監(jiān)獄監(jiān)控項(xiàng)目安全體系建設(shè)設(shè)計(jì)方案目錄1項(xiàng)目概述1.1項(xiàng)目背景1.2項(xiàng)目目標(biāo)1.3項(xiàng)目設(shè)計(jì)依據(jù)2安全需求分析3方案設(shè)計(jì)3.1.1網(wǎng)絡(luò)架構(gòu)3.1.2區(qū)域邊界訪問(wèn)控制3.1.3入侵防御4網(wǎng)神設(shè)計(jì)方案的優(yōu)點(diǎn)說(shuō)明5產(chǎn)品清單1項(xiàng)目概述1.1項(xiàng)目背景大力

監(jiān)獄監(jiān)控項(xiàng)目

安全體系建設(shè)

設(shè)計(jì)方案

目 錄

1 項(xiàng)目概述

1.1 項(xiàng)目背景

1.2 項(xiàng)目目標(biāo)

1.3 項(xiàng)目設(shè)計(jì)依據(jù)

2 安全需求分析

3 方案設(shè)計(jì)

3.1.1 網(wǎng)絡(luò)架構(gòu)

3.1.2 區(qū)域邊界訪問(wèn)控制

3.1.3 入侵防御

4 網(wǎng)神設(shè)計(jì)方案的優(yōu)點(diǎn)說(shuō)明

5 產(chǎn)品清單

1 項(xiàng)目概述

1.1 項(xiàng)目背景

大力推進(jìn)監(jiān)獄信息化建設(shè),是司法部繼監(jiān)獄體制改革和監(jiān)獄布局調(diào)整后又一重大戰(zhàn)略舉措。面對(duì)日益嚴(yán)峻復(fù)雜的監(jiān)管形勢(shì)，需要我們加大對(duì)安全防范設(shè)施建設(shè)的投入，通過(guò)廣泛地運(yùn)用信息技術(shù)，提高監(jiān)獄物防、技防能力，建立監(jiān)管安全防范的長(zhǎng)效管理機(jī)制，樹立先進(jìn)的管理意識(shí)，掌握先進(jìn)的管理方法和管理手段，提升監(jiān)獄安全防范和應(yīng)急處置指揮能力，推進(jìn)監(jiān)獄執(zhí)法工作的的標(biāo)準(zhǔn)化、規(guī)范化建設(shè)，確保監(jiān)獄監(jiān)管秩序的持續(xù)穩(wěn)定。

隨著監(jiān)獄系統(tǒng)網(wǎng)絡(luò)化的建設(shè)需求，信息共享、多級(jí)管理、遠(yuǎn)程監(jiān)控成為監(jiān)獄管理部門迫切需要解決的問(wèn)題。建設(shè)監(jiān)獄網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)就是采用最新的視頻監(jiān)控技術(shù)，依托數(shù)據(jù)網(wǎng)絡(luò)，對(duì)監(jiān)控圖像進(jìn)行網(wǎng)絡(luò)傳送，同時(shí)整合周界防護(hù)、報(bào)警、廣播對(duì)講等系統(tǒng)，所建設(shè)各系統(tǒng)的控制、數(shù)據(jù)、音頻等信號(hào)均通過(guò)網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)據(jù)的傳輸，以達(dá)到信息共享、遠(yuǎn)程監(jiān)控和管理的目的。建設(shè)基于IP網(wǎng)絡(luò)傳輸?shù)谋O(jiān)獄數(shù)字安防智能監(jiān)控系統(tǒng)，以科技的手段減低獄管部門的工作強(qiáng)度，保證監(jiān)獄安全，提高對(duì)犯人的監(jiān)督和改造效果。

為貫徹落實(shí)監(jiān)獄安全長(zhǎng)效機(jī)制工作體系，不斷增強(qiáng)監(jiān)管工作的科技含量，實(shí)現(xiàn)“向科技要警力”，建立集監(jiān)視、周界防范、報(bào)警、人員定位及各子系統(tǒng)聯(lián)動(dòng)一體的多層次、全方位、立體化的監(jiān)獄安全防范系統(tǒng)，促進(jìn)監(jiān)管工作的持續(xù)安全穩(wěn)定。

