第一篇:水力发电厂整体安全与遥测遥控系统解决方案
水力发电厂整体安全与遥测遥控系统解决方案
经过大规模的省、市、县三级开展报警与监控系统建设项目,目前平安城市已进入密集及二期建设深化应用阶段,为进一步了解现阶段平安城市的实际应用规划,笔者全面性的探讨解决方案规划内容。
平安城市新一代项目需求
平安城市(城市监控报警联网系统)是一个覆盖整个城市的集成式、多功能、综合性的大型监控报警系统,业务范围涵盖治安、交管、消防、刑侦、内保等多个公安类别,包括图像监控与报警系统(包括车载移动视频监控终端系统)、重点要害部位监控与报警系统、居民小区技术防范系统、GPS和CAS机动车防盗防劫报警系统、道路交通监控和卡口系统、电子巡更管理系统等独立而又互相协作的子系统。
进一步探讨现状,平安城市项目严格来说是一个特大型、综合性、功能性上既复杂又强大的安防管理系统,同时需要满足治安管理、城市管理、交通管理、应急指挥等需求,而且还要兼顾灾难事故预警、安全生产监控等视频监控的需求,同时还要考虑报警、门禁等系统的配合集成以及与城市公共广播系统的联动。平安城市的应用核心是通过人防、物防及技防的三防核心技术,来建设一个完整而安全的防范系统,各个子系统间相互配合相互作用来完成的城市安全防范架构。
发展到如今,新一代的平安城市项目将走上智能化平安城市方向。其包含一个平安城市综合管理信息平台,平台里包括城市视频监控系统、数字城管系统、灾害管理及应急系统、城市能源监控管理系统及城市ITS智能交通系统、气象及环境信息收集等多个系统(如图1),利用各子系统间的数据交换平台来实现资源共享及整体监督管理。系统前端的数据将会通过视频监控系统、数据收集器等采集信息后再传输到指挥调度中心。指挥调度中心管理平台将会由视频服务器、数据库服务器、存储服务器、管理服务器、报警服务器、调度控制服务器、流媒体服务器、Web服务器、大屏显示服务器和其他应用服务器组成。这些架构及项目将成为平安城市走上智慧城市的初期解决方案架构,下文笔者从硬件及软件上分别来说明如何做好平安城市建设的重点方案——视频监控系统解决方案规划实务。
视频监控系统硬件规划
在智能化平安城市的硬件建构规划上,针对视频监控部分,考虑到实际的三级视频管理平台架构,主要包含内容有以下方面。
城市视频监控前端覆盖点
在平安城市的前端监控点上,我们可以依照环境的需求及目标物的细节程度,进行标清、HD-SDI数字高清、网络高清的摄像机配置及PTZ的选项,同时在不同地点及应用上实行不同的方式规划。
1.城市治安监控点重要部份:在城市重点部位、公共场所、主要路口路段、城市出入口、治安案件多发地带等区域设置各种适当的摄像监控点,采用光纤传输与网络传输的高清网络摄像机为主,实现24小时实时监控。
2.车载和单兵移动取证执法系统布建:采用车载和单兵移动取证执法系统能快速部署到城市及其周边的各个区域,对应急事件可快速响应,通过各级指挥中心远程调度和指挥,增强了城市治安管理的灵活性和机动性。
3.城市卡口:在城市主要出入城道路建设高清智能卡口车辆智能监测记录系统,采用一体化嵌入式高清网络摄像机对过往车辆进行自动监测和数据处理。系统采用车牌辨识与埋地线圈检测、视频检测、雷达测速等侦测方式,记录车辆照片、前排司乘人员面目特征、识别车牌号码和车身颜色等信息。
4.城市重要道路十字路口布建高清电子警察系统:在城市主要路口设置高清电子警察系统,对市区道路交通进行自动监测和数据处理。采用高架感测及埋地感应线圈检测方式,抓拍记录违章车辆高清晰照片和视频,自动识别违章车辆车牌号码。
派出所视频信息前端平台
它是最前端也是第三级平台,是位于派出所的视频信息前端平台,是视频的初步整合及摄像机管理控制部分,除了管理自己辖区内的视频摄像机之外,还要提供第二级平台所需视频。能调阅派出所辖区内所有视频信息实时画面,同时进行录像。另外也可以通过授权,调阅辖区外交界地区的特定视频进行监控及录像。
县公安局视频次控平台
公安第二级平台为县公安局视频次控中心,以县公安局为核心,组成一个完整的体系组织来管辖区内视频,县级公安局监控重要区域重点视频,并上传一级市公安局视频平台。第二级平台能调看辖区内视频,或者经过上一级公安机关授权,调看辖区外特定区域、地点的实时画面和录像。
市级公安局视频监控中心
市公安局视频监控中心,是平安城市整个视频监控的核心,可以实现全市视频信息点的调阅及摄像机控制,包含视频切换、控制和显示等功能,市级公安监控中心可以汇集全市二、三级视频信息且能监看实时画面和同步录像。
这种视频监控系统构架在结构上可为二种方式,一为分布式采集存储模式,即由派出所建设系统平台,负责视频前端镜头的采集、存储整合。二为集中式存储模式,即由区县公安局视频图像分中心负责视频前端信息的采集、存储整合,并把收集的视频分发给派出所使用。视频传输方案硬件规划
公安视频传输网络规划与建设方案系统传输的规划包含。
· 采用全IP视频监控构架的方式,这是基于三级视频传输网络的需要及实现视频与控
制相关信息的传输需要;
· 建设公安三级传输专网,采用高带宽传输才能实现高清视频传输;传输专网必须区隔独立于公安信息网以外,但可以与公安信息网做安全的互联互通;
· 派出所、公安局监控中心接入视频监控方式,采用分布式视频管理,公安局对监控做统一管理,对公安治安进行集中管理和指挥。
平台软硬件规划
平安城市视频监控系统平台都可以实现所有视频的集中管理,最大限度的实现跨级跨区域、跨部门视频监控资源共享和互联互控,保证联网的视频传输的质量,提供一个视频信息资源的统一监控检索系统,充分发挥视频监控系统在加强社会管理,提升警务效率、组织防治、预防和打击违法犯罪等方面的作用。在监控中心平台规划上必须有以下条件。
1.建设集中、统一的平安城市视频监控系统。结合全市所辖各单位图像信息建设的特点,进行统一规划、统一设计、统一管理,形成市局、县局、派出所三级,点、线、面的公共安全技术体系,实现全市图像资源的上传下达,全网图像资源共享。
2.多级联网的平安城市视频监控系统。市局和县局监控中心能调看到下属各个派出所监控中心、派出所下属的各个行政村、主要街道、社会单位的所有摄像机图像,能控制下属的各个派出所的活动摄像机。各个派出所调看、控制本辖区下属的各个监控室的所有摄像机图像。分局监控中心可以对前端监控点所属摄像机进行控制。
3.平台的兼容性。平安城市视频监控系统可以兼容国内各厂牌的DVR、DVS、NVR、IPC等类型设备,必须兼容所涉及的硬设备。
4.平台的开放性。平安城市视频监控系统必须考虑与既有全市各区县公安系统已建平台能进行无缝对接,要能与硬件整合达成一致,便利售后服务。
5.多级用户权限管理。能够结合公安机关的组织机构实行多级部门、多级用户权限管理,提供自上而下的控制与管理,上级部门可以对下级部门进行管理和控制;支持用户优先级级别管理,确保系统中高级用户和各级领导在重大情况或紧急情况下对系统的操作控制优先权。
6.应急预案。在报警发生时,可以通过应急预案实现报警联动,使平台值班人员能够及时了解报警相关信息及现场动态,并且事后可以通过报警信息查询或检索相关录像数据。
7.电子地图。在公安市局和县局监控中心可以显示所辖派出所、行政村等多级、多层的电子地图,能显示街区分布、派出所辖区范围、警力分布、小区警务室及联防点、治安点位置等。并且能点击显示监控点图像;通过电子地图可以对监控网点进行配置操作。
8.智能巡检。可以对市局和县局所辖设备进行自动巡检,值班工作人员可以随时查看系统DVR、DVS、各类服务器、工作站等工作状态以及网络状况;系统可以自动生成各监控点每天工作状况、发生故障的种类和时间等,便于主管部门全面了解监控系统运行状况,及时发
现系统中出现的问题,实现高效、智能的系统管理与维护。
9.报警联动控制。在报警发生时,能自动切换预设的摄像机,将对应的监控图像切换至相应的监视器上,并自动定位在相应的预置位上,并能实现远程预览组切换;支持任意选择摄像机进行视频群组预览。
10.报警事件转发功能。在派出所监控中心出现严重警情,需要向分局监控指挥中心请示时,可以通过调整报警级别转送到县局监控中心,在县局监控中心电子地图上闪烁提示报警点位置,并且可以弹出报警点视频图像。
11.图像的存储和备份功能。所有图像均可在各派出所及县次控中心进行统一录像,规划采用IP-SAN可以进行每天24小时的集中存储,同时可对磁盘阵列采取一定的冗余备份功能规划。
12.集中下载功能。在网络出现异常或其他情况下,前端监控点视频图像无法顺利上传至监控中心;在网络恢复后,可以进行非实时集中下载,自动从前端硬盘录像机下载视频片段,有效解决网络故障、网络带宽等引起的录像集中存储与监看问题。
13.脱机运行功能。在网络出现异常时,系统可以利用本地数据启动服务实现正常工作并生成日志文件;在网络连通后,可自动将脱机工作生成的日志上传到数据中心,保证系统安全。
14.多屏幕联动功能。在各级监控中心的工作站上,可以将前端监控点的视频图像还原成模拟信号输出到大屏幕电视墙上,实现电子地图、视频图像以及大屏幕电视墙多屏联动。
