表2脆弱性分析
?
? 類型 | ??? 對(duì)象 | ??? 存在的脆弱性 |
? | ? ? ? ??? 業(yè)務(wù)/應(yīng)用 ? ? ? | 系統(tǒng)本身設(shè)計(jì)缺陷或軟件Bug; 網(wǎng)絡(luò)和設(shè)備的處理能力不夠而導(dǎo)致在突發(fā)話務(wù)量高時(shí)業(yè)務(wù)提供不連續(xù),業(yè)務(wù)數(shù)據(jù)的保密性不夠,重要數(shù)據(jù)未及時(shí)進(jìn)行本地和異地備份; SSP處理能力不夠?qū)е轮悄芫W(wǎng)無法正常提供業(yè)務(wù); 網(wǎng)管、操作維護(hù)存在漏洞; 業(yè)務(wù)軟件自身存在的安全漏洞; ?SCP單點(diǎn)設(shè)置 |
技術(shù)脆弱性 ? ? ? | ? ? ??? 網(wǎng)絡(luò) ? | ? 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)不合理,網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、路由配置不合理,通信安全保護(hù)不充分,外部和內(nèi)部的訪問缺少控制等 |
設(shè)備(含操作系 ? 統(tǒng)和數(shù)據(jù)庫(kù)) ? | 賬號(hào)和口令保護(hù)不夠,鑒權(quán)和訪問控制機(jī)制不完善,重要部件未配置主備用保護(hù),系統(tǒng)配置不合理。備份和恢復(fù)機(jī)制不健全,設(shè)備超過使用年限或核心郵件老化,設(shè)備發(fā)生故障后未及時(shí)告警,軟件版本管理不規(guī)范 |
? ? 物理環(huán)境 ? | 機(jī)房場(chǎng)地選擇不合理,防火、供配電、防靜電、接地與防冒、電磁防護(hù)、溫濕度控制不符合規(guī)范,通信線路、機(jī)房設(shè)備的保護(hù)不符合規(guī)范 |
? ? ? ? ? ??? 管理脆弱性 ? ? ? ? ? | 安全管理機(jī)構(gòu)方面:崗位設(shè)置不合理(如人員配置過少、職責(zé)不清)、授權(quán)和審批程序簡(jiǎn)化、溝通和合作未執(zhí)行、審核和檢查未執(zhí)行等; 安全管理制度方面:管理制度不完善、制度評(píng)審和修訂不及時(shí)等; 人員安全管理方面:人員錄用不符合程序、人員離崗未辦理安全手續(xù)、人員未進(jìn)行安全培訓(xùn)、對(duì)于第三方人員未進(jìn)行限制訪問等; 建設(shè)管理方面:安全方案不完善、軟件開發(fā)不符合程序、工程實(shí)施未進(jìn)行安全驗(yàn)收或驗(yàn)收不嚴(yán)格等; 運(yùn)維管理方面:物理環(huán)境管理措施簡(jiǎn)單,存儲(chǔ)介質(zhì)使用不受限、設(shè)備沒有定期維護(hù)、 廠家支持力度不夠、關(guān)鍵性能指標(biāo)沒有定期監(jiān)控、無惡意代碼防范措施、無數(shù)據(jù)備份和恢復(fù)策略、訪問控制不嚴(yán)格、操作管理不規(guī)范等,應(yīng)急保障措施不到位 |
?
??? 脆弱性大小由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商自行賦值。
7.3威脅分析
?智能網(wǎng)的威脅根據(jù)來源可分為技術(shù)威脅、環(huán)境威脅和人為威脅。環(huán)境威脅包括自然界不可抗的威脅和其他物理威脅;根據(jù)威脅的動(dòng)機(jī),人為威脅又可分為惡意和非惡意兩種。部分威脅見表3。
表3 威脅來源列表
?
??? 來源 | ??? 威脅描述 |
? ??? 設(shè)備威脅 ? | 設(shè)備自身的軟件、硬件故障; 節(jié)假日或其他原因的高話務(wù)量沖擊; 濫用權(quán)限對(duì)操作維護(hù)數(shù)據(jù)的修改 |
? | ??? 物理環(huán)境 | 斷電、靜電、灰塵、潮濕、溫度、強(qiáng)電磁干擾等,意外事故或通信線路方面的故障 |
? 環(huán)境威脅 ? | ? ??? 自然災(zāi)害 | ? 鼠蟻蟲害、洪災(zāi)、火災(zāi)、泥石流、山體滑坡、地震、臺(tái)風(fēng)、閃電 |
?
?
