中國電信吉安分公司支撐網(wǎng)安全風(fēng)險評估報告.doc

知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 中國電信江西省支撐網(wǎng) 安全風(fēng)險評估報告 中國電信吉安市公司 二零零玖年陸月 評估對象：填寫定級對象名稱 評估單位：填寫評估單位名稱 評估日期： 2009 年 6 月 1 日至 2009 年 9 月 30 日 編號：單位（中國電信為 ctsec）-省 （如湖北為 hubei）-文檔編號（01 開始）- 時間（200904） 企業(yè)秘密 編號：單位（中國電信為 ctsec）-省 （如湖北為 hubei）-文檔編號（01 開始）- 時間（200904） 企業(yè)秘密 編號：單位（中國電信為 ctsec）-省 （如湖北為 hubei）-文檔編號（01 開始）- 時間（200904） 企業(yè)秘密 編號：單位（中國電信為 ctsec）-省 （如湖北為 hubei）-文檔編號（01 開始）- 時間（200904） 企業(yè)秘密 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 目目 錄錄 1概述3 1.1目的 3 1.2內(nèi)容及范圍 3 1.3風(fēng)險評估方法 3 1.4評估依據(jù) 3 2資產(chǎn)分析3 2.1dcn 網(wǎng).3 2.2業(yè)務(wù)運營支撐系統(tǒng) 5 3威脅分析5 3.1dcn 網(wǎng).6 3.2業(yè)務(wù)運營支撐系統(tǒng) 7 4脆弱性分析8 4.1dcn 網(wǎng).8 4.2業(yè)務(wù)運營支撐系統(tǒng) 9 5已有安全措施10 6安全風(fēng)險分析10 7風(fēng)險處置計劃及整改情況11 8總結(jié)11 9附件11 ii 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱文檔名稱 文件編號 編制人 保密級別企業(yè)秘密 修改過程 版本號版本號日期日期負責(zé)人負責(zé)人概述概述 評審過程 版本號版本號日期日期評審者評審者概述概述 分發(fā)范圍 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 1概述概述 1.1 目的目的 集團公司關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知中國電信2009510 號文、原信息產(chǎn)業(yè)部 關(guān)于進一步開展電信網(wǎng)絡(luò)安全防護工作的實施意見（信部電2007555 號）、工業(yè)和信息化 部關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知（工信部保2009224 號)。 為進一步查找我市 dcn 網(wǎng)絡(luò)安全運營的薄弱環(huán)節(jié)、落實防護措施、消除安全隱患，提高通信網(wǎng) 絡(luò)整體安全防護水平，并為國慶 60 周年網(wǎng)絡(luò)安全保障工作打好基礎(chǔ)。 1.2 內(nèi)容及范圍內(nèi)容及范圍 吉安市 dcn 網(wǎng)于 2008 年 6 月在原 dcn 網(wǎng)基礎(chǔ)上升級擴容而成，市公司核心層由二臺匯聚路由 器 ne40-4、二臺三層交換機 3952、一臺 eudemon 200 防火墻及二臺 5200f 組成，通過 2*155m 光纖上聯(lián)至省公司 dcn 網(wǎng)，市公司本埠井岡山大道生產(chǎn)樓、河?xùn)|分局、城南分局通過 1*100m 光纖上聯(lián)到匯聚路由器 ne40 中；井岡山大道辦公樓通過 1*100m 光纖上聯(lián)至 5200f，各縣市分 公司辦公樓通過 1*10m 的 mstp 鏈路上聯(lián)至 5200f；各縣市分公司配置兩臺 ar46-8 路由器及 2 臺三層 3528 交換機通過 2*10m 的 mstp 鏈路上聯(lián)至匯聚路由器 ne40-4，為了更好的滿足 dcn 網(wǎng)中部分辦公人員收發(fā)郵件、查找資料需求，利用 eudemon200 實現(xiàn) dcn 網(wǎng)與互聯(lián)網(wǎng)的隔離， 防范來自互聯(lián)網(wǎng)的惡意攻擊及病毒感染。 業(yè)務(wù)運營支撐系統(tǒng)采用 c/s 架構(gòu)，服務(wù)器端由 8 臺性能相當(dāng)?shù)姆?wù)器組成一組負載均衡終端 服務(wù)器集群，客戶端設(shè)備為瘦客戶機，客戶端通過 rdp 連接到集群服務(wù)器。 吉安市 idc 網(wǎng)絡(luò)機房于 2007 年 5 月從數(shù)據(jù)機房分離，市公司核心層由一臺匯聚路由器 cisco12416、一臺三層交換機華為 6506、兩臺 s5624p、一臺 h3c 5500 和一臺華為 usg3040 組 成，通過 2*1000m 光纖上聯(lián)至城域網(wǎng)。 全球眼系統(tǒng)平臺由 7 臺服務(wù)器和一臺磁盤陣列組成，客戶端設(shè)備為視頻服務(wù)器?？蛻舳送ㄟ^城 域網(wǎng)連接到平臺。 農(nóng)村黨教市級平臺由 13 臺服務(wù)器和 2 臺磁盤陣列組成，各縣級平臺由 2 臺服務(wù)器組成，共 35 臺服務(wù)器。 主機托管服務(wù)由 idc 機房提供電源和網(wǎng)絡(luò)。 本次評估內(nèi)容包括管理制度、防攻擊防病毒、安全防范等進行風(fēng)險評估。 