知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 中國電信 江西 省 固定通信網(wǎng) 安全風險評估報告 中國電信 吉安分 公司 二零零 九 年 七 月 評估對象 ： 吉安 IP 接入 網(wǎng) 評估 單位： 吉安分公司網(wǎng)絡維護安裝中心 評 估 日期： 2009 年 7 月 20 日至 2009 年 8 月 10 日 編 號 ： CTSEC jiangxi-jian-01-200907 企業(yè)秘密 編號： CTSEC jiangxi-jian-01-200907 企業(yè)秘密 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 概述 2 1.1 目的 . 2 1.2 內(nèi)容及范圍 . 2 1.3 風險評估方法 . 4 1.4 評估依據(jù) . 錯誤 !未定義書簽。 2 資產(chǎn)分析 4 2.1 城域 網(wǎng) 接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 2.2 城域 網(wǎng) 用戶接入節(jié)點 . 錯誤 !未定義書簽。 3 威脅分析 6 3.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 3.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 4 脆弱性分析 10 4.1 城域網(wǎng)接入?yún)R聚節(jié)點 . 錯誤 !未定義書簽。 4.2 城域網(wǎng)用戶接入節(jié)點 . 錯誤 !未定義書簽。 5 已有安全措施 12 6 安全風險分析 錯誤 !未定義書簽。 7 風險處置計劃及整改情況 12 8 總結 14 9 附件 14 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文檔信息 文檔名稱 中國電信江西省吉安市 IP 承載網(wǎng)安全風險評估報告 文件編號 編制人 王桂英 保密級別 企業(yè)秘密 修改過程 版本號 日期 負責人 概述 V1.0 2009.8.8 劉建平 評審過程 版本號 日期 評審者 概述 分發(fā)范圍知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 概 述 1.1 目的 近期中國電信 陸續(xù)發(fā)生網(wǎng)絡障礙、服務效能事件、安全事件，造成很不良的 社會 影響。為全面查找 IP 承載網(wǎng)的維護管理、網(wǎng)絡運行中存在的薄弱環(huán)節(jié)、安全隱患，并針對存在的問題及時 采取有效措施，全面 開展網(wǎng)絡優(yōu)化、安全整治工作，落實安全防護措施 ，消除安全隱患，從而提高網(wǎng)絡運行的安全性、可靠性，提升網(wǎng)絡運行質(zhì)量， 提升網(wǎng)絡維護、管理水平， 為全業(yè)務運營打下堅實的基礎。同時，為 60 周年國慶活動提供可靠的網(wǎng)絡安全保障。 1.2 內(nèi)容及范圍 定級對象：吉安 IP 接入網(wǎng) 吉安市寬帶接入網(wǎng)經(jīng)過 近 年 來不斷的發(fā)展、變化 ，已形成 中心匯聚層、二級匯聚層、 接入?yún)R聚層 、邊緣接入層四個層次的網(wǎng)絡結構。中心匯聚層主要設置在市本部 81、 82、 83 三個分局、師院機房和各縣市中心機房、重要鄉(xiāng)鎮(zhèn)接入 網(wǎng) 機房，市公司分局和縣市中心機房采用華為 S6503/6506R、 7810 或 9306 設備，各縣重要鄉(xiāng)鎮(zhèn)一級匯聚點采用華為 S3552-EA 交換機；各 中心匯聚層節(jié)點各以一個GE 分別上行至本地的 BRAS， 81、 82、 83 局中心匯聚交換機同時還通過一條GE 鏈路與本機房的 SR 設備互聯(lián)。