??? 來源 | ??? 威脅描述 |
? | ? ? ??? 惡意人員 ? ? | 不滿的或有預(yù)謀的內(nèi)部人員濫用權(quán)限進(jìn)行惡意破壞; 采用自主外部人員或內(nèi)外勾結(jié)的方式盜竊或篡改機(jī)密信息; 外部人員利用惡意代碼和病毒對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行攻擊; 外部人員進(jìn)行物理破壞,盜竊等 |
? 人為威脅 ? ? ? ? | ? ? ? 無惡意人員 ? ? | 內(nèi)部人員由于缺乏責(zé)任心或者無作為,應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作,或無意地執(zhí)行了錯(cuò)誤的操作導(dǎo)致安全事件; 內(nèi)部人員沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞; 內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致故尊或攻擊; 安全管理制度不完善、落實(shí)不到位造成安全管理不規(guī)范或者管理混亂導(dǎo)致安全事件 |
?
8? 智能網(wǎng)網(wǎng)安全等級(jí)保護(hù)要求
8.1? 第1級(jí)
??? 不作要求。
8.2第2級(jí)
8.2.1?智能網(wǎng)業(yè)務(wù)安全要求
??? a)管理員密碼等數(shù)據(jù)應(yīng)該進(jìn)行加密處理,而不應(yīng)在文件或數(shù)據(jù)庫(kù)中明文顯示;
??? b)計(jì)費(fèi)信息應(yīng)正確、不丟失、不重復(fù),計(jì)費(fèi)信息不能被修改,原始話單不能被增加;
??? c)卡號(hào)、密碼的鑒權(quán)采用一定的安全機(jī)制,如限制嘗試次數(shù)。
8.2.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 智能網(wǎng)網(wǎng)絡(luò)中(如SCP和SMP, SMP與賬務(wù)系統(tǒng)之間)應(yīng)采用專網(wǎng)方式。
8.2.3?智能網(wǎng)設(shè)備安全要求
8.2.3.1? 概述
??? 智能網(wǎng)包括業(yè)務(wù)控制點(diǎn)(SCP)設(shè)備、業(yè)務(wù)交換點(diǎn)(SSP)設(shè)備、業(yè)務(wù)管理點(diǎn)(SMP)設(shè)備、智能外設(shè)(IP)設(shè)備、業(yè)務(wù)數(shù)據(jù)點(diǎn)(SDP)設(shè)備和充值中心(VC)設(shè)備,可以服務(wù)于固定網(wǎng)、GSM和CDMA網(wǎng)絡(luò)。
??? 設(shè)備安全應(yīng)滿足相關(guān)設(shè)備技術(shù)規(guī)范、設(shè)備安全要求、設(shè)備入網(wǎng)管理相關(guān)要求。
8.2.3.2? 固定智能網(wǎng)
? a) SCP設(shè)備應(yīng)滿足YDN 048-1997的要求;
? b) SSP設(shè)備應(yīng)滿足YDN 047-1997的要求;
? c) IP設(shè)備應(yīng)滿足YDN 098-1999的要求;
? d) SMP設(shè)備應(yīng)滿足YDN 049-1997的要求。
8.2.3.3? GSM智能網(wǎng)
? a) SCP設(shè)備應(yīng)滿足YD/T 1234-2002和YD/T 1425-2005的要求;
? b) SSP設(shè)備應(yīng)滿足YD/T 1209-2002、YD1424.1-2005和YD/T 1424.2-2005的要求;
? c) IP設(shè)備應(yīng)滿足YD/T 1427-2005的要求;
? d) SMP設(shè)備應(yīng)滿足YD/T 1426-2005的要求。
8.2.3.4? CDMA智能網(wǎng)
??? a) SCP設(shè)備應(yīng)滿足YD/T 1232-2002和YD/T 1333-2004的要求;
??? b) SSP設(shè)備應(yīng)滿足YD/T 1223-2002和YD/T 1331--2004的要求;
??? c) IP設(shè)備應(yīng)滿足YD/T 1334-2004的要求;
??? d) SMP設(shè)備應(yīng)滿足YD/T 1332-2004的要求。
8.2.4?智能網(wǎng)物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求》中第2級(jí)的安全要求。
8.2.5?智能網(wǎng)管理安全要求
??? 應(yīng)滿足YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》中第2級(jí)的安全要求。
8.3第3.1級(jí)
8.3.1?智能網(wǎng)業(yè)務(wù)安全要求
??? 在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
??? a)特定智能網(wǎng)業(yè)務(wù)的使用和開展要具有一定的安全機(jī)制,如用戶名,密碼的加密傳輸,卡號(hào)生成、傳輸、管理的安全機(jī)制等。
??? b)應(yīng)保證在運(yùn)行的智能網(wǎng)系統(tǒng)上引入新業(yè)務(wù)、升級(jí)業(yè)務(wù)或系統(tǒng)時(shí)不會(huì)引起智能網(wǎng)所提供業(yè)務(wù)的中斷或系統(tǒng)癱瘓。
