• / 19
  • 下载费用:10 金币  

信息系统安全资质评审(三级)系统建设安全设计方案模板.doc

关 键 词:
信息系统安全资质评审(三级)系统建设安全设计方案模板.doc
资源描述:
XX 单位网络安全及监控系统工程系统建设安全设计(模板)建设单位: 承建单位: 日期:XXXX 年 XX 月 XX 日系统建设安全设计 内部公开2 / 19版本控制页序号 状态 修改描述 版本 日期 作者1 创建 V1.0XXXX 年 X 月 X日状态:创建、修订、作废系统建设安全设计 内部公开3 / 19系统建设安全设计 内部公开4 / 19目录第一章项目背景 .4第二章客户需求 .42.1 项目功能需求 42.2 项目性能需求 .42.3 项目安全需求 42.4 网络设备安全需求 52.5 数据安全需求 62.6 传输安全需求 62.7 备份与恢复需求 6第三章项目概要设计 .63.1 系统总体设计 63.2 网络安全系统设计 .133.3 安全架构及配置方案 .173.4 灾备实施方案 19第四章系统测试方案 .19系统建设安全设计 内部公开5 / 19第一章项目背景XX 单位 计划对公司内部进行网络安全升级改造,增加部分监控摄像枪对部分公司区域进行安全防控 等 ;由于公司原网络出口缺少高性能的网络安全设备,对于公司内部的重要应用系统及数据的防护不足,此次项目建设要从整体上解决公司网络安全的隐患。第二章客户需求2.1 项目功能需求客户在本项目中主要的需求有:1. 新建一套视频监控系统,对关键通道位置实现监控;2. 采用网络安全设备,公司网络出口进行安全防护。2.2 项目性能需求1. 视频监控系统达到 1080P 高清,而且视频存储时长 XX 天;2. 网络安全设备满足 XXX 人同时并发连接。2.3 项目安全需求2.3.1 客户需求描述(可参考需求分析报告的部分内容,按设计修改)安全技术实现要求网络建设具有统一全网的安全控制措施和安全监测手段,对内网进行基于IP 和设备的安全监管,进一步规范 IP 地址的应用,集中网络管理,实施分级维护;对外网实现虚拟通道、虚拟设备、虚拟 IP 管理,并具有强的数据交换能力实现环保信息网络的大集成,考虑到环境应急需求,积极开展网络综合应用,在全局逐步开通 IP 业务和视频监控系统,为环保综合平台发展提供良好的网络环境。各接入节点之间的通讯要经过核心交换设备进行转发,采用按照行政机构组织模式和业务流程组网的方式,实施起来比较容易,管理层次比较清晰,故系统建设安全设计 内部公开6 / 19障容易定位,后期维护工作量较小。整个网络遵循集中监控、统一管理的原则,在网络中实施统一策略的安全防护体系,可以对各应用系统的进行安全隔离、访问控制,对外连接(专线接入、拨号接入等)进行身份认证、访问控制、数据完整性和审计等安全指标审查,提高了应用系统的安全性。2.3.2 网络管理需求选的网管平台也要满足如下需求:(1) 中文化图形界面,易管理操作;(2) 网管系统可分层、分地域、集中或分散设置,问题可以分级处理;(3) 应具有配置管理、性能管理、故障管理、计费管理和安全管理;包括通过图形方式监控网络拓扑和节点运行状况、网络信息流量、资源访问以及运行资料的统计与分析,图形化操作一目了然,方便快捷;(4) 应具有对其进行二次开发的工具和软件,满足功能扩展的需要;(5) 应支持主流网管协议;(6) 应保证网管软件的升级及兼容性;(7) 支持 SNMP 协议;(8) 支持集中和分布网络管理模式,并能灵活设置管理方式,能对各类网络设备进行管理。2.4 网络设备安全需求监控中心的数据中心网络设备需遵照以下安全规范:1) 网络管理员定期查看网络设备软件安全漏洞声明,并及时修补漏洞。2)将网络设备中未使用的端口关闭。3) 网络设备需设置双重密码,密码选用需符合密码规则。每台网络设备使用不同密码,且至少 90 天改变一次。4) 网络设备需禁止以下服务: UDP 服务、源路由、以浏览器方式修改设备配置、 IP 直接广播以及代理地址解析。