信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題，是一個不容忽視的安全戰略。伴隨著各領域日常業務依賴計算機等設備來完成，敏感信息正經過脆弱的通信線路在計算機系統之間傳送，信息在存儲、處理和交換過程中，都存在泄密、被截收、竊聽、竄改和偽造的可能性，對社會造成嚴重的危害。

　　平安城市是建立在新一代信息技術支撐下的城市形態，通過信息和通信技術的應用，提升城市的管理水平，提高市民的生活質量，令城市運行和市民生活更加智能。而視頻監控系統的高清化，已經成為一個不可阻擋的趨勢，這也對視頻監控海量數據分析的安全性提出了更高的要求，信息安全的防護是完成平安城市建設的基礎。

　　在信息技術快速發展的今天，不難看出，單一的保密措施已很難保證通信和信息的安全，必須綜合應用各種保密措施，即通過技術的、管理的、行政的手段，實現信源、信號、信息三大環節的保護，藉此達到全方位保護信息安全的目的。接下來我們將針對平安城市中的物理安全、網絡安全、主機安全、數據及應用安全等分別展開具體的分析探討。

　　一、平安城市視頻監控系統整體設計要點

　　在平安城市建設中，網絡邊界劃分明確，為保證其物理上的安全，平安城市的視頻監控網絡有專門的獨立網絡即視頻專網，同時和其他的網絡進行交互，視頻監控接入端分為公安內網接入、外單位接入、社會資源監控接入，其中外單位訪問視頻專網的監控資源，社會資源監控提供單向傳輸圖像到視頻監控專網。外部單位訪問監控專網通常有2級出口，市局一級和區縣一級。市局統一管理外部單位包括區縣外部單位的授權、安全加固。在視頻專網和公安內網之間加入一套邊界接入系統、滿足了公安內網對專網視頻視頻數據的訪問、同時保證公安內網的安全。

　　為了保證網絡運行過程中不受到病毒的攻擊，可以部署殺毒軟件進行病毒的處理，在終端部署終端加固系統加強對操作系統的安全加固管理。其整體架構如(圖1)所示：

圖1：安全整體架構圖

　　二、平安城市安全防護各大分系統設計

　　物理安全

　　物理安全設計部分主要考慮機房的物理和前端安全防護。機房是放置視頻專網網絡與信息處理設施的物理區域，是生產業務的核心區域，應當對其進行嚴格保護。在機房建設中要嚴格國家、行業等其相關規定，如機房防雷接地系統電阻值不應大于4歐姆；機房安全要求：應采用封閉房間，防止有害氣體(SO2、H2S、NH3、NO2等)侵入；安裝符合法規要求的消防系統。設備間內所有設備有足夠的安裝空間。地面材料能防靜電等，同時機房中要部署UPS、防雷、防靜電、消防、精密空調、監控以及環控系統，環控系統及時的把這些設備的運行情況上傳到管理平臺，報警信息會通過現場報警器或報警短信通知相關工作人員，及時解決異情。

　　前端的物理安全主要從前端桿件的高度，選材、基礎設施以及防雷接地等方面來進行，保證桿件不易被撞、攝像機被偷等考慮。

　　網絡安全

　　區域安全隔離。通過安全網關，基于安全區域模型對內部資源和外聯單位進行區域邏輯隔離，并對安全區域之間的流量進行嚴格地訪問策略控制，通過區域安全隔離清晰地劃分出公安專網和外聯單位。

　　資源訪問控制。外聯單位能通過安全網關訪問位于公安內部網絡的視頻資源，但不能訪問其它內部資源。非授權單位無法訪問內部專網的非授權資源。

　　完成NAT地址轉換功能，內部服務器通過安全網關提供NAT Server功能，節省公網IP資源，并隱藏內部網絡結構。

　　通過安全網關的DDoS攻擊防范能力，保障內網的資源安全，必須提供HTTP Flood、DNS Flood、SIP Flood等應用層攻擊DDoS攻擊防范的能力，并應具備DDoS流量自學習能力。

　　安全網關提供對視頻流量的識別能力以及QOS帶寬保障，在帶寬范圍之內，保證視頻業務的優先傳輸。

　　可以對內部訪問外部資源進行過濾控制，有效控制內部主機對外部資源的訪問，包括微博內容過濾、論壇發帖內容過濾、身份證過濾、Office文件過濾等，形成內外網絡之間的安全保護屏障，防止泄密事件產生。

　　提供高效的日志服務功能，可以滿足用戶對攻擊、流量監控、會話流信息等日志信息進行記錄，安全網關必須提供支持日志中心進行對接，提供會話日志和安全日志分析功能。

　　同時為了保障公安內網的安全，在公安內網和視頻專網之間部署邊界接入系統，保證視頻專網和公安內網數據傳輸的安全。

　　主機安全

　　平安城市中使用的通用操作系統(包括Windows、Linux等)，都已經具備一定的安全功能，但是大部分的安全功能缺省都是未開啟的，需要通過對主機進行安全配置，從而提高主機的安全性。

