中國電信吉安分公司固定通信網(wǎng)安全風險評估報告

知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 中國電信 江西 省 吉安市 固定通信網(wǎng) 安全風險評估報告 中國電信 吉安分 公司 二 00九 年 七 月 評估對象： 吉安純匯、 SHLR、 TS、 網(wǎng)關(guān)、 TG9000、端局 評估單位： 吉安電信 網(wǎng)絡(luò) 維護安裝中心 評估日期： 2009 年 月 日 31 日 編號： CTSEC-JIANGXI -01-200907） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC）-?。ㄈ绾睘?HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： CTSEC-JIANGXI -01-200907） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC）-?。ㄈ绾睘?HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： CTSEC-JIANGXI -01-200907） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC）-?。ㄈ绾睘?HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： CTSEC-JIANGXI -01-200907） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC）-省（如湖北為 HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： CTSEC-JIANGXI -01-200907） 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 概述 1.1 目的 . 2 1.2 內(nèi)容及范圍 . 2 1.3 風險評估方法 . 4 1.4 評估依據(jù) . 4 2 資產(chǎn)分析 2.1 本地網(wǎng) . 5 2.2 省內(nèi)長途網(wǎng) . 6 3 威脅分析 7 3.1 本地網(wǎng) . 8 3.2 省內(nèi)長途網(wǎng) . 4 脆弱性分析 9 4.1 本地網(wǎng) . 10 4.2 省內(nèi)長途網(wǎng) . 11 5 已有安全措施 6 安全風險分析 7 風險處置計劃及整改情況 8 總結(jié) 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文 檔信息 文檔名稱 江西吉安固定通信網(wǎng)安全風險評估 文件編號 CTSEC-JIANGXI -01-200907 編制人 李愛碧 保密級別 企業(yè)秘密 修改過程 版本號 日期 負責人 概述 V1.0 20090731 李愛碧 V2.0 20080808 李愛碧 評審過程 版本號 日期 評審者 概述 分發(fā)范圍知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 概述 1.1 目的 為全面梳理吉安 交換 網(wǎng)絡(luò)安全運營的薄弱環(huán) 節(jié)，落實防護措施，消除安全隱患，并 切實 為國慶 60 周年網(wǎng)絡(luò)安全保障 做好準備 ， 組織 開展 吉安交換本地網(wǎng) 的網(wǎng)絡(luò)安全檢查及評估。 通過此次檢查評估，全面掌握吉安 C本地網(wǎng)核心設(shè)備 ：純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000、端局等設(shè)備的整體運行情況，及時提出整改 計劃及 措施， 消除 隱患 ，提高吉安 本地交換網(wǎng) 整體安全防護水平。 1.2 內(nèi)容及范圍 評估對象： 吉安 C本地網(wǎng)核心設(shè)備：純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000、37 個 端局 網(wǎng)絡(luò)結(jié)構(gòu)及組網(wǎng)分析 ： 目前吉安本地網(wǎng)由純匯局匯接吉安市、吉水縣、新干縣、永新縣、永豐 縣、萬安縣、泰和縣、遂川縣、井岡山市、峽江縣、安?？h、吉安縣等 12 個縣市端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù)、市話話務(wù)和智能業(yè)務(wù)，匯接C 網(wǎng)打電信本地固話、 C 網(wǎng)打固話長途及軟交換打省際長途業(yè)務(wù)。 吉安市 C3 本地網(wǎng)范圍內(nèi)現(xiàn)有 2 個本地純匯接局 (大樓純匯、河東純匯 )、 1個長途局 、 1 個 TG9000、 1 個 C 網(wǎng) MGW、 1 個 PHS、 1 個網(wǎng)關(guān)局 、 2 個 LSTP、 2 個SHLR、 2 個 LSTP、 37 個端局。