知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 中國電信 江西 省 支撐網(wǎng) 安全風(fēng)險評估報告 中國電信 吉安市 公司 二零零 玖 年 陸 月 評估對象 ： 填寫定級對象名稱 評估 單位： 填寫評估單位名稱 評 估 日期： 2009 年 6 月 1 日至 2009 年 9 月 30 日 編號： 單位（中國電信為 CTSEC） -省（如湖北為 HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密編號： 單位（中國電信為 CTSEC） -省（如湖北為 HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC） -?。ㄈ绾睘?HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 編號： 單位（中國電信為 CTSEC） -省（如湖北為 HUBEI） -文檔編號（ 01 開始） -時間（ 200904） 企業(yè)秘密 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 概述 3 1.1 目的 . 3 1.2 內(nèi)容及范圍 . 3 1.3 風(fēng)險評估方法 . 3 1.4 評估依據(jù) . 3 2 資產(chǎn)分析 4 2.1 DCN 網(wǎng) . 錯誤 !未定義書簽。 2.2 業(yè)務(wù)運營支撐系統(tǒng) . 4 3 威脅分析 6 3.1 DCN 網(wǎng) . 錯誤 !未定義書簽。 3.2 業(yè)務(wù)運營支撐系統(tǒng) . 9 4 脆弱性分析 11 4.1 DCN 網(wǎng) . 錯誤 !未定義書簽。 4.2 業(yè)務(wù)運營支撐系統(tǒng) . 12 5 已有安全措施 13 6 安全風(fēng)險分析 14 7 風(fēng)險處置計劃及整改情況 15 8 總結(jié) 15 9 附件 15 II 內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印 文 檔信息 文檔名稱 文件編號 編制人 保密級別 企業(yè)秘密 修改過程 版本號 日期 負(fù)責(zé)人 概述 評審過程 版本號 日期 評審者 概述 分發(fā)范圍知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 概 述 1.1 目的 集團公司關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知中國電信 2009 510 號文、原信息產(chǎn)業(yè)部關(guān)于進一步開展電信網(wǎng)絡(luò)安全防護工作的實施意 見（信部電 2007555 號）、工業(yè)和信息化部關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知（工信部保 2009 224 號 )。 為進一步查找我 市 DCN 網(wǎng)絡(luò)安全運營的薄弱環(huán)節(jié)、落實防護措施、消除安全隱患，提高通信網(wǎng)絡(luò)整體安全防護水平，并為國慶 60 周年網(wǎng)絡(luò)安全保障工作打好基礎(chǔ) 。 1.2 內(nèi)容及范圍 吉安市 DCN 網(wǎng) 于 2008 年 6 月在原 DCN 網(wǎng)基礎(chǔ)上升級擴容而成， 市公司核心層由 二 臺 匯聚路由器 NE40-4、二 臺三層交換機 3952、一臺 Eudemon 200 防火墻 及二臺 5200F 組成，通過 2*155M光纖上聯(lián)至省公司 DCN 網(wǎng)， 市公 司本埠井岡山大道生產(chǎn)樓、河?xùn)|分局、城南分局通過 1*100M光纖上聯(lián)到匯聚路由器 NE40 中 ； 井岡山大道辦公樓通過 1*100M 光纖上聯(lián)至 5200F，各縣市分公司辦公樓通過 1*10M 的 MSTP 鏈路上聯(lián)至 5200F； 各縣市分公司配置兩臺 AR46-8 路由器及 2臺三層 3528 交換機 通過 2*10M 的 MSTP 鏈路 上聯(lián)至匯聚路由器 NE40-4， 為了 更好的滿足 DCN網(wǎng) 中部分辦公人員收發(fā)郵件、查找資料需求， 利用 Eudemon200 實現(xiàn) DCN 網(wǎng)與互聯(lián)網(wǎng)的隔離，防范 來自互聯(lián)網(wǎng)的惡意攻擊及病毒感染 。 業(yè)務(wù)運營支撐系 統(tǒng)采用 C/S 架構(gòu)，服 務(wù)器端由 8 臺性能相當(dāng)?shù)姆?wù)器組成一組負(fù)載均衡終端服務(wù)器集群，客戶端設(shè)備為瘦客戶機，客戶端通過 RDP 連接到集群服務(wù)器 。 