二級匯聚層節(jié)點包括園區(qū)匯聚節(jié)點和鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點，園區(qū)匯聚節(jié)點設置城區(qū)各大型接入網(wǎng)機房，鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點設置在重要的 鄉(xiāng)鎮(zhèn)接入網(wǎng)機房，采用華為 S3552P/EA 或 3528P/EA 系列設備，二級匯聚層節(jié)點上行一般以一個 GE 接入中心匯聚層節(jié)點；接入?yún)R聚層由小區(qū)中心交換機和一般的鄉(xiāng)鎮(zhèn)接入網(wǎng)點組成，采用華為 S2000 系列設備并以一個 GE 或 FE 上行園區(qū)匯聚節(jié)點或鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點。 在市本部分局機房和縣市中心機房還設有一臺大客戶專用接入交換機，主要采用華為 3500 系列交換機。 邊緣接入層主要由 DSLAM 設備和樓層交換機構成，中心機房的 DSLAM 設備直接接入本局的中心匯聚交換機，城區(qū)接入網(wǎng)機房和鄉(xiāng)鎮(zhèn)接入網(wǎng)機房的寬帶DSLAM 設備 就近接入該節(jié)點 匯聚或接入 交換機，部分鄉(xiāng)鎮(zhèn)由于業(yè)務量小沒有設置小區(qū)中心節(jié)點，該鄉(xiāng)鎮(zhèn)寬帶 DSLAM 設備直接上連該鄉(xiāng)鎮(zhèn)所屬的鄉(xiāng)鎮(zhèn)中心匯聚節(jié)點交換機，上連方式絕大部分為 FE，少部分二級匯聚點的 DSLAM 設備以 GE 上 3 行。目前全市接入交換機 95%以上采用華為的 S2000 系列交換機，類型主要有華為 S2403H/EI/HI/H-EA、 S2016/EI/HI、 S2008/EI/HI 等，也使用了少量的中興 S2818和 S2816 交換機。 DSLAM 設備有中興 8210/8220/9210、華為 5300/5600/5615/5605及 阿爾卡特 7300/7302/7324 等。 隨著近兩年“光進銅退”進程的推進和 EPON 技術的推廣應用， EPON 網(wǎng)絡在我市寬帶接入網(wǎng)絡中已具一定的規(guī)模， 目前已在全市所有一級匯聚節(jié)點和部分二級匯聚節(jié)點部署 OLT 設備，該設備一般以 1 個 GE 就近接入同機房的匯聚交換機。ONU 設備 主要分布在 城區(qū)和農(nóng)村 光進銅退室外接入點、酒店賓館、中小型企業(yè)和新建小區(qū)等區(qū)域 ，一般通過一級分光 連接 OLT， 農(nóng)村 地區(qū) 少數(shù)網(wǎng)點 存在二級分光。 截止 2009 年 7 月 31 日，全市已建 OLT設備 約 30 臺， ONU設備共 380 臺， 其中90%以上使用的 是中興設備，部分為華為設備。 OLT的設備型號主要有中興 C220、C200 設備、華為 5180T。 ONU 設備型號主要有中興 9806H、 F820、 F401/42 等，華為的 5620E、 5616T等。 網(wǎng)絡結構模型圖如下： SiSi寬帶 IP 城域網(wǎng)B RAS樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層SR大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)D S L A M 設備ODN 網(wǎng)ONU設備ONU設備O L T 設備F T T X 網(wǎng)絡D S L A M 設備政企專線客戶樓道交換機接入網(wǎng)D S L A M 設備D S L A M 設備中心機房匯聚交換機寬帶 城域網(wǎng)樓道交換機一般鄉(xiāng)鎮(zhèn)或接入網(wǎng)點 三級接入層大客戶接入交換機寬帶 城域網(wǎng)中心匯聚層小區(qū)中心二級匯聚層邊緣接入層業(yè)務接入控制層政企專線客戶政企專線客戶中心局或重要鄉(xiāng)鎮(zhèn)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)城區(qū)接入網(wǎng)機房重要鄉(xiāng)鎮(zhèn)光纜網(wǎng)光纜 光纜政企專線客戶接入網(wǎng)設備網(wǎng)設備設備設備網(wǎng)絡設備政企專線客戶樓道交換機接入網(wǎng)設備設備中心機房匯聚交換機本次評估將從吉安 IP 城域網(wǎng) 接入層 的網(wǎng)絡結構、 拓撲 部署的合理性，設備運行安全、可靠性（包括硬件環(huán)境、單板、單點隱患、設備性能、鏈路可靠性、安全防 4 護、數(shù)據(jù)配置的規(guī)范性等）和維護管理等幾個方面進行風險評估。 