純匯局對端局、 C 網(wǎng) MGW、軟交換（ TG9000）、網(wǎng)關(guān)、 TS 采用雙匯接、全覆蓋的組網(wǎng)形式。七號信令方式為準直聯(lián)，純匯局 與 C網(wǎng) MGW 和軟交換 TG9000 開設(shè)了直鏈。純匯局采用了雙匯接，可靠性較高。 同時，設(shè)置了大樓、河東兩套 SHLR（綜合用戶屬性數(shù)據(jù)庫），分別與純匯和軟交換網(wǎng)絡(luò)互連，實現(xiàn)了新業(yè)務(wù)在全網(wǎng)的統(tǒng)一開展，這兩套 SHLR 采用了同步校對機制，保證了數(shù)據(jù)的一致性；長途局、網(wǎng)關(guān)局、 C 網(wǎng)、各農(nóng)市話端局分別和大樓 MS1、河東 MS2 開通直達中繼相連； 2 個純匯接局之間設(shè)置有過橋中繼，網(wǎng)關(guān)局與長途局開有直達中繼。 吉安交換網(wǎng)話路和信令拓撲圖如下： 3 4 長途局采用 S1240 設(shè)備，與本地網(wǎng)的純匯局、網(wǎng)關(guān)局、省內(nèi)各本地網(wǎng) TS 及部分話務(wù)量較高的省際 TS 設(shè)置直達中繼，用來疏通出入吉安的長途話務(wù)，并作為省內(nèi) SSP，與省內(nèi) SCP 配合實現(xiàn) 小靈通預付費 、 17909 等智能業(yè)務(wù)。單節(jié)點配置。 關(guān)口局采用 華為設(shè)備，與本地網(wǎng)純匯局、 TS、其它運營商及南昌 TS2 開通直達中繼，用來疏通其它運營商出入吉安的網(wǎng)間話務(wù)。將與新建的綜合網(wǎng)關(guān)局雙節(jié)點配置，分別設(shè)置在大樓二樓機房和河東三樓機房。 軟交換 TG9000 主要用來疏通軟交換用戶與 PSTN、 C 網(wǎng)、 PHS 間的話務(wù)，同時也承擔了 30%的省內(nèi)長途話務(wù)。 吉安本地網(wǎng)端局共有 37 個，機型包括 S1240、 ZXJ10、 C&C08、 DSM100、大唐五種，每個端局都與兩個純匯局開通直達話路，用于疏通端局內(nèi)部及出入端局的所有話務(wù)。 交換機使用年限表 （含 1 個 長途、 1 個 網(wǎng)關(guān)、 2 個 純匯）。 運行時間 DMS100 S1240 ZXJ10 C&C08 SP30 1-5 年 2 6-9 年 1 10 年以上 2 11 4 21 2 為確保吉安本地交換網(wǎng)絡(luò)安全， 本次評估將從吉安 C本地網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、硬件環(huán)境、設(shè)備、資源、話務(wù)、容災措施和維護管理等幾個方面進行風險評估。 1.3 風險評估方法 本次風險評估采取的評估方式有：查閱文檔、咨詢廠家、測試、 遠程巡檢、現(xiàn)場 檢查 、 維護人員集中討論、分析等。通過對 C本地網(wǎng) 的資產(chǎn)識別、脆弱性識別、威脅識別等步驟來進行評估。 1.4 評估依據(jù) 本次安全風險評估參考的標準為安全防護系列標準， 本地網(wǎng)目前網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備情況，承載的業(yè)務(wù)， 核心設(shè)備日常維護要求等。 5 2 資產(chǎn)分析 吉安本地網(wǎng)范圍內(nèi)現(xiàn)有 2 個本地純匯接局 (大樓純匯、河東純匯 )、 1 個 長途局 、 1 個 TG9000、 1 個 C 網(wǎng) MGW、 1 個 PHS、 1 個網(wǎng)關(guān)局 、 2 個 LSTP、 2 個 SHLR、2 個 LSTP、 37 個端局。 網(wǎng)絡(luò)核心節(jié)點是本地網(wǎng)大樓純匯和河東純匯，由這兩個核心節(jié)點實現(xiàn)全網(wǎng)PSTN、 PHS、 C 網(wǎng)話務(wù)的匯接以及通過 MSG9000（ TG/SG）實現(xiàn)了軟交換與 PSTN 網(wǎng)絡(luò)的互通匯接。 2.1 本地網(wǎng) 吉安 2 個純匯作為本地網(wǎng)固話業(yè)務(wù)核心承載設(shè)備，匯接了本地網(wǎng)端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù) 、 市話話務(wù)和智能業(yè)務(wù)、 C 網(wǎng)話務(wù)， 因此具有非常高的重要性。 網(wǎng)關(guān)做為與異網(wǎng)互聯(lián)互通設(shè)備，其重要性也非常 高。 軟交換做為固網(wǎng)設(shè)備更新的方向，其重要性也高。 目前 PSTN 端局所有話務(wù)都要上純匯匯接，端局的計費采集點已經(jīng)上收至純匯，端局僅作為用戶的接入設(shè)備，由于 PSTN 端局開通較早，還承載了政府、金融等重要客戶的電話，其重要性為中。 