




已閱讀5頁,還剩12頁未讀, 繼續(xù)免費閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
知識水壩(豆丁網(wǎng) pologoogle)為您傾心整理(下載后雙擊刪除) 百度一下 知識水壩 中國電信 江西 省 固定通信網(wǎng) 安全風險評估報告 中國電信 吉安分 公司 二零零 九 年 七 月 評估對象 : 吉安 IP 接入 網(wǎng) 評估 單位: 吉安分公司網(wǎng)絡(luò)維護安裝中心 評 估 日期: 2009 年 7 月 20 日至 2009 年 8 月 10 日 編 號 : CTSEC jiangxi-jian-01-200907 企業(yè)秘密 編號: CTSEC jiangxi-jian-01-200907 企業(yè)秘密 知識水壩(豆丁網(wǎng) pologoogle)為您傾心整理(下載后雙擊刪除) 百度一下 知識水壩 目 錄 1 概述 2 1.1 目的 . 2 1.2 內(nèi)容及范圍 . 2 1.3 風險評估方法 . 4 1.4 評估依據(jù) . 錯誤 !未定義書簽。 2 資產(chǎn)分析 4 2.1 城域 網(wǎng) 接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 2.2 城域 網(wǎng) 用戶接入節(jié)點 . 錯誤 !未定義書簽。 3 威脅分析 6 3.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 3.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 4 脆弱性分析 10 4.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 4.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 5 已有安全措施 12 6 安全風險分析 錯誤 !未定義書簽。 7 風險處置計劃及整改情況 12 8 總結(jié) 14 9 附件 14 知識水壩(豆丁網(wǎng) pologoogle)為您傾心整理(下載后雙擊刪除) 百度一下 知識水壩 內(nèi)部資料,注意保密,未經(jīng)同意,請勿翻印 文檔信息 文檔名稱 中國電信江西省吉安市 IP 承載網(wǎng)安全風險評估報告 文件編號 編制人 王桂英 保密級別 企業(yè)秘密 修改過程 版本號 日期 負責人 概述 V1.0 2009.8.8 劉建平 評審過程 版本號 日期 評審者 概述 分發(fā)范圍知識水壩(豆丁網(wǎng) pologoogle)為您傾心整理(下載后雙擊刪除) 百度一下 知識水壩 1 概 述 1.1 目的 近期中國電信 陸續(xù)發(fā)生網(wǎng)絡(luò)障礙、服務(wù)效能事件、安全事件,造成很不良的 社會 影響。為全面查找 IP 承載網(wǎng)的維護管理、網(wǎng)絡(luò)運行中存在的薄弱環(huán)節(jié)、安全隱患,并針對存在的問題及時 采取有效措施,全面 開展網(wǎng)絡(luò)優(yōu)化、安全整治工作,落實安全防護措施 ,消除安全隱患,從而提高網(wǎng)絡(luò)運行的安全性、可靠性,提升網(wǎng)絡(luò)運行質(zhì)量, 提升網(wǎng)絡(luò)維護、管理水平, 為全業(yè)務(wù)運營打下堅實的基礎(chǔ)。同時,為 60 周年國慶活動提供可靠的網(wǎng)絡(luò)安全保障。 1.2 內(nèi)容及范圍 定級對象:吉安 IP 接入網(wǎng) 吉安市寬帶接入網(wǎng)經(jīng)過 近 年 來不斷的發(fā)展、變化 ,已形成 中心匯聚層、二級匯聚層、 接入?yún)R聚層 、邊緣接入層四個層次的網(wǎng)絡(luò)結(jié)構(gòu)。中心匯聚層主要設(shè)置在市本部 81、 82、 83 三個分局、師院機房和各縣市中心機房、重要鄉(xiāng)鎮(zhèn)接入 網(wǎng) 機房,市公司分局和縣市中心機房采用華為 S6503/6506R、 7810 或 9306 設(shè)備,各縣重要鄉(xiāng)鎮(zhèn)一級匯聚點采用華為 S3552-EA 交換機;各 中心匯聚層節(jié)點各以一個GE 分別上行至本地的 BRAS, 81、 82、 83 局中心匯聚交換機同時還通過一條GE 鏈路與本機房的 SR 設(shè)備互聯(lián)。