15.键盘控制功能。在监控中心可以通过键盘对远程的摄像机、云台等进行控制。如:云台控制(上下左右,自动)、摄像头控制(光圈,变倍,聚焦)。
16.加密机制。要求数据传输过程中使用加密机制,并进行全程跟踪、记录,防止被窃听、篡改等非法使用,保障系统信息安全。
以上为平安城市监控中心规划方案,也许并非完整涵盖功能与需求,但对一个监控中心的平台来说,基本的要求都已到位。
管理规划
平安城市建设的远期目标是构建城市综合预警系统和应急指挥体系,现实目标是建设一套集社会治安综合治理、城市交通管理和消防调度指挥于一体的城市警务综合管理系统,以科技创新带动警务工作创新,以资源整合带动警务工作整合,充分发挥政府其它各行政部门、城管、小区联防的力量,形成党委领导、政府组织、公安管理、警民联动、全社会齐抓共管的的社会治安综合管理的新局面,为进一步构建城市综合预警系统和应急指挥体系奠定基础。
在平安城市项目中除了各种硬件规划之外,软件部份所需要的管理服务器也是规划的重点环节,这些软件解决方案除操作系统、数据库等系统软件外,还包括各种监控管理平台、流媒体软件、监控软件、智能交通系统、电子警察系统等。平安城市综合管理信息公共服务平台,包括城市内视频监控系统、数字化城市管理系统、道路交通等多个系统,利用市区级数据交换平台实现资源共享。监督指挥调度中心管理平台由数据库服务器、存储服务器、管理服务器、报警服务器、调度控制服务器、流媒体服务器、Web服务器、显示服务器和其它应用服务器组成。
第二篇:公交车管理系统整体解决方案
公交车管理系统整体解决方案
公交车管理系统能够时刻监测公交出行路线和运行状态,公交行驶路径轨迹一目了然,车辆业务管理系统帮您快速解决车辆难题。智百盛公交车管理系统界面设计简洁、美观、其人性化的管理可以使用户轻易上手,是协助各公交公司合理和优化管理的好帮手。
公交车管理系统是一款适用于公交公司的管理软件,它包括档案管理(车辆档案、驾驶员档案、供商信息)、维修管理(车辆维修、车辆维修费用)、配件管理(配件信息、配件入库、配件库存)、事故管理(交通事故登记、期间事故数统计、期间赔偿金额统计)、提醒功能(强险提醒、年检提醒、一级保养提醒、二级保养提醒、驾驶员证件有效提醒、从业资格证有效提醒、驾驶员年审提醒、从业资格证年审提醒)。
一、公交车管理系统之车辆管理
1、车辆登记:对车辆信息进行登记,包括登记编号、车牌、车属单位、所属路线、年审上牌时间、保险信息等资料的登记。
2、轮胎管理:对轮胎的使用情况进行登记。此模块为单独模块,与配件采购、配件库存、维修没有任何关联。
3、规费登记:比如行驶证年审、二级维护、营运证年审、GPS费等,费用项目支持自定义,用户可要求实际情况进行自定义设置。
4、保险处理:对车辆保险到期进行处理。选择车牌号后会自动带入原保单号、投保时间以及保险到期时间。
5、维修登记:对车辆维修进行登记。维修可以分为内部维修与外部维修,外部维修需指定维修地点(维修厂),以便进行应付已付计算,内部维修会从配件库存中减掉。
6、配件采购:对配件采购进行入库登记。保存后,配件库存会自动更新。
7、配件库存:对配件即时库存进行查询。
二、公交车管理系统之业务管理
1、线路管理:对运营线路资料进行设置,包括线路的名称,单程耗油量、公里数、提成等。
2、排班管理:对车辆、司机、乘务员、出场时间、站点等进行排班。
3、回车登记:车辆每天回来后进行的登记,包括收入、用油量、公里数等情况。
4、排班情况表:检查排班情况。
6、车辆状况:车辆的状态分为三种,分别是“可用”、“出车”、“维修”。车辆的状态会根据出车登记、维修登记、回车报账自动跳转,也可以由操作人员手工改变其状态。
三、公交车管理系统之油卡管理
1、加油登记:对车辆加油进行登记。
2、加油卡管理:对加油卡进行管理。包括办理加油卡、设置预警金额、记录当前余额等。
3、加油卡充值:对加油卡进行充值登记,可以到其他支出里进行登记。
四、公交车管理系统之安全管理
1、安全教育登记:对驾驶员安全教育管理。此模块连接到智百盛驾驶员安全培训平台,公交车公司可通过此平台对驾驶员进行安全教育培训。
2、车辆违章登记:对车辆违章进行登记管理。用于记录车辆违章信息,包括车牌号码、驾驶员、罚款金额、违章扣分、违章地点等。
3、车辆事故登记:对车辆事故进行登记管理。用于记录车辆事故信息,包括车牌号码、驾驶员、事故责任、事故伤亡、报案编号、保险理赔等。
五、公交车管理系统之费用管理
1、其他支出:企业日常经营中的除了出车费用、固定费用、工资以外的其它费用支出。系统支持用户自定义费用项目,例如:房租、办公费用等。
2、其他收入:企业日常经营中的经营外收入。系统支持用户自定义费用项目,例如:租车、废旧品变卖等。
3、公交车管理系统之工资管理:
1)请假登记:用于驾驶员请假登记。包括请假项目、天数、扣款金额等。2)加班登记:用于驾驶员加班登记。包括加班天数、加班金额等。3)驾驶员工资设置:用于设置驾驶员的工资构成表,比如出车提成比例、基本工资、补助、奖励等。
4)驾驶员工资结算:生成员工工资结算表。
六、公交车管理系统之应收应付管理
1、应付配件采购结算:对应付配件采购费用进行结算登记。
2、应付加油结算:对应付加油费用进行结算登记。
3、应付维修结算:对应付维修费用进行结算登记。
4、应付结算单:对应付结算单据进行统计查询。
第三篇:楼宇自控系统整体解决方案研究
龙源期刊网 http://.cn
楼宇自控系统整体解决方案研究
作者:赵 颖 张 巍
来源:《沿海企业与科技》2007年第05期
[摘要]文章简要介绍楼宇自控系统的概念和结构形式,对其中有代表性的西门子S600顶峰系统,江森Metasys楼控系统和浙大中控OptaSYS Pcs—300楼控系统的组成与特点进行详细的说明,为工程技术人员在进行相关设计时提供参考和依据。
[关键词]楼宇自控系统;s600顶峰系统;Metasys楼控系统;opnSYsPcs—300楼控系统
[作者简介]赵颖,沈阳建设项目招投标中心声级工程师,辽宁沈阳,110014;张巍,武警辽宁省总队医院助理工程师,辽宁沈阳,110014
[中图分类号]F29335
[文献标识码]A
[文章编号]1007-7723(2007)05-0034-0003
自从引入微处理器技术以来,楼宇自控技术的发展已走过了20多年的历程。楼宇自控设备从没有通信功能的独立控制器发展成为具有通信功能的网络控制器,楼宇自控系统(BMS)从最初只有楼宇设备自动化系统(BAS)扩展到包含通信自动化系统(cAS)、办公自动化系统
(OAS)、防火自动化系统(FAS)和安全保卫自动化系统(SAS)。随着智能建筑的进一步发展,不仅要求楼宇自控系统本身高效、集成,而且还要求与其他系统(如物业管理系统)高效集成,称为建筑集成管理系统(IBMs)。因此,楼宇自控系统的集成直接关系到智能建筑集成系统的成败。
从楼宇自控系统的结构形式上讲,不外乎以下三种:(1)集散系统(Dcs)结构:该结构是由中央站和分站两类节点组成的分布式系统,具有管理层和自动化层两层结构。它以DDC控制器为基本单元,控制器与现场的传感器和执行器采用电气连接,信号标准为0-10V或4-
20mA,其优点是数据传输速度快,不受通信传输延时和不确定性的影响。对于信号点分布比较集中、控制策略较复杂的系统,采用这种结构形式实现较为合适。(2)现场总线系统(Fcs)结构:该结构是以单个的传感器和执行器为通信节点,信号点可发散分布,不受距离限制,其测量和控制精度不受距离影响,可实现全数字、双向、多站的数字通信,同时,在可维修性、互换性和开放性等方面都比DCS系统有较大的提高,典型代表有:LonWorks,BACnet,CANBus和以太网。(3)集散系统和现场总线综合结构:该结构分为三层,管理层采用某种网络协议进行通信,这种开放性使得管理信息集成更加容易;自动化层采用基于控制总线楼宇自动化系统数据通信协议的DDC分站控制器,该层具有以DCS为基础的经验,各种控制功能、应用软件比较完善,易于处理DDC分站之间的控制协调;现场层采用基于现场总线的I/O模块
或现场DDC控制器,在该层上控制功能相对简单,因此既能充分发挥现场总线的优点,又能避免复杂控制算法实现困难等问题。
伴随着楼宇智能化进程突飞猛进的发展,过去许多原本属于工业控制范畴的理念和技术已成功应用于楼宇自控,并结合具体现况衍生出具有鲜明自身特点的产品。许多国际化的大公司纷纷涉足于这一领域并提出了完善的解决方案,比较著名的有英国卓灵(TREND)、美国埃施朗(Echelon)、英维思(Invensys)、海湾集团(GST)、霍尼韦尔(HoneyWell)、德国西门子
