平安城市视频高清监控系统项目网络安全系统建设方案.doc

平安城市视频高清监控系统项目网络安全系统建设方案1.1. 网络安全的部署参考视频监控网的网络结构、应用现状，结合视频监控网存在的风险和对安全产品的需求，项目建设从技术的角度，将整个网络分成二个安全等级：1、 对视频专网，我们认为这里是整个系统的核心部分，因为所有的数据信息，都集中地存储在本系统的数据库服务器内，这部分是需要采取的安全措施要求是最高级别的；2、 公安内网、政法网等系统内部网，对于视频监控网来说是非信任区域，为低安全级别。根据以上的安全区域划分，我们建议在视频监控网各安全区域间进行数据交换时，必须通过相应的安全防护和监测措施来实现。那么我们建议在本次建设中着重从边界防护、系统加固、认证授权、集中管理四个方面进行，在网中部署防火墙、入侵检测、网络防病毒、安全管理等安全子系统，并通过统一的平台进行集中管理。结合以上内容对网络安全的功能要求，根据我们选择的网络设备及网络构架，采用防火墙及入侵检测双结合安全解决方案。1.2. 防火墙的部署在视频监控专网与其它区域连接的出口部署的是一套采用百兆级别的防火墙系统，本套防火墙设备必须在性能上达到视频监控专网的数据交换要求，应该不成为整个数据交换过程当中的网络瓶颈。在设置防火墙的策略时，本区域在被公安内网、政法网等系统内部网访问时，必须采用有效的控制，在保证应用的前提下，开放最少的服务，同时通过防火墙的日志记录功能，将其被访问的所有的数据信息保存到专门的日志审计中心。1.3. 入侵检测的部署由于监控视频专网在被访问时，访问者发出的数据包可能会夹杂着来意的功能行为，那么防火墙所能做到的是对数据包的来源、去向以及数据报文的报头等进行检测和过虑，那么对于合法数据的访问，它是不会作任何的限制，一旦合法的访问者，他的工作站中了木马病毒等，那么他的访问将会直接影响监控视频专网中的被访问服务器，有甚者可能会导致拒绝服务攻击。那么在去访问监控视频专网服务器的途中，必须经过监控视频专网的核心交换机，我们在此交换机上部署一套百兆的入侵检测系统，对经过此交换机的所有的数据拷贝一份给入侵检测系统的网络探测器，让其进行安全的检测。入侵检测系统一理检测到攻击的存在，他可以进行第一时间的报警，同时发送TCP RESET数据包，将基于TCP的连接重置断开。保证网络不受攻击者的影响。入侵检测检测到攻击之后，可以设置与部署所在区域对应的防火墙进行协作，检测到攻击行为，告诉防火墙动态生成阻断策略，实时有效地阻止攻击行为的进行。1.4. 防病毒体系的部署作为网络安全的重要组成部署，网络防病毒系统是必不可少的，他可以实时地保护服务器操作系统、应用平台、工作站的操作系统的安全。那么，我们在管理中心部署一套网络防病毒控制系统，在每个服务器上、工作站上安装相应版本的防病毒客户端，所有的客户端都听从控制中心的指挥。管理员可以通过制定病毒防护策略，定时地或即时地扫描目标设备，及时地对操作系统中存在的病毒进行查杀。同时通过控制中心对全网的客户端时行病毒库的更新。2/3