二級匯聚層節(jié)點包括園區(qū)匯聚節(jié)點和鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點,園區(qū)匯聚節(jié)點設(shè)置城區(qū)各大型接入網(wǎng)機房,鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點設(shè)置在重要的 鄉(xiāng)鎮(zhèn)接入網(wǎng)機房,采用華為 S3552P/EA 或 3528P/EA 系列設(shè)備,二級匯聚層節(jié)點上行一般以一個 GE 接入中心匯聚層節(jié)點;接入?yún)R聚層由小區(qū)中心交換機和一般的鄉(xiāng)鎮(zhèn)接入網(wǎng)點組成,采用華為 S2000 系列設(shè)備并以一個 GE 或 FE 上行園區(qū)匯聚節(jié)點或鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點。 在市本部分局機房和縣市中心機房還設(shè)有一臺大客戶專用接入交換機,主要采用華為 3500 系列交換機。 邊緣接入層主要由 DSLAM 設(shè)備和樓層交換機構(gòu)成,中心機房的 DSLAM 設(shè)備直接接入本局的中心匯聚交換機,城區(qū)接入網(wǎng)機房和鄉(xiāng)鎮(zhèn)接入網(wǎng)機房的寬帶DSLAM 設(shè)備 就近接入該節(jié)點 匯聚或接入 交換機,部分鄉(xiāng)鎮(zhèn)由于業(yè)務(wù)量小沒有設(shè)置小區(qū)中心節(jié)點,該鄉(xiāng)鎮(zhèn)寬帶 DSLAM 設(shè)備直接上連該鄉(xiāng)鎮(zhèn)所屬的鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點交換機,上連方式絕大部分為 FE,少部分二級匯聚點的 DSLAM 設(shè)備以 GE 上 3 行。目前全市接入交換機 95%以上采用華為的 S2000 系列交換機,類型主要有華為 S2403H/EI/HI/H-EA、 S2016/EI/HI、 S2008/EI/HI 等,也使用了少量的中興 S2818和 S2816 交換機。 DSLAM 設(shè)備有中興 8210/8220/9210、華為 5300/5600/5615/5605及 阿爾卡特 7300/7302/7324 等。 隨著近兩年“光進銅退”進程的推進和 EPON 技術(shù)的推廣應(yīng)用, EPON 網(wǎng)絡(luò)在我市寬帶接入網(wǎng)絡(luò)中已具一定的規(guī)模, 目前已在全市所有一級匯聚節(jié)點和部分二級匯聚節(jié)點部署 OLT 設(shè)備,該設(shè)備一般以 1 個 GE 就近接入同機房的匯聚交換機。ONU 設(shè)備 主要分布在 城區(qū)和農(nóng)村 光進銅退室外接入點、酒店賓館、中小型企業(yè)和新建小區(qū)等區(qū)域 ,一般通過一級分光 連接 OLT, 農(nóng)村 地區(qū) 少數(shù)網(wǎng)點 存在二級分光。 截止 2009 年 7 月 31 日,全市已建 OLT設(shè)備 約 30 臺, ONU設(shè)備共 380 臺, 其中90%以上使用的 是中興設(shè)備,部分為華為設(shè)備。 OLT的設(shè)備型號主要有中興 C220、C200 設(shè)備、華為 5180T。 ONU 設(shè)備型號主要有中興 9806H、 F820、 F401/42 等,華為的 5620E、 5616T等。 