監(jiān)獄監(jiān)控項目安全體系建設(shè)設(shè)計方案目錄1項目概述1.1項目背景1.2項目目標1.3項目設(shè)計依據(jù)2安全需求分析3方案設(shè)計3.1.1網(wǎng)絡(luò)架構(gòu)3.1.2區(qū)域邊界訪問控制3.1.3入侵防御4網(wǎng)神設(shè)計方案的優(yōu)點說明5產(chǎn)品清單1項目概述1.1項目背景大力

監(jiān)獄監(jiān)控項目

安全體系建設(shè)

設(shè)計方案

目 錄

1 項目概述

1.1 項目背景

1.2 項目目標

1.3 項目設(shè)計依據(jù)

2 安全需求分析

3 方案設(shè)計

3.1.1 網(wǎng)絡(luò)架構(gòu)

3.1.2 區(qū)域邊界訪問控制

3.1.3 入侵防御

4 網(wǎng)神設(shè)計方案的優(yōu)點說明

5 產(chǎn)品清單

1 項目概述

1.1 項目背景

大力推進監(jiān)獄信息化建設(shè),是司法部繼監(jiān)獄體制改革和監(jiān)獄布局調(diào)整后又一重大戰(zhàn)略舉措。面對日益嚴峻復(fù)雜的監(jiān)管形勢，需要我們加大對安全防范設(shè)施建設(shè)的投入，通過廣泛地運用信息技術(shù)，提高監(jiān)獄物防、技防能力，建立監(jiān)管安全防范的長效管理機制，樹立先進的管理意識，掌握先進的管理方法和管理手段，提升監(jiān)獄安全防范和應(yīng)急處置指揮能力，推進監(jiān)獄執(zhí)法工作的的標準化、規(guī)范化建設(shè)，確保監(jiān)獄監(jiān)管秩序的持續(xù)穩(wěn)定。

隨著監(jiān)獄系統(tǒng)網(wǎng)絡(luò)化的建設(shè)需求，信息共享、多級管理、遠程監(jiān)控成為監(jiān)獄管理部門迫切需要解決的問題。建設(shè)監(jiān)獄網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)就是采用最新的視頻監(jiān)控技術(shù)，依托數(shù)據(jù)網(wǎng)絡(luò)，對監(jiān)控圖像進行網(wǎng)絡(luò)傳送，同時整合周界防護、報警、廣播對講等系統(tǒng)，所建設(shè)各系統(tǒng)的控制、數(shù)據(jù)、音頻等信號均通過網(wǎng)絡(luò)平臺進行數(shù)據(jù)的傳輸，以達到信息共享、遠程監(jiān)控和管理的目的。建設(shè)基于IP網(wǎng)絡(luò)傳輸?shù)谋O(jiān)獄數(shù)字安防智能監(jiān)控系統(tǒng)，以科技的手段減低獄管部門的工作強度，保證監(jiān)獄安全，提高對犯人的監(jiān)督和改造效果。

為貫徹落實監(jiān)獄安全長效機制工作體系，不斷增強監(jiān)管工作的科技含量，實現(xiàn)“向科技要警力”，建立集監(jiān)視、周界防范、報警、人員定位及各子系統(tǒng)聯(lián)動一體的多層次、全方位、立體化的監(jiān)獄安全防范系統(tǒng)，促進監(jiān)管工作的持續(xù)安全穩(wěn)定。

因此，我省監(jiān)獄系統(tǒng)按照“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一設(shè)計、統(tǒng)籌建設(shè)”的原則，開展海南省監(jiān)獄監(jiān)控安防系統(tǒng)建設(shè)工作。

1.2 項目目標

1、完善監(jiān)獄基礎(chǔ)骨干網(wǎng)絡(luò)和機房的建設(shè)工作。搭建骨干網(wǎng)絡(luò)，建設(shè)數(shù)據(jù)中心機房，為信息系統(tǒng)的數(shù)據(jù)存儲、傳輸、交換、安全提供基礎(chǔ)設(shè)施和保障。

2、完成監(jiān)獄視頻監(jiān)控系統(tǒng)建設(shè)。視頻監(jiān)控系統(tǒng)作為監(jiān)獄監(jiān)控安防系統(tǒng)建設(shè)的核心內(nèi)容，堅持高標準、高要求的原則，重點部位采用1080P（1920×1080P），一般部位采用720P（1280×720P）的高清視頻，建成覆蓋全監(jiān)獄的視頻監(jiān)控系統(tǒng)，滿足監(jiān)管改造工作需求。