(sIEMENS)、美国江森(JohnsonControls)、加拿大Delta等,在国内有浙大中控。这些公司的解决方案和产品形式各异,采用的技术和标准也不尽相同,用户可根据自身需求、成本等因素综合考虑。下面,本文就西门子$600顶峰系统、江森Metasys楼控系统和浙大中控的ODt1SYS PCS-300分散式可编程楼宇控制系统做简单的介绍,为工程技术人员提供一些设计参考。
一、S600顶峰系统
S600顶峰系统由西门子楼宇科技公司推出,该系统是以Insight图形工作站为核心,与设置在各监控现场的各类型DDC子站组成的大型集散式楼宇自动化控制系统。采用多层网络结构:管理级网络(MLN)、楼宇级网络(BLN)、楼层级网络(FLN)。其“开放式”网络结构及软硬件兼容的特点.便于与新技术结合,方便系统扩容与保护用户初期的投资。主要监控设备包括:(1)中央空调(冷冻机房、新风及空调机、主要的供风和排风机、空调系统分区开/关监控、中央空调计费系统);(2)给/排水设备;(3)公共照明系统分区、分层开/关监控;(4)变配电系统监控一高压及配电监控一通过电力变送器对整个楼宇供电情况进行监控;(5)自动扶梯和电梯监控;(6)消防系统报警监控;(7)锅炉机房及热水供应监控系统;(8)防盗系统。
1.Insight图形工作站系统特点:具有操纵者安全密码、图形化系统显示和操作、报警演示和警报管理、趋势数据的搜集、设备运转的时间表式控制、控制点的集中索引、系统数据库编辑和储存、6级密码保护、操作命令记录报告、面向Mi-crosoft Excel的趋势数据界面等。
2.模块化楼宇控制器(MBC)和远程楼宇控制器(RBC):MBC和RBC都是一种高性能的模块化直接数字控制(DDC)管理的现场控制台。现场控制台在不依靠较高层处理器的情况下,可以独立工作或联网以完成复杂的控制、监视和能源管理功能。MBC和RBC对分散的楼层网络(FLN)装置和其他楼宇系统(如制冷机、锅炉、消防,人身安全设施、保安设施和照明设备)进行中央监视和控制台在楼宇级网络上实现通信,区别在于RBC提供拨号功能以实现远程控制。
3.楼层网络控制器(FLNC):FLNC是$600顶峰系统楼宇管理和控制系统不可缺少的一部分。它是一种可编程的楼宇网络设备,作为协调器,可为多达96个楼层网络设备服务,其主要功能是在BLN上通讯将楼层网络设备信息传送到其他BLN设备。FLNC可收集到设备环境的信息,并可执行带有操作员命令和要求的控制程序,也可产生控制管理决议。
4.单元控制器(uc):UC为单独的空气处理设备的温度控制和能源管理功能提供直接数字控制(DDC)技术。单元控制器可作为独立的控制器工作,也可与局域网(LAN)连接来扩展$600顶峰系统。时间表、设置点和其他工作参数可通过使用可选小键盘显示或单元控制器接口软件来设定或改变。
5.终端设备控制器(TEC):TEC是对变风量(vAV)、定风量(CAv)、双风道、风机盘管、通风单元等末端装置提供控制的控制器的统称。典型的终端设备控制器包括:终端盒控制器(Terminal BoxController)、定风量控制(Constal Volume Controller)、双风道控制器(Dual Duct Controller)等。终端设备控制器可独立或联网工作以完成复杂的HVAC控制、监视和能量分配。
6.数字控制单元(DPU):为了控制和监视高数字点密度的远程点和区域,数字控制单元(DPU)为现场控制器(MBC、RBC、SCU和FLNC)提供了额外的数字点容量。作为现场控制器的一个扩展,DPU为远程数字点提供监视,例如低温探测器、热源探测器、流量开关、占月计数计和辅助触点等。DPU还用在电机控制中心,在多台电机运转或停转时,对它们的情况进行监视,以及对多级电加热进行步进控制。
7.模块化灯光控制器[MLc):MLC的组成包括:安装在机箱内的灯光控制模块(LCM)、电源单元以及诸如继电器控制模块(RCM)、数字输入模块(DIM)、可编程开关模块(PSM)等灯光网络(LLN)设备。灯光网络在LCM与LLN设备之间的通信采用了LON网络连接技术。该技术的特点是电源和数据共用一对双绞线,用户在电源节点的链接上几乎不受拓扑结构的限制。
二、Metasys楼控系统
江森自控公司总部位于美国威斯康辛州的密尔沃基市,创立于1885年,为财富500强公司。江森自控公司楼控部虽然在整个江森只占有一小部分,但其楼控市场在中国也占有很重要的位置。其Metasys楼控系统是一个“分散式”的建管系统,意思是将“智慧”下放到网络中的所有装置,从操作站、网络控制器到数字控制器。软件功能及数据库也是存放在网络中的每~个装置上,整个系统不存在任何一个“中央”设施,可以完全监察及控制整幢建筑物。Metasys以运行于上位机的动态图形-软件M5和中文管理软件-PMI为人机界面,以NU-NCM361-8网络控制器为核心,以DX-9121直接数字控制器为控制单元,以温度压力传感器为信息获取途径,以电磁阀和各种开关为执行机构。
1.动态图形软件M5:采用全新的动态图形界面,可伴有音乐和旁白,更生动地描述现场情况,如配置摄像头,同时可将受控设备的实时图像通过集成系统传到操作站,从而更准确直接地指导操作员应采取的动作。例如有报警信号发生时,窗口自动弹出,并在设备的相对应的区域开始变色或闪烁。通过对动态图形界面进行编程,可以快捷地实现大部分的监控功能。
2.网络控制器NU-NCM361-8:网络控制器是江森公司M5楼宇控制系统的核心器件,它不仅负责工作站与下面DDC直接式数字控制器的通讯,还负责全部系统功能,使得M5系统
在没有工作站投入运行的情况下也能按预定的程序和时间表自动管理楼宇机电设备。网络控制器内部的程序除固化的操作系统软件外,其他所有的程序都可以用江森的专用软件建立,如DDL语言和JC-BASIC编程工具言语。这样可以使整个Metasys具有最大程度的灵活性,使网络控制器能够应付不同的应用场所。
3.直接数字控制器DX-9121:是一种理想的应用于冷冻机、锅炉、空气调节、照明及相关电气设备控制的控制器,它可以和传统的可编程逻辑控制器PLC一样提供准确的直接的数字式控制。DX-9121在硬件上和软件上均具有很强的灵活性,通过加装输入输出扩展模块,DX-9121可以扩展它的输入输出点,并且还通过面板上的电光二极管显示屏查阅每一个输入输出点的状态。DX-9121的网络通讯采用了LONWORK技术,这是一种无主的点对点通讯技术。它不仅可以获得本身的输入输出点,还可以通过网络从其他的DX-9121上获得参数,这样在实际应用中可以大大扩展了DX-9121的监控范围。DX-9121获得了LONMARK认证。
4.TE-6300系列温度传感器:TE-6300系列传感器经济实用,适用于多种温度测量环境,包括室内、室外、风管、水管及风管平均温度。传感器有多种形式:1KΩ镍薄膜,1KΩ平均值,1KΩ铂薄膜,1KΩ铂等效平均值以及2.2KΩ热敏电阻。所有的传感器都带有所需的安装附件,大大方便订购和安装,从而减少调试的时间及费用。
三、OptiSYS PCS一300楼宇控制系统
浙江浙大中控信息技术有限公司创建于1999年,是浙江中控科技集团有限公司的重要组成部分。公司凭借多年来在公用工程自动化控制领域丰富的整体设计、系统集成和工程实施的基础上,依托中控集团雄厚的自动化技术、信息技术积累,成功设计开发出了基于opfisvs PCS-300分散式可编程楼宇控制系统。该系统是一套真正的分布式智能楼宇自动化控制系统。系统采用两层网络结构、两种总线方式,底层采用基于CAN总线的通信方式,上层采用工业以太网传输方式。主要模块有高性能以太网控制器模块、各类智能I/O模块、网络接口卡及相应控制器编程软件、OPC服务器软件组成。现场检测主要是通过各种传感器和测量仪表(如温度、湿度、感光、感烟、水位、液位、流量、电流和电压等)采集现场数据,通过I/O模块经CAN总线传送给以太网控制器。执行器则根据控制器发出的控制指令,完成对不同设备的控制(如各种阀门或风门的开闭与调节等)。网络管理功能由PCS工程师站来完成,包括配置设定的系统参数、选择监控方式、定义和更换节点等
OPTISYS系统中所有的DDC控制器和中央监控电脑都通过以太网连接,处于平等的地位,和传统的主从通讯方式不同。每个DDC控制器都能够独立工作,不受中央或其他控制器故障的影响,从而大大提高了整个集控管理系统的可靠性,DDC均有CPU处理器进行数据处理,并且系统可对所有的DDC进行巡检,如有DDC软件丢失,中央管理站可自动下载程序,保证了系统的运行可靠。DDC控制器的CPU主控模块和I/O扩展模块之间采用先进的CANBUS或LONWORKS总线,所有的I/O扩展模块都有自已的处理芯片,可以实现远程放置。
在此基础上,又推出的智能建筑信息监控系统AdvBMS(Building Information Management System)。AdvBMS是面向建筑自动化行业、采用子系统集成模式的,集数据采集、网络通信、自动控制和信息管理于一体,是一种可二次开发的监控管理平台软件。AdvBMS系统的整体目标是要对建筑物内所有建筑设备采用现代化技术进行全面有效的监控和管理,确保大厦内所有设备处于高效、节能、最佳运行状态,提供一个安全、舒适、快捷的工作环境。作为一套先进的综合集成管理软件,AdvBMS具有以下功能:
(1)集成大楼内的楼宇自控系统、消防报警系统、电视监控系统等弱电系统。
(2)具备流程监视、数据浏览、报警记录、实时趋势、历史趋势、分析报表、系统联动等全面功能应用。
(3)强大的实时性,实时数据的滞后时间小于3秒。系统具有操作报警、生成各种生产报表等功能。
(4)按照B/S、C/S模式设计,在内部网络或Internet上均可运行。系统对客户端访问数据的数量没有限制。
(5)彻底解决智能建筑中多种、多套弱电系统的联网、集成、管理问题。
(6)采用实时数据库技术,满足企业多工段、多车间、多过程集成需要。
(7)符合ODBC/SQL工业标准的数据库系统,能够与物业管理信息系统紧密集成。
(8)采用OPC、COM/DCOM、VBA等先进技术和开放结构,方便用户开发应用和嵌入第三方产品。
(9)操作界面友好,易学易用,其数据管理和分析工具能满足物业管理人员的需要。此外,OPTISYS楼控系统可以通过OPC或DDE网关,与国际名牌消防系统、保安系统、智能卡系统、照明控制系统、冷冻机、锅炉、高低压配电系统直接通讯连网,实现无缝集成。
四、结语
第四篇:安全防范系统解决方案
安全防范系统解决方案
第一节 技防工作在社会治安综合治理中的作用
技防工作是公安业务工作的重要组成部分,是搞好社会治安综合治理不可缺少的重要手段。随着改革开放的深化和社会的发展,社会治安形势也日趋严峻,出现了不少新情况、新问题,盗窃、入屋抢劫、盗抢机动车辆等刑事案件不断增多,在总发案中占了相当大的比例。特别是金融、文物、经营珠宝等单位或部门更是犯罪分子作案的主要对象,使国家、集体财产和人民群众的生命财产安全受到严重侵害和威胁。
为贯彻全国治安工作会议提出的实现社会治安明显好转的要求,在打击违法犯罪、维护社会稳定的工作中必须坚持“打击和防范并举,治标和治本兼顾、重在治本”的方针,一方面要坚持专门工作与群众路线相结合的策略,巩固和发展群防群治;另一方面,依靠科学技术手段大力开展技术防范,充分发挥安全技术防范手段在预防、发现、制止违法犯罪和严重治安灾害事故中的作用,对防护部位和目标进行全方位、全天候地监控,及时、准确地发现、记录犯罪,使人防、技防紧密结合起来,形成一个有效的社会治技防范网络,以增强社会治安的整体防范能力和公安机关对社会治安的控制能力,切实维护和促进改革发展稳定的大局,保证广大人民群众安居乐业,为社会主义改革开放和现代化建设提供有力保障。
打击与防范是公安工作的两条主线,把技防工作做好了,可以体现向科技要警力,可以从某种程度上降低打击犯罪的成本,有利于改善社会治安秩序,也有利于国家的政治稳定。我省技防工作的实践有力地证明了技术防范是公安机关搞好社会治安综合治理不可缺少的重要手段。“治安环境好了,投资环境也就好了”。技防工作要纳入社会治安综合治理目标管理,由各级人民政府督促有关职能部门做好管理工作。公安机关作为技防工作的行政主管部门,应该在各级党委和政府的领导和支持下,与各相关职能部门联系协作,以社会安全为中心,群众满意为出发点,引导行业健康发展,做好各项规划、管理、指导和监督工作。
第二节 常用术语和常识
1、安全防范与安全技术防范
“安全防范”是公安保卫系统的专门术语,是指以维护社会公共安全为目的采取的各种防入侵、防被盗、防破坏、防火、防暴和进行安全检查等措施与手段。这些措施与手段从大的方面分类,可分为“人防”(如巡逻人员、警卫人员、保卫人员及公安干警完成的安全保卫工作)、“物防”(如防盗门、围墙等)和“技防”。所谓“技防”也就是为了达到防入侵、防盗、防破坏等目的我们采用以电子技术、传感器技术和计算机等技术为基础制造的安全防范使用的器材设备,并使用先进的技术将其构成一个系统,使其比传统的人防与物防更加先进、可靠和严密;成为一种全天候、全方位、全自动的安全防范体系。这样的一种防范方式与防范手段,国家有关部门将其定义为“安全技术防范”,简称为“技防”。而由此应运而生的安全防范技术正逐步发展成为一项专门的公安技术学科。
安全技术防范使用的器材、设备以及其组成的系统能对入侵者做到远距离和隐蔽地发现或觉察,能快速反应,并及时抓获罪犯,对犯罪分子有强大的威慑作用。而安全技术防范又能达到及时地发现事故隐患、预防破坏,减少事故和预防
火灾发生的作用,所以它是公安保卫工作中很重要的手段,尤其是在现代化技术高度发展的今天,犯罪更趋智能化,手段更隐蔽,加强现代化的安防技术就显得更为重要。
安全技术防范涉及到社会的方方面面,社会上的重要单位、要害部门,如党政机关、军事设施、国家的动力系统、广播电视、通讯系统、国家重点文物单位、银行、仓库、百货大楼等等,这些单位的安全保卫工作极为重要,所以也就是安全技术防范工作的重点。
党政机关,存放着大量的政治、经济、军事、文化、外交和科学技术等重大决策性文件和资料,是绝对机密的材料,它关系到国民经济的发展,这些机密同党和国家的命运息息相关,一旦被盗、被窃,将会给党和国家的利益造成重大损失,甚至危及国家安全。
党政机关又是党政领导人的工作场所,他们的安全直接关系到党和国家的前程,所以公安保卫部门就把确保党和国家领导人的安全作为一项重要任务。用人防和现代化的技术防范来保证其人身安全,主要做好外围防线的周界防范,出入口的人防与技防,档案库、资料库、办公室的防入侵、防盗、防火的安全防范的系统工程。
在军事要地、国防科研和生产单位,那里存有或正在研制各种性能先进的武器装备或战略性武器,如核武器、导弹、飞机及其配套的电子或机械产品,它的研制成果直接关系到国防现代化和国家的安危,其本身就是一项机密,一旦泄密将会造成不可弥补的严重后果。这些单位的周界、出入口、生产线和库房,资料档案室是安全防范的重点。
国家的重点建设项目技术先进,机械化、自动化程度高,经济效益好,是国民经济发展的重要组成部分,它的发展直接影响到我国的财政收入,对满足人民群众日益增长的物质生活和文化生活的需要,起着重要的作用。这些重点建设项目规模大、投资大、工期长,所以建设的全过程也是我们保卫工作的全过程,所有的原材料、设计图、资料、档案、重点关键设备、资金等都是我们防范的对象。国家的重要文物单位、场所保存了我国几千年的文化历史遗产,它反映了我国各历史发展阶段的社会制度、生产、生活的真实面貌,是研究历史、继承革命的最形象的实物,具有永久性的保存价值。许多艺术品,工艺品反映了各历史阶段的艺术水平和对世界文明的贡献,所以这些文物的价值是很难用金钱来衡量的,通常称无价之宝。随着市场经济不断地深入,文物的盗窃和反盗窃的斗争日趋激烈,坚决执行国家颁布的“博物馆安全保卫工作的规定”,保护文物安全,反盗窃、反破坏是我们安防工作重点之一。
银行、金融系统、金库,历来是犯罪分子作案的重要场所。这些单位是制造、发行、储存货币和金银的重地,如果被盗、被破坏,不仅使国家在经济上蒙受重大损失,也会影响国家建设和市场稳定。储蓄所,尤其地处偏远的储蓄所是现金周转的主要场所,建立电视监控、报警、通讯相结合的安全技术防范系统是行之有效的保卫手段,实践证明取得了明显的防范效果。
大型商店、库房是国家物资的储备地,它是国民经济的重要组成部分,这里商品、资金集中、是国家财政收入的重要组成部分。每天数以万计的人员流动,犯罪分子往往把此作为作案的重要场所,因此这些场所的防盗、防火是安防工作的重点。居民区的安全防范关系到社会的稳定,是社会安全防范的重点,决不能掉以轻心。社会治安的好坏,直接影响每个公民的人身安全和财产安全,以及每个公民建设社会主义的积极性。安定团结是建设有中国特色的社会主义不可缺少的基础条
件,所以加强防火、防盗的职能,安装防撬、防砸的保险门,建立装有门窗开关报警器为主的社区安防系统是行之有效的防范手段。
利用安全防范技术进行安全防范首先对犯罪分子有一种威慑作用,使其不敢轻易作案。如小区的安防系统、门窗的开关报警器能及时发现犯罪分子的作案时间和地点,使其不敢轻易动手。商店、自选市场的电视监控系统使商品和自选市场的失窃率大大减少,银行的柜员制和大厅的监控系统也使犯罪分子望而生畏,所以对预防犯罪有相当作用。
其次,一当出现了入侵、盗窃等犯罪活动,安全技术防范系统能及时发现,及时报警,电视监控系统能自动记录下犯罪现场以及犯罪分子的犯罪过程,以便及时破案,节省了大量人力、物力。重要单位,要害部门安装了多功能、多层次的安防监控系统后,大大减少了巡逻值班人员,以提高效率,减少开支。
安装了防火的防范报警系统就能在火灾发生的萌芽状态及时得到扑灭,以避免重大火灾事故的发生。
将防火、防入侵、防盗、防破坏、防暴和通讯联络等各分系统进行联合设计,组成一个综合的、多功能的安防控制系统是我们从事安全技术防范工作的管理人员和工程技术人员的努力方向。
2、安全防范产品、安全防范系统与安全防范(系统)工程
安全防范产品
用于防入侵、防盗窃、防抢劫、防破坏、防爆安全检查等领域的特种器材或设备。
