網(wǎng)通信絡(luò)安全防護檢查情況匯報 PPT課件

2020 4 13 1 網(wǎng)絡(luò)公司運行維護部 2011 9 27 重慶聯(lián)通網(wǎng)絡(luò)安全防護檢查情況匯報 一 通信網(wǎng)絡(luò)單元定級情況二 網(wǎng)絡(luò)安全保障系統(tǒng)同步建設(shè)情況三 網(wǎng)絡(luò)安全防護自查及評測情況四 網(wǎng)絡(luò)安全防護監(jiān)測系統(tǒng)情況五 下一步工作 網(wǎng)絡(luò)安全檢查匯報 通信網(wǎng)絡(luò)單元定級情況 按照中華人民共和國工業(yè)和信息化部令第11號 通信網(wǎng)絡(luò)安全防護管理辦法 重慶聯(lián)通對現(xiàn)有各個通信網(wǎng)絡(luò)單元進行了網(wǎng)絡(luò)防護安全定級 其中8個通信網(wǎng)絡(luò)單元定為3 1級 15個通信網(wǎng)絡(luò)單元定為2級 具體情況如右 網(wǎng)絡(luò)安全檢查匯報 一 通信網(wǎng)絡(luò)單元定級情況二 網(wǎng)絡(luò)安全保障系統(tǒng)同步建設(shè)情況三 網(wǎng)絡(luò)安全防護自查及評測情況四 網(wǎng)絡(luò)安全防護監(jiān)測系統(tǒng)情況五 下一步工作 網(wǎng)絡(luò)安全系統(tǒng)同步建設(shè)情況 重慶聯(lián)通在新建 改建 擴建通信網(wǎng)絡(luò)時 高度注重配套的網(wǎng)絡(luò)安全保障設(shè)施建設(shè) 以下是今年來建設(shè)的主要網(wǎng)絡(luò)安全系統(tǒng) 網(wǎng)絡(luò)安全檢查匯報 一 通信網(wǎng)絡(luò)單元定級情況二 網(wǎng)絡(luò)安全保障系統(tǒng)同步建設(shè)情況三 網(wǎng)絡(luò)安全防護自查及評測情況四 網(wǎng)絡(luò)安全防護監(jiān)測系統(tǒng)情況五 下一步工作 1 工業(yè)和信息化部 關(guān)于做好通信網(wǎng)絡(luò)安全防護和2011年度安全防護檢查工作的通知 工信部保 2011 289號 2 中國聯(lián)通集團 關(guān)于開展2011年通信網(wǎng)絡(luò)安全防護檢查工作的通知 網(wǎng)絡(luò)傳 2011 214號 3 重慶通信管理局 關(guān)于做好通信網(wǎng)絡(luò)安全防護和2011年度安全防護檢查工作的通知 渝通信 2011 145號 網(wǎng)絡(luò)安全防護 部署 網(wǎng)絡(luò)安全防護 部署 重慶聯(lián)通網(wǎng)絡(luò)公司高度重視 成立了網(wǎng)絡(luò)安全檢查領(lǐng)導(dǎo)小組 由網(wǎng)絡(luò)公司的領(lǐng)導(dǎo)擔任組長 網(wǎng)絡(luò)公司運維部 網(wǎng)管中心 平臺維護中心 網(wǎng)建部等相關(guān)單位參與 召開網(wǎng)絡(luò)安全檢查工作會 制定檢查計劃 檢查方案 落實相關(guān)細節(jié) 網(wǎng)絡(luò)安全防護 2010回頭看 中國聯(lián)通集團 關(guān)于開展通信網(wǎng)絡(luò)安全防護整改工作 回頭看 的通知 網(wǎng)絡(luò)運維 2011 75號 進一步落實對2010年網(wǎng)絡(luò)安全檢查中發(fā)現(xiàn)問題的整改工作 時間 2011年3月25日 2011年4月25日向集團總部提交通信網(wǎng)絡(luò)安全防護整改工作 回頭看 情況報告 網(wǎng)絡(luò)安全防護 2010回頭看 重慶聯(lián)通網(wǎng)絡(luò)公司積極落實文件精神 