信息系统安全资质评审(三级)系统建设安全设计方案模板.doc

XX单位网络安全及监控系统工程系统建设安全设计（模板）建设单位： 承建单位： 日期：XXXX年XX月XX日版本控制页序号状态修改描述版本日期作者1创建V1.0XXXX年X月X日状态：创建、修订、作废目录第一章项目背景4第二章客户需求42.1 项目功能需求42.2项目性能需求42.3 项目安全需求42.4网络设备安全需求52.5数据安全需求62.6传输安全需求62.7备份与恢复需求6第三章项目概要设计63.1 系统总体设计63.2 网络安全系统设计133.3 安全架构及配置方案173.4 灾备实施方案19第四章系统测试方案19第一章 项目背景XX单位计划对公司内部进行网络安全升级改造，增加部分监控摄像枪对部分公司区域进行安全防控等；由于公司原网络出口缺少高性能的网络安全设备，对于公司内部的重要应用系统及数据的防护不足，此次项目建设要从整体上解决公司网络安全的隐患。第二章 客户需求2.1项目功能需求客户在本项目中主要的需求有：1. 新建一套视频监控系统，对关键通道位置实现监控；2. 采用网络安全设备，公司网络出口进行安全防护。2.2项目性能需求1. 视频监控系统达到1080P高清，而且视频存储时长XX天；2. 网络安全设备满足XXX人同时并发连接。2.3项目安全需求2.3.1客户需求描述(可参考需求分析报告的部分内容，按设计修改)安全技术实现要求网络建设具有统一全网的安全控制措施和安全监测手段，对内网进行基于IP和设备的安全监管，进一步规范IP地址的应用，集中网络管理，实施分级维护；对外网实现虚拟通道、虚拟设备、虚拟IP管理，并具有强的数据交换能力实现环保信息网络的大集成，考虑到环境应急需求，积极开展网络综合应用，在全局逐步开通IP业务和视频监控系统，为环保综合平台发展提供良好的网络环境。各接入节点之间的通讯要经过核心交换设备进行转发，采用按照行政机构组织模式和业务流程组网的方式，实施起来比较容易，管理层次比较清晰，故障容易定位，后期维护工作量较小。整个网络遵循集中监控、统一管理的原则，在网络中实施统一策略的安全防护体系，可以对各应用系统的进行安全隔离、访问控制，对外连接（专线接入、拨号接入等）进行身份认证、访问控制、数据完整性和审计等安全指标审查，提高了应用系统的安全性。2.3.2网络管理需求选的网管平台也要满足如下需求：(1) 中文化图形界面，易管理操作；(2) 网管系统可分层、分地域、集中或分散设置，问题可以分级处理；(3) 应具有配置管理、性能管理、故障管理、计费管理和安全管理；包括通过图形方式监控网络拓扑和节点运行状况、网络信息流量、资源访问以及运行资料的统计与分析，图形化操作一目了然，方便快捷；(4) 应具有对其进行二次开发的工具和软件，满足功能扩展的需要；(5) 应支持主流网管协议；(6) 应保证网管软件的升级及兼容性；(7) 支持SNMP协议；(8) 支持集中和分布网络管理模式，并能灵活设置管理方式，能对各类网络设备进行管理。2.4网络设备安全需求监控中心的数据中心网络设备需遵照以下安全规范：1） 网络管理员定期查看网络设备软件安全漏洞声明，并及时修补漏洞。2）将网络设备中未使用的端口关闭。3） 网络设备需设置双重密码，密码选用需符合密码规则。每台网络设备使用不同密码，且至少90天改变一次。4） 网络设备需禁止以下服务：UDP服务、源路由、以浏览器方式修改设备配置、 IP直接广播以及代理地址解析。5） 网络设备的网络管理SNMP共同体名称不得为缺省配置，且符合密码规范。在不需远程配置的网络设备上，只允许SNMP读方式接入，且需接入列表限制接入的源IP地址。6） 在网络设备终端和虚拟终端端口上配置密码和超时限制。7）网络设备需向日志记录服务器发出报警信息。