因此，我省監(jiān)獄系統(tǒng)按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一設(shè)計(jì)、統(tǒng)籌建設(shè)”的原則，開展海南省監(jiān)獄監(jiān)控安防系統(tǒng)建設(shè)工作。

1.2 項(xiàng)目目標(biāo)

1、完善監(jiān)獄基礎(chǔ)骨干網(wǎng)絡(luò)和機(jī)房的建設(shè)工作。搭建骨干網(wǎng)絡(luò)，建設(shè)數(shù)據(jù)中心機(jī)房，為信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)、傳輸、交換、安全提供基礎(chǔ)設(shè)施和保障。

2、完成監(jiān)獄視頻監(jiān)控系統(tǒng)建設(shè)。視頻監(jiān)控系統(tǒng)作為監(jiān)獄監(jiān)控安防系統(tǒng)建設(shè)的核心內(nèi)容，堅(jiān)持高標(biāo)準(zhǔn)、高要求的原則，重點(diǎn)部位采用1080P（1920×1080P），一般部位采用720P（1280×720P）的高清視頻，建成覆蓋全監(jiān)獄的視頻監(jiān)控系統(tǒng)，滿足監(jiān)管改造工作需求。

以科學(xué)發(fā)展觀和構(gòu)建社會(huì)主義和諧社會(huì)理論為指導(dǎo)，全面貫徹“統(tǒng)一標(biāo)準(zhǔn)，整體部署，逐步完善，信息共享”，貫徹建設(shè)力度和社會(huì)可接受程度相結(jié)合、探索創(chuàng)新和穩(wěn)步推進(jìn)相結(jié)合、服務(wù)監(jiān)獄業(yè)務(wù)和服務(wù)社會(huì)相結(jié)合的原則，體現(xiàn)“實(shí)用，可靠，經(jīng)濟(jì)，科學(xué)”的指導(dǎo)思想。以規(guī)范技術(shù)應(yīng)用為重點(diǎn)，以增強(qiáng)技術(shù)設(shè)施的實(shí)際應(yīng)用效能為核心，通過(guò)技術(shù)集成，建立和完善覆蓋面廣、資源共享、綜合應(yīng)用的各級(jí)安防系統(tǒng)的技術(shù)平臺(tái)。

1.3 項(xiàng)目設(shè)計(jì)依據(jù)

系統(tǒng)規(guī)劃設(shè)計(jì)必須按照國(guó)際、國(guó)家和本地區(qū)的有關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行。本設(shè)計(jì)將依據(jù)和參照以下的設(shè)計(jì)規(guī)范和要求進(jìn)行：