對2010年網(wǎng)絡(luò)安全檢查過程中發(fā)現(xiàn)問題的整改情況逐一進行落實 通過網(wǎng)絡(luò)安全防護整改 回頭看 工作的落實 2010年網(wǎng)絡(luò)安全檢查中發(fā)現(xiàn)的問題均得到落實 一 自查階段6月15日至7月15日 各網(wǎng)絡(luò)安全檢查專業(yè)小組進行自查 網(wǎng)絡(luò)安全防護 檢查實施 1 檢查范圍重慶聯(lián)通通信網(wǎng)安全定級3級以上網(wǎng)元 包括 中國聯(lián)通移動通信網(wǎng)電路域重慶市本地網(wǎng)關(guān)口局中國聯(lián)通移動通信網(wǎng)電路域重慶市本地網(wǎng)核心交換網(wǎng)中國聯(lián)通移動通信網(wǎng)分組域重慶市本地網(wǎng)核心交換網(wǎng)中國聯(lián)通信令網(wǎng)重慶市本地信令網(wǎng)中國聯(lián)通固定通信網(wǎng)重慶市本地網(wǎng)關(guān)口局中國聯(lián)通增值業(yè)務(wù)網(wǎng)重慶市短消息網(wǎng)中國聯(lián)通IP承載網(wǎng)重慶市IP城域網(wǎng)中國聯(lián)通光傳送網(wǎng)重慶市本地傳送網(wǎng)匯聚層 含核心層 網(wǎng)絡(luò)安全防護 檢查實施 2 自查內(nèi)容根據(jù)工信部保 2011 289號文的要求 逐項對比管理制度 網(wǎng)絡(luò)結(jié)構(gòu) 日常維護 應(yīng)急預(yù)案等進行檢查 并形成風險評估報告 網(wǎng)絡(luò)安全防護 檢查實施 二 自查結(jié)果1 管理部分聯(lián)通渝市字 2011 532號 關(guān)于印發(fā)信息安全相關(guān)管理辦法的通知 成立了以公司總經(jīng)理楊俊為組長的公司信息安全委員會 網(wǎng)絡(luò)安全防護 檢查實施 各部門 各分公司的總經(jīng)理為本單位信息安全第一責任人 對本單位信息安全工作負領(lǐng)導(dǎo)責任 各部門 各分公司分管信息安全的負責人為本單位信息安全責任人 對本單位信息安全工作負直接領(lǐng)導(dǎo)責任 網(wǎng)絡(luò)安全防護 檢查實施 發(fā)布實施了 重慶聯(lián)通網(wǎng)絡(luò)安全管理規(guī)程 對員工進行了網(wǎng)絡(luò)安全管理規(guī)章制度的宣貫 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全防護 檢查實施 確定網(wǎng)絡(luò)信息安全管理責任應(yīng)遵循的原則 1 誰管理 誰負責 誰接入 誰負責 誰經(jīng)營 誰負責 2 實行信息安全 一把手責任制 切實做到 一崗雙責 3 各單位 設(shè)立網(wǎng)絡(luò)信息安全專管員 保證資金 人員 設(shè)備到位 4 按照 事前可預(yù)防 事中可阻斷 事后可追溯 的原則 完善信息安全管理措施 流程和技術(shù)手段 5 信息安全管控機制要貫穿整個產(chǎn)品的生命周期6 在網(wǎng)絡(luò) 系統(tǒng) 平臺的設(shè)計 建設(shè)和運行過程中 按照國家 公司的信息安全管理需求 同步規(guī)劃 同步設(shè)計 同步運行 落實 三同步 原則 重慶聯(lián)通網(wǎng)絡(luò)公司運維部設(shè)置安全管理監(jiān)督員 對系統(tǒng)變更 重要操作 物理訪問和系統(tǒng)接入等進行授權(quán)和審批管理 指導(dǎo)實施網(wǎng)絡(luò)安全事務(wù) 重慶聯(lián)通網(wǎng)絡(luò)公司各維護中心設(shè)置安全管理員 