《智慧安监项目信息安全建设方案.docx》由会员分享,可在线阅读,更多相关《智慧安监项目信息安全建设方案.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、智慧安监项目信息安全建设方案才智安监 项目 信息平安 建设方案1.1.1.1 系统概述才智安监项目信息平安系统依据网络及数据中心的建设,结合视频等应用系统的业务架构、流程、用户等多方面的需求,建设信息平安保障系统。1.1.1.2 业务用户XX 市才智安监息平安保障系服务的对象在市一级详细涉及市安监局、质监局和住建局,网络对象包括市政务外网、平安生产感知网。在区县一级主要涉及集聚区管委会,网络对象包括政务外网、平安生产感知网。表6 6- - 66 信息平安用户表序号用户类别业务操作备注1 安监局 1、对平安生产感知网进行平安防护,实现数据和视频的平安接入; 2、对数据中心进行平安防护,保障业务应
2、用的平安; 3、对公众服务进行平安防护,保障服务的平安运行。2 质监局 1、对政务外网的应用系统进行平安防护,保障业务应用的平安运行。3 住建局 1、对政务外网的应用系统进行平安防护,保障业务应用的平安运行。4 集聚区 1、对平安生产感知网进行平安防护,实现视频的平安接入; 2、对数据中心进行平安防护,保障业务应用的平安;1.1.1.3 业务功能(1)保障视频、数据的平安接入 平安生产感知网用于整合交通、天网等各类专网和平安生产企事业单位私有网络的感知信息,在涉及平安生产领域的横向网络间实现高速互联,并通过网络交换平台为政务外网供应感知信息源,进而实现平安生产领域各部门之间信息快速平安传递和资
3、源共享。平安生产感知网包括市级平安生产感知网和集聚区平安生产感知网两个部分,为满意视频和数据的实时平安交换,建设视频和数据的平安接入系统。市级建设数据接入系统,完成数据的平安接入;市级和集聚区各自建设一套视频接入系统,完成相关视频的平安接入。(2)数据中心的平安防护 才智安监的数据中心建设采纳了虚拟化的技术,大大提高了资源利用率,降低了整个系统的功耗,但也带来了新的平安问题,如物理边界模糊、后台资源冲突、硬件资源利用率受到限制等问题,须实行平安措施降低虚拟化的平安风险,提升平安防护实力。在市级平台数据中心统一部署病毒防护系统、多功能平安网关、平安审计系统,供应病毒防护、边界访问限制、虚拟访问限
4、制、虚拟机平安监控、网络平安审计等平安功能,保障数据中心虚拟化服务器的平安,同时在数据中心网络边界部署防火墙,实现对数据中心的访问限制,阻断非授权访问。(3)公众服务的平安防护 政务外网通过租用运营商网络向 XX 市公众供应 Web 服务。政务外网通过租用运营商网络连接互联网,有可能因为访问非法网站导致主机感染病毒、植入木马程序,使政务外网业务系统的正常运行受到平安威逼。政务外网在互联网区域已建设有防火墙系统,实现基本的平安防护实力。为提升公众服务的平安性,建设网络流量监控系统、抗拒绝服务攻击系统以及 WEB 平安防护系统。1.1.1.4 技术方案本次才智安监信息平安保障系统建设整体方案如下图
5、所示:防火墙 防火墙1 1台 台视频平安交换系 视频平安交换系统 统1 1套 套PSTN VPN出口路由设备多业务限制网关Internet政务网络核心区市政府信息中心和电信新大楼PE 核心交换设备网管平台汇聚区省政务外网市本级 接入区衢州政务外网础网络集聚区柯城 , 衢江 , 龙游 ,常山 , 江山 , 开化 PE其他委办局及企事业单位安监局市数据中心区县委办局区县企事业单位计算资源 存储资源市政府NE 40 (P P )南区和新大楼防火墙public防火墙电信 联通 移动前端感知接入防火墙 防火墙1 1台 台视频平安交换系统 视频平安交换系统1 1套 套防火墙 防火墙2 2台 台网络出口区对
6、外发布服务器WEB WEB防火墙 防火墙1 1台 台抗拒绝服务系统 抗拒绝服务系统( (1 1台 台)网络流量分析系统 网络流量分析系统( (1 1台 台)物理隔离 与单向导入系统政务内网企业类平安生产 企业类平安生产监测 监测、 、视频接入 视频接入集聚区制高点 集聚区制高点视频监控接入 视频监控接入企业类平安生产 企业类平安生产监测 监测、 、视频接入 视频接入天网工程 天网工程视 视频专网 频专网交通 交通、 、环保 环保等其他专网 等其他专网市区制高点视 市区制高点视频监控接入 频监控接入平安生产感知网公众服务区平安管理服务器服务器群计算资源多功能平安 多功能平安网关 网关1 1台 台
