网络信息安全保障体系建设

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附件3 网络信息安全保障体系建设方案

目录

网络信息安全保障体系建设方案 (1)

1、建立完善安全管理体系 (1)

1.1成立安全保障机构 (1)

2、可靠性保证 (2)

2.1操作系统的安全 (3)

2.2系统架构的安全 (3)

2.3设备安全 (4)

2.4网络安全 (4)

2.5物理安全 (5)

2.6网络设备安全加固 (5)

2.7网络安全边界保护 (6)

2.8拒绝服务攻击防范 (6)

2.9信源安全/组播路由安全 (7)

网络信息安全保障体系建设方案

1、建立完善安全管理体系

1.1成立安全保障机构

山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。

山东联通以及莱芜联通两个层面都建立了完善的内部安全保障

工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安

全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。

2、可靠性保证

IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。

(1)设备级可靠性

核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。

(2)网络级可靠性

关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:

➢接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。

➢汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然

后通过使用快速路由协议收敛来完成链路快速切换。

➢核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。

➢组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。

2.1操作系统的安全

在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。

➢防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击

和侵入。为业务管理人员建立起身份识别的机制,不同级别

的业务管理人员,拥有不同级别的对象和数据访问权限。

➢防病毒:部署防病毒软件,及时更新系统补丁。

➢数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,

有效地保障系统数据的安全性。

2.2系统架构的安全

IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。

存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。

支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。

支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN

调度单元、网管均支持分布式处理。

2.3设备安全

核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。

具备油机不间断供电系统,以保证设备运行不受市电中断的影响。

服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复

时间不超过30个小时。

2.4网络安全

IPTV业务承载网络直接与internet等网络互联,作为IP网络

也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安

全加固、网络边界安全访问控制等内容。

2.5物理安全

包括IPTV承载网络通信线路、物理设备的安全及机房的安全。

网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。

2.6网络设备安全加固

作为IP承载网,首先必须加强对网络设备的安全配置,即对网

络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。

口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。

服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。

相关文档
最新文档