)估，從網(wǎng)絡(luò)的環(huán)境條件、基礎(chǔ)維護(hù)管理、設(shè)備運(yùn)行情況等幾個(gè)方面找出了存在的問(wèn)題和

52、隱患，并指出可接受和不能接受的風(fēng)險(xiǎn)，針對(duì)存在的風(fēng)險(xiǎn)制定了詳細(xì)的整改工作計(jì)劃，對(duì)于在9月底之前能完成的整改工作，我們將全部按照計(jì)劃完成，對(duì)于需要較長(zhǎng)時(shí)間的整改的風(fēng)險(xiǎn)，我們將通過(guò)強(qiáng)化應(yīng)急措施，保證在故障發(fā)生時(shí)能在最短的時(shí)間內(nèi)搶通業(yè)務(wù)，減少故障影響，保障網(wǎng)絡(luò)正常運(yùn)行。在所有整改計(jì)劃落實(shí)到位后將大大提高網(wǎng)絡(luò)的抗風(fēng)險(xiǎn)能力和安全性，使我市的IP城域網(wǎng)運(yùn)維水平得到進(jìn)一步提高。</p><p><b>　　附件<

53、/b></p><p>　　附件一：《吉安IP城域網(wǎng)脆弱性分析》</p><p>　　附件二：《寬帶城域網(wǎng)業(yè)務(wù)承載和數(shù)據(jù)配置規(guī)范》 </p><p>　　附件三：機(jī)房維護(hù)管理制度：</p><p>　　附件四：江西省網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)操作管理辦法：</p><p>　　附件五：吉安寬帶城域網(wǎng)應(yīng)急預(yù)案： &l