1.3 風險評估方法 本次評估采取的評估方式有：查閱文檔、 咨詢廠家、 技術驗證、測試、人工檢 查 ，維護骨干集中討論、分析 。 評估步驟：首先進行資產(chǎn)的識別、確定評估對象、評估方法、確定評估的具體內(nèi)容、 收集相關信息、開展脆弱性評估、威脅性評估，編寫評估報告和整治計劃。 評估方法有： 根據(jù)收集網(wǎng)絡和設備現(xiàn)狀相關信息，與相關維護管理規(guī)范和廠家設備技術規(guī)范核查，并結合實際維護工作經(jīng)驗，識別設備威脅和脆弱性。 2 資產(chǎn) 分析 IP 城域 網(wǎng) 接入層 包括 接入?yún)R聚節(jié)點和 用戶 接入節(jié)點，其中的接入?yún)R聚節(jié)點按照重要性分為三級， 用戶 接入節(jié)點按照接入用戶數(shù) 以及接入設備類型 也分為大型 ADSL節(jié)點、普通 ADSL接入節(jié)點以及樓棟交換機等 ， 涉及 的資產(chǎn) 重要性分析如下： 2.1 接入?yún)R聚節(jié)點 吉安 IP 城域網(wǎng) 接入?yún)R聚節(jié)點為城域網(wǎng)絡二層網(wǎng)絡的接入?yún)R聚 設備 ，尤其是其一級接入?yún)R聚節(jié)點，為二層網(wǎng)絡樹型拓撲的樹根 ，具有非常高的重要性。 表 1 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 一級接入?yún)R聚節(jié)點 硬件 高 軟件：軟件版本文件 高 提供的服務 高 重要數(shù)據(jù)： vlan的透傳 與 vlan 的封裝 高 文檔 中 維護 人員 中 5 網(wǎng)絡拓撲 中 2 二級接入?yún)R聚節(jié)點 硬件 高 軟件：軟件版本文件 高 重要數(shù)據(jù)： vlan的透傳于 vlan 的封裝 高 提供的服務 中 維護人員 中 網(wǎng)絡拓撲 低 文檔 中 3 三級接入?yún)R聚節(jié)點 硬件 中 軟件：軟件版本文件 中 重要數(shù)據(jù)： vlan的透傳于 vlan 的封裝 中 提供的服務 中 維護人員 中 網(wǎng)絡拓撲 中 文檔 中 2.2 用戶接入節(jié)點 吉安城域網(wǎng) 用戶接入節(jié)點按照接入用戶數(shù)以及接入設備類型可以分為大中型ADSL 接入節(jié)點、小型 ADSL 接入節(jié)點和樓棟交換機，且由其接入用戶數(shù)的多少其重要性也有區(qū)別 。 表 2 資產(chǎn) 重要性列表 序號 資產(chǎn) 名稱 資產(chǎn)類型 重要性等級 1 大中型 ADSL接入節(jié)點 硬件 高 6 軟件：軟件版本文件 高 重要數(shù)據(jù)： 端口配置數(shù)據(jù)以及速率模板配置等 高 提供的服務 低 文檔 中 人員 中 網(wǎng)絡拓撲 中 2 小型 ADSL接入節(jié)點以及樓棟交換機 硬件 中 軟件：軟件版本文件 中 重要數(shù)據(jù)： 用戶接入端口數(shù)據(jù)配置以及速率模板 中 提供的服務 低 文檔 低 維護人員 低 網(wǎng)絡拓撲 低 3 威脅 分析 IP 城域網(wǎng) 的威脅根據(jù)來源 可分為 技術威脅、 環(huán)境威脅 、 人為威脅 和 其他威脅 。環(huán)境 威脅 包括自然界不可抗的 威脅 和其它物理 威脅 。根據(jù)威脅的動機，人為 威脅 又可分為惡意和非惡意兩種。 1、 人為威脅 1） 非惡意人為威脅：維護人員的操作不當，從而影響到設備的正常運行。