某监控项目安全体系建设设计方案

监控项目安全体系建设设计方案监狱监控项目安全体系建设设计方案目录1项目概述1.1项目背景1.2项目目标1.3项目设计依据2安全需求分析3方案设计3.1.1网络架构3.1.2区域边界访问控制3.1.3入侵防御4网神设计方案的优点说明5产品清单1项目概述1.1

项目背景大力推进监狱信息化建设,是司法部继监狱体制改革和监狱布局调整后又一重大战略举措。面对日益严峻复杂的监管形势，需要我们加大对安全防范设施建设的投入，通过广泛地运用信息技术，提高监狱物防、技防能力，建立监管安全防范的长效管理机制，树立先进的管理意识，掌握先进的管理方法和管理手段，提升监狱安全防范和应急处置指挥能力，推进监狱执法工作的的标准化、规范化建设，确保监狱监管秩序的持续稳定。随着监狱系统网络化的建设需求，信息共享、多级管理、远程监控成为监狱管理部门迫切需要解决的问题。建设监狱网络视频监控系统就是采用最新的视频监控技术，依托数据网络，对监控图像进行网络传送，同时整合周界防护、报警、广播对讲等系统，所建设各系统的控制、数据、音频等信号均通过网络平台进行数据的传输，以达到信息共享、远程监控和管理的目的。建设基于IP网络传输的监狱数字安防智能监控系统，以科技的手段减低狱管部门的工作强度，保证监狱安全，提高对犯人的监督和改造效果。为贯彻落实监狱安全长效机制工作体系，不断增强监管工作的科技含量，实现“向科技要警力”，建立集监视、周界防范、报警、人员定位及各子系统联动一体的多层次、全方位、立体化的监狱安全防范系统，促进监管工作的持续安全稳定。因此，我省监狱系统按照“统一规划、统一标准、统一设计、统筹建设”的原则，开展海南省监狱监控安防系统建设工作。1.2

项目目标1、完善监狱基础骨干网络和机房的建设工作。搭建骨干网络，建设数据中心机房，为信息系统的数据存储、传输、交换、安全提供基础设施和保障。2、完成监狱视频监控系统建设。视频监控系统作为监狱监控安防系统建设的核心内容，坚持高标准、高要求的原则，重点部位采用1080P（1920×1080P），一般部位采用720P（1280×720P）的高清视频，建成覆盖全监狱的视频监控系统，满足监管改造工作需求。以科学发展观和构建社会主义和谐社会理论为指导，全面贯彻“统一标准，整体部署，逐步完善，信息共享”，贯彻建设力度和社会可接受程度相结合、探索创新和稳步推进相结合、服务监狱业务和服务社会相结合的原则，体现“实用，可靠，经济，科学”的指导思想。以规范技术应用为重点，以增强技术设施的实际应用效能为核心，通过技术集成，建立和完善覆盖面广、资源共享、综合应用的各级安防系统的技术平台。1.3

项目设计依据系统规划设计必须按照国际、国家和本地区的有关标准和规范进行。本设计将依据和参照以下的设计规范和要求进行：Ø《全国监狱信息化建设规划》；Ø《安全防范视频监控联网系统信息传输、交换、控制技术要求》GB/T28181-2011Ø《公共安全视频监控系统技术规范》海南省地方标准DB46/T258-2013Ø《智能建筑设计标准》GB/T50314-2007Ø《建筑工程项目管理规范》GB/T50326-2001Ø《综合布线系统设计标准》GB50311-2007Ø《建筑与建筑群综合布线系统工程设计规范》GB/T50311-2000Ø《电子信息系统机房设计规范》GB50174-2008Ø《电子计算机场地通用规范》（GB/T2887-2000）Ø《通风与空调工程施工质量验收规范》GB50243-2002Ø《火灾自动报警系统设计规范》GB50166-2007Ø《建筑物电子信息系统防雷技术规范》GB50343-2004Ø《安全防范工程技术规范》GB50348Ø《入侵报警工程设计规范》GA/T77-94Ø《视频安防监控系统工程设计规范》GB50395-2007Ø《视频安防监控系统技术要求》GA/T367-200Ø《中华人民共和国计算机信息系统安全保护条例》Ø《计算机信息系统安全保护等级划分准则》GB17859-1999Ø其它适用于本项目设计的有关国家标准和规范ØEIA/TIA568A，EIA/TIA569A国际电子工业协会通信线缆、通讯路径和空间标准；ØISO/ICE/IS11801结构化布线标准；ØISOTCP/IP协议标准；ØISO/I13818MPEG-2协议标准；ØISOIGMP/CGMP协议标准；Ø10BASE-T，100BASE-TX标准IEEE802.3，IEEE802.3U；Ø《中华人民共和国通信行业标准》（YD/T926）；2安全需求分析保护内部重要视频资源不被泄密1)防止内部人员未经许可非法获得重要视频信息资源；2)防止外部非法入侵者非法盗取重要视频信息资源；3)保护重要视频信息的合法使用；4)实现重要视频类资源使用权限、使用范围、使用期限的灵活实时安全可控。3方案设计3.0.1网络架构3.0.1.1

