网通信络安全防护检查情况汇报.ppt

2023/2/16,网络公司运行维护部,2011/9/27,重庆联通网络安全防护检查情况汇报,一、通信网络单元定级情况 二、网络安全保障系统同步建设情况 三、网络安全防护自查及评测情况 四、网络安全防护监测系统情况 五、下一步工作,网络安全检查汇报,通信网络单元定级情况,按照中华人民共和国工业和信息化部令第11号通信网络安全防护管理办法，重庆联通对现有各个通信网络单元进行了网络防护安全定级，其中8个通信网络单元定为3.1级，15个通信网络单元定为2级。具体情况如右：,网络安全检查汇报,一、通信网络单元定级情况 二、网络安全保障系统同步建设情况 三、网络安全防护自查及评测情况 四、网络安全防护监测系统情况 五、下一步工作,网络安全系统同步建设情况,重庆联通在新建、改建、扩建通信网络时，高度注重配套的网络安全保障设施建设。以下是今年来建设的主要网络安全系统：,网络安全检查汇报,一、通信网络单元定级情况 二、网络安全保障系统同步建设情况 三、网络安全防护自查及评测情况 四、网络安全防护监测系统情况 五、下一步工作,1：工业和信息化部关于做好通信网络安全防护和2011年度安全防护检查工作的通知（工信部保2011289号）。2：中国联通集团关于开展2011年通信网络安全防护检查工作的通知（网络传【2011】214号）。3：重庆通信管理局关于做好通信网络安全防护和2011年度安全防护检查工作的通知渝通信【2011】145号。,网络安全防护部署,网络安全防护部署,重庆联通网络公司高度重视，成立了网络安全检查领导小组，由网络公司的领导担任组长，网络公司运维部、网管中心、平台维护中心、网建部等相关单位参与。召开网络安全检查工作会，制定检查计划、检查方案、落实相关细节。,网络安全防护2010回头看,中国联通集团关于开展通信网络安全防护整改工作“回头看”的通知网络运维201175号，进一步落实对2010年网络安全检查中发现问题的整改工作。时间：2011年3月25日。2011年4月25日向集团总部 提交通信网络安全防护整改工作“回头看”情况报告。,网络安全防护2010回头看,重庆联通网络公司积极落实文件精神，对2010年网络安全检查过程中发现问题的整改情况逐一进行落实。通过网络安全防护整改“回头看”工作的落实，2010年网络安全检查中发现的问题均得到落实。,（一）：自查阶段 6月15日至7月15日，各网络安全检查专业小组进行自查。,网络安全防护检查实施,1:检查范围 重庆联通通信网安全定级3级以上网元，包括：中国联通移动通信网电路域重庆市本地网关口局 中国联通移动通信网电路域重庆市本地网核心交换网 中国联通移动通信网分组域重庆市本地网核心交换网 中国联通信令网重庆市本地信令网 中国联通固定通信网重庆市本地网关口局 中国联通增值业务网重庆市短消息网 中国联通IP承载网重庆市IP城域网 中国联通光传送网重庆市本地传送网汇聚层（含核心层）,网络安全防护检查实施,2:自查内容 根据工信部保【2011】289号文的要求，逐项对比管理制度、网络结构、日常维护、应急预案等进行检查,并形成风险评估报告。,网络安全防护检查实施,（二）：自查结果 1、管理部分 联通渝市字2011532号关于印发信息安全相关管理办法的通知，成立了以公司总经理杨俊为组长的公司信息安全委员会,网络安全防护检查实施,各部门、各分公司的总经理为本单位信息安全第一责任人，对本单位信息安全工作负领导责任；各部门、各分公司分管信息安全的负责人为本单位信息安全责任人，对本单位信息安全工作负直接领导责任。,网络安全防护检查实施,发布实施了重庆联通网络安全管理规程 对员工进行了网络安全管理规章制度的宣贯。,网络安全防护检查实施,网络安全防护检查实施,确定网络信息安全管理责任应遵循的原则：1：谁管理，谁负责；谁接入，谁负责；谁经营，谁负责。2：实行信息安全“一把手责任制”，切实做到“一岗双责”。3：各单位:设立网络信息安全专管员，保证资金、人员、设备到位。4：按照“事前可预防，事中可阻断，事后可追溯”的原则，完善信息安全管理措施、流程和技术手段。5：信息安全管控机制要贯穿整个产品的生命周期 6：在网络、系统、平台的设计、建设和运行过程中，按照国家、公司的信息安全管理需求，同步规划，同步设计，同步运行，落实“三同步”原则。,重庆联通网络公司运维部设置安全管理监督员，对系统变更、重要操作、物理访问和系统接入等进行授权和审批管理，指导实施网络安全事务。重庆联通网络公司各维护中心设置安全管理员，负责具体实施网络安全日常事务。