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 純匯 設(shè)備硬件 高 設(shè)備軟件 高 重要數(shù)據(jù) 高 提供的服務(wù) 高 維護人員 高 網(wǎng)絡(luò)拓撲 高 碼號資源 高 文檔 高 其它 高 2 SHLR 設(shè)備硬件 高 設(shè)備軟件 高 重要數(shù)據(jù) 高 提供的服務(wù) 高 維護人員 中 網(wǎng)絡(luò)拓撲 高 碼號資源 中 6 文檔 中 其它 低 3 網(wǎng)關(guān) 設(shè)備硬件 高 設(shè)備軟件 高 重要數(shù)據(jù) 高 提供的服務(wù) 高 維護人員 中 網(wǎng)絡(luò)拓撲 高 碼號資源 中 文檔 中 其它 低 4 軟交換 設(shè)備硬件 高 設(shè)備軟件 高 重要數(shù)據(jù) 高 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 中 文檔 中 其它 中 5 端局 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 中 文檔 中 其它 中 2.2 省內(nèi)長途網(wǎng) 吉安長途交換機主要用來疏通吉安的長途出入話務(wù)，目前在純匯通過 省內(nèi)軟交換 TG9000 和骨干 TG 分流了 30%的長途話務(wù)，從網(wǎng)絡(luò)結(jié)構(gòu)的演進看，長途交換機可以省去，各端局的長途業(yè)務(wù)通過純匯匯接后，可直接全部通過省內(nèi)軟交換TG9000 和骨干 TG 承載，省公司將統(tǒng)一部署 TS 退網(wǎng)，其重要性列為中。 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 長途局 設(shè)備硬 件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 7 3 威脅分析 1）環(huán)境威脅 ： 自然界不可抗的威脅：吉安所處地理位置發(fā)生地震、泥石流、洪澇等自然災害的可能性極小，設(shè)備放置的通信機房做好了防雷防震措施，核心機房、端局機房接地都很好，因此遇雷擊、遭洪澇的可能性極小，抗震能力也較強； 其他環(huán)境威脅 ：機房環(huán)境溫濕度 都按要求設(shè)置， 對設(shè)備產(chǎn)生影響 較 小 ， 所有端局以上的 機房 都 已安裝動環(huán)監(jiān)控系統(tǒng)， 一有停電、溫濕度過高都會及時發(fā)出聲音告警，值班人員可利在動環(huán)網(wǎng)管監(jiān)控 平臺遠程 查看告警 ， 如有異常，立即會通知相關(guān)人員排查 。 2）人為威脅 ： 非惡意人為威脅：維護人員需經(jīng)過專業(yè)的培訓方能擔當該設(shè)備的維護角色。目前市級的核心設(shè)備維護人員都經(jīng)過廠家正規(guī)培訓，也設(shè)置了 A、 B 角。但縣級端局設(shè)備的 維護人員 技術(shù)能力良莠不齊 ，專業(yè)的維護人員極少， 維護人員的不正確操作將影響設(shè)備的正常運行。維護人員的技術(shù)技能低下，也將影響緊急故障處理。 為了防止該現(xiàn)象發(fā)生， 需 加強縣級維護人員的技術(shù)培訓，另外在設(shè)備升級、業(yè)務(wù) 割接前要做好詳細的升級和割接測試方案，一旦升級、割接失敗則立即啟用回退方案；嚴格落實局數(shù)據(jù)修改規(guī)范，落實雙人制度： 1 人操作， 1 人檢查，防止誤操作。嚴格控制操作人員權(quán)限，不具備操作技能的人員不給予權(quán)限。 惡意人為威脅：人為的惡意攻擊將導致設(shè)備癱瘓。為了防止此類現(xiàn)象發(fā)生，已在設(shè)備上設(shè)置登陸帳號密碼，采用 1 人 1 個帳號的原則，同時啟用防護策略封堵一些常見的病毒端口及通過安裝正版殺毒軟件來定期對設(shè)備查殺病毒。 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 中 文檔 中 其它 中 8 3）其他威脅： 設(shè)備硬件和軟件問題將造成設(shè)備性能下降，影響網(wǎng)絡(luò)運行。為防止此類現(xiàn)象發(fā)生，已采用網(wǎng)管平臺對設(shè)備 和網(wǎng)絡(luò)運行情況進行實時監(jiān)控，同時要求各設(shè)備廠家維護人員定期對設(shè)備進行巡檢。此外，局方在運行中發(fā)現(xiàn)不可預見性的軟、硬件問題和隱患應(yīng)及時告知廠家，并責其盡快采取有效措施予以規(guī)避和解決。 