1.3 風(fēng)險評估方法風(fēng)險評估方法 評估方式包括訪談、查閱文檔、測試等，評估步驟包括資產(chǎn)識別、脆弱性識別、威脅識別等，方 法包括具體的資產(chǎn)、威脅和脆弱性識別方法，風(fēng)險分析方法、風(fēng)險結(jié)果判斷依據(jù)等。 1.4 評估依據(jù)評估依據(jù) 說明支撐網(wǎng)安全風(fēng)險評估參考的標(biāo)準(zhǔn)和文檔，如安全防護系列標(biāo)準(zhǔn)等。 4 2資產(chǎn)分析資產(chǎn)分析 說明該定級對象包括的資產(chǎn)及相關(guān)屬性。 支撐網(wǎng)的資產(chǎn)分析范圍包括：dcn 網(wǎng)和業(yè)務(wù)運營支撐系統(tǒng)。dcn 網(wǎng)覆蓋以下網(wǎng)絡(luò)：固定通信網(wǎng)、 消息網(wǎng)、智能網(wǎng)、接入網(wǎng)、傳送網(wǎng)、ip 承載網(wǎng)、信令網(wǎng)、同步網(wǎng)。業(yè)務(wù)運營支撐系統(tǒng)包括：計費 系統(tǒng)、營業(yè)系統(tǒng)、賬務(wù)系統(tǒng)。涉及的資產(chǎn)重要性分析如下： 2.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、軟件、數(shù)據(jù)、 網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 dcn 網(wǎng)資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 1 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 低 文檔 中 1dcn 網(wǎng) 其它 中 注：支撐網(wǎng)的資產(chǎn)可分為設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。附表1給出了支 撐網(wǎng)的資產(chǎn)列表，各省公司可參考此表進行資產(chǎn)分析，但不限于此表 附表 1 dcn 網(wǎng)資產(chǎn)列表 序 號 節(jié)點名 稱 設(shè)備型號 數(shù) 量 155 m 1000m 電 口 fe 電 口 fe 光口 (10k) fe 光口 (40k) 1吉安 ne40-4 224 32 16 2吉安 ls-3952p-ei 24 96 3吉安 ls-3528-ea 27 648 28 4吉安 ar4680 23 184 5 6 7 8 合計 5428960440 2.2 業(yè)務(wù)運營支撐系統(tǒng)業(yè)務(wù)運營支撐系統(tǒng) 業(yè)務(wù)運營支撐系統(tǒng)資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、 軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 5 客服呼叫中心資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 低 文檔 中 1 業(yè)務(wù)運營支撐系統(tǒng) 其它 中 附表 2 業(yè)務(wù)運營支撐系統(tǒng)資產(chǎn)列表 內(nèi)存 cpu 硬盤 序 號 節(jié)點名 稱 設(shè)備型號 數(shù) 量 容量 （g） 數(shù)量主頻 數(shù) 量 總?cè)萘繑?shù)量 raid 級別 ip 地址 1nlb-1 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.87 2nlb-2 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.94 3nlb-3 poweredg e-2950 142 e5310 1.6g*4 227245 134.240. 7.83 4nlb-4 poweredg e-2950 142 e5405 2.0*4 21159g65 134.240. 7.102 5nlb-5 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.194 6nlb-6 升騰資訊 終端服務(wù) 器 14 intelr xe onl 3.2x2 26821 134.240. 7.93 7nlb-7 poweredg e-2850 156 intel xeonl 3.0 26810 134.240. 7.146 8nlb-8 poweredg e-2650 136 intel xeonl 2.4 221920 134.240. 7.86 9 主域控 制器 poweredg e-2950 144 e5310 1.6g*4 2372g5 134.240. 7.97 6 10 web 服 務(wù)器 poweredg e-2950 142 e5405 2.0*4 21159g65 134.240. 7.99 11 終端服 務(wù)器 poweredg e 1750 124 intel xeonl 2.4*2 220420 134.240. 7.90 12 故障機 poweredg e 1750 112 intel xeonl 2.4*2 214620 134.240. 7.31 13 終端服 務(wù)器 hpprolia ntml150 122 intel xeonl 2.8*2 26810 134.240. 