信息系統(tǒng)安全資質(zhì)評審(三級)系統(tǒng)建設(shè)安全設(shè)計方案模板

1、系統(tǒng)建設(shè)安全設(shè)計內(nèi)部公開XX單位網(wǎng)絡(luò)安全及監(jiān)控系統(tǒng)工程系統(tǒng)建設(shè)安全設(shè)計（模板）建設(shè)單位： 承建單位： 日期：XXXX年XX月XX日版本控制頁序號狀態(tài)修改描述版本日期作者1創(chuàng)建V1.0XXXX年X月X日狀態(tài)：創(chuàng)建、修訂、作廢目錄第一章項目背景4第二章客戶需求42.1 項目功能需求42.2項目性能需求42.3 項目安全需求42.4網(wǎng)絡(luò)設(shè)備安全需求52.5數(shù)據(jù)安全需求62.6傳輸安全需求62.7備份與恢復需求6第三章項目概要設(shè)計63.1 系統(tǒng)總體設(shè)計63.2 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計133.3 安全架構(gòu)及配置方案173.4 災備實施方案19第四章系統(tǒng)測試方案19第一章 項目背景XX單位計劃對公司內(nèi)部進行網(wǎng)絡(luò)

2、安全升級改造，增加部分監(jiān)控攝像槍對部分公司區(qū)域進行安全防控等；由于公司原網(wǎng)絡(luò)出口缺少高性能的網(wǎng)絡(luò)安全設(shè)備，對于公司內(nèi)部的重要應用系統(tǒng)及數(shù)據(jù)的防護不足，此次項目建設(shè)要從整體上解決公司網(wǎng)絡(luò)安全的隱患。第二章 客戶需求2.1項目功能需求客戶在本項目中主要的需求有：1. 新建一套視頻監(jiān)控系統(tǒng)，對關(guān)鍵通道位置實現(xiàn)監(jiān)控；2. 采用網(wǎng)絡(luò)安全設(shè)備，公司網(wǎng)絡(luò)出口進行安全防護。2.2項目性能需求1. 視頻監(jiān)控系統(tǒng)達到1080P高清，而且視頻存儲時長XX天；2. 網(wǎng)絡(luò)安全設(shè)備滿足XXX人同時并發(fā)連接。2.3項目安全需求2.3.1客戶需求描述(可參考需求分析報告的部分內(nèi)容，按設(shè)計修改)安全技術(shù)實現(xiàn)要求網(wǎng)絡(luò)建設(shè)具有統(tǒng)一

3、全網(wǎng)的安全控制措施和安全監(jiān)測手段，對內(nèi)網(wǎng)進行基于IP和設(shè)備的安全監(jiān)管，進一步規(guī)范IP地址的應用，集中網(wǎng)絡(luò)管理，實施分級維護；對外網(wǎng)實現(xiàn)虛擬通道、虛擬設(shè)備、虛擬IP管理，并具有強的數(shù)據(jù)交換能力實現(xiàn)環(huán)保信息網(wǎng)絡(luò)的大集成，考慮到環(huán)境應急需求，積極開展網(wǎng)絡(luò)綜合應用，在全局逐步開通IP業(yè)務(wù)和視頻監(jiān)控系統(tǒng)，為環(huán)保綜合平臺發(fā)展提供良好的網(wǎng)絡(luò)環(huán)境。各接入節(jié)點之間的通訊要經(jīng)過核心交換設(shè)備進行轉(zhuǎn)發(fā)，采用按照行政機構(gòu)組織模式和業(yè)務(wù)流程組網(wǎng)的方式，實施起來比較容易，管理層次比較清晰，故障容易定位，后期維護工作量較小。整個網(wǎng)絡(luò)遵循集中監(jiān)控、統(tǒng)一管理的原則，在網(wǎng)絡(luò)中實施統(tǒng)一策略的安全防護體系，可以對各應用系統(tǒng)的進行安全隔

4、離、訪問控制，對外連接（專線接入、撥號接入等）進行身份認證、訪問控制、數(shù)據(jù)完整性和審計等安全指標審查，提高了應用系統(tǒng)的安全性。2.3.2網(wǎng)絡(luò)管理需求選的網(wǎng)管平臺也要滿足如下需求：(1) 中文化圖形界面，易管理操作；(2) 網(wǎng)管系統(tǒng)可分層、分地域、集中或分散設(shè)置，問題可以分級處理；(3) 應具有配置管理、性能管理、故障管理、計費管理和安全管理；包括通過圖形方式監(jiān)控網(wǎng)絡(luò)拓撲和節(jié)點運行狀況、網(wǎng)絡(luò)信息流量、資源訪問以及運行資料的統(tǒng)計與分析，圖形化操作一目了然，方便快捷；(4) 應具有對其進行二次開發(fā)的工具和軟件，滿足功能擴展的需要；(5) 應支持主流網(wǎng)管協(xié)議；(6) 應保證網(wǎng)管軟件的升級及兼容性；(7