3.1 本地網(wǎng) 根據(jù)以上分析得出吉安 C3 本地網(wǎng)的 威脅性等級如下： 序號 資產(chǎn)名稱 面臨的威脅類型 威脅可能性等級 1 純匯局 、TG9000 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 低 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 2 SHLR 自然界不可抗的威 脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 低 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 3 關(guān)口局 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 低 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 4 端局 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 低 惡意人為威脅 低 非惡意人為威脅 中 其它威脅 低 9 3.2 省內(nèi)長途網(wǎng) 序號 資產(chǎn)名稱 面臨的威脅類型 威脅可能性等級 1 長途局 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 低 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 4 脆弱性分析 吉安 C3 本地網(wǎng) 脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面 ： 1） 技術(shù)脆弱性： 吉安 C本地網(wǎng)純匯 、 SHLR 設(shè)備是國內(nèi)大型設(shè)備提供商中興公司生產(chǎn)，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強的保障， 純匯 、 SHLR 設(shè)備操作網(wǎng)管、計費 后臺服務(wù)器為 DELL 服務(wù)器， 能滿足日常業(yè)務(wù)功能需求， 操作系統(tǒng)為 WINDOWS 2003 SERVER，數(shù)據(jù)庫為 SQL2005 版本。 吉安網(wǎng)關(guān)設(shè)備是國內(nèi)大型設(shè)備提供商華為公司生產(chǎn)，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強的保障， 但 應(yīng)急工作站和 BAM 服務(wù)器運行年限已久， 性能低下， 希望有性能更高的終端或服務(wù)器進行替代。 吉安 TS 設(shè)備是上海貝爾生產(chǎn)，屬中外合資，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強的保障，其模塊功能采用全分散方式，沒有后臺服務(wù)器，只有操作終端。 軟交換 TG9000、大部分 AG、 IAD,軟交換網(wǎng)管都是中興設(shè)備，目前在軟交換網(wǎng)管對 TG9000、中興 AG、 IAD 有告警都沒聲音提示，需要維護人員不定時的在網(wǎng)管上下命令查看告警或查看退服的 AG.、 IAD，如果值班人員忙很難及時監(jiān)控的退服的設(shè)備，存在安全隱患。 吉安大樓 MF、河東 MF 網(wǎng)管系統(tǒng)沒有聲音告警 存在安全隱患 。 S1240 端局 板件 告警 在監(jiān)控機房的本地交換網(wǎng)管系統(tǒng)不能完全確切體現(xiàn)，需要值班人員或維護人員不定期通過網(wǎng)管巡視，存在安全隱患。 端局 DMS100、大唐設(shè)備已做退網(wǎng)計劃，部分 S1240、 CC08 也運行年限已久，面臨設(shè)備老化，存在安全隱患。 2）管理脆弱性： 10 純匯 、 SHLR、網(wǎng)關(guān)、 TS 等核心 設(shè) 備采用包機到人的維護模式，設(shè)置了維護 A、B 角， 對人為的操作導致設(shè)備故障或設(shè)備癱瘓將追究相關(guān)責任人責任。對 A、 B角都送至廠家進行正規(guī)培訓，培訓回來還采取師傅帶徒弟的方式進行實踐操作。設(shè)備重大操作 嚴格按 要求 審批，待上級 領(lǐng)導審批同意后方可執(zhí)行。 每次 重大操作都有詳細 操作方案及回退方案，操作時 要求局方人員在場，廠家操作也需遵循 1人操作 1 人檢查要求。維護人員嚴格 按維護規(guī)程要求對設(shè)備進行維護，并制作 填寫維護作業(yè)計劃。對于可預見性 影響設(shè)備運行能力或服務(wù)的問題， 都會要求廠家提出整改計劃，并有專人進行問題跟蹤 。 