5) 网络设备的网络管理 SNMP 共同体名称不得为缺省配置,且符合密码规范。在不需远程配置的网络设备上,只允许 SNMP 读方式接入,且需接入列表限系统建设安全设计 内部公开7 / 19制接入的源 IP 地址。6) 在网络设备终端和虚拟终端端口上配置密码和超时限制。7)网络设备需向日志记录服务器发出报警信息。信息需显示在终端窗口或日志纪录服务器。2.5 数据安全需求对于数据安全的考虑在于防止泄露和人为恶意破坏,此类威胁的对策是采用严格的用户管理机制和统一的防病毒软件。为防止数据丢失,应进行有效的数据备份,其中包括对操作系统、应用软件和数据库定期的停机备份,在线的联机备份,日志备份,升级备份等。2.6 传输安全需求监控中心可以采用 SSL 加密传输提高安全性。用户身份认证,采用 Windows 集成的域用户身份认证方式。在管理上设置强密码设置,包括必须包含非字母数字、必须定期更改等管理策略。用户数据的访问,与应用系统的权限设置相关,由应用系统的权限管理负责。2.7 备份与恢复需求监控中心需要每周 7 天,一天 24 小时运行。相应地设计使用合适的维护或灾难恢复功能,并指定日常的备份计划。并将停机时间和数据损失降至最小。对于监控中心,备份和恢复的主要内容是数据库,其次是应用程序的执行代码、注册表数据、 Web 应用程序以及相关文档。第三章项目概要设计3.1 系统总体设计3.1.1 视频监控系统设计3.1.1.1 系统结构拓扑图系统建设安全设计 内部公开8 / 19此处插入网络拓扑图及各系统设备连接图;3.1.1.2 系统组成模块视频监控系统由前端监控探头、传输链路、监控中心 (存储、控制及显示等)构成。3.1.1.3 系统前端监控摄像头监控摄像头就是系统的眼睛,用它来监视各个重要地区的日常运作。用摄像机来安装在主要的出入口、内部通道、走廊等。为了确保美观采用半球摄像机。3.1.1.4 传输链路由于客户单位里需要监控的重要地区比较分散,并且距离较远,考虑到高标准的视频数据,主干道如码头到监控室采用光纤,近距离的用超五类非屏蔽双绞线。电源线路可采用 RVV2*1.0。主干线路采用千兆光缆传输。 (按实际情况修改)3.1.1.5 摄像枪 (按实际设备参数修改)型号 型号 ( 摄像枪型号 )名称 XXX 万星光级 1/2.7”CMOS ICR日夜型半球型网络摄像机摄像机 最小照度 0.005Lux @(F1.2,AGC ON) ,0 Lux with IR慢快门 支持镜头接口类型 M12镜头 4mm, 水平视场角 79°(6mm,8mm 可选 )系统建设安全设计 内部公开9 / 19传感器类型 1/2.7“ Progressive Scan CMOS 快门 1/3 秒至 1/100,000 秒调整角度 水平 :0°~360°;垂直 :0°~ 75°;旋转 :0°~360°日夜转换模式 ICR 红外滤片式宽动态范围 120dB数字降噪 3D 数字降噪压缩标准 视频压缩标准 H.265 / H.264 / MJPEG H.265 编码类型 Main Profile视频压缩码率 32Kbps~8Mbps图像 最大图像尺寸 2560×1920帧率 50Hz: 25fps (2560 × 1440,1920 × 1080 ,1280 × 720)第三码流分辨率与帧率 独立于主码流设置,最高支持: 50Hz : 1fps(704×576)图像设置走廊模式 ,饱和,亮度 ,对比度 ,锐度, AGC,白平衡通过客户端或者浏览器可调背光补偿 支持 ,可选择区域日夜转换方式 自动,定时感兴趣区域 ROI 支持三码流分别设置 1 个固定区域 SMART 侦测行为分析越界侦测 ,区域入侵侦测 ,进入 /离开区域侦测 ,徘徊侦测 ,人员聚集侦测 ,快速运动侦测 ,停车侦测 ,物品遗留 /拿取侦测异常侦测 场景变更侦测,虚焦侦测识别检测 支持人脸侦测网络功能 接口协议 ONVIF(PROFILE S,PROFILE G) ,CGI,ISAPI, GB28181,E系统建设安全设计 