- 1、本文档共18页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
PAGE17
安全管理方案
XXX科技股份有限公司
20XX年XX月XX日
目录
TOC\h\z\u\t标题1,1,标题2,2,标题3,3一安全设计思路 2
二安全域规划设计 2
2.1安全域划分原则 2
2.2安全域划分 4
2.3网络安全架构 5
三网络安全防护设计 5
3.1视频接入区安全设计 5
3.2网络边界区安全设计 5
3.2.1互联网出口防护 6
3.2.2内网边界防护 6
3.2.3边界互联区安全 7
3.3核心网区安全设计 7
3.3.1监控中心区 7
3.3.2管理平台区 8
3.3.3运维管理区 10
四网络安全管理 11
4.1安全管理体系 12
4.2安全加固 13
4.2.1加固目标 13
4.2.2加固内容 13
4.3应急响应 13
4.3.1应急响应处理服务 13
4.3.2运维响应服务 14
五系统数据安全 16
5.1完整校验机制 16
5.2传输加密机制 17
六故障抢修机制 17
安全设计思路
雪亮工程是一套大而全、且多层次、全方位的信息系统,单纯的防护技术有可能存在系统安全的盲区,这种盲区是对系统的某层或某些方面的安全采取了安全措施而对其他方面所有忽视。因而,在安全防护的设计上,我们采取分层控制方案,以国家信息等级保护的基础技术要求层次为主线,结合雪亮工程可能存在的安全问题,以及视频监控平台的安全需求和网络现状,将整个系统分区域、分层,进而对各区域、各层的安全采取不同的技术措施。
雪亮工程安全风险在视频信息的录制、传输、存储、转置、修改、删除等整个生命周期中,各个阶段都可能发生安全事件,不仅要在事前进行安全预警、监测和测试,还必须在事中通过安全设备和服务机制保护视频信息在下载安装、升级、使用过程中的可用性、机密性、完整性;事后通过定期对视频信息其涉及的业务逻辑和操作日志进行审计,判定是否有非法内容和恶意行为,在信息流转的全生命周期各阶段、各层次加入安全管控点,制定各阶段安全管控点的安全控制措施,以形成“事前检测+事中防护+事后审计”的全生命周期视频监控信息安全防护体系。
安全域规划设计
安全域划分原则
安全域应该以业务的逻辑为主要原则,辅以安全的原则,才能合理地对系统进行梳理,在不损失或较小损失业务运作效率的前提下来保障安全。安全的主要目的是为了保障业务系统的正常运行,超越业务逻辑来谈安全是没有意义的。安全域划分采用的原则如下:
业务和功能特性
业务系统逻辑和应用关联性
业务系统所属的管理部门和行政结构
安全特性的要求
安全要求差异:可用、保密和完整三性的要求差异,如有保密性要求的资产单独划区域;
面临威胁的差异:面临主要威胁不同,如第三方接入区单独划区域;
资产价值差异:重要与不重要资产分离,如核心生产区和管理终端区分离;
参照现有状况;
现有网络结构的状况:现有网络结构、地域和机房等;
参照现有的管理部门职权划分。
其他要求
具体到某一业务系统,安全域划分原则可以继续细化为:
功能相似、资产价值相似属于同一区域;
功能存在差异、资产价值相似,对可以提炼出功能中共同的属性的资产同属一各区域,对于不能提炼出共性的资产划分到不同区域;
功能相似、资产价值存在差异,可以判断威胁来源和影响程度,对于威胁来源和影响相似的资产同属一个区域,不同程度的划分到不同区域;
功能存在差异、资产价值存在差异,划分为不同区域;
整合业务系统到同一外部网络的所有物理边界;
根据威胁分析结果,从逻辑上整合威胁相近的外部逻辑边界。
对于同一组织机构的多个业务系统,首先逐一分析应用系统,划分安全域。分析每个应用系统安全域划分结果,充分考虑实施可行性和管理可行性,将多个系统的安全域进行合并和边界整合。多个系统安全域合并和边界整合需充分考虑以下因素:
网络结构、地域和机房等;
网络和应用管理可行性;
多系统间可能的影响;
安全技术手段实施可控制范围;
多系统等级和安全域重要程度差异;
功能相似性和威胁相似性;
安全要求相似性。
安全域划分
根据雪亮工程部署需求、业务需求以及安全保护需求,通过安全区域划分,解决各不同区域间边界控制问题;同时通过安全域内部保护的实施解决内部整体安全控制问题。这样可达到全面整体的安全防护效果。雪亮工程安全域主要分成视频接入区安全域、网络边界区安全域、核心网区安全域。
1、视频接入区安全域
政府部门、行业单位视频资源和公共区域视频资源网络由于分布广泛、地理环境复杂、监管困难等原因,可能存在设备被仿冒、替换、破坏的风险。甚至会被“接管”网络接
文档评论(0)