表2脆弱性分析
?
? 類型 | ??? 對象 | ??? 存在的脆弱性 |
? | ? ? ? ??? 業(yè)務(wù)/應(yīng)用 ? ? ? | 系統(tǒng)本身設(shè)計缺陷或軟件Bug; 網(wǎng)絡(luò)和設(shè)備的處理能力不夠而導(dǎo)致在突發(fā)話務(wù)量高時業(yè)務(wù)提供不連續(xù)��,業(yè)務(wù)數(shù)據(jù)的保密性不夠���,重要數(shù)據(jù)未及時進行本地和異地備份���; SSP處理能力不夠?qū)е轮悄芫W(wǎng)無法正常提供業(yè)務(wù)�����; 網(wǎng)管����、操作維護存在漏洞����; 業(yè)務(wù)軟件自身存在的安全漏洞����; ?SCP單點設(shè)置 |
技術(shù)脆弱性 ? ? ? | ? ? ??? 網(wǎng)絡(luò) ? | ? 網(wǎng)絡(luò)拓撲設(shè)計不合理,網(wǎng)絡(luò)節(jié)點設(shè)備��、路由配置不合理��,通信安全保護不充分���,外部和內(nèi)部的訪問缺少控制等 |
設(shè)備(含操作系 ? 統(tǒng)和數(shù)據(jù)庫) ? | 賬號和口令保護不夠�,鑒權(quán)和訪問控制機制不完善�,重要部件未配置主備用保護,系統(tǒng)配置不合理。備份和恢復(fù)機制不健全�,設(shè)備超過使用年限或核心郵件老化,設(shè)備發(fā)生故障后未及時告警����,軟件版本管理不規(guī)范 |
? ? 物理環(huán)境 ? | 機房場地選擇不合理,防火���、供配電�����、防靜電�����、接地與防冒��、電磁防護����、溫濕度控制不符合規(guī)范�����,通信線路、機房設(shè)備的保護不符合規(guī)范 |
? ? ? ? ? ??? 管理脆弱性 ? ? ? ? ? | 安全管理機構(gòu)方面:崗位設(shè)置不合理(如人員配置過少���、職責不清)���、授權(quán)和審批程序簡化、溝通和合作未執(zhí)行�����、審核和檢查未執(zhí)行等����; 安全管理制度方面:管理制度不完善����、制度評審和修訂不及時等; 人員安全管理方面:人員錄用不符合程序��、人員離崗未辦理安全手續(xù)���、人員未進行安全培訓(xùn)�����、對于第三方人員未進行限制訪問等����; 建設(shè)管理方面:安全方案不完善、軟件開發(fā)不符合程序��、工程實施未進行安全驗收或驗收不嚴格等����; 運維管理方面:物理環(huán)境管理措施簡單,存儲介質(zhì)使用不受限�、設(shè)備沒有定期維護、 廠家支持力度不夠�����、關(guān)鍵性能指標沒有定期監(jiān)控�、無惡意代碼防范措施、無數(shù)據(jù)備份和恢復(fù)策略����、訪問控制不嚴格、操作管理不規(guī)范等���,應(yīng)急保障措施不到位 |
?
??? 脆弱性大小由網(wǎng)絡(luò)和業(yè)務(wù)運營商自行賦值���。
7.3威脅分析
?智能網(wǎng)的威脅根據(jù)來源可分為技術(shù)威脅���、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的威脅和其他物理威脅�����;根據(jù)威脅的動機�����,人為威脅又可分為惡意和非惡意兩種�。部分威脅見表3。
表3 威脅來源列表
?
??? 來源 | ??? 威脅描述 |
? ??? 設(shè)備威脅 ? | 設(shè)備自身的軟件�、硬件故障�����; 節(jié)假日或其他原因的高話務(wù)量沖擊�; 濫用權(quán)限對操作維護數(shù)據(jù)的修改 |
? | ??? 物理環(huán)境 | 斷電、靜電��、灰塵���、潮濕����、溫度、強電磁干擾等���,意外事故或通信線路方面的故障 |
? 環(huán)境威脅 ? | ? ??? 自然災(zāi)害 | ? 鼠蟻蟲害��、洪災(zāi)���、火災(zāi)、泥石流��、山體滑坡�、地震、臺風(fēng)��、閃電 |
?
?