安全防范系统
以维护社会公共安全为目的,运用安全防范产品和其他相关产品所构成的入侵报警系统、视频安防监控系统、出入口控制系统、防爆安全检查系统等;或由这些系统为子系统组合或集成的电子系统或网络。
安全防范(系统)工程
以维护社会公共安全为目的,结合运用安全防范技术和其他科学技术,为建立具有防入侵、防盗窃、防抢劫、防破坏、防爆安全检查等功能(或其它组合)的系统而实施的工程。通常也称为技防工程。
安全防范系统通常包含的子系统:
入侵报警系统
利用传感器技术和电子信息技术探测并指示非法进入或试图非法进入设防区域的行为、处理报警信息、发出报警信息的电子系统或网络。
视频安防监控系统
利用视频技术探测、监视设防区域并实时显示、记录现场图像的电子系统或网络。
出入口控制系统
利用自定义符识别或/和模式识别技术对出入口目标进行识别并控制出入口执行机构启闭的电子系统或网络。
电子巡查系统
对保安巡查人员的巡查路线、方式及过程进行管理和控制的电子系统。停车库(场)管理系统
对进、出停车库(场)的车辆进行自动登录、监控和管理的电子系统或网络。
防爆安全检查系统
检查有关人员、行李、货物是否携带爆炸物、武器和/或其他违禁品的电子设备系统或网络。
安全管理系统
对入侵报警、视频安防监控、出入口控制等子系统进行组合或集成,实现对各子系统的有效联动、管理和/或监控的电子系统。
3、安全防范的三种基本防范手段:人防、物防和技防
人力防范(人防)
执行安全防范任务的具有相应素质人员和/或人员群体的一种有组织的防范行为(包括、组织和管理等)。
实体防范(物防)
用于安全防范目的、能延迟风险事件发生的各种实体防护手段[包括建(构)筑物、屏障、器具、设备、系统等]。
技术防范(技防)
利用各种电子信息设备组成系统和/或网络以提高探测、延迟、反应能力和防护功能的安全防范手段。
第五篇:内网安全整体解决方案
内网安全整体解决方案
内网安全整体解决方案
二〇一八年五月
第 i 页 内网安全整体解决方案
目录
第一章 总体方案设计......................................................................................................................................3 1.1 依据政策标准...............................................................................................................................................3 1.1.1 国内政策和标准..................................................................................................................................3 1.1.2 国际标准及规范..................................................................................................................................5 1.2 设计原则.......................................................................................................................................................5 1.3 总体设计思想...............................................................................................................................................6 第二章 技术体系详细设计..............................................................................................................................8 2.1 技术体系总体防护框架...............................................................................................................................8 2.2 内网安全计算环境详细设计.......................................................................................................................8 2.2.1 传统内网安全计算环境总体防护设计..............................................................................................8 2.2.2 虚拟化内网安全计算环境总体防护设计........................................................................................16 2.3 内网安全数据分析.....................................................................................................................................25 2.3.1 内网安全风险态势感知....................................................................................................................25 2.3.2 内网全景流量分析............................................................................................................................25 2.3.3 内网多源威胁情报分析....................................................................................................................27 2.4 内网安全管控措施.....................................................................................................................................27 2.4.1 内网安全风险主动识别....................................................................................................................27 2.4.2 内网统一身份认证与权限管理........................................................................................................29 2.4.1 内网安全漏洞统一管理平台............................................................................................................32 第三章 内网安全防护设备清单.....................................................................................................................33
第 ii 页 内网安全整体解决方案
第一章 总体方案设计
1.1 依据政策标准
1.1.1 国内政策和标准
