2020 4 13 1 網絡公司運行維護部 2011 9 27 重慶聯通網絡安全防護檢查情況匯報 一 通信網絡單元定級情況二 網絡安全保障系統同步建設情況三 網絡安全防護自查及評測情況四 網絡安全防護監測系統情況五 下一步工作 網絡安全檢查匯報 通信網絡單元定級情況 按照中華人民共和國工業和信息化部令第11號 通信網絡安全防護管理辦法 重慶聯通對現有各個通信網絡單元進行了網絡防護安全定級 其中8個通信網絡單元定為3 1級 15個通信網絡單元定為2級 具體情況如右 網絡安全檢查匯報 一 通信網絡單元定級情況二 網絡安全保障系統同步建設情況三 網絡安全防護自查及評測情況四 網絡安全防護監測系統情況五 下一步工作 網絡安全系統同步建設情況 重慶聯通在新建 改建 擴建通信網絡時 高度注重配套的網絡安全保障設施建設 以下是今年來建設的主要網絡安全系統 網絡安全檢查匯報 一 通信網絡單元定級情況二 網絡安全保障系統同步建設情況三 網絡安全防護自查及評測情況四 網絡安全防護監測系統情況五 下一步工作 1 工業和信息化部 關于做好通信網絡安全防護和2011年度安全防護檢查工作的通知 工信部保 2011 289號 2 中國聯通集團 關于開展2011年通信網絡安全防護檢查工作的通知 網絡傳 2011 214號 3 重慶通信管理局 關于做好通信網絡安全防護和2011年度安全防護檢查工作的通知 渝通信 2011 145號 網絡安全防護 部署 網絡安全防護 部署 重慶聯通網絡公司高度重視 成立了網絡安全檢查領導小組 由網絡公司的領導擔任組長 網絡公司運維部 網管中心 平臺維護中心 網建部等相關單位參與 召開網絡安全檢查工作會 制定檢查計劃 檢查方案 落實相關細節 網絡安全防護 2010回頭看 中國聯通集團 關于開展通信網絡安全防護整改工作 回頭看 的通知 網絡運維 2011 75號 進一步落實對2010年網絡安全檢查中發現問題的整改工作 時間 2011年3月25日 2011年4月25日向集團總部提交通信網絡安全防護整改工作 回頭看 情況報告 網絡安全防護 2010回頭看 重慶聯通網絡公司積極落實文件精神 對2010年網絡安全檢查過程中發現問題的整改情況逐一進行落實 通過網絡安全防護整改 回頭看 工作的落實 2010年網絡安全檢查中發現的問題均得到落實 一 自查階段6月15日至7月15日 各網絡安全檢查專業小組進行自查 網絡安全防護 檢查實施 1 檢查范圍重慶聯通通信網安全定級3級以上網元 包括 中國聯通移動通信網電路域重慶市本地網關口局中國聯通移動通信網電路域重慶市本地網核心交換網中國聯通移動通信網分組域重慶市本地網核心交換網中國聯通信令網重慶市本地信令網中國聯通固定通信網重慶市本地網關口局中國聯通增值業務網重慶市短消息網中國聯通IP承載網重慶市IP城域網中國聯通光傳送網重慶市本地傳送網匯聚層 含核心層 網絡安全防護 檢查實施 2 自查內容根據工信部保 2011 289號文的要求 逐項對比管理制度 網絡結構 日常維護 應急預案等進行檢查 并形成風險評估報告 網絡安全防護 檢查實施 二 自查結果1 管理部分聯通渝市字 2011 532號 關于印發信息安全相關管理辦法的通知 成立了以公司總經理楊俊為組長的公司信息安全委員會 網絡安全防護 檢查實施 各部門 各分公司的總經理為本單位信息安全第一責任人 