雪亮工程信息安全方案.docx
- 文档编号:17110712
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:10
- 大小:346.01KB
雪亮工程信息安全方案.docx
《雪亮工程信息安全方案.docx》由会员分享,可在线阅读,更多相关《雪亮工程信息安全方案.docx(10页珍藏版)》请在冰点文库上搜索。
雪亮工程信息安全方案
雪亮工程信息安全方案
第一章概述
一.1应用背景
近年来,随着改革的持续深化、人口居住的集中化、汽车保有量的迅猛增长,基层治安方面出现一些新的问题,各类社会矛盾和冲突逐步增多,新的形势对基层治安综合治理工作提出了更高的要求。
为推进基层治安综合治理,国家下发了多个政策文件指导平安建设。
中共中央办公厅、国务院办公厅印发《关于加强社会治安防控体系建设的意见》,提出网格化管理和社会化服务,在做好治安防控的同时服务好人民群众。
中央综治办等九部委印发《关于加强公共安全视频监控建设联网应用工作的若干意见》,突显公共安全视频监控建设联网应用在治安防范、社会管理、服务民生等方面发挥的积极作用,对于提升城乡管理水平、创新社会治理体制、创建平安中国具有重要意义。
国家质检总局、国家标准委发布《社会治安综合治理综治中心建设与管理规范》规定了区县、乡镇(街道)、村(社区)三级综治中心的建设与管理要求,为综治中心建设与管理提供了标准化依据。
基层治安综合治理信息化建设整体解决方案围绕基层治安综合治理业务需求和国家政策文件要求,以视频监控系统建设为重点、信息化为支撑、网格化管理为基础、三级综治中心为平台,创新基层社会治理方式,积极构建网上网下联动工作体系,以信息化助推基层社会治安防控体系建设,推进基层社会治安综合治理现代化。
一.2总体目标
本方案以“安全、治理、惠民”为建设目标。
依据相关政策《关于加强社会治安防控体系建设的意见》、《关于加强公共安全视频监控建设联网应用工作的若干意见》和技术规范《社会治安综合治理综治中心建设与管理规范》,从“治安防控”、“社会管理”、“服务民生”三个维度出发,开展乡镇(街道)和村(社区)视频监控、出入口控制、人员车辆卡口、信息卡口、移动巡防、报警联防等建设,实现对重点公共区域及重点行业的网格化管理,构建一整套基层立体化治安防控体系,提供更全面的安全保障。
从社会管理的角度出发,不断推进社会管理创新,借助移动应用、物联感知等高新技术,使用“一人一档”、“一屋一档”等信息化管理手段,实现更精细的社会治理。
坚持以人为本,依托移动应用、信息发布技术和矛盾纠纷调解、特殊人群关怀,逐步实现从“管理”到“服务”的转变,提供更便捷的惠民服务。
最后整合各类视频和非视频类信息资源,建立跨区域共享服务平台,拓展政府、民众对基层治安综合治理信息的综合应用,形成基层治安综合治理信息化支撑服务体系。
一.3设计原则
整体系统构建时,应充分结合基层内外部应用环境,以“经济、实用、先进、可靠”为建设原则。
1)经济性
采用性价比比较好的产品,既能满足基层管理的实际需求,又能减少前期建设的投入成本。
同时,在系统运维的设计过程中,充分考虑基层管理人员技术功底薄弱等因素,对系统进行优化设计,方便系统的后期使用与维护,降低系统综合费用开销。
2)实用性
始终把基层治安综合治理需求放在首位,力争做到足够灵活好用,坚持选择用户体验度好的系列产品,结合基层治安多种应用场景,进行模块化设计封装,充分利用视频与非视频信息资源,持续提升基层治安综合治理水平。
3)先进性
基于国家和行业相关标准及地方标准的要求进行设计,采用业界标准的通信协议,从软件底层架构上保证系统的开放性和先进性,全面兼容国内外主流厂商的设备。
4)可靠性
硬件的选型和软件的成熟能力检测都达到行业标准规格,充分保证系统7*24小时不间断持续运行。
同时,系统具备严密的安全管理机制,确保设备安全、系统安全、数据库安全和信息安全。
一.4设计依据
系统的建设依据国家相关法律规章、国家和行业相关标准、相关研究成果等进行规划设计,具体如下:
1)《公共安全视频监控建设联网应用“十三五”规划方案》
2)《关于加强公共安全视频监控建设联网应用工作的若干意见》
3)《关于加强社会治安防控体系建设的意见》
4)《公共安全视频监控联网系统信息传输、交换、控制技术要求》(GB/T28181-2016)
5)《社会治安综合治理综治中心建设与管理规范》(GB/T33200-2016)
6)《社会治安综合治理基础数据规范》(GB/T31000—2015)
7)《城市监控报警联网系统技术标准》(GA/T669-2008)
8)《中华人民共和国公安部行业标准》(GA70-94)
9)《视频安防监控系统技术要求》(GA/T367-2001)
10)《建筑及建筑群综合布线工程设计规范》(GB/T50311-2000)
11)《计算机信息系统安全》(GA216.1-1999)
12)《信息技术设备的安全》(GB4943-2001)
13)《电子计算机机房设计规范》(GB50174-93)
14)《住宅小区安全防范系统通用技术要求》(GB/T21741-2008)
15)《城市道路照明设计标准》CJJ45-9
16)《建筑物防雷设计规范》(GB50057-94)
17)《建筑物电子信息系统防雷技术规范》(GB50343-2004)
18)《社会治安综合治理基础数据规范》(GB/T31000—2015)
19)《安全防范工程程序与要求》(GA/T75-94)
20)《安全防范工程技术规范》(GB50348-2004)
21)《小区、出租屋视频门禁信息联网技术规范(试行)》
22)《出入口控制系统技术要求》(GA/T394-2002)
第二章安全设计
二.1网络传输与接入安全
二.1.1中心局域网网络安全
各级综治中心之间主要传输数字信号,数字信号的传输离不开IP网络系统,IP网络由于其开发性和简易性,产生了不少的安全问题,这些安全问题严重地威胁着系统的正常运行,因此建议各级综治中心从以下几个方面入手,采取相应的安全措施和设备,提高各级综治中心的网络层安全性。
1)防火墙技术
"防火墙"是一种重要的安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。
防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而通过监测、限制、更改跨越"防火墙"的数据流,通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。
在监控报警联网系统中,建议应用"防火墙"技术,通过对网络作拓扑结构和服务类型上的隔离来加强网络安全。
一般来说,在一级综治中心处安装防火墙,中心内部作为被保护的内部网络、二级综治中心作为外网,建立过滤规则和其它安全策略。
由于需要处理实时视频数据流,应该采用高性能的硬件防火墙,采用ASIC芯片,直接在硬件设备中处理访问策略和加密算法,在千兆位传输速率下,仍能提供多项功能,包括:
封包分析、分类、加密、解密、网络地址翻译(NAT)及会话配对等。
2)入侵检测技术
防火墙是一种主要的周边安全解决方案。
虽然防火墙能够在网络级提供访问控制,但好几个通信端口都是开放的。
借助这些端口,外部用户能够与机构内的交换机通信。
例如,邮件和Web服务器都要求,外部能够访问某些端口。
通过这些端口,黑客可以穿过防火墙攻击服务器,将其作为公司网络的入口。
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到袭击。
由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:
用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS(HIDS)。
NIDS主要预防网络袭击,HIDS则主要防止服务器遭受OS和应用袭击。
NIDS检测器配置为分布式模式,安装在多个位置上:
最重要的位置是防火墙前面,负责监控进入机构的通信信息。