網(wǎng)絡(luò)結(jié)構(gòu)模型圖如下: SiSi寬帶 IP 城域網(wǎng)B RAS樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層SR大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務(wù)接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)D S L A M 設(shè)備ODN 網(wǎng)ONU設(shè)備ONU設(shè)備O L T 設(shè)備F T T X 網(wǎng)絡(luò)D S L A M 設(shè)備政企專線客戶樓道交換機接入網(wǎng)D S L A M 設(shè)備D S L A M 設(shè)備中心機房匯聚交換機寬帶 城域網(wǎng)樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務(wù)接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)設(shè)備網(wǎng)設(shè)備設(shè)備設(shè)備網(wǎng)絡(luò)設(shè)備政企專線客戶樓道交換機接入網(wǎng)設(shè)備設(shè)備中心機房匯聚交換機本次評估將從吉安 IP 城域網(wǎng) 接入層 的網(wǎng)絡(luò)結(jié)構(gòu)、 拓撲 部署的合理性,設(shè)備運行安全、可靠性(包括硬件環(huán)境、單板、單點隱患、設(shè)備性能、鏈路可靠性、安全防 4 護、數(shù)據(jù)配置的規(guī)范性等)和維護管理等幾個方面進行風險評估。 1.3 風險評估方法 本次評估采取的評估方式有:查閱文檔、 咨詢廠家、 技術(shù)驗證、測試、人工檢 查 ,維護骨干集中討論、分析 。 評估步驟:首先進行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi)容、 收集相關(guān)信息、開展脆弱性評估、威脅性評估,編寫評估報告和整治計劃。 評估方法有: 根據(jù)收集網(wǎng)絡(luò)和設(shè)備現(xiàn)狀相關(guān)信息,與相關(guān)維護管理規(guī)范和廠家設(shè)備技術(shù)規(guī)范核查,并結(jié)合實際維護工作經(jīng)驗,識別設(shè)備威脅和脆弱性。 2 資產(chǎn) 分析 IP 城域 網(wǎng) 接入層 包括 接入?yún)R聚節(jié)點和 用戶 接入節(jié)點,其中的接入?yún)R聚節(jié)點按照重要性分為三級, 用戶 接入節(jié)點按照接入用戶數(shù) 以及接入設(shè)備類型 也分為大型 ADSL節(jié)點、普通 ADSL接入節(jié)點以及樓棟交換機等 , 涉及 的資產(chǎn) 重要性分析如下: 2.1 接入?yún)R聚節(jié)點 吉安 IP 城域網(wǎng) 接入?yún)R聚節(jié)點為城域網(wǎng)絡(luò)二層網(wǎng)絡(luò)的接入?yún)R聚 設(shè)備 ,尤其是其一級接入?yún)R聚節(jié)點,為二層網(wǎng)絡(luò)樹型拓撲的樹根 ,具有非常高的重要性。 表 1 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 一級接入?yún)R聚節(jié)點 硬件 高 軟件:軟件版本文件 高 提供的服務(wù) 高 重要數(shù)據(jù): vlan的透傳 與 vlan 的封裝 高 文檔 中 維護 人員 中 5 網(wǎng)絡(luò)拓撲 中 2 二級接入?yún)R聚節(jié)點 硬件 高 軟件:軟件版本文件 高 重要數(shù)據(jù): vlan的透傳于 vlan 的封裝 高 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 低 文檔 中 3 三級接入?yún)R聚節(jié)點 硬件 中 軟件:軟件版本文件 中 重要數(shù)據(jù): vlan的透傳于 vlan 的封裝 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 文檔 中 2.2 用戶接入節(jié)點 吉安城域網(wǎng) 用戶接入節(jié)點按照接入用戶數(shù)以及接入設(shè)備類型可以分為大中型ADSL 接入節(jié)點、小型 ADSL 接入節(jié)點和樓棟交換機,且由其接入用戶數(shù)的多少其重要性也有區(qū)別 。 