信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題,是一個不容忽視的安全戰(zhàn)略。伴隨著各領(lǐng)域日常業(yè)務依賴計算機等設(shè)備來完成,敏感信息正經(jīng)過脆弱的通信線路在計算機系統(tǒng)之間傳送,信息在存儲、處理和交換過程中,都存在泄密、被截收、竊聽、竄改和偽造的可能性,對社會造成嚴重的危害。
平安城市是建立在新一代信息技術(shù)支撐下的城市形態(tài),通過信息和通信技術(shù)的應用,提升城市的管理水平,提高市民的生活質(zhì)量,令城市運行和市民生活更加智能。而視頻監(jiān)控系統(tǒng)的高清化,已經(jīng)成為一個不可阻擋的趨勢,這也對視頻監(jiān)控海量數(shù)據(jù)分析的安全性提出了更高的要求,信息安全的防護是完成平安城市建設(shè)的基礎(chǔ).
在信息技術(shù)快速發(fā)展的今天,不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術(shù)的、管理的、行政的手段,實現(xiàn)信源、信號、信息三大環(huán)節(jié)的保護,藉此達到保護信息安全的目的。接下來我們將針對平安城市中的物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)及應用安全等分別展開具體的分析探討。
平安城市視頻監(jiān)控系統(tǒng)整體設(shè)計要點
在平安城市建設(shè)中,網(wǎng)絡邊界劃分明確,為保證其物理上的安全,平安城市的視頻監(jiān)控網(wǎng)絡有專門的獨立網(wǎng)絡即視頻專網(wǎng),同時和其他的網(wǎng)絡進行交互,視頻監(jiān)控接入端分為*內(nèi)網(wǎng)接入、外單位接入、社會資源監(jiān)控接入,其中外單位訪問視頻專網(wǎng)的監(jiān)控資源,社會資源監(jiān)控提供單向傳輸圖像到視頻監(jiān)控專網(wǎng)。外部單位訪問監(jiān)控專網(wǎng)通常有2級出口,市局一級和區(qū)縣一級。市局統(tǒng)一管理外部單位包括區(qū)縣外部單位的*、安全加固。在視頻專網(wǎng)和*內(nèi)網(wǎng)之間加入一套邊界接入系統(tǒng)、滿足了*內(nèi)網(wǎng)對專網(wǎng)視頻視頻數(shù)據(jù)的訪問、同時保證*內(nèi)網(wǎng)的安全。
為了保證網(wǎng)絡運行過程中不受到病毒的攻擊,可以部署殺毒軟件進行病毒的處理,在終端部署終端加固系統(tǒng)加強對操作系統(tǒng)的安全加固管理。其整體架構(gòu)如(圖1)所示:
圖1:安全整體架構(gòu)圖
平安城市安全防護各大分系統(tǒng)設(shè)計
♦物理安全
物理安全設(shè)計部分主要考慮機房的物理和前端安全防護。機房是放置視頻專網(wǎng)網(wǎng)絡與信息處理設(shè)施的物理區(qū)域,是生產(chǎn)業(yè)務的核心區(qū)域,應當對其進行嚴格保護。在機房建設(shè)中要嚴格國家、行業(yè)等其相關(guān)規(guī)定,如機房防雷接地系統(tǒng)電阻值不應大于4歐姆;機房安全要求:應采用封閉房間,防止有害氣體(SO2、H2S、NH3、NO2等)侵入;安裝符合法規(guī)要求的消防系統(tǒng)。設(shè)備間內(nèi)所有設(shè)備有足夠的安裝空間。地面材料能防靜電等,同時機房中要部署UPS、防雷、防靜電、消防、精密空調(diào)、監(jiān)控以及環(huán)控系統(tǒng),環(huán)控系統(tǒng)及時的把這些設(shè)備的運行情況上傳到管理平臺,報警信息會通過現(xiàn)場報警器或報警短信通知相關(guān)工作人員,及時解決異情。