吉安市 IDC 網(wǎng)絡(luò)機房于 2007 年 5 月從數(shù)據(jù)機房分離，市公司核心層由一臺 匯聚路由器cisco12416、一臺三層交換機華為 6506、兩臺 S5624P、一臺 H3C 5500 和一臺華為 usg3040組成，通過 2*1000M 光纖上聯(lián)至城域網(wǎng)。 全球眼系統(tǒng)平臺由 7 臺服務(wù)器和一臺磁盤陣列組成，客戶端設(shè)備為視頻服務(wù)器。客戶端通過城域網(wǎng)連接到平臺。 農(nóng)村黨教市級平臺由 13 臺服務(wù)器和 2 臺磁盤陣列組成，各縣級平 臺由 2 臺服務(wù)器組成，共 35臺服務(wù)器。 主機托管服務(wù)由 IDC 機房提供電源和網(wǎng)絡(luò)。 本次評估內(nèi)容包括管理制度、防攻擊防病毒、安全防范等進行風(fēng)險評估。 1.3 風(fēng)險評估方法 評估方式包括訪談、查閱文檔、測試等，評估步驟包括資產(chǎn)識別、脆弱性識別、威脅識別等，方法包括具體的資產(chǎn)、威脅和脆弱性識別方法，風(fēng)險分析方法、風(fēng)險結(jié)果判斷依據(jù)等。 1.4 評估依據(jù) 說明 支撐網(wǎng) 安全風(fēng)險評估參考的標(biāo)準(zhǔn)和文檔，如安全防護系列標(biāo)準(zhǔn)等。 4 2 資產(chǎn) 分析 說明該定級對象包括的資產(chǎn)及相關(guān)屬性。 支撐網(wǎng)的 資產(chǎn)分析 范圍包括： DCN 網(wǎng) 和業(yè)務(wù)運營支撐系統(tǒng)。 DCN 網(wǎng) 覆蓋以下 網(wǎng)絡(luò)： 固定通信網(wǎng)、消息網(wǎng)、智能網(wǎng)、接入網(wǎng)、傳送網(wǎng)、 IP 承載網(wǎng)、信令網(wǎng)、同步網(wǎng) 。業(yè)務(wù)運營支撐系統(tǒng)包括：計費系統(tǒng)、營業(yè)系統(tǒng)、賬務(wù)系統(tǒng)。 涉及的資產(chǎn)重要性分析如下 ： 2.1 DCN網(wǎng) DCN 網(wǎng) 資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性， 其 資產(chǎn) 類型 大致包括 設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 DCN 網(wǎng) 資產(chǎn) 按照重要性，分為高、中、低三檔， 列表如下： 表 1 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 DCN 網(wǎng) 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護 人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號資源 低 文檔 中 其它 中 注：支撐網(wǎng)的資產(chǎn)可分為設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。附表 1給出了支撐網(wǎng)的資產(chǎn)列表， 各省公司可參考此表進行資產(chǎn)分析，但不限于此表 附表 1 DCN 網(wǎng)資產(chǎn) 列表 序號 節(jié)點名稱 設(shè)備型號 數(shù)量 155M 1000M 電口 FE 電口 FE 光口(10K) FE 光口(40K) 1 吉安 NE40-4 2 2 4 32 16 2 吉安 LS-3952P-EI 2 4 96 3 吉安 LS-3528-EA 27 648 28 4 吉安 AR4680 23 184 5 6 7 8 合計 54 2 8 960 44 0 2.2 業(yè)務(wù)運營支撐系統(tǒng) 業(yè)務(wù)運營支撐系統(tǒng) 資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性， 其 資產(chǎn) 類型 大致包括 設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 5 客服呼叫中心 資產(chǎn) 按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性等級 1 業(yè)務(wù)運營支撐系統(tǒng) 設(shè)備硬件 中 設(shè)備軟 件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號資源 低 文檔 中 其它 中 附表 2 業(yè)務(wù)運營支撐系統(tǒng)資產(chǎn) 列表 序號 節(jié)點名稱 設(shè)備型號 數(shù)量 內(nèi)存 CPU 硬盤 RAID級別 IP 地址 容量（ G） 數(shù)量 主頻 數(shù)量 總?cè)萘?