中國電信吉安分公司固定通信網(wǎng)安全風(fēng)險評估報告

1、<p>　　中國電信江西省吉安市固定通信網(wǎng)</p><p><b>　　安全風(fēng)險評估報告</b></p><p><b>　　中國電信吉安分公司</b></p><p><b>　　二00九年七月</b></p><p>　評估對象：吉安純匯、SHLR、 TS、網(wǎng)關(guān)、

2、TG9000、端局</p><p>　評估單位：吉安電信網(wǎng)絡(luò)維護(hù)安裝中心</p><p>　評估日期：2009年７月１日－31日</p><p><b>　　目 錄</b></p><p><b>　　1概述</b></p><p><b>　　1.1目的

3、2</b></p><p>　　1.2內(nèi)容及范圍2</p><p>　　1.3風(fēng)險評估方法4</p><p>　　1.4評估依據(jù)4</p><p><b>　　2資產(chǎn)分析</b></p><p><b>　　2.1本地網(wǎng)5</b></p&

4、gt;<p>　　2.2省內(nèi)長途網(wǎng)6</p><p><b>　　3威脅分析7</b></p><p><b>　　3.1本地網(wǎng)8</b></p><p>　　3.2省內(nèi)長途網(wǎng)</p><p><b>　　4脆弱性分析9</b></p&g

5、t;<p>　　4.1本地網(wǎng)10</p><p>　　4.2省內(nèi)長途網(wǎng)11</p><p><b>　　5已有安全措施</b></p><p><b>　　6安全風(fēng)險分析</b></p><p>　　7風(fēng)險處置計劃及整改情況</p><p>

6、<b>　　8總結(jié)</b></p><p>　　內(nèi)部資料，注意保密，未經(jīng)同意，請勿翻印</p><p><b>　　文檔信息</b></p><p><b>　　修改過程</b></p><p><b>　　評審過程</b></p>&l

7、t;p><b>　　分發(fā)范圍</b></p><p><b>　　1概述</b></p><p><b>　　1.1目的</b></p><p>　　為全面梳理吉安交換網(wǎng)絡(luò)安全運(yùn)營的薄弱環(huán)節(jié)，落實防護(hù)措施，消除安全隱患，并切實為國慶60周年網(wǎng)絡(luò)安全保障做好準(zhǔn)備，組織開展吉安交換本地網(wǎng)的網(wǎng)絡(luò)安全檢

8、查及評估。通過此次檢查評估，全面掌握吉安C３本地網(wǎng)核心設(shè)備：純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000、端局等設(shè)備的整體運(yùn)行情況，及時提出整改計劃及措施，消除隱患，提高吉安本地交換網(wǎng)整體安全防護(hù)水平。</p><p><b>　　1.2內(nèi)容及范圍</b></p><p>　　評估對象：吉安C３本地網(wǎng)核心設(shè)備：純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000、37個端

9、局</p><p>　　網(wǎng)絡(luò)結(jié)構(gòu)及組網(wǎng)分析：</p><p>　　目前吉安本地網(wǎng)由純匯局匯接吉安市、吉水縣、新干縣、永新縣、永豐縣、萬安縣、泰和縣、遂川縣、井岡山市、峽江縣、安?？h、吉安縣等12個縣市端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù)、市話話務(wù)和智能業(yè)務(wù)，匯接C網(wǎng)打電信本地固話、C網(wǎng)打固話長途及軟交換打省際長途業(yè)務(wù)。</p><p>　　吉安市C3本地網(wǎng)

10、范圍內(nèi)現(xiàn)有2個本地純匯接局(大樓純匯、河?xùn)|純匯)、1個長途局、1個TG9000、1個C網(wǎng)MGW、1個PHS、1個網(wǎng)關(guān)局、2個LSTP、2個SHLR、2個LSTP、37個端局。純匯局對端局、C網(wǎng)MGW、軟交換（TG9000）、網(wǎng)關(guān)、TS采用雙匯接、全覆蓋的組網(wǎng)形式。七號信令方式為準(zhǔn)直聯(lián)，純匯局與C網(wǎng)MGW和軟交換TG9000開設(shè)了直鏈。純匯局采用了雙匯接，可靠性較高。</p><p>　　同時，設(shè)置了大樓、河?xùn)|兩套

11、SHLR（綜合用戶屬性數(shù)據(jù)庫），分別與純匯和軟交換網(wǎng)絡(luò)互連，實現(xiàn)了新業(yè)務(wù)在全網(wǎng)的統(tǒng)一開展，這兩套SHLR采用了同步校對機(jī)制，保證了數(shù)據(jù)的一致性；長途局、網(wǎng)關(guān)局、C網(wǎng)、各農(nóng)市話端局分別和大樓MS1、河?xùn)|MS2開通直達(dá)中繼相連；2個純匯接局之間設(shè)置有過橋中繼，網(wǎng)關(guān)局與長途局開有直達(dá)中繼。</p><p>　　吉安交換網(wǎng)話路和信令拓?fù)鋱D如下：</p><p>　　長途局采用S1240設(shè)備，與本地

12、網(wǎng)的純匯局、網(wǎng)關(guān)局、省內(nèi)各本地網(wǎng)TS及部分話務(wù)量較高的省際TS設(shè)置直達(dá)中繼，用來疏通出入吉安的長途話務(wù)，并作為省內(nèi)SSP，與省內(nèi)SCP配合實現(xiàn)小靈通預(yù)付費(fèi)、17909等智能業(yè)務(wù)。單節(jié)點(diǎn)配置。</p><p>　　關(guān)口局采用華為設(shè)備，與本地網(wǎng)純匯局、TS、其它運(yùn)營商及南昌TS2開通直達(dá)中繼，用來疏通其它運(yùn)營商出入吉安的網(wǎng)間話務(wù)。將與新建的綜合網(wǎng)關(guān)局雙節(jié)點(diǎn)配置，分別設(shè)置在大樓二樓機(jī)房和河?xùn)|三樓機(jī)房。</p>

