网络信息安全保障体系建设.docx

1、附件3 网络信息安全保障体系建设方案目录网络信息安全保障体系建设方案11、建立完善安全管理体系11.1成立安全保障机构12、可靠性保证22.1操作系统的安全32.2系统架构的安全32.3设备安全42.4网络安全42.5物理安全52.6网络设备安全加固52.7网络安全边界保护62.8拒绝服务攻击防范62.9信源安全/组播路由安全7网络信息安全保障体系建设方案1、建立完善安全管理体系1.1成立安全保障机构山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组，负责全省网络信息安全的总

2、体管理工作。山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制，严格执行网络信息安全技术标准，接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求，已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系，域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求，对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。2、可靠性保证IPTV是电信级业务，对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性

3、和网络级别的可靠性。（1）设备级可靠性核心设备需要99。999%的高可靠性,对关键网络节点，需要采用双机冗余备份。此外还需要支持不间断电源系统（含电池、油机系统)以保证核心设备24小时无间断运行。(2）网络级可靠性关键节点采用冗余备份和双链路备份以提供高可靠性.网络可靠性包括以下几方面： 接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 汇聚层：在OSI第三层上使用双机VRRP备份保护机制，使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测，然后通过使用快速路由协议收敛来完成链路快速切换。 核心层：在P设备（Core设备和CR设备)上建立全

4、连接LDP over TE。TE的数量在200以下。 组播业务保护：主要基于IS-IS协议对组播业务采取快速收敛保护，对组播分发进行冗余保护和负载分担。2。1操作系统的安全在操作系统级别上，其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等. 防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部，物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制，不同级别的业务管理人员，拥有不同级别的对象和数据访问权限. 防病毒：部署防病毒软件,及时更新系统补丁。 数据安全：建立数据安全传输体系，系统具备完善的日志功能，登记所有对系统的访问记录。建立安全的数

5、据备份策略，有效地保障系统数据的安全性。2.2系统架构的安全IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能.存储系统能够支持磁盘RAID模式，利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability）模式，实现系统的热备份，在主用系统故障时能够自动切换到备用系统，可提供流媒体服务器多种单元的冗余备份。支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时，设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。2.3设备安全核心系统（服务器硬件、系统软件、应用软件)能在常温下每

6、周724小时连续不间断工作，稳定性高,故障率低，系统可用率大于99.9.具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间（MTBF）大于5，000小时，小型机平均无故障时间(MTBF）大于10，000小时，所有主机硬件三年内故障修复时间不超过30个小时.2.4网络安全IPTV业务承载网络直接与internet等网络互联，作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等，故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容.2.5物理安全包

7、括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性，软硬件设备安全性，设备的备份和容灾能力，不间断电源保障等。2。6网络设备安全加固作为IP承载网，首先必须加强对网络设备的安全配置，即对网络设备的安全加固，主要包括口令管理、服务管理、交互式访问控制等措施.口令的安全管理，所有网络设备的口令需要满足一定的复杂性要求；对设备口令在本地的存储，应采用系统支持的强加密方式；在口令的配置策略上，所有网络设备口令不得相同,口令必须定时更新等；在口令的安全管理上，为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口

8、令现象。服务管理，在网络设备的网络服务配置方面，必须遵循最小化服务原则，关闭网络设备不需要的所有服务，避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务，必须通过访问控制列表等手段限制远程主机地址.在边缘路由器应当关闭某些会引起网络安全风险的协议或服务，如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括：加强本地控制台的物理安全性，限制远程VTY终端的IP地址；控制banner信息,不得泄露任何相关信息；远程登录必须通过加密方式，禁止反向telnet等。2.7

9、网络安全边界保护网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略，在保证业务正常访问的前提下从网络层面保证网络系统的安全性。IPTV承载网络边界保护措施主要包括以下两点:通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址，减少来自Internet或其它不可信网络的安全风险.在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。2。8拒绝服务攻击防范拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降；消耗网络设备或服务器系统资源,导致

10、网络设备或系统无法正常提供服务等。建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范：实现网络的源IP地址过滤，在IPTV承载网接入路由器对其进行源IP地址的检查.关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能，如echo、chargen服务，网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能，从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。下图给出了IPTV承载网安全建设实现方式图。2。9信源安全/组播路由安全尽管组播技术具备开展新业务的许多优势，并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源

11、安全和组播流量扩散安全性的问题。组播源管理：在组播流进入骨干网络前，组播业务控制设备应负责区分合法和非法媒体服务器，可以在RP上对组播源的合法性进行检查，如果发现来自未经授权的组播源的注册报文，可以拒绝接收发送过来的单播注册报文，因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中，可以在边缘设备上配置组播源组过滤策略，只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组，也就是说,组播树的分枝是不可控的，信源不了解组播树的范围与方向，安全

12、性较低.为了实现对一些重要信息的保护，需要控制其扩散范围，静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向，不接收其他动态的组播成员的加入，这样能使组播信源的报文在规定的范围内扩散.在网络中，组播节目可能只需要一定直径范围内的用户接收，可以在路由器上对转发的组播报文的TTL数进行检查，只对大于所配置的TTL阈值的组播报文进行转发，因此可以限制组播报文扩散到未经授权的范围。组播用户的管理：原有标准的组播协议没有考虑用户管理的问题，但从目前组播应用的情况来看,在很多的组播业务运营中，组播用户的管理仍未得到很好的解决。在IPTV业务中，直播业务作为十分重要的业务，对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入，控制用户哪些组播频道可以观看，哪些频道不可以观看.通过在DSLAM/LAN交换机用户侧对组播组进行控制，防止恶意用户的非法组播流攻击网络。