7.92 14 cams 服 務(wù)器 poweredg e 2500 1512m2 pentiu m iii 1.1 13410 134.240. 7.89 15 電話營 銷系統(tǒng) 研華科技 610l 11g2 pentiu m 四 3.0 214610 134.240. 7.20 16 gps 導(dǎo) 航系統(tǒng) hp ml 370 11g2 intel xeonl 3.0*2 26620 61.180.4 .250 17 磁盤陣 列 enc-20001000008 18 計費聯(lián) 采-101 ibm-86711 134.240. 24.101 19 計費聯(lián) 采-102 ibm-86711 134.240. 24.102 20 合計 2.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括設(shè)備硬件、軟件、數(shù)據(jù)、 網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 客服呼叫中心資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn)重要性列表 序號資產(chǎn)名稱資產(chǎn)類型重要性等級 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 低 文檔 中 1 全球眼業(yè)務(wù)平臺 其它 中 1 農(nóng)村黨教網(wǎng)平臺設(shè)備硬件 中 7 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓撲 中 碼號資源 低 文檔 中 其它 中 附表 3 idc 資產(chǎn)列表 序號 節(jié)點名稱 設(shè)備型號 數(shù)量 1 吉安 poweredge- 29507 2吉安 磁盤陣列 1 3吉安 hp dl380 35 4吉安 usg3040 1 5吉安 磁盤陣列 2 6 7 合計 46 3威脅分析威脅分析 支撐網(wǎng)的威脅可分為設(shè)備威脅、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的威 脅和其它物理威脅。根據(jù)威脅的動機，人為威脅又可分為惡意和非惡意兩種。附表2給出支撐 網(wǎng)的威脅列表。 附表 2 支撐網(wǎng)威脅列表 來源威脅描述 設(shè)備威脅 各類設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟 失，系統(tǒng)宕機 物理環(huán) 境 斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊 線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 鼠蟻蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺風(fēng)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 人為 威脅 非惡意內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 8 人員操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 3 威脅可能性列表 序號 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1dcn 網(wǎng) 其它威脅 低 表 4 威脅可能性列表 來源威脅分析 設(shè)備威脅 dcn 網(wǎng)屬 2008 年全新擴容改造工程，核心設(shè)備不存在設(shè)備 和介質(zhì)老化造成的數(shù)據(jù)丟失，但分支機構(gòu)接入 路由器 及綜 合辦公用的接入層設(shè)備城域網(wǎng)淘汰設(shè)備，存在一定風(fēng)險，但 各類設(shè)備本身的軟硬件故障存在，維修周期一般在二周以內(nèi) 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 9 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.2 業(yè)務(wù)運營支撐系統(tǒng)業(yè)務(wù)運營支撐系統(tǒng) 業(yè)務(wù)運營支撐系統(tǒng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 5 威脅可能性列表 序號 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1dcn 網(wǎng) 其它威脅 低 表 6 威脅可能性列表 來源威脅分析 設(shè)備威脅 存在設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟 失，系統(tǒng)宕機 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 3.