信息需显示在终端窗口或日志纪录服务器。2.5数据安全需求对于数据安全的考虑在于防止泄露和人为恶意破坏，此类威胁的对策是采用严格的用户管理机制和统一的防病毒软件。为防止数据丢失，应进行有效的数据备份，其中包括对操作系统、应用软件和数据库定期的停机备份，在线的联机备份，日志备份，升级备份等。2.6传输安全需求监控中心可以采用SSL加密传输提高安全性。用户身份认证，采用Windows集成的域用户身份认证方式。在管理上设置强密码设置，包括必须包含非字母数字、必须定期更改等管理策略。用户数据的访问，与应用系统的权限设置相关，由应用系统的权限管理负责。2.7备份与恢复需求监控中心需要每周7天，一天24小时运行。相应地设计使用合适的维护或灾难恢复功能，并指定日常的备份计划。并将停机时间和数据损失降至最小。对于监控中心，备份和恢复的主要内容是数据库，其次是应用程序的执行代码、注册表数据、Web应用程序以及相关文档。第三章 项目概要设计3.1系统总体设计3.1.1 视频监控系统设计系统结构拓扑图此处插入网络拓扑图及各系统设备连接图；系统组成模块视频监控系统由前端监控探头、传输链路、监控中心(存储、控制及显示等）构成。系统前端监控摄像头监控摄像头就是系统的眼睛，用它来监视各个重要地区的日常运作。用摄像机来安装在主要的出入口、内部通道、走廊等。为了确保美观采用半球摄像机。 传输链路由于客户单位里需要监控的重要地区比较分散，并且距离较远，考虑到高标准的视频数据，主干道如码头到监控室采用光纤，近距离的用超五类非屏蔽双绞线。电源线路可采用RVV2*1.0。主干线路采用千兆光缆传输。（按实际情况修改） 摄像枪 （按实际设备参数修改）型号型号（摄像枪型号）名称XXX万星光级1/2.7”CMOSICR日夜型半球型网络摄像机摄像机最小照度0.005Lux(F1.2,AGCON),0LuxwithIR慢快门支持镜头接口类型M12镜头4mm,水平视场角79(6mm,8mm可选)传感器类型1/2.7ProgressiveScanCMOS快门1/3秒至1/100,000秒调整角度水平:0360;垂直:075;旋转:0360日夜转换模式ICR红外滤片式宽动态范围120dB数字降噪3D数字降噪压缩标准视频压缩标准H.265/H.264/MJPEGH.265编码类型MainProfile视频压缩码率32Kbps8Mbps图像最大图像尺寸25601920帧率50Hz:25fps(25601440,19201080,1280720)第三码流分辨率与帧率独立于主码流设置，最高支持：50Hz:1fps(704576)图像设置走廊模式,饱和,亮度,对比度,锐度，AGC，白平衡通过客户端或者浏览器可调背光补偿支持,可选择区域日夜转换方式自动，定时感兴趣区域ROI支持三码流分别设置1个固定区域SMART侦测行为分析越界侦测,区域入侵侦测,进入/离开区域侦测,徘徊侦测,人员聚集侦测,快速运动侦测,停车侦测,物品遗留/拿取侦测异常侦测场景变更侦测，虚焦侦测识别检测支持人脸侦测网络功能接口协议ONVIF(PROFILES,PROFILEG),CGI,ISAPI,GB28181,Eome存储功能支持MicroSD/SDHC/SDXC卡(128G)断网本地存储,NAS(NFS,SMB/CIFS均支持)智能报警移动侦测,遮挡报警,网线断,IP地址冲突,非法登录通用功能一键恢复,防闪烁,三码流,心跳,镜像,密码保护,视频遮盖,水印支持协议TCP/IP,ICMP,HTTP,HTTPS,FTP,DHCP,DNS,DDNS,RTP,RTSP,RTCP,PPPoE,NTP,UPnP,SMTP,SNMP,IGMP,802.1X,QoS,IPv6，UDP，Bonjour接口及功能通讯接口1个RJ4510M/100M自适应以太网口一般规范电源接口类型圆头电源接口工作温度和湿度-3060,湿度小于95%(无凝结)电源供应DC12V25%/PoE(802.3af)；带D型号不支持PoE功耗非PoE：5.5WMAXPoE：7WMAX防护等级IP67尺寸（mm）127.3*95.9mm重量裸机：450g带包装：600g红外照射距离最远可达30米备注*须另备DC12V5.5mm电源基本参数产品类别：全景纠错纠错配置200万像素逐行扫描图像传感器 