數(shù)量 1 NLB-1 POWEREDGE-2850 1 5 6 Intel xeonl 3.0 2 68 1 0 134.240.7.87 2 NLB-2 升騰資訊終端服務(wù)器 1 4 intelR xe onl 3.2X2 2 68 2 1 134.240.7.94 3 NLB-3 POWEREDGE-2950 1 4 2 E5310 1.6G*4 2 272 4 5 134.240.7.83 4 NLB-4 POWEREDGE-2950 1 4 2 E5405 2.0*4 2 1159G 6 5 134.240.7.102 5 NLB-5 升騰資訊終端服務(wù)器 1 4 intelR xe onl 3.2X2 2 68 2 1 134.240.7.194 6 NLB-6 升騰資訊終端服務(wù)器 1 4 intelR xe onl 3.2X2 2 68 2 1 134.240.7.93 7 NLB-7 POWEREDGE-2850 1 5 6 Intel xeonl 3.0 2 68 1 0 134.240.7.146 8 NLB-8 POWEREDGE-2650 1 3 6 Intel xeonl 2.4 2 219 2 0 134.240.7.86 9 主域控制器 POWEREDGE-2950 1 4 4 E5310 1.6G*4 2 372G 5 134.240.7.97 10 WEB 服務(wù)器 POWEREDGE-2950 1 4 2 E5405 2.0*4 2 1159G 6 5 134.240.7.99 11 終端服 POWEREDG 1 2 4 Intel 2 204 2 0 134.240. 6 務(wù)器 E 1750 xeonl 2.4*2 7.90 12 故障機 POWEREDGE 1750 1 1 2 Intel xeonl 2.4*2 2 146 2 0 134.240.7.31 13 終端服務(wù)器 HPPROLIANTML150 1 2 2 Intel xeonl 2.8*2 2 68 1 0 134.240.7.92 14 CAMS 服務(wù)器 POWEREDGE 2500 1 512M 2 PENTIUM III 1.1 1 34 1 0 134.240.7.89 15 電話營銷系統(tǒng) 研華科技 610L 1 1G 2 Pentium 四 3.0 2 146 1 0 134.240.7.20 16 GPS 導(dǎo)航系統(tǒng) HP ML 370 1 1G 2 Intel xeonl 3.0*2 2 66 2 0 61.180.4.250 17 磁盤陣列 ENC-2000 1 0 0 00 0 8 18 計費聯(lián)采 -101 IBM-8671 1 134.240.24.101 19 計費聯(lián)采 -102 IBM-8671 1 134.240.24.102 20 合計 2.3 IDC 網(wǎng) IDC 網(wǎng) 資產(chǎn)的識別與選取應(yīng)符合科學(xué)性、合理性，其資產(chǎn)類型大致包括 設(shè)備硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、文檔和人員等。 客服呼叫中心資產(chǎn)按照重要性，分為高、中、低三檔，列表如下： 表 2 資產(chǎn) 重要性列表 序號 資產(chǎn)名稱 資產(chǎn)類型 重要性 等級 1 全球眼業(yè)務(wù)平臺 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 維護人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號資源 低 文檔 中 其它 中 1 農(nóng)村黨教網(wǎng)平臺 設(shè)備硬件 中 設(shè)備軟件 中 重要數(shù)據(jù) 中 提供的服務(wù) 中 7 維護人員 中 網(wǎng)絡(luò)拓?fù)?中 碼號資源 低 文檔 中 其它 中 附表 3 IDC 資產(chǎn) 列表 序號 節(jié)點名稱 設(shè)備型號 數(shù)量 1 吉安 POWEREDGE-2950 7 2 吉安 磁盤陣列 1 3 吉安 HP DL380 35 4 吉安 Usg3040 1 5 吉安 磁盤陣列 2 6 7 合計 46 3 威脅 分析 支撐網(wǎng)的威脅可分為設(shè)備威脅、環(huán)境威脅和人為威脅。環(huán)境 威脅 包括自然界不可抗的 威脅 和其它物理 威脅 。根據(jù)威脅的動機，人為 威脅 又可分為惡意和非惡意兩種。 附表 2給出支撐網(wǎng)的威脅列表 。 