4.1 本地網(wǎng) 根據(jù)以上分析得出吉安 C3 本地網(wǎng)的 脆弱性等級如下： 序號 資產(chǎn)名稱 脆弱性類型 脆弱性嚴重 程度等級 1 純匯局/SHLR 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 低 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 2 TG9000 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 低 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 中 物理環(huán)境（技術(shù) 脆弱性） 低 管理脆弱性 低 3 關(guān)口局 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 低 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 中 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 4 端局 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 11 4.2 省內(nèi)長途網(wǎng) 序號 資產(chǎn) 名稱 脆弱性類型 脆弱性嚴重 程度等級 1 長途網(wǎng) 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 低 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 5 已有安全措施 列出已有安全措施 一、 通信網(wǎng)絡(luò)安全管理制度 機房出入管理制度：進出 純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 等所有核心機房嚴格執(zhí)行了機房出入管理制度。外來人員進入機房 都要到安保部門進行審批 。 內(nèi)部人員進出機房填寫機房出入登記表 。 機房巡視檢查 ： 純匯、 SHLR、 TG9000 在同一機房，網(wǎng)關(guān)、 TS 分別 在河東綜合機房和大樓二樓通信機房，這三個機房為核心機房，做到每天 巡檢一次。 環(huán)境監(jiān)控手段 ： 通過 動力環(huán)境監(jiān)控系統(tǒng)在網(wǎng)監(jiān)機房 對對 純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 核心機房的環(huán)境溫濕度，煙感，水浸等進行遠程監(jiān)控。 密碼管理策略 ： 純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 的網(wǎng)管維護賬號 按操作維護等級設(shè)置相應(yīng)的操作權(quán)限，帳號 密碼 做到 每季度更新一次，遇有維護人員變更 時，及時增刪帳號。 維護管理制度（值守、值班、維護作業(yè) 計劃等） ： 根據(jù)設(shè)備例行維護 要求制定并執(zhí)行了交換機的日、周、月等作業(yè)計劃，每月有小結(jié)和審核。 針對所有交換機制定了包機包區(qū)責任制，使交換機各項維護都有專人負責，并分配了 A、 B 角，重要設(shè)備更配備了 C 角。 12 定期制作計費帶、后備帶，并貼有記錄文件內(nèi)容 、制作時間、制作人的詳細標簽，重要設(shè)備的后備帶做到異地備份 。 定期進行交換機時鐘校對工作，確保交換機時間與北京時間不超過正負 3秒，并做好記錄。 認真執(zhí)行 純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 交換設(shè)備例測作業(yè)計劃，對例測未通過的告警及時處理、清除，做到防患于未然。 對交換機各類告警，網(wǎng)絡(luò)監(jiān)控值班人員 基本上能在第一時間內(nèi)發(fā)現(xiàn)并進行預處理，處理未恢復則根據(jù)故障的級別通過省綜合化電子派單系統(tǒng)進行派單和跟蹤，確保故障及時修復。 堅持 編寫網(wǎng)絡(luò)運行周報，每周對網(wǎng)絡(luò)安全、運行情況進行分析、通報。 全市所有 交換機局數(shù)據(jù)全部集中在交換 支撐組制作， 目前主要有 3 人制作局數(shù)據(jù)， 堅持做到一人制作，雙 人檢查 、撥測 ，并在電子運維作業(yè)計劃中填寫“業(yè)務(wù)開通記錄”、撥測情況等。 分權(quán)分域管理： 純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 的網(wǎng)管維護 帳號按操作維護等級設(shè)置相應(yīng)的操作權(quán)限，設(shè)備維護人員 權(quán)限高于值班人員權(quán)限。 二 、 災難備份措施 純匯、 SHLR 分別有個 設(shè)備互為容災，目前 個純匯 到各局向 的話務(wù)是負荷分擔且兩純匯間有過橋中繼。 SHLR 固話方面是 1:1 負荷分擔， PHS 是 1+1 主備 ， 在凌晨兩 SHLR 會自動同步數(shù)據(jù)。 TS 單節(jié)點配置存在安全隱患。 TG9000 單節(jié)點配置存在安全隱患。 新綜合網(wǎng)關(guān)局正在調(diào)測，將與老網(wǎng)關(guān)形成互備。 