13、;<p>　　軟交換TG9000主要用來疏通軟交換用戶與PSTN、C網(wǎng)、PHS間的話務(wù)，同時也承擔(dān)了30%的省內(nèi)長途話務(wù)。</p><p>　　吉安本地網(wǎng)端局共有37個，機(jī)型包括S1240、ZXJ10、C&C08、DSM100、大唐五種，每個端局都與兩個純匯局開通直達(dá)話路，用于疏通端局內(nèi)部及出入端局的所有話務(wù)。交換機(jī)使用年限表（含1個長途、1個網(wǎng)關(guān)、2個純匯）。</p><

14、;p>　　為確保吉安本地交換網(wǎng)絡(luò)安全，本次評估將從吉安C３本地網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、硬件環(huán)境、設(shè)備、資源、話務(wù)、容災(zāi)措施和維護(hù)管理等幾個方面進(jìn)行風(fēng)險評估。</p><p><b>　　1.3風(fēng)險評估方法</b></p><p>　　本次風(fēng)險評估采取的評估方式有：查閱文檔、咨詢廠家、測試、遠(yuǎn)程巡檢、現(xiàn)場檢查、維護(hù)人員集中討論、分析等。通過對C３本地網(wǎng)的資產(chǎn)識別、脆弱性識別

15、、威脅識別等步驟來進(jìn)行評估。</p><p><b>　　1.4評估依據(jù)</b></p><p>　　本次安全風(fēng)險評估參考的標(biāo)準(zhǔn)為安全防護(hù)系列標(biāo)準(zhǔn)，本地網(wǎng)目前網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備情況，承載的業(yè)務(wù)，核心設(shè)備日常維護(hù)要求等。</p><p><b>　　2資產(chǎn)分析</b></p><p>　　吉安本地網(wǎng)范圍內(nèi)

16、現(xiàn)有2個本地純匯接局(大樓純匯、河?xùn)|純匯)、1個長途局、1個TG9000、1個C網(wǎng)MGW、1個PHS、1個網(wǎng)關(guān)局、2個LSTP、2個SHLR、2個LSTP、37個端局。</p><p>　　網(wǎng)絡(luò)核心節(jié)點(diǎn)是本地網(wǎng)大樓純匯和河?xùn)|純匯，由這兩個核心節(jié)點(diǎn)實現(xiàn)全網(wǎng)PSTN、PHS、C網(wǎng)話務(wù)的匯接以及通過MSG9000（TG/SG）實現(xiàn)了軟交換與PSTN網(wǎng)絡(luò)的互通匯接。</p><p><b&g

17、t;　　2.1本地網(wǎng)</b></p><p>　　吉安2個純匯作為本地網(wǎng)固話業(yè)務(wù)核心承載設(shè)備，匯接了本地網(wǎng)端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù)、市話話務(wù)和智能業(yè)務(wù)、C網(wǎng)話務(wù)，因此具有非常高的重要性。</p><p>　　網(wǎng)關(guān)做為與異網(wǎng)互聯(lián)互通設(shè)備，其重要性也非常高。</p><p>　　軟交換做為固網(wǎng)設(shè)備更新的方向，其重要性也高。</p&

18、gt;<p>　　目前PSTN端局所有話務(wù)都要上純匯匯接，端局的計費(fèi)采集點(diǎn)已經(jīng)上收至純匯，端局僅作為用戶的接入設(shè)備，由于PSTN端局開通較早，還承載了政府、金融等重要客戶的電話，其重要性為中。</p><p><b>　　2.2省內(nèi)長途網(wǎng)</b></p><p>　　吉安長途交換機(jī)主要用來疏通吉安的長途出入話務(wù)，目前在純匯通過省內(nèi)軟交換TG9000和骨干

19、TG分流了30%的長途話務(wù)，從網(wǎng)絡(luò)結(jié)構(gòu)的演進(jìn)看，長途交換機(jī)可以省去，各端局的長途業(yè)務(wù)通過純匯匯接后，可直接全部通過省內(nèi)軟交換TG9000和骨干TG承載，省公司將統(tǒng)一部署TS退網(wǎng)，其重要性列為中。</p><p><b>　　3威脅分析</b></p><p><b>　　1）環(huán)境威脅：</b></p><p>　　自然界不

20、可抗的威脅：吉安所處地理位置發(fā)生地震、泥石流、洪澇等自然災(zāi)害的可能性極小，設(shè)備放置的通信機(jī)房做好了防雷防震措施，核心機(jī)房、端局機(jī)房接地都很好，因此遇雷擊、遭洪澇的可能性極小，抗震能力也較強(qiáng)；</p><p>　　其他環(huán)境威脅：機(jī)房環(huán)境溫濕度都按要求設(shè)置，對設(shè)備產(chǎn)生影響較小，所有端局以上的機(jī)房都已安裝動環(huán)監(jiān)控系統(tǒng)，一有停電、溫濕度過高都會及時發(fā)出聲音告警，值班人員可利在動環(huán)網(wǎng)管監(jiān)控平臺遠(yuǎn)程查看告警，如有異常，立即會

21、通知相關(guān)人員排查。</p><p><b>　　2）人為威脅：</b></p><p>　　非惡意人為威脅：維護(hù)人員需經(jīng)過專業(yè)的培訓(xùn)方能擔(dān)當(dāng)該設(shè)備的維護(hù)角色。目前市級的核心設(shè)備維護(hù)人員都經(jīng)過廠家正規(guī)培訓(xùn)，也設(shè)置了A、B 角。但縣級端局設(shè)備的維護(hù)人員技術(shù)能力良莠不齊，專業(yè)的維護(hù)人員極少，維護(hù)人員的不正確操作將影響設(shè)備的正常運(yùn)行。維護(hù)人員的技術(shù)技能低下，也將影響緊急故障處