5、) 支持SNMP協(xié)議；(8) 支持集中和分布網(wǎng)絡(luò)管理模式，并能靈活設(shè)置管理方式，能對各類網(wǎng)絡(luò)設(shè)備進行管理。2.4網(wǎng)絡(luò)設(shè)備安全需求監(jiān)控中心的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備需遵照以下安全規(guī)范：1） 網(wǎng)絡(luò)管理員定期查看網(wǎng)絡(luò)設(shè)備軟件安全漏洞聲明，并及時修補漏洞。2）將網(wǎng)絡(luò)設(shè)備中未使用的端口關(guān)閉。3） 網(wǎng)絡(luò)設(shè)備需設(shè)置雙重密碼，密碼選用需符合密碼規(guī)則。每臺網(wǎng)絡(luò)設(shè)備使用不同密碼，且至少90天改變一次。4） 網(wǎng)絡(luò)設(shè)備需禁止以下服務(wù)：UDP服務(wù)、源路由、以瀏覽器方式修改設(shè)備配置、 IP直接廣播以及代理地址解析。5） 網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理SNMP共同體名稱不得為缺省配置，且符合密碼規(guī)范。在不需遠程配置的網(wǎng)絡(luò)設(shè)備上，只允許SNMP

6、讀方式接入，且需接入列表限制接入的源IP地址。6） 在網(wǎng)絡(luò)設(shè)備終端和虛擬終端端口上配置密碼和超時限制。7）網(wǎng)絡(luò)設(shè)備需向日志記錄服務(wù)器發(fā)出報警信息。信息需顯示在終端窗口或日志紀錄服務(wù)器。2.5數(shù)據(jù)安全需求對于數(shù)據(jù)安全的考慮在于防止泄露和人為惡意破壞，此類威脅的對策是采用嚴格的用戶管理機制和統(tǒng)一的防病毒軟件。為防止數(shù)據(jù)丟失，應進行有效的數(shù)據(jù)備份，其中包括對操作系統(tǒng)、應用軟件和數(shù)據(jù)庫定期的停機備份，在線的聯(lián)機備份，日志備份，升級備份等。2.6傳輸安全需求監(jiān)控中心可以采用SSL加密傳輸提高安全性。用戶身份認證，采用Windows集成的域用戶身份認證方式。在管理上設(shè)置強密碼設(shè)置，包括必須包含非字母數(shù)字、

7、必須定期更改等管理策略。用戶數(shù)據(jù)的訪問，與應用系統(tǒng)的權(quán)限設(shè)置相關(guān)，由應用系統(tǒng)的權(quán)限管理負責。2.7備份與恢復需求監(jiān)控中心需要每周7天，一天24小時運行。相應地設(shè)計使用合適的維護或災難恢復功能，并指定日常的備份計劃。并將停機時間和數(shù)據(jù)損失降至最小。對于監(jiān)控中心，備份和恢復的主要內(nèi)容是數(shù)據(jù)庫，其次是應用程序的執(zhí)行代碼、注冊表數(shù)據(jù)、Web應用程序以及相關(guān)文檔。第三章 項目概要設(shè)計3.1系統(tǒng)總體設(shè)計3.1.1 視頻監(jiān)控系統(tǒng)設(shè)計系統(tǒng)結(jié)構(gòu)拓撲圖此處插入網(wǎng)絡(luò)拓撲圖及各系統(tǒng)設(shè)備連接圖；系統(tǒng)組成模塊視頻監(jiān)控系統(tǒng)由前端監(jiān)控探頭、傳輸鏈路、監(jiān)控中心(存儲、控制及顯示等）構(gòu)成。3.1.1.

