中國(guó)電信吉安分公司支撐網(wǎng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告.doc

知識(shí)水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識(shí)水壩“ 中國(guó)電信江西省支撐網(wǎng) 安全風(fēng)險(xiǎn)評(píng)估報(bào)告 中國(guó)電信吉安市公司 二零零玖年陸月 評(píng)估對(duì)象：填寫定級(jí)對(duì)象名稱 評(píng)估單位：填寫評(píng)估單位名稱 評(píng)估日期： 2009 年 6 月 1 日至 2009 年 9 月 30 日 編號(hào)：?jiǎn)挝唬ㄖ袊?guó)電信為 ctsec）-省 （如湖北為 hubei）-文檔編號(hào)（01 開始）- 時(shí)間（200904） 企業(yè)秘密 編號(hào)：?jiǎn)挝唬ㄖ袊?guó)電信為 ctsec）-省 （如湖北為 hubei）-文檔編號(hào)（01 開始）- 時(shí)間（200904） 企業(yè)秘密 編號(hào)：?jiǎn)挝唬ㄖ袊?guó)電信為 ctsec）-省 （如湖北為 hubei）-文檔編號(hào)（01 開始）- 時(shí)間（200904） 企業(yè)秘密 編號(hào)：?jiǎn)挝唬ㄖ袊?guó)電信為 ctsec）-省 （如湖北為 hubei）-文檔編號(hào)（01 開始）- 時(shí)間（200904） 企業(yè)秘密 知識(shí)水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識(shí)水壩“ 目目 錄錄 1概述3 1.1目的 3 1.2內(nèi)容及范圍 3 1.3風(fēng)險(xiǎn)評(píng)估方法 3 1.4評(píng)估依據(jù) 3 2資產(chǎn)分析3 2.1dcn 網(wǎng).3 2.2業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 5 3威脅分析5 3.1dcn 網(wǎng).6 3.2業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 7 4脆弱性分析8 4.1dcn 網(wǎng).8 4.2業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 9 5已有安全措施10 6安全風(fēng)險(xiǎn)分析10 7風(fēng)險(xiǎn)處置計(jì)劃及整改情況11 8總結(jié)11 9附件11 ii 內(nèi)部資料，注意保密，未經(jīng)同意，請(qǐng)勿翻印 文檔信息 文檔名稱文檔名稱 文件編號(hào) 編制人 保密級(jí)別企業(yè)秘密 修改過程 版本號(hào)版本號(hào)日期日期負(fù)責(zé)人負(fù)責(zé)人概述概述 評(píng)審過程 版本號(hào)版本號(hào)日期日期評(píng)審者評(píng)審者概述概述 分發(fā)范圍 知識(shí)水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識(shí)水壩“ 1概述概述 1.1 目的目的 集團(tuán)公司關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知中國(guó)電信2009510 號(hào)文、原信息產(chǎn)業(yè)部 關(guān)于進(jìn)一步開展電信網(wǎng)絡(luò)安全防護(hù)工作的實(shí)施意見（信部電2007555 號(hào)）、工業(yè)和信息化 部關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知（工信部保2009224 號(hào))。 為進(jìn)一步查找我市 dcn 網(wǎng)絡(luò)安全運(yùn)營(yíng)的薄弱環(huán)節(jié)、落實(shí)防護(hù)措施、消除安全隱患，提高通信網(wǎng) 絡(luò)整體安全防護(hù)水平，并為國(guó)慶 60 周年網(wǎng)絡(luò)安全保障工作打好基礎(chǔ)。 1.2 內(nèi)容及范圍內(nèi)容及范圍 吉安市 dcn 網(wǎng)于 2008 年 6 月在原 dcn 網(wǎng)基礎(chǔ)上升級(jí)擴(kuò)容而成，市公司核心層由二臺(tái)匯聚路由 器 ne40-4、二臺(tái)三層交換機(jī) 3952、一臺(tái) eudemon 200 防火墻及二臺(tái) 5200f 組成，通過 2*155m 光纖上聯(lián)至省公司 dcn 網(wǎng)，市公司本埠井岡山大道生產(chǎn)樓、河?xùn)|分局、城南分局通過 1*100m 光纖上聯(lián)到匯聚路由器 ne40 中；井岡山大道辦公樓通過 1*100m 光纖上聯(lián)至 5200f，各縣市分 公司辦公樓通過 1*10m 的 mstp 鏈路上聯(lián)至 5200f；各縣市分公司配置兩臺(tái) ar46-8 路由器及 2 臺(tái)三層 3528 交換機(jī)通過 2*10m 的 mstp 鏈路上聯(lián)至匯聚路由器 ne40-4，為了更好的滿足 dcn 網(wǎng)中部分辦公人員收發(fā)郵件、查找資料需求，利用 eudemon200 實(shí)現(xiàn) dcn 網(wǎng)與互聯(lián)網(wǎng)的隔離， 防范來自互聯(lián)網(wǎng)的惡意攻擊及病毒感染。 