系統(tǒng)數(shù)據(jù)、計費數(shù)據(jù)定時進行備份，并將備份數(shù)據(jù)異地存放。 各網(wǎng)元制定應(yīng)急預案，并進行培訓和演練，做到系統(tǒng)發(fā)生災難時能及時啟動預案恢復通信。 三 、 防 攻擊、防病毒、防入侵措施 1 對純匯、 SHLR 安裝了硬件防火墻，對全市華為 BAM 安裝了 BAM 專用防護工具、對中興、大唐交換機服務(wù)器及維護終端安裝 了 防病毒軟件。安裝防護工具后可以有效防止病毒入侵，有效改善后臺管理服務(wù)器的運行環(huán)境。 13 網(wǎng)關(guān)局 BAM 上已安裝華為的進程管理軟件，實時監(jiān)控，只允許相關(guān)進程運行。啟用訪問控制策略，只允許特定維護 IP 地址訪問該定級對象 BAM。 TS 沒有 后臺服務(wù)器。 軟交換 TG9000 的后臺服務(wù)器也安裝了防病毒軟件并做到每月升級。 四 、 遠程維護管控措施 1.加強交換機遠程登陸管理 ，平時將所有交換網(wǎng)元的 MODEM 都關(guān)閉，如果要進行遠程登陸，必須有專人跟蹤，并有相應(yīng)的記錄。 2.純匯、 SHLR、 TG 000 在省網(wǎng)支都能遠程登入，純匯、 SHLR 的局數(shù)據(jù)是在本地維護，省網(wǎng)支修改的較少。軟交換 TG 000 的數(shù)據(jù)主要在省網(wǎng)支維護。遠程維護操作在網(wǎng)管服務(wù)器后臺都有操作維護日志。 五 、 涉及國慶重大活動網(wǎng)絡(luò)單元的安全防護情況 每到重要通信、春節(jié)、國慶 都會 組織 對核心 設(shè)備 進行預 檢、預修，如：在 2008 年奧運前夕，組織了對吉安本地交換網(wǎng)的安全評估 ，相關(guān)安全評估報告如下： 2 在 2009 年春節(jié)前組織制定了“ 2009 年春節(jié)網(wǎng)調(diào)方案”，并組織 增開電路為節(jié)日期間疏通話務(wù)， 節(jié)日之后做好話務(wù)分析，總結(jié)經(jīng)驗，為下一個話務(wù)高峰疏通話務(wù)儲備經(jīng)驗 。 2009 年春節(jié)網(wǎng)調(diào)方案 如下： 今年 7 月初 省公司組織了對中興軟交換設(shè)備 的應(yīng)急演練，加強了維護人員在緊急情況下判斷故障及處理故障的能力。 在涉及重大活動期間，都會安排維護骨干小時帶班和要求廠家駐守。 在純匯、 TS 等核心設(shè)備設(shè)置話務(wù)分流，制作好 話務(wù)控制腳本，在緊急情況下，可直接啟用。 如： TS 目的碼話務(wù)控制實現(xiàn)流程： 六 、 網(wǎng)絡(luò)組網(wǎng)、設(shè)備能力、機房環(huán)境 (一 )組網(wǎng)情況 14 1.純匯 吉安 C3 本地網(wǎng)以純匯為中心 匯接了本地網(wǎng)端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù) ,市話話務(wù)和智能業(yè)務(wù) 、 C 網(wǎng)話務(wù) ，純匯局對 TS、網(wǎng)關(guān)、 C網(wǎng) MGW、 TG9000、 端局采用雙匯接、全覆蓋的組網(wǎng)形式。七號信令方式為準直聯(lián)，純匯局與網(wǎng)關(guān)和長途局 、 TG9000 之間開設(shè)直達鏈路作為備用路由。純匯局與 SHLR開設(shè)高速 2M 信 令鏈路。 純匯與 TS、網(wǎng)關(guān)、 C 網(wǎng) MGW、 TG9000、端局的話務(wù)都是按負荷分擔方式分別開在兩個純匯。每個純匯 到以上核心設(shè)備的話務(wù) 也是分別開在不同模塊 的中繼單板。 2.TS 長途局采用 S1240 設(shè)備，與本地網(wǎng)的純匯局、網(wǎng)關(guān)局、省內(nèi)各本地網(wǎng) TS 及部分話務(wù)量較高的省繼 TS 設(shè)置直達中繼，用來疏通出入吉安的長途話務(wù)，并作為省內(nèi) SSP，與 SCP 配合實現(xiàn) 小靈通預付費 、 17909 等智能業(yè)務(wù)。單節(jié)點配置。 目前 長途話務(wù) 已通過 純匯至 骨干 TG 和 TG9000 的電路 分流省際、省內(nèi)話務(wù)， 兩個純匯 承擔了第二長途路由作用，網(wǎng)絡(luò)安全得到了可 靠保證。 但部分智能業(yè)務(wù)沒有保障。 3.網(wǎng)關(guān) 除到大樓純匯外，到同一鄰接局向電路都不具備第 2 路由； 將準備啟用新建的綜合網(wǎng)關(guān)局作為至異網(wǎng)的第二關(guān)口局。 到同一局向的本端物理端口都按規(guī)范合理配置在 不同模塊，不同機框或不同單板 。 4.軟交換 軟交換核心設(shè)備 TG9000 目前 與純匯、 C 網(wǎng) MGW 開了中繼電路 分別開在不同的中繼單板和 不同 SPC 業(yè)務(wù)處理板。 