另外,每个重要的网段都安装一个检测器。
HIDS首先部署在面对互联网的服务器上(Agent),例如Web、邮件和DNS服务器。
由于面向互联网的服务器与后端服务器相连,因此,HIDS也部署在公司防火墙内的所有其它主要服务器上。
考虑到袭击技术多种多样,黑客数量只增不减,必须采用全面的解决方案才有有效预防黑客的袭击。
我们建议用户在关键部位同时采用主机入侵检测和网络入侵检测。
3)端口扫描与风险防范技术
风险管理系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。
一个出色的风险管理系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。
它就象一个老虎队一样质询网络和系统;在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。
这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
漏洞扫描系统也包含两个部分:
基于主机的和基于网络的
基于主机的安全漏洞扫描和风险评估工具:
它通过简化整个安全策略的设置和安全过程,可最大可能的检测出系统内部的安全漏洞障碍,并且使管理人员能够迅速对其网络安全基础架构中存在的潜在漏洞进行评估并采取措施。
基于网络的安全漏洞扫描和风险评估工具:
它可根据整体网络视图进行风险评估,同时可在那些常见安全漏洞被入侵者利用且实施攻击之前进行漏洞识别,从而帮助企业妥善保护网络和系统。
它能够安全地模拟常见的入侵和攻击情况,在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞,从而识别并准确报告网络漏洞,并推荐修正措施。
4)防病毒
病毒是目前计算机网络系统的最大风险之一,因此在各级综治中心部署强有力的防病毒系统是非常必要的。
该防病毒系统应该能够提供高性能的防护和灵活性,保护网关、服务器和工作站的安全;它应该是一个完善的安全解决方案,提供先进技术来保护网络中的各个层次;它应该能够提供集中化的策略管理,为整个专网的工作站和网络服务器提供可扩展、跨平台的病毒防护。
二.1.2视频专网接入安全
系统建设在公网上时,需要将公网平台的视频资源接入视频专网的共享平台。
此时,必须先经过安全隔离网闸,通过网闸实现信令流与媒体流的传输。
如图所示。
图1.公网数据接入视频专网安全接入示意图
二.2系统数据安全
系统数据采用集中存储方式,综治中心内存储的数据安全性就尤为重要。
1)RAID和热备技术
IPSAN数据存储采用RAID5技术,热备和镜像技术。
即使出现硬盘坏,RAID5可以保证数据不丢;
2)热备技术
可以使设备在出现坏盘时,无需人工介入,自动开始修复工作(RAID重构)。
关键服务器应支持双机热备,如中心管理服务器、数据库服务器,提升系统整体运行的稳定性。
3)传输加密机制
系统用户登录、操作、配置等功能都采用严格的传输加密机制。
在网内重要部位安装网路探测器,发现违规模式和未受权用访问时,报告信息报警通知系统安全管理中心。
接受来自网路探测器的信息,根据安全策略进行分析,并作审计、报告、事件记录和报警等处理。
要按照GB/T20271-2006《信息安全技术信息系统通用安全技术要求》中4.2.7的要求,对包括计算机病毒在内的恶意代码进行必要的安全防护。
二.3应用安全
本系统是有多个单元组成的,各单元都需要用户认证才可以进入。
同时权限设置采用多层次,高加密技术,以求保证系统各单元运行的安全。
二.3.1用户身份认证
用户认证信息采用64位的DES加密或1024位RSA加密处理,由认证模块对其进行验证身份认证和实体鉴别是指通过对操作者、收发双方实体的身份认证和鉴别,保证合法实体(操作者、通信双方)的真实性,防止非授权或冒充身份的操作访问。
系统平台除用户名、密码和验证码登陆机制外,结合公安部统一的数字身份认证管理PKI和数字身份权限管理PMI方式设计。