8.3.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
??? a)智能網(wǎng)的網(wǎng)絡(luò)配置(如節(jié)點(diǎn)和鏈路的處理能力或負(fù)荷等)應(yīng)合理,不應(yīng)因網(wǎng)絡(luò)配置不合理而導(dǎo)致網(wǎng)絡(luò)全部或者局部癱瘓;
??? b)網(wǎng)絡(luò)拓?fù)洌ㄈ缧帕铈溌贰⒃捖罚┰O(shè)計(jì)中,應(yīng)當(dāng)充分考慮連接的冗余設(shè)置,不應(yīng)存在因單點(diǎn)故障而影響其他節(jié)點(diǎn)間數(shù)據(jù)傳送的節(jié)點(diǎn)。
8.3.3?智能網(wǎng)物理環(huán)境安全要求
??? 應(yīng)滿足YD/T 1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求》中第3.1級(jí)的安全要求。
8.3.4?智能網(wǎng)管理安全要求
??? 應(yīng)滿足YD/T 1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》中第3.1級(jí)的安全要求。
8.4第3.2級(jí)
8.4.1?智能用業(yè)務(wù)安全要求
?在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
?重要業(yè)務(wù)數(shù)據(jù)及計(jì)費(fèi)數(shù)據(jù)應(yīng)進(jìn)行備份(包括不同物理位置、不同存儲(chǔ)格式、不同存儲(chǔ)介質(zhì)等),以防止各種原因?qū)е碌南到y(tǒng)崩潰。
8.4.2?智能網(wǎng)網(wǎng)絡(luò)安全要求
??? 在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求。
??? 重要設(shè)備應(yīng)實(shí)現(xiàn)異地備份,互為備份的設(shè)備應(yīng)在兩個(gè)不同的機(jī)房。
8.4.3?智能網(wǎng)物理環(huán)境安全要求
?應(yīng)滿足YD/T1754-2008《電信網(wǎng)和互聯(lián)網(wǎng)物理環(huán)境安全等級(jí)保護(hù)要求》中第3.2級(jí)的安全要求。
8.4.4?智能網(wǎng)管理安全要求
?應(yīng)滿足YD/T1756-2008《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》中第3.2級(jí)的安全要求。
8.5第4級(jí)
??? 同第3.2級(jí)要求。
8.8第5級(jí)
??? 待補(bǔ)充。
9? 智能網(wǎng)災(zāi)難魯份及恢復(fù)要求
9.1? 災(zāi)難備份及恢復(fù)等級(jí)
根據(jù)YD/Tl73l-2008《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南》5.1節(jié),災(zāi)難備份及恢復(fù)定級(jí)應(yīng)與安全等級(jí)保護(hù)確定的安全等級(jí)一致。
9.2第1級(jí)
??? 不作要求。
9.3第2級(jí)
9.3.1?冗余系統(tǒng)、設(shè)備及鏈路要求
??? a)智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力,以保證在各個(gè)方面出現(xiàn)故障時(shí)都有備用系統(tǒng)提供服務(wù)。包括:重要設(shè)備部件的成對(duì)配置,如同卡、信令板卡、業(yè)務(wù)板卡等。
??? b)智能網(wǎng)網(wǎng)絡(luò)災(zāi)難恢復(fù)時(shí)間應(yīng)滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案相關(guān)要求。
9.3.2?冗余路由要求
??? 4)應(yīng)有流量負(fù)荷分擔(dān)設(shè)計(jì);
??? b)智能網(wǎng)的業(yè)務(wù)中斷時(shí)間應(yīng)滿足行業(yè)管理、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)急預(yù)案相關(guān)要求。
9.3.3?人員和技術(shù)支持能力要求
??? 應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的機(jī)房運(yùn)行管理人員。
9.3.4?運(yùn)行維護(hù)管理能力要求
??? a)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的機(jī)房運(yùn)行管理制度;
??? b)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的介質(zhì)存取、驗(yàn)證和轉(zhuǎn)儲(chǔ)的管理制度,應(yīng)確保備份數(shù)據(jù)的授權(quán)訪問;
9.3.5?災(zāi)難恢復(fù)預(yù)案要求
?應(yīng)有完整的災(zāi)難恢復(fù)預(yù)案。
9.4第3.1級(jí)
9.4.1?冗余系統(tǒng)、設(shè)備及鏈路要求
?在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求。
