中國電信吉安分公司IP城域網(wǎng)接入層安全風險評估報告

知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 中國電信 江西 省 固定通信網(wǎng) 安全風險評估報告 中國電信 吉安分 公司 二零零 九 年 七 月 評估對象 ： 吉安 IP 接入 網(wǎng) 評估 單位： 吉安分公司網(wǎng)絡(luò)維護安裝中心 評 估 日期： 2009 年 7 月 20 日至 2009 年 8 月 10 日 編 號 ： CTSEC jiangxi-jian-01-200907 企業(yè)秘密 編號： CTSEC jiangxi-jian-01-200907 企業(yè)秘密 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 概述 2 1.1 目的 . 2 1.2 內(nèi)容及范圍 . 2 1.3 風險評估方法 . 4 1.4 評估依據(jù) . 錯誤 !未定義書簽。 2 資產(chǎn)分析 4 2.1 城域 網(wǎng) 接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 2.2 城域 網(wǎng) 用戶接入節(jié)點 . 錯誤 !未定義書簽。 3 威脅分析 6 3.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 3.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 4 脆弱性分析 10 4.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 4.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 5 已有安全措施 12 6 安全風險分析 錯誤 !未定義書簽。 7 風險處置計劃及整改情況 12 8 總結(jié) 14 9 附件 14 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱 中國電信江西省吉安市 IP 承載網(wǎng)安全風險評估報告 文件編號 編制人 王桂英 保密級別 企業(yè)秘密 修改過程 版本號 日期 負責人 概述 V1.0 2009.8.8 劉建平 評審過程 版本號 日期 評審者 概述 分發(fā)范圍知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 概 述 1.1 目的 近期中國電信 陸續(xù)發(fā)生網(wǎng)絡(luò)障礙、服務(wù)效能事件、安全事件，造成很不良的 社會 影響。為全面查找 IP 承載網(wǎng)的維護管理、網(wǎng)絡(luò)運行中存在的薄弱環(huán)節(jié)、安全隱患，并針對存在的問題及時 采取有效措施，全面 開展網(wǎng)絡(luò)優(yōu)化、安全整治工作，落實安全防護措施 ，消除安全隱患，從而提高網(wǎng)絡(luò)運行的安全性、可靠性，提升網(wǎng)絡(luò)運行質(zhì)量， 提升網(wǎng)絡(luò)維護、管理水平， 為全業(yè)務(wù)運營打下堅實的基礎(chǔ)。同時，為 60 周年國慶活動提供可靠的網(wǎng)絡(luò)安全保障。 1.2 內(nèi)容及范圍 定級對象：吉安 IP 接入網(wǎng) 吉安市寬帶接入網(wǎng)經(jīng)過 近 年 來不斷的發(fā)展、變化 ，已形成 中心匯聚層、二級匯聚層、 接入?yún)R聚層 、邊緣接入層四個層次的網(wǎng)絡(luò)結(jié)構(gòu)。中心匯聚層主要設(shè)置在市本部 81、 82、 83 三個分局、師院機房和各縣市中心機房、重要鄉(xiāng)鎮(zhèn)接入 網(wǎng) 機房，市公司分局和縣市中心機房采用華為 S6503/6506R、 7810 或 9306 設(shè)備，各縣重要鄉(xiāng)鎮(zhèn)一級匯聚點采用華為 S3552-EA 交換機；各 中心匯聚層節(jié)點各以一個GE 分別上行至本地的 BRAS， 81、 82、 83 局中心匯聚交換機同時還通過一條GE 鏈路與本機房的 SR 設(shè)備互聯(lián)。