1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)4.《信息安全等级保护管理办法》(公通字〔2007〕43号)5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
10. 国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
11. 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
12. 国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13. 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》
14. 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求
第 3 页 内网安全整体解决方案
第2部分:云计算安全扩展要求(征求意见稿)》
15. 《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》
16. 《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
17. 《信息安全技术 信息系统安全等级保护基本要求》 18. 《信息安全技术 信息系统等级保护安全设计技术要求》 19. 《信息安全技术 信息系统安全等级保护定级指南》 20. 《信息安全技术 信息系统安全等级保护实施指南》 21. 《计算机信息系统 安全等级保护划分准则》 22. 《信息安全技术 信息系统安全等级保护测评要求》 23. 《信息安全技术 信息系统安全等级保护测评过程指南》 24. 《信息安全技术 信息系统等级保护安全设计技术要求》 25. 《信息安全技术 网络基础安全技术要求》
26. 《信息安全技术 信息系统安全通用技术要求(技术类)》 27. 《信息安全技术 信息系统物理安全技术要求(技术类)》 28. 《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》 29. 《信息安全技术 信息系统安全管理要求(管理类)》 30. 《信息安全技术 信息系统安全工程管理要求(管理类)》 31. 《信息安全技术 信息安全风险评估规范》 32. 《信息技术 安全技术 信息安全事件管理指南》 33. 《信息安全技术 信息安全事件分类分级指南》 34. 《信息安全技术 信息系统安全等级保护体系框架》 35. 《信息安全技术 信息系统安全等级保护基本模型》
第 4 页 内网安全整体解决方案
36. 《信息安全技术 信息系统安全等级保护基本配置》
37. 《信息安全技术 应用软件系统安全等级保护通用技术指南》 38. 《信息安全技术 应用软件系统安全等级保护通用测试指南》 39. 《信息安全技术 信息系统安全管理测评》
40. 《卫生行业信息安全等级保护工作的指导意见》
1.1.2 国际标准及规范
1.国际信息安全ISO27000系列 2.国际服务管理标准ISO20000 3.ITIL最佳实践 4.企业内控COBIT 1.2 设计原则
随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷
第 5 页 内网安全整体解决方案 等安全事件的发生
如上图所示,本项目的设计原则具体包括:
整体设计,重点突出原则 纵深防御原则
追求架构先进、技术成熟,扩展性强原则 统一规划,分布实施原则 持续安全原则 可视、可管、可控原则
1.3 总体设计思想
如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:
第 6 页 内网安全整体解决方案
一个体系
以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。
三道防线
结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。
四个安全能力
采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。
预测能力:通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。
防御能力:采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。
检测能力:通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。
响应能力:与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间内,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。
第 7 页 内网安全整体解决方案
第二章 技术体系详细设计
2.1 技术体系总体防护框架
在进行内网安全防护技术体系详细设计时,充分考虑某单位内部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》,通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》切实做到内部网络安全的风险可控。
三重防护主要包括:内网安全计算环境、内网安全数据分析、内网安全管控措施。
2.2 内网安全计算环境详细设计
2.2.1 传统内网安全计算环境总体防护设计
第 8 页 内网安全整体解决方案
如上图所示,在内网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体内容包括:
网络层安全防护设计
1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2、在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3、在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 应用层安全防护与设计
1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护
第 9 页 内网安全整体解决方案
2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 数据层安全防护与设计
1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制
2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密
2.2.1.1 内网边界安全
2.2.1.1.1 内网边界隔离
严格控制进出内网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。2.2.1.1.1 内网恶意代码防范
病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从内网边界入手,切断传播途径,实现网关级的过滤控制。
建议在该区域部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
第 10 页 内网安全整体解决方案
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。2.2.1.1.3 内网信息隔离防护
建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
2.2.1.1 内网主机安全
2.2.1.1.1 内网用户行为管控
上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。2.2.1.1.2 内网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管
第 11 页 内网安全整体解决方案
理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。
为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题:
入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。
违规终端不准入网 违规终端定义
外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办公用终端(员工私人终端等);
违规终端:未能通过身份合法性、安全设置合规性检查的终端。
入网终端安全修复合规化