對本單位信息安全工作負領導責任 各部門 各分公司分管信息安全的負責人為本單位信息安全責任人 對本單位信息安全工作負直接領導責任 網絡安全防護 檢查實施 發布實施了 重慶聯通網絡安全管理規程 對員工進行了網絡安全管理規章制度的宣貫 網絡安全防護 檢查實施 網絡安全防護 檢查實施 確定網絡信息安全管理責任應遵循的原則 1 誰管理 誰負責 誰接入 誰負責 誰經營 誰負責 2 實行信息安全 一把手責任制 切實做到 一崗雙責 3 各單位 設立網絡信息安全專管員 保證資金 人員 設備到位 4 按照 事前可預防 事中可阻斷 事后可追溯 的原則 完善信息安全管理措施 流程和技術手段 5 信息安全管控機制要貫穿整個產品的生命周期6 在網絡 系統 平臺的設計 建設和運行過程中 按照國家 公司的信息安全管理需求 同步規劃 同步設計 同步運行 落實 三同步 原則 重慶聯通網絡公司運維部設置安全管理監督員 對系統變更 重要操作 物理訪問和系統接入等進行授權和審批管理 指導實施網絡安全事務 重慶聯通網絡公司各維護中心設置安全管理員 負責具體實施網絡安全日常事務 網絡安全防護 檢查實施 網絡安全管理制度滿足網絡安全檢查的相關要求 網絡安全防護 檢查實施 2 網元檢查移動核心網 MSCS 13個構成2個3 1容災保護和兩個個1 1容災保護HLR 7個構成6 1的動態容災保護TMSC LSTP 2個 負荷分擔方式SGSN 2個主備方式GGSN 2個負荷分擔SCP 3個沒有冗余關系短信中心 兩個負荷分擔IP承載網 1個主備方式 網絡安全防護 檢查實施 網絡安全防護 檢查實施 截止2011年7月 重慶G網有11個軟交換端局 SVR2 SVR4和SVR7作為容災使用 目前在用SVR總容量為579萬 占用率53 28 網絡安全防護 檢查實施 目前 GPRS核心網共2套SGSN 2套GGSN 系統容量 附著用戶數140萬 2G激活用戶數14萬 3G激活用戶數14萬 出口帶寬 GN側2Gbps GI側2Gbps 照母山SGSN1管轄區域為 萬涪黔和近郊區縣南方花園SGSN2管轄區域為 主城區 網絡安全防護 檢查實施 網絡安全防護 檢查實施 1 災難備份措施MSCS節點間鏈路 Mc口 NO7信令鏈路 均有冗余保護和備份措施 HLR設計實現6 1的動態容災保護GSN有備份保護措施 IP承載網有備份保護措施 網絡安全防護 檢查實施 MSCS話務通過負荷分擔的方式送一對TMSC 話務流量有負荷分擔 網絡安全防護 檢查實施 SGSN 互為主備 災難備份措施為 2G網絡 通過傳輸調度進行業務切換 3G網絡 網絡互通 通過修改配置數據重新進行網絡注冊 網絡安全防護 檢查實施 各網元根據 中國聯通通信網絡運維維護規則 的要求 定期進行用戶數據 計費數據 配置數據的備份通過日常維護作業計劃制定和執行備份作業 領導定期檢查和審核 網絡安全防護 檢查實施 各網元都有操作日志的記錄功能 能對所有用戶對網絡進行的所有操作進行詳細記錄 網絡安全防護 檢查實施 重慶聯通3級以上各網元均制定有通信保障應急預案 并根據網絡組網情況進行修訂 重慶通信管理局定期組織各運營商進行網間通信應急保障演練 重慶聯通移動網絡公司運維部根據運維情況和 中國聯通通信網絡運行維護規程 對一些重要網元進行了通信應急保障演練 網絡安全防護 檢查實施 進行了應急演練的網元有 SVR3 