二級匯聚層節(jié)點包括園區(qū)匯聚節(jié)點和鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點，園區(qū)匯聚節(jié)點設(shè)置城區(qū)各大型接入網(wǎng)機房，鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點設(shè)置在重要的 鄉(xiāng)鎮(zhèn)接入網(wǎng)機房，采用華為 S3552P/EA 或 3528P/EA 系列設(shè)備，二級匯聚層節(jié)點上行一般以一個 GE 接入中心匯聚層節(jié)點；接入?yún)R聚層由小區(qū)中心交換機和一般的鄉(xiāng)鎮(zhèn)接入網(wǎng)點組成，采用華為 S2000 系列設(shè)備并以一個 GE 或 FE 上行園區(qū)匯聚節(jié)點或鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點。 在市本部分局機房和縣市中心機房還設(shè)有一臺大客戶專用接入交換機，主要采用華為 3500 系列交換機。 邊緣接入層主要由 DSLAM 設(shè)備和樓層交換機構(gòu)成，中心機房的 DSLAM 設(shè)備直接接入本局的中心匯聚交換機，城區(qū)接入網(wǎng)機房和鄉(xiāng)鎮(zhèn)接入網(wǎng)機房的寬帶DSLAM 設(shè)備 就近接入該節(jié)點 匯聚或接入 交換機，部分鄉(xiāng)鎮(zhèn)由于業(yè)務(wù)量小沒有設(shè)置小區(qū)中心節(jié)點，該鄉(xiāng)鎮(zhèn)寬帶 DSLAM 設(shè)備直接上連該鄉(xiāng)鎮(zhèn)所屬的鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點交換機，上連方式絕大部分為 FE，少部分二級匯聚點的 DSLAM 設(shè)備以 GE 上 3 行。目前全市接入交換機 95%以上采用華為的 S2000 系列交換機，類型主要有華為 S2403H/EI/HI/H-EA、 S2016/EI/HI、 S2008/EI/HI 等，也使用了少量的中興 S2818和 S2816 交換機。 DSLAM 設(shè)備有中興 8210/8220/9210、華為 5300/5600/5615/5605及 阿爾卡特 7300/7302/7324 等。 隨著近兩年“光進銅退”進程的推進和 EPON 技術(shù)的推廣應(yīng)用， EPON 網(wǎng)絡(luò)在我市寬帶接入網(wǎng)絡(luò)中已具一定的規(guī)模， 目前已在全市所有一級匯聚節(jié)點和部分二級匯聚節(jié)點部署 OLT 設(shè)備，該設(shè)備一般以 1 個 GE 就近接入同機房的匯聚交換機。ONU 設(shè)備 主要分布在 城區(qū)和農(nóng)村 光進銅退室外接入點、酒店賓館、中小型企業(yè)和新建小區(qū)等區(qū)域 ，一般通過一級分光 連接 OLT， 農(nóng)村 地區(qū) 少數(shù)網(wǎng)點 存在二級分光。 截止 2009 年 7 月 31 日，全市已建 OLT設(shè)備 約 30 臺， ONU設(shè)備共 380 臺， 其中90%以上使用的 是中興設(shè)備，部分為華為設(shè)備。 OLT的設(shè)備型號主要有中興 C220、C200 設(shè)備、華為 5180T。 ONU 設(shè)備型號主要有中興 9806H、 F820、 F401/42 等，華為的 5620E、 5616T等。 