前端的物理安全主要從前端桿件的高度,選材、基礎(chǔ)設(shè)施以及防雷接地等方面來進行,保證桿件不易被撞、攝像機被偷等考慮。
♦網(wǎng)絡安全
區(qū)域安全隔離。通過安全網(wǎng)關(guān),基于安全區(qū)域模型對內(nèi)部資源和外聯(lián)單位進行區(qū)域邏輯隔離,并對安全區(qū)域之間的流量進行嚴格地訪問策略控制,通過區(qū)域安全隔離清晰地劃分出*專網(wǎng)和外聯(lián)單位。
資源訪問控制。外聯(lián)單位能通過安全網(wǎng)關(guān)訪問位于*內(nèi)部網(wǎng)絡的視頻資源,但不能訪問其它內(nèi)部資源。非*單位無法訪問內(nèi)部專網(wǎng)的非*資源。
完成NAT地址轉(zhuǎn)換功能,內(nèi)部服務器通過安全網(wǎng)關(guān)提供NATServer功能,節(jié)省公網(wǎng)IP資源,并隱藏內(nèi)部網(wǎng)絡結(jié)構(gòu)。
通過安全網(wǎng)關(guān)的D Do S攻擊防范能力,保障內(nèi)網(wǎng)的資源安全,必須提供HTTP Flood、DNS Flood、SIP Flood等應用層攻擊D Do S攻擊防范的能力,并應具備D Do S流量自學習能力。
安全網(wǎng)關(guān)提供對視頻流量的識別能力以及QOS帶寬保障,在帶寬范圍之內(nèi),保證視頻業(yè)務的優(yōu)先傳輸。
可以對內(nèi)部訪問外部資源進行過濾控制,有效控制內(nèi)部主機對外部資源的訪問,包括微博內(nèi)容過濾、論壇發(fā)帖內(nèi)容過濾、*過濾、Office文件過濾等,形成內(nèi)外網(wǎng)絡之間的安全保護屏障,防止泄密事件產(chǎn)生。
提供的日志服務功能,可以滿足用戶對攻擊、流量監(jiān)控、會話流信息等日志信息進行記錄,安全網(wǎng)關(guān)必須提供支持日志中心進行對接,提供會話日志和安全日志分析功能。
同時為了保障*內(nèi)網(wǎng)的安全,在*內(nèi)網(wǎng)和視頻專網(wǎng)之間部署邊界接入系統(tǒng),保證視頻專網(wǎng)和*內(nèi)網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?br />
♦主機安全
平安城市中使用的通用操作系統(tǒng)(包括Windows、Linux等),都已經(jīng)具備一定的安全功能,但是大部分的安全功能缺省都是未開啟的,需要通過對主機進行安全配置,從而提高主機的安全性。
身份鑒別安全配置。在Windows、Linux、AIX、HP-UNIX、Solaris等操作系統(tǒng)中,均可對身份鑒別進行安全配置,通過安全的配置,保障身份的鑒別。
安全審計安全配置。在通用操作系統(tǒng)中,均有安全審計功能,通過相關(guān)配置,能夠?qū)ο到y(tǒng)的重要事件進行安全審計。惡意代碼防范安全配置。通過殺毒軟件系統(tǒng)中心、管理控制臺、防病毒服務器端和防病毒客戶端四個組成部分布置在視頻專網(wǎng)上,各個子系統(tǒng)協(xié)同工作,共同完成對整個網(wǎng)絡的病毒防護工作,為用戶的網(wǎng)絡系統(tǒng)提供防病毒解決方案,其架構(gòu)圖如(圖2)所示:
圖2:殺毒軟件邏輯示意圖
資源控制安全配置。
資源控制對服務器中的各項資源,如:磁盤空間、CPU、內(nèi)存、網(wǎng)絡連接等的使用情況,進行檢測和控制,如果資源不足時還要求進行報警。
♦數(shù)據(jù)安全
在平安城市建設(shè)中,在監(jiān)控中心匯聚大量的數(shù)據(jù),為保證數(shù)據(jù)的安全性,其主要考慮存儲設(shè)備數(shù)據(jù)的安全,要考慮存儲設(shè)備的RAID和備份機制等,保證設(shè)備的安全,同時在平安城市建設(shè)中,提倡云存儲及云計算建設(shè),在數(shù)據(jù)安全設(shè)計時要考慮云存儲及云計算的數(shù)據(jù)的安全。
