网络信息安全保障体系建设.docx

附件 3 网络信息安全保障体系建设方案目录网络信息安全保障体系建设方案 .......................................................................11、建立完善安全管理体系 .................................................................................11.1 成立安全保障机构 ........................................................................................12、可靠性保证 .....................................................................................................22.1 操作系统的安全 ............................................................................................32.2 系统架构的安全 ............................................................................................32.3 设备安全 ........................................................................................................42.4 网络安全 ........................................................................................................42.5 物理安全 ........................................................................................................52.6 网络设备安全加固 ........................................................................................52.7 网络安全边界保护 ........................................................................................62.8 拒绝服务攻击防范 ........................................................................................62.9 信源安全/组播路由安全 ..............................................................................7网络信息安全保障体系建设方案1、建立完善安全管理体系1.1 成立安全保障机构山东联通以及莱芜联通均成立以总经理为首的安全管理委员会，以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组，负责全省网络信息安全的总体管理工作。

山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案，通过管理考核机制，严格执行网络信息安全技术标准，接受管理部门的监督检查同时针对三网融合对网络信息安全的特殊要求，已将 IPTV 等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系，域名信息登记管理制度 IP 地址溯源和上网日志留存等并将根据国家规范要求，对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善2、可靠性保证IPTV 是电信级业务，对承载网可靠性有很高的要求可靠性分为设备级别的可靠性和网络级别的可靠性1）设备级可靠性核心设备需要 99.999%的高可靠性，对关键网络节点，需要采用双机冗余备份此外还需要支持不间断电源系统（含电池、油机系统）以保证核心设备 24 小时无间断运行2）网络级可靠性关键节点采用冗余备份和双链路备份以提供高可靠性网络可靠性包括以下几方面： 接入层：接入层交换机主要利用 STP/RSTP 协议在 OSI 二层实现网络收敛自愈 汇聚层：在 OSI 第三层上使用双机 VRRP 备份保护机制，使用 BFD、Ethernet OAM、MPlS OAM 来对链路故障进行探测，然后通过使用快速路由协议收敛来完成链路快速切换。

 核心层：在 P 设备（Core 设备和 CR 设备）上建立全连接LDP over TETE 的数量在 200 以下 组播业务保护：主要基于 IS-IS 协议对组播业务采取快速收敛保护，对组播分发进行冗余保护和负载分担2.1 操作系统的安全在操作系统级别上，其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等 防止非法用户入侵：系统设置防火墙，将所有需要保护的主机设置在防火墙内部，物理上防止恶意用户发起的非法攻击和侵入为业务管理人员建立起身份识别的机制，不同级别的业务管理人员，拥有不同级别的对象和数据访问权限 防病毒：部署防病毒软件，及时更新系统补丁 数据安全：建立数据安全传输体系，系统具备完善的日志功能，登记所有对系统的访问记录建立安全的数据备份策略，有效地保障系统数据的安全性2.2 系统架构的安全IPTV 运营管理平台具备双机热备份功能，业务处理机、EPG 服务器、接口机都支持主备功能存储系统能够支持磁盘 RAID 模式，利用 RAID5 技术防止硬盘出现故障时数据的安全支持 HA（High Availability）模式，实现系统的热备份，在主用系统故障时能够自动切换到备用系统，可提供流媒体服务器多种单元的冗余备份。

支持用户通过手工备份功能并且备份数据可保存到外部设备中同时，设备可通过分布式部署，保证系统的安全EPG 服务器、VDN 调度单元、网管均支持分布式处理2.3 设备安全核心系统（服务器硬件、系统软件、应用软件）能在常温下每周 7×24 小时连续不间断工作，稳定性高，故障率低，系统可用率大于 99.9％具备油机不间断供电系统，以保证设备运行不受市电中断的影响服务器平均无故障时间（MTBF）大于 5,000 小时，小型机平均无故障时间（MTBF）大于 10,000 小时，所有主机硬件三年内故障修复时间不超过 30 个小时2.4 网络安全IPTV 业务承载网络直接与 internet 等网络互联，作为 IP 网络也面临各种网络安全风险，包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS 服务破坏以及对网络管理、控制协议进行网络攻击等，故 IPTV 承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容2.5 物理安全包括 IPTV 承载网络通信线路、物理设备的安全及机房的安全网络物理层的安全主要体现在通信线路的可靠性，软硬件设备安全性，设备的备份和容灾能力，不间断电源保障等。

