智慧安监项目信息安全建设方案

智慧安监项目信息安全建设方案1.1.1.1系统概述“智慧安监”项目信息安全系统根据网络及数据中心的建设，结合视频等应用系统的业务架构、流程、用户等多方面的需求，建设信息安全保障系统。1.1.1.2业务用户XX市“智慧安监”息安全保障系服务的对象在市一级具体涉及市安监局、质监局和住建局，网络对象包括市政务外网、安全生产感知网。在区县一级主要涉及集聚区管委会，网络对象包括政务外网、安全生产感知网。表6~66信息安全用户表序号用户类别业务操作备注1安监局1、 对安全生产感知网进行安全防护，实现数据和视频的安全接入；2、 对数据中心进行安全防护，保障业务应用的安全；3、 对公众服务进行安全防护，保障服务的安全运行。2质监局1、对政务外网的应用系统进行安全防护，保障业务应用的安全运行。3住建局1、对政务外网的应用系统进行安全防护，保障业务应用的安全运行。4集聚区1、 对安全生产感知网进行安全防护，实现视频的安全接入；2、 对数据中心进行安全防护，保障业务应用的安全；1.1.1.3业务功能（1） 保障视频、数据的安全接入安全生产感知网用于整合交通、天网等各类专网和安全生产企事业单位私有网络的感知信息，在涉及安全生产领域的横向网络间实现髙速互联，并通过网络交换平台为政务外网提供感知信息源，进而实现安全生产领域各部门之间信息快速安全传递和资源共享。安全生产感知网包括市级安全生产感知网和集聚区安全生产感知网两个部分，为满足视频和数据的实时安全交换，建设视频和数据的安全接入系统。市级建设数据接入系统，完成数据的安全接入；市级和集聚区各自建设一套视频接入系统，完成相关视频的安全接入。（2） 数据中心的安全防护“智慧安监”的数据中心建设采用了虚拟化的技术，大大提高了资源利用率，降低了整个系统的功耗，但也带来了新的安全问题，如物理边界模糊、后台资源冲突、硬件资源利用率受到限制等问题，须采取安全措施降低虚拟化的安全风险，提升安全防护能力。在市级平台数据中心统一部署病毒防护系统、多功能安全网关、安全审计系统，提供病毒防护、边界访问控制、虚拟访问控制、虚拟机安全监控、网络安全审计等安全功能，保障数据中心虚拟化服务器的安全，同时在数据中心网络边界部署防火墙，实现对数据中心的访问控制，阻断非授权访问。（3）公众服务的安全防护政务外网通过租用运营商网络向XX市公众提供Web服务。政务外网通过租用运营商网络连接互联网，有可能因为访问非法网站导致主机感染病毒、植入木马程序，使政务外网业务系统的正常运行受到安全威胁。政务外网在互联网区域已建设有防火墙系统，实现基本的安全防护能力。为提升公众服务的安全性，建设网络流量监控系统、抗拒绝服务攻击系统以及WEB安全防护系统。1.1.1.4技术方案本次“智慧安监”信息安全保障系统建设整体方案如下图所示:XnttrnttHI处«大整防火■x抗si务農兼a台））"皿a6)!seHfi^lg—-厂I服务•紡勿鈿台IrbttWI二⑴ 多业务Aj控刨料一政务网络核心区一e医•瓦gXnttrnttHI处«大整防火■x抗si务農兼a台））"皿a6)!seHfi^lg—-厂I服务•紡勿鈿台IrbttWI二⑴ 多业务Aj控刨料一政务网络核心区一e医•瓦g接入区|可•幻界戏钢关1台|汇聚区葡州政务外网础网络图6-119信息安全建设整体方案图在安全生产感知网与其他专网的边界部署安全接入系统，保障数据和视频的安全接入。在安全生产感知网与政务外网互联的边界部署防火墙，对网络访问进行控制，阻断非授权访问。在集聚区数据中心边界部署多功能安全网关，实现数据中心的安全防护，在市数据中心边界同样部署一台多功能安全网关，实现安全功能。在市数据中心的接入交换机旁路部署一台安全审计系统，实现对数据中心的安全审计，加强安全功能，在每个服务器上安装网络防病毒客户端，保护服务器不受病毒破坏。在公众服务区，部署抗拒绝服务攻击系统和流量监控系统，

实现流量过滤，保障外网用户对公众服务访问的合法性和安全性。同时，部署WEB安全防护系统，保证公众服务WEB的安全性。1-1.1.4J前端感知安全接入前端感知安全接入主要是通过数据安全接入系统和视频安全接入系统将前端资源安全地接入“智慧安监”安全感知网络中，示意图如下：“天网工程”J频专网交通、环

等其他专』;防火墙视频安全交换系统;I01I前市区制商点频监控接入企业类安全生'安全生产感I“天网工程”J频专网交通、环

等其他专』;防火墙视频安全交换系统;I01I前市区制商点频监控接入企业类安全生'安全生产感I防火墙I数据安全交换系统卜|身份认殳网关业类安全生'测.视频接入噪聚区制高点视频监控接入图6-120接入系统示意图（1）数据安全接入系统部署在市级安全生产感知网边界，主要包括防火墙、前置服务器、可信边界安全网关、主机病毒防护系统、安全数据交换系统。1） 防火墙防火墙的首要功能是根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议等对数据包进行访问控制。防火墙还保证了边界接入平台内部的主机地址不被外部终端直接获得。2） 可信边界安全网关可信边界安全网关对数据接入终端进行身份认证，保证未通过身份认证的接入终端不能进入平台访问，还保证在网络传输过程中，接入终端与边界接入平台之间的通信内容全程加密。3） 主机防病毒根据实际业务需求，互联网接入区放置了相应业务应用的前置服务器（包括应用服务器、WEB服务器、数据库服务器、文件服务器等）。作为外部终端网络连接的终点，提供给终端用户应用代理、数据暂存等功能服务。为提高应用服务区内各个主机的安全性，在应用服务区内安装网络防病毒软件。通过杀毒软件在应用服务区内构建统一的网络病毒防范体系，并在内部建立统一的病毒防范策略，从而达到病毒防范效果。4） 安全数据交换系统安全数据交换系统的安全设备主要是内外网数据交换服务器和网闸。内外网数据交换服务器在数据交换的过程中实现协议剥离、格式过滤、内容检查和内容审计。外网交换服务器和内网交换服务器之间的网闸主要是实现网络隔离。该系统主要实现安全生产感知网与前端各个单位之间接入网络隔离和结构化数据的安全交换，它通过高可信的方式，实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。主要数据交换功能包括：采用物理单向传输通道，确保数据无回馈传输；支持主流数据库，如Oracle、SqlServer等；支持主流操作系统，如Linux.Windows等；支持异构数据库、字段之间的单向数据传输；具有灵活的数据抽取功能，支持全表同步、增量同步；支持主从表数据传输；支持按行、列等条件进行传输；具有数据传输完整性保障机制。单向数据传输应采用物理单向隔离部件作为两端主机之间唯一物理连接通道，确保数据无回馈单向传输，阻断网络协议并釆用专