7、存储资源多功能平安 多功能平安网关 网关1 1台 台平安审计系统 平安审计系统1 1台 台数据平安交换系统 数据平安交换系统1 1套 套可信边界平安网关 可信边界平安网关1 1台 台前置服务器 前置服务器1 1台 台防火墙 防火墙1 1台 台AV在每个服务器 ( 包括虚拟服务器 )上安装网络防病毒客户端AV AV AV病毒防护 病毒防护1 1套 套图6 6- -9 119 信息平安建设整体方案图 在平安生产感知网与其他专网的边界部署平安接入系统,保障数据和视频的平安接入。在平安生产感知网与政务外网互联的边界部署防火墙,对网络访问进行限制,阻断非授权访问。在集聚区数据中心边界部署多功能平安网关,
8、实现数据中心的平安防护,在市数据中心边界同样部署一台多功能平安网关,实现平安功能。在市数据中心的接入交换机旁路部署一台平安审计系统,实现对数据中心的平安审计,加强平安功能,在每个服务器上安装网络防病毒客户端,爱护服务器不受病毒破坏。在公众服务区,部署抗拒绝服务攻击系统和流量监控系统,实现流量过滤,保障外网用户对公众服务访问的合法性和平安性。同时,部署 WEB 平安防护系统,保证公众服务 WEB 的平安性。1.1.1.4.1 前端感知平安接入前端感知平安接入主要是通过数据平安接入系统和视频平安接入系统将前端资源平安地接入才智安监平安感知网络中,示意图如下:防火墙 视频平安交换系统防火墙 视频平安
9、交换系统企业类平安生产监测 、 视频接入集聚区制高点视频监控接入企业类平安生产监测 、 视频接入天网工程视频专网交通、 环保等其他专网市区制高点视频监控接入平安生产感知网数据平安交换系统身份认证网关前置服务器防火墙 图6 6- - 120 0 接入系统示意图(1)数据平安接入系统 部署在市级平安生产感知网边界,主要包括防火墙、前置服务器、可信边界平安网关、主机病毒防护系统、平安数据交换系统。1) 防火墙 防火墙的首要功能是依据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议等对数据包进行访问限制。防火墙还保证了边界接入平台内部的主机地址不被外部终端干脆获得。2) 可信边界平安网
10、关 可信边界平安网关对数据接入终端进行身份认证,保证未通过身份认证的接入终端不能进入平台访问,还保证在网络传输过程中,接入终端与边界接入平台之间的通信内容全程加密。3) 主机防病毒 依据实际业务需求,互联网接入区放置了相应业务应用的前置服务器(包括应用服务器、WEB 服务器、数据库服务器、文件服务器等)。作为外部终端网络连接的终点,供应给终端用户应用代理、数据暂存等功能服务。为提高应用服务区内各个主机的平安性,在应用服务区内安装网络防病毒软件。通过杀毒软件在应用服务区内构建统一的网络病毒防范体系,并在内部建立统一的病毒防范策略,从而达到病毒防范效果。4) 平安数据交换系统 平安数据交换系统的平
11、安设备主要是内外网数据交换服务器和网闸。内外网数据交换服务器在数据交换的过程中实现协议剥离、格式过滤、内容检查和内容审计。外网交换服务器和内网交换服务器之间的网闸主要是实现网络隔离。该系统主要实现平安生产感知网与前端各个单位之间接入网络隔离和结构化数据的平安交换, 它通过高可信的方式,实现异构系统、数据源之间平安、敏捷、有效、快速的数据交换。主要数据交换功能包括:采纳物理单向传输通道,确保数据无回馈传输;支持主流数据库,如 Oracle、Sql Server等;支持主流操作系统,如 Linux、Windows 等;支持异构数据库、字段之间的单向数据传输;具有敏捷的数据抽取功能,支持全表同步、增
12、量同步;支持主从表数据传输;支持按行、列等条件进行传输;具有数据传输完整性保障机制。单向数据传输应采纳物理单向隔离部件作为两端主机之间唯一物理连接通道,确保数据无回馈单向传输,阻断网络协议并采纳专用硬件和专用协议传输;双向数据交换应采纳隔离部件作为双向数据交换系统的内外物理主机之间唯一物理连接通道,实现裸数据平安隔离和数据交换,阻断网络协议并采纳专用硬件和专用协议传输。(2)视频平安接入系统 部署在市级平安生产感知网和集聚区平安生产感知网边界,主要包括防火墙、视频接入认证服务器、视频平安隔离设备、视频用户认证服务器。防火墙的首要功能是依据数据包的源地址、目标地址、协议类型、源端口、目标端口以及