附表 2 支撐網(wǎng)威脅列 表 來源 威脅描述 設(shè)備威脅 各類設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失，系統(tǒng)宕機 環(huán)境威脅 物理環(huán)境 斷電、靜電 、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊線路方面的故障 自然災(zāi)害 鼠蟻蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺風(fēng)、雷電 人為威脅 惡意人員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 非惡意人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞； 內(nèi)部人員由 于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要 8 求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 3.1 DCN網(wǎng) DCN 網(wǎng) 面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 3 威脅可能性列表 序號 資產(chǎn)名稱 面臨的威脅類型 威脅可能性等 級 1 DCN 網(wǎng) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 表 4 威脅可能性列表 來源 威脅分析 設(shè)備威脅 DCN 網(wǎng)屬 2008 年全新擴容改造工程， 核心設(shè)備 不存在設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失 ，但分支機構(gòu)接入 路由器 及綜合辦公用的接入層設(shè)備城域網(wǎng)淘汰設(shè)備，存在一定風(fēng)險 ，但各類設(shè)備本身的軟硬件故障存在，維修周期一般在二周以內(nèi) 環(huán)境威脅 物理環(huán)境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊線路方面的故障 自然災(zāi)害 存在火災(zāi)、雷電 人為威脅 惡意人員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外 部人員進行物理破壞、盜竊等 非惡意人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 9 3.2 業(yè)務(wù)運營支撐系統(tǒng) 業(yè)務(wù)運營支撐系統(tǒng) 面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 5 威脅可能性列表 序號 資產(chǎn)名稱 面臨的威脅類型 威脅可能性 等級 1 DCN 網(wǎng) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 表 6 威脅可能性列表 來源 威脅分析 設(shè)備威脅 存在設(shè)備本身的軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失，系統(tǒng)宕機 環(huán)境威脅 物理環(huán)境 存在 斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊線路方面的故障 自然災(zāi)害 存在 火災(zāi)、雷電 人為威脅 惡意人員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的 方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 非惡意人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 3.3 IDC 網(wǎng) IDC 網(wǎng)面臨的威脅按照可能性概率，分為高、中、低三檔，列表如下： 表 7 威脅可能性列表 序號 資產(chǎn)名稱 面臨的威脅類型 威脅可能性等 級 1 IDC 網(wǎng) 自然界不可抗的威脅（環(huán)境威脅） 低 其它物理威脅（環(huán)境威脅） 高 10 惡意人為威脅 低 非惡意人為威脅 低 其它威脅 低 表 8 威脅可能性列表 來源 威脅分析 設(shè)備威脅 核心路由器 Cisco12416 為城域網(wǎng)退網(wǎng)的設(shè)備，網(wǎng)絡(luò)設(shè)備本身可能出現(xiàn)軟硬件故障，設(shè)備和介質(zhì)老化造成的數(shù)據(jù)丟失， 環(huán)境威脅 物理環(huán)境 存在斷電、靜電、灰塵、潮濕、溫度、電磁干擾等，意外事故或通訊線路方面的故障 自然災(zāi)害 存在火災(zāi)、雷電 人為威脅 惡意人員 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞； 采用自主或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息； 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊； 外部人員進行物理破壞、盜竊等 非惡意人員 內(nèi)部人員由于缺乏責(zé)任心或者無作為而沒有執(zhí)行應(yīng)當(dāng)執(zhí)行的操作、或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件； 