網(wǎng)絡(luò)結(jié)構(gòu)模型圖如下： SiSi寬帶 IP 城域網(wǎng)B RAS樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層SR大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務(wù)接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)D S L A M 設(shè)備ODN 網(wǎng)ONU設(shè)備ONU設(shè)備O L T 設(shè)備F T T X 網(wǎng)絡(luò)D S L A M 設(shè)備政企專線客戶樓道交換機接入網(wǎng)D S L A M 設(shè)備D S L A M 設(shè)備中心機房匯聚交換機寬帶 城域網(wǎng)樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務(wù)接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)設(shè)備網(wǎng)設(shè)備設(shè)備設(shè)備網(wǎng)絡(luò)設(shè)備政企專線客戶樓道交換機接入網(wǎng)設(shè)備設(shè)備中心機房匯聚交換機本次評估將從吉安 IP 城域網(wǎng) 接入層 的網(wǎng)絡(luò)結(jié)構(gòu)、 拓撲 部署的合理性，設(shè)備運行安全、可靠性（包括硬件環(huán)境、單板、單點隱患、設(shè)備性能、鏈路可靠性、安全防 4 護、數(shù)據(jù)配置的規(guī)范性等）和維護管理等幾個方面進行風險評估。 1.3 風險評估方法 本次評估采取的評估方式有：查閱文檔、 咨詢廠家、 技術(shù)驗證、測試、人工檢 查 ，維護骨干集中討論、分析 。 評估步驟：首先進行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi)容、 收集相關(guān)信息、開展脆弱性評估、威脅性評估，編寫評估報告和整治計劃。 評估方法有： 根據(jù)收集網(wǎng)絡(luò)和設(shè)備現(xiàn)狀相關(guān)信息，與相關(guān)維護管理規(guī)范和廠家設(shè)備技術(shù)規(guī)范核查，并結(jié)合實際維護工作經(jīng)驗，識別設(shè)備威脅和脆弱性。 2 資產(chǎn) 分析 IP 城域 網(wǎng) 接入層 包括 接入?yún)R聚節(jié)點和 用戶 接入節(jié)點，其中的接入?yún)R聚節(jié)點按照重要性分為三級， 用戶 接入節(jié)點按照接入用戶數(shù) 以及接入設(shè)備類型 也分為大型 ADSL節(jié)點、普通 ADSL接入節(jié)點以及樓棟交換機等 ， 涉及 的資產(chǎn) 重要性分析如下： 2.1 接入?yún)R聚節(jié)點 吉安 IP 城域網(wǎng) 接入?yún)R聚節(jié)點為城域網(wǎng)絡(luò)二層網(wǎng)絡(luò)的接入?yún)R聚 設(shè)備 ，尤其是其一級接入?yún)R聚節(jié)點，為二層網(wǎng)絡(luò)樹型拓撲的樹根 ，具有非常高的重要性。 表 1 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 一級接入?yún)R聚節(jié)點 硬件 高 軟件：軟件版本文件 高 提供的服務(wù) 高 重要數(shù)據(jù)： vlan的透傳 與 vlan 的封裝 高 文檔 中 維護 人員 中 5 網(wǎng)絡(luò)拓撲 中 2 二級接入?yún)R聚節(jié)點 硬件 高 軟件：軟件版本文件 高 重要數(shù)據(jù)： vlan的透傳于 vlan 的封裝 高 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 低 文檔 中 3 三級接入?yún)R聚節(jié)點 硬件 中 軟件：軟件版本文件 中 重要數(shù)據(jù)： vlan的透傳于 vlan 的封裝 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 文檔 中 2.2 用戶接入節(jié)點 吉安城域網(wǎng) 用戶接入節(jié)點按照接入用戶數(shù)以及接入設(shè)備類型可以分為大中型ADSL 接入節(jié)點、小型 ADSL 接入節(jié)點和樓棟交換機，且由其接入用戶數(shù)的多少其重要性也有區(qū)別 。 