??? 來源 | ??? 威脅描述 |
? | ? ? ??? 惡意人員 ? ? | 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進行惡意破壞�; 采用自主外部人員或內(nèi)外勾結(jié)的方式盜竊或篡改機密信息; 外部人員利用惡意代碼和病毒對網(wǎng)絡(luò)或系統(tǒng)進行攻擊���; 外部人員進行物理破壞�����,盜竊等 |
? 人為威脅 ? ? ? ? | ? ? ? 無惡意人員 ? ? | 內(nèi)部人員由于缺乏責任心或者無作為��,應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作���,或無意地執(zhí)行了錯誤的操作導(dǎo)致安全事件���; 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞; 內(nèi)部人員由于缺乏培訓(xùn)�、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故尊或攻擊����; 安全管理制度不完善、落實不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 |
?
8? 智能網(wǎng)網(wǎng)安全等級保護要求
8.1? 第1級
??? 不作要求���。
8.2第2級
8.2.1?智能網(wǎng)業(yè)務(wù)安全要求
??? a)管理員密碼等數(shù)據(jù)應(yīng)該進行加密處理���,而不應(yīng)在文件或數(shù)據(jù)庫中明文顯示����;
??? b)計費信息應(yīng)正確、不丟失���、不重復(fù)��,計費信息不能被修改����,原始話單不能被增加;
??? c)卡號��、密碼的鑒權(quán)采用一定的安全機制���,如限制嘗試次數(shù)��。
8.2.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 智能網(wǎng)網(wǎng)絡(luò)中(如SCP和SMP, SMP與賬務(wù)系統(tǒng)之間)應(yīng)采用專網(wǎng)方式��。
8.2.3?智能網(wǎng)設(shè)備安全要求
8.2.3.1? 概述
??? 智能網(wǎng)包括業(yè)務(wù)控制點(SCP)設(shè)備��、業(yè)務(wù)交換點(SSP)設(shè)備���、業(yè)務(wù)管理點(SMP)設(shè)備、智能外設(shè)(IP)設(shè)備��、業(yè)務(wù)數(shù)據(jù)點(SDP)設(shè)備和充值中心(VC)設(shè)備�����,可以服務(wù)于固定網(wǎng)、GSM和CDMA網(wǎng)絡(luò)��。
??? 設(shè)備安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范�����、設(shè)備安全要求��、設(shè)備入網(wǎng)管理相關(guān)要求�����。
8.2.3.2? 固定智能網(wǎng)
? a) SCP設(shè)備應(yīng)滿足YDN 048-1997的要求����;
? b) SSP設(shè)備應(yīng)滿足YDN 047-1997的要求;
? c) IP設(shè)備應(yīng)滿足YDN 098-1999的要求�����;
? d) SMP設(shè)備應(yīng)滿足YDN 049-1997的要求��。
8.2.3.3? GSM智能網(wǎng)
? a) SCP設(shè)備應(yīng)滿足YD/T 1234-2002和YD/T 1425-2005的要求�����;
? b) SSP設(shè)備應(yīng)滿足YD/T 1209-2002�����、YD1424.1-2005和YD/T 1424.2-2005的要求��;
? c) IP設(shè)備應(yīng)滿足YD/T 1427-2005的要求���;
? d) SMP設(shè)備應(yīng)滿足YD/T 1426-2005的要求���。
8.2.3.4? CDMA智能網(wǎng)
??? a) SCP設(shè)備應(yīng)滿足YD/T 1232-2002和YD/T 1333-2004的要求;
??? b) SSP設(shè)備應(yīng)滿足YD/T 1223-2002和YD/T 1331--2004的要求����;
??? c) IP設(shè)備應(yīng)滿足YD/T 1334-2004的要求;
??? d) SMP設(shè)備應(yīng)滿足YD/T 1332-2004的要求����。
8.2.4?智能網(wǎng)物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》中第2級的安全要求。
8.2.5?智能網(wǎng)管理安全要求
??? 應(yīng)滿足YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》中第2級的安全要求��。
8.3第3.1級
8.3.1?智能網(wǎng)業(yè)務(wù)安全要求
