智慧交通安全设计方案
XXX科技有限公司
20XX隔离桩年XX月XX日停车场收费管理系统
一 物理安全设计
指挥交通系统的物理安全主要涉及两个方面:前端监控点的物理安全和中心机房的物理安全。 一.1 前端监控点物理安全
前端摄像机的物理安全除了包含摄像机的防雷、防电、防水等要求,还指对摄像机恶意损坏、非法拆卸、非法更换等破坏行为具有防范措施。对于任意非法对前端摄像机的任何变动都能产生报警。
一.2 中心机房物理安全
moba平衡梁
中心机房的物理安全主要涉及以下几个方面:电源安全,环境安全和设备安全、备份与故障恢复。 1、电源安全
主要是保证监控中心内设备的配电安全,主要包括供电容量、供电电压、双路供电、不间断供电等要求;
供电容量:应满足中心机房所有设备的供电,且有20%-50%的余量。
供电电压:220V,50Hz
不间断供电:配电中心应配备备用电源,备用电源应保证对监控中心机房内关键设备延长供电不小于4发动机支撑架小时。
2、环境安全
主要指场地的选择、机房内部的防火、防潮、防水、温度控制、防静电、防雷电、防电磁辐射等。设备应能可靠运行,不会因为外部环境的变化使设备运行不稳定或损坏。
3、设备安全
粗糙的布片主要指根据对设备安全的不同要求,设备的安全可用分为如下三种:
(1)基本运行支持:信息系统的所有设备应提供基本的运行支持,并具有必要的容错和故障恢复能力。
(2)设备安全可用:支持信息系统运行的所有设备均安全可用。
(3)设备不间断运行:提供可靠的运行支持,并通过容错和故障恢复等措施,支持信息系统实现不间断运行。按要求来设计和实现设备的可用程度。
应当根据设备的重要性,设计和实现以上三种设备可用程度。
4、备份与故障恢复
本系统应支持对某些重要的数据(如配置信息、用户信息、日志、报警记录等)进行定期备份,关键设备的磁盘存储部件宜采用冗余磁盘阵列技术并支持在线更换失效部件,对重要的设备进行冗余设置,实现双机热备或冷备,对重要的数据应做异地备份。
二.1 骨干网安全设计
骨干网主要负责连接一级监控中心——二级监控中心——客户端的三级网络,主要是租用运营商的专用线路,它主要工作在网络层。从安全保障技术触发,该安全域存在的安全风险主要集中在网络层安全方面,主要有网络层的数据窃听攻击和非法窜改攻击。
针对网络层存在的安全分先,可以从两个方案解决:
1、采用安全的物理链路
本次网络主要采用运营商的专用线路,链路相对独立,安全性高。
2、采用VPN、加密服务器等安全设备来保护传输数据的完整性和机密性
骨干网传输的数据主要有两种:视频数据和控制指令。可以针对控制指令和重要的视频数据采用加密方式传输,普通视频数据明文传输。这样,既可以保证重要数据的机密性和完整性,又可以减轻加解密设备的负荷,提高网络的吞吐量。
二.2 局域网安全设计
系统管理平台作为数据交互中心,有大量的数据流进出管理平台,这些数据流中可能存在潜在的端口扫描、系统漏洞攻击等非法数据流,如果不能及时发现这些潜在攻击行为,管理平台内各种服务器的漏洞将暴露在攻击者的面前,对这些服务器的任何一个攻击,都有可能造成管理平台瘫痪,服务中断。
针对以上存在的安全风险,可以应用以下技术进行解决。
1、防火墙技术:
"防火墙"是一种重要的安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而通过监测、限制、更改跨越"防火墙"的数据流,通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。在监控报警联网系统中,建议应用"防火墙"技术,通过对网络作拓扑结构和服务类型上的隔离来加强网络安全。一般来说,在二级监控中心和一级监控中心处安装防火
墙,中心内部作为被保护的内部网络、三级监控中心作为外网,建立过滤规则和其它安全策略。由于需要处理实时视频数据流,应该采用高性能的硬件防火墙,采用ASIC芯片,直接在硬件设备中处理访问策略和加密算法,在千兆位传输速率下,仍能提供多项功能,包括:封包分析、分类、加密、解密、网络地址翻译(NAT)及会话配对等。
2、入侵检测技术:
防火墙是一种主要的周边安全解决方案。虽然防火墙能够在网络级提供访问控制,但好几个通信端口都是开放的。借助这些端口,外部用户能够与机构内的交换机通信。例如,邮件和Web服务器都要求,外部能够访问某些端口。通过这些端口,黑客可以穿过防火墙攻击服务器,将其作为公司网络的入口。
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到袭击。由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS(HIDS)。NIDS主要预防网络袭击,HIDS则主要防止服务器遭受OS和应用袭击。水煮纺大