二.3.2访问权限控制
采用基于角色(岗位)的访问控制与授权策略的目的是:
为应用系统提供一种安全、灵活的用户权限控制管理机制。
系统的授权是面向角色(岗位)(人与权限属性的集合体)的,而不是面向用户的,这样系统的授权和用户的定义可以分离,方便了管理;
在用户变换了岗位之后,其职责也发生了变化,相应的权限也发生了变化。
这时,系统只需赋予用户新的角色即可完成用户授权的改变,而无需在很细的授权粒度改变用户的授权,从而使系统具有了很强的灵活性。
通过显示用户登录有效日期,进行灵活的用户访问限制手段。
二.3.3用户权限管理
系统采用分级权限、安全加密认证等多种手段确保网络视频监控系统安全。
对编码的视音频数据采用加密技术,防止人为删改。
平台提供多级用户管理架构,每级用户具有不同的管理权限,根据所赋予的权限可以进行相应的系统访问和监控操作,以防止非法登录和越权操作。
通过设定不同的管理员权限,来保证网管系统的数据安全性。
网管人员分超级用户和普通用户,超级用户可以执行网管系统的全部功能操作;而普通用户只能看到一般的信息显示,不能修改。
而且,对不同的普通用户,还可以定义不同的网管人员视图,使不同的网管人员只能存取适当的信息。
系统支持用户、用户组、部门管理,组内用户可具备相同部分的权限,用户对部门或主机的权限可向下继承。
用户访问权限可以根据要求设置跨部门访问。
系统能对所有操作键盘和用户进行管理,能设置不同的权限。
不同的权限对不同的资源有不同的监控级别,系统管理员可以将用户级别及用户对设备的权限自由设置以方便管理。
用户权限管理满足集中统一管理的需要,以业务流程为纵向主线,以行政管理体系为横向主线,无论是上级业务管理部门、主管领导或其它管理单位,均可根据系统授予的权限察看所需要的图像和相关信息。
用户可分成多个不同的级别。
不同级别用户可以同时浏览任意的同一个前端图像,但控制权需按用户级别获取。
级别较高的用户有优先控制权,高级别用户释放控制权以后低级别用户才能继续控制;相同级别的用户抢占相同控制权时,按照先来先服务的原则取得控制权。
用户对系统资源的控制能力仅仅受限于其权限和优先级,与资源所处的地域无关。
我们将结合相关协议的自主开发来实现权限管理,这里仍将用到上面讲到的用户表。
通过它,此系统将具备完善的权限管理功能。
对系统的权限管理通过下述几个方面来进行:
Ø基于用户的权限管理;
Ø基于用户组的权限管理;
Ø基于访问时间的权限管理;
对以上几类访问的组合,在系统中对各种操作功能的权限进行详细的划分,在系统中设置如下的功能执行权限:
Ø告警处理的权限,告警取消、告警确认、告警预处理的权限;
Ø数据管理的权限,数据查询、增加、修改、删除的权限;
Ø监控调度的权限,发送控制指令、调度信息的权限;
Ø用户资料管理的权限,用户资料查询、增加用户、修改用户资料、删除。
系统每一个用户综合上述的类别和功能级别进行设定,规定其授权、时间限制、制定授权范围。
二.4行为审计措施
为避免系统建设和维护中的安全漏洞,及时发现系统受到的攻击和失误操作,除建立上述各个层次上的安全设施以外,系统支持多级安全审计。
Ø能够将系统运行情况和用户的任何操作自动生成日记,方便维护管理和用户行为的事后审计;
Ø能够记录所有的事件信息:
包括巡检、配置、视频、故障、基础维护等信息;
Ø支持对日志的分级、分类查询管理;
Ø所有日志能够导出,具有日志数据保护功能,可以设定禁止修改功能,保证这些数据的真实性;
Ø查询的日志信息,支持图表、类图的形式返回给用户。
;
二.5故障抢修机制
采集接收平台产生的故障告警信息,包括视频丢失、服务停止、线路断开等异常情况,并将告警信息发送给相关责任人员,同时辅助运维管理人员维护。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 雪亮 工程 信息 安全 方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)