監獄監控項目安全體系建設設計方案目錄1項目概述1.1項目背景1.2項目目標1.3項目設計依據2安全需求分析3方案設計3.1.1網絡架構3.1.2區域邊界訪問控制3.1.3入侵防御4網神設計方案的優點說明5產品清單1項目概述1.1項目背景大力

監獄監控項目

安全體系建設

設計方案

目 錄

1 項目概述

1.1 項目背景

1.2 項目目標

1.3 項目設計依據

2 安全需求分析

3 方案設計

3.1.1 網絡架構

3.1.2 區域邊界訪問控制

3.1.3 入侵防御

4 網神設計方案的優點說明

5 產品清單

1 項目概述

1.1 項目背景

大力推進監獄信息化建設,是司法部繼監獄體制改革和監獄布局調整后又一重大戰略舉措。面對日益嚴峻復雜的監管形勢，需要我們加大對安全防范設施建設的投入，通過廣泛地運用信息技術，提高監獄物防、技防能力，建立監管安全防范的長效管理機制，樹立先進的管理意識，掌握先進的管理方法和管理手段，提升監獄安全防范和應急處置指揮能力，推進監獄執法工作的的標準化、規范化建設，確保監獄監管秩序的持續穩定。

隨著監獄系統網絡化的建設需求，信息共享、多級管理、遠程監控成為監獄管理部門迫切需要解決的問題。建設監獄網絡視頻監控系統就是采用最新的視頻監控技術，依托數據網絡，對監控圖像進行網絡傳送，同時整合周界防護、報警、廣播對講等系統，所建設各系統的控制、數據、音頻等信號均通過網絡平臺進行數據的傳輸，以達到信息共享、遠程監控和管理的目的。建設基于IP網絡傳輸的監獄數字安防智能監控系統，以科技的手段減低獄管部門的工作強度，保證監獄安全，提高對犯人的監督和改造效果。

為貫徹落實監獄安全長效機制工作體系，不斷增強監管工作的科技含量，實現“向科技要警力”，建立集監視、周界防范、報警、人員定位及各子系統聯動一體的多層次、全方位、立體化的監獄安全防范系統，促進監管工作的持續安全穩定。

因此，我省監獄系統按照“統一規劃、統一標準、統一設計、統籌建設”的原則，開展海南省監獄監控安防系統建設工作。

1.2 項目目標

1、完善監獄基礎骨干網絡和機房的建設工作。搭建骨干網絡，建設數據中心機房，為信息系統的數據存儲、傳輸、交換、安全提供基礎設施和保障。

2、完成監獄視頻監控系統建設。視頻監控系統作為監獄監控安防系統建設的核心內容，堅持高標準、高要求的原則，重點部位采用1080P（1920×1080P），一般部位采用720P（1280×720P）的高清視頻，建成覆蓋全監獄的視頻監控系統，滿足監管改造工作需求。

以科學發展觀和構建社會主義和諧社會理論為指導，全面貫徹“統一標準，整體部署，逐步完善，信息共享”，貫徹建設力度和社會可接受程度相結合、探索創新和穩步推進相結合、服務監獄業務和服務社會相結合的原則，體現“實用，可靠，經濟，科學”的指導思想。以規范技術應用為重點，以增強技術設施的實際應用效能為核心，通過技術集成，建立和完善覆蓋面廣、資源共享、綜合應用的各級安防系統的技術平臺。