? 《全國(guó)監(jiān)獄信息化建設(shè)規(guī)劃》；

? 《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》GB/T 28181-2011

? 《公共安全視頻監(jiān)控系統(tǒng)技術(shù)規(guī)范》海南省地方標(biāo)準(zhǔn) DB46/T 258-2013

? 《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》GB/T 50314-2007

? 《建筑工程項(xiàng)目管理規(guī)范》GB/T 50326-2001

? 《綜合布線系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)》GB50311-2007

? 《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》 GB/T 50311-2000

? 《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB 50174-2008

? 《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》（GB/T 2887-2000）

? 《通風(fēng)與空調(diào)工程施工質(zhì)量驗(yàn)收規(guī)范》GB 50243-2002

? 《火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范》GB 50166-2007

? 《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》GB 50343-2004

? 《安全防范工程技術(shù)規(guī)范》GB 50348

? 《入侵報(bào)警工程設(shè)計(jì)規(guī)范》GA/T 77-94

? 《視頻安防監(jiān)控系統(tǒng)工程設(shè)計(jì)規(guī)范》 GB 50395-2007

? 《視頻安防監(jiān)控系統(tǒng)技術(shù)要求》GA/T 367-200

? 《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB 17859-1999

? 其它適用于本項(xiàng)目設(shè)計(jì)的有關(guān)國(guó)家標(biāo)準(zhǔn)和規(guī)范

? EIA/TIA568A，EIA/TIA569A國(guó)際電子工業(yè)協(xié)會(huì)通信線纜、通訊路徑和空間標(biāo)準(zhǔn)；

? ISO/ICE/IS11801結(jié)構(gòu)化布線標(biāo)準(zhǔn)；

? ISO TCP/IP協(xié)議標(biāo)準(zhǔn)；

? ISO/I 13818 MPEG-2協(xié)議標(biāo)準(zhǔn)；

? ISO IGMP/CGMP協(xié)議標(biāo)準(zhǔn)；

? 10base-T，100base-TX 標(biāo)準(zhǔn) IEEE802.3，IEEE802.3U；

? 《中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)》（YD/T926）；

2 安全需求分析

保護(hù)內(nèi)部重要視頻資源不被泄密

1) 防止內(nèi)部人員未經(jīng)許可非法獲得重要視頻信息資源；

2) 防止外部非法入侵者非法盜取重要視頻信息資源；

3) 保護(hù)重要視頻信息的合法使用；

4) 實(shí)現(xiàn)重要視頻類資源使用權(quán)限、使用范圍、使用期限的靈活實(shí)時(shí)安全可控。

3 方案設(shè)計(jì)

3.0.1 網(wǎng)絡(luò)架構(gòu)

3.0.1.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

為了加強(qiáng)對(duì)監(jiān)獄監(jiān)控系統(tǒng)系統(tǒng)實(shí)現(xiàn)良好的安全保障，通過(guò)在省監(jiān)獄管理部署網(wǎng)神視頻網(wǎng)閘、防火墻、入侵防御；地市監(jiān)獄各部署防火墻+入侵防御方式就行有效、快速安全防護(hù)；省中心機(jī)房與部分監(jiān)獄機(jī)房選用運(yùn)營(yíng)商專線，對(duì)于相對(duì)偏僻較遠(yuǎn)地方選用防火墻IPSEC VPN建立隧道；通過(guò)2種方式實(shí)現(xiàn)省監(jiān)獄管理局與和監(jiān)獄直接互聯(lián)互通；建議采用如下方式構(gòu)建網(wǎng)絡(luò)架構(gòu)：

圖 31：網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)示意圖

在網(wǎng)絡(luò)架構(gòu)的建設(shè)過(guò)程中，要充分考慮到信息系統(tǒng)的發(fā)展及后期建設(shè)的需求，在設(shè)備的采購(gòu)及安全域的構(gòu)建與劃分時(shí)，就要為后期的發(fā)展與建設(shè)做好準(zhǔn)備，如產(chǎn)品的功能、性能至少要滿足未來(lái)3-5年的業(yè)務(wù)發(fā)展要求，產(chǎn)品的接品、規(guī)格要滿足冗余部署的需要。

網(wǎng)神防火墻提供良好的人機(jī)管理界面和功能，讓IT管理維護(hù)中節(jié)省可觀的內(nèi)部管理和支持成本。

網(wǎng)神支持對(duì)VPN隧道中的流量進(jìn)行安全檢測(cè)，防止木馬和病毒通過(guò)VPN隧道傳播，全方位保護(hù)企業(yè)網(wǎng)絡(luò)安全。

3.0.2 區(qū)域邊界訪問(wèn)控制

3.0.2.1 區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

區(qū)域邊界的訪問(wèn)控制防護(hù)可以通過(guò)利用各區(qū)域邊界區(qū)交換機(jī)設(shè)置ACL列表實(shí)現(xiàn)，但該方法不便于維護(hù)管理，并且對(duì)于訪問(wèn)控制的粒度把控的效果較差。從便于管理維護(hù)及安全性的角度考慮，可以通過(guò)在關(guān)鍵網(wǎng)絡(luò)區(qū)域邊界部署專業(yè)的訪問(wèn)控制設(shè)備（如防火墻、安全網(wǎng)閘產(chǎn)品），實(shí)現(xiàn)對(duì)區(qū)域邊界的訪問(wèn)控制。訪問(wèn)控制措施需滿足以下功能需求：

l 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；

l 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；

l 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶。

各安全區(qū)域都應(yīng)針對(duì)自身業(yè)務(wù)特點(diǎn)設(shè)定訪問(wèn)控制策略，下表表述了各安全區(qū)域之間的訪問(wèn)控制關(guān)系，在對(duì)各網(wǎng)絡(luò)安全區(qū)域設(shè)置安全策略時(shí)，以此為參考原則進(jìn)行設(shè)置：