表 2 資產(chǎn) 重要性列表 序號 資產(chǎn) 名稱 資產(chǎn)類型 重要性等級 1 大中型 ADSL接入節(jié)點 硬件 高 6 軟件：軟件版本文件 高 重要數(shù)據(jù)： 端口配置數(shù)據(jù)以及速率模板配置等 高 提供的服務(wù) 低 文檔 中 人員 中 網(wǎng)絡(luò)拓撲 中 2 小型 ADSL接入節(jié)點以及樓棟交換機 硬件 中 軟件：軟件版本文件 中 重要數(shù)據(jù)： 用戶接入端口數(shù)據(jù)配置以及速率模板 中 提供的服務(wù) 低 文檔 低 維護人員 低 網(wǎng)絡(luò)拓撲 低 3 威脅 分析 IP 城域網(wǎng) 的威脅根據(jù)來源 可分為 技術(shù)威脅、 環(huán)境威脅 、 人為威脅 和 其他威脅 。環(huán)境 威脅 包括自然界不可抗的 威脅 和其它物理 威脅 。根據(jù)威脅的動機，人為 威脅 又可分為惡意和非惡意兩種。 1、 人為威脅 1） 非惡意人為威脅：維護人員的操作不當，從而影響到設(shè)備的正常運行。為了防止該現(xiàn)象發(fā)生，在設(shè)備升級、業(yè)務(wù)割接前應(yīng)準備好詳細的升級和割接方案，一旦升級、割接失敗則立即啟用回退方案；嚴格落實局數(shù)據(jù)修改規(guī)范，落實雙人制度：1 人操作， 1 人檢查，防止誤操作。 嚴格控制操作人員權(quán)限，不具備操作技能的人 7 員不給于權(quán)限。 2） 惡意人為威脅：人為的惡意攻擊、導致設(shè)備癱瘓。為了防止此類現(xiàn)象發(fā)生，已在設(shè)備上設(shè)置帳號 密碼， 一級接入?yún)R聚交換機 采用 1 人 1 個帳號的原則， 在接入控制層 啟用防護策略 拒絕一切非法 IP 的訪問以及關(guān)閉一切沒必要的端口 ，嚴格落實設(shè)備數(shù)據(jù)配置規(guī)范，關(guān)閉不必要的服務(wù)， 通過訪問控制列表精細控制不同應(yīng)用類型的訪問設(shè)備的源地址及其訪問權(quán)限。 此外，應(yīng)在城域網(wǎng)中部署一臺流量清洗設(shè)備，來有效過濾網(wǎng)絡(luò)中的惡意流量。 同時做好機房的“四防”工作。 2、 技術(shù)威脅 設(shè)備硬件問題和軟件 BUG 造成設(shè)備性能下降，影響網(wǎng)絡(luò)運行，為防止該類現(xiàn)象發(fā)生，需采用 IP 綜合網(wǎng)管平臺對設(shè)備和網(wǎng)絡(luò) 運行情況進行監(jiān)控，同時要求各設(shè)備廠家維護人員定期對 一級接入 匯聚 設(shè)備進行巡檢，廠家發(fā)現(xiàn)軟、硬件的 BUG 和隱患應(yīng)及時告知局方，并采取有效措施予以規(guī)避和解決。 3、 環(huán)境威脅 1） 自然界不可抗的威脅： IP 承載網(wǎng) 接入 層 一、二級接入?yún)R聚設(shè)備以及大中型 ADSL接入節(jié)點均部署在電信機房，遭遇雷擊 的可能性極小 ，部分三級接入?yún)R聚交換機以及小型 ADSL 節(jié)點與樓棟交換機部署在比較簡易的機房或者用戶樓層內(nèi)，面臨雷擊威脅，為防止或者盡量降低該類危險造成的損失，每年會對雷區(qū)設(shè)備進行清查統(tǒng)計，并作好防雷工作 ； 2） 其他物理威脅：機房環(huán)境溫度造成設(shè)備出現(xiàn)異常，需利用動環(huán)監(jiān)控系統(tǒng)，實時監(jiān)控機房環(huán)境溫 度， 嚴格控制好通信機房的環(huán)境溫濕度； 此外，利用 IP 綜合網(wǎng)管的告警平臺， 對設(shè)備溫度進行實時告警，發(fā)現(xiàn)異常，立即進行處理 ；小型 ADSL以及樓棟交換機等節(jié)點，大量部署在戶外機柜或者樓宇內(nèi)，存在環(huán)境溫度以及電源不穩(wěn)定等威脅，對此，利用 IP 綜合網(wǎng)管告警平臺，監(jiān)視 節(jié)點的運行情況，發(fā)現(xiàn)異常，立即派維護人員現(xiàn)場排查。 