监控网络安全管理方案
1.项目背景
多年来,张家港海事局为更好地服务水运安全与地方经济建设、服务于长三角航运工作,依靠科技进步,努力拓展信息化基础设施建设,组建了覆盖基层单位、工作台站、执法现场船艇的有线及无线网络,建成并应用了一系列服务于海事管理与航运服务的支撑平台,为确保航运安全、船舶适航,提高通航效率与通关效率发挥了积极的作用。
其中视频监控在海事日常业务中的重要性不断加强,视频监控网络的规模也在不断的增加。现有的监控网络不仅有自建的网络还有码头单位的监控设备接入到海事局的监控网络。根据政府的统一安排与布置与公安、边防、海警等单位共享前端视频信号的要求也得上了议程。
千里之堤毁于蚁穴,随着Internet、Intranet的飞速发展,网络安全问题日益严重。由于信息泄漏、信息遭受破坏等带来的损失令人触目惊心。近几年来,张家港海事局监控网络走过了不断发展、完善的历程,现在已经拥有大量的技术先进、种类繁多的网络设备和系统,构成了一个配置复杂的综合性网络。然而,在享受着信息化的成果时,同时面临着信息安全的风险。
2.设计标准
张家港海事局信息安全系统的建设依据国家相关法律规章、国家和行业相关标准、相关研究成果等资料进行规划设计,具体如下:
1.安全标准
1)ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体
系要求》
2)GB/T 18336-2001《信息技术安全技术信息技术安全性评估准
则》
3)《计算机信息系统安全等级保护划分准则》
4)《信息安全技术信息系统安全管理要求》
5)《关于信息安全等级保护工作的实施意见(公通字[2004]66
号)》
6)《关于开展信息安全等级保护安全建设整改工作的指导意见(公
信安[2009]1429号)》
7)《关于开展全国重要信息系统安全等级保护定级工作的通知(公
信安[2007]861号)》
8)《信息系统安全等级测评报告模版(试点会议稿)》
9)《信息安全等级保护管理办法(公通字[2007]43号)》
10)《公安机关信息安全等级保护检查工作规范(公信安
[2008]736号)》
11)《信息安全等级保护备案实施细则(公信安[2007]1360
号)》
2.地方标准
1)《关于印发张家港市政府投资信息化项目管理办法(试行)的通
知》(张政发[2009]45号)
2)《江苏海事局网络管理办法》(苏海办[2010]568号)
3)江苏海事信息安全系统建设指导意见(2012年)
3.安防信息安全系统设计方面
1)《中华人民共和国公安部行业标准》(GA70-94)
2)《视频安防监控系统技术要求》(GA/T367-2001)
3)《民用闭路监视电视系统工程技术规范》(GB50198-94)
4)《工业电视系统工程设计规范》(GBJ115-87)
5)《安全防范系统通用图形符号》(GA/T75-2000)
6)《建筑及建筑群综合布线工程设计规范》(GB/T50311-2000)3.设计原则
目前我国已经进入网络信息安全的实施阶段,已经制定了国家、行业信息安全管理的相关政策、法律、法规。国家层面2014年已经建立了国家信息安全小组,开展国家级的信息安全顶层设计。现阶段按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构,建立了支撑网络信息安全研究的国家重点实验室和部门实验室。根据国家通用安全准则,建设网络信息安全体系应遵循以下原则。
1.综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
信息系统安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息系统安全体系结构。综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络业务系统提供全方位安全服务。
2.需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
3.一致性原则
一致性原则主要是指信息安全问题应与整个信息系统的工作周期(或生命周期)同时存在,制定的安全体系结构必须与信息系统的安全需求相一致。安全的信息系统设计(包括初步或详细设计)及实施计划、信息系统验证、验收、运行等,都要有安全的内容及措施,实际上,在信息系统建设的开始就考虑信息安全对策,比在建设好后再考虑安全措施,不但容易,且花费也小得多。
4.易操作性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
5.分步实施原则
由于信息系统及其应用扩展范围广阔,随着信息系统规模的扩大及应用的增加,信息系统脆弱性也会不断增加。一劳永逸地解决信息系统安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
6.多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.建设目标
伴随着信息化意识的不断提高,张家港海事局的信息化应用不断增强,网络上的应用也统越来越多。全方位的、更有效的、深层次的保护和管理系统资源以及网络资源,是实现张家港海事信息系统安全建设的主要目标。
具体表现在:
●保护网络内部的信息资源,防止内部信息泄漏、被窃、篡改、删
除、假冒、抵赖;
●提供对网络资源的访问控制,针对用户应用进行管理和控制,阻
止外部入侵;
●为网络、业务应用系统、对外服务系统提供必要的安全保护;
●建立网络安全分析、审计监控及入侵检测系统,为不断提高网络
安全强度提供有效的技术手段;
●建立网络防病毒体系;
●建立内网漏洞评估体系;
●建立安全恢复机制,在安全策略出现问题时能及时恢复;
●建立完善的安全管理机制,强化安全管理。
信息安全不是一蹴而就的工作,需要整体规划,分步实施,适当超前的方式进行建设,本项目主要是进行监控网络的第一期安全体系建设,本次项目将对监控进行初步的安全建设,设立网络安全边界,网络入侵防范,接入网络安全审计系统。
5.需求分析
5.1监控网络信息系统现状
张家港海事局监控网络与内部办公网络处于同一中心交换机设备之下,同时利用光纤与下属单位直接,所有外围单位的视频信号的接入都是就近接入到监控分中心。
张家港海事局中需的网络应用包括:
1.视频监控传输系统
2.内部办公系统
3.有流量控制的互联网访问
5.2信息安全现状分析
张家港海事局监控网络拓扑示意图
5.2.1安全区域的划分与隔离问题
张海事局网络互联互通涉及数据的交换,必然带来一定的安全风险。利用网络发动攻击的黑客、病毒、下级单位的人员疏忽、恶意试探也可能利用海事内部网络的数据交换的连接尝试攻击本单位内部网,影响到本单位内部网的重要数据正常运行,所以安全问题变得越来越复杂和突出。
海事局网络虽然分别通过交换机进行了一定程度的逻辑隔离,但交换机的ACL配置管理复杂,控制粒度不细,配置不直观。而且无法完成关键字、病毒、木马的过滤,很容易让来自于办公网络的入侵行为或病毒对海事业务系统核心数据造成危害;同时,来自于办公网的网络风暴、ARP攻击、拒绝式服务攻击很容易海事业务系统的资源,可能导致海事业务系统无法正常工作。
5.2.2全网安全防范力不从心
◆组合攻击无法检测
现无防火墙,对由多步骤组成的组合攻击行为进行有效的关联分析,因此对于这类攻击无法进行监控与拦截。
◆内部攻击无法防范
对于内部发生的攻击行为,因为没有相关的网络行为安全防范设备,因此也就无法监控和有效拦截。
5.2.3系统日志不能发现的安全隐患
我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。
5.2.4日志审计面临的挑战