2.6 网络设备安全加固作为 IP 承载网，首先必须加强对网络设备的安全配置，即对网络设备的安全加固，主要包括口令管理、服务管理、交互式访问控制等措施口令的安全管理，所有网络设备的口令需要满足一定的复杂性要求；对设备口令在本地的存储，应采用系统支持的强加密方式；在口令的配置策略上，所有网络设备口令不得相同，口令必须定时更新等；在口令的安全管理上，为了适应网络设备的规模化要求，必须实施相应的用户授权及集中认证单点登录等机制，不得存在测试账户、口令现象服务管理，在网络设备的网络服务配置方面，必须遵循最小化服务原则，关闭网络设备不需要的所有服务，避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险对于必须开启的网络服务，必须通过访问控制列表等手段限制远程主机地址在边缘路由器应当关闭某些会引起网络安全风险的协议或服务，如 ARP 代理、CISCO 的 CDP 协议等控制交互式访问，网络设备的交互式访问包括本地的控制台访问及远程的 VTY 终端访问等网络设备的交互式访问安全措施包括：加强本地控制台的物理安全性，限制远程 VTY 终端的 IP 地址；控制banner 信息，不得泄露任何相关信息；远程登录必须通过加密方式，禁止反向 telnet 等。

2.7 网络安全边界保护网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略，在保证业务正常访问的前提下从网络层面保证网络系统的安全性IPTV 承载网络边界保护措施主要包括以下两点：通过路由过滤或 ACL 的方式隐藏 IPTV 承载网路由设备及网管等系统的 IP 地址，减少来自 Internet 或其它不可信网络的安全风险在 IPTV 承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议，包括 HSRP、SNMP 等2.8 拒绝服务攻击防范拒绝服务攻击对 IPTV 承载网络的主要影响有：占用 IPTV 承载网网络带宽，造成网络性能的下降；消耗网络设备或服务器系统资源，导致网络设备或系统无法正常提供服务等建议 IPTV 承载网络采取以下措施实现拒绝服务攻击的防范：实现网络的源 IP 地址过滤，在 IPTV 承载网接入路由器对其进行源 IP地址的检查关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能，如 echo、chargen 服务，网络设备的子网直接广播功能等通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能，从全局的角度实现对拒绝服务攻击的监测，做到早发现、早隔离。

下图给出了 IPTV 承载网安全建设实现方式图2.9 信源安全/组播路由安全尽管组播技术具备开展新业务的许多优势，并且协议日趋完善，但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题组播源管理：在组播流进入骨干网络前，组播业务控制设备应负责区分合法和非法媒体服务器，可以在 RP 上对组播源的合法性进行检查，如果发现来自未经授权的组播源的注册报文，可以拒绝接收发送过来的单播注册报文，因此下游用户就可以避免接收到非法的组播节目为防止非法用户将组播源接入到组播网络中，可以在边缘设备上配置组播源组过滤策略，只有属于合法范围的组播源的数据才进行处理这样既可以对组播报文的组地址进行过滤，也可以对组播报文的源组地址进行过滤组播流量扩散安全性：在标准的组播中，接收者可以加入任意的组播组，也就是说，组播树的分枝是不可控的，信源不了解组播树的范围与方向，安全性较低为了实现对一些重要信息的保护，需要控制其扩散范围，静态组播树方案就是为了满足此需求而提出的静态组播树将组播树事先配置，控制组播树的范围与方向，不接收其他动态的组播成员的加入，这样能使组播信源的报文在规定的范围内扩散在网络中，组播节目可能只需要一定直径范围内的用户接收，可以在路由器上对转发的组播报文的 TTL 数进行检查，只对大于所配置的 TTL 阈值的组播报文进行转发，因此可以限制组播报文扩散到未经授权的范围。

组播用户的管理：原有标准的组播协议没有考虑用户管理的问题，但从目前组播应用的情况来看，在很多的组播业务运营中，组播用户的管理仍未得到很好的解决在 IPTV 业务中，直播业务作为十分重要的业务，对用户进行控制管理是必不可少的对组播用户的管理就是对经过授。