IP 城域網(wǎng) 接入層 的威脅分析 如下： 3.1 接入?yún)R聚節(jié)點 1、 一級接入?yún)R聚節(jié)點 ： 1）、 自然界不可抗力的威脅： 一級接入?yún)R聚節(jié)點 設(shè)備 一般 放置在 市縣局 通信樞紐樓，房屋結(jié)構(gòu)結(jié)實，地勢 較高，并且按照通信樓的建設(shè)標準安裝了多級 防雷設(shè)施，機房抗震、防雷、防洪等性能都較強，受自然界不可抗力的威脅較低。 2）、 其他物理威脅（環(huán)境威脅）： 一級接入?yún)R聚節(jié)點設(shè)備所處 機房 環(huán)境溫濕度符合要求，密封性好，不存在相關(guān)威脅。 8 3）、 惡意和非惡意人為威脅：考慮設(shè)備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手 段越來越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時有發(fā)生，而由于該設(shè)備作為城域網(wǎng)網(wǎng)絡(luò)設(shè)備管理的中轉(zhuǎn)節(jié)點，尚未在城域網(wǎng)絡(luò)上做有效的防護措施 ，因而我們認為其受惡意和非惡意 人為威脅的可能性比較大，定義威脅等級 為“高 ”級。 4）、 其他威脅： 低 2、 二級接入?yún)R聚節(jié)點 ： 1） 自然界不可抗力的威脅： 二級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng)重要的接入網(wǎng)機房，該類機房 房屋結(jié)構(gòu)結(jié)實，并且按照 接入網(wǎng)機房 的建設(shè)標準安裝了防雷設(shè)施，機房防雷性能都較強。 2） 其他物理威脅（環(huán)境威脅）： 該類 機房 只有部分配備了 空調(diào)， 監(jiān)控手段還不是很完善，而且由于維護人員緊張，目前機房的定期巡檢難以落實，工程隨工也不到位、機房的現(xiàn)場管理水平還較低，機房環(huán)境難以滿足通信要求和規(guī)范，對設(shè)備運行造成一定的威脅。 3） 惡意和非惡意人為威脅：考慮設(shè)備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣，網(wǎng)絡(luò)病毒 、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時有發(fā)生，而目前 在相關(guān)的 BAS 上針對網(wǎng)絡(luò)設(shè)備管理地址設(shè)置了訪問控制，只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關(guān)端口的訪問權(quán)限，同 時設(shè)備本身配置遠程管理登陸賬號和密碼。但是由于該類設(shè)備大多部署在 無人值守接入網(wǎng)機房， 目前機房的現(xiàn)場管理水平還有一定的差距，對設(shè)備來說存在一定的惡意和非惡意認為威脅性 。 4） 其他威脅： 3、三級接入?yún)R聚節(jié)點： 1） 自然界不可抗力的威脅： 三 級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng) 偏遠 的接入網(wǎng)機房，該類機房房屋結(jié)構(gòu) 一般 ， 部署了 一定能力的防雷措施，該類機房 對抗自然界不可抗拒力的威脅能力一般。 2） 其他物理威脅（環(huán)境威脅）：機房 部分 配備空調(diào) ，且空調(diào)性能一般 ， 物理環(huán)境相對較惡劣 ， 具有較大的環(huán)境威脅 。 