当前海事局在进行日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是:日志分散、日志格式不统一、日志量巨大。
5.2.4.1日志分散
客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志,并有各自的控制台进行日志查看,这对审计人员而言简直就是噩梦,根本没有精力去查看这么多控制台,更不要说分析其中的日志信息了。
5.2.4.2日志格式不统一
每种设备类型的日志格式都不相同,各有各的表达,即时是表达同一件事情,也都有各自的表达方式。例如同样的登录失败信息,防火墙中的描述和主机操作
系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式。
5.2.4.3日志量巨大
很多设备,尤其是网络安全设备产生的日志量十分巨大,单个防火墙每秒就可能产生上千条的日志信息,而全网的设备每天产生的日志量就更加可观,可能数以百GB计。审计员去查看这么多的日志根本不可能,即便是将它们存起来都是个问题。
5.2.5内网络终端安全问题
内外网络终端安全管理问题,一直是系统安全防护的重点工作。办公计算机主要面临几个方面的问题:
1)操作系统的安全漏洞问题。及时的更新补丁是保持操作系统安全性
的首要问题。经过调研,协会大多数计算机使用的是WindowsXP系
统。微软已于2014年4月份停止对XP的支持。提前进行操作系统需
要进行及时的升级与切换很有必要。
2)杀毒软件安装及升级更新问题。整个系统防病毒软件并未统一。没
有设定防止卸载策略。容易导致“短板效应”;一台计算机被感染后极
易引起扩散。
3)使用U盘、光盘导致的病毒传播问题:由于在海事协会办公网络中
没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用
而引发并对的事件时有发生。
5.2.6服务器检测防护机制匮乏
服务器是海事部门直接发布应用业务系统的重要平台。传统的防火墙对保护Web系统抵御黑客攻击的效果不佳,对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击束手无策。对发现的Web系统安全存在问题和漏洞,修补方式只能停留在页面修复,很难针对Web系统具体的漏洞原理对源代码进行改造。面对Web应用的攻击,缺乏的就是有效的检测防护机制。
5.2.7自查自检手段单一
目前,张家港海事局的自查自检,仍然停留在发现问题,影响业务,整改并恢复业务的阶段。没有做到主动发现问题并预防。
在上级单位的远程检测中经常会出现极易被入侵的漏洞。造成不好的影响。
5.3安全系统设计
5.3.1设计思路
海事网络应用比较复杂,对安全的要求也很高,根据信息系统所面临的风险以及上述安全现状和需求,在一期信息安全体系建设过程中应该关注以下几个方面。
第一、进行网络安全区域设计
网络安全区域设计是网络安全建设的基础,其他的网络安全建设措施全部都是基于这个基本设计展开的。当然要根据海事局的实际情况进行划分,例如根据张家港海事局网络和应用的现状,可以进行如下安全区域的划分:数据中心区:由张家港海事局生产服务群构成,是张家港海事局一切生产活动的基础。这个区域的安全性要求最高,对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作,包括为服务器打补丁,管理起来也最为复杂。
外联边界区:与外联单位进行视频信息传输构成的区域。与外联单位一般采用专线连接,由于业务具有一定的保护手段,对业务连续性要求不如数据中心区。
外联服务区:开展对外服务的服务器所在的安全区域,如网上办事和网站等服务器。由于直接与公网连接,同时又是比较敏感的政府形象网站,因此安全性要求非常高,对业务连续性要求也较高。同时也最容易遭受包括DoS/DDoS攻击在内的来自互联网的威胁。
内网办公区:办公服务器所在的安全区域,主要用于内部OA系统等应用。对安全的要求较前面讲的各个安全区域低,业务持续性要求也相对较低。多采用Windows服务器,比较容易遭受病毒等威胁的影响。
网络管理区:网管业务开展的区域,由网管类服务器和网管工作站构成。封闭性较强,这个区域的安全与否直接关系到网络的稳定运行,某些方面的要求可能还要高于内网办公区。
下属单位:所有分支机构共同构成的安全区域,一般采用专线接入数据中心。对局中心来说这个区域属于外部区域,一般是外单位独立考虑区域内各个节点的安全。
第二、以安全为核心规划网络
现有网络大多是以连通性作为中心进行设计的,而很少考虑安全性。例如最
典型的网络三层架构模型(核心层、汇聚层、接入层架构)中,网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计,这就好比要有好的网络贴身保镖。
第三、用防火墙隔离各安全区域
防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
第四、对关键路径进行深度检测防护
深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有入侵和滥用,深度检测防御可以识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。
5.3.2安全系统详细设计
5.3.2.1内网安全域划分
网络的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。
当前海事局监控网络系统是一个庞大复杂的系统,在支持业务不断发展的前提下,如何保证系统的安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是有保证系统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
根据张家港海事局信息系统的特点将整个张家港海事局信息系统分为如下安全域:
内网接入域:对外连接上级单位,下属海事处等分支机构。
内网办公域:工作人员连接内网办公用网络。
内网服务域:所有的业务生产系统的服务器都放置在这个区域,如视频传输、VTS雷达信号与接收等业务系统。
5.3.2.2内网接入域的边界安全
在内网与省局互连的出口处增加一台千兆防火墙,用来:
1.入侵防御:检测来自外部的入侵行为并予以阻断。
2.病毒过滤:发现并阻断可能出现的蠕虫传播。
3.抗拒绝服务攻击:根据网络异常行为判断出拒绝服务攻击并予以阻断。
4.防泄密:监控接入域客户的非业务流量,特别是进行文件和信息交换的
协议,比如:电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。
5.内容过滤:对基于标准协议的内容进行过滤,防止色情、非法信息的下
载与传播。
6.上网行为管理:对IM应用进行管理和控制,对P2P/网络视频等行为进
行阻断或者限流,确保带宽的有效利用。
7.防垃圾邮件:防止邮件炸弹攻击,对垃圾邮件进行过滤,提升工作效
率。
5.3.2.3增强入侵检测能力
在内网部署入侵检测与管理系统,通过入侵检测系统的全网部署,可以达到三个效果:
其一,做到对整个信息系统安全状况的实施监控与报告;
其二,利用入侵检测技术识别威胁来源,并根据威胁调整安全策略;
其三,通过入侵检测系统的安全性分析对比,了解网络安全建设效果,对之进行评估。
5.3.2.4终端安全管理
终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段,全部核心功能模块,如下图所示:
其中:
覆盖“基础认知及运维阶段”的五个功能模块是:“资产管理”、“软件分发”、“远程桌面”、“补丁管理”和“主机防火墙”。
