智慧安監(jiān)項(xiàng)目信息安全建設(shè)方案

智慧安監(jiān)項(xiàng)目信息安全建設(shè)方案1.1.1.1系統(tǒng)概述“智慧安監(jiān)”項(xiàng)目信息安全系統(tǒng)根據(jù)網(wǎng)絡(luò)及數(shù)據(jù)中心的建設(shè)，結(jié)合視頻等應(yīng)用系統(tǒng)的業(yè)務(wù)架構(gòu)、流程、用戶等多方面的需求，建設(shè)信息安全保障系統(tǒng)。1.1.1.2業(yè)務(wù)用戶XX市“智慧安監(jiān)”息安全保障系服務(wù)的對(duì)象在市一級(jí)具體涉及市安監(jiān)局、質(zhì)監(jiān)局和住建局，網(wǎng)絡(luò)對(duì)象包括市政務(wù)外網(wǎng)、安全生產(chǎn)感知網(wǎng)。在區(qū)縣一級(jí)主要涉及集聚區(qū)管委會(huì)，網(wǎng)絡(luò)對(duì)象包括政務(wù)外網(wǎng)、安全生產(chǎn)感知網(wǎng)。表6~66信息安全用戶表序號(hào)用戶類別業(yè)務(wù)操作備注1安監(jiān)局1、 對(duì)安全生產(chǎn)感知網(wǎng)進(jìn)行安全防護(hù)，實(shí)現(xiàn)數(shù)據(jù)和視頻的安全接入；2、 對(duì)數(shù)據(jù)中心進(jìn)行安全防護(hù)，保障業(yè)務(wù)應(yīng)用的安全；3、 對(duì)公眾服務(wù)進(jìn)行安全防護(hù)，保障服務(wù)的安全運(yùn)行。2質(zhì)監(jiān)局1、對(duì)政務(wù)外網(wǎng)的應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)，保障業(yè)務(wù)應(yīng)用的安全運(yùn)行。3住建局1、對(duì)政務(wù)外網(wǎng)的應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)，保障業(yè)務(wù)應(yīng)用的安全運(yùn)行。4集聚區(qū)1、 對(duì)安全生產(chǎn)感知網(wǎng)進(jìn)行安全防護(hù)，實(shí)現(xiàn)視頻的安全接入；2、 對(duì)數(shù)據(jù)中心進(jìn)行安全防護(hù)，保障業(yè)務(wù)應(yīng)用的安全；1.1.1.3業(yè)務(wù)功能（1） 保障視頻、數(shù)據(jù)的安全接入安全生產(chǎn)感知網(wǎng)用于整合交通、天網(wǎng)等各類專網(wǎng)和安全生產(chǎn)企事業(yè)單位私有網(wǎng)絡(luò)的感知信息，在涉及安全生產(chǎn)領(lǐng)域的橫向網(wǎng)絡(luò)間實(shí)現(xiàn)髙速互聯(lián)，并通過(guò)網(wǎng)絡(luò)交換平臺(tái)為政務(wù)外網(wǎng)提供感知信息源，進(jìn)而實(shí)現(xiàn)安全生產(chǎn)領(lǐng)域各部門之間信息快速安全傳遞和資源共享。安全生產(chǎn)感知網(wǎng)包括市級(jí)安全生產(chǎn)感知網(wǎng)和集聚區(qū)安全生產(chǎn)感知網(wǎng)兩個(gè)部分，為滿足視頻和數(shù)據(jù)的實(shí)時(shí)安全交換，建設(shè)視頻和數(shù)據(jù)的安全接入系統(tǒng)。市級(jí)建設(shè)數(shù)據(jù)接入系統(tǒng)，完成數(shù)據(jù)的安全接入；市級(jí)和集聚區(qū)各自建設(shè)一套視頻接入系統(tǒng)，完成相關(guān)視頻的安全接入。（2） 數(shù)據(jù)中心的安全防護(hù)“智慧安監(jiān)”的數(shù)據(jù)中心建設(shè)采用了虛擬化的技術(shù)，大大提高了資源利用率，降低了整個(gè)系統(tǒng)的功耗，但也帶來(lái)了新的安全問(wèn)題，如物理邊界模糊、后臺(tái)資源沖突、硬件資源利用率受到限制等問(wèn)題，須采取安全措施降低虛擬化的安全風(fēng)險(xiǎn)，提升安全防護(hù)能力。在市級(jí)平臺(tái)數(shù)據(jù)中心統(tǒng)一部署病毒防護(hù)系統(tǒng)、多功能安全網(wǎng)關(guān)、安全審計(jì)系統(tǒng)，提供病毒防護(hù)、邊界訪問(wèn)控制、虛擬訪問(wèn)控制、虛擬機(jī)安全監(jiān)控、網(wǎng)絡(luò)安全審計(jì)等安全功能，保障數(shù)據(jù)中心虛擬化服務(wù)器的安全，同時(shí)在數(shù)據(jù)中心網(wǎng)絡(luò)邊界部署防火墻，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的訪問(wèn)控制，阻斷非授權(quán)訪問(wèn)。