当前位置:文档之家 › 网络信息安全保障体系建设

网络信息安全保障体系建设

  • 格式:doc
  • 大小:85.39 KB
  • 文档页数:8

下载文档原格式

  / 8
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附件3 网络信息安全保障体系建设方案

目录

网络信息安全保障体系建设方案 (1)

1、建立完善安全管理体系 (1)

1.1成立安全保障机构 (1)

2、可靠性保证 (2)

2.1操作系统的安全 (3)

2.2系统架构的安全 (3)

2.3设备安全 (4)

2.4网络安全 (4)

2.5物理安全 (5)

2.6网络设备安全加固 (5)

2.7网络安全边界保护 (6)

2.8拒绝服务攻击防 (6)

2.9信源安全/组播路由安全 (7)

网络信息安全保障体系建设方案

1、建立完善安全管理体系

1.1成立安全保障机构

联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。

联通以及莱芜联通两个层面都建立了完善的部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障

工作纳入到统一的制度、考核及应急预案当中。容涵盖事前防、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。

2、可靠性保证

IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。

(1)设备级可靠性

核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。

(2)网络级可靠性

关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:

➢接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。

➢汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然

后通过使用快速路由协议收敛来完成链路快速切换。

➢核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。

➢组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。

2.1操作系统的安全

在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。

➢防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙部,物理上防止恶意用户发起的非法攻击和

侵入。为业务管理人员建立起身份识别的机制,不同级别的

业务管理人员,拥有不同级别的对象和数据访问权限。

➢防病毒:部署防病毒软件,及时更新系统补丁。

➢数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,

有效地保障系统数据的安全性。

2.2系统架构的安全

IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。

存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。

支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。

支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN

调度单元、网管均支持分布式处理。

2.3设备安全

核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。

具备油机不间断供电系统,以保证设备运行不受市电中断的影响。

服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年故障修复时

间不超过30个小时。

2.4网络安全

IPTV业务承载网络直接与internet等网络互联,作为IP网络

也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安

全加固、网络边界安全访问控制等容。

2.5物理安全

包括IPTV承载网络通信线路、物理设备的安全及机房的安全。

网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。

2.6网络设备安全加固

作为IP承载网,首先必须加强对网络设备的安全配置,即对网

络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。

口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。

服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。

合集下载

相关主题