表 2 資產(chǎn) 重要性列表 序號 資產(chǎn) 名稱 資產(chǎn)類型 重要性等級 1 大中型 ADSL接入節(jié)點 硬件 高 6 軟件:軟件版本文件 高 重要數(shù)據(jù): 端口配置數(shù)據(jù)以及速率模板配置等 高 提供的服務(wù) 低 文檔 中 人員 中 網(wǎng)絡(luò)拓撲 中 2 小型 ADSL接入節(jié)點以及樓棟交換機 硬件 中 軟件:軟件版本文件 中 重要數(shù)據(jù): 用戶接入端口數(shù)據(jù)配置以及速率模板 中 提供的服務(wù) 低 文檔 低 維護人員 低 網(wǎng)絡(luò)拓撲 低 3 威脅 分析 IP 城域網(wǎng) 的威脅根據(jù)來源 可分為 技術(shù)威脅、 環(huán)境威脅 、 人為威脅 和 其他威脅 。環(huán)境 威脅 包括自然界不可抗的 威脅 和其它物理 威脅 。根據(jù)威脅的動機,人為 威脅 又可分為惡意和非惡意兩種。 1、 人為威脅 1) 非惡意人為威脅:維護人員的操作不當,從而影響到設(shè)備的正常運行。為了防止該現(xiàn)象發(fā)生,在設(shè)備升級、業(yè)務(wù)割接前應(yīng)準備好詳細的升級和割接方案,一旦升級、割接失敗則立即啟用回退方案;嚴格落實局數(shù)據(jù)修改規(guī)范,落實雙人制度:1 人操作, 1 人檢查,防止誤操作。 嚴格控制操作人員權(quán)限,不具備操作技能的人 7 員不給于權(quán)限。 2) 惡意人為威脅:人為的惡意攻擊、導致設(shè)備癱瘓。為了防止此類現(xiàn)象發(fā)生,已在設(shè)備上設(shè)置帳號 密碼, 一級接入?yún)R聚交換機 采用 1 人 1 個帳號的原則, 在接入控制層 啟用防護策略 拒絕一切非法 IP 的訪問以及關(guān)閉一切沒必要的端口 ,嚴格落實設(shè)備數(shù)據(jù)配置規(guī)范,關(guān)閉不必要的服務(wù), 通過訪問控制列表精細控制不同應(yīng)用類型的訪問設(shè)備的源地址及其訪問權(quán)限。 此外,應(yīng)在城域網(wǎng)中部署一臺流量清洗設(shè)備,來有效過濾網(wǎng)絡(luò)中的惡意流量。 同時做好機房的“四防”工作。 2、 技術(shù)威脅 設(shè)備硬件問題和軟件 BUG 造成設(shè)備性能下降,影響網(wǎng)絡(luò)運行,為防止該類現(xiàn)象發(fā)生,需采用 IP 綜合網(wǎng)管平臺對設(shè)備和網(wǎng)絡(luò) 運行情況進行監(jiān)控,同時要求各設(shè)備廠家維護人員定期對 一級接入 匯聚 設(shè)備進行巡檢,廠家發(fā)現(xiàn)軟、硬件的 BUG 和隱患應(yīng)及時告知局方,并采取有效措施予以規(guī)避和解決。 3、 環(huán)境威脅 1) 自然界不可抗的威脅: IP 承載網(wǎng) 接入 層 一、二級接入?yún)R聚設(shè)備以及大中型 ADSL接入節(jié)點均部署在電信機房,遭遇雷擊 的可能性極小 ,部分三級接入?yún)R聚交換機以及小型 ADSL 節(jié)點與樓棟交換機部署在比較簡易的機房或者用戶樓層內(nèi),面臨雷擊威脅,為防止或者盡量降低該類危險造成的損失,每年會對雷區(qū)設(shè)備進行清查統(tǒng)計,并作好防雷工作 ; 2) 其他物理威脅:機房環(huán)境溫度造成設(shè)備出現(xiàn)異常,需利用動環(huán)監(jiān)控系統(tǒng),實時監(jiān)控機房環(huán)境溫 度, 嚴格控制好通信機房的環(huán)境溫濕度; 此外,利用 IP 綜合網(wǎng)管的告警平臺, 對設(shè)備溫度進行實時告警,發(fā)現(xiàn)異常,立即進行處理 ;小型 ADSL以及樓棟交換機等節(jié)點,大量部署在戶外機柜或者樓宇內(nèi),存在環(huán)境溫度以及電源不穩(wěn)定等威脅,對此,利用 IP 綜合網(wǎng)管告警平臺,監(jiān)視 節(jié)點的運行情況,發(fā)現(xiàn)異常,立即派維護人員現(xiàn)場排查。 IP 城域網(wǎng) 接入層 的威脅分析 如下: 3.1 接入?yún)R聚節(jié)點 1、 一級接入?yún)R聚節(jié)點 : 1)、 自然界不可抗力的威脅: 一級接入?yún)R聚節(jié)點 設(shè)備 一般 放置在 市縣局 通信樞紐樓,房屋結(jié)構(gòu)結(jié)實,地勢 較高,并且按照通信樓的建設(shè)標準安裝了多級 防雷設(shè)施,機房抗震、防雷、防洪等性能都較強,受自然界不可抗力的威脅較低。 