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)采用 c/s 架構(gòu)，服務(wù)器端由 8 臺(tái)性能相當(dāng)?shù)姆?wù)器組成一組負(fù)載均衡終端 服務(wù)器集群，客戶端設(shè)備為瘦客戶機(jī)，客戶端通過 rdp 連接到集群服務(wù)器。 吉安市 idc 網(wǎng)絡(luò)機(jī)房于 2007 年 5 月從數(shù)據(jù)機(jī)房分離，市公司核心層由一臺(tái)匯聚路由器 cisco12416、一臺(tái)三層交換機(jī)華為 6506、兩臺(tái) s5624p、一臺(tái) h3c 5500 和一臺(tái)華為 usg3040 組 成，通過 2*1000m 光纖上聯(lián)至城域網(wǎng)。 全球眼系統(tǒng)平臺(tái)由 7 臺(tái)服務(wù)器和一臺(tái)磁盤陣列組成，客戶端設(shè)備為視頻服務(wù)器。客戶端通過城 域網(wǎng)連接到平臺(tái)。 農(nóng)村黨教市級(jí)平臺(tái)由 13 臺(tái)服務(wù)器和 2 臺(tái)磁盤陣列組成，各縣級(jí)平臺(tái)由 2 臺(tái)服務(wù)器組成，共 35 臺(tái)服務(wù)器。 主機(jī)托管服務(wù)由 idc 機(jī)房提供電源和網(wǎng)絡(luò)。 本次評(píng)估內(nèi)容包括管理制度、防攻擊防病毒、安全防范等進(jìn)行風(fēng)險(xiǎn)評(píng)估。 1.3 風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估方法 評(píng)估方式包括訪談、查閱文檔、測(cè)試等，評(píng)估步驟包括資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別等，方 法包括具體的資產(chǎn)、威脅和脆弱性識(shí)別方法，風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)結(jié)果判斷依據(jù)等。 1.4 評(píng)估依據(jù)評(píng)估依據(jù) 說明支撐網(wǎng)安全風(fēng)險(xiǎn)評(píng)估參考的標(biāo)準(zhǔn)和文檔，如安全防護(hù)系列標(biāo)準(zhǔn)等。 4 2資產(chǎn)分析資產(chǎn)分析 說明該定級(jí)對(duì)象包括的資產(chǎn)及相關(guān)屬性。 支撐網(wǎng)的資產(chǎn)分析范圍包括：dcn 網(wǎng)和業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)。dcn 網(wǎng)覆蓋以下網(wǎng)絡(luò)：固定通信網(wǎng)、 消息網(wǎng)、智能網(wǎng)、接入網(wǎng)、傳送網(wǎng)、ip 承載網(wǎng)、信令網(wǎng)、同步網(wǎng)。業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)包括：計(jì)費(fèi) 系統(tǒng)、營(yíng)業(yè)系統(tǒng)、賬務(wù)系統(tǒng)。涉及的資產(chǎn)重要性分析如下： 2.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)資產(chǎn)的識(shí)別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、軟件、數(shù)據(jù)、 網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 dcn 網(wǎng)資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 1 資產(chǎn)重要性列表 序號(hào)資產(chǎn)名稱資產(chǎn)類型重要性等級(jí) 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護(hù)人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號(hào)資源 低 文檔 中 1dcn 網(wǎng) 其它 中 注：支撐網(wǎng)的資產(chǎn)可分為設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。附表1給出了支 撐網(wǎng)的資產(chǎn)列表，各省公司可參考此表進(jìn)行資產(chǎn)分析，但不限于此表 附表 1 dcn 網(wǎng)資產(chǎn)列表 序 號(hào) 節(jié)點(diǎn)名 稱 設(shè)備型號(hào) 數(shù) 量 155 m 1000m 電 口 fe 電 口 fe 光口 (10k) fe 光口 (40k) 1吉安 ne40-4 224 32 16 2吉安 ls-3952p-ei 24 96 3吉安 ls-3528-ea 27 648 28 4吉安 ar4680 23 184 5 6 7 8 合計(jì) 5428960440 2.2 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)資產(chǎn)的識(shí)別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、 軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 