為了防止該現(xiàn)象發(fā)生，在設備升級、業(yè)務割接前應準備好詳細的升級和割接方案，一旦升級、割接失敗則立即啟用回退方案；嚴格落實局數(shù)據(jù)修改規(guī)范，落實雙人制度：1 人操作， 1 人檢查，防止誤操作。 嚴格控制操作人員權限，不具備操作技能的人 7 員不給于權限。 2） 惡意人為威脅：人為的惡意攻擊、導致設備癱瘓。為了防止此類現(xiàn)象發(fā)生，已在設備上設置帳號 密碼， 一級接入?yún)R聚交換機 采用 1 人 1 個帳號的原則， 在接入控制層 啟用防護策略 拒絕一切非法 IP 的訪問以及關閉一切沒必要的端口 ，嚴格落實設備數(shù)據(jù)配置規(guī)范，關閉不必要的服務， 通過訪問控制列表精細控制不同應用類型的訪問設備的源地址及其訪問權限。 此外，應在城域網(wǎng)中部署一臺流量清洗設備，來有效過濾網(wǎng)絡中的惡意流量。 同時做好機房的“四防”工作。 2、 技術威脅 設備硬件問題和軟件 BUG 造成設備性能下降，影響網(wǎng)絡運行，為防止該類現(xiàn)象發(fā)生，需采用 IP 綜合網(wǎng)管平臺對設備和網(wǎng)絡 運行情況進行監(jiān)控，同時要求各設備廠家維護人員定期對 一級接入 匯聚 設備進行巡檢，廠家發(fā)現(xiàn)軟、硬件的 BUG 和隱患應及時告知局方，并采取有效措施予以規(guī)避和解決。 3、 環(huán)境威脅 1） 自然界不可抗的威脅： IP 承載網(wǎng) 接入 層 一、二級接入?yún)R聚設備以及大中型 ADSL接入節(jié)點均部署在電信機房，遭遇雷擊 的可能性極小 ，部分三級接入?yún)R聚交換機以及小型 ADSL 節(jié)點與樓棟交換機部署在比較簡易的機房或者用戶樓層內(nèi)，面臨雷擊威脅，為防止或者盡量降低該類危險造成的損失，每年會對雷區(qū)設備進行清查統(tǒng)計，并作好防雷工作 ； 2） 其他物理威脅：機房環(huán)境溫度造成設備出現(xiàn)異常，需利用動環(huán)監(jiān)控系統(tǒng)，實時監(jiān)控機房環(huán)境溫 度， 嚴格控制好通信機房的環(huán)境溫濕度； 此外，利用 IP 綜合網(wǎng)管的告警平臺， 對設備溫度進行實時告警，發(fā)現(xiàn)異常，立即進行處理 ；小型 ADSL以及樓棟交換機等節(jié)點，大量部署在戶外機柜或者樓宇內(nèi)，存在環(huán)境溫度以及電源不穩(wěn)定等威脅，對此，利用 IP 綜合網(wǎng)管告警平臺，監(jiān)視 節(jié)點的運行情況，發(fā)現(xiàn)異常，立即派維護人員現(xiàn)場排查。 IP 城域網(wǎng) 接入層 的威脅分析 如下： 3.1 接入?yún)R聚節(jié)點 1、 一級接入?yún)R聚節(jié)點 ： 1）、 自然界不可抗力的威脅： 一級接入?yún)R聚節(jié)點 設備 一般 放置在 市縣局 通信樞紐樓，房屋結構結實，地勢 較高，并且按照通信樓的建設標準安裝了多級 防雷設施，機房抗震、防雷、防洪等性能都較強，受自然界不可抗力的威脅較低。 2）、 其他物理威脅（環(huán)境威脅）： 一級接入?yún)R聚節(jié)點設備所處 機房 環(huán)境溫濕度符合要求，密封性好，不存在相關威脅。 8 3）、 惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡劣，網(wǎng)絡病毒、攻擊手 段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時有發(fā)生，而由于該設備作為城域網(wǎng)網(wǎng)絡設備管理的中轉節(jié)點，尚未在城域網(wǎng)絡上做有效的防護措施 ，因而我們認為其受惡意和非惡意 人為威脅的可能性比較大，定義威脅等級 為“高 ”級。 4）、 其他威脅： 低 2、 二級接入?yún)R聚節(jié)點 ： 1） 自然界不可抗力的威脅： 二級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng)重要的接入網(wǎng)機房，該類機房 房屋結構結實，并且按照 接入網(wǎng)機房 的建設標準安裝了防雷設施，機房防雷性能都較強。 