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 10 表 7 威脅可能性列表 序號 資產(chǎn)名稱面臨的威脅類型 威脅可能性等 級 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 1idc 網(wǎng) 其它威脅 低 表 8 威脅可能性列表 來源威脅分析 設(shè)備威脅 核心路由器 cisco12416 為城域網(wǎng)退網(wǎng)的設(shè)備，網(wǎng)絡(luò)設(shè)備本身 可能出現(xiàn)軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失， 物理環(huán) 境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或 通訊線路方面的故障 環(huán)境 威脅 自然災(zāi) 害 存在火災(zāi)、雷電 惡意人 員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 人為 威脅 非惡意 人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的 操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損 壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者管 理混亂導(dǎo)致安全事件 知識水壩（豆丁網(wǎng)pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下“知識水壩“ 4脆弱性分析脆弱性分析 支撐網(wǎng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性兩方面。 附表 3 給出支撐網(wǎng)的脆弱性列表。 序號資產(chǎn)名稱脆弱性類型脆弱性嚴重程度等級 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費 服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 1 dcn 網(wǎng) 管理脆弱性低 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服 務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 2 業(yè)務(wù)運營支 撐系統(tǒng) 管理脆弱性低 業(yè)務(wù)/應(yīng)用（技術(shù)脆弱性）低 網(wǎng)絡(luò)（技術(shù)脆弱性）中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費 服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性）低 2 idc 網(wǎng) 管理脆弱性低 4.1 dcn 網(wǎng)網(wǎng) dcn 網(wǎng)的脆弱性按照其嚴重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對象dcn 網(wǎng)存在的脆弱性分析 服務(wù)/應(yīng)用設(shè)備的處理或備份能力不夠而導(dǎo)致服務(wù)提供不連續(xù) 網(wǎng)絡(luò)不存在 設(shè)備（軟 件、硬件 和數(shù)據(jù)） 不存在 技術(shù)脆弱 性 物理環(huán)境 dcn 網(wǎng)核心機房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高；縣局 機房防雷措施不夠，如吉安縣、新干縣在本季度均有設(shè)備被 雷擊導(dǎo)致網(wǎng)絡(luò)中斷 管理脆弱性 安全管理機構(gòu)方面：崗位設(shè)置不合理，人員配置過少、目前 負責(zé) dcn 網(wǎng)維護只有一人； 安全管理制度方面：不存在； 12 人員安全管理方面：不存在； 建設(shè)管理方面：不存在； 運維管理方面：物理環(huán)境管理措施簡單、操作管理不規(guī)范等。 4.2 業(yè)務(wù)運營支撐系統(tǒng)業(yè)務(wù)運營支撐系統(tǒng) 客服呼叫中心的脆弱性按照其嚴重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對象業(yè)務(wù)運營支撐系統(tǒng)存在的脆弱性 服務(wù)/ 應(yīng)用 網(wǎng)絡(luò) 網(wǎng)絡(luò)拓撲設(shè)計不合理，無冗余鏈路，單點故障隱患，與互聯(lián)網(wǎng) 連接造成的訪問控制漏洞 設(shè)備 （軟件、 硬件 和數(shù) 據(jù)） 設(shè)備老化； 系統(tǒng)存在可被外界利用的漏洞 技術(shù)脆弱 性 物理 環(huán)境 房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高 管理脆弱性 安全管理機構(gòu)方面：崗位設(shè)置不合理，人員配置過少、目前負 責(zé) dcn 網(wǎng)維護只有一人； 安全管理制度方面：不存在； 人員安全管理方面：不存在； 建設(shè)管理方面：不存在； 運維管理方面：物理環(huán)境管理措施簡單、無惡意代碼防范措施 等 4.3 idc 網(wǎng)網(wǎng) idc 網(wǎng)的脆弱性按照其嚴重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型對象idc 網(wǎng)存在的脆弱性分析 技術(shù)脆弱 性 設(shè)備（軟 件、硬件 不存在 13 和數(shù)據(jù)） 設(shè)備（軟 件、硬件 和數(shù)據(jù)） 不存在 服務(wù)/應(yīng)用不存在 物理環(huán)境idc 網(wǎng)核心機房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高。 