2)、 其他物理威脅(環(huán)境威脅): 一級接入?yún)R聚節(jié)點設(shè)備所處 機房 環(huán)境溫濕度符合要求,密封性好,不存在相關(guān)威脅。 8 3)、 惡意和非惡意人為威脅:考慮設(shè)備運行公網(wǎng)中,目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣,網(wǎng)絡(luò)病毒、攻擊手 段越來越多樣、隱蔽、高明,各種網(wǎng)絡(luò)安全事件時有發(fā)生,而由于該設(shè)備作為城域網(wǎng)網(wǎng)絡(luò)設(shè)備管理的中轉(zhuǎn)節(jié)點,尚未在城域網(wǎng)絡(luò)上做有效的防護措施 ,因而我們認為其受惡意和非惡意 人為威脅的可能性比較大,定義威脅等級 為“高 ”級。 4)、 其他威脅: 低 2、 二級接入?yún)R聚節(jié)點 : 1) 自然界不可抗力的威脅: 二級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng)重要的接入網(wǎng)機房,該類機房 房屋結(jié)構(gòu)結(jié)實,并且按照 接入網(wǎng)機房 的建設(shè)標準安裝了防雷設(shè)施,機房防雷性能都較強。 2) 其他物理威脅(環(huán)境威脅): 該類 機房 只有部分配備了 空調(diào), 監(jiān)控手段還不是很完善,而且由于維護人員緊張,目前機房的定期巡檢難以落實,工程隨工也不到位、機房的現(xiàn)場管理水平還較低,機房環(huán)境難以滿足通信要求和規(guī)范,對設(shè)備運行造成一定的威脅。 3) 惡意和非惡意人為威脅:考慮設(shè)備運行公網(wǎng)中,目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣,網(wǎng)絡(luò)病毒 、攻擊手段越來越多樣、隱蔽、高明,各種網(wǎng)絡(luò)安全事件時有發(fā)生,而目前 在相關(guān)的 BAS 上針對網(wǎng)絡(luò)設(shè)備管理地址設(shè)置了訪問控制,只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關(guān)端口的訪問權(quán)限,同 時設(shè)備本身配置遠程管理登陸賬號和密碼。但是由于該類設(shè)備大多部署在 無人值守接入網(wǎng)機房, 目前機房的現(xiàn)場管理水平還有一定的差距,對設(shè)備來說存在一定的惡意和非惡意認為威脅性 。 4) 其他威脅: 3、三級接入?yún)R聚節(jié)點: 1) 自然界不可抗力的威脅: 三 級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng) 偏遠 的接入網(wǎng)機房,該類機房房屋結(jié)構(gòu) 一般 , 部署了 一定能力的防雷措施,該類機房 對抗自然界不可抗拒力的威脅能力一般。 2) 其他物理威脅(環(huán)境威脅):機房 部分 配備空調(diào) ,且空調(diào)性能一般 , 物理環(huán)境相對較惡劣 , 具有較大的環(huán)境威脅 。 3)惡意和非惡意人為威脅:考慮設(shè)備運行公網(wǎng)中,目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣,網(wǎng)絡(luò)病毒、攻擊手段越來越多樣、隱蔽、高明,各種網(wǎng)絡(luò)安全事件時有發(fā)生,而目前在相關(guān)的 BAS 上針對網(wǎng)絡(luò)設(shè)備管理地址設(shè)置了訪問控制,只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關(guān)端口的訪問權(quán)限,同時設(shè)備本身配置遠程管理登陸賬號和密碼。但是由于該類設(shè)備大多部署 在 無人值守接入網(wǎng)機房 ,且防盜防暴等 9 措施一般 , 存在一定的威脅性 。 