需求分析
【项目背景】:
A市公安图像监控IP网络是该市公安图像监控网络体系建设的重要组成部分,是一套独立于现有公安信息网的专用网络,是提供图像数字化应用的共享平台。
自“金盾”工程建设完成,随着公安信息网络应用不断扩展,网络负担日趋沉重,难以负担日益增加的视频信息应用需求。同时,由于公安信息网络必须与其他单位网络物理隔离,在图像信息共享方面无法满足。因此,需建立公安图像监控IP专用网络以满足各类视频图像的应用和共享需求。
公安图像监控IP网络将为公安视频图像信息的应用和共享提供高效的传输平台。为确保网络、各类视频应用及图像信息的安全、可靠,使其更好地为公安指挥决策、一线实战服务,并且能够充分利用社会图像资源,实现安全可靠地视频信息共享。
为了能够充分利用现有地各类社会图像监控资源,最大程度地发挥图像监控手段地战斗力,在确保公安图像信息与网络安全地前提下,该市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位建立共享社会图像监控资源地安全通道。具体方式为在边界处部署访问控制设备对网络流量进行状态检测和过滤,确保图像信息安全共享。
【需求分析】:
A市公安图像监控IP网络为公安视频图像信息的应用和共享提供数字化应用的共享平台。公安地的市、分县局接入了该网络,为了加强公众力度、满足视频图像共享的需求,交警总队、轨道分局、机场分局也需要接入该网络。由于A市公安图像监控IP网络是以信息共享为主要建设目标的,因此具有公安内部开放性和互连性特性。这种特性致使该市公安图像监控IP网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击。有由于公安视频图像属于涉密信息,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以嗅探网络上的信息,窃取用户的口令、数据库的信息;还可以篡改、盗取数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使信息安全问题越来越复杂。所以网络的安全性也就成为A市公安图像监控IP网络安全、高效、稳定运行的关键。根据该市公安图像监控IP网络访问控制子系统的建设,为了达到本此安全建设目标,下面我们对访问控制子系统的安全需求进行分析。
不同等级安全区域隔离,等级安全区域共享。
A市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位。各业务单位已经完成了公安图像监控系统的建设,形成了相对独立的局域网。在局域网内部各信息系统是具有相同安全保护需求、并相互信任的。这与安全域的定义完全吻合,各业务单位形成同级的安全域。为了防止各业务单位安全域内信息系统遭到攻击,需要将各业务单位安全域与A市公安图像监控IP网络逻辑隔离。通过建立边界访问控制,可以有效规避大部分基于网络层攻击对安全域造成的安全威胁,并降低系统层安全威胁对各业务单位安全域之间影响。利用边界访问控制手段,严格规范各业务单位安全域之间的数据传输及应用,防范不同安全域之间的非法访问和攻击,从而确保各业务单位应用的有序访问。
提高办公效率和防泄密,保障视频协议处理
P2P技术的迅猛发展给我们带来很大的好处,但P2P技术的广泛使用,也给网络系统带来了很大的挑战。在一个局域网中如果有用户在使用P2P软件,将会使整个局域网的带宽消耗殆尽,其它用户的网络速度会变得异常缓慢。因此为了保证A市公安图像监控IP网络的安全运行,通过安全网关设备针对p2p进行阻断或控制。
自聊天工具和电子邮件互联网使用以来,造成的泄密事件也不断出现,成为信息安全威胁主要之一。A市公安图像监控IP网络的视频图像信息是涉密信息,如果出现泄密,对A市公安系统的危害十分严重。因此在A市公安图像监控IP网络中部署安全网关设备需要具有对即时通信工具的控制、即时通讯工具和邮件的内容进行过滤的功能。
在A市公安图像监控IP网络中传输的主要协议是视频协议,包括:SIP、H.323等协议。视频协议是一种多连接协议,因此在安全网关的访问控制中需要针对视频协议的特点进行特殊的处理。不仅如此,视频协议对网络通信质量的要求高、对网络带宽的要求,并且视频协议对穿越网络设备的数据包转发率有更高的要求,因此设备具有较强性能处理能力。
在A市公安图像监控IP网络的应用层协议中处视频协议之外,还包括多种其它应用协议。如果不对这些应用协议进行控制,就会造成与视频会议抢占网络带宽,造成公安图像的延迟和不稳定,影响使用效果。为了解决上述问题,我们需要QoS(服务质量)管理。QoS(Quality of Service)是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。因此需要通过不同类别和等级、不同优先级来保证主要业务畅通运行
网友评论