負責具體實施網(wǎng)絡(luò)安全日常事務(wù) 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全管理制度滿足網(wǎng)絡(luò)安全檢查的相關(guān)要求 網(wǎng)絡(luò)安全防護 檢查實施 2 網(wǎng)元檢查移動核心網(wǎng) MSCS 13個構(gòu)成2個3 1容災(zāi)保護和兩個個1 1容災(zāi)保護HLR 7個構(gòu)成6 1的動態(tài)容災(zāi)保護TMSC LSTP 2個 負荷分擔方式SGSN 2個主備方式GGSN 2個負荷分擔SCP 3個沒有冗余關(guān)系短信中心 兩個負荷分擔IP承載網(wǎng) 1個主備方式 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全防護 檢查實施 截止2011年7月 重慶G網(wǎng)有11個軟交換端局 SVR2 SVR4和SVR7作為容災(zāi)使用 目前在用SVR總?cè)萘繛?79萬 占用率53 28 網(wǎng)絡(luò)安全防護 檢查實施 目前 GPRS核心網(wǎng)共2套SGSN 2套GGSN 系統(tǒng)容量 附著用戶數(shù)140萬 2G激活用戶數(shù)14萬 3G激活用戶數(shù)14萬 出口帶寬 GN側(cè)2Gbps GI側(cè)2Gbps 照母山SGSN1管轄區(qū)域為 萬涪黔和近郊區(qū)縣南方花園SGSN2管轄區(qū)域為 主城區(qū) 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全防護 檢查實施 1 災(zāi)難備份措施MSCS節(jié)點間鏈路 Mc口 NO7信令鏈路 均有冗余保護和備份措施 HLR設(shè)計實現(xiàn)6 1的動態(tài)容災(zāi)保護GSN有備份保護措施 IP承載網(wǎng)有備份保護措施 網(wǎng)絡(luò)安全防護 檢查實施 MSCS話務(wù)通過負荷分擔的方式送一對TMSC 話務(wù)流量有負荷分擔 網(wǎng)絡(luò)安全防護 檢查實施 SGSN 互為主備 災(zāi)難備份措施為 2G網(wǎng)絡(luò) 通過傳輸調(diào)度進行業(yè)務(wù)切換 3G網(wǎng)絡(luò) 網(wǎng)絡(luò)互通 通過修改配置數(shù)據(jù)重新進行網(wǎng)絡(luò)注冊 網(wǎng)絡(luò)安全防護 檢查實施 各網(wǎng)元根據(jù) 中國聯(lián)通通信網(wǎng)絡(luò)運維維護規(guī)則 的要求 定期進行用戶數(shù)據(jù) 計費數(shù)據(jù) 配置數(shù)據(jù)的備份通過日常維護作業(yè)計劃制定和執(zhí)行備份作業(yè) 領(lǐng)導(dǎo)定期檢查和審核 網(wǎng)絡(luò)安全防護 檢查實施 各網(wǎng)元都有操作日志的記錄功能 能對所有用戶對網(wǎng)絡(luò)進行的所有操作進行詳細記錄 網(wǎng)絡(luò)安全防護 檢查實施 重慶聯(lián)通3級以上各網(wǎng)元均制定有通信保障應(yīng)急預(yù)案 并根據(jù)網(wǎng)絡(luò)組網(wǎng)情況進行修訂 重慶通信管理局定期組織各運營商進行網(wǎng)間通信應(yīng)急保障演練 重慶聯(lián)通移動網(wǎng)絡(luò)公司運維部根據(jù)運維情況和 中國聯(lián)通通信網(wǎng)絡(luò)運行維護規(guī)程 對一些重要網(wǎng)元進行了通信應(yīng)急保障演練 網(wǎng)絡(luò)安全防護 檢查實施 進行了應(yīng)急演練的網(wǎng)元有 SVR3 SVR5與SVR4間的容災(zāi)倒換測試 