22、理。</p><p>　　為了防止該現(xiàn)象發(fā)生，需加強(qiáng)縣級維護(hù)人員的技術(shù)培訓(xùn)，另外在設(shè)備升級、業(yè)務(wù)割接前要做好詳細(xì)的升級和割接測試方案，一旦升級、割接失敗則立即啟用回退方案；嚴(yán)格落實局?jǐn)?shù)據(jù)修改規(guī)范，落實雙人制度：1人操作，1人檢查，防止誤操作。嚴(yán)格控制操作人員權(quán)限，不具備操作技能的人員不給予權(quán)限。</p><p>　　惡意人為威脅：人為的惡意攻擊將導(dǎo)致設(shè)備癱瘓。為了防止此類現(xiàn)象發(fā)生，已在設(shè)備

23、上設(shè)置登陸帳號密碼，采用1人1個帳號的原則，同時啟用防護(hù)策略封堵一些常見的病毒端口及通過安裝正版殺毒軟件來定期對設(shè)備查殺病毒。</p><p><b>　　3）其他威脅：</b></p><p>　　設(shè)備硬件和軟件問題將造成設(shè)備性能下降，影響網(wǎng)絡(luò)運(yùn)行。為防止此類現(xiàn)象發(fā)生，已采用網(wǎng)管平臺對設(shè)備和網(wǎng)絡(luò)運(yùn)行情況進(jìn)行實時監(jiān)控，同時要求各設(shè)備廠家維護(hù)人員定期對設(shè)備進(jìn)行巡檢。此外

24、，局方在運(yùn)行中發(fā)現(xiàn)不可預(yù)見性的軟、硬件問題和隱患應(yīng)及時告知廠家，并責(zé)其盡快采取有效措施予以規(guī)避和解決。</p><p><b>　　3.1本地網(wǎng)</b></p><p>　　根據(jù)以上分析得出吉安C3本地網(wǎng)的威脅性等級如下：</p><p><b>　　3.2省內(nèi)長途網(wǎng)</b></p><p><

25、;b>　　4脆弱性分析</b></p><p>　　吉安C3本地網(wǎng)脆弱性包括技術(shù)脆弱性和管理脆弱性兩個方面：</p><p><b>　　1）技術(shù)脆弱性：</b></p><p>　　吉安C３本地網(wǎng)純匯、SHLR設(shè)備是國內(nèi)大型設(shè)備提供商中興公司生產(chǎn)，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強(qiáng)的保障，純匯、SHLR設(shè)備操

26、作網(wǎng)管、計費(fèi)后臺服務(wù)器為DELL服務(wù)器，能滿足日常業(yè)務(wù)功能需求，操作系統(tǒng)為WINDOWS 2003 SERVER，數(shù)據(jù)庫為SQL2005版本。</p><p>　　吉安網(wǎng)關(guān)設(shè)備是國內(nèi)大型設(shè)備提供商華為公司生產(chǎn)，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強(qiáng)的保障，但應(yīng)急工作站和BAM服務(wù)器運(yùn)行年限已久，性能低下，希望有性能更高的終端或服務(wù)器進(jìn)行替代。</p><p>　　吉安TS設(shè)備是

27、上海貝爾生產(chǎn)，屬中外合資，設(shè)備質(zhì)量、售后服務(wù)及該產(chǎn)品的業(yè)務(wù)應(yīng)用方面可得到較強(qiáng)的保障，其模塊功能采用全分散方式，沒有后臺服務(wù)器，只有操作終端。</p><p>　　軟交換TG9000、大部分AG、IAD,軟交換網(wǎng)管都是中興設(shè)備，目前在軟交換網(wǎng)管對TG9000、中興AG、IAD有告警都沒聲音提示，需要維護(hù)人員不定時的在網(wǎng)管上下命令查看告警或查看退服的AG.、IAD，如果值班人員忙很難及時監(jiān)控的退服的設(shè)備，存在安全隱患

28、。</p><p>　　吉安大樓MF、河?xùn)|MF網(wǎng)管系統(tǒng)沒有聲音告警存在安全隱患。</p><p>　　S1240端局板件告警在監(jiān)控機(jī)房的本地交換網(wǎng)管系統(tǒng)不能完全確切體現(xiàn)，需要值班人員或維護(hù)人員不定期通過網(wǎng)管巡視，存在安全隱患。</p><p>　　端局DMS100、大唐設(shè)備已做退網(wǎng)計劃，部分S1240、CC08也運(yùn)行年限已久，面臨設(shè)備老化，存在安全隱患。</p

29、><p><b>　　2）管理脆弱性：</b></p><p>　　純匯、SHLR、網(wǎng)關(guān)、TS等核心設(shè)備采用包機(jī)到人的維護(hù)模式，設(shè)置了維護(hù)A、B角，對人為的操作導(dǎo)致設(shè)備故障或設(shè)備癱瘓將追究相關(guān)責(zé)任人責(zé)任。對A、B角都送至廠家進(jìn)行正規(guī)培訓(xùn)，培訓(xùn)回來還采取師傅帶徒弟的方式進(jìn)行實踐操作。設(shè)備重大操作嚴(yán)格按要求審批，待上級領(lǐng)導(dǎo)審批同意后方可執(zhí)行。每次重大操作都有詳細(xì)操作方案及回退