网络架构设计为了加强对监狱监控系统系统实现良好的安全保障，通过在省监狱管理部署网神视频网闸、防火墙、入侵防御；地市监狱各部署防火墙+入侵防御方式就行有效、快速安全防护；省中心机房与部分监狱机房选用运营商专线，对于相对偏僻较远地方选用防火墙IPSECVPN建立隧道；通过2种方式实现省监狱管理局与和监狱直接互联互通；建议采用如下方式构建网络架构：在网络架构的建设过程中，要充分考虑到信息系统的发展及后期建设的需求，在设备的采购及安全域的构建与划分时，就要为后期的发展与建设做好准备，如产品的功能、性能至少要满足未来3-5年的业务发展要求，产品的接品、规格要满足冗余部署的需要。网神防火墙提供良好的人机管理界面和功能，让IT管理维护中节省可观的内部管理和支持成本。网神支持对VPN隧道中的流量进行安全检测，防止木马和病毒通过VPN隧道传播，全方位保护企业网络安全。3.0.2区域边界访问控制3.0.2.1

区域边界访问控制设计区域边界的访问控制防护可以通过利用各区域边界区交换机设置ACL列表实现，但该方法不便于维护管理，并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑，可以通过在关键网络区域边界部署专业的访问控制设备（如防火墙、安全网闸产品），实现对区域边界的访问控制。访问控制措施需满足以下功能需求：l应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；l应在会话处于非活跃一定时间或会话结束后终止网络连接；l应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。各安全区域都应针对自身业务特点设定访问控制策略，下表表述了各安全区域之间的访问控制关系，在对各网络安全区域设置安全策略时，以此为参考原则进行设置：针对业务特点和功能需求，各区域边界的访问控制措施如下：(一)省监狱管理局中心机房在监狱管理局中心机房部署防火墙、视频网闸系统，并实现以下安全功能：1.通过防火墙实现与各地市之间监控系统业务双向访问控制；2.通过防火墙实现地市之间监控系统业务以外访问控制，关闭不必要端口；3.通过防火墙实现应用层协议命令级的访问控制；4.通过防火墙实现长链接的管理与控制。5.通过视频网闸可以实现与各地市之间数据交换，并实现监控数据防泄漏；(二)地市各监狱机房在各地市各监狱机房部署防火墙系统，并实现以下安全功能：1.通过防火墙实现与省监狱管理局之间监控系统业务双向访问控制；2.通过防火墙实现与省监狱管理局之间监控系统业务以外访问控制，关闭不必要端口；3.通过防火墙实现应用层协议命令级的访问控制；4.通过防火墙实现长链接的管理与控制；3.0.3入侵防御3.0.3.1

入侵防御设计在各网络区域的边界处，有必要通过部署入侵检测设备对网络攻击行为进行监测，并及时产生报警和详尽的报告。具体功能设计如下：l在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；l当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。4网神设计方案的优点说明网神信息技术（北京）股份有限公司作为一家“励志成为国际信息安全中坚力量”的专业信息安全公司，为用户提供全面的网络及信息安全解决方案、服务及产品，致力于携手用户共同解决信息安全建发展道路上的各类问题。网神公司为用户提供设计服务，网神公司设计的《安全体系建设设计方案》的主要优势如下：1、网神公司的设计方案是等级保护《基本要求》和《安全设计技术要求》的有效结合，是等级保护基线要求与体系框架设计的有效统一。立足于用户信息系统各业务实际安全的需求，以建立的统一安全策略为指引，既解决了等级保护保护建设工作的合规性，又保证了安全体系建设的完整性、先进性与适用性。2、网神公司是我国最早致力等级保护制度落实工作的专业安全公司，有着丰富的成功案例积累。设计方案是网神公司经过长期等级保护建设工作的经验沉淀，是网神公司多年参与等级保护建设设计工作的宝贵知识积累。通过方案，使用户清晰、便捷、优异的实现信息系统等级保护建设的设计规划，全面达到等级保护基本要求的安全保护能力。3、网神公司的设计方案是以信息系统业务安全的视角审视整体安全体系建设，将信息系统等级保护建设的要求真正落实到业务系统安全建设中，是充分结合实际安全需求的、全面符合等级保护建设要求的、战略策略高度统一的解决方案。4、网神公司的设计方案为用户提供了全新的安全运行体系的建设思路，是对等级保护制度在信息系统生命周期中持续开展的准确诠释，是保障安全建设成果落实并深化进日常安全运行与维护工作中的根基，是有效提升安全运维工作水平的前提保障。5产品清单序号名称型号规格单位数量1省级防火墙SecGate3600NSG7500-TV10M网神下一代防火墙，多核AMP+架构，网络处理能力20G，并发连接≥350万（最高可达600万），每秒新建连接27万/秒，标准2U机箱，冗余电源；标配主机带1个Console口、1个HA接口，1个管理接口，支持液晶屏，另有4个扩展板卡插槽，可扩展8个万兆接口模块（可选不同模块板卡组合）；报价中包括三年硬件维修服务台1NSG7500-A-4T4S4口10/100/1000Base-T和4口千兆SFP板卡块12省中心入侵防御系统SecIPS3600P9000-TG63MPM-A-8T模块化IPS，2500M吞吐；2U机箱，冗余电源，液晶屏；2个10/100/1000M自适应电口（其中1个管理口、1个HA口）；4个空扩展槽，至少可扩展8个万兆接口，至少提供8个千兆接口；报价中