??? 在滿足第2級的基礎(chǔ)上�����,還應(yīng)滿足以下要求:
??? a)特定智能網(wǎng)業(yè)務(wù)的使用和開展要具有一定的安全機制,如用戶名����,密碼的加密傳輸,卡號生成���、傳輸���、管理的安全機制等。
??? b)應(yīng)保證在運行的智能網(wǎng)系統(tǒng)上引入新業(yè)務(wù)�����、升級業(yè)務(wù)或系統(tǒng)時不會引起智能網(wǎng)所提供業(yè)務(wù)的中斷或系統(tǒng)癱瘓���。
8.3.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 在滿足第2級的基礎(chǔ)上��,還應(yīng)滿足以下要求:
??? a)智能網(wǎng)的網(wǎng)絡(luò)配置(如節(jié)點和鏈路的處理能力或負荷等)應(yīng)合理�����,不應(yīng)因網(wǎng)絡(luò)配置不合理而導(dǎo)致網(wǎng)絡(luò)全部或者局部癱瘓����;
??? b)網(wǎng)絡(luò)拓撲(如信令鏈路、話路)設(shè)計中��,應(yīng)當充分考慮連接的冗余設(shè)置�,不應(yīng)存在因單點故障而影響其他節(jié)點間數(shù)據(jù)傳送的節(jié)點�。
8.3.3?智能網(wǎng)物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》中第3.1級的安全要求。
8.3.4?智能網(wǎng)管理安全要求
??? 應(yīng)滿足YD/T 1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》中第3.1級的安全要求����。
8.4第3.2級
8.4.1?智能用業(yè)務(wù)安全要求
?在滿足第3.1級的基礎(chǔ)上,還應(yīng)滿足以下要求:
?重要業(yè)務(wù)數(shù)據(jù)及計費數(shù)據(jù)應(yīng)進行備份(包括不同物理位置�、不同存儲格式、不同存儲介質(zhì)等)�,以防止各種原因?qū)е碌南到y(tǒng)崩潰。
8.4.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 在滿足第3.1級的基礎(chǔ)上����,還應(yīng)滿足以下要求。
??? 重要設(shè)備應(yīng)實現(xiàn)異地備份�,互為備份的設(shè)備應(yīng)在兩個不同的機房。
8.4.3?智能網(wǎng)物理環(huán)境安全要求
?應(yīng)滿足YD/T1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》中第3.2級的安全要求��。
8.4.4?智能網(wǎng)管理安全要求
?應(yīng)滿足YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》中第3.2級的安全要求����。
8.5第4級
??? 同第3.2級要求���。
8.8第5級
??? 待補充。
9? 智能網(wǎng)災(zāi)難魯份及恢復(fù)要求
9.1? 災(zāi)難備份及恢復(fù)等級
根據(jù)YD/Tl73l-2008《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實施指南》5.1節(jié)����,災(zāi)難備份及恢復(fù)定級應(yīng)與安全等級保護確定的安全等級一致。
9.2第1級
??? 不作要求�����。
9.3第2級
9.3.1?冗余系統(tǒng)����、設(shè)備及鏈路要求
??? a)智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力,以保證在各個方面出現(xiàn)故障時都有備用系統(tǒng)提供服務(wù)�����。包括:重要設(shè)備部件的成對配置�����,如同卡��、信令板卡、業(yè)務(wù)板卡等�����。
??? b)智能網(wǎng)網(wǎng)絡(luò)災(zāi)難恢復(fù)時間應(yīng)滿足行業(yè)管理���、網(wǎng)絡(luò)和業(yè)務(wù)運營商應(yīng)急預(yù)案相關(guān)要求。
9.3.2?冗余路由要求
??? 4)應(yīng)有流量負荷分擔設(shè)計�;
??? b)智能網(wǎng)的業(yè)務(wù)中斷時間應(yīng)滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運營商應(yīng)急預(yù)案相關(guān)要求�����。
9.3.3?人員和技術(shù)支持能力要求
??? 應(yīng)有負責災(zāi)難備份及恢復(fù)的機房運行管理人員�����。
9.3.4?運行維護管理能力要求
??? a)應(yīng)有針對災(zāi)難備份及恢復(fù)的機房運行管理制度���;
??? b)應(yīng)有針對災(zāi)難備份及恢復(fù)的介質(zhì)存取�����、驗證和轉(zhuǎn)儲的管理制度�����,應(yīng)確保備份數(shù)據(jù)的授權(quán)訪問���;