13、网络协议等对数据包进行访问限制。防火墙还保证了视频平安交换平台内部的主机地址不被外部终端干脆获得。视频接入认证服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只允许合法的协议和数据通过。平安隔离设备将视频限制信令和数据进行分别处理和传输,其中视频数据为单向传输,视频限制信令为双向传输。视频用户认证服务器对运用视频资源的用户进行统一注册、身份认证及权限管理,仅允许认证通过的用户访问已授权的视资源。1) 防火墙 防火墙能够提高其所爱护的内部网络平安性,通过过滤担心全的服务而降低风险。防火墙只允许用户自定义的合法网络行为通过,因此使内部网络环境变得更平安。同时,防火墙可以爱护网络免
14、受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。2) 视频认证服务器 视频认证服务器分为视频接入认证服务器和视频用户认证服务器两类。接入认证服务器主要是对平安感知网外接入对象进行设备认证,视频用户认证服务器主要是对平安感知网内访问外部视频资源的用户进行身份认证,详细功能如下:l 视频接入对象认证:视频接入认证服务器对接入对象(终端、视频服务器等)进行设备认证并与之交互,禁止未认证设备连接视频接入链路。l 用户身份认证:视频用户认证服务器对内网的用户进行身份认证和访问限制,保证仅允许认证通过的用户才能访问已授权的视频资源。l 访问限制:视频接入设备的网络连接终止
15、于视频接入认证服务器,严格禁止视频接入设备对内网的干脆访问或干脆与内网交换数据。l 视频限制信令格式检测:在与内网进行视频单向传输前,要根据预先注册的视频限制信令的类型、格式和内容,对限制信令进行白名单方式的格式检查和内容过滤,仅允许符合格式要求的限制信令数据通过,对不符合格式的数据进行阻断和报警。l 视频数据格式检测:根据预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频数据进行阻断和报警。l 视频数据病毒木马检测:实行必要的平安技术防范措施,防止视频数据夹杂恶意代码进入公安信息通信网。l 数据加密:保证对敏感的视频信息传输进行机密性保护,防止内网敏感数据外泄。
16、l 行为审计:供应完整的客户端行为审计保证用户终端的各种行为事后可以追溯。l 支持集中监管:实时上报设备运行状态、数据流量、设备报警等信息。3) 视频平安隔离设备 视频平安隔离设备主要指传输视频信息的专用隔离网闸,其平安功能如下:l 网络隔离:实现内外网的网络隔离,切断全部基于网络协议的连接,使外部终端无法干脆访问内网,确保内网的平安。l 单向传输:严格区分视频数据流和限制信令流,并严格限制视频流传输的方向,视频数据流必需采纳单向传输方式,确保没有反向的视频流从内网流出。l 视频数据与视频限制信令分别处理和传输:对视频数据与限制信令严格区分,分别处理后进行传输。支持视频数据的单向传输模式和限制
17、信令双向传输模式。l 支持集中监管:实时上报设备运行状态、数据流量、设备报警等信息。1.1.1.4.2 数据中心平安防护才智安监数据中心主要运用虚拟化技术对服务器进行动态资源调整,大大提高了服务器资源的利用率和能源的消耗。但虚拟化技术也带来了物理边界模糊、资源冲突等平安风险。须要对数据中心进行平安防护,提升其对抗平安风险的实力。主要包括:虚拟化平安监控管理、网络病毒防护、虚拟机访问限制、边界访问限制以及网络平安审计等平安功能。详细实现上,虚拟机平安监控管理功能有虚拟化系统自身平安机制实现,信息平安保障系统主要在数据中心边界部署多功能防护网关,实现边界访问限制、网络病毒防护、虚拟机访问限制等功能
18、,同时,在数据中心边界交换机旁路部署平安审计系统,对用户行为、网络行为、数据库行为等进行平安审计,保障系统的平安性。政务网络核心区市政府信息中心和电信新大楼PE 核心交换设备网管平台汇聚区市本级•••接入区集聚区柯城 , 衢江 , 龙游 ,常山 , 江山 , 开化 PE其他委办局及企事业单位安监局市数据中心区县委办局区县企事业单位计算资源 存储资源多功能平安网关多功能平安网关平安审计系统平安管理服务器服务器群计算资源存储资源AV在每个服务器 ( 包括虚拟服务器 )上安装网络防病毒客户端AV AV AV 图6 6- -1 121 数据中心防护系统设计图(1)多功能防护网关 采纳多功能平安网关实现对虚拟数据中心边界的平安防护。多功能平安网关主要包括访问限制、应用识别、入侵防卫、网络病毒防护、攻击防护、网.