30、方案，操作時要求局方人員在場，廠家操作也需遵循1人操作1人檢查要求。維護(hù)人員嚴(yán)格按維護(hù)規(guī)程要求對設(shè)備進(jìn)行維護(hù)，并制作填寫維護(hù)作業(yè)計劃。對于可預(yù)見性影響設(shè)備運(yùn)行能力或服務(wù)的問題，都會要求廠家提出整改計劃，并有專人進(jìn)行問題跟蹤。</p><p><b>　　4.1本地網(wǎng)</b></p><p>　　根據(jù)以上分析得出吉安C3本地網(wǎng)的脆弱性等級如下：</p>&

31、lt;p><b>　　4.2省內(nèi)長途網(wǎng)</b></p><p><b>　　5已有安全措施</b></p><p><b>　　列出已有安全措施</b></p><p>　　一、通信網(wǎng)絡(luò)安全管理制度</p><p>　?。保畽C(jī)房出入管理制度：進(jìn)出純匯、SHLR、TS、網(wǎng)關(guān)

32、、軟交換TG9000等所有核心機(jī)房嚴(yán)格執(zhí)行了機(jī)房出入管理制度。外來人員進(jìn)入機(jī)房都要到安保部門進(jìn)行審批。內(nèi)部人員進(jìn)出機(jī)房填寫機(jī)房出入登記表。</p><p>　?。玻畽C(jī)房巡視檢查：純匯、SHLR、TG9000在同一機(jī)房，網(wǎng)關(guān)、TS分別在河?xùn)|綜合機(jī)房和大樓二樓通信機(jī)房，這三個機(jī)房為核心機(jī)房，做到每天巡檢一次。</p><p>　?。常h(huán)境監(jiān)控手段：通過動力環(huán)境監(jiān)控系統(tǒng)在網(wǎng)監(jiān)機(jī)房對對純匯、SHL

33、R、TS、網(wǎng)關(guān)、軟交換TG9000核心機(jī)房的環(huán)境溫濕度，煙感，水浸等進(jìn)行遠(yuǎn)程監(jiān)控。</p><p>　　４．密碼管理策略：純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000的網(wǎng)管維護(hù)賬號按操作維護(hù)等級設(shè)置相應(yīng)的操作權(quán)限，帳號密碼做到每季度更新一次，遇有維護(hù)人員變更時，及時增刪帳號。</p><p>　　５．維護(hù)管理制度（值守、值班、維護(hù)作業(yè)計劃等）：根據(jù)設(shè)備例行維護(hù)要求制定并執(zhí)行了交換機(jī)的日、

34、周、月等作業(yè)計劃，每月有小結(jié)和審核。</p><p>　　針對所有交換機(jī)制定了包機(jī)包區(qū)責(zé)任制，使交換機(jī)各項維護(hù)都有專人負(fù)責(zé)，并分配了A、B角，重要設(shè)備更配備了C角。</p><p>　　定期制作計費(fèi)帶、后備帶，并貼有記錄文件內(nèi)容、制作時間、制作人的詳細(xì)標(biāo)簽，重要設(shè)備的后備帶做到異地備份。</p><p>　　定期進(jìn)行交換機(jī)時鐘校對工作，確保交換機(jī)時間與北京時間不超過

35、正負(fù)3秒，并做好記錄。</p><p>　　認(rèn)真執(zhí)行純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000交換設(shè)備例測作業(yè)計劃，對例測未通過的告警及時處理、清除，做到防患于未然。</p><p>　　對交換機(jī)各類告警，網(wǎng)絡(luò)監(jiān)控值班人員基本上能在第一時間內(nèi)發(fā)現(xiàn)并進(jìn)行預(yù)處理，處理未恢復(fù)則根據(jù)故障的級別通過省綜合化電子派單系統(tǒng)進(jìn)行派單和跟蹤，確保故障及時修復(fù)。</p><p>　

36、　堅持編寫網(wǎng)絡(luò)運(yùn)行周報，每周對網(wǎng)絡(luò)安全、運(yùn)行情況進(jìn)行分析、通報。</p><p>　　全市所有交換機(jī)局?jǐn)?shù)據(jù)全部集中在交換支撐組制作，目前主要有3人制作局?jǐn)?shù)據(jù)，堅持做到一人制作，雙人檢查、撥測，并在電子運(yùn)維作業(yè)計劃中填寫“業(yè)務(wù)開通記錄”、撥測情況等。</p><p>　?。叮謾?quán)分域管理：純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000的網(wǎng)管維護(hù)帳號按操作維護(hù)等級設(shè)置相應(yīng)的操作權(quán)限，設(shè)備維護(hù)人

37、員權(quán)限高于值班人員權(quán)限。</p><p><b>　　二、災(zāi)難備份措施</b></p><p>　?。保儏R、SHLR分別有２個設(shè)備互為容災(zāi)，目前２個純匯到各局向的話務(wù)是負(fù)荷分擔(dān)且兩純匯間有過橋中繼。</p><p>　　２．SHLR固話方面是1:1負(fù)荷分擔(dān)，PHS是1+1主備，在凌晨兩SHLR會自動同步數(shù)據(jù)。</p><p

38、>　　３．TS單節(jié)點(diǎn)配置存在安全隱患。</p><p>　?。矗甌G9000單節(jié)點(diǎn)配置存在安全隱患。</p><p>　　５．新綜合網(wǎng)關(guān)局正在調(diào)測，將與老網(wǎng)關(guān)形成互備。</p><p>　?。叮到y(tǒng)數(shù)據(jù)、計費(fèi)數(shù)據(jù)定時進(jìn)行備份，并將備份數(shù)據(jù)異地存放。</p><p>　?。罚骶W(wǎng)元制定應(yīng)急預(yù)案，并進(jìn)行培訓(xùn)和演練，做到系統(tǒng)發(fā)生災(zāi)難時能及時啟