覆盖“合规建设阶段”的四个功能模块是:“主机监控审计”、“非法外联控制”、“移动存储管理”和“涉密信息发现”。
覆盖“主动防御及强制阶段”的两个功能模块是:“准入控制”和“安全基线管理”。
在本次的一期网络终端安全建设中将要先对380台终端完成以下两个阶段工作内容:
一、“基于认证及运维阶段”,目标是要完成:“资产管理”、“软件分发”、“远程桌面”、“补丁管理”、“主机防火墙”和“主机防病毒”六个终端安全子系统建设。
二、“合规建设阶段”,目标是要完成:“主机监控审计”、“非法外联控制”、“移动存储管理”、“涉密信息发现”和“涉密监控审计”五个终端安全子系统建设。
6.产品基本介绍
6.1 入侵防御系统
含入侵防护、上网行为管理、Web过滤,抗拒绝服务攻击等功能,支持旁
路部署。
包括硬件平台(1U上架设备,1个RJ-45 Console口,1个10/100 Base-Tx带外管理口,5个10/100/1000 Base-T接口(4个具备bypass功能),4个千兆SFP接口插槽(不含SFP模块),2个USB口,单电源,含嵌入式软件)一台,检测引擎软件一套,入侵防御系统NGIPS数据中心软件一套,质保期内(自硬件产品发货之日起,为期36个月)免费维修,并提供基本备机服务,含3年的入侵防御特征库升级授权。
6.2 防火墙
标配6个10/100/1000M Base-TX和4个千兆SFP光口;默认支持IPSec VPN;可通过购买License扩展:IPS模块,AV模块,上网行为管理模块,WiFi AP模块,3G模块;并发连接数200万;报价含三年硬件保修和技术支持服务
6.3 内网安全风险管理与审计系统
产品主要功能
1)精细化终端运维管理
终端资产管理、远程桌面、补丁管理、终端外设管理。
2)终端审计
安全策略事件审计、文件操作审计与控制、打印审计与控制、网站访问审计与控制、FTP审计与控制、刻录审计与控制、异常路由审计、Windows操作系统登录审计、主机名、IP、MAC变更审计、终端应用程序使用历史进行审计、网络非法外联多重防控。
3)移动存储管理
移动存储设备认证、分区表加扰与共享授权、移动存储全过程审计、使用未认证设备计算机授
4)终端涉密信息检查
5)终端安全基线管理
7.系统建设清单
监控施工技术方案 1. 工程的施工技术、施工方法、工艺流程及施工进度计划、工期安排 1.1施工程序 线缆敷设→设备安装→设备调试→投入试运行→竣工资料整理→验收交付使用 1.2主要施工方法 1.2.1系统安装 按照施工技术图的要求,明确安防系统中各种设备与摄像机的安装位置,明确各位置的设备型号和安装尺寸,根据供应商提供的产品样本确定安装要求。 根据安防系统设备供应商提供的技术参数,配合土建做好各设备安装所需的预埋和预留位置。 根据安防系统设备供应商提供的技术参数和施工设计图纸的要求。配置供电线路和接地装置。 摄像机应安装在监视目标附近,不易受外界损伤的地方。其安装位置不易影响现场设备和工作人员的正常活动。通常最低安装高度室内为2.50米,室外3.50米。 摄像机的镜头应从光源方向对准监视目标,镜头应避免受强光直射。 摄像机采用75Ω-5同轴视频电缆,云台控制箱与视频矩阵主机之间连线采用2芯屏蔽通讯线缆(RVVP)或3类双绞线。 必须在土建、装修工程结束后,各专业设备安装基本完毕,在整洁的环境中安装摄像机。从摄像机引出的电缆留有1m的余量,以便不影响摄像机的转动。 摄像机安装在监视目标附近不易受到外界损伤的地方,而且不影响附近人员的正常活动。安装高度室内2.5-5m,室外3.5-10m。电梯轿厢内的摄像机安装有顶部,其光轴与电梯厢的两壁、天花板成45度角。 摄像机避免逆光安装。 云台安装时按摄像监视范围决定云台的旋转方位,其旋转死角处在支、吊架和引线电缆一侧。电动云台重量大,支持其的支、吊架安装牢固可靠,并考虑其的转动惯性,在它旋转时不发生抖动现象。
安装球形摄像机、隐蔽式防护罩、半球形防护罩,由于占用天花板上方空间,因此必须确认该安装位置吊顶内无管道等阻档物。 解码器安装在离摄像机不远的现场,安装不要明显;若安装在吊顶内,吊顶要有足够的承载能力,并在附近有检修孔。 在监控室内的终端设备,在人力允许的情况下,可与摄像机的安装同时进行。监控室装修完成且电源线、接地线、各视频电缆、控制电缆敷设完毕后,将机柜及控制台运入安装。 机架底座与地面固定,安装竖直平稳,垂直偏差不超过3‰;几个机柜并排在一起,面板应在同一平面上并与基准线平行,前后偏差不大于3mm,两个机柜中间缝隙不大于3mm。控制台正面与墙的净距不小于1.2m,侧面与墙或其他设备的净距不小于0.8m。 监控室内电缆理直后从地槽或墙槽引入机架、控制台底部,再引到各设备处。所有电缆成捆绑扎,在电缆两端留适当余量。并标示明显的永久性标记。 1.2.2系统的调试 1)调试准备工作 检查本系统接线、电源、设备就位、接地、测试表格等。 用对线工具检查各种设备、器件之间线路连接正确性,并做好测试记录。 2)单体调试 检查摄像机开通、关断动作,云台操作和防护罩动作的正确性,检查画面分割器切换动作正确性。能够进行独立单项调试的设备、部件的调试、测试在设备安装前进行。如:摄像机的电气性能调试、配合镜头的调整、终端解码器的自检、云台转角限位的测定和调试、放大器的调试等。 开启主机系统,运行系统软件,打印系统运行时各种信息,确认总控室和各分控机房中央设备运行正常。各智能控制键盘操作正确。 3)系统调试 按调试设备的功能或作用和所在部位或区域划分。传输系统的每条线路都进行通、断、短路测试并做标记。遇到50Hz工频干扰,采用在传输线上输入“纵向扼流圈”来消除;当传输本身的质量原因与传输线两端相连的设备输入输出阻抗非75欧姆的传输线特性阻抗不匹配时,会产生高频振荡而严重影响图像质量,需在摄像机的输出端串联几十欧的电阻,或在控制台或监视器上并联75欧姆电阻。 4)系统联调 首先检查供电电源的正确性,然后检查信号线路的连接正确性、极性正确性、对应关系正确
公司网络安全管理制度流程1 精心整理 页脚内容 公司网络安全管理制度?为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常 的工作秩序,特制定本管理办法。? 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行 工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备 及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。? (一)?数据资源的安全保护。 网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重? 1 21? 123、要加强对各网络安全的管理、检查、监督,一旦发现
问题及时上报公司负责人。 4、禁止利用计算机玩游戏、聊天、看电影、视频;禁止浏览进入反动、色情??邪教等非法网站、浏览非法信息以及电子信息收发有关上述内容的邮件;不得通过互联网或光盘下载安装传播病毒 以及黑客程序。? 5、?严禁任何人员利用公司网络及电子邮件传播反动、黄色、不健康及有损企业形象的信息。 6、?使用QQ 、MSN 等聊天工具做与工作无关的事情。??? 7、?过量下载或上传,使用迅雷、网际快车、BT 、电驴等占用网络资源的软件进行下载。??? 8、?对于公司内部的一些共享资源使用,任何人禁止随意访问未经授权的网络资源,禁止随意进 入他人的主机及其共享文件夹。用户应当对其共享资源进行加密。 公司网络安全管理制度3篇1 公司网络安全管理制度3篇1