终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。
内网基于用户的访问控制
内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。2.2.1.1.3 内网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常
第 12 页 内网安全整体解决方案
适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。2.2.1.1.4 内网服务器安全加固
建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。2.2.1.1.5 内网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
第 13 页 内网安全整体解决方案
建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.1.1 内网应用安全
2.2.1.1.1 内网应用层攻击防护
建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行
2.2.1.2 内网数据安全
2.2.1.2.1 内网数据防泄密
建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。
员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开
第 14 页 内网安全整体解决方案
使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。
1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2)员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;
3)存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4)员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计
建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等)结构操作类(如create、drop、alter等)
事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。
第 15 页 内网安全整体解决方案
2.2.2 虚拟化内网安全计算环境总体防护设计
2.2.2.1 划分虚拟安全域
图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略
第 16 页 内网安全整体解决方案
类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
南北向流量访问控制
第 17 页 内网安全整体解决方案
在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
2.2.2.2 内网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
第 18 页 内网安全整体解决方案
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。
2.2.2.3 安全域访问控制
为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。
对于虚拟网络边界进行区域请求控制 VPN接入边界访问控制 Vlan访问控制
2.2.2.4 iaas系统虚拟化安全规划
虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系
第 19 页 内网安全整体解决方案
虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。
2.2.2.5 虚拟资产密码管理
为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全
2.2.2.6 虚拟主机安全防护设计
虚拟主机安全防护设计主要实现如下目标: 资产清点
自动化的进行细粒度的风险分析 安全合规性基线检查
对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析
第 20 页 内网安全整体解决方案
如上图所示,通过收集主机上的操作系统、中间件、数据库等配置数据,准确分析应用系统在不同层面的配置信息,结合第三方病毒库进行漏洞和风险分析,并及时给出整改加固建议。
2.2.2.7 内网虚拟化安全运维平台
2.2.2.7.1 集中账号管理
在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号,统一维护云平台与服务器管理帐号,实现与各云平台、服务器等无缝连接。
第 21 页 内网安全整体解决方案 2.2.2.7.2 统一登录与管控
用户通过云堡垒机管理系统单点登录到相应的虚拟机,且所有操作将通过云堡垒机系统进行统一管控,只需要使用云堡垒机提供的访问IP、用户名、密码登录后,用户即可登录相应的云平台与服务器,而不需要反复填写对应云平台与服务器的地址、用户名、密码。
用户可通过vsphere client登录vmware vsphere云平台进行管理,输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。
第 22 页 内网安全整体解决方案
2.2.2.7.3 记录与审计
通过云堡垒机管理系统的访问历史记录回放功能,可随时查看每个用户对所属服务器、虚拟机的访问情况。
windows历史访问回放
第 23 页 内网安全整体解决方案
linux历史访问回放
在回放过程中,用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度,快速定位到用户可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 页 内网安全整体解决方案
云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话,实时监控,以及中断会话。2.2.2.7.1 权限控制与动态授权
云堡垒机系统统一分配系统角色对应的云平台与服务器权限,当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限,不一致时,可通过云堡垒机的动态授权功能,对角色的云平台与服务器权限进行方便灵活变更。
2.3 内网安全数据分析
2.3.1 内网安全风险态势感知
建议部署态势感知系统,检测已知位置的终端恶意软件的远控通信行为,定位失陷主机,根据态势感知设备的告警信息,采集、取证、判定、处置内网终端主机上的恶意代码,针对未知恶意文件攻击,将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行,根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序,及植入攻击行为。检测各类植入攻击:邮件投递,挂马网站,文件下载,准确识别0day、Nday漏洞入侵的恶意代码
2.3.2 内网全景流量分析
建议部署内部网络流量分析系统,数据的传递介质是网络协议,网络流量作
第 25 页 内网安全整体解决方案
为网络协议中最有价值的安全分析维度,其本身就承载着重要的风险识别作用,针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征,因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。
2.3.2.1 基线建模异常流量分析
流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法,首先确定正常的网络流量基线,然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,这些基本特征比较详细地描述了网络流量的运行状态。
总体设计 网络流量异常检测模型的总体设计思路是:从网络的总出口采集数据,对每个数据包进行分类,将它的统计值传到相应的存储空间,然后对这些数据包进行流量分析
2.3.2.2 流量分析引擎
对采集到的数据进行分析处理。通过建立正常网络流量模型,按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略,能够自动学习最近的流量情况,从而调整检测的准确度。