39、動預(yù)案恢復(fù)通信。</p><p>　　三、防攻擊、防病毒、防入侵措施</p><p>　　1．對純匯、SHLR安裝了硬件防火墻，對全市華為BAM安裝了BAM專用防護(hù)工具、對中興、大唐交換機(jī)服務(wù)器及維護(hù)終端安裝了防病毒軟件。安裝防護(hù)工具后可以有效防止病毒入侵，有效改善后臺管理服務(wù)器的運(yùn)行環(huán)境。</p><p>　?。玻W(wǎng)關(guān)局BAM上已安裝華為的進(jìn)程管理軟件，實時監(jiān)控，

40、只允許相關(guān)進(jìn)程運(yùn)行。啟用訪問控制策略，只允許特定維護(hù)IP地址訪問該定級對象BAM。</p><p>　?。常甌S沒有后臺服務(wù)器。</p><p>　?。矗浗粨QTG9000的后臺服務(wù)器也安裝了防病毒軟件并做到每月升級。</p><p>　　四、遠(yuǎn)程維護(hù)管控措施</p><p>　　1.加強(qiáng)交換機(jī)遠(yuǎn)程登陸管理，平時將所有交換網(wǎng)元的MODEM都關(guān)

41、閉，如果要進(jìn)行遠(yuǎn)程登陸，必須有專人跟蹤，并有相應(yīng)的記錄。</p><p>　　2.純匯、SHLR、TG９000在省網(wǎng)支都能遠(yuǎn)程登入，純匯、SHLR的局?jǐn)?shù)據(jù)是在本地維護(hù)，省網(wǎng)支修改的較少。軟交換TG９000的數(shù)據(jù)主要在省網(wǎng)支維護(hù)。遠(yuǎn)程維護(hù)操作在網(wǎng)管服務(wù)器后臺都有操作維護(hù)日志。</p><p>　　五、涉及國慶重大活動網(wǎng)絡(luò)單元的安全防護(hù)情況</p><p>　?。保康?/p>

42、重要通信、春節(jié)、國慶都會組織對核心設(shè)備進(jìn)行預(yù)檢、預(yù)修，如：在2008年奧運(yùn)前夕，組織了對吉安本地交換網(wǎng)的安全評估，相關(guān)安全評估報告如下：</p><p>　　2．在2009年春節(jié)前組織制定了“2009年春節(jié)網(wǎng)調(diào)方案”，并組織增開電路為節(jié)日期間疏通話務(wù)，節(jié)日之后做好話務(wù)分析，總結(jié)經(jīng)驗，為下一個話務(wù)高峰疏通話務(wù)儲備經(jīng)驗。2009年春節(jié)網(wǎng)調(diào)方案如下：</p><p>　?。常衲?月初省公司組織

43、了對中興軟交換設(shè)備的應(yīng)急演練，加強(qiáng)了維護(hù)人員在緊急情況下判斷故障及處理故障的能力。</p><p>　?。矗谏婕爸卮蠡顒悠陂g，都會安排維護(hù)骨干２４小時帶班和要求廠家駐守。</p><p>　　５．在純匯、TS等核心設(shè)備設(shè)置話務(wù)分流，制作好話務(wù)控制腳本，在緊急情況下，可直接啟用。如：TS目的碼話務(wù)控制實現(xiàn)流程：</p><p>　　六、網(wǎng)絡(luò)組網(wǎng)、設(shè)備能力、機(jī)房環(huán)境&

44、lt;/p><p><b>　　(一)組網(wǎng)情況</b></p><p><b>　　1.純匯</b></p><p>　　吉安C3本地網(wǎng)以純匯為中心匯接了本地網(wǎng)端局所有話務(wù)，包括長途話務(wù)、網(wǎng)間話務(wù)、網(wǎng)話話務(wù),市話話務(wù)和智能業(yè)務(wù)、C網(wǎng)話務(wù)，純匯局對TS、網(wǎng)關(guān)、C網(wǎng)MGW、TG9000、端局采用雙匯接、全覆蓋的組網(wǎng)形式。七號信令方

45、式為準(zhǔn)直聯(lián)，純匯局與網(wǎng)關(guān)和長途局、TG9000之間開設(shè)直達(dá)鏈路作為備用路由。純匯局與SHLR開設(shè)高速2M信令鏈路。</p><p>　　純匯與TS、網(wǎng)關(guān)、C網(wǎng)MGW、TG9000、端局的話務(wù)都是按負(fù)荷分擔(dān)方式分別開在兩個純匯。每個純匯到以上核心設(shè)備的話務(wù)也是分別開在不同模塊的中繼單板。</p><p><b>　　2.TS</b></p><p&g

46、t;　　長途局采用S1240設(shè)備，與本地網(wǎng)的純匯局、網(wǎng)關(guān)局、省內(nèi)各本地網(wǎng)TS及部分話務(wù)量較高的省繼TS設(shè)置直達(dá)中繼，用來疏通出入吉安的長途話務(wù)，并作為省內(nèi)SSP，與SCP配合實現(xiàn)小靈通預(yù)付費(fèi)、17909等智能業(yè)務(wù)。單節(jié)點(diǎn)配置。</p><p>　　目前長途話務(wù)已通過純匯至骨干TG和TG9000的電路分流省際、省內(nèi)話務(wù)，兩個純匯承擔(dān)了第二長途路由作用，網(wǎng)絡(luò)安全得到了可靠保證。但部分智能業(yè)務(wù)沒有保障。</p&g

47、t;<p><b>　　3.網(wǎng)關(guān)</b></p><p>　　除到大樓純匯外，到同一鄰接局向電路都不具備第2路由；將準(zhǔn)備啟用新建的綜合網(wǎng)關(guān)局作為至異網(wǎng)的第二關(guān)口局。</p><p>　　到同一局向的本端物理端口都按規(guī)范合理配置在不同模塊，不同機(jī)框或不同單板。</p><p><b>　　4.軟交換</b>&l