4) 其他威脅: 低 4、邊緣接入節(jié)點: 邊緣接入節(jié)點主要是指在偏遠鄉(xiāng)鎮(zhèn)接入網(wǎng)機房、行政村接入網(wǎng)點、室外機柜、樓宇內(nèi)的交換機、 DSLAM 或 ONU等設(shè)備。 這類節(jié)點物理 環(huán)境相對較惡劣 ,其 防雷防潮性能一般,抗自然災(zāi)害能力 、防破壞 能力都 較弱。但是該類節(jié)點用戶量 少且和用戶 質(zhì)量較差 ,節(jié)點眾多,要改善相關(guān)環(huán)境投入成本較高,收益不明顯。 序號 資產(chǎn)名稱 面臨威脅類型 威脅可能性等級 1 一級接入?yún)R聚節(jié)點 設(shè)備(包括匯聚交換機、 DSLAM、 OLT等設(shè)備) 自然界不可抗的威脅 低 其它物理威脅(環(huán)境威脅 ) 低 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 2 二級接入?yún)R聚節(jié)點 (包括匯聚交換機、DSLAM、 OLT等設(shè)備) 自然界不可抗的威脅 中 其它物理威脅(環(huán)境威脅) 中 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 3 三級接入?yún)R聚節(jié)點 (包括匯聚交換機、DSLAM、 OLT等設(shè)備) 自然界不可抗的威脅(環(huán)境威脅) 中 其它物理威脅(環(huán)境威脅) 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 中 4 邊緣接入節(jié)點( DSLAM、接入交換機、 自然界不可抗的威脅 高 10 樓層交換機、 ONU等設(shè)備) 其它物理威脅(環(huán)境威脅) 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 低 4 脆弱性 和風險 分析 IP 接入網(wǎng) 的脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面 ,技術(shù)脆弱性又可分為業(yè)務(wù) /應(yīng)用、網(wǎng)絡(luò)、設(shè)備(含操作系統(tǒng)和數(shù)據(jù)庫)、 物理環(huán)境等方面的脆弱性 。脆弱性識別對象應(yīng)以資產(chǎn)為核心。 吉安 IP 城域 網(wǎng) 接入網(wǎng) 的 脆弱性 分析 如下: 一、技術(shù)脆弱性 4.1 一級匯聚 層 1、 市本部 81 局、新干、永豐、吉水、吉安縣、安福、永新、井岡山、泰和、遂川 中心局一級匯聚交換機 6503 設(shè)備 和峽江、萬安 6506R設(shè)備 主控卡均為單配, 一旦該控制卡發(fā)生故障,將導致整個設(shè)備中斷,中斷整個 IP 端局的寬帶業(yè)務(wù), 存在嚴重的單板隱患。 除峽江、萬安 6506 可增配一塊主控板,進行主備冗余外,其他節(jié)點的設(shè)備無法解決單板隱患,因為 6503 只能單主控板運行,只能通過分擔業(yè)務(wù)減輕隱患的影響的程度。 2、 目前全市所有的一級匯聚設(shè)備至 BRAS 和 SR設(shè)備的上行鏈路均只有 1 條,存在單鏈隱患。 3、新干、永豐、吉水、安福、永新 目前只設(shè)有一個一級匯聚點, 全縣的業(yè)務(wù)集中由該匯聚交換機承載,存在較大的單 點隱患 ,可在下半年或明年的接入網(wǎng)優(yōu)化、擴容工程中 建設(shè)第二一級匯聚節(jié)點或設(shè)備予以解決。 4、 一級接入?yún)R聚設(shè)備 S9300 系列交換機,基于端口的靈活 qinq 部署,存在內(nèi)層vlan 數(shù)的限制,致使業(yè)務(wù)的配置復雜化,增大了日常的維護工作量,以及排查故障的難度。廠家反映能通過升級軟件版本的方法解決,但是目前無成熟版本。 S6500系列交換機對靈活 qinq 的支持不僅不成熟,而且存在廣播復制、流量復制等問題存在安全隱患。 4.2 二、三級匯聚 層 1、 目前所有的 EPON OLT設(shè)備主控板為單配, 存在單板隱患,同時其上行鏈路一般只有 1 條, 為單鏈路。 