以科學(xué)發(fā)展觀和構(gòu)建社會主義和諧社會理論為指導(dǎo)，全面貫徹“統(tǒng)一標準，整體部署，逐步完善，信息共享”，貫徹建設(shè)力度和社會可接受程度相結(jié)合、探索創(chuàng)新和穩(wěn)步推進相結(jié)合、服務(wù)監(jiān)獄業(yè)務(wù)和服務(wù)社會相結(jié)合的原則，體現(xiàn)“實用，可靠，經(jīng)濟，科學(xué)”的指導(dǎo)思想。以規(guī)范技術(shù)應(yīng)用為重點，以增強技術(shù)設(shè)施的實際應(yīng)用效能為核心，通過技術(shù)集成，建立和完善覆蓋面廣、資源共享、綜合應(yīng)用的各級安防系統(tǒng)的技術(shù)平臺。

1.3 項目設(shè)計依據(jù)

系統(tǒng)規(guī)劃設(shè)計必須按照國際、國家和本地區(qū)的有關(guān)標準和規(guī)范進行。本設(shè)計將依據(jù)和參照以下的設(shè)計規(guī)范和要求進行：

? 《全國監(jiān)獄信息化建設(shè)規(guī)劃》；

? 《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》GB/T 28181-2011

? 《公共安全視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范》海南省地方標準 DB46/T 258-2013

? 《智能建筑設(shè)計標準》GB/T 50314-2007

? 《建筑工程項目管理規(guī)范》GB/T 50326-2001

? 《綜合布線系統(tǒng)設(shè)計標準》GB50311-2007

? 《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》 GB/T 50311-2000

? 《電子信息系統(tǒng)機房設(shè)計規(guī)范》GB 50174-2008

? 《電子計算機場地通用規(guī)范》（GB/T 2887-2000）

? 《通風(fēng)與空調(diào)工程施工質(zhì)量驗收規(guī)范》GB 50243-2002

? 《火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范》GB 50166-2007

? 《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》GB 50343-2004

? 《安全防范工程技術(shù)規(guī)范》GB 50348

? 《入侵報警工程設(shè)計規(guī)范》GA/T 77-94

? 《視頻安防監(jiān)控系統(tǒng)工程設(shè)計規(guī)范》 GB 50395-2007

? 《視頻安防監(jiān)控系統(tǒng)技術(shù)要求》GA/T 367-200

? 《中華人民共和國計算機信息系統(tǒng)安全保護條例》

? 《計算機信息系統(tǒng)安全保護等級劃分準則》GB 17859-1999

? 其它適用于本項目設(shè)計的有關(guān)國家標準和規(guī)范

? EIA/TIA568A，EIA/TIA569A國際電子工業(yè)協(xié)會通信線纜、通訊路徑和空間標準；

? ISO/ICE/IS11801結(jié)構(gòu)化布線標準；

? ISO TCP/IP協(xié)議標準；

? ISO/I 13818 MPEG-2協(xié)議標準；

? ISO IGMP/CGMP協(xié)議標準；

? 10base-T，100base-TX 標準 IEEE802.3，IEEE802.3U；

? 《中華人民共和國通信行業(yè)標準》（YD/T926）；

2 安全需求分析

保護內(nèi)部重要視頻資源不被泄密

1) 防止內(nèi)部人員未經(jīng)許可非法獲得重要視頻信息資源；

2) 防止外部非法入侵者非法盜取重要視頻信息資源；

3) 保護重要視頻信息的合法使用；

4) 實現(xiàn)重要視頻類資源使用權(quán)限、使用范圍、使用期限的靈活實時安全可控。

3 方案設(shè)計

3.0.1 網(wǎng)絡(luò)架構(gòu)

3.0.1.1 網(wǎng)絡(luò)架構(gòu)設(shè)計

為了加強對監(jiān)獄監(jiān)控系統(tǒng)系統(tǒng)實現(xiàn)良好的安全保障，通過在省監(jiān)獄管理部署網(wǎng)神視頻網(wǎng)閘、防火墻、入侵防御；地市監(jiān)獄各部署防火墻+入侵防御方式就行有效、快速安全防護；省中心機房與部分監(jiān)獄機房選用運營商專線，對于相對偏僻較遠地方選用防火墻IPSEC VPN建立隧道；通過2種方式實現(xiàn)省監(jiān)獄管理局與和監(jiān)獄直接互聯(lián)互通；建議采用如下方式構(gòu)建網(wǎng)絡(luò)架構(gòu)：