9.3.5?災(zāi)難恢復(fù)預(yù)案要求
?應(yīng)有完整的災(zāi)難恢復(fù)預(yù)案�����。
9.4第3.1級
9.4.1?冗余系統(tǒng)���、設(shè)備及鏈路要求
?在滿足第2級的基礎(chǔ)上,還應(yīng)滿足以下要求��。
?智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力����,以保證在各個方面出現(xiàn)故障時都有備用系統(tǒng)提供服務(wù)。包括:軟件系統(tǒng)的冗余����,如業(yè)務(wù)軟件的備份等。
9.4.2?備份數(shù)據(jù)要求
?在滿足第2級的基礎(chǔ)上��,還應(yīng)滿足以下要求��。
??? 智能網(wǎng)關(guān)鍵數(shù)據(jù)應(yīng)有本地數(shù)據(jù)備份,包括����;
??? ■業(yè)務(wù)數(shù)據(jù)和用戶數(shù)據(jù),如VPN業(yè)務(wù)中的長號碼���、短號碼�����、組信息、費率信息和用戶屬性等���;
??? ■網(wǎng)絡(luò)配置數(shù)據(jù)���,如路由數(shù)據(jù)等;
??? ■告警數(shù)據(jù)����,如告警歷史信息等;
??? ■加密密鑰數(shù)據(jù)���。
9.4.3?人員和技術(shù)支持能力要求
??? 在滿足第2級的基礎(chǔ)上����,還應(yīng)滿足以下要求;
??? a)應(yīng)有負責災(zāi)難備份及恢復(fù)的設(shè)備管理人員�����;
??? b)應(yīng)有負責災(zāi)難備份及恢復(fù)的網(wǎng)絡(luò)管理人員���;
??? c)應(yīng)有負責災(zāi)難備份及恢復(fù)的技術(shù)支持人員�����;
??? d)應(yīng)對負責災(zāi)難備份及恢復(fù)的人員定期進行關(guān)于災(zāi)難備份及恢復(fù)的技術(shù)培訓(xùn)����。
9.4.4?運行維護管理能力要求
??? 在滿足第2級的基礎(chǔ)上�����,還應(yīng)滿足以下要求:
??? a)應(yīng)對災(zāi)難備份及恢復(fù)相關(guān)數(shù)據(jù)進行定期的有效性驗證�;
??? b)應(yīng)有針對災(zāi)難備份及恢復(fù)的設(shè)備和網(wǎng)絡(luò)運行管理制度;
??? c)應(yīng)具有與外部組織保持良好的聯(lián)絡(luò)和協(xié)作的能力�����。
9.4.5?災(zāi)難恢復(fù)預(yù)案要求
??? 在滿足第2級的基礎(chǔ)上,還應(yīng)滿足以下要求��。
??? a)應(yīng)有災(zāi)難恢復(fù)預(yù)案的教育和培訓(xùn)���,相關(guān)人員應(yīng)了解災(zāi)難恢復(fù)預(yù)案并具有對災(zāi)難恢復(fù)預(yù)案進行實際操作的能力��;
??? b)應(yīng)有災(zāi)難恢復(fù)預(yù)案的演練�,并根據(jù)演練結(jié)果對災(zāi)難恢復(fù)預(yù)案進行修正���。
9.5第3.2級
9.5.1?冗余系統(tǒng)�����、設(shè)備及鏈路要求
?在滿足第3.1級的基礎(chǔ)上,還應(yīng)滿足以下要求:
?智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力�,以保證在各個方面出現(xiàn)故障時都有備用系統(tǒng)提供服務(wù),包括:設(shè)備的異地備份��,如SCP�、VC等設(shè)備。
9.5.2?冗余路由要求
?在滿足第3.1級的基礎(chǔ)上�,還應(yīng)滿足以下要求:
?對于重要地區(qū),智能網(wǎng)設(shè)備之間的路由應(yīng)支持冗余方式,包括SCP和SSP之間���、SCP和IP之間���、SCP和SDP之間及SSP和lP之間的路由等。
9.5.3?備份數(shù)據(jù)要求??? �����,
??? 在滿足第3.1級的基礎(chǔ)上����,還應(yīng)滿足以下要求:
??? 智能網(wǎng)重要數(shù)據(jù)(如業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)配置數(shù)據(jù)��、告警數(shù)據(jù)���、加密密鑰等)等應(yīng)有異地容災(zāi)數(shù)據(jù)備份�����。
9.5.4?運行維護管理能力要求
?在滿足第3.1級的基礎(chǔ)上��,還應(yīng)滿足以下要求����;
?應(yīng)有針對災(zāi)難備份及恢復(fù)的數(shù)據(jù)異地實時容災(zāi)備份管理制度。
9.5.5?災(zāi)難恢復(fù)預(yù)案要求
?在滿足第3.1級的基礎(chǔ)上���,還應(yīng)滿足以下要求:
?應(yīng)有完善的災(zāi)難恢復(fù)預(yù)案管理制度���。
9.6第4級
??? 同第3.2級要求。
9.7第5級
??? 待補充���。
附件列表
下載次數(shù):0
