网络和安全体系建设方案

网络和安全体系建设方案 5 5 5 8 9 2.2系统定级 2.2.3用户层安全设计 4.3数据安全设计 4.4主机安全设计 4.5通信网络安全设计 5安全管理中心设计 5.3人员安全管理 5.5系统建设管理 5.6系统运维管理 6安全运营体系设计 6.1三同步工作 8.2安全区域边界 9部署方案 13国产密码 13.4终端 云平台至互联网总带宽：***城镇人口约为30万人，考虑用户使用率0.1%,用户并发率5%,得出同时在线人数11人。考虑平均每用户访问带宽0.125MB/s(128KB/s),带宽利用率60%,至互联网总带宽为18.33Mbps。采集流量数据上传云平台：传感器设备总量为423个，按平均每个传感数据0.1KB,传感数据采集频率5秒计算，考虑带宽利用率60%,采集流量带宽0.1Mbps。视频数据按需上传云平台：自建设备总量为81个，按平均每个视频4Mb/s,,互联网按需查看率10%,考虑带宽利用率60%,视频流量带宽53.33Mbps。综上计算结果，本项目至互联网所需总带宽为18.33Mbps,采集流量带宽0.1Mbps,访问政务外网总用户约为20人，考虑用户并发率50%,得出同时在线人数10人。考虑平均每用户访问带宽0.125MB/s(128KB/s),带宽利用率60%,至政务外网总带宽为视频分析服务器针对公安裸纤过来的视频流进行实时分析对比，实时抓取反应城市问题的视频图片并通过电子政务外网上传至云平台，每天上传图片约为350约为3Mb,考虑上传并发率5%,得出同时上传图片约为18张，带宽利用率60%,至政务外网总带宽为90Mbps。监控视频传输宽带需求：本项目计划接入公安雪亮监控视频1133路，考虑到城管用户宽利用率60%,因此监控视频传输带宽需求为66.67Mbps。考虑用户并发率20%,得出同时在线人数60人。考虑平均每用户访问带宽0.125MB/s,带宽利用率60%,至政务外网总带宽为100Mbps/s。序号指标项名称备注云平台至互联网总带宽S云平台至互联网带宽S10人234同时在线人数人5平均每用户访问带宽S6带宽利用率(二)采集流量带宽S1个2平均每个传感数据大小35秒4带宽利用率(三)视频查看带宽自建视频设备总量个每个视频数据大小4SS序号指标项名称备注带宽利用率二政务外网总带宽S数字化城市管理中心至政务外网总带宽4S数字化城市管理中心至政务外网带宽S1人数字中心及科室主要工作人员23同时在线人数人4平均每用户访问带宽S5带宽利用率告警图片上传至政务外网带宽S1平均每天上传图片张2单张图片上传带宽34带宽利用率监控视频传输带宽S1路2单条监控视频路数带宽4S3司时调取的监控视频路数路4宽带利用率(二)云平台至政务外网总带宽S1人23同时在线人数人序号指标项名称备注4平均访问带宽S5带宽利用率1云平台至互联网用于公众访问及物联网信息上传2云平台至数管中心政务外网M联合协同部门视频在线观看和视频告警信息上传3云平台至政务外网***城管局及相关行业部门用户访问云数据中心区域部署在水土云数据中心，部署系统包括数字城管、智慧城管、综管服、2信息安全系统设计受侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级第二级第三级第四级国家安全第三级第四级第五级(4)技术产品应用原则。安全系统尽可能采用标准化或具有成熟理论基计算机环境安全用户身份安全用户账号安全计算机环境安全用户身份安全用户账号安全服务层安全服务层安全主机层安全Ddos防护区域边界安全滤用户层安全(2)移动端安全设计(1)互联网区和政务外网区(2)安全域划分B网1.互联网发起的访问仅允许到达互联网对外服务域的开放服务端口(如2.互联网对外服务域内服务器允许访问互联网内指定IP或域名的目标对象(特殊情况允许不指定端口),允许访问互联网对外服务域内指定IP、指定端口的目标对象；系统，获取信息数据、发送操作指令；端口的目标对象。允许通过网闸隔离设备访问位于政务外网区的开放服务端口；5.电子政务外网发起的访问仅允许到达数据交换区的开放服务端口(如6.政务外网区内服务器允许访问电子政务外网内指定IP或域名的目标对象(特殊情况允许不指定端口),允许访问互联网区内指定IP、指定端口的目标7.政务外网区的安全管理域内的管理设备、管理平台允许访问部署在政务外网区内相关的安全防护设备、系统，获取信8.政务外网区为安全等级最高、安全防护策略限制最严格的区域。