2） 其他物理威脅（環(huán)境威脅）： 該類 機房 只有部分配備了 空調(diào)， 監(jiān)控手段還不是很完善，而且由于維護人員緊張，目前機房的定期巡檢難以落實，工程隨工也不到位、機房的現(xiàn)場管理水平還較低，機房環(huán)境難以滿足通信要求和規(guī)范，對設備運行造成一定的威脅。 3） 惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡劣，網(wǎng)絡病毒 、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時有發(fā)生，而目前 在相關的 BAS 上針對網(wǎng)絡設備管理地址設置了訪問控制，只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關端口的訪問權限，同 時設備本身配置遠程管理登陸賬號和密碼。但是由于該類設備大多部署在 無人值守接入網(wǎng)機房， 目前機房的現(xiàn)場管理水平還有一定的差距，對設備來說存在一定的惡意和非惡意認為威脅性 。 4） 其他威脅： 3、三級接入?yún)R聚節(jié)點： 1） 自然界不可抗力的威脅： 三 級接入?yún)R聚節(jié)點一般部署在縣鄉(xiāng) 偏遠 的接入網(wǎng)機房，該類機房房屋結構 一般 ， 部署了 一定能力的防雷措施，該類機房 對抗自然界不可抗拒力的威脅能力一般。 2） 其他物理威脅（環(huán)境威脅）：機房 部分 配備空調(diào) ，且空調(diào)性能一般 ， 物理環(huán)境相對較惡劣 ， 具有較大的環(huán)境威脅 。 3）惡意和非惡意人為威脅：考慮設備運行公網(wǎng)中，目前互聯(lián)網(wǎng)網(wǎng)絡環(huán)境日益復雜和惡劣，網(wǎng)絡病毒、攻擊手段越來越多樣、隱蔽、高明，各種網(wǎng)絡安全事件時有發(fā)生，而目前在相關的 BAS 上針對網(wǎng)絡設備管理地址設置了訪問控制，只允許少量網(wǎng)管網(wǎng)段以及網(wǎng)管軟件相關端口的訪問權限，同時設備本身配置遠程管理登陸賬號和密碼。但是由于該類設備大多部署 在 無人值守接入網(wǎng)機房 ，且防盜防暴等 9 措施一般 ， 存在一定的威脅性 。 4） 其他威脅： 低 4、邊緣接入節(jié)點： 邊緣接入節(jié)點主要是指在偏遠鄉(xiāng)鎮(zhèn)接入網(wǎng)機房、行政村接入網(wǎng)點、室外機柜、樓宇內(nèi)的交換機、 DSLAM 或 ONU等設備。 這類節(jié)點物理 環(huán)境相對較惡劣 ，其 防雷防潮性能一般，抗自然災害能力 、防破壞 能力都 較弱。但是該類節(jié)點用戶量 少且和用戶 質(zhì)量較差 ，節(jié)點眾多，要改善相關環(huán)境投入成本較高，收益不明顯。 序號 資產(chǎn)名稱 面臨威脅類型 威脅可能性等級 1 一級接入?yún)R聚節(jié)點 設備（包括匯聚交換機、 DSLAM、 OLT等設備） 自然界不可抗的威脅 低 其它物理威脅（環(huán)境威脅 ） 低 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 2 二級接入?yún)R聚節(jié)點 （包括匯聚交換機、DSLAM、 OLT等設備） 自然界不可抗的威脅 中 其它物理威脅（環(huán)境威脅） 中 惡意人為威脅 中 非惡意人為威脅 中 其它威脅 低 3 三級接入?yún)R聚節(jié)點 （包括匯聚交換機、DSLAM、 OLT等設備） 自然界不可抗的威脅（環(huán)境威脅） 中 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 中 4 邊緣接入節(jié)點（ DSLAM、接入交換機、 自然界不可抗的威脅 高 10 樓層交換機、 ONU等設備） 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 高 非惡意人為威脅 高 其它威脅 低 4 脆弱性 和風險 分析 IP 接入網(wǎng) 的脆弱性包括技術脆弱性和管理脆弱性兩個方面 ，技術脆弱性又可分為業(yè)務 /應用、網(wǎng)絡、設備（含操作系統(tǒng)和數(shù)據(jù)庫）、 物理環(huán)境等方面的脆弱性 。