?智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力,以保證在各個(gè)方面出現(xiàn)故障時(shí)都有備用系統(tǒng)提供服務(wù)。包括:軟件系統(tǒng)的冗余,如業(yè)務(wù)軟件的備份等。
9.4.2?備份數(shù)據(jù)要求
?在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求。
??? 智能網(wǎng)關(guān)鍵數(shù)據(jù)應(yīng)有本地?cái)?shù)據(jù)備份,包括;
??? ■業(yè)務(wù)數(shù)據(jù)和用戶數(shù)據(jù),如VPN業(yè)務(wù)中的長(zhǎng)號(hào)碼、短號(hào)碼、組信息、費(fèi)率信息和用戶屬性等;
??? ■網(wǎng)絡(luò)配置數(shù)據(jù),如路由數(shù)據(jù)等;
??? ■告警數(shù)據(jù),如告警歷史信息等;
??? ■加密密鑰數(shù)據(jù)。
9.4.3?人員和技術(shù)支持能力要求
??? 在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求;
??? a)應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的設(shè)備管理人員;
??? b)應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的網(wǎng)絡(luò)管理人員;
??? c)應(yīng)有負(fù)責(zé)災(zāi)難備份及恢復(fù)的技術(shù)支持人員;
??? d)應(yīng)對(duì)負(fù)責(zé)災(zāi)難備份及恢復(fù)的人員定期進(jìn)行關(guān)于災(zāi)難備份及恢復(fù)的技術(shù)培訓(xùn)。
9.4.4?運(yùn)行維護(hù)管理能力要求
??? 在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
??? a)應(yīng)對(duì)災(zāi)難備份及恢復(fù)相關(guān)數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證;
??? b)應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的設(shè)備和網(wǎng)絡(luò)運(yùn)行管理制度;
??? c)應(yīng)具有與外部組織保持良好的聯(lián)絡(luò)和協(xié)作的能力。
9.4.5?災(zāi)難恢復(fù)預(yù)案要求
??? 在滿足第2級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求。
??? a)應(yīng)有災(zāi)難恢復(fù)預(yù)案的教育和培訓(xùn),相關(guān)人員應(yīng)了解災(zāi)難恢復(fù)預(yù)案并具有對(duì)災(zāi)難恢復(fù)預(yù)案進(jìn)行實(shí)際操作的能力;
??? b)應(yīng)有災(zāi)難恢復(fù)預(yù)案的演練,并根據(jù)演練結(jié)果對(duì)災(zāi)難恢復(fù)預(yù)案進(jìn)行修正。
9.5第3.2級(jí)
9.5.1?冗余系統(tǒng)、設(shè)備及鏈路要求
?在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
?智能網(wǎng)應(yīng)具備一定的抗災(zāi)難以及災(zāi)難恢復(fù)能力,以保證在各個(gè)方面出現(xiàn)故障時(shí)都有備用系統(tǒng)提供服務(wù),包括:設(shè)備的異地備份,如SCP、VC等設(shè)備。
9.5.2?冗余路由要求
?在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
?對(duì)于重要地區(qū),智能網(wǎng)設(shè)備之間的路由應(yīng)支持冗余方式,包括SCP和SSP之間、SCP和IP之間、SCP和SDP之間及SSP和lP之間的路由等。
9.5.3?備份數(shù)據(jù)要求??? ,
??? 在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
??? 智能網(wǎng)重要數(shù)據(jù)(如業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)配置數(shù)據(jù)、告警數(shù)據(jù)、加密密鑰等)等應(yīng)有異地容災(zāi)數(shù)據(jù)備份。
9.5.4?運(yùn)行維護(hù)管理能力要求
?在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求;
?應(yīng)有針對(duì)災(zāi)難備份及恢復(fù)的數(shù)據(jù)異地實(shí)時(shí)容災(zāi)備份管理制度。
9.5.5?災(zāi)難恢復(fù)預(yù)案要求
?在滿足第3.1級(jí)的基礎(chǔ)上,還應(yīng)滿足以下要求:
?應(yīng)有完善的災(zāi)難恢復(fù)預(yù)案管理制度。
9.6第4級(jí)
??? 同第3.2級(jí)要求。
9.7第5級(jí)
??? 待補(bǔ)充。
附件列表
下載次數(shù):0