管理脆弱性 安全管理機構(gòu)方面：管理 idc 機房部門多，難以精確管理； 安全管理制度方面：不存在； 人員安全管理方面：進入 idc 機房人員多，對進出人員難以 精確管理； 建設(shè)管理方面：不存在； 運維管理方面：物理環(huán)境管理措施簡單、操作管理不規(guī)范等。 5已有安全措施已有安全措施 設(shè)備冗余：各縣、市分公司 dcn 網(wǎng)路由器、交換機、mstp 鏈路均配備 2 臺(條)，作主備及負載均 衡。業(yè)務(wù)支撐系統(tǒng)集群服務(wù)組由八臺性能相當(dāng)?shù)姆?wù)器組成，通過操作系統(tǒng)自帶功能實現(xiàn)負 載均衡；idc 路由器、交換機鏈路均配備 2 臺(條)，作主備及負載均衡。全球眼平臺和農(nóng)村黨教 平臺上聯(lián)均有主備鏈路；全球眼平臺和農(nóng)村黨教平臺服務(wù)器均有主備冗余；b 安全防問控制：通過 eudemon 200 實現(xiàn) dcn 網(wǎng)與互聯(lián)網(wǎng)的隔離；定期修改設(shè)備維護密碼，有效 防護設(shè)備密碼外泄對設(shè)備帶來的風(fēng)險；idc 網(wǎng)絡(luò)設(shè)備與城域網(wǎng)使用同樣的安全訪問控制措施， 限定訪問者的源 ip 地址； 病毒防范措施：在所有服務(wù)器中安裝省公司統(tǒng)一布署的終端安全管理軟件及 360 安全衛(wèi)士，利 用 360 安全衛(wèi)士對操作系統(tǒng)進行補丁安裝升級，以確保系統(tǒng)的安全性及穩(wěn)定性。 數(shù)據(jù)備份：對 dcn 網(wǎng)核心設(shè)備配置數(shù)據(jù)實行異地備份制；對主、次域控服務(wù)器實行多機備份制； 對 oracle 數(shù)據(jù)庫實行異地備份制；對 idc 網(wǎng)核心設(shè)備配置數(shù)據(jù)實行異地備份制；對服務(wù)器實 行定期備份； 重大節(jié)日安全防護情況：制定節(jié)日值班表及相應(yīng)的應(yīng)急預(yù)案； 通信網(wǎng)絡(luò)安全管理制度： 機房出入管理制度：外來人員（來訪者及臨時工作人員）管理：實行進出登記制，專人接待； 機房巡檢制度：每周定期對機房進行巡檢，及時發(fā)現(xiàn)、拔除設(shè)備存在的各項隱患； 密碼管理策略：系統(tǒng)管理員唯一制，口令定期修改審核； 維護管理制度：在電子運維系統(tǒng)中制定維護作業(yè)計劃，定期對相關(guān)設(shè)備進行維護； 14 分權(quán)分域管理：將機房設(shè)備按系統(tǒng)具體分權(quán)至個人； 6安全風(fēng)險分析安全風(fēng)險分析 目前 dcn 網(wǎng)存在的風(fēng)險主要有： 自然災(zāi)害如雷擊：6 月份有 2 個縣公司由于雷擊導(dǎo)致 dcn 網(wǎng)受影響，中斷時間在 1 小時以內(nèi)。 機房環(huán)境：dcn 網(wǎng)核心機房空調(diào)在去年夏天出現(xiàn)過 2 次宕機，致使機房環(huán)境溫度達到 50 度以上， 但由于發(fā)現(xiàn)及時沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機房管理：dcn 網(wǎng)核心機房有 n 多人配有鑰匙，包括裝機班、電力室經(jīng)常未經(jīng)同意即進入機房施 工，施工完后不清理現(xiàn)場衛(wèi)生，給機房環(huán)境很大風(fēng)險；如 5 月中旬動力室穿墻安裝對流風(fēng)扇， 由于不正確的穿墻，導(dǎo)致 dcn 網(wǎng)設(shè)備及業(yè)務(wù)支撐系統(tǒng)集群服務(wù)器全布滿一層厚厚的灰，嚴重 影響設(shè)備正常使用； 人員管理：維護人員單一； 業(yè)務(wù)支撐系統(tǒng)存在的風(fēng)險主要有： 病毒防護：雖然服務(wù)器中安裝有殺毒軟件，但由于使用人員多，4 月份曾發(fā)現(xiàn)極個別營業(yè)員將帶 病毒文件上傳到服務(wù)器中，導(dǎo)致服務(wù)器出現(xiàn)異常； 系統(tǒng)漏洞：由于操作系統(tǒng)本身不足對系統(tǒng)帶來的風(fēng)險； 網(wǎng)絡(luò)故障：由于網(wǎng)絡(luò)設(shè)備出現(xiàn)故障導(dǎo)致服務(wù)中斷，dcn 網(wǎng)割接后 2008 年 10 月由于一臺核心匯 聚交換軟件故障，導(dǎo)致網(wǎng)絡(luò)中斷過一次； 機房管理：it 機房進出人員較多，多人配備有鑰匙，辦公地點與機房相隔較遠，難以有效管理； 人員管理：維護人員單一； 目前 idc 網(wǎng)存在的風(fēng)險主要有： 設(shè)備硬件：3 月由于 2 塊光模塊損壞導(dǎo)致農(nóng)村黨教平臺中斷一小時以上。 機房環(huán)境：idc 網(wǎng)核心機房空調(diào)在去年夏天出現(xiàn)過 2 次宕機，致使機房環(huán)境溫度達到 50 度以上， 但由于發(fā)現(xiàn)及時沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機房管理：dcn 網(wǎng)核心機房有多個部門配有鑰匙