1、附件3 網絡信息安全保障體系建設方案目錄網絡信息安全保障體系建設方案11、建立完善安全管理體系11.1成立安全保障機構12、可靠性保證22.1操作系統的安全32.2系統架構的安全32.3設備安全42.4網絡安全42.5物理安全52.6網絡設備安全加固52.7網絡安全邊界保護62.8拒絕服務攻擊防范62.9信源安全/組播路由安全7網絡信息安全保障體系建設方案1、建立完善安全管理體系1.1成立安全保障機構山東聯通以及萊蕪聯通均成立以總經理為首的安全管理委員會，以及分管副總經理為組長的網絡運行維護部、電視寬帶支撐中心、網絡維護中心等相關部門為成員的互聯網網絡信息安全應急小組，負責全省網絡信息安全的總

2、體管理工作。山東聯通以及萊蕪聯通兩個層面都建立了完善的內部安全保障工作制度和互聯網網絡信息安全應急預案，通過管理考核機制，嚴格執行網絡信息安全技術標準，接受管理部門的監督檢查。同時針對三網融合對網絡信息安全的特殊要求，已將IPTV等寬帶增值業務的安全保障工作納入到統一的制度、考核及應急預案當中。內容涵蓋事前防范、事中阻斷、事后追溯的信息安全技術保障體系，域名信息登記管理制度IP地址溯源和上網日志留存等。并將根據國家規范要求，對三網融合下防黑客攻擊、防信息篡改、防節目插播、防網絡癱瘓技術方案進行建立和完善。2、可靠性保證IPTV是電信級業務，對承載網可靠性有很高的要求。可靠性分為設備級別的可靠性

3、和網絡級別的可靠性。（1）設備級可靠性核心設備需要99.999%的高可靠性，對關鍵網絡節點，需要采用雙機冗余備份。此外還需要支持不間斷電源系統（含電池、油機系統）以保證核心設備24小時無間斷運行。（2）網絡級可靠性關鍵節點采用冗余備份和雙鏈路備份以提供高可靠性。網絡可靠性包括以下幾方面：Ø 接入層：接入層交換機主要利用STP/RSTP協議在OSI二層實現網絡收斂自愈。Ø 匯聚層：在OSI第三層上使用雙機VRRP備份保護機制，使用BFD、Ethernet OAM、MPlS OAM來對鏈路故障進行探測，然后通過使用快速路由協議收斂來完成鏈路快速切換。Ø 核心層：在P設

4、備（Core設備和CR設備）上建立全連接LDP over TE。TE的數量在200以下。Ø 組播業務保護：主要基于IS-IS協議對組播業務采取快速收斂保護，對組播分發進行冗余保護和負載分擔。2.1操作系統的安全在操作系統級別上，其安全需求主要表現在防止非法用戶入侵、防病毒、防止數據丟失等。Ø 防止非法用戶入侵：系統設置防火墻，將所有需要保護的主機設置在防火墻內部，物理上防止惡意用戶發起的非法攻擊和侵入。為業務管理人員建立起身份識別的機制，不同級別的業務管理人員，擁有不同級別的對象和數據訪問權限。Ø 防病毒：部署防病毒軟件，及時更新系統補丁。Ø 數據安全：

5、建立數據安全傳輸體系，系統具備完善的日志功能，登記所有對系統的訪問記錄。建立安全的數據備份策略，有效地保障系統數據的安全性。2.2系統架構的安全IPTV運營管理平臺具備雙機熱備份功能，業務處理機、EPG服務器、接口機都支持主備功能。存儲系統能夠支持磁盤RAID模式，利用RAID5技術防止硬盤出現故障時數據的安全。支持HA（High Availability）模式，實現系統的熱備份，在主用系統故障時能夠自動切換到備用系統，可提供流媒體服務器多種單元的冗余備份。支持用戶通過手工備份功能。并且備份數據可保存到外部設備中。同時，設備可通過分布式部署，保證系統的安全。EPG服務器、VDN調度單元、網管均

6、支持分布式處理。2.3設備安全核心系統（服務器硬件、系統軟件、應用軟件）能在常溫下每周7×24小時連續不間斷工作，穩定性高，故障率低，系統可用率大于99.9。具備油機不間斷供電系統，以保證設備運行不受市電中斷的影響。服務器平均無故障時間（MTBF）大于5,000小時，小型機平均無故障時間（MTBF）大于10,000小時，所有主機硬件三年內故障修復時間不超過30個小時。2.4網絡安全IPTV業務承載網絡直接與internet等網絡互聯，作為IP網絡也面臨各種網絡安全風險，包括網絡設備入侵、拒絕服務攻擊、路由欺騙、QOS服務破壞以及對網絡管理、控制協議進行網絡攻擊等，故IPTV承載網絡的