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞； 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故障或攻擊； 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者 管理混亂導(dǎo)致安全事件 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 4 脆弱性 分析 支撐網(wǎng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性兩方面。 附 表 3 給出支撐網(wǎng)的脆弱性列表。 序號 資產(chǎn)名稱 脆弱性類型 脆弱性嚴(yán)重程度等級 1 DCN 網(wǎng) 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 2 業(yè)務(wù)運營支撐系統(tǒng) 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、 計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 2 IDC 網(wǎng) 業(yè)務(wù) /應(yīng)用（技術(shù)脆弱性） 低 網(wǎng)絡(luò)（技術(shù)脆弱性） 中 設(shè)備（含操作系統(tǒng)和數(shù)據(jù)庫、后臺服務(wù)器、計費服務(wù)器等）（技術(shù)脆弱性） 低 物理環(huán)境（技術(shù)脆弱性） 低 管理脆弱性 低 4.1 DCN網(wǎng) DCN 網(wǎng) 的 脆弱性 按照 其嚴(yán)重程度 ，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型 對象 DCN 網(wǎng) 存在的脆弱性 分析 技術(shù)脆弱性 服務(wù) / 應(yīng)用 設(shè)備的處理或備份能力不夠而導(dǎo)致服務(wù)提供不連續(xù) 網(wǎng)絡(luò) 不存在 設(shè)備（軟件、硬件和數(shù)據(jù)） 不存在 物理環(huán)境 DCN 網(wǎng)核心機房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高；縣局機房防雷措施不夠，如吉安縣、新干縣在本季度均有設(shè)備被雷擊導(dǎo)致網(wǎng)絡(luò)中斷 管理脆弱性 安全管理機構(gòu)方面：崗位設(shè)置不合理 ， 人員配置過少、 目前負(fù)責(zé) DCN 網(wǎng)維護只有一人 ； 安全管理制度方面： 不存在 ； 12 人員安全管理方面： 不存在 ； 建設(shè)管理方面： 不存在 ； 運維管理方面：物理環(huán)境管理措施簡單、操作管理不規(guī)范等 。 4.2 業(yè)務(wù)運營支撐系統(tǒng) 客服呼叫中心的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型 對象 業(yè)務(wù)運營支撐系統(tǒng) 存在的脆弱性 技術(shù)脆弱性 服務(wù) /應(yīng)用 網(wǎng)絡(luò) 網(wǎng)絡(luò)拓?fù)湓O(shè)計不合理，無冗余鏈路，單點故障隱患，與互聯(lián)網(wǎng)連接造成的訪問控制漏洞 設(shè)備（軟件、硬件和數(shù)據(jù)） 設(shè)備老化； 系統(tǒng)存在可被外界利用的漏洞 物理環(huán)境 房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高 管理脆弱性 安全管理機構(gòu)方面： 崗位設(shè)置不合理，人員配置過少、目前負(fù)責(zé) DCN 網(wǎng)維護只有一人； 安全管理制度方面： 不存在 ； 人員安全管理方面： 不存在 ； 建設(shè)管理方面： 不存在 ； 運維管理方面：物理環(huán)境管理措施簡單、無惡 意代碼防范措施等 4.3 IDC 網(wǎng) IDC 網(wǎng)的脆弱性按照其嚴(yán)重程度，分為高、中、低三檔，列表如下： 表 5 脆弱性列表 類型 對象 IDC 網(wǎng)存在的脆弱性分析 技術(shù)脆弱性 設(shè)備（軟件、硬件和數(shù)據(jù)） 不存在 13 設(shè)備（軟件、硬件和數(shù)據(jù)） 不存在 服務(wù) / 應(yīng)用 不存在 物理環(huán)境 IDC 網(wǎng)核心機房空調(diào)經(jīng)常中斷，導(dǎo)致機房溫度過高。 管理脆弱性 安全管理機構(gòu)方面：管理 IDC 機房部門多，難以精確管理； 安全管理制度方面：不存在； 人員安全管理方面：進入 IDC 機房人員多，對進出人員難以精確管理； 建設(shè)管理方面：不存在 ； 運維管理方面：物理環(huán)境管理措施簡單、操作管理不規(guī)范等。 