核心业4计算环境安全设计威胁隐患类型防护措施项设计非授权访问应用身份鉴别应用层非法访问访问控制业务恶意操作安全审计资源控制剩余信息保护威胁隐患类型防护措施项设计中间人攻击(交易)数据篡改中间人攻击信息系统密码应用数据破坏公民个人信息泄露个人信息保护门户系统是对外提供服务的应用系统，需要确保网站的安全性，部署安全措施主要包3)部署应用安全防火墙(WAF),加强对应用安全的防护；威胁隐患类型防护措施项设计剩余信息保护中间人攻击信息系统密码应用数据破坏威胁隐患类型防护措施项设计公民个人信息泄露个人信息保护●重排：序号12345重排为54321,按照一定的顺序进行打乱，可以在需●加密编号12345加密为ABDX1F安全程度取决于采用哪种加密算法，截断断为138,舍弃必要信息来保证数据的模糊性，是比较常用的脱敏方法。●掩码：123456->1xxxx6,保留了部分信息，并且保证了信息的长度不变性，对信息持有者更易辨别，如身份证信息、收集号码信息。日期偏移取整：2013052012:30:45->2013052012:00:00,舍弃精度来保证原始数据的安全性，此种方法可以保护数据的时间分布密度。>数据销毁>数据安全审计(11)集中部署主机服务器的可用性与性能监控平台，并在主机服务器安装客户端程序，对主机运行各项性能指标(包括但不限于CPU、内存、磁盘空间使用情况、应用进行信息)进行监控，并设置适当的阀值对性能异常情况进威胁隐患类型防护措施项设计网络架构安全中间人攻击网络数据泄露通信传输加密信息系统密码应用网络安全运营决策失效(1)网络设备冗余设计(3)关键节点设备BYPASS功能威胁隐患类型防护要求项防护措施项设计气象灾害物理位置的b)机房场地应避免设在建筑物的顶层或地下室，否制防盗窃和防a)将设备或主要部件进行固定，并设置明显的不易除去的标记；b)将通信线缆铺设在隐蔽处，可铺设在地下或管道中；c)设置机房防盗报警系统或设置有专人值守的视雷电灾害防雷击a)将各类机柜、设施和设备等通过接地系统安全接地；b)应采取措施防止感应雷，例如设置防雷保安器或火灾防火b)机房及相关的工作房间和辅助房应采用具有耐c)应对机房划分区域进行管理，区域和区域之间设置隔离防火措电气水害防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)采取措施防止机房内水蒸气结露和地下积水的转移与渗透；静电危害防静电a)安装防静电地板并采用必要的接地防静电措施；威胁隐患类型防护要求项防护措施项设计b)采取措施防止静电的产生，例如采用静电消除器温湿度异常温湿度控制机房应设置温、湿度自动调节设施，使机房电力中断电力供应b)提供短期的备用电力供应，至少满足设备在断电运行要求；c)设置冗余或并行的电力电缆线路为计算机系统供电电磁干扰和泄漏电磁防护a)电源线和通信线缆应隔离铺设，避免互相干扰；(1)身份认证、授权和会话管理规范(2)会话管理安全规范(3)使用第三方认证安全规范6安全运营体系设计(1)开展网络安全等级保护工作，对信息系统同步进行定级备案、建设和测评等工作(2)进行网络和应用系统安全同步设计，落实安全功能要求；(3)通过进行网络安全建设，在过程中落实安全策略要求；(4)应用开发商应保证开发环境、测试环境、UAT环境和生产环境的相互独立，保证其物理或者逻辑上的隔离，为各环境建立访问权限控制机制，并明确项目成员的职责分工；急响应预案，定期开展演练等。应急响应的目标通常包括：采取紧急措施，恢复业务到正常服务状态；调查安全事件发生的原因，避免同类安全事件再次发生；通过安全事件的应急响应处置，丰富安全维护人员的应急处置经验；在需要司法机关介入时，提供法律任何的数字证据等。应急响应流程的建立，是为了确保信息安全事件在第一时间被发现，分析判断并移交专家进行处置。主要工作目标包括：应急响应流程包括如下内容：制技术措施培训图6-28:网络安全应急响应流程图沟通类数据和服务部署于公有云机房(中国境内),通过精密空调、稳压器、UPS、过安全计算环境身份鉴别安全审计恶意代码规范甚于信息保护(1)反入侵(2)应急响应8移动互联安全扩展设计9部署方案建设内容下特性：态势总览、主机加固(10节点)虚拟防火墙(100M)日志审计(500G)、漏洞扫描(每月一次)、Web应用防(50M)、网页防篡改服务(1主机)、数据库审计(4(10节点)等套112应用级灾备(1)签名验签(2)电子签章(3)时间戳(4)密码机编号设备类型设备/服务提供商1国密门禁部署在政务云中心(水土)云服务商