1.3 項目設計依據

系統規劃設計必須按照國際、國家和本地區的有關標準和規范進行。本設計將依據和參照以下的設計規范和要求進行：

? 《全國監獄信息化建設規劃》；

? 《安全防范視頻監控聯網系統信息傳輸、交換、控制技術要求》GB/T 28181-2011

? 《公共安全視頻監控系統技術規范》海南省地方標準 DB46/T 258-2013

? 《智能建筑設計標準》GB/T 50314-2007

? 《建筑工程項目管理規范》GB/T 50326-2001

? 《綜合布線系統設計標準》GB50311-2007

? 《建筑與建筑群綜合布線系統工程設計規范》 GB/T 50311-2000

? 《電子信息系統機房設計規范》GB 50174-2008

? 《電子計算機場地通用規范》（GB/T 2887-2000）

? 《通風與空調工程施工質量驗收規范》GB 50243-2002

? 《火災自動報警系統設計規范》GB 50166-2007

? 《建筑物電子信息系統防雷技術規范》GB 50343-2004

? 《安全防范工程技術規范》GB 50348

? 《入侵報警工程設計規范》GA/T 77-94

? 《視頻安防監控系統工程設計規范》 GB 50395-2007

? 《視頻安防監控系統技術要求》GA/T 367-200

? 《中華人民共和國計算機信息系統安全保護條例》

? 《計算機信息系統安全保護等級劃分準則》GB 17859-1999

? 其它適用于本項目設計的有關國家標準和規范

? EIA/TIA568A，EIA/TIA569A國際電子工業協會通信線纜、通訊路徑和空間標準；

? ISO/ICE/IS11801結構化布線標準；

? ISO TCP/IP協議標準；

? ISO/I 13818 MPEG-2協議標準；

? ISO IGMP/CGMP協議標準；

? 10base-T，100base-TX 標準 IEEE802.3，IEEE802.3U；

? 《中華人民共和國通信行業標準》（YD/T926）；

2 安全需求分析

保護內部重要視頻資源不被泄密

1) 防止內部人員未經許可非法獲得重要視頻信息資源；

2) 防止外部非法入侵者非法盜取重要視頻信息資源；

3) 保護重要視頻信息的合法使用；

4) 實現重要視頻類資源使用權限、使用范圍、使用期限的靈活實時安全可控。

3 方案設計

3.0.1 網絡架構

3.0.1.1 網絡架構設計

為了加強對監獄監控系統系統實現良好的安全保障，通過在省監獄管理部署網神視頻網閘、防火墻、入侵防御；地市監獄各部署防火墻+入侵防御方式就行有效、快速安全防護；省中心機房與部分監獄機房選用運營商專線，對于相對偏僻較遠地方選用防火墻IPSEC VPN建立隧道；通過2種方式實現省監獄管理局與和監獄直接互聯互通；建議采用如下方式構建網絡架構：

圖 31：網絡架構設計示意圖

在網絡架構的建設過程中，要充分考慮到信息系統的發展及后期建設的需求，在設備的采購及安全域的構建與劃分時，就要為后期的發展與建設做好準備，如產品的功能、性能至少要滿足未來3-5年的業務發展要求，產品的接品、規格要滿足冗余部署的需要。

網神防火墻提供良好的人機管理界面和功能，讓IT管理維護中節省可觀的內部管理和支持成本。

網神支持對VPN隧道中的流量進行安全檢測，防止木馬和病毒通過VPN隧道傳播，全方位保護企業網絡安全。

3.0.2 區域邊界訪問控制

3.0.2.1 區域邊界訪問控制設計

區域邊界的訪問控制防護可以通過利用各區域邊界區交換機設置ACL列表實現，但該方法不便于維護管理，并且對于訪問控制的粒度把控的效果較差。從便于管理維護及安全性的角度考慮，可以通過在關鍵網絡區域邊界部署專業的訪問控制設備（如防火墻、安全網閘產品），實現對區域邊界的訪問控制。訪問控制措施需滿足以下功能需求：