H.264视频编码，1080P高清分辨率 造型美观，具有三轴调节功能，方便工程安装 符合IK10+级防暴设计，符合IP66防护等级 支持0.003Lux超低照度成像 采用高效红外灯，使用寿命长，照射距离可达40米（-IR1、IR2型号） 支持ICR红外滤片式自动切换，实现真正的日夜监控 支持宽动态，适合逆光环境监控 支持双向音频及报警接口 支持3D数字降噪，图像清晰细腻 支持竖屏模式，有效提升监控区域 支持强光抑制、背光补偿、自动电子快门功能 支持ROI、编码区域裁剪功能，支持超低码流 支持8种摄像机场景模式，具备良好的场景适应性支持模拟输出，方便安装调试 支持RS485控制功能 支持TF卡本地存储 支持双码流纠错 8口硬盘录像机 （按实际设备参数修改）输入网络视频输入8路网络视频接入带宽80Mbps网络视频接入协议HIKVISION、ACTi、ARECONT、AXIS、BOSCH、BRICKCOM、CANON、HUNT、ONVIF（版本支持2.5）、PANASONIC、PELCO、RTSP、SAMSUNG、SANYO、SONY、VIVOTEK、ZAVIO视音频输出HDMI输出1路HDMI分辨率：4K(3840*2160)/30Hz、1920*1080/60Hz、1600*1200/60Hz、1280*1024/60Hz、1280*720/60Hz、1024*768/60HzVGA输出1路VGA分辨率:1920*1080/60Hz、1280*1024/60Hz、1280*720/60Hz、1024*768/60Hz预览分割1/4/6/8/9画面视音频编解码参数录像分辨率8MP/6MP/5MP/4MP/3MP/1080P/UXGA/720P/VGA/4CIF/2CIF/CIF/QCIF同步回放8路录像管理录像模式手动录像、定时录像、事件录像、移动侦测录像、报警录像、动测或报警录像、动测且报警录像回放模式即时回放、常规回放、事件回放、标签回放、外部文件回放、日志回放备份模式常规备份、事件备份、录像剪辑备份硬盘驱动器类型1个SATA接口最大容量每个接口支持容量最大6TB的硬盘外部接口语音对讲输入1个，RCA接口（电平：2.0Vp-p，阻抗：1k）网络接口1个，RJ4510M/100M/1000M自适应以太网口USB接口前1个USB2.0；后1个USB2.0网络管理网络协议UPnP（即插即用）、NTP（网络校时）、SADP（设备网络搜索）、PPPoE（拨号上网）、DHCP（自动获取IP地址）其他电源DC12V工作温度-10-55工作湿度10-90功耗（不含硬盘）10W尺寸315mm（宽）240mm（深）48mm（高）重量（不含硬盘）1Kg3.2 网络安全系统设计3.2.1 网络结构设计安全设计其网络结构图如下图所示：此处插入网络拓扑图1：网络结构图网络设备遵照以下安全规范：1） 网络管理员定期查看网络设备软件安全漏洞声明，并及时修补漏洞。2）将网络设备中未使用的端口关闭。3） 网络设备需设置双重密码，密码选用需符合密码规则。每台网络设备使用不同密码，且至少90天改变一次。4） 网络设备需禁止以下服务：UDP服务、源路由、以浏览器方式修改设备配置、 IP直接广播以及代理地址解析。