中国电信吉安市分公司重要客户网络安全风险评估.doc
-
资源ID:2253683
资源大小:1.05MB
全文页数:30页
- 资源格式: DOC
下载积分:8金币
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
中国电信吉安市分公司重要客户网络安全风险评估.doc
编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密编号:单位(中国电信为CTSEC)-省(如湖北为HUBEI)-文档编号(01开始)-时间(200904)企业秘密jial中国电信吉安市重要客户网络安全风险评估报告评估对象:重要客户评估单位:吉安市电信分公司评估日期:2009年03月5日至2009年08月20日中国电信吉安分公司二零零九年四月目 录1概述41.1目的41.2内容及范围41.3风险评估方法41.4评估依据42资产分析52.1局端62.2客户端73威胁分析73.1局端83.2客户端84脆弱性分析94.1局端94.2客户端115已有安全措施135.1重要网络安全管理制度145.2灾难备份措施145.3防攻击、防病毒、防入侵措施155.4远程维护管控措施155.5涉及国庆重大活动网络单元的安全防护情况155.6网络组网、设备能力、环境等工作(安全风险分析在重点结合其阐述)155.7维护人员情况156安全风险分析166.1重要客户安全风险分析等级166.2金融客户(采用ATM/FR组网)176.3数字电路201、组网情况202、已实施的网络优化改造204、重要大客户核心节点网络安全等级评估216.4吉安市网吧客户网络优化231、网络现状232、优化方案246.5重要客户宽带上网专线网络252、政企客户宽带网络差异化改造256.6VPDN类客户253、安全等级:267风险处置计划及整改情况277.1省级32家吉安落地重要客户网络风险排查和整改工作计划277.2省级118家吉安落地重要客户网络风险排查和整改工作计划表288结速语309附件301 概述1.1 目的为了不断提高客户感知,提升电信品牌形象,保障重要大客户网络的稳定运行,建立一个安全高效、灵活快速地提供多种业务、可持续发展的大客户网络,围绕大客户网络优化的目标,客户网络支撑服务中心对省级118家重要大客户使用电信不同业务及承载业务的电信网络和设备的安全性进行了一次全面网络安全评估,分析重要大客户网络中存在的安全隐患和薄弱环节,协调相关单位对重点大客户进行网络优化,实行主动维护服务,提高客户的满意度和感知度。1.2 内容及范围重要客户网络评估的内容主要包括:业务评估、网络保护评估、组网评估。此次传输网络评估的对象为吉安市电信宽带型大客户和其组网的网络设备,包括专线电路大客户,VPDN大客户,网吧客户,宽带专线上网客户等。1.3 风险评估方法本次评估采用评审法、漏洞分析法、层次分析法和定性分析相结合的方法,评估方式包括调查查看客户机房现场设备和环境、查阅文档、业务测试、小组讨论、调查问卷、检查列表、人员访谈等,评估步骤对资产识别、脆弱性识别、威胁识别等。1.4 评估依据本次安全风险评估严格按照BS7799标准,评估依据(参考文档)有:1)ISO/IEC TR 13335-1:19962)信息安全技术 信息安全风险评估规范(GB/T20984-2007) 3) 信息技术安全技术信息技术安全性评估准则(GB/T18336-2001) 4) 电子计算机场地通用规范(GB/T2887-2000) 5) 计算机网络场地安全要求(GB9361-1989) 6) 信息技术 安全技术 信息技术安全性评估准则 (GB/T 18336-2001) 7) 信息技术 信息技术安全管理指南 (GB/T 19715.1-2005) 8) 信息技术 信息安全管理实用规则(GB/T 19716-2005) 9) 信息安全技术 操作系统安全评估准则(GB/T 20008-2005) 10) 信息安全技术 路由器安全评估准则(GB/T 20011-2005) 11) 信息安全技术 信息系统安全管理要求(GB/T 20269-2006) 12) 信息安全技术 网络基础安全技术要求(GB/T 20270-2006) 17) 信息安全技术 信息系统通用安全技术要求(GB/T 20271-2006) 18) 信息安全技术 网络和终端设备隔离部件测试评价方法(GB/T 20277-2006) 19) 信息安全技术 网络和终端设备隔离部件安全技术要求(GB/T 20279-2006) 20) 