l 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

l 應在會話處于非活躍一定時間或會話結束后終止網絡連接；

l 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶。

各安全區域都應針對自身業務特點設定訪問控制策略，下表表述了各安全區域之間的訪問控制關系，在對各網絡安全區域設置安全策略時，以此為參考原則進行設置：

針對業務特點和功能需求，各區域邊界的訪問控制措施如下：

(一) 省監獄管理局中心機房

在監獄管理局中心機房部署防火墻、視頻網閘系統，并實現以下安全功能：

1. 通過防火墻實現與各地市之間監控系統業務雙向訪問控制；

2. 通過防火墻實現地市之間監控系統業務以外訪問控制，關閉不必要端口；

3. 通過防火墻實現應用層協議命令級的訪問控制；

4. 通過防火墻實現長鏈接的管理與控制。

5. 通過視頻網閘可以實現與各地市之間數據交換，并實現監控數據防泄漏；

(二) 地市各監獄機房

在各地市各監獄機房部署防火墻系統，并實現以下安全功能：

1. 通過防火墻實現與省監獄管理局之間監控系統業務雙向訪問控制；

2. 通過防火墻實現與省監獄管理局之間監控系統業務以外訪問控制，關閉不必要端口；

3. 通過防火墻實現應用層協議命令級的訪問控制；

4. 通過防火墻實現長鏈接的管理與控制；

3.0.3 入侵防御

3.0.3.1 入侵防御設計

在各網絡區域的邊界處，有必要通過部署入侵檢測設備對網絡攻擊行為進行監測，并及時產生報警和詳盡的報告。具體功能設計如下：

l 在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；

l 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

4 網神設計方案的優點說明

網神信息技術（北京）股份有限公司作為一家“勵志成為國際信息安全中堅力量”的專業信息安全公司，為用戶提供全面的網絡及信息安全解決方案、服務及產品，致力于攜手用戶共同解決信息安全建發展道路上的各類問題。

網神公司為用戶提供設計服務，網神公司設計的《安全體系建設設計方案》的主要優勢如下：

1、 網神公司的設計方案是等級保護《基本要求》和《安全設計技術要求》的有效結合，是等級保護基線要求與體系框架設計的有效統一。立足于用戶信息系統各業務實際安全的需求，以建立的統一安全策略為指引，既解決了等級保護保護建設工作的合規性，又保證了安全體系建設的完整性、先進性與適用性。

2、 網神公司是我國最早致力等級保護制度落實工作的專業安全公司，有著豐富的成功案例積累。設計方案是網神公司經過長期等級保護建設工作的經驗沉淀，是網神公司多年參與等級保護建設設計工作的寶貴知識積累。通過方案，使用戶清晰、便捷、優異的實現信息系統等級保護建設的設計規劃，全面達到等級保護基本要求的安全保護能力。

3、 網神公司的設計方案是以信息系統業務安全的視角審視整體安全體系建設，將信息系統等級保護建設的要求真正落實到業務系統安全建設中，是充分結合實際安全需求的、全面符合等級保護建設要求的、戰略策略高度統一的解決方案。

4、 網神公司的設計方案為用戶提供了全新的安全運行體系的建設思路，是對等級保護制度在信息系統生命周期中持續開展的準確詮釋，是保障安全建設成果落實并深化進日常安全運行與維護工作中的根基，是有效提升安全運維工作水平的前提保障。

5 產品清單

序號

名稱

型號

規格

單位

數量

1

省級防火墻

SecGate 3600 NSG7500-TV10M

網神下一代防火墻，多核AMP+架構，網絡處理能力20G，并發連接≥350萬（最高可達600萬），每秒新建連接27萬/秒，標準2U機箱，冗余電源；標配主機帶1個Console口、1個HA接口，1個管理接口，支持液晶屏，另有4個擴展板卡插槽，可擴展8個萬兆接口模塊（可選不同模塊板卡組合）；報價中包括三年硬件維修服務

臺

1

NSG7500-A-4T4S

4口10/100/1000base-T和4口千兆SFP板卡

塊

1

2

省中心入侵防御系統

SecIPS 3600 P9000-TG63M

PM-A-8T

模塊化IPS，2500M吞吐；2U機箱，冗余電源，液晶屏；2個10/100/1000M自適應電口（其中1個管理口、1個HA口）；4個空擴展槽，至少可擴展8個萬兆接口，至少提供8個千兆接口；報價中含三年硬件維修.

臺

1

業務擴展板卡

塊

1

3

省中心視頻專用網閘

SecSIS 3600 H9000-E046M

高端模塊化主機，多核架構，3.5U機箱冗余電源，具有液晶顯示面板，內外網各6個10/100/1000M base-T端口，4個SFP插槽，2個Console口，2個USB口，支持2個擴展槽位，可擴展4個萬兆接口；視頻吞吐量：900Mbps，2M碼流視頻路數：400路，4M碼流視頻路數：200路，8M碼流視頻路數：100路；軟件功能：視頻模塊；報價含三年標準售后服務。

臺

1