♦應用安全
對于平安城市中的應用軟件系統(tǒng),由于其主要為*用戶和政府用戶提供信息瀏覽服務,防護的重點是增加自身的信息防篡改能力,通過以下方式實現(xiàn)其應用安全防護:
加強外部用戶訪問信息系統(tǒng)的防護
在邊界入侵防御系統(tǒng)上針對外部對*信息系統(tǒng)的訪問行為配置全面的攻擊防御、日志審計和報警策略。
加強信息系統(tǒng)的內(nèi)容安全防護
在信息系統(tǒng)上配置全面的監(jiān)控與恢復策略、日志審計和報警策略,增強信息系統(tǒng)的內(nèi)容安全防護能力。
通過制定相關(guān)制度和流程加強信息系統(tǒng)備份工作
增加身份鑒別功能
按照安全策略的要求,設(shè)置相應的密碼長度、復雜度及更新時間等;
進行應用系統(tǒng)的升級,增加“限制非法登錄次數(shù)”和“連接超時”等功能保證應用系統(tǒng)能夠安全的處理登錄失敗。
增強安全審計功能
增強“安全審計”功能,使安全審計能夠覆蓋到應用系統(tǒng)的每個用戶,使審計記錄應用系統(tǒng)重要的安全相關(guān)事件(包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等),對審計記錄制定一定的保護措施,避免受到未預期的刪除、修改或覆蓋等。
增強通信完整性
對通信雙方約定單向的校驗碼算法,在進行通信時,雙方根據(jù)校驗碼判斷對方報文的有效性。
增強通信保密性
增強軟件容錯能力
加強應用系統(tǒng)對人機輸入界面中數(shù)據(jù)的有效性校驗。
♦終端安全
終端加固管理
由于終端眾多,員工的計算機水平和信息安全意思參差不齊,由于操作系統(tǒng)安全設(shè)置不當而引起的安全風險越來越明顯,僅通過目前行政管理手段無法保證所有終端的安全性,需加強對操作系統(tǒng)的安全加固管理,其包括強化補丁安裝、超時自動鎖屏、注冊表配置管理、冗余賬號檢查、檢查賬號安全、檢查端口策略、網(wǎng)絡共享管理、監(jiān)控非法應用和服務。
終端行為管理
其終端行為管理主要包括:軟件安裝標準化、IP訪問和網(wǎng)絡應用程序監(jiān)控、終端入網(wǎng)審計。
信息防泄密管理
由于辦公終端數(shù)量較多,員工的辦公終端里存儲大量涉及機密的敏感信息,時常發(fā)生員工通過終端外設(shè),如刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄,目前通過人工管理方式不僅耗時費力,而且效果并不明顯。針對此種狀況,建議加強對終端外設(shè)接口的監(jiān)控,其主要包括:外設(shè)接口管理、監(jiān)控USB設(shè)備使用、USB監(jiān)控屬性、USB禁用屬性、USB只讀屬性、USB寫加密屬性、防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備、文件操作審計。
在平安城市的建設(shè)中,安全系統(tǒng)的建設(shè)是其重要組成部分,其安全體系從物理、網(wǎng)絡、主機、應用和數(shù)據(jù)等方面,通過技術(shù)保障建立起來可靠有效的安全體系。在大量數(shù)據(jù)采集、存儲和應用的過程中,安全系統(tǒng)的建設(shè),不僅給平安城市的建設(shè)提供了基礎(chǔ),更保證了城市中大量數(shù)據(jù)的安全,提供了zui可靠、zui安全的數(shù)據(jù)存儲中心,用戶不用再擔心數(shù)據(jù)丟失、病毒入侵等麻煩,同時“堅持積極防御、綜合防范”的方針,全面提高信息安全防護能力,創(chuàng)建安全健康的網(wǎng)絡環(huán)境,保護國家利益,促進平安城市項目信息化的深入發(fā)展。
