금융 시스템 보안 네트워킹 시스템의 전체 아키텍처는 주 지점 1 급 모니터링 센터, 주 지점 2 급 모니터링 센터, 구 현 지점 3 급 모니터링 센터의 인트라넷 아키텍처를 채택해야 합니다. 1 급 감시센터는 성급 지사, 2 급 감시센터는 시급 2 급 지사, 3 급 감시센터는 구현지사에 설치하도록 요구하고 있다. 네트워킹 시스템의 보안과 신뢰성을 보장하기 위해 은행 인트라넷 시스템은 위의 3 단계 네트워킹 아키텍처 (또는 넷콤, 통신, 모바일 회선을 대여하여 보안 사설망을 구축해야 합니다.
보안 네트워킹 시스템은 은행의 사설 인트라넷에 의존해야 합니다. 즉, 인트라넷의 기술 시스템과 현재 요구 사항을 충족해야 합니다. 인트라넷에 너무 많은 정보 흐름을 생성해서는 안 되며, 네트워크 충돌을 일으킬 수도 없습니다. 보안 모니터링 정보의 정확하고 시기 적절하며 안전한 전송 및 * * * 공유를 실현해야 합니다.
우리 내망은 다층 구조이고, 모든 영업망 모니터링은 1 층, 각지 시 모니터링 센터는 1 층, 각 성 지점 모니터링 센터는 1 층입니다. 모니터링 센터에서 관할 지역 영업점까지 내부 사무실 네트워크는 일반적으로 대역폭이 2mb 입니다. 비즈니스 데이터의 네트워크 프로토콜 등의 오버헤드를 고려하여 실제 모니터링 네트워크는 대역폭 약 50% 를 할당할 수 있으며 (즉 1Mbits), 각 영업점은 상위 모니터링 센터로 2 개의 CIF 를 전송할 수 있습니다.
네트워킹 시스템은 은행 인트라넷을 기반으로 은행 시스템 내에서 서로 다른 네트워크 플랫폼을 기반으로 하는 비디오 보안 모니터링 시스템 간의 상호 연결, 상호 운용성 및 제어를 실현해야 합니다. 네트워크 시스템의 전반적인 기본 기능은 다음과 같습니다.
A. 건설된 비디오 감시 시스템에 있는 각 공급업체 장비의 상호 연결을 실현하다.
B. 통합 비디오 압축 형식 및 프런트 엔드 제어 신호 형식을 통해 비디오 감시 비디오 스트림을 실시간으로 전송할 수 있습니다.
C. 터미널의 전자지도 페이지를 통해 감시 비디오를 볼 수 있는 전자지도 기능을 제공합니다.
D. 비디오 파일 업로드 및 비디오 재생 기능을 제공합니다. 원격으로 비디오를 모니터링하는 데 사용됩니다.
E. 비디오 매트릭스 및 ptz 제어 기능을 제공합니다.
F. 비상 경보를 처리하기 위해 모든 수준의 모니터링 센터를 설립한다.
G. 정보 보안 및 데이터 보안을 보장하기 위해 인증 및 권한 관리를 수행합니다.
1..1영업점 모니터링 시스템의 기본 구성 요소
현지 영업점의 모니터링 시스템은 일반적으로 다양한 프런트 엔드 카메라, 다양한 프런트 엔드 경보 프로브, 다양한 하드 드라이브 레코더 또는 모니터링 호스트 장치, 다양한 온라인 또는 오프라인 ATM 모니터링 호스트 장치, 금고 액세스 제어 시스템 등으로 구성됩니다.
1..1영업점 모니터링 시스템 토폴로지 다이어그램
1..1.2 영업점 기본 기능 요구 사항 모니터링
아날로그 비디오 감시 신호 수집 및 전송을 완료합니다. 모니터링 센터의 구름대, 렌즈 등의 제어 명령을 받아 장면 렌즈의 조리개, 초점 거리, 줌, 구름대의 위, 아래, 왼쪽, 오른쪽 이동을 제어합니다. RS232, RS485 및 입출력 인터페이스를 제공하고, 경고 및 현장 정보를 수집하고, 네트워크를 통해 관련 정보를 상위 모니터링 센터에 업로드합니다.