5） 网络设备的网络管理SNMP共同体名称不得为缺省配置，且符合密码规范。在不需远程配置的网络设备上，只允许SNMP读方式接入，且需接入列表限制接入的源IP地址。6） 在网络设备终端和虚拟终端端口上配置密码和超时限制。7）网络设备需向日志记录服务器发出报警信息。信息需显示在终端窗口或日志纪录服务器。3.2.2 网络安全服务器应部署在XX单位内部网上。网络安全是网络建设的重要环节，网络安全将考虑以下方面：1)在网络设计时考虑将内部网络和外部网络分隔，增加专用的硬件防火墙设备，防止外部攻击和恶意入侵，对访问数据进行过滤和控制。2)在内部网络中将专用网分开，设立专网专用，对于用户进行分层管理防止人为的数据破坏。对于系统应用服务器的访问控制，采用更强定制的安全控制。将此类重要服务器设置为独立的VLAN及网段。通过一台专用的硬件防火墙对该网段进行保护，提供安全保护的同时，提供更好的可靠性。而在系统服务器网段内部，也可实施内部的访问控制，即同一VLAN内的访问控制。3)用户接入的控制，采用系统的安全措施，包括数字证书和SSL方式等。3.2.3网络管理为了保证网络能够正常，稳定的运行，所选的网管平台可满足如下需求： l 中文化图形界面，易管理操作； l 网管系统可分层、分地域、集中或分散设置，问题可以分级处理； l 具有配置管理、性能管理、故障管理、计费管理和安全管理；包括通过图形方式监控网络拓扑和节点运行状况、网络信息流量、资源访问以及运行资料的统计与分析，图形化操作一目了然，方便快捷； l 具有对其进行二次开发的工具和软件，满足功能扩展的需要； l 支持主流网管协议； l 保证网管软件的升级及兼容性； l 支持SNMP协议； 支持集中和分布网络管理模式，并能灵活设置管理方式，能对各类网络设备进行管理。3.2.4数据安全1. 对于数据安全的考虑在于防止泄露和人为恶意破坏，此类威胁的对策是采用严格的用户管理机制和统一的防病毒软件。为防止数据丢失，会进行有效的数据备份，其中包括对操作系统、应用软件和数据库定期的停机备份，在线的联机备份，日志备份，升级备份等。2.在非安全网与安全网络之间增加防火墙设备，对非安全业务进行策略性隔离；确保安全网络内部的数据安全；3.2.5产品参数 入侵检测系统 （按实际设备参数修改）基本参数设备型号：机架式；1U；低能耗。纠错主要参数交换机类型入侵检测与管理系统应用层级七层端口类型千兆GE电接口，千兆SFP接口，万兆接口端口数1个RJ-45 Console口，1个10/100/1000 Base-T带外管理口，4个10/100/1000 Base-T，4个SFP接口IPV6支持支持背板带宽10 Gbps扩展模块插槽3个监听口扩展槽位包转发率每秒新建连接数10万，最大并发连接数400万。路由功能无VLAN无Mac地址表无可堆叠无网络协议40种，如ARP、AUTH、BT、CHARGEN、DNS、ECHO、ETHER、FINGER、FTP、HTTP、ICMP、IGMP、IMAP、IP、IRC、MSNP、MSPROXY、MSRPC、NETBIOS-SSN、NFS、NNTP、NTALK、PCT、PMAP、POP3、Q931、RIP、RLOGIN、RTSP、SMTP、SNMP、SUNRPC、TCP、TCQ、TDS、TELNET、TFTP、TNS、UDP、WHOIS网管功能无其它特性天阗控制中心软件一套，质保期内（自硬件产品发货之日起，为期15个月）免费维修，含1个监听口授权，含第一年的特征库升级授权。设备实物图： 此处插入设备实物图 防火墙（按实际设备参数修改）基本参数产品型号：产品类别：机架式纠错纠错配置处理器 ARM9 166MHz产品内存16MB用户数量 50台电源电压 DC 9V，850mA纠错设备实物图：3.3 安全架构及配置方案3.3.1安全设备部