11 2、 所有的二級匯聚設(shè)備均為裸光纖單鏈傳輸,無任何保護措施,傳輸可靠性差。此問題由于涉及新技術(shù)的引用和接入網(wǎng)網(wǎng)絡(luò)架構(gòu)的 重新 設(shè)計與規(guī)劃,且建設(shè)成本較高, 需從長計議。 3、 部分三級匯聚設(shè)備性能低,負荷重,不能滿足網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展 的 需要 , 具體設(shè)備情況見附件。 4.3 邊緣接入層 1、目前所有的大型 DSLAM 設(shè)備主控板均為單配,一旦發(fā)生故障,不僅導致整個設(shè)備的業(yè)務(wù)中斷,而且由于更換板卡,數(shù)據(jù)也全部丟失,恢復起來時間長且容易丟失用戶屬性數(shù)據(jù)。 2、 部分 DSLAM 設(shè)備風扇已損壞,導致設(shè)備溫度過高而引發(fā)故障。 具體 設(shè)備詳見附件。 3、部分 大型 DSLAM, 如 阿爾卡特 7300、中興 ZX8210 等設(shè)備使用年限達 7-8 年,設(shè)備老化 現(xiàn)象嚴重 , 故障發(fā)生頻繁, 影響用戶感知 ,可考慮將該類設(shè)備 進行 退網(wǎng) 。目前全市共有 ZX8210 共 22 臺,各個縣市均有 1-2 臺; 7300 設(shè)備 17 臺,其中泰和 1 臺,吉安市 16 臺。 4、 各類 DSLAM 設(shè)備的軟件版本和板卡硬件版本不統(tǒng)一,有些甚至存在 BUG,需統(tǒng)一進行升級。 5、樓層 BAN 箱、室外機柜存在門鎖損壞、布線凌亂、未接地或接地不規(guī)范、電源插座不牢固等問題,均不同程度地引發(fā)設(shè)備故障、用戶故障,需加以整治。 6、 EPON 網(wǎng)絡(luò)存在工程建設(shè)不規(guī)范、設(shè)備性能不穩(wěn)定、業(yè)務(wù)技術(shù)支持能力不足、網(wǎng)管系統(tǒng)功能不完善等問題,需加以整治和改進。 二、管理脆弱性 1、 作業(yè)計劃流于形式,執(zhí)行不到位,導致設(shè)備表面、風扇過濾網(wǎng)灰塵過多 而 引發(fā)故障;設(shè)備數(shù)據(jù)未定期備份,尤其是一些大型 DSLAM 的數(shù)據(jù),各縣市基本未做備份,一旦出現(xiàn)主控板等故障,將無法迅速恢復數(shù)據(jù),影響故障修復速度,同時冗余丟失數(shù)據(jù),影響用戶上網(wǎng)。 設(shè)備日常監(jiān)視、巡檢工作落實不到位,以致發(fā)生告警和故障隱患不能及時發(fā)現(xiàn)和處理。 2、 部分新建 的 接入網(wǎng)點,機房封閉, 無窗戶, 且無空調(diào)以 及相關(guān)通風換氣系統(tǒng),部分老機房要么未安裝空調(diào)、要么空調(diào)和通風換氣設(shè)施不能正常運轉(zhuǎn), 導致機房環(huán)境 溫濕度不符合要求,空氣質(zhì)量差、靜電多 ; 不僅 僅影響了工作人員的現(xiàn)場工作效率,更影響設(shè)備的正常運行,加速了設(shè)備的損耗速度,需加以整 治。 12 3、 由于人員不足,且工程周期短,往往工程已竣工就馬上開放業(yè)務(wù),工程隨工、驗收等工作嚴重缺失,導致工程建設(shè)不規(guī)范,留下很多遺留問題 在維護工作中不斷補漏、優(yōu)化,不僅使維護工作不斷處于應(yīng)對局面,降低維護工作效率,更重要是降低網(wǎng)絡(luò)質(zhì)量、影響感知。 4、接入網(wǎng)設(shè)備普遍存在數(shù)據(jù)配置不嚴謹、規(guī)范,如 設(shè)備、電路命名或描述不規(guī)范、冗余數(shù)據(jù)較多、重要參數(shù)選擇不正確等,需進行全面梳理和整改。 5、設(shè)備、電路標簽標識不規(guī)范,資料未及時在 CRM 系統(tǒng)、 IP 綜合網(wǎng)管系統(tǒng)更新。 6、接入層面設(shè)備的備品備件不足,尤其是 EPON 設(shè)備,嚴重影響日常故障的及時修復。 5 已 采取的安全 措施 1、 為解決備品備件不足問題,省、市公司已著手購買一批備品備件。 