48、t;/p><p>　　軟交換核心設(shè)備TG9000目前與純匯、C網(wǎng)MGW開了中繼電路分別開在不同的中繼單板和不同SPC業(yè)務(wù)處理板。</p><p>　　TG9000物理上配置了２塊MSIPI板和2塊MGEB板，分別出２個100Ｍ口和２個GE口與大樓T64G和河?xùn)|T64G相連，通過T64G與CN2 PE設(shè)備相連，受控與九江西二路SS、潯陽路SS。</p><p><b

49、>　　5.SHLR</b></p><p>　　SHLR與純匯的２M高速信令鏈路分別開在不同模塊的信令處理板。與LSTP、IGW的信令鏈路也分別開在了不同模塊。與SS的偶聯(lián)物理上是分別通過SHLR的２塊SIPI與T64G相連。</p><p><b>　　(二)設(shè)備能力</b></p><p>　　目前吉安市分公司有長途局、純

50、匯接局、SHLR、網(wǎng)關(guān)局、LSTP、TG9000、C網(wǎng)MGW、智能網(wǎng)等設(shè)備，由兩個LSTP和兩個純匯接局分別分擔(dān)所有的信令和話路處理，確保各方向的話務(wù)均衡分擔(dān)，相關(guān)交換機(jī)重要板件均有備件，確保設(shè)備高效可靠地運(yùn)行。</p><p><b>　　1.純匯</b></p><p>　　大樓純匯目前剩59個２M,河?xùn)|純匯剩60個２M,但是隨著固網(wǎng)話務(wù)不斷流失，根據(jù)2008年中

51、秋話務(wù)情況，吉安已制定兩純匯到端局的中繼調(diào)整計劃，其中大樓純匯可調(diào)整323個２M,河?xùn)|純匯可調(diào)整323個２M，具體情況見下表：</p><p>　　目前兩純匯出現(xiàn)號碼分析容量表不夠，需要省公司牽頭組織中興廠家擴(kuò)號碼分析容量表解決。</p><p><b>　　2.TS</b></p><p>　　TS目前僅剩10個2M，目前主要通過在純匯做話務(wù)

52、分流解決TS疏通話務(wù)高峰時的話務(wù)，根據(jù)省公司部署TS已列入2010年退網(wǎng)計劃，其省際、省內(nèi)長途話務(wù)將由TG9000和DC1軟交換共同承擔(dān)。</p><p><b>　　3.網(wǎng)關(guān)</b></p><p>　　網(wǎng)關(guān)目前已沒有了中繼資源，今后與異網(wǎng)增開電路主要通過新綜合網(wǎng)關(guān)局解決。</p><p><b>　　4.軟交換</b>

53、</p><p>　　TG9000可同時支持5760個用戶同時通話，吉安現(xiàn)有軟交換用戶為４.8萬戶，隨著光進(jìn)銅退步伐不斷加速， PSTN交換機(jī)的退網(wǎng)，影響呼叫的MVTCA(語音碼型變換板)將是考慮擴(kuò)容的主要板件之一。中繼資源也較緊張，目前只剩８個２M，１個光口，也要盡快考慮擴(kuò)容。</p><p><b>　　5.SHLR</b></p><p>

54、;　　因Ｃ網(wǎng)的用戶數(shù)據(jù)沒有融合到固網(wǎng)的SHLR，目前SHLR能滿足固網(wǎng)和PHS的業(yè)務(wù)需求。大樓SHLR磁陣有1塊硬盤有告警，需要更換。</p><p><b>　?。ㄈC(jī)房環(huán)境</b></p><p>　　為提高機(jī)房的安全性，結(jié)合集團(tuán)公司、省公司提出的星級機(jī)房達(dá)標(biāo)要求，2007年吉安在全市范圍內(nèi)開展機(jī)房整治工作，組織對機(jī)房進(jìn)行整體規(guī)劃并改造，以期達(dá)到機(jī)房整潔、走線規(guī)

55、范、資料齊全、設(shè)備擺放合理有序的效果，從而杜絕安全隱患。</p><p>　　對于無人值守機(jī)房的安全問題，網(wǎng)管監(jiān)控中心利用動力環(huán)境監(jiān)控設(shè)備，接入網(wǎng)管等監(jiān)控手段，確保設(shè)備有任何異常及煙霧告警均能及時發(fā)現(xiàn)并予以解決。 確保了機(jī)房環(huán)境安全。</p><p>　　純匯、SHLR、TG９000、網(wǎng)關(guān)在同一機(jī)房，屬新建機(jī)房，機(jī)房環(huán)境負(fù)荷相關(guān)要求。</p><p>　　TS機(jī)房經(jīng)

56、過機(jī)房整治符合要求。</p><p><b>　?。ㄋ模┰O(shè)備硬件</b></p><p>　　1.純匯、SHLR、TS、網(wǎng)關(guān)、軟交換TG9000重要板件都有主備用。純匯、SHLR屬新建設(shè)備，重要板件都有備件。形成了備品備件的集中電子化管理和分散布放，制定了備品備件的管理流程。對備品備件做到定期清理，及時將壞件返修，保證有足夠的備品備件使用，不至于因為備品備件問題而耽誤

57、故障處理。</p><p>　　每項備品備件的存在地點(diǎn)、數(shù)量、型號都有清晰明了的表格，并及時更新，由專人負(fù)責(zé)，做到有條不紊的使用；</p><p>　　對沒有的備品備件，及時反映省公司和廠家，調(diào)用省公司或廠家的備品備件，大大提高了故障處理及時率，有效的防止了交換機(jī)癱瘓等重大事故的發(fā)生。 </p><p><b>　　詳見備件清單：</b><