脆弱性識別對象應以資產(chǎn)為核心。 吉安 IP 城域 網(wǎng) 接入網(wǎng) 的 脆弱性 分析 如下： 一、技術脆弱性 4.1 一級匯聚 層 1、 市本部 81 局、新干、永豐、吉水、吉安縣、安福、永新、井岡山、泰和、遂川 中心局一級匯聚交換機 6503 設備 和峽江、萬安 6506R設備 主控卡均為單配， 一旦該控制卡發(fā)生故障，將導致整個設備中斷，中斷整個 IP 端局的寬帶業(yè)務， 存在嚴重的單板隱患。 除峽江、萬安 6506 可增配一塊主控板，進行主備冗余外，其他節(jié)點的設備無法解決單板隱患，因為 6503 只能單主控板運行，只能通過分擔業(yè)務減輕隱患的影響的程度。 2、 目前全市所有的一級匯聚設備至 BRAS 和 SR設備的上行鏈路均只有 1 條，存在單鏈隱患。 3、新干、永豐、吉水、安福、永新 目前只設有一個一級匯聚點， 全縣的業(yè)務集中由該匯聚交換機承載，存在較大的單 點隱患 ，可在下半年或明年的接入網(wǎng)優(yōu)化、擴容工程中 建設第二一級匯聚節(jié)點或設備予以解決。 4、 一級接入?yún)R聚設備 S9300 系列交換機，基于端口的靈活 qinq 部署，存在內(nèi)層vlan 數(shù)的限制，致使業(yè)務的配置復雜化，增大了日常的維護工作量，以及排查故障的難度。廠家反映能通過升級軟件版本的方法解決，但是目前無成熟版本。 S6500系列交換機對靈活 qinq 的支持不僅不成熟，而且存在廣播復制、流量復制等問題存在安全隱患。 4.2 二、三級匯聚 層 1、 目前所有的 EPON OLT設備主控板為單配， 存在單板隱患，同時其上行鏈路一般只有 1 條， 為單鏈路。 11 2、 所有的二級匯聚設備均為裸光纖單鏈傳輸，無任何保護措施，傳輸可靠性差。此問題由于涉及新技術的引用和接入網(wǎng)網(wǎng)絡架構的 重新 設計與規(guī)劃，且建設成本較高， 需從長計議。 3、 部分三級匯聚設備性能低，負荷重，不能滿足網(wǎng)絡和業(yè)務發(fā)展 的 需要 ， 具體設備情況見附件。 4.3 邊緣接入層 1、目前所有的大型 DSLAM 設備主控板均為單配，一旦發(fā)生故障，不僅導致整個設備的業(yè)務中斷，而且由于更換板卡，數(shù)據(jù)也全部丟失，恢復起來時間長且容易丟失用戶屬性數(shù)據(jù)。 2、 部分 DSLAM 設備風扇已損壞，導致設備溫度過高而引發(fā)故障。 具體 設備詳見附件。 3、部分 大型 DSLAM， 如 阿爾卡特 7300、中興 ZX8210 等設備使用年限達 7-8 年，設備老化 現(xiàn)象嚴重 ， 故障發(fā)生頻繁， 影響用戶感知 ，可考慮將該類設備 進行 退網(wǎng) 。目前全市共有 ZX8210 共 22 臺，各個縣市均有 1-2 臺； 7300 設備 17 臺，其中泰和 1 臺，吉安市 16 臺。 4、 各類 DSLAM 設備的軟件版本和板卡硬件版本不統(tǒng)一，有些甚至存在 BUG，需統(tǒng)一進行升級。 5、樓層 BAN 箱、室外機柜存在門鎖損壞、布線凌亂、未接地或接地不規(guī)范、電源插座不牢固等問題，均不同程度地引發(fā)設備故障、用戶故障，需加以整治。 6、 EPON 網(wǎng)絡存在工程建設不規(guī)范、設備性能不穩(wěn)定、業(yè)務技術支持能力不足、網(wǎng)管系統(tǒng)功能不完善等問題，需加以整治和改進。 二、管理脆弱性 1、 作業(yè)計劃流于形式，執(zhí)行不到位，導致設備表面、風扇過濾網(wǎng)灰塵過多 而 引發(fā)故障；設備數(shù)據(jù)未定期備份，尤其是一些大型 DSLAM 的數(shù)據(jù)，各縣市基本未做備份，一旦出現(xiàn)主控板等故障，將無法迅速恢復數(shù)據(jù)，影響故障修復速度，同時冗余丟失數(shù)據(jù)，影響用戶上網(wǎng)。 