SVR5與SVR4間的容災倒換測試 SGSN的應急方案桌面實施演練SGSN還和WEB WAP平臺進行了應急聯動演練 IP承載網進行了倒換測試演練 應急演練均有演練報告 網絡安全防護 檢查實施 重慶聯通3級以上網元災難備份措施基本滿足網絡安全檢查相關要求 網絡安全防護 檢查實施 2 攻擊防護措施重慶聯通移動通信網使用IMSI對用戶進行身份身份鑒別和認證 網絡安全防護 檢查實施 在GGSN外部IP網絡之間設置防火墻進行隔離 網絡安全防護 檢查實施 根據 中國聯通通信網絡運維維護規則 的要求 通信網各網元都設置專人進行維護 網絡安全防護 檢查實施 通信網網管網絡與業務網實現隔離MSCS設置計費服務器和性能統計服務器 計費服務器只向計費結算系統開放話單采集目錄 營帳系統通過DBIO向HLR下發營帳指令 不能直接訪問HLR GSN分組域CG只向計費結算系統開放話單采集目錄 網絡安全防護 檢查實施 各網絡和設備均有口令安全策略 相關的規范對口令設置均作出具體的要求 滿足網絡安全檢查的要求 網絡安全防護 檢查實施 網絡安全日志和有關記錄進行安全審計 從自查情況來看 網絡應用系統的安全日志和有關記錄的審計按照相關要求定期進行審計 網絡安全防護 檢查實施 三 網絡安全檢查自查發現的問題1 系統和主機未定期進行漏洞檢測掃描 原因是 1 這些核心網絡都是內網網絡 與外部網絡是隔離的 缺乏漏洞掃描工具 2 缺乏相關的技術指導規范等 對漏洞掃描是否會對通信網絡 業務 造成危害有疑慮 網絡安全防護 檢查實施 2 網絡系統和主機惡意代碼檢測從自查情況來看 WINDOWS系列的主機均安裝有防病毒軟件 進行了定期的病毒檢測 網絡安全管理員定期進行了病毒庫代碼更新 沒有對病毒查殺結果和分析形成報告 原因是網絡為內部網絡 目前還沒有出現嚴重的惡意病毒感染事件 UNIX系列的主機沒有安裝惡意代碼檢測軟件 也是缺乏相關的技術手段 網絡安全防護 檢查實施 3 對通用主機軟件和補丁升級的安全管理制度和規范化流程要求 中國聯通通信網絡運維維護規則 和 重慶聯通網絡安全管理規程 對通用主機軟件和補丁升級有具體要求 由于主機軟件的補丁可能會對應用系統的進程進行抑制 從而導致通信業務受到影響 因此 對于哪些補丁需要升級 要有設備供應商或者聯通總部的通知 目前是由設備供應商定期發布技術通知書 明確主機軟件需升級的補丁程序 各網絡維護中心組織實施 網絡安全防護 檢查實施 4 對電信網絡設備軟件和補丁升級的安全管理制度和規范化流程要求 中國聯通通信網絡運行維護規程 對電信網絡設備軟件和補丁升級有具有的制度和規范化流程要求 從軟件進網測試 發布 實施升級等都有嚴格的規定 重慶聯通網絡公司嚴格執行維護規程 網絡安全防護 檢查實施 5 移動網移動存儲介質使用和管理安全策略要求目前核心網絡基本使用網絡儲存 只有在極少的情況下使用移動存儲介質 主要用于病毒庫升級和部分設備的計費數據備份等 根據2010年網絡安全檢查的整改要求 重慶聯通在移動核心網絡部署了內網安全管理系統 對移動核心網所有主機USB等端口實施了使用許可管理 增強了移動存儲介質使用和管理的安全性 網絡安全防護 檢查實施 6 遠程維護管控根據運維規程的要求 在需要進行遠程維護時 需要安全管理監督員同意 對遠程維護實施的網元 實施方案 實施人都有明確的記錄 網絡安全防護 檢查實施 