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。 (一) 数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下: 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应
1.1 视频监控系统设计方案 1.1.1 系统概述 视频监控系统是指将从市公安系统中接入的8路视频监控信号以及数字化城管将要建设的视频信号,结合城市管理地理信息系统,在城市管理信息中心的大屏幕和PC终端上显示,实现对城市部件和事件的全方位、全时段的可视化监控管理,从而对城管事件作出准确判断并及时响应,对监控范围内的突发性城管事件录像取证,起到综合治理效果。 视频监控系统建设主要包括三部分的内容,即政府中心控制节点的建设、城管中心视频监控系统建设和城管中心安防监控系统建设。 1.1.2 城管中心视频监控 扬州市公安局已经在扬州市内建设36个公安监控点,需连接到市城管 监督中心之外,还包括以下内容: 根据扬州市建设全市城管监控系统的要求,计划建设50个,后续可以 扩展到100个(当前建设50个,后续可以扩展到100个)可控监视探头, 探头采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到 监督中心机房,并通过大屏幕展现出来。 1.1. 2.1 系统建设要求 视频监控系统可以随时选择需要监控的8路视频监控信号。 视频监控系统主要应包括以下功能模块:视频图像播放、视频源选择、 监控探头调整控制等。 ?视频图像播放 应能播放支持扬州市现有的视频数据压缩格式。要求能在城市管理信息 中心的大屏幕和PC终端上显示。 ?视频源选择 应可在系统的电子地图上选择需要调用查看的视频源,方便地查看相应 的视频信息。 ?监控探头调整控制 应能实现对监控探头的调整控制(公安局建设的36路图像除外)。可以通过调整监控探头,实现视频图像的放大、缩小,还可以实现监控探头的方向调整。
1.1. 2.2 系统设计 1.1. 2.2.1 视频前端设计 扬州城管中心视频监控系统前端图像源只要来自两个方面:扬州市公安局已建的36路视频图像接入和扬州市城管计划建设100个(当前建设50个,后续可以扩展到100个)可控监视探头。 公安局已建的36路图像,考虑节省传输路由租用费用,采取租用电信8条2M带宽路由同时到达城管监督中心。 扬州市城管计划建设的100个(当前建设50个,后续可以扩展到100个)可控监视探头,拟采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到监督中心机房,并通过大屏幕展现出来。 1.1. 2.2.2 系统传输设计 公安局已建的36路图像,通过租用电信8条2M带宽路由,加编解码器同时送8路图像至城管中心,在大屏幕上显示。 由于公安局原配置的图像切换矩阵有控制限制,设计采用配置一台48*16矩阵放在公安局机房,接入36路视频源;配置一台主控键盘放在城管监督中心,通过编解码器的双向数据口,远程控制矩阵,自由选择城管需要监视的视频图像。 扬州市城管计划建设的100个可控监视探头,拟采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到监督中心机房。 由于城管监督中心在二楼,配线总机房在一楼,因施工前后衔接很难统一,电信的宽带路由一般只到一楼配线总机房,故考虑在一楼配线总机房至二楼监督中心机柜预留110根视频线缆(SYV75-5)和10根RVVP线缆作为远端视频图像信号接入路由。 1.1. 2.2.3 系统功能实现 各路视频图像汇集到城管监督中心,通过监督中心的图像显示系统进行切换、选择,显示在大屏幕上。实现以下功能: 1) 视频图像播放 能播放支持扬州市现有的视频数据压缩格式。能在城市管理信息中心的 大屏幕和PC终端上显示。为城管中心对整个城市进行实时掌控提供了准确 无误的保障。
公司内部网络安全和设备管理制度 1、网络安全管理制度 (1)计算机网络系统的建设和应用,应遵守国家有关计算机管理 规定参照执行; (2)计算机网络系统实行安全等级保护和用户使用权限控制;安 全等级和用户使用网络系统以及用户口令密码的分配、设置由系统管理员负责制定和实施; (3)计算机中心机房应当符合国家相关标准与规定; (4)在计算机网络系统设施附近实施的维修、改造及其他活动, 必须提前通知技术部门做好有关数据备份,不得危害计算机网络系 统的安全。 (5)计算机网络系统的使用科室和个人,都必须遵守计算机安全 使用规则,以及有关的操作规程和规定制度。对计算机网络系统中发生的问题,有关使用科室负责人应立即向信息中心技术人员报告;(6)对计算机病毒和危害网络系统安全的其他有害数据信息的防 范工作,由信息中心负责处理,其他人员不得擅自处理; (7)所有HIS系统工作站杜绝接入互联网或与院内其他局域网直 接连接。 2、网络安全管理规则 (1)网络系统的安全管理包括系统数据安全管理和网络设备设施 安全管理; (2)网络系统应有专人负责管理和维护,建立健全计算机网络系 统各种管理制度和日常工作制度,如:值班制度、维护制度、数据库备份制度、工作移交制度、登记制度、设备管理制度等,以确保工作有序进行,网络运行安全稳定; (3)设立系统管理员,负责注册用户,设置口令,授予权限,对 网络和系统进行监控。重点对系统软件进行调试,并协调实施。同时,负责对系统设备进行常规检测和维护,保证设备处于良好功能状态; (4)设立数据库管理员,负责用户的应用程序管理、数据库维护 及日常数据备份。每三个月必须进行一次数据库备份,每天进行一次日志备份,数据和文档及时归档,备份光盘由专人负责登记、保管; (5)对服务器必须采取严格的保密防护措施,防止非法用户侵 入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管,服务器中任何数据严禁擅自拷贝或者借用; (6)系统应有切实可行的可靠性措施,关键设备需有备件,出现 故障应能够及时恢复,确保系统不间断运行; (7)所有进入网络使用的U盘,必须经过严格杀毒处理,对造成 “病毒”蔓延的有关人员,应严格按照有关条款给予行政和经济处 罚; (8)网络系统所有设备的配置、安装、调试必须指定专人负责, 其他人员不得随意拆卸和移动; (9)所有上网操作人员必须严格遵守计算机及其相关设备的操作 规程,禁止无关人员在工作站上进行系统操作;
施工方案和组织 第一节施工管理模式 为确保本工程总体目标的实现,本工程实行项目经理负责制,严格按照我公司ISO9001质量体系文件:《质量手册》、《程序文件》以及《工程施工管理办法》,对本工程质量、工期、安全、文明施工、科学管理和综合效益全面负责。 第二节项目管理组织结构 一、针对本工程特点,该项目的施工由公司副总分管,项目经理部设一级项目经理1人,项目技术负责人1人,施工员1人,配备预算员、安全员、质检员、材料员、档案员等优秀管理人员。 二、项目管理组织结构框图如下:
第三节项目部施工管理制度 我公司将严格按照《建设工程项目管理规范》的要求建立现场项目经理部,健全各种项目管理制度。主要有: 一、项目管理人员岗位职责制 项目部成立前即先制定出根据本工程特点的岗位配置规划,明确各个岗位的工作职责,由项目经理根据公司人员情况,择优选定最合适、最优秀的人员上岗,以保证项目部工作顺利和高效的开展。根据岗位职责在施工过程中不定期对各岗位人员的工作进行考评,以工作绩效调整工资分配,对不能胜任所任岗位工作的人员坚决予以撤换,使项目部时刻保持高效、精干,各方面的工作有条不紊的进行,人、材、物等资源得到最优化的配置。 项目经理部所设各个岗位的职责分工见下表: 二、技术管理制度 认真执行我公司业已形成的一系列工程技术管理制度,如图纸会审制度;技术和安全交底制度;施工方案
