平安城市視頻高清監(jiān)控系統(tǒng)項目網(wǎng)絡(luò)安全系統(tǒng)建設(shè)方案

平安城市視頻高清監(jiān)控系統(tǒng)項目網(wǎng)絡(luò)安全系統(tǒng)建設(shè)方案LL網(wǎng)絡(luò)安全的部署參考視頻監(jiān)控網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用現(xiàn)狀，結(jié)合視頻監(jiān)控網(wǎng)存在的風險和對安全產(chǎn)品的需求，項目建設(shè)從技術(shù)的角度，將整個網(wǎng)絡(luò)分成二個安全等級：1、對視頻專網(wǎng)，我們認為這里是整個系統(tǒng)的核心部分，因為所有的數(shù)據(jù)信息，都集中地存儲在本系統(tǒng)的數(shù)據(jù)庫服務(wù)器內(nèi)，這部分是需要采取的安全措施要求是最高級別的；2、公安內(nèi)網(wǎng)、政法網(wǎng)等系統(tǒng)內(nèi)部網(wǎng)，對于視頻監(jiān)控網(wǎng)來說是非信任區(qū)域，為低安全級別。根據(jù)以上的安全區(qū)域劃分，我們建議在視頻監(jiān)控網(wǎng)各安全區(qū)域間進行數(shù)據(jù)交換時，必須通過相應(yīng)的安全防護和監(jiān)測措施來實現(xiàn)。那么我們建議在本次建設(shè)中著重從邊界防護、系統(tǒng)加固、認證授權(quán)、集中管理四個方面進行，在網(wǎng)中部署防火墻、入侵檢測、網(wǎng)絡(luò)防病毒、安全管理等安全子系統(tǒng)，并通過統(tǒng)一的平臺進行集中管理。結(jié)合以上內(nèi)容對網(wǎng)絡(luò)安全的功能要求，根據(jù)我們選擇的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)構(gòu)架，采用防火墻及入侵檢測雙結(jié)合安全解決方案。防火墻的部署在視頻監(jiān)控專網(wǎng)與其它區(qū)域連接的出口部署的是一套采用百兆級別的防火墻系統(tǒng)，本套防火墻設(shè)備必須在性能上達到視頻監(jiān)控專網(wǎng)的數(shù)據(jù)交換要求，應(yīng)該不成為整個數(shù)據(jù)交換過程當中的網(wǎng)絡(luò)瓶頸。在設(shè)置防火墻的策略時，本區(qū)域在被公安內(nèi)網(wǎng)、政法網(wǎng)等系統(tǒng)內(nèi)部網(wǎng)訪問時，必須采用有效的控制，在保證應(yīng)用的前提下，開放最少的服務(wù)，同時通過防火墻的日志記錄功能，將其被訪問的所有的數(shù)據(jù)信息保存到專門的日志審計中心。入侵檢測的部署由于監(jiān)控視頻專網(wǎng)在被訪問時，訪問者發(fā)出的數(shù)據(jù)包可能會夾雜著來意的功能行為，那么防火墻所能做到的是對數(shù)據(jù)包的來源、去向以及數(shù)據(jù)報文的報頭等進行檢測和過慮，那么對于合法數(shù)據(jù)的訪問，它是不會作任何的限制，一旦合法的訪問者，他的工作站中了木馬病毒等，那么他的訪問將會直接影響監(jiān)控視頻專網(wǎng)中的被訪問服務(wù)器，有甚者可能會導致拒絕服務(wù)攻擊。那么在去訪問監(jiān)控視頻專網(wǎng)服務(wù)器的途中，必須經(jīng)過監(jiān)控視頻專網(wǎng)的核心交換機，我們在此交換機上部署一套百兆的入侵檢測系統(tǒng)，對經(jīng)過此交換機的所有的數(shù)據(jù)拷貝一份給入侵檢測系統(tǒng)的網(wǎng)絡(luò)探測器，讓其進行安全的檢測。入侵檢測系統(tǒng)一理檢測到攻擊的存在，他可以進行第一時間的報警，同時發(fā)送TCPRESET數(shù)據(jù)包，將基于TCP的連接重置斷開。保證網(wǎng)絡(luò)不受攻擊者的影響。入侵檢測檢測到攻擊之后，可以設(shè)置與部署所在區(qū)域?qū)?yīng)的防火墻進行協(xié)作，檢測到攻擊行為，告訴防火墻動態(tài)生成阻斷策略，實時有效地阻止攻擊行為的進行。防病毒體系的部署作為網(wǎng)絡(luò)安全的重要組成部署，網(wǎng)絡(luò)防病毒系統(tǒng)是必不可少的，他可以實時地保護服務(wù)器操作系統(tǒng)、應(yīng)用平臺、工作站的操作系統(tǒng)的安全。那么，我們在管理中心部署一套網(wǎng)絡(luò)防病毒控制系統(tǒng)，在每個服務(wù)器上、工作站上安裝相應(yīng)版本的防病毒客戶端，所有的客戶端都聽從控制中心的指揮。管理員可以通過制定病毒防