（3）公眾服務(wù)的安全防護(hù)政務(wù)外網(wǎng)通過(guò)租用運(yùn)營(yíng)商網(wǎng)絡(luò)向XX市公眾提供Web服務(wù)。政務(wù)外網(wǎng)通過(guò)租用運(yùn)營(yíng)商網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，有可能因?yàn)樵L問(wèn)非法網(wǎng)站導(dǎo)致主機(jī)感染病毒、植入木馬程序，使政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)的正常運(yùn)行受到安全威脅。政務(wù)外網(wǎng)在互聯(lián)網(wǎng)區(qū)域已建設(shè)有防火墻系統(tǒng)，實(shí)現(xiàn)基本的安全防護(hù)能力。為提升公眾服務(wù)的安全性，建設(shè)網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)、抗拒絕服務(wù)攻擊系統(tǒng)以及WEB安全防護(hù)系統(tǒng)。1.1.1.4技術(shù)方案本次“智慧安監(jiān)”信息安全保障系統(tǒng)建設(shè)整體方案如下圖所示:XnttrnttHI處?大整防火■x抗si務(wù)農(nóng)兼a臺(tái)））"皿a6)!seHfi^lg—-廠I服務(wù)?紡勿鈿臺(tái)IrbttWI二⑴ 多業(yè)務(wù)Aj控刨料一政務(wù)網(wǎng)絡(luò)核心區(qū)一e醫(yī)?瓦gXnttrnttHI處?大整防火■x抗si務(wù)農(nóng)兼a臺(tái)））"皿a6)!seHfi^lg—-廠I服務(wù)?紡勿鈿臺(tái)IrbttWI二⑴ 多業(yè)務(wù)Aj控刨料一政務(wù)網(wǎng)絡(luò)核心區(qū)一e醫(yī)?瓦g接入?yún)^(qū)|可?幻界戲鋼關(guān)1臺(tái)|匯聚區(qū)葡州政務(wù)外網(wǎng)礎(chǔ)網(wǎng)絡(luò)圖6-119信息安全建設(shè)整體方案圖在安全生產(chǎn)感知網(wǎng)與其他專網(wǎng)的邊界部署安全接入系統(tǒng)，保障數(shù)據(jù)和視頻的安全接入。在安全生產(chǎn)感知網(wǎng)與政務(wù)外網(wǎng)互聯(lián)的邊界部署防火墻，對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，阻斷非授權(quán)訪問(wèn)。在集聚區(qū)數(shù)據(jù)中心邊界部署多功能安全網(wǎng)關(guān)，實(shí)現(xiàn)數(shù)據(jù)中心的安全防護(hù)，在市數(shù)據(jù)中心邊界同樣部署一臺(tái)多功能安全網(wǎng)關(guān)，實(shí)現(xiàn)安全功能。在市數(shù)據(jù)中心的接入交換機(jī)旁路部署一臺(tái)安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的安全審計(jì)，加強(qiáng)安全功能，在每個(gè)服務(wù)器上安裝網(wǎng)絡(luò)防病毒客戶端，保護(hù)服務(wù)器不受病毒破壞。在公眾服務(wù)區(qū)，部署抗拒絕服務(wù)攻擊系統(tǒng)和流量監(jiān)控系統(tǒng)，

實(shí)現(xiàn)流量過(guò)濾，保障外網(wǎng)用戶對(duì)公眾服務(wù)訪問(wèn)的合法性和安全性。同時(shí)，部署WEB安全防護(hù)系統(tǒng)，保證公眾服務(wù)WEB的安全性。1-1.1.4J前端感知安全接入前端感知安全接入主要是通過(guò)數(shù)據(jù)安全接入系統(tǒng)和視頻安全接入系統(tǒng)將前端資源安全地接入“智慧安監(jiān)”安全感知網(wǎng)絡(luò)中，示意圖如下：“天網(wǎng)工程”J頻專網(wǎng)交通、環(huán)

等其他?！?防火墻視頻安全交換系統(tǒng);I01I前市區(qū)制商點(diǎn)頻監(jiān)控接入企業(yè)類安全生'安全生產(chǎn)感I“天網(wǎng)工程”J頻專網(wǎng)交通、環(huán)