内部公开10 / 19ome存储功能支持 Micro SD/SDHC/SDXC 卡 (128G)断网本地存储 ,NAS(NFS,SMB/CIFS 均支持 ) 智能报警 移动侦测 ,遮挡报警 ,网线断 ,IP地址冲突 ,非法登录通用功能一键恢复 ,防闪烁 ,三码流 ,心跳,镜像 ,密码保护 ,视频遮盖 ,水印支持协议TCP/IP,ICMP,HTTP,HTTPS,FTP,DHCP,DNS,DDNS,RTP,RTSP,RTCP, PPPoE,NTP,UPnP,SMTP,SNMP,IGMP,802.1X,QoS,IPv6, UDP,Bonjour接口及功能 通讯接口 1 个 RJ45 10M / 100M 自适应以太网口一般规范 电源接口类型 圆头电源接口工作温度和湿度 -30℃~60℃, 湿度小于 95%(无凝结 )电源供应 DC12V±25% / PoE(802.3af);带 D 型号不支持 PoE功耗 非 PoE: 5.5W MAX PoE: 7W MAX防护等级 IP67尺寸( mm) Φ127.3*95.9 mm重量 裸机: 450g 带包装: 600g红外照射距离 最远可达 30 米备注 * *须另备 DC12VΦ5.5mm 电源基本参数 产品类别 : 全景系统建设安全设计 内部公开11 / 19配置 –200 万像素逐行扫描图像传感器 –H.264 视频编码, 1080P 高清分辨率 –造型美观,具有三轴调节功能,方便工程安装 –符合 IK10+级防暴设计,符合 IP66 防护等级 –支持 0.003Lux 超低照度成像 –采用高效红外灯,使用寿命长,照射距离可达 40 米( -IR1、 IR2 型号) –支持 ICR 红外滤片式自动切换,实现真正的日夜监控 –支持宽动态,适合逆光环境监控 –支持双向音频及报警接口 –支持 3D 数字降噪,图像清晰细腻 –支持竖屏模式,有效提升监控区域 –支持强光抑制、背光补偿、自动电子快门功能 –支持 ROI、编码区域裁剪功能,支持超低码流 –支持 8 种摄像机场景模式,具备良好的场景适应性–支持模拟输出,方便安装调试 –支持 RS485 控制功能 –支持 TF 卡本地存储 –支持双码流3.1.1.6 8 口硬盘录像机 (按实际设备参数修改)输入网络视频输入 8 路网络视频接入带宽 80Mbps系统建设安全设计 内部公开12 / 19网络视频接入协议HIKVISION、 ACTi、 ARECONT、 AXIS、BOSCH、 BRICKCOM、 CANON、 HUNT、 ONVIF(版本支持 2.5)、 PANASONIC、PELCO、 RTSP、 SAMSUNG、 SANYO、 SONY、 VIVOTEK、 ZAVIO视音频输出HDMI 输出1 路 HDMI分辨率: 4K (3840*2160)/30Hz、 1920*1080/60Hz、 1600*1200/60Hz、 1280*1024/60Hz、 1280*720/60Hz、 1024*768/60HzVGA 输出1 路 VGA分辨率 : 1920*1080/60Hz、 1280*1024/60Hz、 1280*720/60Hz、 1024*768/60Hz预览分割 1/4/6/8/9 画面视音频编解码参数录像分辨率 8MP/6MP/5MP/4MP/3MP/1080P/UXGA/720P/VGA/4CIF/2CIF/CIF/QCIF同步回放 8 路录像管理录像模式手动录像、定时录像、事件录像、移动侦测录像、报警录像、动测或报警录像、动测且报警录像回放模式 即时回放、常规回放、事件回放、标签回放、外部文件回放、日志回放备份模式 常规备份、事件备份、录像剪辑备份硬盘驱动器类型 1 个 SATA 接口最大容量 每个接口支持容量最大 6TB 的硬盘外部接口语音对讲输入 1 个, RCA 接口(电平: 2.0Vp-p,阻抗: 1kΩ )网络接口 1 个, RJ45 10M/100M/1000M 自适应以太网口USB 