审制度;技术和安全交底制度;施工方案审批执行制度;技术审核制度;试验检验制度;技术资料管理制度等。 三、质量管理制度 以2000版GB/T19000族质量标准的要求为基础,坚持"质量第一,预防为主"的方针和"计划、执行、检查、处理"循环工作方法,对工程的质量管理实行全方位、全员参与的质量管理体系。 四、安全管理制度 围绕安全管理开展安全教育、安全交底、安全检查、安全评比激励等制度。专业工种严格执行持证上岗制度,对发现的安全问题坚决予以制止、纠正和处罚。 五、项目财务资金管理制度 以符合各项财务管理制度为前提,根据工程的进展合理使用好资金,作到既保证工程各个环节所需,又防止资金的浪费和违规使用,提高资金使用效率。 六、材料设备管理制度 包括工程材料和施工材料、设备采购计划管理;被选产品、厂家评审、供货合同管理;材料、设备进场检验、试验和标识;材料、设备的搬运、贮存、保管要求;材料、设备资料管理;以及材料、设备在采购、使用中出现问题的解决等。 七、施工信息和协调管理制度 建立工程信息管理责任制,保证工程各种信息的传递和反馈及时、通畅;资料记录齐全;项目经理牵头组成工程协调小组,负责处理协调对内、对外各种关系,包括与各相关单位之间的关系,与附近住户的关系等。 第四节项目部工作的高效开展 一、明确项目管理部每个人员的责、权、利,使全体管理人员各负其责,紧张有序地开展工作,提高管理工作效率;
公司网络安全管理体系1 公司网络安全管理策略 一、网络概况 随着公司信息化水平的逐步提高,网络安全与否,直接关系到油田生产和科研的正常进行。网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题。如果不进行有效的安全防护,网络信息系统将会受到具有破坏性的攻击和危害。 公司网络按访问区域可以划分为四个主要的区域:公司内部局域网、服务器群、外部Internet区域。 二、网络系统安全风险分析 随着公司客户和内部局域网上网用户迅速增加,风险变得更加严重和复杂。有一个安全、稳定的网络环境对于公司的运营来说至关重要。 针对公司网络中存在的安全隐患,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与公司网络结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:网络安全可以从以下三个方面来理解:1 网络物理是否安全; 2 网络平台是否安全; 3 系统是否安全;
4 应用是否安全; 5 管理是否安全。针对每一类安全风险,结合公司网络的实际情况,我们将具体的分析网络的安全风险。 2.1物理安全风险分析 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,所以要制定制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。 2.2网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 公司网络内公开服务器区作为公司的缴费运营平台,一旦不能运行后者受到攻击,对企业的运营影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务,因 此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服
网络监控系统设计方案 导读:本次设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: (一) 前端视频数据采集部分:通过网络摄像机实现对各个监控区域的图像采集;前端视频数据 采集设备包括红外一体化网络摄像机、网络半球、网络智能球、高清网络摄像机、立杆、墙挂支架等设备。 视频监控总体设计 1.1. 网络视频监控系统组成 本次设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: (一) 前端视频数据采集部分:通过网络摄像机实现对各个监控区域的图像采集;前端视频数据采集设备包括红外一体化网络摄像机、网络半球、网络智能球、高清网络摄像机、立杆、墙挂支架等设备。 (二) 视频数据传输部分:通过超五类双绞线、室外4芯室外多模铠装光缆、光电转换设备和网络交换机等设备组成转发视频图像数据的传输网络,并通过传输网络将图像数据从前端监控设备传送到后端监控中心进行视频显示和存储,主要设备和线材包括:网络交换机、光电转换设备、超五类双绞线、室外铠装光缆等。 (三) 视频监控中心部分:视频监控中心是将前端采集的视频图像信息通过软件解码,转化为图像信号传送到监视器上,形成直观图像信息并且显示出来,同时对视频信息按照存储策略进行存储。通过网络监控中心管理平台对整个系统进行统一操作、配置、管理,其中主要设备网络监控中心管理平台、监控录像主机、大尺寸电视等设备。 (四) 监控终端部份:监控终端主要功能是监看实时视频画面、查询回放录像、抓拍图像、手动录像,主要包括监控客户端、多路视频解码器。 1.2. 监控系统拓扑图
1.3. 前端视频监控部分 1.3.1. 前端监控点设置说明 序号安装位置产品名称 单 位 数量备注 1 负一层停 车场 红外一体化网络摄像 机 台11 监控车位及通道,安全通道等出入口情 况
企业内部网络安全策略论述报告 设计题目论述企事业内部的网络安全策略 学院软件学院 专业网络工程 学号 姓名 指导教师 完成日期
目录 摘要 (3) 1. 引言 (4) 1.1本课题的研究意义 (4) 1.2本论文的目的、内容 (4) 2. 企业网络现状及设计论述 (4) 2.1概述 (4) 2.2实际网络的特点及目前企业网络优缺点论述 (7) 2.3设计目标 (9) 3. 关键问题论述 (10) 3.1研究设计中要解决的问题 (10) 3.2本课题所作的改善设计 (11) 4. 系统设计关键技术论述 (12) 4.1.目标具体实现中采用的关键技术及分析 (12) 4.2设计实现的策略和途径描述 (15) 4.3 设计模型及系统结构(新的拓扑图) (16) 5. 系统实现技术论述 (16) 概述 (17)
5.1物理设备安全 (17) 5.2 VPN技术 (19) 5.3 访问控制列表与QOS技术 (25) 5.4服务器的安全 (25) 6. 总结 (27) 7. 参考文献 (28)
企事业单位内部网络的安全策略论述 摘要:互联网给我们带来了极大的便利。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。 本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,详细设计分析等,重点针对企业网络中出现的网络安全问题,作了个简单介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分 关键词:网络安全 VPN技术 QOS技术容灾备份服务器安全
副本住宅小区监控系统 施工方案
视频监控系统施工方案 1. 工程的施工技术、施工方法、施工进度计划、工期安排 1.1施工程序 线缆敷设→设备安装→设备调试→投入试运行→竣工资 料整理→验收交付使用 1.2主要施工方法 1.2.1系统安装 按照施工技术图的要求,明确安防系统中各种设备与摄像机的安装位置,明确各位置的设备型号和安装尺寸,根据供应商提供的产品样本确定安装要求。 根据安防系统设备供应商提供的技术参数,配合土建做好各设备安装所需的预埋和预留位置。 根据安防系统设备供应商提供的技术参数和施工设计图 纸的要求。配置供电线路和接地装置。 摄像机应安装在监视目标附近,不易受外界损伤的地方。其安装位置不易影响现场设备和工作人员的正常活动。通常最低安装高度室内为2.50米,室外3.50米。 摄像机的镜头应从光源方向对准监视目标,镜头应避免受强光直射。