SGSN的應(yīng)急方案桌面實施演練SGSN還和WEB WAP平臺進行了應(yīng)急聯(lián)動演練 IP承載網(wǎng)進行了倒換測試演練 應(yīng)急演練均有演練報告 網(wǎng)絡(luò)安全防護 檢查實施 重慶聯(lián)通3級以上網(wǎng)元災(zāi)難備份措施基本滿足網(wǎng)絡(luò)安全檢查相關(guān)要求 網(wǎng)絡(luò)安全防護 檢查實施 2 攻擊防護措施重慶聯(lián)通移動通信網(wǎng)使用IMSI對用戶進行身份身份鑒別和認證 網(wǎng)絡(luò)安全防護 檢查實施 在GGSN外部IP網(wǎng)絡(luò)之間設(shè)置防火墻進行隔離 網(wǎng)絡(luò)安全防護 檢查實施 根據(jù) 中國聯(lián)通通信網(wǎng)絡(luò)運維維護規(guī)則 的要求 通信網(wǎng)各網(wǎng)元都設(shè)置專人進行維護 網(wǎng)絡(luò)安全防護 檢查實施 通信網(wǎng)網(wǎng)管網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)實現(xiàn)隔離MSCS設(shè)置計費服務(wù)器和性能統(tǒng)計服務(wù)器 計費服務(wù)器只向計費結(jié)算系統(tǒng)開放話單采集目錄 營帳系統(tǒng)通過DBIO向HLR下發(fā)營帳指令 不能直接訪問HLR GSN分組域CG只向計費結(jié)算系統(tǒng)開放話單采集目錄 網(wǎng)絡(luò)安全防護 檢查實施 各網(wǎng)絡(luò)和設(shè)備均有口令安全策略 相關(guān)的規(guī)范對口令設(shè)置均作出具體的要求 滿足網(wǎng)絡(luò)安全檢查的要求 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全日志和有關(guān)記錄進行安全審計 從自查情況來看 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全日志和有關(guān)記錄的審計按照相關(guān)要求定期進行審計 網(wǎng)絡(luò)安全防護 檢查實施 三 網(wǎng)絡(luò)安全檢查自查發(fā)現(xiàn)的問題1 系統(tǒng)和主機未定期進行漏洞檢測掃描 原因是 1 這些核心網(wǎng)絡(luò)都是內(nèi)網(wǎng)網(wǎng)絡(luò) 與外部網(wǎng)絡(luò)是隔離的 缺乏漏洞掃描工具 2 缺乏相關(guān)的技術(shù)指導(dǎo)規(guī)范等 對漏洞掃描是否會對通信網(wǎng)絡(luò) 業(yè)務(wù) 造成危害有疑慮 網(wǎng)絡(luò)安全防護 檢查實施 2 網(wǎng)絡(luò)系統(tǒng)和主機惡意代碼檢測從自查情況來看 WINDOWS系列的主機均安裝有防病毒軟件 進行了定期的病毒檢測 網(wǎng)絡(luò)安全管理員定期進行了病毒庫代碼更新 沒有對病毒查殺結(jié)果和分析形成報告 原因是網(wǎng)絡(luò)為內(nèi)部網(wǎng)絡(luò) 目前還沒有出現(xiàn)嚴重的惡意病毒感染事件 UNIX系列的主機沒有安裝惡意代碼檢測軟件 也是缺乏相關(guān)的技術(shù)手段 網(wǎng)絡(luò)安全防護 檢查實施 3 對通用主機軟件和補丁升級的安全管理制度和規(guī)范化流程要求 中國聯(lián)通通信網(wǎng)絡(luò)運維維護規(guī)則 和 重慶聯(lián)通網(wǎng)絡(luò)安全管理規(guī)程 對通用主機軟件和補丁升級有具體要求 由于主機軟件的補丁可能會對應(yīng)用系統(tǒng)的進程進行抑制 