5 客服呼叫中心資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn)重要性列表 序號(hào)資產(chǎn)名稱資產(chǎn)類型重要性等級(jí) 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護(hù)人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號(hào)資源 低 文檔 中 1 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 其它 中 附表 2 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)資產(chǎn)列表 內(nèi)存 cpu 硬盤 序 號(hào) 節(jié)點(diǎn)名 稱 設(shè)備型號(hào) 數(shù) 量 容量 （g） 數(shù)量主頻 數(shù) 量 總?cè)萘繑?shù)量 raid 級(jí)別 ip 地址 1nlb-1 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.87 2nlb-2 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.94 3nlb-3 poweredg e-2950 142 e5310 1.6g*4 227245 134.240. 7.83 4nlb-4 poweredg e-2950 142 e5405 2.0*4 21159g65 134.240. 7.102 5nlb-5 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.194 6nlb-6 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.93 7nlb-7 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.146 8nlb-8 poweredg e-2650 136 intel xeonl 2.4 221920 134.240. 7.86 9 主域控 制器 poweredg e-2950 144 e5310 1.6g*4 2372g5 134.240. 7.97 6 10 web 服 務(wù)器 poweredg e-2950 142 e5405 2.0*4 21159g65 134.240. 7.99 11 終端服 務(wù)器 poweredg e 1750 124 intel xeonl 2.4*2 220420 134.240. 7.90 12 故障機(jī) poweredg e 1750 112 intel xeonl 2.4*2 214620 134.240. 7.31 13 終端服 務(wù)器 hpprolia ntml150 122 intel xeonl 2.8*2 26810 134.240. 7.92 14 cams 服 務(wù)器 poweredg e 2500 1512m2 pentiu m iii 1.1 13410 134.240. 7.89 15 電話營(yíng) 銷系統(tǒng) 研華科技 610l 11g2 pentiu m 四 3.0 214610 134.240. 7.20 16 gps 導(dǎo) 航系統(tǒng) hp ml 370 11g2 intel xeonl 3.0*2 26620 61.180.4 .250 17 磁盤陣 列 enc-20001000008 18 計(jì)費(fèi)聯(lián) 采-101 ibm-86711 134.240. 24.101 19 計(jì)費(fèi)聯(lián) 采-102 ibm-86711 134.240. 24.102 20 合計(jì) 2.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)資產(chǎn)的識(shí)別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、軟件、數(shù)據(jù)、 網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 客服呼叫中心資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn)重要性列表 序號(hào)資產(chǎn)名稱資產(chǎn)類型重要性等級(jí) 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護(hù)人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號(hào)資源 低 文檔 中 1 全球眼業(yè)務(wù)平臺(tái) 其它 中 1 農(nóng)村黨教網(wǎng)平臺(tái)設(shè)備硬件 中 7 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護(hù)人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號(hào)資源 低 文檔 中 其它 中 附表 3 idc 資產(chǎn)列表 序號(hào) 節(jié)點(diǎn)名稱 設(shè)備型號(hào) 數(shù)量 1 吉安 poweredge- 29507 2吉安 磁盤陣列 1 3吉安 hp dl380 35 4吉安 usg3040 1 5吉安 磁盤陣列 2 6 7 合計(jì) 46 3威脅分析威脅分析 支撐網(wǎng)的威脅可分為設(shè)備威脅、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的威 脅和其它物理威脅。