58、;/p><p>　　2.TS運(yùn)行時間有14年，目前運(yùn)行尚穩(wěn)定，根據(jù)省公司部署安排2010年將退網(wǎng)。</p><p>　　3.TG9000沒有備品備件需要購置一些關(guān)鍵板件的備品備件。</p><p>　　4.網(wǎng)關(guān)已在網(wǎng)運(yùn)行10年，面臨設(shè)備老化問題。</p><p>　　后臺服務(wù)器BAM運(yùn)行磁盤空間較小，每周都要對磁盤空間進(jìn)行清理，只能保存2個月以內(nèi)

59、的話單，其應(yīng)急工作站現(xiàn)已不能正常運(yùn)行，急待修或更換。</p><p>　　目前正在調(diào)測新綜合網(wǎng)關(guān)局，在與異網(wǎng)的業(yè)務(wù)互通方面將與老網(wǎng)關(guān)局形成互備。</p><p><b>　?。ㄎ澹┲匾獢?shù)據(jù)</b></p><p>　　純匯的話單通過前臺MP實時傳到計費(fèi)服務(wù)器并映射到了計費(fèi)前置機(jī)，省計費(fèi)處理中心通過ftp實時采集。純匯的計費(fèi)服務(wù)器和計費(fèi)前置機(jī)能保

60、存半年的話單。每月會定期檢查計費(fèi)服務(wù)器和計費(fèi)前置機(jī)的計費(fèi)空間。</p><p>　　目前計費(fèi)采集點(diǎn)為純匯、網(wǎng)關(guān)、PHS、軟交換、C網(wǎng)、TS,純匯、網(wǎng)關(guān)、PHS的計費(fèi)服務(wù)器在本地可以實施交換機(jī)原始話單文件數(shù)、文件大小與計費(fèi)下載的計費(fèi)文件數(shù)、文件大小比對。軟交換的計費(fèi)服務(wù)器在省公司，今后將加強(qiáng)軟交換計費(fèi)服務(wù)器計費(fèi)文件數(shù)、計費(fèi)文件大小與計費(fèi)處理中心下載的計費(fèi)文件進(jìn)行比對。</p><p>　　核

61、心設(shè)備的重要數(shù)據(jù)制作都會做到一人操作，雙人檢查，并按要求進(jìn)行測試。</p><p><b>　　七、維護(hù)人員情況</b></p><p>　　目前我市交換專業(yè)只有１名部門級交換維護(hù)骨干帶５名交換維護(hù)人員負(fù)責(zé)全市固網(wǎng)、C網(wǎng)、軟交換設(shè)備維護(hù)；全市交換局?jǐn)?shù)據(jù)制作、故障投訴處理、業(yè)務(wù)割接（擴(kuò)容、升版）電路調(diào)度、工程隨工、大客戶支撐、縣局交換維護(hù)支撐、專項工作、日常監(jiān)控崗業(yè)務(wù)工

62、單開通受理等。</p><p>　　因C網(wǎng)建設(shè)飛快，網(wǎng)絡(luò)升級改版頻繁，傳統(tǒng)交換退網(wǎng)、光進(jìn)同退持續(xù)推進(jìn)，固話割接頻繁，融合業(yè)務(wù)不斷推出，新業(yè)務(wù)測試非常多，維護(hù)人員工作量很大，經(jīng)常要加班加點(diǎn)，吉安交換專業(yè)維護(hù)工作安排如下：</p><p>　　在維護(hù)人員培訓(xùn)方面，一貫采取 “送出去、請進(jìn)來、自我培訓(xùn)”三種方法。送出去就是送技術(shù)人員參加廠家舉辦的培訓(xùn)班學(xué)習(xí)；請進(jìn)來就是請廠方人員來公司授課或在進(jìn)行

63、設(shè)備升級、檢測時現(xiàn)場授課；自我培訓(xùn)就是由維護(hù)技術(shù)好的人員進(jìn)行授課，參加廠家培訓(xùn)的人員回來后必須進(jìn)行講課。例如，今年4-5月由參加深圳中興通訊學(xué)院3GCN培訓(xùn)的人員回來進(jìn)行二次培訓(xùn)，起到了很好的教學(xué)相長效果，提高維護(hù)人員對設(shè)備技術(shù)的理解和掌握。</p><p><b>　　6安全風(fēng)險分析</b></p><p>　　通過上述對定級對象包含的資產(chǎn)、自身存在的脆弱性、面臨的

64、安全威脅、已采取的安全措施等因素的分析，可以得出本地固定通信網(wǎng)存在以下安全風(fēng)險：</p><p>　　１．長途局為單點(diǎn)配置，存在不安全隱患，雖然省內(nèi)、省際長途話務(wù)可以通過省內(nèi)、骨干軟交換分流進(jìn)行保護(hù)，但長途局同時充當(dāng)了SSP，無法得到保護(hù)。</p><p>　　２．隨著83局退網(wǎng)用AG替代，光進(jìn)銅退加快推進(jìn)，TG9000的MVTCA板和中繼資源板容量不夠，需要擴(kuò)容。</p>

65、<p>　?。常甌G9000單點(diǎn)配置存在安全隱患，TG9000沒有備品備件需要購置。</p><p>　　４．軟交換網(wǎng)管對TG9000設(shè)備告警、AG、IAD退服不能及時用聲音提示，存在安全隱患。</p><p>　?。担W(wǎng)關(guān)應(yīng)急工作站性能低下，存在風(fēng)險。</p><p>　　6．通過對縣局端局設(shè)備進(jìn)行“PSTN設(shè)備脆弱性分析”主要發(fā)現(xiàn)了以下問題：</