2、 市本部上半年已開展了樓層 BAN 箱的整治,目前已將門鎖的問題、接地、電源問題將基本處理和解決,但布線整治由于涉及幾個部門的配合及工作量較大而基本未開展。 3、 已經(jīng)制定詳盡的城域網(wǎng)業(yè) 務(wù)承載和數(shù)據(jù)配置規(guī)范、相關(guān)工程規(guī)范,準備近期下發(fā)執(zhí)行。 6 風險處置計劃及整改情況 對于在檢查過程中可通過整改消除的風險,企業(yè)應(yīng)及時整改,并說明整改情況。 序號 網(wǎng)絡(luò)風險 處置計劃 責任部門 預期效果 實施條件 計劃進度 1 一級匯聚設(shè)備上行鏈路 單鏈隱患 通過鏈路捆綁的方式將上行單鏈路改為聚合鏈路上行 網(wǎng)維中心 、各縣市 提高 一級匯聚交換機上行鏈路傳輸 可靠性 ,消除 單鏈隱患。 一級匯聚交換機和 BAS、 SR設(shè)備上有足夠的前兆端口及相關(guān)光模塊。 9 月底前 2 峽 江 、 萬 安6506R 單主控板隱患 增配一塊主控板 網(wǎng)維 中心 、建設(shè)中心 實現(xiàn)主控板的主備冗 余保護,解決此兩臺設(shè)備的單主控板隱患。 購置兩塊同型號的主控板 10 月中旬前 3 EPON OLT 設(shè) 考慮設(shè)備的重 建設(shè)中心、 網(wǎng) 實現(xiàn) OLT 設(shè)備 購置 20塊左右 年底 13 備主控單配問題 要性,針對一級 匯 聚點 的OLT 設(shè)備每臺設(shè)備增配 1 塊主控板 維中心、各縣市 主控板熱備冗余保護。 的主控板 4 新干、永豐、吉水、安福、永新單一級匯聚節(jié)點設(shè)置問題 建設(shè)第二個一級匯聚節(jié)點或設(shè)備 建設(shè)中心、 網(wǎng)維中心 、相關(guān)縣市 減輕單點隱患 建設(shè)資金 2010 年接入網(wǎng)優(yōu)化工程,大約在 10 年 3 月底前 5 部 分三級匯聚設(shè)備性能低問題 采取調(diào)配或新建的方式,將設(shè)備更換成更高性能的設(shè)備 建設(shè)中心、 網(wǎng)維中心 、各縣市 提 高 設(shè)備 性能,滿足業(yè)務(wù)、網(wǎng)絡(luò)發(fā)展需求 有設(shè)備可調(diào)配或新購設(shè)備 年底 6 部分大型DSLAM 設(shè)備主控板單配問題 對承載用戶數(shù)超過 400 的DSLAM 設(shè)備增配備用控制卡 建設(shè)中心、 網(wǎng)維中心 、各縣市 提高設(shè)備運行穩(wěn)定性 建設(shè)投資 2010 年上半年 7 部分 DSLAM設(shè)備風扇損壞問題 開展 DSLAM設(shè)備全面巡檢工作,重點檢查設(shè)備風扇、板 卡 故障 隱患,發(fā)現(xiàn)問題予以維修 網(wǎng)維中心、各縣市 提高 DSLAM設(shè)備運行穩(wěn)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 江西省南昌市三校聯(lián)考2025屆化學高一下期末達標檢測模擬試題含解析
- 2025屆河北正定弘文中學高一化學第二學期期末考試模擬試題含解析
- 農(nóng)技項目資金管理辦法
- 公寓用品檔案管理辦法
- 公共收益處置管理辦法
- 民政救濟專戶管理辦法
- 出口毛巾加工管理辦法
- 視覺識別技術(shù)在串番茄采摘機器人設(shè)計與試驗中的應(yīng)用
- 十堰市總承包管理辦法
- 變電站設(shè)計與施工指導手冊
- 無創(chuàng)眶周抗衰規(guī)范
- 暑假假期安全教育(課件)-小學生主題班會
- 2024年1月黑龍江高中學業(yè)水平合格考政治試卷真題(含答案詳解)
- 供應(yīng)室護理進修匯報總結(jié)
- 儲糧害蟲與技術(shù)和化學防治
- 自適應(yīng)前照燈控制系統(tǒng)
- 電梯招標文件示范文本
- 上海市安裝工程預算定額(2000)工程量計算規(guī)則
- 街道、鎮(zhèn)、區(qū)道路保潔及垃圾轉(zhuǎn)運服務(wù)采購項目服務(wù)方案(投標方案)
- GB/T 16886.10-2024醫(yī)療器械生物學評價第10部分:皮膚致敏試驗
- 醫(yī)院感染管理制度制度匯編
評論
0/150
提交評論