從而導(dǎo)致通信業(yè)務(wù)受到影響 因此 對于哪些補丁需要升級 要有設(shè)備供應(yīng)商或者聯(lián)通總部的通知 目前是由設(shè)備供應(yīng)商定期發(fā)布技術(shù)通知書 明確主機軟件需升級的補丁程序 各網(wǎng)絡(luò)維護中心組織實施 網(wǎng)絡(luò)安全防護 檢查實施 4 對電信網(wǎng)絡(luò)設(shè)備軟件和補丁升級的安全管理制度和規(guī)范化流程要求 中國聯(lián)通通信網(wǎng)絡(luò)運行維護規(guī)程 對電信網(wǎng)絡(luò)設(shè)備軟件和補丁升級有具有的制度和規(guī)范化流程要求 從軟件進網(wǎng)測試 發(fā)布 實施升級等都有嚴格的規(guī)定 重慶聯(lián)通網(wǎng)絡(luò)公司嚴格執(zhí)行維護規(guī)程 網(wǎng)絡(luò)安全防護 檢查實施 5 移動網(wǎng)移動存儲介質(zhì)使用和管理安全策略要求目前核心網(wǎng)絡(luò)基本使用網(wǎng)絡(luò)儲存 只有在極少的情況下使用移動存儲介質(zhì) 主要用于病毒庫升級和部分設(shè)備的計費數(shù)據(jù)備份等 根據(jù)2010年網(wǎng)絡(luò)安全檢查的整改要求 重慶聯(lián)通在移動核心網(wǎng)絡(luò)部署了內(nèi)網(wǎng)安全管理系統(tǒng) 對移動核心網(wǎng)所有主機USB等端口實施了使用許可管理 增強了移動存儲介質(zhì)使用和管理的安全性 網(wǎng)絡(luò)安全防護 檢查實施 6 遠程維護管控根據(jù)運維規(guī)程的要求 在需要進行遠程維護時 需要安全管理監(jiān)督員同意 對遠程維護實施的網(wǎng)元 實施方案 實施人都有明確的記錄 網(wǎng)絡(luò)安全防護 檢查實施 重慶聯(lián)通3級以上網(wǎng)元的遠程維護網(wǎng)絡(luò)功能在必要的時候可以關(guān)閉 平時的遠程維護網(wǎng)絡(luò)接入在物理上是隔斷的 只有在需要時 由安全管理監(jiān)督員或部門領(lǐng)導(dǎo)同意 方可打開物理連接 在遠程維護實施結(jié)束后 要關(guān)閉遠程維護網(wǎng)絡(luò)的物理連接 網(wǎng)絡(luò)安全防護 檢查實施 系統(tǒng)遠程維護有安全管控策略 一般遠程維護只有查詢功能 沒有數(shù)據(jù)修改權(quán)限 在運程維護實施過程中 有專人對操作進行實時監(jiān)控 網(wǎng)絡(luò)安全防護 檢查實施 遠程維護的安全鑒別和認證措施包括 撥號訪問VPN接入二次登陸認證 網(wǎng)絡(luò)安全防護 檢查實施 遠程維護使用的安全加密和認證算法有 CHAPPAPL2TP 網(wǎng)絡(luò)安全防護 檢查實施 對安全日志 監(jiān)控記錄的分析和審計在移動網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全日志和有關(guān)記錄的審計中不定期進行 網(wǎng)絡(luò)安全防護 檢查實施 7 用戶信息訪問控制保護重慶聯(lián)通用戶信息只能通過營帳系統(tǒng)才能進行訪問 其訪問控制措施由計費結(jié)算部門負責實施 網(wǎng)絡(luò)安全防護 檢查實施 8 應(yīng)急保障重慶聯(lián)通對于重大節(jié)假日和應(yīng)急通信保障都高度重視 已制定 重慶聯(lián)通通信保障應(yīng)急預(yù)案 網(wǎng)絡(luò)安全防護 檢查實施 網(wǎng)絡(luò)安全防護 檢查實施 為了更全面的評估我司網(wǎng)絡(luò)安全情況 