66、p><p>　　（1）新CC08 BAM服務(wù)器需要更換，0#的MCCM板倒換頻繁，需要配置1塊新的，0＃CTN板也無備件需要配置1塊。新干S1240的報告機(jī)壞，需要重裝。</p><p>　?。?）泰和河西和沙村CC08 BAM經(jīng)常死機(jī)，請求換2臺新的BAM.</p><p>　?。?）井岡山等局的S1240備份介質(zhì)(2.6G MO光盤老化)，經(jīng)統(tǒng)計需購置17塊2.6G

67、 MO光盤。</p><p>　?。?）吉水移動基站的地線吉水楓江局進(jìn)線室穿過導(dǎo)致楓江局上半年雷雨時節(jié)用戶框故障較多，移動對吉水局的要求置之不理，希望市公司能協(xié)調(diào)。</p><p>　?。?）端局的應(yīng)急預(yù)案需增添各種場景下的緊急操作步驟。</p><p>　　10.通過對全市AG、IAD進(jìn)行脆弱性分析統(tǒng)計發(fā)現(xiàn)以下問題：</p><p>　?。?/p>

68、1）AG、IAD備件缺乏，需要在市級統(tǒng)一配備。 </p><p>　?。?）沒有統(tǒng)一的EPON網(wǎng)管和軟交換網(wǎng)管，建議給各縣配置1臺性能高的計算機(jī)做網(wǎng)管，加快日常業(yè)務(wù)的響應(yīng)。</p><p>　?。?）一些重要單位的EPON設(shè)備（如：法院、高中）或IAD設(shè)備采用市電供電，如果市電一停電將導(dǎo)致用戶不能正常使用，影響用戶感知，建議這些點(diǎn)增配小容量的UPS電源設(shè)備。</p><

69、p>　　11.縣局交換維護(hù)人員流動很快，技術(shù)能力良莠不齊，一旦設(shè)備有故障只能依靠廠家支撐或遠(yuǎn)程支撐，對迅速排查故障不利。</p><p>　　13．交換專業(yè)維護(hù)人員對職業(yè)生涯困惑，影響工作激情，不利于設(shè)備的日常維護(hù)和故障處理。</p><p>　　對于上述風(fēng)險，軟交換網(wǎng)管對TG9000設(shè)備告警、AG、IAD退服沒有聲音提示風(fēng)險較大，需要及時整改。對端局的一些問題及時處理，對縣局維護(hù)人

70、員要加大培訓(xùn)力度，掌握日常的故障處理。對市局交換維護(hù)人員要加強(qiáng)正向激勵。</p><p>　　7風(fēng)險處置計劃及整改情況</p><p><b>　　8總結(jié)</b></p><p>　　經(jīng)過上述分析，對本次風(fēng)險評估總結(jié)如下：</p><p>　　本次風(fēng)險評估主要對吉安本地固定通信網(wǎng)的核心層純匯局、長途局、關(guān)口局、軟交換和端

71、局進(jìn)行評估，通過對C３本地網(wǎng)的資產(chǎn)識別、脆弱性識別、威脅識進(jìn)行分析評估，在安全措施方面，現(xiàn)網(wǎng)有機(jī)房出入管理登記、審批記錄，動環(huán)監(jiān)控系統(tǒng)手段完備，帳號、密碼分權(quán)分域管理，日常維護(hù)管理制度完善。網(wǎng)設(shè)備能力方面TS、TG9000存在單節(jié)點(diǎn)設(shè)置，軟交換網(wǎng)管沒有聲音告警提示，TG9000要盡快擴(kuò)容，網(wǎng)關(guān)的應(yīng)急工作站性能低下。維護(hù)人員情況在端局存在空心化現(xiàn)象，市局交換維護(hù)人員日常維護(hù)工作負(fù)荷過滿，用來思考和深入開展專項工作的時間、精力過少，維護(hù)工作

72、只停留在滿足日常業(yè)務(wù)開通，日常故障處理等，對設(shè)備資源挖潛分析過少，對如何提高設(shè)備性能思考過少。</p><p>　　通過這次對交換網(wǎng)絡(luò)全面評估，提出以下幾點(diǎn)改進(jìn)措施：</p><p>　　1.針對目前大部分端局交換維護(hù)人員流動很快，現(xiàn)有維護(hù)人員對交換設(shè)備不熟悉的現(xiàn)狀，市公司盡快組織給每個端局整理一份完整的維護(hù)資料，包括網(wǎng)絡(luò)拓?fù)鋱D、局?jǐn)?shù)據(jù)描述（局向、路由、中繼電路、字冠），中繼、鏈路資料，交

73、換機(jī)應(yīng)急預(yù)案（增添各種場景下的應(yīng)急措施）等。</p><p>　　2.編制各機(jī)型維護(hù)手冊、案例庫，含AG、IAD故障處理，給維護(hù)人員學(xué)習(xí)，提升維護(hù)技能，提高故障處理速度。</p><p>　　3.針對目前部分縣局監(jiān)控上收，s1240設(shè)備在本地交換網(wǎng)管又不能確切反映交換機(jī)的所有告警，同時為改變被動維護(hù)狀況，每月將通過取縣局交換設(shè)備的告警庫、資源庫的數(shù)據(jù)，對縣局交換設(shè)備的運(yùn)行狀況進(jìn)行分析，分析

74、內(nèi)容包括：告警分析、交換設(shè)備實裝率分析，為維護(hù)和投資指好方向標(biāo)。</p><p>　　4.每月與計費(fèi)中心進(jìn)行計費(fèi)文件數(shù)對比，主要針對純匯、TS、網(wǎng)關(guān)、小靈通、軟交換）。</p><p>　　5.光進(jìn)銅退割接都是由第三方施工的，為了便于日后的維護(hù)和業(yè)務(wù)開通，要求工程隊必須向我方提供完整的工程竣工文檔，以便在CRM中錄入準(zhǔn)確的設(shè)備號、MDF橫列、直列資料等靜態(tài)資料。</p>&l