TG9000 物理上 配置了塊 MSIPI 板和 2 塊 MGEB 板，分別出個 100口和個GE 口與大樓 T64G 和河東 T64G 相連，通過 T64G 與 CN2 PE 設(shè)備相連，受控與九江 西二路 SS、潯陽路 SS。 5.SHLR SHLR 與純匯的 M 高速信令鏈路分別開在不同模塊的信令處理板。 與 LSTP、IGW 的信令鏈路 也 分別開在了不同模塊。與 SS 的偶 聯(lián)物理上是分別 通過 SHLR 的塊 SIPI 與 T64G 相連。 15 (二 )設(shè)備能力 目前吉安市分公司有長途局、純匯接局、 SHLR、網(wǎng)關(guān)局、 LSTP、 TG9000、 C網(wǎng) MGW、智能網(wǎng)等設(shè)備，由兩個 LSTP 和兩個純匯接局分別分擔所有的信令和話路處理，確保各方向的話務(wù)均衡分擔，相關(guān)交換機重要板件均有備件，確保設(shè)備高效可靠地運行。 1.純匯 大樓純匯目前剩 59 個 M,河東純匯剩 60 個 M,但是 隨著固網(wǎng)話務(wù)不斷流失，根據(jù) 2008 年中秋話務(wù)情況， 吉安已制定 兩純匯到端局的中繼調(diào)整計劃，其中大樓純匯可調(diào)整 323 個 M,河東純匯可調(diào)整 323 個 M， 具體情況見下表： 目前兩純匯出現(xiàn)號碼分析容量表不夠，需要省公司牽頭組織中興廠家擴號碼分析容量表解決。 2.TS TS 目前僅剩 10 個 2M，目前主要通過在純匯做話務(wù)分流解決 TS 疏通話務(wù)高峰時的話務(wù)，根據(jù)省公司部署 TS 已列入 2010 年退網(wǎng)計劃，其省際、省內(nèi)長途話務(wù)將由 TG9000 和 DC1 軟交換共同承擔。 3.網(wǎng)關(guān) 網(wǎng)關(guān)目前已沒有了中繼資源，今后與異網(wǎng)增開電路主要通過新綜合網(wǎng)關(guān)局解決。 4.軟交換 TG9000可同時支持 5760個用戶同時通話，吉安現(xiàn)有軟交換用戶為 .8 萬戶，隨著光進銅退步伐不斷加速， PSTN 交換機的退網(wǎng)，影響呼叫的 MVTCA(語音碼型變換板 )將是考慮擴容的主要板件之一。中繼資源也較緊張，目前只剩個 M，個光口，也要盡快考慮擴容。 5.SHLR 因網(wǎng)的用戶數(shù)據(jù)沒有融合到固網(wǎng)的 SHLR，目前 SHLR 能滿足固網(wǎng)和 PHS 的業(yè)務(wù)需求。 大樓 SHLR 磁陣有 1 塊硬盤有告警，需要 更換。 （三） 機房環(huán)境 16 為提高機房的安全性，結(jié)合集團公司、省公司提出的星級機房達標要求 ， 2007年 吉安 在全市范圍內(nèi)開展機房整治工作，組織對機房進行整體規(guī)劃并改造，以期達到機房整潔、走線規(guī)范、資料齊全、設(shè)備擺放合理有序的效果，從而杜絕安全隱患。 對于無人值守機房的安全問題，網(wǎng)管監(jiān)控中心利用動力環(huán)境監(jiān)控設(shè)備，接入網(wǎng)管等監(jiān)控手段，確保設(shè)備有任何異常 及煙霧告警 均能及時發(fā)現(xiàn)并予以解決。 確保了機房環(huán)境安全。 純匯、 SHLR、 TG 000、網(wǎng)關(guān)在同一機房， 屬新建機房， 機房環(huán)境負荷相關(guān)要求。 TS 機房經(jīng) 過機房整治 符合要 求。 （四） 設(shè)備硬件 1.純匯、 SHLR、 TS、網(wǎng)關(guān)、軟交換 TG9000 重要板件都有主備用。純匯、 SHLR屬新建設(shè)備，重要板件都有備件。 形成了備品備件的集中電子化管理和分散布放，制定了備品備件的管理流程。對備品備件做到定期清理，及時將壞件返修，保證有足夠的備品備件使用，不至于因為備品備件問題而耽誤故障處理。 每項備品備件的存在地點、數(shù)量、型號都有清晰明了的表格，并及時更新，由專人負責，做到有條不紊的使用； 對沒有的備品備件，及時反映省公司和廠家，調(diào)用省公司或廠家的備品備件，大大提高了故障處理及時率，有效的防 止了交換機癱瘓等重大事故的發(fā)生。 詳見備件清單： 2.TS 運行時間 有 14 年， 目前運行尚穩(wěn)定， 根據(jù)省公司部署安排 2010 年將退網(wǎng)。 3.TG9000 沒有備品備件需要購置一些關(guān)鍵板件的備品備件。 4.網(wǎng)關(guān) 已在網(wǎng)運行 10 年，面臨設(shè)備老化問題。 后臺服務(wù)器 BAM 運行磁盤空間較小，每周都要對磁盤空間進行清理，只能保存 2 個月以內(nèi)的話單，其應(yīng)急工作站現(xiàn)已不能正常運行，急待修或更換。 目前正在調(diào)測新綜合網(wǎng)關(guān)局， 在與異網(wǎng)的業(yè)務(wù)互通方面 將與老網(wǎng)關(guān)局形成互備。 17 （五） 重要數(shù)據(jù) 純匯的話單通過前臺 MP 實時傳到計費服務(wù)器并映射到了計費前置機，省計費處理中心通過 ftp 實時采集 。