重慶聯(lián)通網(wǎng)絡(luò)公司選擇了移動通信網(wǎng) 增值業(yè)務(wù)網(wǎng)短信中心兩個專業(yè)網(wǎng)絡(luò)單元委托國家計算機網(wǎng)絡(luò)與信息安全管理中心重慶分中心進行第三方網(wǎng)絡(luò)安全符合性評測和風險評估 網(wǎng)絡(luò)安全檢查匯報 一 通信網(wǎng)絡(luò)單元定級情況二 網(wǎng)絡(luò)安全保障系統(tǒng)同步建設(shè)情況三 網(wǎng)絡(luò)安全防護自查及評測情況四 網(wǎng)絡(luò)安全防護監(jiān)測系統(tǒng)情況五 下一步工作 網(wǎng)絡(luò)安全防護系統(tǒng)建設(shè)情況 遠程安全評估子系統(tǒng)系統(tǒng)RSAS 評估全網(wǎng)范圍內(nèi)所有服務(wù)器 網(wǎng)絡(luò)設(shè)備 主機的系統(tǒng)級安全 評估是否有系統(tǒng)漏洞 通過快速掃描 系統(tǒng)自動生成報表 列出受評估IP的相關(guān)漏洞 并提供解決方案 低俗內(nèi)容審計子系統(tǒng)系統(tǒng)SAS 主要功能是全網(wǎng)范圍內(nèi)的IP域名管理 周期性監(jiān)控全網(wǎng)范圍內(nèi)網(wǎng)站的狀態(tài) IP正常 IP變更 無法訪問 做到對全網(wǎng)范圍內(nèi)所有域名的有效管理 同時 設(shè)備對全網(wǎng)范圍內(nèi)網(wǎng)站的內(nèi)容進行檢查 發(fā)現(xiàn)網(wǎng)站下非法內(nèi)容 即時告警 安全審計模塊 對全網(wǎng)范圍內(nèi)的網(wǎng)站進行評估 發(fā)現(xiàn)掛馬頁面 含惡意代碼的頁面 圖片審計模塊 對全網(wǎng)范圍內(nèi) 所出現(xiàn)的色情圖片進行快速發(fā)現(xiàn) 準確告警圖片url 2011年 重慶聯(lián)通新建了一套網(wǎng)絡(luò)安全防護系統(tǒng) 系統(tǒng)于2011年6月23日竣工正式上線 主要功能如下 網(wǎng)絡(luò)安全防護系統(tǒng)運行情況 網(wǎng)絡(luò)安全防護系統(tǒng)上線至今 總體運行情況穩(wěn)定 通過全自動 智能化的掃描方式 掃描評估對象近10余萬個 產(chǎn)生低俗文字告警 低俗圖像告警 掛馬告警 未備案網(wǎng)站告警 操作系統(tǒng)漏洞告警 數(shù)據(jù)庫漏洞告警 中間件漏洞告警 脆弱賬號口令告警等等共計近百萬條 已完成對IP承載網(wǎng) PS承載網(wǎng) DNS域名解析系統(tǒng) 169IP承載網(wǎng)等網(wǎng)絡(luò)的安全漏洞評測 實現(xiàn)對169互聯(lián)網(wǎng)按分公司 業(yè)務(wù)類別實現(xiàn)對低俗內(nèi)容 未備案網(wǎng)站掃描 關(guān)鍵字掃描 非法文字信息 圖片掃描 淫穢色情圖片 進行了7X24小時不間斷掃描 便于對重慶聯(lián)通網(wǎng)內(nèi)的低俗內(nèi)容網(wǎng)站進行及時的發(fā)現(xiàn)和處置 對掌握全網(wǎng)范圍內(nèi)的安全狀況 包括網(wǎng)絡(luò)安全和信息安全狀況 得到更有說服力的數(shù)據(jù) 滿足重慶聯(lián)通對網(wǎng)絡(luò)信息安全通過技術(shù)手段進行管控的要求 但對圖片 文字的智能識別能力還需要進一步改進和優(yōu)化 現(xiàn)階段掃描出來的內(nèi)容多 工作量大 后期需要對此作進一步的優(yōu)化和處理 網(wǎng)絡(luò)安全檢查匯報 一 通信網(wǎng)絡(luò)單元定級情況二 網(wǎng)絡(luò)安全保障系統(tǒng)