針對(duì)業(yè)務(wù)特點(diǎn)和功能需求，各區(qū)域邊界的訪問(wèn)控制措施如下：

(一) 省監(jiān)獄管理局中心機(jī)房

在監(jiān)獄管理局中心機(jī)房部署防火墻、視頻網(wǎng)閘系統(tǒng)，并實(shí)現(xiàn)以下安全功能：

1. 通過(guò)防火墻實(shí)現(xiàn)與各地市之間監(jiān)控系統(tǒng)業(yè)務(wù)雙向訪問(wèn)控制；

2. 通過(guò)防火墻實(shí)現(xiàn)地市之間監(jiān)控系統(tǒng)業(yè)務(wù)以外訪問(wèn)控制，關(guān)閉不必要端口；

3. 通過(guò)防火墻實(shí)現(xiàn)應(yīng)用層協(xié)議命令級(jí)的訪問(wèn)控制；

4. 通過(guò)防火墻實(shí)現(xiàn)長(zhǎng)鏈接的管理與控制。

5. 通過(guò)視頻網(wǎng)閘可以實(shí)現(xiàn)與各地市之間數(shù)據(jù)交換，并實(shí)現(xiàn)監(jiān)控?cái)?shù)據(jù)防泄漏；

(二) 地市各監(jiān)獄機(jī)房

在各地市各監(jiān)獄機(jī)房部署防火墻系統(tǒng)，并實(shí)現(xiàn)以下安全功能：

1. 通過(guò)防火墻實(shí)現(xiàn)與省監(jiān)獄管理局之間監(jiān)控系統(tǒng)業(yè)務(wù)雙向訪問(wèn)控制；

2. 通過(guò)防火墻實(shí)現(xiàn)與省監(jiān)獄管理局之間監(jiān)控系統(tǒng)業(yè)務(wù)以外訪問(wèn)控制，關(guān)閉不必要端口；

3. 通過(guò)防火墻實(shí)現(xiàn)應(yīng)用層協(xié)議命令級(jí)的訪問(wèn)控制；

4. 通過(guò)防火墻實(shí)現(xiàn)長(zhǎng)鏈接的管理與控制；

3.0.3 入侵防御

3.0.3.1 入侵防御設(shè)計(jì)

在各網(wǎng)絡(luò)區(qū)域的邊界處，有必要通過(guò)部署入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測(cè)，并及時(shí)產(chǎn)生報(bào)警和詳盡的報(bào)告。具體功能設(shè)計(jì)如下：

l 在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

l 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

4 網(wǎng)神設(shè)計(jì)方案的優(yōu)點(diǎn)說(shuō)明

網(wǎng)神信息技術(shù)（北京）股份有限公司作為一家“勵(lì)志成為國(guó)際信息安全中堅(jiān)力量”的專業(yè)信息安全公司，為用戶提供全面的網(wǎng)絡(luò)及信息安全解決方案、服務(wù)及產(chǎn)品，致力于攜手用戶共同解決信息安全建發(fā)展道路上的各類問(wèn)題。

網(wǎng)神公司為用戶提供設(shè)計(jì)服務(wù)，網(wǎng)神公司設(shè)計(jì)的《安全體系建設(shè)設(shè)計(jì)方案》的主要優(yōu)勢(shì)如下：

1、 網(wǎng)神公司的設(shè)計(jì)方案是等級(jí)保護(hù)《基本要求》和《安全設(shè)計(jì)技術(shù)要求》的有效結(jié)合，是等級(jí)保護(hù)基線要求與體系框架設(shè)計(jì)的有效統(tǒng)一。立足于用戶信息系統(tǒng)各業(yè)務(wù)實(shí)際安全的需求，以建立的統(tǒng)一安全策略為指引，既解決了等級(jí)保護(hù)保護(hù)建設(shè)工作的合規(guī)性，又保證了安全體系建設(shè)的完整性、先進(jìn)性與適用性。