純匯的計費服務(wù)器和計費前置機能保存半年的話單。 每月會定期檢查計費服務(wù)器和計費前置機的計費空間。 目前計費采集點為純匯、網(wǎng)關(guān)、 PHS、軟交換、 C 網(wǎng)、 TS,純匯、網(wǎng)關(guān)、 PHS的計費服務(wù)器在本地可以實施 交換機 原始話單 文件數(shù) 、文件大小 與計費下載的計費文件數(shù) 、文件大小 比對 。 軟交換 的計費服務(wù)器在省公司，今后將加強軟交換計費服務(wù)器計費文件數(shù) 、計費文件大小 與計費處理中心下載 的計費文件進行比對。 核心設(shè)備 的重要 數(shù)據(jù)制作都會做到一人操作，雙人檢查，并 按要求進行測試 。 七、維護人員情況 目前我市交換專業(yè)只有名部門級交換維護骨干 帶 名交換維護人員 負責全市固網(wǎng)、 C 網(wǎng)、軟交換設(shè)備維護；全市交換局數(shù)據(jù)制作、故障投訴處理、業(yè)務(wù)割接（擴容、升版）電路調(diào)度、工程隨工、大客戶支撐、縣局交換維護支撐、專項工作、日常監(jiān)控崗業(yè)務(wù)工單開通受理等。 因 C 網(wǎng)建設(shè)飛快，網(wǎng)絡(luò)升級改版頻繁，傳統(tǒng)交換退網(wǎng)、光進同退持續(xù)推進，固話割接頻繁，融合業(yè)務(wù)不斷推出， 新業(yè)務(wù) 測試非常多， 維護人員工作量很 大，經(jīng)常要加班加點， 吉安交換專業(yè)維護 工作安排 如下： 在維護人員培訓方面，一貫采取 “送出去、請進來、自我培訓”三種方法。送出去就是送技術(shù)人員參加廠家舉辦的培訓班學習；請進來就是請廠方人員來公司授課或在進行設(shè)備升級、檢測時現(xiàn)場授課；自我培訓就是由維護技術(shù)好的人員進行授課，參加廠家培訓的人員回來后必須進行講課。例如，今年 4-5 月由參加深圳中興通訊學院 3GCN 培訓的人員回來進行二次培訓，起到了很好的教學相長效果，提高維護人員對設(shè)備技術(shù)的理解和掌握。 6 安全風險分析 18 通過上述對定級對象包含的資產(chǎn)、自身存 在的脆弱性、面臨的安全威脅、已采取的安全措施等因素的分析，可以得出本地固定通信網(wǎng)存在以下安全風險： 長途局為單點配置，存在不安全隱患，雖然省內(nèi)、省際 長途話務(wù)可以通過省內(nèi)、骨干軟交換分流進行保護，但長途局同時充當了 SSP，無法得到保護。 隨著 83 局退網(wǎng)用 AG 替代，光進銅退加快推進， TG9000 的 MVTCA 板和中繼資源板容量不夠，需要擴容。 TG9000 單點配置存在安全隱患， TG9000 沒有備品備件需要購置。 軟交換網(wǎng)管對 TG9000 設(shè)備告警、 AG、 IAD 退服不能及時用聲音提示，存在安全隱患。 網(wǎng)關(guān)應(yīng)急工作站性能低下，存在風險。 6 通過對縣局端局設(shè)備進行“ PSTN 設(shè)備脆弱性 分析 ”主要發(fā)現(xiàn)了以下問題： （ 1）新 CC08 BAM 服務(wù)器需要更換， 0#的 MCCM 板倒換頻繁，需要配置 1 塊新的， 0 CTN 板也無備件需要配置 1 塊。 新干 S1240 的報告機壞，需要 重裝。 （ 2） 泰和河西和沙村 CC08 BAM 經(jīng)常死機，請求換 2 臺新的 BAM. （ 3） 井岡山等局的 S1240 備份介質(zhì) (2.6G MO 光盤老化 )，經(jīng)統(tǒng)計需購置 17 塊2.6G MO 光盤。 （ 4） 吉水移動基站的地線吉水楓江局進線室穿過導致楓江局上半年雷雨 時節(jié)用戶框故障較多，移動對吉水 局的要求置之不理， 希 望市公司 能 協(xié)調(diào) 。 （ 5） 端局的應(yīng)急預案需 增添各種場景下的緊急操作步驟。 10.通過對 全市 AG、 IAD 進行脆弱性分析統(tǒng)計發(fā)現(xiàn)以下問題： （ 1） AG、 IAD 備件缺乏，需要在市級 統(tǒng)一 配備。 （ 2） 沒有統(tǒng)一的 EPON 網(wǎng)管和軟交換網(wǎng)管，建議 給各縣 配置 1 臺性能高的計算機做網(wǎng)管，加快日常業(yè)務(wù)的響應(yīng)。 （ 3） 一些重要單位的 EPON 設(shè)備（ 如： 法院、高中） 或 IAD 設(shè)備采用 市電 供電，如果市電一 停電 將 導致用戶不能正常使用，影響用戶感知，建議這些點增配小容量的 UPS 電源設(shè)備。 11.縣局交換維護人員 流動很快， 技術(shù)能力良莠不齊，一旦設(shè)備有故障只能依靠廠家支撐或遠程支撐，對迅速排查故障不利。 13 交換專業(yè) 維護人員 對職業(yè)生涯困惑，影響工作激情， 不利于設(shè)備的日常維護和故障處理。 對 于上述風險， 軟交換網(wǎng)管對 TG9000 設(shè)備告警、 AG、 IAD 退服沒有聲音提示 風險較大，需要及時整改。 對端局的一些問題及時處