接口 前 1 个 USB2.0;后 1 个 USB2.0网络管理 网络协议UPnP(即插即用)、 NTP(网络校时)、 SADP(设备网络搜索)、 PPPoE(拨号上网)、 DHCP(自动获取 IP地址)其他 电源 DC 12V系统建设安全设计 内部公开13 / 19工作温度 -10℃-- + 55℃工作湿度 10% --90%功耗(不含硬盘) ≤10W尺寸 315 mm(宽) ×240 mm(深) ×48mm(高)重量(不含硬盘) ≤1Kg3.2 网络安全系统设计3.2.1 网络结构设计安全设计其网络结构图如下图所示:此处插入网络拓扑图 1:网络结构图网络设备遵照以下安全规范:1) 网络管理员定期查看网络设备软件安全漏洞声明,并及时修补漏洞。2)将网络设备中未使用的端口关闭。3) 网络设备需设置双重密码,密码选用需符合密码规则。每台网络设备系统建设安全设计 内部公开14 / 19使用不同密码,且至少 90 天改变一次。4) 网络设备需禁止以下服务: UDP 服务、源路由、以浏览器方式修改设备配置、 IP 直接广播以及代理地址解析。5) 网络设备的网络管理 SNMP 共同体名称不得为缺省配置,且符合密码规范。在不需远程配置的网络设备上,只允许 SNMP 读方式接入,且需接入列表限制接入的源 IP 地址。6) 在网络设备终端和虚拟终端端口上配置密码和超时限制。7)网络设备需向日志记录服务器发出报警信息。信息需显示在终端窗口或日志纪录服务器。3.2.2 网络安全服务器应部署在 XX 单位内部网上。网络安全是网络建设的重要环节,网络安全将考虑以下方面:1)在网络设计时考虑将内部网络和外部网络分隔,增加专用的硬件防火墙设备,防止外部攻击和恶意入侵,对访问数据进行过滤和控制。2)在内部网络中将专用网分开,设立专网专用,对于用户进行分层管理防止人为的数据破坏。对于系统应用服务器的访问控制,采用更强定制的安全控制。将此类重要服务器设置为独立的 VLAN 及网段。通过一台专用的硬件防火墙对该网段进行保护,提供安全保护的同时,提供更好的可靠性。而在系统服务器网段内部,也可实施内部的访问控制,即同一 VLAN 内的访问控制。3)用户接入的控制,采用系统的安全措施,包括数字证书和 SSL 方式等。3.2.3 网络管理为了保证网络能够正常,稳定的运行,所选的网管平台可满足如下需求:  中文化图形界面,易管理操作;  网管系统可分层、分地域、集中或分散设置,问题可以分级处理;  具有配置管理、性能管理、故障管理、计费管理和安全管理;包括通过图形方式监控网络拓扑和节点运行状况、网络信息流量、资源访问以及运行资料的统计与分析,图形化操作一目了然,方便快捷; 系统建设安全设计 内部公开15 / 19 具有对其进行二次开发的工具和软件,满足功能扩展的需要;  支持主流网管协议;  保证网管软件的升级及兼容性;  支持 SNMP 协议; 支持集中和分布网络管理模式,并能灵活设置管理方式,能对各类网络设备进行管理。3.2.4 数据安全1. 对于数据安全的考虑在于防止泄露和人为恶意破坏,此类威胁的对策是采用严格的用户管理机制和统一的防病毒软件。为防止数据丢失,会进行有效的数据备份,其中包括对操作系统、应用软件和数据库定期的停机备份,在线的联机备份,日志备份,升级备份等。2.在非安全网与安全网络之间增加防火墙设备,对非安全业务进行策略性隔离;确保安全网络内部的数据安全;3.2.5 产品参数3.2.5.1 入侵检测系统 (按实际设备参数修改)基本参数 设备型号:机架式; 1U;低能耗。主要参数 交换机类型 入侵检测与管理系统应用层级 七层端口类型 千兆 GE 电接口,千兆 SFP 接口,万兆接口端口数 1 个 RJ-45 Console 口, 1 个 10/100/1000 Base-T 带外管理口, 4 个 10/100/1000 Base-T, 4 个 SFP 接口IPV6 支持 支持背板带宽 10 Gbps扩展模块插槽 3 个监听口扩展槽位系统建设安全设计 内部公开16 / 19包转发率 每秒新建连接数 10 万,最大并发连接数 400 万。