根據(jù)威脅的動(dòng)機(jī)，人為威脅又可分為惡意和非惡意兩種。附表2給出支撐 網(wǎng)的威脅列表。 附表 2 支撐網(wǎng)威脅列表 來源威脅描述 設(shè)備威脅 各類設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟 失，系統(tǒng)宕機(jī) 物理環(huán) 境 斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊 線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 鼠蟻蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺(tái)風(fēng)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息； 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊； 外部人員進(jìn)行物理破壞、盜竊等 人為 威脅 非惡意內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 8 人員操作、或無意地執(zhí)行了錯(cuò)誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 3 威脅可能性列表 序號(hào) 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級(jí) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1dcn 網(wǎng) 其它威脅 低 表 4 威脅可能性列表 來源威脅分析 設(shè)備威脅 dcn 網(wǎng)屬 2008 年全新擴(kuò)容改造工程，核心設(shè)備不存在設(shè)備 和介質(zhì)老化造成的數(shù)據(jù)丟失，但分支機(jī)構(gòu)接入 路由器 及綜 合辦公用的接入層設(shè)備城域網(wǎng)淘汰設(shè)備，存在一定風(fēng)險(xiǎn)，但 各類設(shè)備本身的軟硬件故障存在，維修周期一般在二周以內(nèi) 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息； 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊； 外部人員進(jìn)行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯(cuò)誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 9 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.2 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 5 威脅可能性列表 序號(hào) 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級(jí) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1dcn 網(wǎng) 其它威脅 低 表 6 威脅可能性列表 來源威脅分析 設(shè)備威脅 存在設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟 失，系統(tǒng)宕機(jī) 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息； 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊； 外部人員進(jìn)行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯(cuò)誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 10 表 7 威脅可能性列表 序號(hào) 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級(jí) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1idc 網(wǎng) 其它威脅 低 表 8 威脅可能性列表 來源威脅分析 設(shè)備威脅 核心路由器 cisco12416 為城域網(wǎng)退網(wǎng)的設(shè)備，網(wǎng)絡(luò)設(shè)備本身 可能出現(xiàn)軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失， 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息； 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊； 外部人員進(jìn)行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯(cuò)誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者管 理混亂導(dǎo)致安全事件 知識(shí)水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識(shí)水壩“ 4脆弱性分析脆弱性分析 支撐網(wǎng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性兩方面。 