1.2 보조 모니터링 센터의 기본 구성 요소
2 차 모니터링 센터 시스템은 일반적으로 중앙 관리 서버, 디지털 매트릭스 서버, 모니터링 TV 벽, 스트리밍 미디어 서버, 모니터링 관리 스테이션 등의 장치로 구성됩니다.
1.2. 1 2 차 모니터링 센터 시스템 토폴로지 다이어그램
1.2.2 보조 모니터링 센터 기본 기능 요구 사항
A. 해당 지역의 비디오 감시 지점 관리
B. 프런트엔드 디바이스를 제어할 수 있습니다.
C. 원격 이미지의 기록, 재생 및 업로드를 수행 할 수 있습니다. 해당 지역의 중요한 데이터를 중앙 집중식으로 저장합니다.
D. 경보 액세스 및 처리 (경보 업로드 및 카메라와의 연계) 관할 범위 내 모니터링 장비에 대한 경보 이벤트를 접수하고 비디오 기록 및 처리를 수행합니다.
E. 다른 공인 클라이언트가 원격으로 액세스할 수 있도록 허용
F. 스트리밍 미디어 데이터 전달 서비스를 구현합니다. 1 차 모니터링 센터에서 영업점의 이미지를 보거나 재생해야 하는 경우 2 차 모니터링 센터의 스트리밍 미디어 서버가 영업점의 비디오 이미지를 전달하고 배포합니다.
G. 프런트엔드 영업점의 모니터링 호스트 디바이스의 경우 분포 면적, 수량 등 기본 데이터의 저장 정보를 얻을 수 있을 뿐만 아니라 순찰 기능을 통해 운영 상태를 감지할 수 있습니다.
H. 사용자 권한 (사용자 이름, 비밀번호, 권한 및 우선 순위) 설정, 3 단계 권한 관리 모드 지원, 사용자를 수퍼 운영자, 운영자 및 일반 사용자로 나누는 등 사용자 관리를 구현합니다. 가장 권한이 높은 사용자는 호스팅권을 행사하고 지사의 모든 모니터링 호스트 디바이스를 운영하며, 권한이 적은 사용자는 관련 디바이스에 대한 일부 운영 권한을 제한할 수 있습니다.
1.3 레벨 1 모니터링 센터의 기본 구성 요소
1 차 모니터링 센터 시스템은 일반적으로 중앙 관리 서버, 디지털 매트릭스 서버, 모니터링 TV 벽, 모니터링 관리 워크스테이션, 중앙 스토리지 서버 등의 장치로 구성됩니다.
1.3. 1 1 차 모니터링 센터 시스템 토폴로지 다이어그램
1.3.2 레벨 1 모니터링 센터 기본 기능 요구 사항
A. 해당 지역의 비디오 감시 지점 관리
B. 관리 관할 2 차 모니터링 센터;
C. 2 차 센터가보고 된 경보 사건을 접수하고 처리한다.
D. 관할 감시 지점의 중요한 비디오를 중앙 집중식으로 저장합니다.
E. 프런트 엔드 장치를 제어할 수 있습니다.
F. 다른 공인 클라이언트가 원격으로 액세스할 수 있도록 허용;
G. 사용자에게 직관적인 전자지도 조작 인터페이스를 제공하는 전자지도 서비스를 제공합니다.
H. 전자지도를 통한 모든 부하 모니터링 포인트 관리.
둘째, 금융 시스템 네트워킹 시스템 요구 사항
금융 시스템의 보안 네트워크 시스템은 개방형 아키텍처를 채택하고 표준화된 인터페이스와 프로토콜을 선택하며 호환성과 확장성이 우수해야 합니다. 시스템 구축은 국가 및 공안부의 관련 기준과 규범을 준수하고, 계획과 기준을 통일하고, 준비, 조사, 지도 및 시범에 중점을 두고, 해당 지역의 경제 상황에 따라 다양한 수준과 각도에서 금융 시스템 보안 네트워킹 건설을 전개해야 합니다.