摄像机采用超5类网线及光纤。 必须在土建、装修工程结束后,各专业设备安装基本完毕,在整洁的环境中安装摄像机。 从摄像机引出的电缆留有1m的余量,以便不影响摄像机的转动。 云台安装时按摄像监视范围决定云台的旋转方位,其旋转死角处在支、吊架和引线电缆一侧。 电动云台重量大,支持其的支、吊架安装牢固可靠,并考虑其的转动惯性,在它旋转时不发生抖动现象。 安装球形摄像机、隐蔽式防护罩、半球形防护罩,由于占用天花板上方空间,因此必须确认该安装位置吊顶内无管道等阻档物。 在监控室内的终端设备,在人力允许的情况下,可与摄像机的安装同时进行。监控室装修完成且电源线、接地线、各视频电缆、控制电缆敷设完毕后,将机柜及控制台运入安装。 机架底座与地面固定,安装竖直平稳,垂直偏差不超过3‰;几个机柜并排在一起,面板应在同一平面上并与基准线平行,前后偏差不大于3mm,两个机柜中间缝隙不大于3mm。控制台正面与墙的净距不小于1.2m,侧面与墙或其他设备的净距不小于0.8m。
企业网络安全管理三大原则 2009-01-21 09:01 作者:千里草来源:中国IT实验室 【简介】 在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。 在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。 原则一:最小权限原则 最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。 如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。 最小权限原则除了在这个访问权限上反映外,最常见的还有读写上面的控制。如上面这个财务部门有两个文件夹A与B.作为普通员工,A文件夹属于机密级,其当然不能访问。但是,最为放置报销凭证格式的文件夹B,我们设置普通员工可以访问。可是,这个访问的权限是什么呢?也就是说,普通员工对于这个文件夹下的文件具有哪些访问权限?删除、修改、抑或只有只读?若这个报销凭证只是一个格式,公司内部的一个通用的报销格式,那么,除了财务设计表格格式的人除外,其他员工对于这个文件夹下的我文件,没有删除、修改的权限,而只有只读的权限。可见,根据最小权限的原则,我们不仅要定义某个用户对于特定的信息是否具有访问权限,而且,还要定义这个访问权限的级别,是只读、修改、还是完全控制? 不过在实际管理中,有不少人会为了方便管理,就忽视这个原则。 如文件服务器管理中,没有对文件进行安全级别的管理,只进行了读写权限的控制。也就是说,企业的员工可以访问文件服务器上的所有内容,包括企业的财务信息、客户信息、订单等比较敏感的信息,只是他们不能对不属于自己的部门的文件夹进行修改操作而已。很明显,如此设计的话,企业员工可以轻易获得诸如客户信息、价格信息等比较机密的文件。若员工把这些信息泄露给企业的竞争对手,那么企业将失去其竞争优势。 再如,对于同一个部门的员工,没有进行权限的细分,普通员工跟部门经理具有同等等权限。如在财务管理系统中,一般普通员工没有审核单据与撤销单据审核的权限,但是,有些系统管理员往往为了管理的方便,给与普通员工跟财务经理同等的操作权利。普通员工可以自己撤销已经审核了的单据。这显然给财务管理系统的安全带来了不少的隐患。 所以,我们要保证企业网络应用的安全性,就一定要坚持“最小权限”的原则,而不能因为管理上的便利,而采取了“最大权限”的原则,从而给企业网络安全埋下了一颗定时炸弹。 原则二:完整性原则 完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信
视频监控系统设计方案 摘要:生产经营管理的高效性、实时性直接影响到企业的生产效益和成本控制。当前,工厂的建设、管理正向着信息化、智能化的方向发展。通过在企业内部安装一整套局域网上的网络视频监控系统,安全生产人员可实时监控各个设备的运行状况,安保人员可实时监控厂区的出入口、道路、重点建筑等重要场所的人员流动情况,企业相关部门的领导也可以在办公室随时监控整个企业的运作情况。 一、工程说明 1.1 工程需求分析 根据用户的实际要求和现代监控系统的特点对本项目的需求进行了认真的分析。 1. 防范目的 通过安装在工厂辖区的摄像机,可以对现场的人员、车辆及设备的工作情况进行实时监视,监控室能够及时观察到现场的情况,并能够将相关图像进行实时的录像。在充分保证客人及业主隐私的基础上,加强工厂的安全保卫工作,同时提高工作效率,实现科学的管理。 2. 布防要求 根据现场的实际情况加以安装,以便最能有效地监控现场图像,不留死角。 3. 安全可靠性 为使整个监控系统充分发挥其安全防范的作用,应从以下几个方面确保系统安全可靠: ⑴前端设备品质必须高度可靠,尽量选用性价比高的名牌产品,同时充分考虑到特殊且恶劣的环境因素对设备的影响。 ⑵必须按照国家标准及工艺要求进行施工。 ⑶控制系统应采用可靠性高、功能全的产品 ⑷严格的管理制度,规范的操作。 ⑸操作简便。具有一定的扩容和升级能力。
二、方案设计的原则和思想 2.1 系统应具有的特性 2.1.1 先进性 当今科学技术发展迅速,若花巨资建成一个几年之内就要淘汰的落后系统,不仅是一种极大的浪费,而且将严重影响工厂的声誉。所以设计方案首先就要确保设计技术和应用技术的先进性,同时也要保证整个系统的最佳性能价格比。 2.1.2 灵活性和兼容性 随着科学技术的发展,不可能保证一个系统永远处于领先地位。为此在设计方案时,必须考虑到系统升级扩容的灵活性和兼容性,这就需要采用模块化、开放式、集散型、分布式的控制系统。使得不改变原有设备,在不损失前期投资的情况下,就能方便的升级和扩容,确保系统不过时。 2.1.3 经济实用性 先进性与经济性往往会产生矛盾,这就需要在制定总体设计方案时: 一、要选择性能价格比最佳的产品和系统。高科技现代化时代,经济性衡量的唯一标准是性能价格比,既不是单纯性能,也不是单纯的价格,若不顾性能,而单纯追求价格,势必会陷入不正当的价格竞争战。那么系统事故所造成损失和影响用经济是补偿不了的。 二、善于充分利用软件来实现系统功能,尽可能减少硬件开支,达到降低系统总成本的目的。 三、充分了解其它子系统的功能,并与之进行有机结合,避免功能重复。 四、要善于从实际出发,突出实用功能,去掉“华而不实”的无用功能,降低总体投资,求得先进性与经济性的完美统一。 2.1.4 可靠性 可靠性是系统设计中的关键,不可靠的系统不仅根本谈不上什么先进性,而且由于系统的瘫痪导致重大的损失会给用户带来巨大的负担和耗费。为此总体方案的设计和产品的选用时: 一、既要考虑技术的先进性,又要考虑技术的成熟性。
网络安全管理 一、集团网络安全 网络安全分析: 1.物理安全 网络的物理安全是整个集团网络系统安全的前提。物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。 2.网络结构的安全 网络拓扑结构设计也直接影响到网络系统的安全性。在设计网络时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。 3.系统的安全 系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前没有完全安全的操作系统,所以必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 4.应用系统的安全