2、 網(wǎng)神公司是我國(guó)最早致力等級(jí)保護(hù)制度落實(shí)工作的專業(yè)安全公司，有著豐富的成功案例積累。設(shè)計(jì)方案是網(wǎng)神公司經(jīng)過(guò)長(zhǎng)期等級(jí)保護(hù)建設(shè)工作的經(jīng)驗(yàn)沉淀，是網(wǎng)神公司多年參與等級(jí)保護(hù)建設(shè)設(shè)計(jì)工作的寶貴知識(shí)積累。通過(guò)方案，使用戶清晰、便捷、優(yōu)異的實(shí)現(xiàn)信息系統(tǒng)等級(jí)保護(hù)建設(shè)的設(shè)計(jì)規(guī)劃，全面達(dá)到等級(jí)保護(hù)基本要求的安全保護(hù)能力。

3、 網(wǎng)神公司的設(shè)計(jì)方案是以信息系統(tǒng)業(yè)務(wù)安全的視角審視整體安全體系建設(shè)，將信息系統(tǒng)等級(jí)保護(hù)建設(shè)的要求真正落實(shí)到業(yè)務(wù)系統(tǒng)安全建設(shè)中，是充分結(jié)合實(shí)際安全需求的、全面符合等級(jí)保護(hù)建設(shè)要求的、戰(zhàn)略策略高度統(tǒng)一的解決方案。

4、 網(wǎng)神公司的設(shè)計(jì)方案為用戶提供了全新的安全運(yùn)行體系的建設(shè)思路，是對(duì)等級(jí)保護(hù)制度在信息系統(tǒng)生命周期中持續(xù)開展的準(zhǔn)確詮釋，是保障安全建設(shè)成果落實(shí)并深化進(jìn)日常安全運(yùn)行與維護(hù)工作中的根基，是有效提升安全運(yùn)維工作水平的前提保障。

5 產(chǎn)品清單

序號(hào)

名稱

型號(hào)

規(guī)格

單位

數(shù)量

1

省級(jí)防火墻

SecGate 3600 NSG7500-TV10M

網(wǎng)神下一代防火墻，多核AMP+架構(gòu)，網(wǎng)絡(luò)處理能力20G，并發(fā)連接≥350萬(wàn)（最高可達(dá)600萬(wàn)），每秒新建連接27萬(wàn)/秒，標(biāo)準(zhǔn)2U機(jī)箱，冗余電源；標(biāo)配主機(jī)帶1個(gè)Console口、1個(gè)HA接口，1個(gè)管理接口，支持液晶屏，另有4個(gè)擴(kuò)展板卡插槽，可擴(kuò)展8個(gè)萬(wàn)兆接口模塊（可選不同模塊板卡組合）；報(bào)價(jià)中包括三年硬件維修服務(wù)

臺(tái)

1

NSG7500-A-4T4S

4口10/100/1000base-T和4口千兆SFP板卡

塊

1

2

省中心入侵防御系統(tǒng)

SecIPS 3600 P9000-TG63M

PM-A-8T

模塊化IPS，2500M吞吐；2U機(jī)箱，冗余電源，液晶屏；2個(gè)10/100/1000M自適應(yīng)電口（其中1個(gè)管理口、1個(gè)HA口）；4個(gè)空擴(kuò)展槽，至少可擴(kuò)展8個(gè)萬(wàn)兆接口，至少提供8個(gè)千兆接口；報(bào)價(jià)中含三年硬件維修.

臺(tái)

1

業(yè)務(wù)擴(kuò)展板卡

塊

1

3

省中心視頻專用網(wǎng)閘

SecSIS 3600 H9000-E046M

高端模塊化主機(jī)，多核架構(gòu)，3.5U機(jī)箱冗余電源，具有液晶顯示面板，內(nèi)外網(wǎng)各6個(gè)10/100/1000M base-T端口，4個(gè)SFP插槽，2個(gè)Console口，2個(gè)USB口，支持2個(gè)擴(kuò)展槽位，可擴(kuò)展4個(gè)萬(wàn)兆接口；視頻吞吐量：900Mbps，2M碼流視頻路數(shù)：400路，4M碼流視頻路數(shù)：200路，8M碼流視頻路數(shù)：100路；軟件功能：視頻模塊；報(bào)價(jià)含三年標(biāo)準(zhǔn)售后服務(wù)。

臺(tái)

1