监控网络安全管理方案

监控网络安全管理方案

1.项目背景

多年来，张家港海事局为更好地服务水运安全与地方经济建设、服务于长三角航运工作，依靠科技进步，努力拓展信息化基础设施建设，组建了覆盖基层单位、工作台站、执法现场船艇的有线及无线网络，建成并应用了一系列服务于海事管理与航运服务的支撑平台，为确保航运安全、船舶适航，提高通航效率与通关效率发挥了积极的作用。

其中视频监控在海事日常业务中的重要性不断加强，视频监控网络的规模也在不断的增加。现有的监控网络不仅有自建的网络还有码头单位的监控设备接入到海事局的监控网络。根据政府的统一安排与布置与公安、边防、海警等单位共享前端视频信号的要求也得上了议程。

千里之堤毁于蚁穴，随着Internet、Intranet的飞速发展，网络安全问题日益严重。由于信息泄漏、信息遭受破坏等带来的损失令人触目惊心。近几年来，张家港海事局监控网络走过了不断发展、完善的历程，现在已经拥有大量的技术先进、种类繁多的网络设备和系统，构成了一个配置复杂的综合性网络。然而，在享受着信息化的成果时，同时面临着信息安全的风险。

2.设计标准

张家港海事局信息安全系统的建设依据国家相关法律规章、国家和行业相关标准、相关研究成果等资料进行规划设计，具体如下：

1.安全标准

1)ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体

系要求》

2)GB/T 18336-2001《信息技术安全技术信息技术安全性评估准

则》

3)《计算机信息系统安全等级保护划分准则》

4)《信息安全技术信息系统安全管理要求》

5)《关于信息安全等级保护工作的实施意见（公通字[2004]66

号）》

6)《关于开展信息安全等级保护安全建设整改工作的指导意见(公

信安[2009]1429号)》

7)《关于开展全国重要信息系统安全等级保护定级工作的通知（公

信安[2007]861号）》

8)《信息系统安全等级测评报告模版（试点会议稿）》

9)《信息安全等级保护管理办法（公通字[2007]43号)》

10)《公安机关信息安全等级保护检查工作规范（公信安

[2008]736号）》

11)《信息安全等级保护备案实施细则（公信安[2007]1360

号）》

2.地方标准

1)《关于印发张家港市政府投资信息化项目管理办法（试行）的通

知》（张政发[2009]45号）

2)《江苏海事局网络管理办法》（苏海办[2010]568号）

3)江苏海事信息安全系统建设指导意见（2012年）

3.安防信息安全系统设计方面

1)《中华人民共和国公安部行业标准》（GA70-94）

2)《视频安防监控系统技术要求》（GA/T367-2001）

3)《民用闭路监视电视系统工程技术规范》(GB50198-94)

4)《工业电视系统工程设计规范》（GBJ115-87）

5)《安全防范系统通用图形符号》（GA/T75-2000）

6)《建筑及建筑群综合布线工程设计规范》（GB/T50311-2000）3.设计原则

目前我国已经进入网络信息安全的实施阶段，已经制定了国家、行业信息安全管理的相关政策、法律、法规。国家层面2014年已经建立了国家信息安全小组，开展国家级的信息安全顶层设计。现阶段按照国家通用准则建立了代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评测的技术职能机构，建立了支撑网络信息安全研究的国家重点实验室和部门实验室。根据国家通用安全准则，建设网络信息安全体系应遵循以下原则。

1.综合性、整体性原则

应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。

信息系统安全应遵循整体安全性原则，根据规定的安全策略制定出合理的信息系统安全体系结构。综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络业务系统提供全方位安全服务。

2.需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

3.一致性原则

一致性原则主要是指信息安全问题应与整个信息系统的工作周期（或生命周期）同时存在，制定的安全体系结构必须与信息系统的安全需求相一致。安全的信息系统设计（包括初步或详细设计）及实施计划、信息系统验证、验收、运行等，都要有安全的内容及措施，实际上，在信息系统建设的开始就考虑信息安全对策，比在建设好后再考虑安全措施，不但容易，且花费也小得多。

4.易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

5.分步实施原则

由于信息系统及其应用扩展范围广阔，随着信息系统规模的扩大及应用的增加，信息系统脆弱性也会不断增加。一劳永逸地解决信息系统安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

6.多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.建设目标

伴随着信息化意识的不断提高，张家港海事局的信息化应用不断增强，网络上的应用也统越来越多。全方位的、更有效的、深层次的保护和管理系统资源以及网络资源，是实现张家港海事信息系统安全建设的主要目标。

具体表现在：

●保护网络内部的信息资源，防止内部信息泄漏、被窃、篡改、删

除、假冒、抵赖；

●提供对网络资源的访问控制，针对用户应用进行管理和控制，阻

止外部入侵；

●为网络、业务应用系统、对外服务系统提供必要的安全保护；

●建立网络安全分析、审计监控及入侵检测系统，为不断提高网络

安全强度提供有效的技术手段；

●建立网络防病毒体系；

●建立内网漏洞评估体系；

●建立安全恢复机制，在安全策略出现问题时能及时恢复；

●建立完善的安全管理机制，强化安全管理。

信息安全不是一蹴而就的工作，需要整体规划，分步实施，适当超前的方式进行建设，本项目主要是进行监控网络的第一期安全体系建设，本次项目将对监控进行初步的安全建设，设立网络安全边界，网络入侵防范，接入网络安全审计系统。

5.需求分析

5.1监控网络信息系统现状

张家港海事局监控网络与内部办公网络处于同一中心交换机设备之下，同时利用光纤与下属单位直接，所有外围单位的视频信号的接入都是就近接入到监控分中心。

张家港海事局中需的网络应用包括：

1.视频监控传输系统