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面,例如:E-mail等。 5.管理的安全 管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 二、集团安全技术手段 1.物理措施:对集团网络所有关键网络设备及服务器,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保设备能安全高效的运行。 2.访问控制:对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等。 3.数据加密:对集团所有重要数据进行加密,保障信息被人截获后不能读懂其含义。并对客户端安装网络防病毒系统。 4.网络隔离:对集团研发中心进行网络隔离,严格控管与集团内网及intel网的访问,确保数据不会流失到外网。 5.防火墙技术:防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 6.上网行为管理:控制和管理集团所有终端对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 7.入侵检测:入侵检测是通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 9.安全防范意识:加强集团网络管理员及终端使用人员的网络安全意识,保证网络安全。 8.其他措施:其他措施包括对集团网络进行:信息过滤、容错、数据镜像、数据备份、和审计等。
一、设计依据 GBJ 232-82《电气装置安装工程施工及验收规范:第十七篇:电气设备交接试验标准篇》 《建筑与建筑群综合布线工程设计规范》 GB 84《通信网技术标准汇编》 GB 50252-94《工业安装工程质量检验评定统一标准》 ISO/IEC JTCI/SC25/VVG3; XT005-95《通信局(站)电源系统总技术要求》(暂行规定) 工业企业通信设计规范 JGJ/T16-1992 《民用建筑电气设计规范》 GB242 《电工电子产品基本环境试验规程总则》 GB4943 《数据处理设备的安全》 《建筑与建筑群综合布线工程施工安装规范》; 其他相关标准等 二、系统设计原则 根据项目的技术要求,系统遵循以下原则设计,确保研制系统的完整性、先进性、实用性、可靠性、开放性和可扩性。达到局域网内随处可调看监控实况、可在互联网远程登录监控、安全可靠的目的。 1.规范化 系统设计依据最新的国际标准、国家标准和行业标准,遵守开放的原则。系统设计有外部接口,很容易与其他应用系统共享数据,实现无缝衔接。 2.安全可靠性 建立完善的网络与信息安全保障体系,确保系统运行有高度的可靠性和安全性。使用消息队列、数据冗余等技术保证数据的完整性,即使在网络暂时中断时也不会丢失数据。 3.控制优先级 使用全局统一的逻辑授权机制,保证全局同步更新授权,避免造成控制混乱。 4.实用性 采用成熟的技术,并结合工厂安全监控的实际需要,建设一套最适合于各级管理部门实际需求的监控系统。功能强大,性能优良、界面醒目、友好,系统各种操作简单、易学易用。 5.先进性 采用成熟的先进技术,保证具有较好的先进性、实用性和较长的生命周期。要充分考虑到现代信息技术的飞速发展,使系统具有较强的开放性,为技术更新、功能升级留有余地。 6.可扩展性 系统采用模块化设计,具有较强的扩展性,可以方便的实现规模的扩充和业务的延伸。软件支持在线升级、扩充,可实现平稳过渡。 7.可维护性 系统设计时充分考虑到系统的可维护性,可实现远程维护,具有维护操作简单、维护工作量小的特点。8.经济性 在坚持先进性的基础上,综合考虑经济性,所选用的设备在兼顾优良的性能基础上,也要考虑经济性,特别是考虑长期运行所需的成本,包括耗能和系统维护等方面。 三、系统设计方案
公司网络安全管理制度 为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面:一是网络系统数据资源的安全保护,二是网络硬件设备及机房的安全运行,三是网络病毒的防治管理,四是上网信息的安全。 (一)数据资源的安全保护。网络系统中存贮的各种数据信息,是生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下: 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份
3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻 2 ,零地电压 2V),避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。 (三)网络病毒的防治 1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后,方能上机使用。 4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
2018 XX地区XX项目 网络视频监控系统设计方案 XXXXXXXXXX 有限公司 2018/8/1
系统概述 随着社会主义市场经济的发展,社会各行业在实际应用中对安全防范行业提出了更高 的要求。而数字网络监控技术作为一种行之有效的安防和自动化管理,已被各个行业安防监控系统所广泛采用。它一方面使单位管理部门能获取各个重要场所内的情况、安全防范, 产生的大量实时信息,更有利于加强对单位的安全的管理;另一方面又可提高工作效率,达到现代化网络的管理水平。 安装数字网络监控系统,能大大减少不必要的人力、物力,实时高度监控可视区域,做到控制现场人员的实际运作现状,实时快速的反映所发生的一切事物,便于及时应付处理突发变故事件等;达到安全防范和安全管理的宏观动态监控、微观取证的目的。 根据“数字式网络视频监控”系统项目和有关部门的设计规范要求,结合我公司从事保安监控系统工程设计经验,遵循技术的先进性、系统的扩展性、整体设计的实效性和高性能价格比。在系统的设计中,强调设计的综合管理及操作性能,力求系统操作简便、实用和直观性。 系统设计强调中心监控的综合管理和操作性能,力求系统操作简便直观。一方面激活内部配置管理,利用现代计算机技术和网络技术加强过程控制,以提高管理的水平;另一方面需要使有关部门在事后获取相关录像记录,提供有效现场证据和线索,在事前,事中、事后进行全面防范。 二.设计原则 2.1基本情况介绍 一共有36 个监控点。组建这样大型的系统,根据我们对监控行业的了解和丰富的工程 经验,认为其需求主要体现在以下几个方面: 、视频监控覆盖到大楼各通道或重要区域的监控需求的地方,对其进行24小时实时视频监控,特殊区域还可以进行实时音视频监控;
视频监控工程施工方案 1、线缆的敷设和保护? (1)线缆的敷设:? 线缆的型号、规格应与设计规定相符。? 线缆的布防应自然平直,不得产生扭绞、打圈接头等现象,不应受到外力的挤压和损伤。? 线缆两端应贴有标签,应标明编号,标签书写应清晰、端正和正确。?线缆的弯曲半径应符合下列规定:? 电缆的弯曲半径至少为电缆外径的6--10倍。?主干对绞电缆的弯曲半径至少为电缆外径的10倍。?光缆的弯曲半径至少为光缆外径的15倍。? 电源线、各种线缆应分隔布放。 (2)线缆间的最小净距符合设计要求。 线缆与电力线最小净距 注:双方都在接地的金属槽道或钢管中,且平行长度小于10米时,最小间距可为10mm。
(3)布放电缆管道面积利用率: 注:线缆外径为,截面积为:A==25mm2?(4)电缆布放最大数量:?