圖 31：網(wǎng)絡(luò)架構(gòu)設(shè)計示意圖

在網(wǎng)絡(luò)架構(gòu)的建設(shè)過程中，要充分考慮到信息系統(tǒng)的發(fā)展及后期建設(shè)的需求，在設(shè)備的采購及安全域的構(gòu)建與劃分時，就要為后期的發(fā)展與建設(shè)做好準備，如產(chǎn)品的功能、性能至少要滿足未來3-5年的業(yè)務(wù)發(fā)展要求，產(chǎn)品的接品、規(guī)格要滿足冗余部署的需要。

網(wǎng)神防火墻提供良好的人機管理界面和功能，讓IT管理維護中節(jié)省可觀的內(nèi)部管理和支持成本。

網(wǎng)神支持對VPN隧道中的流量進行安全檢測，防止木馬和病毒通過VPN隧道傳播，全方位保護企業(yè)網(wǎng)絡(luò)安全。

3.0.2 區(qū)域邊界訪問控制

3.0.2.1 區(qū)域邊界訪問控制設(shè)計

區(qū)域邊界的訪問控制防護可以通過利用各區(qū)域邊界區(qū)交換機設(shè)置ACL列表實現(xiàn)，但該方法不便于維護管理，并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮，可以通過在關(guān)鍵網(wǎng)絡(luò)區(qū)域邊界部署專業(yè)的訪問控制設(shè)備（如防火墻、安全網(wǎng)閘產(chǎn)品），實現(xiàn)對區(qū)域邊界的訪問控制。訪問控制措施需滿足以下功能需求：

l 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

l 應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

l 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。

各安全區(qū)域都應(yīng)針對自身業(yè)務(wù)特點設(shè)定訪問控制策略，下表表述了各安全區(qū)域之間的訪問控制關(guān)系，在對各網(wǎng)絡(luò)安全區(qū)域設(shè)置安全策略時，以此為參考原則進行設(shè)置：

針對業(yè)務(wù)特點和功能需求，各區(qū)域邊界的訪問控制措施如下：

(一) 省監(jiān)獄管理局中心機房

在監(jiān)獄管理局中心機房部署防火墻、視頻網(wǎng)閘系統(tǒng)，并實現(xiàn)以下安全功能：

1. 通過防火墻實現(xiàn)與各地市之間監(jiān)控系統(tǒng)業(yè)務(wù)雙向訪問控制；

2. 通過防火墻實現(xiàn)地市之間監(jiān)控系統(tǒng)業(yè)務(wù)以外訪問控制，關(guān)閉不必要端口；

3. 通過防火墻實現(xiàn)應(yīng)用層協(xié)議命令級的訪問控制；

4. 通過防火墻實現(xiàn)長鏈接的管理與控制。

5. 通過視頻網(wǎng)閘可以實現(xiàn)與各地市之間數(shù)據(jù)交換，并實現(xiàn)監(jiān)控數(shù)據(jù)防泄漏；

(二) 地市各監(jiān)獄機房

在各地市各監(jiān)獄機房部署防火墻系統(tǒng)，并實現(xiàn)以下安全功能：

1. 通過防火墻實現(xiàn)與省監(jiān)獄管理局之間監(jiān)控系統(tǒng)業(yè)務(wù)雙向訪問控制；

2. 通過防火墻實現(xiàn)與省監(jiān)獄管理局之間監(jiān)控系統(tǒng)業(yè)務(wù)以外訪問控制，關(guān)閉不必要端口；

3. 通過防火墻實現(xiàn)應(yīng)用層協(xié)議命令級的訪問控制；

4. 通過防火墻實現(xiàn)長鏈接的管理與控制；

3.0.3 入侵防御

3.0.3.1 入侵防御設(shè)計

在各網(wǎng)絡(luò)區(qū)域的邊界處，有必要通過部署入侵檢測設(shè)備對網(wǎng)絡(luò)攻擊行為進行監(jiān)測，并及時產(chǎn)生報警和詳盡的報告。具體功能設(shè)計如下：

l 在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

l 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。

4 網(wǎng)神設(shè)計方案的優(yōu)點說明

網(wǎng)神信息技術(shù)（北京）股份有限公司作為一家“勵志成為國際信息安全中堅力量”的專業(yè)信息安全公司，為用戶提供全面的網(wǎng)絡(luò)及信息安全解決方案、服務(wù)及產(chǎn)品，致力于攜手用戶共同解決信息安全建發(fā)展道路上的各類問題。