3）惡意和非惡意人為威脅：考慮設(shè)備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境日益復雜和惡劣，網(wǎng)絡(luò)病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡(luò)安全事件時有發(fā)生，而目前在相關(guān)的 BAS 上針對網(wǎng)絡(luò)設(shè)備管理地址設(shè)置了訪問控制，只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關(guān)端口的訪問權(quán)限，同時設(shè)備本身配置遠程管理登陸賬號和密碼。但是由于該類設(shè)備大多部署 在 無人值守接入網(wǎng)機房 ，且防盜防暴等 9 措施一般 ， 存在一定的威脅性 。 4） 其他威脅： 低 4、邊緣接入節(jié)點： 邊緣接入節(jié)點主要是指在偏遠鄉(xiāng)鎮(zhèn)接入網(wǎng)機房、行政村接入網(wǎng)點、室外機柜、樓宇內(nèi)的交換機、 DSLAM 或 ONU等設(shè)備。 這類節(jié)點物理 環(huán)境相對較惡劣 ，其 防雷防潮性能一般，抗自然災(zāi)害能力 、防破壞 能力都 較弱。但是該類節(jié)點用戶量 少且和用戶 質(zhì)量較差 ，節(jié)點眾多，要改善相關(guān)環(huán)境投入成本較高，收益不明顯。 序號 資產(chǎn)名稱 面臨威脅類型 威脅可能性等級 1 一級接入?yún)R聚節(jié)點 設(shè)備（包括匯聚交換機、 DSLAM、 OLT等設(shè)備） 自然界不可抗的威脅 低 其它物理威脅（環(huán)境威脅 ） 低 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 2 二級接入?yún)R聚節(jié)點 （包括匯聚交換機、DSLAM、 OLT等設(shè)備） 自然界不可抗的威脅 中 其它物理威脅（環(huán)境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 3 三級接入?yún)R聚節(jié)點 （包括匯聚交換機、DSLAM、 OLT等設(shè)備） 自然界不可抗的威脅（環(huán)境威脅） 中 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 中 4 邊緣接入節(jié)點（ DSLAM、接入交換機、 自然界不可抗的威脅 高 10 樓層交換機、 ONU等設(shè)備） 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 低 4 脆弱性 和風險 分析 IP 接入網(wǎng) 的脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面 ，技術(shù)脆弱性又可分為業(yè)務(wù) /應(yīng)用、網(wǎng)絡(luò)、設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫）、 物理環(huán)境等方面的脆弱性 。脆弱性識別對象應(yīng)以資產(chǎn)為核心。 吉安 IP 城域 網(wǎng) 接入網(wǎng) 的 脆弱性 分析 如下： 一、技術(shù)脆弱性 4.1 一級匯聚 層 1、 市本部 81 局、新干、永豐、吉水、吉安縣、安福、永新、井岡山、泰和、遂川 中心局一級匯聚交換機 6503 設(shè)備 和峽江、萬安 6506R設(shè)備 主控卡均為單配， 一旦該控制卡發(fā)生故障，將導致整個設(shè)備中斷，中斷整個 IP 端局的寬帶業(yè)務(wù)， 存在嚴重的單板隱患。 除峽江、萬安 6506 可增配一塊主控板，進行主備冗余外，其他節(jié)點的設(shè)備無法解決單板隱患，因為 6503 只能單主控板運行，只能通過分擔業(yè)務(wù)減輕隱患的影響的程度。 2、 目前全市所有的一級匯聚設(shè)備至 BRAS 和 SR設(shè)備的上行鏈路均只有 1 條，存在單鏈隱患。 