附表 3 給出支撐網(wǎng)的脆弱性列表。 序號(hào)資產(chǎn)名稱脆弱性類型脆弱性嚴(yán)重程度等級(jí) 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺(tái)服務(wù)器、計(jì)費(fèi) 服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 1 dcn 網(wǎng) 管理脆弱性低 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺(tái)服務(wù)器、計(jì)費(fèi)服 務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 2 業(yè)務(wù)運(yùn)營(yíng)支 撐系統(tǒng) 管理脆弱性低 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺(tái)服務(wù)器、計(jì)費(fèi) 服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 2 idc 網(wǎng) 管理脆弱性低 4.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對(duì)象dcn 網(wǎng)存在的脆弱性分析 服務(wù)/應(yīng)用設(shè)備的處理或備份能力不夠而導(dǎo)致服務(wù)提供不連續(xù) 網(wǎng)絡(luò)不存在 設(shè)備（軟 件、硬件 和數(shù)據(jù)） 不存在 技術(shù)脆弱 性 物理環(huán)境 dcn 網(wǎng)核心機(jī)房空調(diào)經(jīng)常中斷，導(dǎo)致機(jī)房溫度過高；縣局 機(jī)房防雷措施不夠，如吉安縣、新干縣在本季度均有設(shè)備被 雷擊導(dǎo)致網(wǎng)絡(luò)中斷 管理脆弱性 安全管理機(jī)構(gòu)方面：崗位設(shè)置不合理，人員配置過少、目前 負(fù)責(zé) dcn 網(wǎng)維護(hù)只有一人； 安全管理制度方面：不存在； 12 人員安全管理方面：不存在； 建設(shè)管理方面：不存在； 運(yùn)維管理方面：物理環(huán)境管理措施簡(jiǎn)單、操作管理不規(guī)范等。 4.2 業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng) 客服呼叫中心的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對(duì)象業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)存在的脆弱性 服務(wù)/ 應(yīng)用 網(wǎng)絡(luò) 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)不合理，無冗余鏈路，單點(diǎn)故障隱患，與互聯(lián)網(wǎng) 連接造成的訪問控制漏洞 設(shè)備 （軟件、 硬件 和數(shù) 據(jù)） 設(shè)備老化； 系統(tǒng)存在可被外界利用的漏洞 技術(shù)脆弱 性 物理 環(huán)境 房空調(diào)經(jīng)常中斷，導(dǎo)致機(jī)房溫度過高 管理脆弱性 安全管理機(jī)構(gòu)方面：崗位設(shè)置不合理，人員配置過少、目前負(fù) 責(zé) dcn 網(wǎng)維護(hù)只有一人； 安全管理制度方面：不存在； 人員安全管理方面：不存在； 建設(shè)管理方面：不存在； 運(yùn)維管理方面：物理環(huán)境管理措施簡(jiǎn)單、無惡意代碼防范措施 等 4.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對(duì)象idc 網(wǎng)存在的脆弱性分析 技術(shù)脆弱 性 設(shè)備（軟 件、硬件 不存在 13 和數(shù)據(jù)） 設(shè)備（軟 件、硬件 和數(shù)據(jù)） 不存在 服務(wù)/應(yīng)用不存在 物理環(huán)境idc 網(wǎng)核心機(jī)房空調(diào)經(jīng)常中斷，導(dǎo)致機(jī)房溫度過高。 管理脆弱性 安全管理機(jī)構(gòu)方面：管理 idc 機(jī)房部門多，難以精確管理； 安全管理制度方面：不存在； 人員安全管理方面：進(jìn)入 idc 機(jī)房人員多，對(duì)進(jìn)出人員難以 精確管理； 建設(shè)管理方面：不存在； 運(yùn)維管理方面：物理環(huán)境管理措施簡(jiǎn)單、操作管理不規(guī)范等。 5已有安全措施已有安全措施 設(shè)備冗余：各縣、市分公司 dcn 網(wǎng)路由器、交換機(jī)、mstp 鏈路均配備 2 臺(tái)(條)，作主備及負(fù)載均 衡。業(yè)務(wù)支撐系統(tǒng)集群服務(wù)組由八臺(tái)性能相當(dāng)?shù)姆?wù)器組成，通過操作系統(tǒng)自帶功能實(shí)現(xiàn)負(fù) 載均衡；idc 路由器、交換機(jī)鏈路均配備 2 臺(tái)(條)，作主備及負(fù)載均衡。