,网络安全防护检查实施,网络安全管理制度满足网络安全检查的相关要求,网络安全防护检查实施,2、网元检查 移动核心网：MSCS：13个 构成2个3+1容灾保护和两个 个1+1容灾保护 HLR:7个 构成6+1的动态容灾保护 TMSC/LSTP:2个，负荷分担方式 SGSN:2个 主备方式 GGSN:2个 负荷分担 SCP:3个 没有冗余关系 短信中心：两个 负荷分担 IP承载网：1个 主备方式,网络安全防护检查实施,网络安全防护检查实施,截止2011年7月，重庆G网有11个软交换端局，SVR2/SVR4和SVR7作为容灾使用，目前在用SVR总容量为579万，占用率53.28%,网络安全防护检查实施,目前，GPRS核心网共2套SGSN，2套GGSN。系统容量：附着用户数140万，2G激活用户数14万，3G激活用户数14万。出口带宽：GN侧2Gbps,GI侧 2Gbps.照母山SGSN1管辖区域为：万涪黔和近郊区县南方花园SGSN2管辖区域为：主城区,网络安全防护检查实施,网络安全防护检查实施,（1）灾难备份措施 MSCS节点间链路(Mc口，NO7信令链路）均有冗余保护和备份措施。HLR设计实现6+1的动态容灾保护 GSN有备份保护措施。IP承载网有备份保护措施。,网络安全防护检查实施,MSCS话务通过负荷分担的方式送一对TMSC,话务流量有负荷分担,网络安全防护检查实施,SGSN：互为主备，灾难备份措施为：2G网络：通过传输调度进行业务切换。3G网络：网络互通。通过修改配置数据重新进行网络注册。,网络安全防护检查实施,各网元根据中国联通通信网络运维维护规则的要求，定期进行用户数据、计费数据、配置数据的备份 通过日常维护作业计划制定和执行备份作业，领导定期检查和审核,网络安全防护检查实施,各网元都有操作日志的记录功能，能对所有用户对网络进行的所有操作进行详细记录。,网络安全防护检查实施,重庆联通3级以上各网元均制定有通信保障应急预案,并根据网络组网情况进行修订。重庆通信管理局定期组织各运营商进行网间通信应急保障演练。重庆联通移动网络公司运维部根据运维情况和中国联通通信网络运行维护规程，对一些重要网元进行了通信应急保障演练。,网络安全防护检查实施,进行了应急演练的网元有：SVR3、SVR5与SVR4间的容灾倒换测试。SGSN的应急方案桌面实施演练 SGSN还和WEB/WAP平台进行了应急联动演练。IP承载网进行了倒换测试演练。应急演练均有演练报告。,网络安全防护检查实施,重庆联通3级以上网元灾难备份措施基本满足网络安全检查相关要求,网络安全防护检查实施,（2）攻击防护措施 重庆联通移动通信网使用IMSI对用户进行身份身份鉴别和认证,网络安全防护检查实施,在GGSN外部IP网络之间设置防火墙进行隔离,网络安全防护检查实施,根据中国联通通信网络运维维护规则的要求，通信网各网元都设置专人进行维护。,网络安全防护检查实施,通信网网管网络与业务网实现隔离 MSCS设置计费服务器和性能统计服务器，计费服务器只向计费结算系统开放话单采集目录。营帐系统通过DBIO向HLR下发营帐指令，不能直接访问HLR。GSN分组域CG只向计费结算系统开放话单采集目录。,网络安全防护检查实施,各网络和设备均有口令安全策略，相关的规范对口令设置均作出具体的要求，满足网络安全检查的要求。,网络安全防护检查实施,网络安全日志和有关记录进行安全审计。从自查情况来看，网络应用系统的安全日志和有关记录的审计按照相关要求定期进行审计。,网络安全防护检查实施,（三）网络安全检查自查发现的问题1：系统和主机未定期进行漏洞检测扫描，原因是：1）：这些核心网络都是内网网络，与外部网络是隔离的，缺乏漏洞扫描工具。2）:缺乏相关的技术指导规范等，对漏洞扫描是否会对通信网络（业务）造成危害有疑虑,网络安全防护检查实施,2：网络系统和主机恶意代码检测 从自查情况来看，WINDOWS系列的主机均安装有防病毒软件，进行了定期的病毒检测。网络安全管理员定期进行了病毒库代码更新。没有对病毒查杀结果和分析形成报告，原因是网络为内部网络，目前还没有出现严重的恶意病毒感染事件。UNIX系列的主机没有安装恶意代码检测软件。也是缺乏相关的技术手段。,网络安全防护检查实施,3）：对通用主机软件和补丁升级的安全管理制度和规范化流程要求 中国联通通信网络运维维护规则和重庆联通网络安全管理规程对通用主机软件和补丁升级有具体要求。由于主机软件的补丁可能会对应用系统的进程进行抑制，从而导致通信业务受到影响，因此，对于哪些补丁需要升级，要有设备供应商或者联通总部的通知。目前是由设备供应商定期发布技术通知书，明确主机软件需升级的补丁程序。各网络维护中心组织实施。,网络安全防护检查实施,4）对电信网络设备软件和补丁升级的安全管理制度和规范化流程要求 中国联通通信网络运行维护规程对电信网络设备软件和补丁升级有具有的制度和规范化流程要求，从软件进网测试、发布、实施升级等都有严格的规定，重庆联通网络公司严格执行维护规程。