8、3系統(tǒng)前端監(jiān)控攝像頭監(jiān)控攝像頭就是系統(tǒng)的眼睛，用它來監(jiān)視各個重要地區(qū)的日常運作。用攝像機來安裝在主要的出入口、內(nèi)部通道、走廊等。為了確保美觀采用半球攝像機。 傳輸鏈路由于客戶單位里需要監(jiān)控的重要地區(qū)比較分散，并且距離較遠，考慮到高標準的視頻數(shù)據(jù)，主干道如碼頭到監(jiān)控室采用光纖，近距離的用超五類非屏蔽雙絞線。電源線路可采用RVV2*1.0。主干線路采用千兆光纜傳輸。（按實際情況修改） 攝像槍 （按實際設(shè)備參數(shù)修改）型號型號（攝像槍型號）名稱XXX萬星光級1/2.7”CMOSICR日夜型半球型網(wǎng)絡(luò)攝像機攝像機最小照度0.005Lux(F1.2,AGCON),0Luxwit

9、hIR慢快門支持鏡頭接口類型M12鏡頭4mm,水平視場角79(6mm,8mm可選)傳感器類型1/2.7ProgressiveScanCMOS快門1/3秒至1/100,000秒調(diào)整角度水平:0360;垂直:075;旋轉(zhuǎn):0360日夜轉(zhuǎn)換模式ICR紅外濾片式寬動態(tài)范圍120dB數(shù)字降噪3D數(shù)字降噪壓縮標準視頻壓縮標準H.265/H.264/MJPEGH.265編碼類型MainProfile視頻壓縮碼率32Kbps8Mbps圖像最大圖像尺寸25601920幀率50Hz:25fps(25601440,19201080,1280720)第三碼流分辨率與幀率獨立于主碼流設(shè)置，最高支持：50Hz:1fps(

10、704576)圖像設(shè)置走廊模式,飽和,亮度,對比度,銳度，AGC，白平衡通過客戶端或者瀏覽器可調(diào)背光補償支持,可選擇區(qū)域日夜轉(zhuǎn)換方式自動，定時感興趣區(qū)域ROI支持三碼流分別設(shè)置1個固定區(qū)域SMART偵測行為分析越界偵測,區(qū)域入侵偵測,進入/離開區(qū)域偵測,徘徊偵測,人員聚集偵測,快速運動偵測,停車偵測,物品遺留/拿取偵測異常偵測場景變更偵測，虛焦偵測識別檢測支持人臉偵測網(wǎng)絡(luò)功能接口協(xié)議ONVIF(PROFILES,PROFILEG),CGI,ISAPI,GB28181,Eome存儲功能支持MicroSD/SDHC/SDXC卡(128G)斷網(wǎng)本地存儲,NAS(NFS,SMB/CIFS均支持)智能報

11、警移動偵測,遮擋報警,網(wǎng)線斷,IP地址沖突,非法登錄通用功能一鍵恢復,防閃爍,三碼流,心跳,鏡像,密碼保護,視頻遮蓋,水印支持協(xié)議TCP/IP,ICMP,HTTP,HTTPS,FTP,DHCP,DNS,DDNS,RTP,RTSP,RTCP,PPPoE,NTP,UPnP,SMTP,SNMP,IGMP,802.1X,QoS,IPv6，UDP，Bonjour接口及功能通訊接口1個RJ4510M/100M自適應以太網(wǎng)口一般規(guī)范電源接口類型圓頭電源接口工作溫度和濕度-3060,濕度小于95%(無凝結(jié))電源供應DC12V25%/PoE(802.3af)；帶D型號不支持PoE功耗非PoE：5.5WMAXPo

12、E：7WMAX防護等級IP67尺寸（mm）127.3*95.9mm重量裸機：450g帶包裝：600g紅外照射距離最遠可達30米備注*須另備DC12V5.5mm電源基本參數(shù)產(chǎn)品類別：全景糾錯糾錯配置200萬像素逐行掃描圖像傳感器 H.264視頻編碼，1080P高清分辨率 造型美觀，具有三軸調(diào)節(jié)功能，方便工程安裝 符合IK10+級防暴設(shè)計，符合IP66防護等級 支持0.003Lux超低照度成像 采用高效紅外燈，使用壽命長，照射距離可達40米（-IR1、IR2型號） 支持ICR紅外濾片式自動切換，實現(xiàn)真正的日夜監(jiān)控 支持寬動態(tài)，適合逆光環(huán)境監(jiān)控 支持雙向音頻及報警接口 支持3D數(shù)字降噪，圖像清晰細膩

13、 支持豎屏模式，有效提升監(jiān)控區(qū)域 支持強光抑制、背光補償、自動電子快門功能 支持ROI、編碼區(qū)域裁剪功能，支持超低碼流 支持8種攝像機場景模式，具備良好的場景適應性支持模擬輸出，方便安裝調(diào)試 支持RS485控制功能 支持TF卡本地存儲 支持雙碼流糾錯 8口硬盤錄像機 （按實際設(shè)備參數(shù)修改）輸入網(wǎng)絡(luò)視頻輸入8路網(wǎng)絡(luò)視頻接入帶寬80Mbps網(wǎng)絡(luò)視頻接入?yún)f(xié)議HIKVISION、ACTi、ARECONT、AXIS、BOSCH、BRICKCOM、CANON、HUNT、ONVIF（版本支持2.5）、PANASONIC、PELCO、RTSP、SAMSUNG、SANYO、SONY、VIVOTEK