3、新干、永豐、吉水、安福、永新 目前只設(shè)有一個一級匯聚點， 全縣的業(yè)務(wù)集中由該匯聚交換機承載，存在較大的單 點隱患 ，可在下半年或明年的接入網(wǎng)優(yōu)化、擴容工程中 建設(shè)第二一級匯聚節(jié)點或設(shè)備予以解決。 4、 一級接入?yún)R聚設(shè)備 S9300 系列交換機，基于端口的靈活 qinq 部署，存在內(nèi)層vlan 數(shù)的限制，致使業(yè)務(wù)的配置復雜化，增大了日常的維護工作量，以及排查故障的難度。廠家反映能通過升級軟件版本的方法解決，但是目前無成熟版本。 S6500系列交換機對靈活 qinq 的支持不僅不成熟，而且存在廣播復制、流量復制等問題存在安全隱患。 4.2 二、三級匯聚 層 1、 目前所有的 EPON OLT設(shè)備主控板為單配， 存在單板隱患，同時其上行鏈路一般只有 1 條， 為單鏈路。 11 2、 所有的二級匯聚設(shè)備均為裸光纖單鏈傳輸，無任何保護措施，傳輸可靠性差。此問題由于涉及新技術(shù)的引用和接入網(wǎng)網(wǎng)絡(luò)架構(gòu)的 重新 設(shè)計與規(guī)劃，且建設(shè)成本較高， 需從長計議。 3、 部分三級匯聚設(shè)備性能低，負荷重，不能滿足網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展 的 需要 ， 具體設(shè)備情況見附件。 4.3 邊緣接入層 1、目前所有的大型 DSLAM 設(shè)備主控板均為單配，一旦發(fā)生故障，不僅導致整個設(shè)備的業(yè)務(wù)中斷，而且由于更換板卡，數(shù)據(jù)也全部丟失，恢復起來時間長且容易丟失用戶屬性數(shù)據(jù)。 2、 部分 DSLAM 設(shè)備風扇已損壞，導致設(shè)備溫度過高而引發(fā)故障。 具體 設(shè)備詳見附件。 3、部分 大型 DSLAM， 如 阿爾卡特 7300、中興 ZX8210 等設(shè)備使用年限達 7-8 年，設(shè)備老化 現(xiàn)象嚴重 ， 故障發(fā)生頻繁， 影響用戶感知 ，可考慮將該類設(shè)備 進行 退網(wǎng) 。目前全市共有 ZX8210 共 22 臺，各個縣市均有 1-2 臺； 7300 設(shè)備 17 臺，其中泰和 1 臺，吉安市 16 臺。 4、 各類 DSLAM 設(shè)備的軟件版本和板卡硬件版本不統(tǒng)一，有些甚至存在 BUG，需統(tǒng)一進行升級。 5、樓層 BAN 箱、室外機柜存在門鎖損壞、布線凌亂、未接地或接地不規(guī)范、電源插座不牢固等問題，均不同程度地引發(fā)設(shè)備故障、用戶故障，需加以整治。 6、 EPON 網(wǎng)絡(luò)存在工程建設(shè)不規(guī)范、設(shè)備性能不穩(wěn)定、業(yè)務(wù)技術(shù)支持能力不足、網(wǎng)管系統(tǒng)功能不完善等問題，需加以整治和改進。 二、管理脆弱性 1、 作業(yè)計劃流于形式，執(zhí)行不到位，導致設(shè)備表面、風扇過濾網(wǎng)灰塵過多 而 引發(fā)故障；設(shè)備數(shù)據(jù)未定期備份，尤其是一些大型 DSLAM 的數(shù)據(jù)，各縣市基本未做備份，一旦出現(xiàn)主控板等故障，將無法迅速恢復數(shù)據(jù)，影響故障修復速度，同時冗余丟失數(shù)據(jù)，影響用戶上網(wǎng)。 設(shè)備日常監(jiān)視、巡檢工作落實不到位，以致發(fā)生告警和故障隱患不能及時發(fā)現(xiàn)和處理。 2、 部分新建 的 接入網(wǎng)點，機房封閉， 無窗戶， 且無空調(diào)以 及相關(guān)通風換氣系統(tǒng)，部分老機房要么未安裝空調(diào)、要么空調(diào)和通風換氣設(shè)施不能正常運轉(zhuǎn)， 導致機房環(huán)境 溫濕度不符合要求，空氣質(zhì)量差、靜電多 ； 不僅 僅影響了工作人員的現(xiàn)場工作效率，更影響設(shè)備的正常運行，加速了設(shè)備的損耗速度，需加以整 治。 