2025年安防行业保卫科干警安防系统操作手册.docxVIP

2025年安防行业保卫科干警安防系统操作手册

第1章网络与系统基础架构

1.1内部网与外网安全隔离策略

内部网与外网的物理或逻辑隔离是安防系统的第一道防线，必须通过VLAN（虚拟局域网）技术将办公区、监控室、指挥调度区划分为不同的广播域，严禁通过物理接口直接连接。在配置交换机端口时，需启用802.1P标签”或802.1Q标签”功能，确保所有从内网接入的外线设备（如摄像头、门禁控制器）均被标记为外部流量，并在防火墙策略中予以阻断。

针对监控网络，必须部署基于MAC地址的MAC过滤策略，仅允许授权网段（如/24）的终端发起连接，禁止非授权终端接入内网IP段。在边界网关处实施严格的访问控制列表（ACL），仅放行必要的业务端口（如80、443、239/391/392/393/443等）及视频流媒体协议（RTSP/GB28181），彻底关闭Telnet、FTP等高危管理端口。对于视频流传输，必须采用私有化协议（如RTSP、ONVIF、GB28181）替代HTTP/，防止视频流被中间人劫持或进行前端截屏、录屏攻击。

定期执行漏洞扫描与渗透测试，重点检查隔离策略的薄弱环节，确保任何未授权访问尝试均被防火墙自动拦截并记录日志，形成闭环管理。

1.2核心交换机与防火墙部署规范

核心交换机必须采用工业级安全设计，支持防篡改（Anti-Tam