,网络安全防护检查实施,5）移动网移动存储介质使用和管理安全策略要求 目前核心网络基本使用网络储存，只有在极少的情况下使用移动存储介质，主要用于病毒库升级和部分设备的计费数据备份等。根据2010年网络安全检查的整改要求。重庆联通在移动核心网络部署了内网安全管理系统，对移动核心网所有主机USB等端口实施了使用许可管理，增强了移动存储介质使用和管理的安全性。,网络安全防护检查实施,6）远程维护管控 根据运维规程的要求，在需要进行远程维护时，需要安全管理监督员同意。对远程维护实施的网元、实施方案、实施人都有明确的记录。,网络安全防护检查实施,重庆联通3级以上网元的远程维护网络功能在必要的时候可以关闭，平时的远程维护网络接入在物理上是隔断的。只有在需要时，由安全管理监督员或部门领导同意，方可打开物理连接，在远程维护实施结束后，要关闭远程维护网络的物理连接。,网络安全防护检查实施,系统远程维护有安全管控策略。一般远程维护只有查询功能，没有数据修改权限。在运程维护实施过程中，有专人对操作进行实时监控。,网络安全防护检查实施,远程维护的安全鉴别和认证措施包括：拨号访问 VPN接入 二次登陆认证,网络安全防护检查实施,远程维护使用的安全加密和认证算法有：CHAP PAP L2TP,网络安全防护检查实施,对安全日志、监控记录的分析和审计在移动网络应用系统的安全日志和有关记录的审计中不定期进行。,网络安全防护检查实施,7）用户信息访问控制保护 重庆联通用户信息只能通过营帐系统才能进行访问，其访问控制措施由计费结算部门负责实施。,网络安全防护检查实施,8）应急保障 重庆联通对于重大节假日和应急通信保障都高度重视。已制定重庆联通通信保障应急预案,网络安全防护检查实施,网络安全防护检查实施,为了更全面的评估我司网络安全情况，重庆联通网络公司选择了移动通信网、增值业务网短信中心两个专业网络单元委托国家计算机网络与信息安全管理中心重庆分中心进行第三方网络安全符合性评测和风险评估。,网络安全检查汇报,一、通信网络单元定级情况 二、网络安全保障系统同步建设情况 三、网络安全防护自查及评测情况 四、网络安全防护监测系统情况 五、下一步工作,网络安全防护系统建设情况,远程安全评估子系统系统RSAS：评估全网范围内所有服务器、网络设备、主机的系统级安全，评估是否有系统漏洞，通过快速扫描，系统自动生成报表，列出受评估IP的相关漏洞，并提供解决方案。低俗内容审计子系统系统SAS：主要功能是全网范围内的IP域名管理，周期性监控全网范围内网站的状态（IP正常、IP变更、无法访问），做到对全网范围内所有域名的有效管理。同时，设备对全网范围内网站的内容进行检查，发现网站下非法内容，即时告警。安全审计模块，对全网范围内的网站进行评估，发现挂马页面、含恶意代码的页面；图片审计模块，对全网范围内，所出现的色情图片进行快速发现，准确告警图片url。,2011年，重庆联通新建了一套网络安全防护系统，系统于2011年6月23日竣工正式上线，主要功能如下：,网络安全防护系统运行情况,网络安全防护系统上线至今，总体运行情况稳定，通过全自动、智能化的扫描方式，扫描评估对象近10余万个，产生低俗文字告警、低俗图像告警、挂马告警、未备案网站告警、操作系统漏洞告警、数据库漏洞告警、中间件漏洞告警、脆弱账号口令告警等等共计近百万条，已完成对IP承载网、PS承载网、DNS域名解析系统、169 IP承载网等网络的安全漏洞评测，实现对169互联网按分公司、业务类别实现对低俗内容（未备案网站扫描；关键字扫描：非法文字信息；图片扫描：淫秽色情图片）进行了7X24小时不间断扫描，便于对重庆联通网内的低俗内容网站进行及时的发现和处置，对掌握全网范围内的安全状况（包括网络安全和信息安全状况）得到更有说服力的数据,满足重庆联通对网络信息安全通过技术手段进行管控的要求。但对图片、文字的智能识别能力还需要进一步改进和优化，现阶段扫描出来的内容多，工作量大，后期需要对此作进一步的优化和处理。,网络安全检查汇报,一、通信网络单元定级情况 二、网络安全保障系统同步建设情况 三、网络安全防护自查及评测情况 四、网络安全防护监测系统情况 五、下一步工作,根据网络安全防护自查及第三方评测发现的问题，重庆联通网络公司运维部提出了整改措施，并进行整改。,网络安全防护整改措施,整改自2011年8月20日起，目前还在整改落实阶段。,三、网络安全检查整改措施,整改内容：1：对评测中发现的弱口令、安全漏洞等 问题进行专项整治 2：灾难备份措施 3：攻击防护措施 4：远程维护管控 5：国庆和重要会议通信保障，应急预案的适应性修改。,三、网络安全检查整改措施,三、网络安全检查整改措施,整改工作持续到10月20日，10月25日前各定级网元提交网络安全检查和风险评估报告。,汇报结束，谢谢！,