? ? ? ?
需要系统中使用的硬件、软件产品的质量 需要提供足够的使用手册、维护指南等资料 需要软硬件中没有后门程序和隐蔽信道
需要在事件发生后能采取积极、有效的应急策略和措施
第14页
4 信息安全体系要求
不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
技术类安全要求通常与信息系统提供的技术安全机制有关,主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求通常与信息系统中各种角色参与的活动有关,主要是通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
根据威胁分析、安全策略中提出的基本要求和安全目标,在整体保障框架的指导下,本节将就具体的安全技术措施和安全管理措施来设计安全解决方案,以满足相应等级的基本安全保护能力。
4.1 安全技术体系要求
4.1.1 物理防护系统
4.1.1.1. 机房和办公场所的选择
机房和办公场所物理位置要远离人造和自然灾害多发的地方,例如:加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等。机房和办公场所应具备防震、防风、防雨等能力;机房不应建在建筑物的高层和地下室,以及用水设备的下层或隔壁;机房地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。
4.1.1.2. 机房出入控制
设置门禁系统,进入机房的人员进行身份鉴别并登记在案;设置视频监控系统,监控并限制进入机房人员的活动;应对机房划分区域进行管理,区域和区域
第15页
之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动。
相应采取的技术措施有:监控设备;门禁系统。 ? 监控设备
1.多路监控:能够同时对多路的视频同时进行监控,用户可以任意选择区域内的视频通道。
2.视频录像:应采用硬盘实时记录多路监控信号,免除用普通录像带录制带来的一些不便。硬盘存满前有相应操作提示。
3.视频检索与回放:可以根据用户的查询请求(如某路某时)查询录制在硬盘上的数据,并显示回放,供事后调查取证使用。回放时可以进行快进、快倒、慢进、慢倒、单帧步进等控制,图像可整图放大、局部放大。还可根据需要对录制的数据进行锁定(防止误删除)、删除、复制等操作,对图像可以进行编辑、打印等操作。
4.报警接入与报警联动:通过网络视频服务器,用户能够接入多种报警信号,包括烟感、红外探测和其他各种报警,并且能够外接多路继电器输出。
5.云台及镜头控制:一般情况下,摄像机采用定焦距、定方向的固定方式,在光照度变化大的场所应选用自动光圈镜头并配备防护罩,大范围监控区域宜选用带有转动云台和变焦镜头的摄像机。
? 门禁系统
1、脱机运行功能:控制器有存贮功能,保存有用户资料,用户刷卡开门时将记录保存。不需要电脑控制二十四小时运行;
2、设定进出门的权限:对每个门禁进行设置,确定哪些卡可以进出; 3、设定每张卡进出门的时段:设置每个门禁上每张卡在什么时间范围内可以进出;
4、主动上传功能:监控时计算机不需要扫描,而控制器主动上传信号,异常情况时同时报警;
5、实时监控功能:系统管理人员可以通过监控计算机实时查看每个门人员的进出情况、每个门的状态(包括门的开关,各种非正常状态报警等)。紧急情况发生时会打开某一个门或所有的门;
第16页
6、出入记录查询功能:系统可储存所有的进出记录、状态记录,可按不同的查询条件查询。
7、异常报警功能:当门打开时间过长,非法闯入、门锁被破坏等情况出现时,可以实现计算机报警
8、网络管理监控功能:门禁系统通常由一台计算机管理。本系统则可以在网络上任何一台有网络管理门禁软件的计算机上对整个系统进行设置、监控、查询、管理。
4.1.1.3. 防盗窃和防破坏
主要设备存放位置物理受限;主要设备和部件固定,并加上不易拆除标记;通信线路隐藏铺设;存储介质分类标记和存储;安装防盗报警设备。
相应采取的技术措施有:防盗报警器。 ? 防盗报警器
1、报警现场监听功能:输入正确密码后,在报警监听范围内,能清晰地听到现场作案者的语音、人走动、挖、撬等动作声音;能远程通过电话遥控延长或提前结束监听时间及监听情况下撤防;
2、可配各种无线防盗探测器、红外对射栅栏、烟感、煤气感、、紧急按钮;3、录音系统:可根据需要修改、重录、重放录音效果;
4、通过无线遥控器,控制该系统布防、撤防或紧急报警,使用户在实际使用中方便快捷;
5、密码操作,确保系统安全:可通过异地电话密码遥控布防和撤防; 6、外接喇叭接口、静音/警笛声报警转换。
4.1.1.4. 防雷击
购置防雷设备,进行防雷击措施的保护;设置交流电接地线;防雷保安器,防止感应雷。对于计算机网络防雷保护,由最外层到最内层必须实行多级保护:
1、最外层是直接雷击区域,危险性最高,采用AR限流避雷针保护可减少雷害。
2、电源系统采用DSOP多级保护,可将雷电过电压降到设备承受的水平。
第17页
3、网络设备间可根据其接口形式和敏感度来选择不同的电涌保护器。DLP、CSP
4、电源线应尽可能远离信号线,并避免并排敷设。否则,应采取屏蔽措施。 5、工作、保护、直流和防雷四种接地以共用同一组接地装置,接地电组值不应大于4欧姆。
相应采取的技术措施有:防雷击设备、防雷保安器等。 ? 防直击雷产品
1、阻止高层建筑物上行先导的产生;
2、具有普通避雷针的引雷作用并将雷电流导入大地的特点; 3、限制急剧上升的雷击电流,有效降低雷电流的幅值和陡度,减少雷电 感应引起的二次效应; 4、雷电通流能力强;
5、具有自身恢复功能,寿命长; 6、防水、防腐、防污闪; 7、可配雷电计数器; 8、安装方便,免维护。 ? 电源避雷器
1、采用封闭式模块一体化设计,突出联合保护功能; 2、抗雷电冲击能力强;
3、内部核心元件具有自检功能,并有带电指示装置; 4、响应时间极短,为纳秒级;
5、整体均具自检及声光告警功能,可配动作计数器;
6、残压低和全模式保护方式更适用于供电线路的一级和二级防护; 7、含有标准的遥信接点,适用于无人职守站; 8、具有热容和过流保护自动脱离电源的功能; 9、安装简便,免维护。 ? 信号避雷器
据线保护器(DLP)串接于信号传输和信号设备接口之间,保护其免受沿线来波的侵害,内部采用“π”型接线,集高能泄放、限流和箝位功能于一体,是信
第18页