網(wǎng)神公司為用戶提供設(shè)計服務(wù)，網(wǎng)神公司設(shè)計的《安全體系建設(shè)設(shè)計方案》的主要優(yōu)勢如下：

1、 網(wǎng)神公司的設(shè)計方案是等級保護《基本要求》和《安全設(shè)計技術(shù)要求》的有效結(jié)合，是等級保護基線要求與體系框架設(shè)計的有效統(tǒng)一。立足于用戶信息系統(tǒng)各業(yè)務(wù)實際安全的需求，以建立的統(tǒng)一安全策略為指引，既解決了等級保護保護建設(shè)工作的合規(guī)性，又保證了安全體系建設(shè)的完整性、先進性與適用性。

2、 網(wǎng)神公司是我國最早致力等級保護制度落實工作的專業(yè)安全公司，有著豐富的成功案例積累。設(shè)計方案是網(wǎng)神公司經(jīng)過長期等級保護建設(shè)工作的經(jīng)驗沉淀，是網(wǎng)神公司多年參與等級保護建設(shè)設(shè)計工作的寶貴知識積累。通過方案，使用戶清晰、便捷、優(yōu)異的實現(xiàn)信息系統(tǒng)等級保護建設(shè)的設(shè)計規(guī)劃，全面達到等級保護基本要求的安全保護能力。

3、 網(wǎng)神公司的設(shè)計方案是以信息系統(tǒng)業(yè)務(wù)安全的視角審視整體安全體系建設(shè)，將信息系統(tǒng)等級保護建設(shè)的要求真正落實到業(yè)務(wù)系統(tǒng)安全建設(shè)中，是充分結(jié)合實際安全需求的、全面符合等級保護建設(shè)要求的、戰(zhàn)略策略高度統(tǒng)一的解決方案。

4、 網(wǎng)神公司的設(shè)計方案為用戶提供了全新的安全運行體系的建設(shè)思路，是對等級保護制度在信息系統(tǒng)生命周期中持續(xù)開展的準確詮釋，是保障安全建設(shè)成果落實并深化進日常安全運行與維護工作中的根基，是有效提升安全運維工作水平的前提保障。

5 產(chǎn)品清單

序號

名稱

型號

規(guī)格

單位

數(shù)量

1

省級防火墻

SecGate 3600 NSG7500-TV10M

網(wǎng)神下一代防火墻，多核AMP+架構(gòu)，網(wǎng)絡(luò)處理能力20G，并發(fā)連接≥350萬（最高可達600萬），每秒新建連接27萬/秒，標準2U機箱，冗余電源；標配主機帶1個Console口、1個HA接口，1個管理接口，支持液晶屏，另有4個擴展板卡插槽，可擴展8個萬兆接口模塊（可選不同模塊板卡組合）；報價中包括三年硬件維修服務(wù)

臺

1

NSG7500-A-4T4S

4口10/100/1000base-T和4口千兆SFP板卡

塊

1

2

省中心入侵防御系統(tǒng)

SecIPS 3600 P9000-TG63M

PM-A-8T

模塊化IPS，2500M吞吐；2U機箱，冗余電源，液晶屏；2個10/100/1000M自適應(yīng)電口（其中1個管理口、1個HA口）；4個空擴展槽，至少可擴展8個萬兆接口，至少提供8個千兆接口；報價中含三年硬件維修.

臺

1

業(yè)務(wù)擴展板卡

塊

1

3

省中心視頻專用網(wǎng)閘

SecSIS 3600 H9000-E046M

高端模塊化主機，多核架構(gòu)，3.5U機箱冗余電源，具有液晶顯示面板，內(nèi)外網(wǎng)各6個10/100/1000M base-T端口，4個SFP插槽，2個Console口，2個USB口，支持2個擴展槽位，可擴展4個萬兆接口；視頻吞吐量：900Mbps，2M碼流視頻路數(shù)：400路，4M碼流視頻路數(shù)：200路，8M碼流視頻路數(shù)：100路；軟件功能：視頻模塊；報價含三年標準售后服務(wù)。

臺

1