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006) 21) 信息安全技术 信息系统安全审计产品技术要求和评价方法(GB/T 20945-2007) 22) 信息技术 安全技术 信息安全事件管理指南(GB/Z 20985-2007) 23) 信息安全技术 信息安全事件分类分级指南(GB/Z 20986-2007) 24) 信息安全技术 服务器安全技术要求(GB/T 21028-2007) 25) 信息安全技术 网络交换机安全技术要求(GB/T 21050-2007) 26) 信息技术信息安全管理实施细则(ISO/IEC 17799:2000) 27) 信息技术信息安全管理实施规范(ISO/IEC 27001:2005) 2 资产分析按照大客户网络组网的构成,大客户网络资产主要包括局端资产、客户端资产等,涉及的资产重要性分析如下:2.1 局端局端资产类型大致包括设备、数据、网络、环境、提供的服务、文档、人员等。局端资产按照重要性,分为高、中、低三档,列表如下:序号资产名称资产类型重要性等级责任部门1局端核心层设备(硬软件)高网络安装维护中心数据(业务、管理数据)高网络安装维护中心网络高网络安装维护中心环境中网络安装维护中心提供的服务中网络安装维护中心维护人员中网络安装维护中心文档低网络安装维护中心其它低2局端接入层设备(硬软件)高网络安装维护中心、客户网络支撑中心数据(业务、管理数据)高网络安装维护中心、网络高网络安装维护中心、客户网络支撑中心、线路维护中心环境中网络安装维护中心、客户网络支撑中心提供的服务中网络安装维护中心、客户网络支撑中心、线路维护中心维护人员中网络安装维护中心、客户网络支撑中心、线路维护中心文档低网络安装维护中心、客户网络支撑中心、线路维护中心其它低2.2 客户端客户端资产类型大致包括设备、数据、网络、环境、提供的服务、文档、人员等。客户端资产按照重要性,分为高、中、低三档,列表如下:序号资产名称资产类型重要性等级1客户端设备(硬软件)高数据(业务、管理数据)高网络高环境低提供的服务中维护人员中文档低其它低3 威胁分析重要客户评估小组通过召网络安装维护中心、工程建设中心、客户网络支撑中心等部门相关技术人员召开会议,查阅大客户设备日志、以往的安全事件记录和故障记录,分析大客户网络在环境、网络、人员、设备故障、人为威胁等方面可能出现的情况,经评估小组组长和成员确认形成了大客户网络局端和客户端的威胁识别表,大客户网络的威胁主要来源于网络访问者、系统因素、环境、其他因素四种,网络访问者包括授权人员(非恶意)、非授权人员(恶意),环境威胁包括自然界不可抗的威胁和其它物理威胁(管理威胁)。大客户网络的威胁分析如下:3.1 局端大客户网络局端面临的威胁按照可能性概率,分为高、中、低三档,列表如下:序号资产名称面临的威胁类型威胁可能性等级1核心层软硬件故障威胁高自然界不可抗(地震、洪灾、火灾等)的威胁(环境威胁)高其它物理(断电、潮湿、温度等)威胁(环境威胁)高恶意内部人为威胁高非恶意内部人为威胁(操作失误等)中第三方(合作方或供应商)人为威胁中外部人为威胁(外部攻击、破坏等)高其它威胁低2接入层软硬件故障威胁高自然界不可抗(地震、洪灾、火灾等)的威胁(环境威胁)高其它物理(断电、潮湿、温度等)威胁(环境威胁)高恶意内部人为威胁高非恶意内部人为威胁(操作失误等)中第三方(合作方或供应商)人为威胁中外部人为威胁(外部攻击、破坏等)高其它威胁低3.2 客户端大客户网络客户端面临的威胁按照可能性概率,分为高、中、低三档,列表如下:序号资产名称面临的威胁类型威胁可能性等级1客户端软硬件故障威胁高自然界不可抗(地震、洪灾、火灾等)的威胁(环境威胁)高其它物理(断电、潮湿、温度等)威胁(环境威胁)中恶意内部人为威胁中非恶意内部人为威胁(操作失误等)中外部人为威胁(外部攻击、破坏等)中其它威胁低4 脆弱性分析评估小组针对不同类型的重要资产分组进行脆弱性分析,对网络、设备、环境、文档、人员和管理进行了扫描,对网络、设备库进行了配置核查,对安全管理进行了现场走访,评估小组最后进行汇总并确认,并形成资产脆弱性汇总表。