建立正常网络流量模型 要进行流量异常检测,必须首先建立正常的网络流量模型,然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测,利用网络流量的历史行为检测当前的异常活动和网络性能的下降。因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来,使其能够准确反映网络活动。
在系统运行时,统计当前流量行为可测度集,并同正常的网络基线相比较,如果当前流量行为与正常网络基线出现明显的偏离时,即认为出现了异常行为,并可进一步检测分析;如果两种行为没有明显偏差,则流量正常,更新正常网络流量模型。
通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统
第 26 页 内网安全整体解决方案
计量、阈值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
2.3.2.3 异常的互联关系分析
对于不符合白名单和灰名单的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流自动生产报警或提取到白名单。
2.3.3 内网多源威胁情报分析
建议在内网部署多源威胁情报分析,通过对不同源头威胁情报的统一汇总、分析、展示等功能,极大提高情报告警准确率,帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时,可进行协同式研判,提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报,便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要,使安全加固工作处于主动、积极、有效的工作场景之中。
2.4 内网安全管控措施
2.4.1 内网安全风险主动识别
2.4.1.1 基于漏洞检测的主动防御
云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具,可以为用户提供定期的安全风险检测,基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。
第 27 页 内网安全整体解决方案
2.4.1.1.1 漏洞检测范围
操作系统:Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
数据库:MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
网络设备:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趋势科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
应用系统:各种Web服务器应用系统(IIS、Apache Tomcat、IBM lotus……)、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统(Vmware、Virtual Box、KVM、OpenStack等等)、邮件服务器应用系统(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 识别漏洞类型 系统漏洞类型
Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、第 28 页 内网安全整体解决方案
FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞(含RPC、NFS、主机后门、NIS、SNMP、守护进程、PROXY、强力攻击……) web漏洞类型
微软IIS漏洞检测、Apache漏洞检测、IBM WebSphere漏洞检测、Apache Tomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBM Lotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、Netscape Enterprise漏洞检测、Sun iPlanet Web漏洞检测、Oracle HTTP Server漏洞检测、Zope漏洞检测、HP System Management Homepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、Abyss Web Server漏洞检测、以及其他Web漏洞检测等Web服务器的扫描,尤其对于IIS具有最多的漏洞检测能力,IIS漏洞大于155种 数据库漏洞类型
MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以扫描数据库大于三百五十多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议 2.4.1.1.3 内部主动防御
根据漏洞扫描结果,给予定制化安全加固方案,结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务,配合用户第一时间完成修复工作,我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性,从用户安全运维、业务系统稳定运行的角度出发,给出可落地的安全加固方案。
2.4.2 内网统一身份认证与权限管理
建议构建统一身份认证与权限管理系统,建立统一身份库,业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、第 29 页 内网安全整体解决方案
系统管理人员通过统一认证入口,进行统一的身份认证,并对不同人员设置不同的访问权限,并实现所有用户登录及访问行为分析和审计。
2.4.2.1 统一用户身份认证设计
建立的统一身份库,包括运营身份库和业务人员身份库,使用户在统一身份库中,只有唯一身份标识,用户向统一认证平台提交的证明是其本人的凭据,根据系统级别不同,采用的认证方式不同,每个应用系统都有自己的账户体系,这些账户被看做是访问一个信息资产的权限,管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证,而是通过统一的身份认证入口进行认证,通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示:
2.4.2.2 统一用户权限管理设计
一、外部用户
二、内部用户
1、运维人员的权限管理
第 30 页 内网安全整体解决方案
2、业务人员的权限管理
2.4.2.3 业务内容身份鉴别与访问控制设计
一、内部访问设计
内部访问设计主要面向内部用户,通过验证后会加入到统一用户身份认证与权限管理平台身份库,经过认证策略判定,录入认证策略库,最后通过堡垒机实现内部访问。
二、外部访问设计
身份合法验证,通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库,经过认证策略判定并录入认证策略库,经过多因素认证资源池(包
第 31 页 内网安全整体解决方案
括指纹、二维码、RSA令牌等)实现外部应用的系统资源访问。
2.4.1 内网安全漏洞统一管理平台
建议部署安全漏洞统一管理平台,按照组织架构或业务视图建立资产管理目录,快速感知不同资产层级的漏洞态势,解决内部漏洞无法与业务系统自动关联分析的问题,为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据,并去重合。形成某单位自身的漏洞信息库,赋予漏洞数据空间、时间、状态和威胁属性,形成每个信息系统的漏洞信息库,并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要,解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题,实现漏洞管理流程化、自动化、平台化及可视化。
第 32 页 内网安全整体解决方案
第三章 内网安全防护设备清单
云防火墙 硬件防火墙 云waf 硬件waf IPS 防病毒网关 上网行为管理 隔离网闸 流量分析系统
多源威胁情报分析系统 安全漏洞统一管理平台 堡垒机 云堡垒机 数据库审计 态势感知平台 系统漏洞扫描器 Web漏洞扫描器 数据库漏洞扫描器 镜像文件加密 云堡垒机 云数据库审计 统一身份证书
虚拟终端加固及防护软件 虚拟主机加密机 数据防泄密 网络准入设备 服务器加固软件
第 33 页
点击咨询 