重慶聯通3級以上網元的遠程維護網絡功能在必要的時候可以關閉 平時的遠程維護網絡接入在物理上是隔斷的 只有在需要時 由安全管理監督員或部門領導同意 方可打開物理連接 在遠程維護實施結束后 要關閉遠程維護網絡的物理連接 網絡安全防護 檢查實施 系統遠程維護有安全管控策略 一般遠程維護只有查詢功能 沒有數據修改權限 在運程維護實施過程中 有專人對操作進行實時監控 網絡安全防護 檢查實施 遠程維護的安全鑒別和認證措施包括 撥號訪問VPN接入二次登陸認證 網絡安全防護 檢查實施 遠程維護使用的安全加密和認證算法有 CHAPPAPL2TP 網絡安全防護 檢查實施 對安全日志 監控記錄的分析和審計在移動網絡應用系統的安全日志和有關記錄的審計中不定期進行 網絡安全防護 檢查實施 7 用戶信息訪問控制保護重慶聯通用戶信息只能通過營帳系統才能進行訪問 其訪問控制措施由計費結算部門負責實施 網絡安全防護 檢查實施 8 應急保障重慶聯通對于重大節假日和應急通信保障都高度重視 已制定 重慶聯通通信保障應急預案 網絡安全防護 檢查實施 網絡安全防護 檢查實施 為了更全面的評估我司網絡安全情況 重慶聯通網絡公司選擇了移動通信網 增值業務網短信中心兩個專業網絡單元委托國家計算機網絡與信息安全管理中心重慶分中心進行第三方網絡安全符合性評測和風險評估 網絡安全檢查匯報 一 通信網絡單元定級情況二 網絡安全保障系統同步建設情況三 網絡安全防護自查及評測情況四 網絡安全防護監測系統情況五 下一步工作 網絡安全防護系統建設情況 遠程安全評估子系統系統RSAS 評估全網范圍內所有服務器 網絡設備 主機的系統級安全 評估是否有系統漏洞 通過快速掃描 系統自動生成報表 列出受評估IP的相關漏洞 并提供解決方案 低俗內容審計子系統系統SAS 主要功能是全網范圍內的IP域名管理 周期性監控全網范圍內網站的狀態 IP正常 IP變更 無法訪問 做到對全網范圍內所有域名的有效管理 同時 設備對全網范圍內網站的內容進行檢查 發現網站下非法內容 即時告警 安全審計模塊 對全網范圍內的網站進行評估 發現掛馬頁面 含惡意代碼的頁面 圖片審計模塊 對全網范圍內 所出現的色情圖片進行快速發現 準確告警圖片url 2011年 重慶聯通新建了一套網絡安全防護系統 系統于2011年6月23日竣工正式上線 主要功能如下 網絡安全防護系統運行情況 網絡安全防護系統上線至今 總體運行情況穩定 通過全自動 智能化的掃描方式 掃描評估對象近10余萬個 產生低俗文字告警 低俗圖像告警 掛馬告警 未備案網站告警 操作系統漏洞告警 數據庫漏洞告警 中間件漏洞告警 脆弱賬號口令告警等等共計近百萬條 已完成對IP承載網 PS承載網 DNS域名解析系統 169IP承載網等網絡的安全漏洞評測 實現對169互聯網按分公司 業務類別實現對低俗內容 未備案網站掃描 關鍵字掃描 非法文字信息 圖片掃描 淫穢色情圖片 進行了7X24小時不間斷掃描 便于對重慶聯通網內的低俗內容網站進行及時的發現和處置 對掌握全網范圍內的安全狀況 包括網絡安全和信息安全狀況 得到更有說服力的數據 滿足重慶聯通對網絡信息安全通過技術手段進行管控的要求 但對圖片 文字的智能識別能力還需要進一步改進和優化 現階段掃描出來的內容多 工作量大 后期需要對此作進一步的優化和處理 網絡安全檢查匯報 一 通信網絡單元定級情況二 網絡安全保障系統