大客户网络的脆弱性分析如下:4.1 局端局端核心层和接入层的脆弱性按照其严重程度,分为高、中、低三档,生频率分为经常、有时、很少发生三种,列表如下:脆弱性潜在失效模式潜在失效影响严重程度潜在原因发生频率设备(技术脆弱性)备件不够发生故障时无备件,服务受影响高备件有没有、多少块很少使用年限过高设备老化,故障率增加高折旧时间太长很少运行不稳定故障率增加,影响性能高存在软件bug很少性能缺陷很少负载过高设备性能下降,并可能发生故障中Cpu/mem或带宽占用过高或并发用户数很少复杂程度高,故障处理时间长影响大面积用户服务高技术支撑差,难以维护很少硬件发生故障服务中断高接口板卡故障有时主控板故障很少电源板或电源模块故障有时风扇故障有时设备配置不当性能受影响,并可能造成重大障碍高配置规范不明确很少人为操作失误有时环境(技术脆弱性)电源不稳定设备受损,发生故障高供电电源不稳定很少温度过高设备重起发生故障高空调不够很少湿度太低易发生故障低加湿不够很少设备清洁差温度升高,易老化中环境差,未按时清洁有时网络(技术脆弱性)结构不合理局部故障中冗余度不够有时路由不合理很少线路质量差丢包,时延指标下降高衰耗大经常干扰严重低干扰严重很少网络接口问题中网络接口问题有时安全性差设备性能下降,以致瘫痪高设备防攻击能力差有时未作安全防护高未作安全防护有时监控手段落后故障发现不及时中网管能力差经常文档(管理脆弱性)应急方案不完善发生重大障碍,修复时限长中未及时更新很少可操作性不强有时不完整很少备份资料不全发生重大障碍,修复时限长中未按时备份很少备份计划不科学很少备份失效很少维护文档不全发生障碍,修复时限长中验收不严有时设备升级或启用新功能后未及时更新很少电路资料不准发生障碍,修复时限长高验收不严有时未及时录入很少未及时更新很少人员(技术脆弱性)人员配备影响故障修复时限中人员没有按需要分级配备有时技术能力差影响故障修复时限中培训不够有时管理(管理脆弱性)流程不完善影响故障修复时限低形式变化后未及时制定很少流程本身有问题很少制度执行不力易产生重大障碍高检查不到位,未落实考核很少传达不到位,未能充分理解有时跨部门协调不够很少资源受限,执行难度大有时4.2 客户端局端核心层和接入层的脆弱性按照其严重程度,分为高、中、低三档,生频率分为经常、有时、很少发生三种,列表如下:脆弱性潜在失效模式潜在失效影响严重程度潜在原因发生频率设备(技术脆弱性)备件不够发生故障时无备件,服务受影响高备件有没有、多少块很少使用年限过高设备老化,故障率增加高折旧时间太长很少运行不稳定故障率增加,影响性能高存在软件bug很少性能缺陷很少负载过高设备性能下降,并可能发生故障中Cpu/mem或带宽占用过高或并发用户数很少复杂程度高,故障处理时间长影响大面积用户服务高技术支撑差,难以维护很少硬件发生故障服务中断高接口板卡故障有时主控板故障很少电源板或电源模块故障有时风扇故障有时设备配置不当性能受影响,并可能造成重大障碍高配置规范不明确很少人为操作失误有时环境(技术脆弱性)电源不稳定设备受损,发生故障高供电电源不稳定很少温度过高设备重起发生故障高空调不够很少湿度太低易发生故障低加湿不够很少设备清洁差温度升高,易老化中环境差,未按时清洁有时网络(技术脆弱性)结构不合理局部故障中冗余度不够有时路由不合理很少线路质量差丢包,时延指标下降高衰耗大经常干扰严重低干扰严重很少网络接口问题中网络接口问题有时安全性差设备性能下降,以致瘫痪高设备防攻击能力差有时未作安全防护高未作安全防护有时监控手段落后故障发现不及时中网管能力差经常文档(管理脆弱性)应急方案不完善发生重大障碍,修复时限长中未及时更新很少可操作性不强有时不完整很少备份资料不全发生重大障碍,修复时限长中未按时备份很少备份计划不科学很少备份失效很少维护文档不全发生障碍,修复时限长中验收不严有时设备升级或启用新功能后未及时更新很少电路资料不准发生障碍,修复时限长高验收不严有时未及时录入很少未及时更新很少人员(技术脆弱性)人员配备影响故障修复时限中人员没有按需要分级配备有时技术能力差影响故障修复时限中培训不够有时管理(管理脆弱性)流程不完善影响故障修复时限低形式变化后未及时制定很少流程本身有问题很少制度执行不力易产生重大障碍高检查不到位,未落实考核很少传达不到位,未能充分理解有时跨部门协调不够很少资源受限,执行难度大有时5 已有安全措施该部分内容要与安全风险分析结合描述,结合自查汇总表模式,重点从网络维护的“七大方面”进行评估,其中已有的安全措施各方面要简要描述已实施的措施,对存在的问题分层面的在安全风险分析中每各部分都要详细说明,存在哪些问题,却哪些制度、哪些手段、网络层更是要仔细分析:有多少设备、多少机房、哪些设备类型等有问题(如老化量、机房环境不到位、电源风险设备数等),要有具体数据说明,格式如下:5.1 重要网络安全管理制度2006年12月吉安市电信公司在网络部下设立了“客户网络维护中心”, 负责协助各级大客户服务机构制定客户组网的解决方案;落实大客户进网的电路调度、调测开通、故障处理及网络监控、诊断、优化等技术保证工