12 3、 由于人員不足，且工程周期短，往往工程已竣工就馬上開放業(yè)務(wù)，工程隨工、驗收等工作嚴重缺失，導致工程建設(shè)不規(guī)范，留下很多遺留問題 在維護工作中不斷補漏、優(yōu)化，不僅使維護工作不斷處于應(yīng)對局面，降低維護工作效率，更重要是降低網(wǎng)絡(luò)質(zhì)量、影響感知。 4、接入網(wǎng)設(shè)備普遍存在數(shù)據(jù)配置不嚴謹、規(guī)范，如 設(shè)備、電路命名或描述不規(guī)范、冗余數(shù)據(jù)較多、重要參數(shù)選擇不正確等，需進行全面梳理和整改。 5、設(shè)備、電路標簽標識不規(guī)范，資料未及時在 CRM 系統(tǒng)、 IP 綜合網(wǎng)管系統(tǒng)更新。 6、接入層面設(shè)備的備品備件不足，尤其是 EPON 設(shè)備，嚴重影響日常故障的及時修復。 5 已 采取的安全 措施 1、 為解決備品備件不足問題，省、市公司已著手購買一批備品備件。 2、 市本部上半年已開展了樓層 BAN 箱的整治，目前已將門鎖的問題、接地、電源問題將基本處理和解決，但布線整治由于涉及幾個部門的配合及工作量較大而基本未開展。 3、 已經(jīng)制定詳盡的城域網(wǎng)業(yè) 務(wù)承載和數(shù)據(jù)配置規(guī)范、相關(guān)工程規(guī)范，準備近期下發(fā)執(zhí)行。 6 風險處置計劃及整改情況 對于在檢查過程中可通過整改消除的風險，企業(yè)應(yīng)及時整改，并說明整改情況。 序號 網(wǎng)絡(luò)風險 處置計劃 責任部門 預期效果 實施條件 計劃進度 1 一級匯聚設(shè)備上行鏈路 單鏈隱患 通過鏈路捆綁的方式將上行單鏈路改為聚合鏈路上行 網(wǎng)維中心 、各縣市 提高 一級匯聚交換機上行鏈路傳輸 可靠性 ，消除 單鏈隱患。 一級匯聚交換機和 BAS、 SR設(shè)備上有足夠的前兆端口及相關(guān)光模塊。 9 月底前 2 峽 江 、 萬 安6506R 單主控板隱患 增配一塊主控板 網(wǎng)維 中心 、建設(shè)中心 實現(xiàn)主控板的主備冗 余保護，解決此兩臺設(shè)備的單主控板隱患。 購置兩塊同型號的主控板 10 月中旬前 3 EPON OLT 設(shè) 考慮設(shè)備的重 建設(shè)中心、 網(wǎng) 實現(xiàn) OLT 設(shè)備 購置 20塊左右 年底 13 備主控單配問題 要性，針對一級 匯 聚點 的OLT 設(shè)備每臺設(shè)備增配 1 塊主控板 維中心、各縣市 主控板熱備冗余保護。 的主控板 4 新干、永豐、吉水、安福、永新單一級匯聚節(jié)點設(shè)置問題 建設(shè)第二個一級匯聚節(jié)點或設(shè)備 建設(shè)中心、 網(wǎng)維中心 、相關(guān)縣市 減輕單點隱患 建設(shè)資金 2010 年接入網(wǎng)優(yōu)化工程，大約在 10 年 3 月底前 5 部 分三級匯聚設(shè)備性能低問題 采取調(diào)配或新建的方式，將設(shè)備更換成更高性能的設(shè)備 建設(shè)中心、 網(wǎng)維中心 、各縣市 提 高 設(shè)備 性能，滿足業(yè)務(wù)、網(wǎng)絡(luò)發(fā)展需求 有設(shè)備可調(diào)配或新購設(shè)備 年底 6 部分大型DSLAM 設(shè)備主控板單配問題 對承載用戶數(shù)超過 400 的DSLAM 設(shè)備增配備用控制卡 建設(shè)中心、 網(wǎng)維中心 、各縣市 提高設(shè)備運行穩(wěn)定性 建設(shè)投資 2010 年上半年 7 部分 DSLAM設(shè)備風扇損壞問題 開展 DSLAM設(shè)備全面巡檢工作，重點檢查設(shè)備風扇、板 卡 故障 隱患，發(fā)現(xiàn)問題予以維修 網(wǎng)維中心、各縣市 提高 DSLAM設(shè)備運行穩(wěn)