2、水平布线? 水平布线系统主要包括从现场设备到中心主机的走线路由,水平配线系统的总体施工要求如下:? (1)布线过程中缆线的施工应尽量避免扭绞、打圈接头等现象,不应受到外力的挤压和损伤;? (2)线路的走线要作好外观防护、防雨、防火、防鼠。户内使用线槽保护,户外线管保护。?缆线两端应贴有标签,应标明编号,标签书写应清晰、端正和正确;? (3)缆线终接后,应有余量,水平配线系统在设备端预留的线长为30cm-80cm,管理配线端预留的线长为3-5m;各种端接设备应接触良好;? 3、设备中心? (1)设备中心布线主要包括监控中心的走线路由,施工要求如下: (2)设备间应提供不少于一个220V、10A带保护接地的单相电源插座。? (3)设备工作台及控制箱安装完毕后,垂直偏差度应不大于3mm,安装位置应符合设计要求。 (4)各种设备安装符合有关规定的技术要求。 4、前端设备的安装 (1)一般要求? ①按安装图纸进行安装。? ②安装前应对所装设备通电检查。? ③安装质量应符合《电气装置安装工程及验收规范》的要求。? (2)摄像机的安装? ①?安装前应对摄像机进行检测和调整,使摄像处于正常工作状态。? ②?摄像机应牢固地安装在云台上或固定位置上,所留尾线长度以不影响摄像机为宜,尾线须加保护措施。 ③?摄像机安装过程中尽可能避免逆光摄像。?
办公大楼视频监控系统设计方案
办公楼视频监控系统 二零零九年七月
1、方案概述 (5) 1.1、概述 (5) 1.2、建设宗旨 (6) 1.3、基本思路 (6) 1.4、闭路电视发展历程简介 (7) 2、设计原则.............................. .9 2.1、先进性与适用性 (9) 2.2、经济性与实用性................. .10 2.3、可靠性与安全性................. .10 2.4、开放性 (10) 2.5、可扩充性 (10) 2.6、洎求最优化的系统设备配置 (11) 2.7、保留足够的扩展容量 (11) 3、设计规范和依据 (12) 3.1、《智能建筑设计标准》 (12) 3.2、《建筑智能化系统工程设计标准》 (DB32/191-1998) (12) 3.3、《城市住宅建筑综合布线系统工程设 计规范》(CECS/119-2000) (12) 3.4、《建筑与建筑群综合面线系统工程设
计规范》(GB/T50311-2000) ............ .12 3.5、《民用建筑电气设计规范》 (JGJ/T16-92) (12) 3.6、《民用闭路监视电视系统工程技术规 范》(GB/50198-94) (12) 3.7、《系统接地的型式及安全技术要求》 (GB14050-93) (12) 3.8、《安全防范工程程序与要求》 (GA/T75-94) (12) 3.9、《安全防范工程验收规则》 (GA/T308-2001) (12) 3.10、《工业电视系统工程设计规范》(GBJ 115) ................................ .12 3.11、《安全检查防范系统通作图形符号》 (GA/74-94) (12) 3.12、《消防联动控制设备诵用技术条件》 (GB 16806—1997) (12) 3.13 >《火灾自动报警设计规范》 (GB50116-98) (12) 4、系统功能和特点 (13) 4.1、系统具有以下功能: (13)
公司内部网络安全管理办法1 公司内部网络安全管理办法 一、目的: 合理利用公司网络资源,更好服务于广大职工,同时杜绝违规上网现象,特订立本办法。 二、适用范围: 适用于公司所有电脑使用者。 三、管理内容及考核: (一)总则 1、公司建立网络信息设施、综合信息管理的网络支撑环境,实现各部门、各子公司电脑互联、支持信息资源共享,并通过Internet与互联网联接,提供互联网信息服务办公。 2、信息部负责公司网络规划,承担网络建设、管理和维护工作,并对各联网部门提供技术支持和培训,是公司网络管理的主要负责部门。 (二)上网要求 1、上网用户必须遵守《计算机信息网络国际联网安全保护管理办法》,严格执行安全保密制度,对所提供的信息负责。不得利用公司网络从事危害公司安全、泄露公司秘密等违规活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
2、上网用户必须遵守《国家计算机信息系统安全保护条例》,不在公司网络上进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。这些活动主要包括(但并不局限于)在网络上发 布不真实的信息、散布计算机病毒、使用网络进入未经授权使用的计算机、以不真实身份使用网络资源等。 3、上网用户必须接受并配合公司相关部门依法进行的监督检查,有义务向管理部门报告网上违法犯罪行为和有害信息。 4、遵守《国家计算机信息网络国际联网管理暂行规定》和国家有关法律、法规。不允许利用网络传播小道消息、散布谣言或进行人身攻击。 (三)网络开通 信息部将根据工作需要及职级开通网络,有特殊要求需由公司主管领导批准后开通。 (四)网络管理 1、上网时,禁止浏览与工作无关的内容;禁止浏览色情、反动及与工作无关的网页。浏览信息时,不要随便下载网页的信息,特别是不要随便打开不明来历的邮件及附件,以免网上病毒入侵。禁止进行与工作无关的各种网上活动。 2、邮件与网络系统都属于公司资产,公司有权监视公司内部电子邮件与网络行为。 3、为避免员工沉迷于网络、占用网络带宽、影响其它人正常使用网络工作、以及电脑感染病毒、网络无法正常运行,公司利用网络管理系统进行网络