設備日常監(jiān)視、巡檢工作落實不到位，以致發(fā)生告警和故障隱患不能及時發(fā)現(xiàn)和處理。 2、 部分新建 的 接入網(wǎng)點，機房封閉， 無窗戶， 且無空調(diào)以 及相關通風換氣系統(tǒng)，部分老機房要么未安裝空調(diào)、要么空調(diào)和通風換氣設施不能正常運轉， 導致機房環(huán)境 溫濕度不符合要求，空氣質(zhì)量差、靜電多 ； 不僅 僅影響了工作人員的現(xiàn)場工作效率，更影響設備的正常運行，加速了設備的損耗速度，需加以整 治。 12 3、 由于人員不足，且工程周期短，往往工程已竣工就馬上開放業(yè)務，工程隨工、驗收等工作嚴重缺失，導致工程建設不規(guī)范，留下很多遺留問題 在維護工作中不斷補漏、優(yōu)化，不僅使維護工作不斷處于應對局面，降低維護工作效率，更重要是降低網(wǎng)絡質(zhì)量、影響感知。 4、接入網(wǎng)設備普遍存在數(shù)據(jù)配置不嚴謹、規(guī)范，如 設備、電路命名或描述不規(guī)范、冗余數(shù)據(jù)較多、重要參數(shù)選擇不正確等，需進行全面梳理和整改。 5、設備、電路標簽標識不規(guī)范，資料未及時在 CRM 系統(tǒng)、 IP 綜合網(wǎng)管系統(tǒng)更新。 6、接入層面設備的備品備件不足，尤其是 EPON 設備，嚴重影響日常故障的及時修復。 5 已 采取的安全 措施 1、 為解決備品備件不足問題，省、市公司已著手購買一批備品備件。 2、 市本部上半年已開展了樓層 BAN 箱的整治，目前已將門鎖的問題、接地、電源問題將基本處理和解決，但布線整治由于涉及幾個部門的配合及工作量較大而基本未開展。 3、 已經(jīng)制定詳盡的城域網(wǎng)業(yè) 務承載和數(shù)據(jù)配置規(guī)范、相關工程規(guī)范，準備近期下發(fā)執(zhí)行。 6 風險處置計劃及整改情況 對于在檢查過程中可通過整改消除的風險，企業(yè)應及時整改，并說明整改情況。 序號 網(wǎng)絡風險 處置計劃 責任部門 預期效果 實施條件 計劃進度 1 一級匯聚設備上行鏈路 單鏈隱患 通過鏈路捆綁的方式將上行單鏈路改為聚合鏈路上行 網(wǎng)維中心 、各縣市 提高 一級匯聚交換機上行鏈路傳輸 可靠性 ，消除 單鏈隱患。 一級匯聚交換機和 BAS、 SR設備上有足夠的前兆端口及相關光模塊。 9 月底前 2 峽 江 、 萬 安6506R 單主控板隱患 增配一塊主控板 網(wǎng)維 中心 、建設中心 實現(xiàn)主控板的主備冗 余保護，解決此兩臺設備的單主控板隱患。 購置兩塊同型號的主控板 10 月中旬前 3 EPON OLT 設 考慮設備的重 建設中心、 網(wǎng) 實現(xiàn) OLT 設備 購置 20塊左右 年底 13 備主控單配問題 要性，針對一級 匯 聚點 的OLT 設備每臺設備增配 1 塊主控板 維中心、各縣市 主控板熱備冗余保護。 的主控板 4 新干、永豐、吉水、安福、永新單一級匯聚節(jié)點設置問題 建設第二個一級匯聚節(jié)點或設備 建設中心、 網(wǎng)維中心 、相關縣市 減輕單點隱患 建設資金 2010 年接入網(wǎng)優(yōu)化工程，大約在 10 年 3 月底前 5 部 分三級匯聚設備性能低問題 采取調(diào)配或新建的方式，將設備更換成更高性能的設備 建設中心、 網(wǎng)維中心 、各縣市 提 高 設備 性能，滿足業(yè)務、網(wǎng)絡發(fā)展需求 有設備可調(diào)配或新購設備 年底 6 部分大型DSLAM 設備主控板單配問題 對承載用戶數(shù)超過 400 的DSLAM 設備增配備用控制卡 建設中心、 網(wǎng)維中心 、各縣市 提高設備運行穩(wěn)定性 建設投資 2010 年上半年 7 部分 DSLAM設備風扇損壞問題 開展 DSLAM設備全面巡檢工作，重點檢查設備風扇、板 卡 故障 隱患，發(fā)現(xiàn)問題予以維修 網(wǎng)維中心、各縣市 提高 DSLAM設備運行穩(wěn)