路由功能 无VLAN 无Mac 地址表 无可堆叠 无网络协议 40 种,如 ARP、 AUTH、 BT、 CHARGEN、 DNS、 ECHO、 ETHER、 FINGER、 FTP、 HTTP、 ICMP、 IGMP、 IMAP、 IP、 IRC、 MSNP、 MSPROXY、 MSRPC、 NETBIOS-SSN、 NFS、NNTP、 NTALK、 PCT、 PMAP、 POP3、 Q931、 RIP、 RLOGIN、 RTSP、 SMTP、 SNMP、 SUNRPC、 TCP、 TCQ、 TDS、 TELNET、 TFTP、 TNS、 UDP、 WHOIS网管功能 无其它特性 天阗控制中心软件一套,质保期内(自硬件产品发货之日起,为期 15 个月)免费维修,含 1 个监听口授权,含第一年的特征库升级授权。设备实物图:此处插入设备实物图3.2.5.2 防火墙(按实际设备参数修改)基本参数 产品型号:产品类别:机架式配置 处理器 ARM9 166MHz产品内存 16MB用户数量 50 台电源电压 DC 9V,850mA系统建设安全设计 内部公开17 / 19设备实物图:3.3 安全架构及配置方案3.3.1 安全设备部署方案网络安全设备部署在控制中心机房;防护墙及入侵检测设备安装在机柜靠上位置,方便日常的配置及管理;防火墙设备及入侵检测设备供电采用市电及 UPS 双供电,确保设备运作不停止;3.3.2 安全基线配置方案编号 基线 说明 重要程度 备注1 防火墙配置表 按客户需求配置的安全策略等非常重要2 入侵检测系统配置表入侵检测系统的相关配置,日志分析配置,策略配置,权限配置;非常重要3 视频监控系统配置表监控系统网络配置,存储配置,非常重要系统建设安全设计 内部公开18 / 19管理配置等3.3.3 安全策略设计方案编号 系统 设计说明 重要程度 备注1 防火墙策略 阻挡专网与公共服务网之间的非法访问;日志分析及告警非常重要2 入侵检测系统策略 阻挡非授权的访问非常重要3 视频监控系统策略 动态侦测,告警 非常重要3.3.4 访问控制编号 系统 访问控制说明 其他 备注1 防火墙 信息部独立管理2 入侵检测系统 信息部独立管理3 视频监控系统 信息部独立管理3.3.5 日志备份编号 系统 日志备份说明 保留时间 备注1 防火墙 实时备份 1 年2 入侵检测系统 实时备份 1 年3 视频监控系统 实时备份 1 年系统建设安全设计 内部公开19 / 193.3.6 安全审计编号 系统 安全审计说明 审计内容 备注1 防火墙 设备管理日志审计,网络状态审计运行及管理日志2 入侵检测系统 系统阻挡进入情况审计运行及管理日志3 视频监控系统 安全事件记录信息审计运行及管理日志3.4 灾备实施方案3.4.1 灾备技术实现方案1. 强电方面采用后备电源,确保设备的稳定,不间断运行;2. 设备接入防雷网及接地;3. 采用远程备份的方式,保存设备运行的日志及告警信息;3.4.2 数据备份实现方案1. 使用控制中心的网络存储设备,运设备进行关联,同步存储设备运行相关信息;第四章系统测试方案参考系统测试方案文档
展开阅读全文
  微传网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:信息系统安全资质评审(三级)系统建设安全设计方案模板.doc
链接地址:https://www.weizhuannet.com/p-10031829.html
微传网是一个办公文档、学习资料下载的在线文档分享平台!

网站资源均来自网络,如有侵权,请联系客服删除!

 网站客服QQ:80879498  会员QQ群:727456886

copyright@ 2018-2028 微传网络工作室版权所有

     经营许可证编号:冀ICP备18006529号-1 ,公安局备案号:13028102000124

收起
展开