等其他?！?防火墻視頻安全交換系統(tǒng);I01I前市區(qū)制商點(diǎn)頻監(jiān)控接入企業(yè)類安全生'安全生產(chǎn)感I防火墻I數(shù)據(jù)安全交換系統(tǒng)卜|身份認(rèn)殳網(wǎng)關(guān)業(yè)類安全生'測(cè).視頻接入噪聚區(qū)制高點(diǎn)視頻監(jiān)控接入圖6-120接入系統(tǒng)示意圖（1）數(shù)據(jù)安全接入系統(tǒng)部署在市級(jí)安全生產(chǎn)感知網(wǎng)邊界，主要包括防火墻、前置服務(wù)器、可信邊界安全網(wǎng)關(guān)、主機(jī)病毒防護(hù)系統(tǒng)、安全數(shù)據(jù)交換系統(tǒng)。1） 防火墻防火墻的首要功能是根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)協(xié)議等對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制。防火墻還保證了邊界接入平臺(tái)內(nèi)部的主機(jī)地址不被外部終端直接獲得。2） 可信邊界安全網(wǎng)關(guān)可信邊界安全網(wǎng)關(guān)對(duì)數(shù)據(jù)接入終端進(jìn)行身份認(rèn)證，保證未通過(guò)身份認(rèn)證的接入終端不能進(jìn)入平臺(tái)訪問(wèn)，還保證在網(wǎng)絡(luò)傳輸過(guò)程中，接入終端與邊界接入平臺(tái)之間的通信內(nèi)容全程加密。3） 主機(jī)防病毒根據(jù)實(shí)際業(yè)務(wù)需求，互聯(lián)網(wǎng)接入?yún)^(qū)放置了相應(yīng)業(yè)務(wù)應(yīng)用的前置服務(wù)器（包括應(yīng)用服務(wù)器、WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等）。作為外部終端網(wǎng)絡(luò)連接的終點(diǎn)，提供給終端用戶應(yīng)用代理、數(shù)據(jù)暫存等功能服務(wù)。為提高應(yīng)用服務(wù)區(qū)內(nèi)各個(gè)主機(jī)的安全性，在應(yīng)用服務(wù)區(qū)內(nèi)安裝網(wǎng)絡(luò)防病毒軟件。通過(guò)殺毒軟件在應(yīng)用服務(wù)區(qū)內(nèi)構(gòu)建統(tǒng)一的網(wǎng)絡(luò)病毒防范體系，并在內(nèi)部建立統(tǒng)一的病毒防范策略，從而達(dá)到病毒防范效果。4） 安全數(shù)據(jù)交換系統(tǒng)安全數(shù)據(jù)交換系統(tǒng)的安全設(shè)備主要是內(nèi)外網(wǎng)數(shù)據(jù)交換服務(wù)器和網(wǎng)閘。內(nèi)外網(wǎng)數(shù)據(jù)交換服務(wù)器在數(shù)據(jù)交換的過(guò)程中實(shí)現(xiàn)協(xié)議剝離、格式過(guò)濾、內(nèi)容檢查和內(nèi)容審計(jì)。外網(wǎng)交換服務(wù)器和內(nèi)網(wǎng)交換服務(wù)器之間的網(wǎng)閘主要是實(shí)現(xiàn)網(wǎng)絡(luò)隔離。該系統(tǒng)主要實(shí)現(xiàn)安全生產(chǎn)感知網(wǎng)與前端各個(gè)單位之間接入網(wǎng)絡(luò)隔離和結(jié)構(gòu)化數(shù)據(jù)的安全交換，它通過(guò)高可信的方式，實(shí)現(xiàn)異構(gòu)系統(tǒng)、數(shù)據(jù)源之間安全、靈活、有效、快速的數(shù)據(jù)交換。主要數(shù)據(jù)交換功能包括：采用物理單向傳輸通道，確保數(shù)據(jù)無(wú)回饋傳輸；支持主流數(shù)據(jù)庫(kù)，如Oracle、SqlServer等；支持主流操作系統(tǒng)，如Linux.Windows等；支持異構(gòu)數(shù)據(jù)庫(kù)、字段之間的單向數(shù)據(jù)傳輸；具有靈活的數(shù)據(jù)抽取功能，支持全表同步、增量同步；支持主從表數(shù)據(jù)傳輸；支持按行、列等條件進(jìn)行傳輸；具有數(shù)據(jù)傳輸完整性保障機(jī)制。單向數(shù)據(jù)傳輸應(yīng)采用物理單向隔離部件作為兩端主機(jī)之間唯一物理連接通道，確保數(shù)據(jù)無(wú)回饋單向傳輸，阻斷網(wǎng)絡(luò)協(xié)議并釆用專