7、安全建設實現方式應包括物理安全、網絡設備的安全加固、網絡邊界安全訪問控制等內容。2.5物理安全包括IPTV承載網絡通信線路、物理設備的安全及機房的安全。網絡物理層的安全主要體現在通信線路的可靠性，軟硬件設備安全性，設備的備份和容災能力，不間斷電源保障等。2.6網絡設備安全加固作為IP承載網，首先必須加強對網絡設備的安全配置，即對網絡設備的安全加固，主要包括口令管理、服務管理、交互式訪問控制等措施。口令的安全管理，所有網絡設備的口令需要滿足一定的復雜性要求；對設備口令在本地的存儲，應采用系統支持的強加密方式；在口令的配置策略上，所有網絡設備口令不得相同，口令必須定時更新等；在口令的安全管理上，為

8、了適應網絡設備的規模化要求，必須實施相應的用戶授權及集中認證單點登錄等機制，不得存在測試賬戶、口令現象。服務管理，在網絡設備的網絡服務配置方面，必須遵循最小化服務原則，關閉網絡設備不需要的所有服務，避免網絡服務或網絡協議自身存在的安全漏洞增加網絡的安全風險。對于必須開啟的網絡服務，必須通過訪問控制列表等手段限制遠程主機地址。在邊緣路由器應當關閉某些會引起網絡安全風險的協議或服務，如ARP代理、CISCO的CDP協議等。控制交互式訪問，網絡設備的交互式訪問包括本地的控制臺訪問及遠程的VTY終端訪問等。網絡設備的交互式訪問安全措施包括：加強本地控制臺的物理安全性，限制遠程VTY終端的IP地址；控制

9、banner信息，不得泄露任何相關信息；遠程登錄必須通過加密方式，禁止反向telnet等。2.7網絡安全邊界保護網絡安全邊界保護的主要手段是通過防火墻或路由器對不同網絡系統之間實施相應的安全訪問控制策略，在保證業務正常訪問的前提下從網絡層面保證網絡系統的安全性。IPTV承載網絡邊界保護措施主要包括以下兩點：通過路由過濾或ACL的方式隱藏IPTV承載網路由設備及網管等系統的IP地址，減少來自Internet或其它不可信網絡的安全風險。在IPTV承載網絡邊緣路由器與其它不可信網絡出口過濾所有的不需要的網絡管理、控制協議，包括HSRP、SNMP等。2.8拒絕服務攻擊防范拒絕服務攻擊對IPTV承載網絡

10、的主要影響有：占用IPTV承載網網絡帶寬，造成網絡性能的下降；消耗網絡設備或服務器系統資源，導致網絡設備或系統無法正常提供服務等。建議IPTV承載網絡采取以下措施實現拒絕服務攻擊的防范：實現網絡的源IP地址過濾，在IPTV承載網接入路由器對其進行源IP地址的檢查。關閉網絡設備及業務系統可能被利用進行拒絕服務攻擊的網絡服務端口及其它網絡功能，如echo、chargen服務，網絡設備的子網直接廣播功能等。通過建立網絡安全管理系統平臺實現對拒絕服務攻擊的分析、預警功能，從全局的角度實現對拒絕服務攻擊的監測，做到早發現、早隔離。下圖給出了IPTV承載網安全建設實現方式圖。2.9信源安全/組播路由安全盡

11、管組播技術具備開展新業務的許多優勢，并且協議日趨完善，但開展組播業務還面臨著組播用戶認證、組播源安全和組播流量擴散安全性的問題。組播源管理：在組播流進入骨干網絡前，組播業務控制設備應負責區分合法和非法媒體服務器，可以在RP上對組播源的合法性進行檢查，如果發現來自未經授權的組播源的注冊報文，可以拒絕接收發送過來的單播注冊報文，因此下游用戶就可以避免接收到非法的組播節目。為防止非法用戶將組播源接入到組播網絡中，可以在邊緣設備上配置組播源組過濾策略，只有屬于合法范圍的組播源的數據才進行處理。這樣既可以對組播報文的組地址進行過濾，也可以對組播報文的源組地址進行過濾。組播流量擴散安全性：在標準的組播中，接收者可以加入任意的組播組，也就是說，組播樹的分枝是不可控的，信源不了解組播樹的范圍與方向，安全性較低。為了實現對一些重要信息的保護，需要控制其擴散范圍，靜態組播樹方案就是為了滿足此需求而提出的。靜態組播樹將組播樹事先配置，控制組播樹的范圍與方向，不接收其他動態的組播成員的加入，這樣能使組播信源的報文在規定的范圍內擴散。在網絡中，組播節目可能只需要一定直徑范圍內的用戶接收，可以在路由器上對轉發的組播報文的TTL數進行檢查，只對大于所配置的TTL閾值的組播報文進行轉發，因此可以限制組播報文擴散到未經授權的范圍。組播用戶的管理：原有標準的組播協議沒有考慮用戶管