　　身份鑒別安全配置。在Windows、Linux、AIX、HP-UNIX、Solaris 等操作系統中，均可對身份鑒別進行安全配置，通過安全的配置，保障身份的鑒別。

　　安全審計安全配置。在通用操作系統中，均有安全審計功能，通過相關配置，能夠對系統的重要事件進行安全審計。

　　惡意代碼防范安全配置。通過殺毒軟件系統中心、管理控制臺、防病毒服務器端和防病毒客戶端四個組成部分布置在視頻專網上，各個子系統協同工作，共同完成對整個網絡的病毒防護工作，為用戶的網絡系統提供全方位防病毒解決方案，其架構圖如(圖2)所示：

圖2：殺毒軟件邏輯示意圖

　　三、資源控制安全配置

　　資源控制對服務器中的各項資源，如：磁盤空間、CPU、內存、網絡連接等的使用情況，進行檢測和控制，如果資源不足時還要求進行報警。

　　數據安全

　　在平安城市建設中，在監控中心匯聚大量的數據，為保證數據的安全性，其主要考慮存儲設備數據的安全，要考慮存儲設備的RAID和備份機制等，保證設備的安全，同時在平安城市建設中，提倡云存儲及云計算建設，在數據安全設計時要考慮云存儲及云計算的數據的安全。

　　應用安全

　　對于平安城市中的應用軟件系統，由于其主要為公安用戶和政府用戶提供信息瀏覽服務，防護的重點是增加自身的信息防篡改能力，通過以下方式實現其應用安全防護：

　　a.加強外部用戶訪問信息系統的防護

　　在邊界入侵防御系統上針對外部對公安信息系統的訪問行為配置全面的攻擊防御、日志審計和報警策略。

　　b.加強信息系統的內容安全防護

　　在信息系統上配置全面的監控與恢復策略、日志審計和報警策略，增強信息系統的內容安全防護能力。

　　c.通過制定相關制度和流程加強信息系統備份工作

　　d.增加身份鑒別功能

　　f.按照安全策略的要求，設置相應的密碼長度、復雜度及更新時間等；

　　g.進行應用系統的升級，增加“限制非法登錄次數”和“連接超時”等功能保證應用系統能夠安全的處理登錄失敗。

　　h.增強安全審計功能

　　增強“安全審計”功能，使安全審計能夠覆蓋到應用系統的每個用戶，使審計記錄應用系統重要的安全相關事件(包括重要用戶行為和重要系統功能的執行等)，對審計記錄制定一定的保護措施，避免受到未預期的刪除、修改或覆蓋等。 　　增強通信完整性

　　i.對通信雙方約定單向的校驗碼算法，在進行通信時，雙方根據校驗碼判斷對方報文的有效性。

　　j.增強通信保密性

　　k.增強軟件容錯能力

　　l.加強應用系統對人機輸入界面中數據的有效性校驗。

　　終端安全

　　·終端加固管理

　　由于終端眾多，員工的計算機水平和信息安全意思參差不齊，由于操作系統安全設置不當而引起的安全風險越來越明顯，僅通過目前行政管理手段無法保證所有終端的安全性，需加強對操作系統的安全加固管理，其包括強化補丁安裝、超時自動鎖屏、注冊表配置管理、冗余賬號檢查、檢查賬號安全、檢查端口策略、網絡共享管理、監控非法應用和服務。

　　·終端行為管理

　　其終端行為管理主要包括：軟件安裝標準化、IP訪問和網絡應用程序監控、終端入網審計。

　　·信息防泄密管理

　　由于辦公終端數量較多，員工的辦公終端里存儲大量涉及機密的敏感信息，時常發生員工通過終端外設，如刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄，目前通過人工管理方式不僅耗時費力，而且效果并不明顯。針對此種狀況，建議加強對終端外設接口的監控，其主要包括：外設接口管理、監控USB設備使用、USB監控屬性、USB禁用屬性、USB只讀屬性、USB寫加密屬性、防止違規假設PROXY/路由器等外聯設備、文件操作審計。

　　在平安城市的建設中，安全系統的建設是其重要組成部分，其安全體系從物理、網絡、主機、應用和數據等方面，通過技術保障建立起來可靠有效的安全體系。在大量數據采集、存儲和應用的過程中，安全系統的建設，不僅給平安城市的建設提供了基礎，更保證了城市中大量數據的安全，提供了最可靠、最安全的數據存儲中心，用戶不用再擔心數據丟失、病毒入侵等麻煩，同時 “堅持積極防御、綜合防范”的方針，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進平安城市項目信息化的深入發展。