14、、ZAVIO視音頻輸出HDMI輸出1路HDMI分辨率：4K(3840*2160)/30Hz、1920*1080/60Hz、1600*1200/60Hz、1280*1024/60Hz、1280*720/60Hz、1024*768/60HzVGA輸出1路VGA分辨率:1920*1080/60Hz、1280*1024/60Hz、1280*720/60Hz、1024*768/60Hz預覽分割1/4/6/8/9畫面視音頻編解碼參數(shù)錄像分辨率8MP/6MP/5MP/4MP/3MP/1080P/UXGA/720P/VGA/4CIF/2CIF/CIF/QCIF同步回放8路錄像管理錄像模式手動錄像、定時錄像、事

15、件錄像、移動偵測錄像、報警錄像、動測或報警錄像、動測且報警錄像回放模式即時回放、常規(guī)回放、事件回放、標簽回放、外部文件回放、日志回放備份模式常規(guī)備份、事件備份、錄像剪輯備份硬盤驅(qū)動器類型1個SATA接口最大容量每個接口支持容量最大6TB的硬盤外部接口語音對講輸入1個，RCA接口（電平：2.0Vp-p，阻抗：1k）網(wǎng)絡(luò)接口1個，RJ4510M/100M/1000M自適應以太網(wǎng)口USB接口前1個USB2.0；后1個USB2.0網(wǎng)絡(luò)管理網(wǎng)絡(luò)協(xié)議UPnP（即插即用）、NTP（網(wǎng)絡(luò)校時）、SADP（設(shè)備網(wǎng)絡(luò)搜索）、PPPoE（撥號上網(wǎng)）、DHCP（自動獲取IP地址）其他電源DC12V工作溫度-10-55

16、工作濕度10-90功耗（不含硬盤）10W尺寸315mm（寬）240mm（深）48mm（高）重量（不含硬盤）1Kg3.2 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計3.2.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計安全設(shè)計其網(wǎng)絡(luò)結(jié)構(gòu)圖如下圖所示：此處插入網(wǎng)絡(luò)拓撲圖1：網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)絡(luò)設(shè)備遵照以下安全規(guī)范：1） 網(wǎng)絡(luò)管理員定期查看網(wǎng)絡(luò)設(shè)備軟件安全漏洞聲明，并及時修補漏洞。2）將網(wǎng)絡(luò)設(shè)備中未使用的端口關(guān)閉。3） 網(wǎng)絡(luò)設(shè)備需設(shè)置雙重密碼，密碼選用需符合密碼規(guī)則。每臺網(wǎng)絡(luò)設(shè)備使用不同密碼，且至少90天改變一次。4） 網(wǎng)絡(luò)設(shè)備需禁止以下服務(wù)：UDP服務(wù)、源路由、以瀏覽器方式修改設(shè)備配置、 IP直接廣播以及代理地址解析。5） 網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理SNMP共同體名

17、稱不得為缺省配置，且符合密碼規(guī)范。在不需遠程配置的網(wǎng)絡(luò)設(shè)備上，只允許SNMP讀方式接入，且需接入列表限制接入的源IP地址。6） 在網(wǎng)絡(luò)設(shè)備終端和虛擬終端端口上配置密碼和超時限制。7）網(wǎng)絡(luò)設(shè)備需向日志記錄服務(wù)器發(fā)出報警信息。信息需顯示在終端窗口或日志紀錄服務(wù)器。3.2.2 網(wǎng)絡(luò)安全服務(wù)器應部署在XX單位內(nèi)部網(wǎng)上。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)建設(shè)的重要環(huán)節(jié)，網(wǎng)絡(luò)安全將考慮以下方面：1)在網(wǎng)絡(luò)設(shè)計時考慮將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分隔，增加專用的硬件防火墻設(shè)備，防止外部攻擊和惡意入侵，對訪問數(shù)據(jù)進行過濾和控制。2)在內(nèi)部網(wǎng)絡(luò)中將專用網(wǎng)分開，設(shè)立專網(wǎng)專用，對于用戶進行分層管理防止人為的數(shù)據(jù)破壞。對于系統(tǒng)應用服務(wù)器的訪問控制