5 已有安全措施 設(shè)備冗余： 各縣、市分公司 DCN 網(wǎng)路由器、交換機、 MSTP 鏈路 均 配備 2 臺 (條 )，作主備及負(fù)載均衡 。 業(yè)務(wù)支撐系統(tǒng)集群服務(wù)組由八臺性能相當(dāng)?shù)姆?wù)器組成， 通過操作系統(tǒng)自帶功能實現(xiàn)負(fù)載均衡； IDC 路由器、交換機鏈路均配備 2 臺 (條 )，作主備及負(fù)載均衡。全球眼平臺和農(nóng)村黨教平臺上聯(lián)均有主備鏈路；全球眼平臺和農(nóng)村黨教平臺服務(wù)器均有主備冗余； b 安全防問控制： 通過 EUDEMON 200 實現(xiàn) DCN 網(wǎng)與互聯(lián)網(wǎng)的隔離； 定期修改設(shè)備維護密碼 ，有效防護設(shè)備 密碼外泄對設(shè)備帶來的風(fēng)險； IDC 網(wǎng)絡(luò)設(shè)備與城域網(wǎng)使用同樣的安全訪問控制措施，限定訪問者的源 IP 地址； 病毒防范措施： 在所有服務(wù)器中安裝省公司統(tǒng)一布署的終端安全管理軟件及 360 安全衛(wèi)士 ，利用 360 安全衛(wèi)士對操作系統(tǒng)進行補丁安裝升級，以確保系統(tǒng)的安全性及穩(wěn)定性。 數(shù)據(jù)備份： 對 DCN 網(wǎng)核心設(shè)備配置數(shù)據(jù)實行異地備份制；對 主、次域控服務(wù)器實行多機備份制；對 ORACLE 數(shù)據(jù)庫實行異地備份制； 對 IDC 網(wǎng)核心設(shè)備配置數(shù)據(jù)實行異地備份制；對服務(wù)器實行定期備份； 重大節(jié)日安全防護情況： 制定節(jié)日值班表及相應(yīng)的應(yīng)急預(yù)案； 通信 網(wǎng)絡(luò) 安全管理制度： 機房出入管理制度： 外來人員 （來訪者及臨時工作人員） 管理：實行進出登記制，專人接待； 機房巡檢制度：每周定期對機房 進行巡檢，及時發(fā)現(xiàn)、拔除設(shè)備存在的各項隱患； 密碼管理策略：系統(tǒng)管理員唯一制， 口令定期修改審核 ； 維護管理制度：在電子運維系統(tǒng)中制定維護作業(yè)計劃，定期對相關(guān)設(shè)備進行維護； 分權(quán)分域管理： 將機房設(shè)備按系統(tǒng)具體分權(quán)至個人； 14 6 安全風(fēng)險分析 目前 DCN 網(wǎng)存在的風(fēng)險主要有： 自然災(zāi)害如雷擊： 6 月份有 2 個縣公司由于雷擊導(dǎo)致 DCN 網(wǎng)受影響，中斷時間在 1 小時以內(nèi) 。 機房環(huán)境： DCN 網(wǎng)核心機房空調(diào)在 去年夏天出現(xiàn)過 2 次宕機，致使機房環(huán)境溫度達到 50 度以上，但由于發(fā)現(xiàn)及時沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機房管理 ： DCN 網(wǎng)核心機房有 N 多人配有鑰匙，包括裝機班、電力室經(jīng)常未經(jīng)同意即進入機房施工，施工完后不清理現(xiàn)場衛(wèi)生，給機房環(huán)境很大風(fēng)險； 如 5 月中旬動力室穿墻安裝對流風(fēng)扇，由于不正確的穿墻，導(dǎo)致 DCN 網(wǎng)設(shè)備及業(yè)務(wù)支撐系統(tǒng)集群服務(wù) 器全布滿一層厚厚的灰 ，嚴(yán)重影響設(shè)備正常使用； 人員管理：維護人員 單一； 業(yè)務(wù)支撐系統(tǒng)存在的風(fēng)險主要有： 病毒防護：雖然服務(wù)器中安裝有殺毒軟件，但由于使用人員多， 4 月份曾發(fā)現(xiàn)極個別營業(yè)員將帶病毒文件上 傳到服務(wù)器中，導(dǎo)致服務(wù)器出現(xiàn)異常； 系統(tǒng)漏洞： 由于操作系統(tǒng)本身不足對系統(tǒng)帶來的風(fēng)險； 網(wǎng)絡(luò)故障：由于網(wǎng)絡(luò)設(shè)備出現(xiàn)故障導(dǎo)致服務(wù)中斷， DCN 網(wǎng)割接后 2008 年 10 月由于一臺核心匯聚交換軟件故障，導(dǎo)致網(wǎng)絡(luò)中斷過一次 ； 機房管理： IT 機房進出人員較多，多人配備有鑰匙， 辦公地點與機房相隔較遠， 難以 有效 管理； 人員管理：維護人員單一 ； 目前 IDC 網(wǎng)存在的風(fēng)險主要有： 設(shè)備硬件： 3 月由于 2 塊光模塊損壞導(dǎo)致農(nóng)村黨教平臺中斷一小時以上。 機房環(huán)境： IDC 網(wǎng)核心機房空調(diào)在去年夏天出現(xiàn)過 2 次宕機，致使機房環(huán)境溫度達到 50 度以上， 但由于發(fā)現(xiàn)及時沒有導(dǎo)致網(wǎng)絡(luò)中斷； 機房管理：