全球眼平臺(tái)和農(nóng)村黨教 平臺(tái)上聯(lián)均有主備鏈路；全球眼平臺(tái)和農(nóng)村黨教平臺(tái)服務(wù)器均有主備冗余；b 安全防問控制：通過 eudemon 200 實(shí)現(xiàn) dcn 網(wǎng)與互聯(lián)網(wǎng)的隔離；定期修改設(shè)備維護(hù)密碼，有效 防護(hù)設(shè)備密碼外泄對(duì)設(shè)備帶來的風(fēng)險(xiǎn)；idc 網(wǎng)絡(luò)設(shè)備與城域網(wǎng)使用同樣的安全訪問控制措施， 限定訪問者的源 ip 地址； 病毒防范措施：在所有服務(wù)器中安裝省公司統(tǒng)一布署的終端安全管理軟件及 360 安全衛(wèi)士，利 用 360 安全衛(wèi)士對(duì)操作系統(tǒng)進(jìn)行補(bǔ)丁安裝升級(jí)，以確保系統(tǒng)的安全性及穩(wěn)定性。 數(shù)據(jù)備份：對(duì) dcn 網(wǎng)核心設(shè)備配置數(shù)據(jù)實(shí)行異地備份制；對(duì)主、次域控服務(wù)器實(shí)行多機(jī)備份制； 對(duì) oracle 數(shù)據(jù)庫實(shí)行異地備份制；對(duì) idc 網(wǎng)核心設(shè)備配置數(shù)據(jù)實(shí)行異地備份制；對(duì)服務(wù)器實(shí) 行定期備份； 重大節(jié)日安全防護(hù)情況：制定節(jié)日值班表及相應(yīng)的應(yīng)急預(yù)案； 通信網(wǎng)絡(luò)安全管理制度： 機(jī)房出入管理制度：外來人員（來訪者及臨時(shí)工作人員）管理：實(shí)行進(jìn)出登記制，專人接待； 機(jī)房巡檢制度：每周定期對(duì)機(jī)房進(jìn)行巡檢，及時(shí)發(fā)現(xiàn)、拔除設(shè)備存在的各項(xiàng)隱患； 密碼管理策略：系統(tǒng)管理員唯一制，口令定期修改審核； 維護(hù)管理制度：在電子運(yùn)維系統(tǒng)中制定維護(hù)作業(yè)計(jì)劃，定期對(duì)相關(guān)設(shè)備進(jìn)行維護(hù)； 14 分權(quán)分域管理：將機(jī)房設(shè)備按系統(tǒng)具體分權(quán)至個(gè)人； 6安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析 目前 dcn 網(wǎng)存在的風(fēng)險(xiǎn)主要有： 自然災(zāi)害如雷擊：6 月份有 2 個(gè)縣公司由于雷擊導(dǎo)致 dcn 網(wǎng)受影響，中斷時(shí)間在 1 小時(shí)以內(nèi)。 機(jī)房環(huán)境：dcn 網(wǎng)核心機(jī)房空調(diào)在去年夏天出現(xiàn)過 2 次宕機(jī)，致使機(jī)房環(huán)境溫度達(dá)到 50 度以上， 但由于發(fā)現(xiàn)及時(shí)沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機(jī)房管理：dcn 網(wǎng)核心機(jī)房有 n 多人配有鑰匙，包括裝機(jī)班、電力室經(jīng)常未經(jīng)同意即進(jìn)入機(jī)房施 工，施工完后不清理現(xiàn)場(chǎng)衛(wèi)生，給機(jī)房環(huán)境很大風(fēng)險(xiǎn)；如 5 月中旬動(dòng)力室穿墻安裝對(duì)流風(fēng)扇， 由于不正確的穿墻，導(dǎo)致 dcn 網(wǎng)設(shè)備及業(yè)務(wù)支撐系統(tǒng)集群服務(wù)器全布滿一層厚厚的灰，嚴(yán)重 影響設(shè)備正常使用； 人員管理：維護(hù)人員單一； 業(yè)務(wù)支撐系統(tǒng)存在的風(fēng)險(xiǎn)主要有： 病毒防護(hù)：雖然服務(wù)器中安裝有殺毒軟件，但由于使用人員多，4 月份曾發(fā)現(xiàn)極個(gè)別營(yíng)業(yè)員將帶 病毒文件上傳到服務(wù)器中，導(dǎo)致服務(wù)器出現(xiàn)異常； 系統(tǒng)漏洞：由于操作系統(tǒng)本身不足對(duì)系統(tǒng)帶來的風(fēng)險(xiǎn)； 網(wǎng)絡(luò)故障：由于網(wǎng)絡(luò)設(shè)備出現(xiàn)故障導(dǎo)致服務(wù)中斷，dcn 網(wǎng)割接后 2008 年 10 月由于一臺(tái)核心匯 聚交換軟件故障，導(dǎo)致網(wǎng)絡(luò)中斷過一次； 機(jī)房管理：it 機(jī)房進(jìn)出人員較多，多人配備有鑰匙，辦公地點(diǎn)與機(jī)房相隔較遠(yuǎn)，難以有效管理； 人員管理：維護(hù)人員單一； 目前 idc 網(wǎng)存在的風(fēng)險(xiǎn)主要有： 設(shè)備硬件：3 月由于 2 塊光模塊損壞導(dǎo)致農(nóng)村黨教平臺(tái)中斷一小時(shí)以上。 機(jī)房環(huán)境：idc 網(wǎng)核心機(jī)房空調(diào)在去年夏天出現(xiàn)過 2 次宕機(jī)，致使機(jī)房環(huán)境溫度達(dá)到 50 度以上， 但由于發(fā)現(xiàn)及時(shí)沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機(jī)房管理：dcn 網(wǎng)核心機(jī)房有多個(gè)部門配有鑰匙