18、，采用更強定制的安全控制。將此類重要服務(wù)器設(shè)置為獨立的VLAN及網(wǎng)段。通過一臺專用的硬件防火墻對該網(wǎng)段進行保護，提供安全保護的同時，提供更好的可靠性。而在系統(tǒng)服務(wù)器網(wǎng)段內(nèi)部，也可實施內(nèi)部的訪問控制，即同一VLAN內(nèi)的訪問控制。3)用戶接入的控制，采用系統(tǒng)的安全措施，包括數(shù)字證書和SSL方式等。3.2.3網(wǎng)絡(luò)管理為了保證網(wǎng)絡(luò)能夠正常，穩(wěn)定的運行，所選的網(wǎng)管平臺可滿足如下需求： l 中文化圖形界面，易管理操作； l 網(wǎng)管系統(tǒng)可分層、分地域、集中或分散設(shè)置，問題可以分級處理； l 具有配置管理、性能管理、故障管理、計費管理和安全管理；包括通過圖形方式監(jiān)控網(wǎng)絡(luò)拓撲和節(jié)點運行狀況、網(wǎng)絡(luò)信息流量、資源訪問

19、以及運行資料的統(tǒng)計與分析，圖形化操作一目了然，方便快捷； l 具有對其進行二次開發(fā)的工具和軟件，滿足功能擴展的需要； l 支持主流網(wǎng)管協(xié)議； l 保證網(wǎng)管軟件的升級及兼容性； l 支持SNMP協(xié)議； 支持集中和分布網(wǎng)絡(luò)管理模式，并能靈活設(shè)置管理方式，能對各類網(wǎng)絡(luò)設(shè)備進行管理。3.2.4數(shù)據(jù)安全1. 對于數(shù)據(jù)安全的考慮在于防止泄露和人為惡意破壞，此類威脅的對策是采用嚴格的用戶管理機制和統(tǒng)一的防病毒軟件。為防止數(shù)據(jù)丟失，會進行有效的數(shù)據(jù)備份，其中包括對操作系統(tǒng)、應用軟件和數(shù)據(jù)庫定期的停機備份，在線的聯(lián)機備份，日志備份，升級備份等。2.在非安全網(wǎng)與安全網(wǎng)絡(luò)之間增加防火墻設(shè)備，對非安全業(yè)務(wù)進行策略性隔

20、離；確保安全網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)安全；3.2.5產(chǎn)品參數(shù) 入侵檢測系統(tǒng) （按實際設(shè)備參數(shù)修改）基本參數(shù)設(shè)備型號：機架式；1U；低能耗。糾錯主要參數(shù)交換機類型入侵檢測與管理系統(tǒng)應用層級七層端口類型千兆GE電接口，千兆SFP接口，萬兆接口端口數(shù)1個RJ-45 Console口，1個10/100/1000 Base-T帶外管理口，4個10/100/1000 Base-T，4個SFP接口IPV6支持支持背板帶寬10 Gbps擴展模塊插槽3個監(jiān)聽口擴展槽位包轉(zhuǎn)發(fā)率每秒新建連接數(shù)10萬，最大并發(fā)連接數(shù)400萬。路由功能無VLAN無Mac地址表無可堆疊無網(wǎng)絡(luò)協(xié)議40種，如ARP、AUTH、BT、CH

21、ARGEN、DNS、ECHO、ETHER、FINGER、FTP、HTTP、ICMP、IGMP、IMAP、IP、IRC、MSNP、MSPROXY、MSRPC、NETBIOS-SSN、NFS、NNTP、NTALK、PCT、PMAP、POP3、Q931、RIP、RLOGIN、RTSP、SMTP、SNMP、SUNRPC、TCP、TCQ、TDS、TELNET、TFTP、TNS、UDP、WHOIS網(wǎng)管功能無其它特性天闐控制中心軟件一套，質(zhì)保期內(nèi)（自硬件產(chǎn)品發(fā)貨之日起，為期15個月）免費維修，含1個監(jiān)聽口授權(quán)，含第一年的特征庫升級授權(quán)。設(shè)備實物圖： 此處插入設(shè)備實物圖 防火墻（按實際設(shè)備參數(shù)修改）基本參數(shù)產(chǎn)品型號：產(chǎn)品類別：機架式糾錯糾錯配置處理器 ARM9 166MHz產(chǎn)品內(nèi)存16MB用戶數(shù)量 50臺電源電壓 DC 9V，850mA糾錯設(shè)備實物圖：3.3 安全架構(gòu)及配置方案3.3.1安全設(shè)備