새로운 보안 네트워킹 시스템을 계획하고 구축하는 과정에서 기존 경보 시스템, 비디오 감시 시스템 및 전송 리소스를 충분히 고려하고 활용해야 하며, 상향식, 안팎에서 선진적이고 호환 가능한 전통을 고수해야 합니다. 시스템 통합, 시스템 상호 연결, 자원 통합 및 정보 공유를 실현하다. 실용성을 최우선으로 하고, 시스템을 구축, 통합, 적용 및 보완하고, 시스템을' 실용공학' 으로 만들어야 한다.
보안 네트워킹 시스템과 관련된 장비는 신뢰성과 보안 요구 사항을 충족해야 합니다. 설비 선택에서는 선진적인 주류 제품을 선택하는 것이 가장 선진적인 것이 아니라 가장 믿을 수 있는 것이다. 그래야 시스템의 중단없는 운행을 보장할 수 있다. 주요 장비, 데이터 및 인터페이스는 장애 감지 및 시스템 복구와 같은 기능을 갖춘 중복 설계를 사용해야 합니다. 네트워크 환경에서의 정보 전송 및 데이터 저장은 보안에 주의하여 시스템 네트워크의 안전과 신뢰성을 보장하고 악의적인 공격과 불법 데이터 추출을 방지해야 합니다.
안방네트워킹 시스템의 응용은 자원 공유와 신속한 대응을 반영해 종합 예방 및 통제를 위한 네트워크 체계를 형성해야 한다. 시스템 운영 및 적용에 대한 감독 관리를 강화해야 합니다. 시스템 운영 및 적용에 대한 관리 원칙은 다음과 같습니다.
A. 통합 사용자 인증 관리를 사용합니다. 시스템의 모든 수준의 사용자는 자신의 * * * 공유 플랫폼에서 계정을 열고 권한을 할당할 수 있는 권한이 있는 경우에만 권한 내의 해당 모니터링 지점의 실시간 이미지와 히스토리 이미지를 찾아볼 수 있습니다.
B. 다중 레벨 사용자 권한 관리 메커니즘을 사용하여 사용자의 무단 작동을 방지해야 합니다. 서버 장치는 개별 기능을 설정하고 원격 사용자가 특정 기능에 액세스할 수 없도록 하여 관리자 비밀번호가 도난되더라도 중요한 서버는 영향을 받지 않도록 해야 합니다.
C. 서버 디바이스는 특정 IP 또는 IP 네트워크 세그먼트의 클라이언트만 액세스를 제한하거나 허용할 수 있어야 합니다. 사용자 이름과 암호가 불법 사용자에 의해 추측되거나 철저한 방법으로 해독되는 것을 방지하기 위해 제한된 IP 주소의 사용자에 대해서만 액세스를 설정하는 것은 매우 효과적인 보안 정책입니다.
D. 사용자의 일상적인 운영 및 시스템의 중요한 이벤트는 로그에 기록되고 로그 데이터는 데이터베이스에 분류됩니다. 하드웨어 장애로 인한 데이터 손실을 방지하기 위해 데이터베이스를 정기적으로 백업해야 합니다. 서버 간 데이터 백업을 수행할 수 있으며 심각한 장애 발생 시 데이터 파일을 복구할 수 있습니다.
네트워크로 연결된 시스템의 비디오 감시 시스템은 경보 연계 시스템과 일치해야 합니다. 네트워크 시스템 구축, 적용 및 관리 현황에 따라 워크플로우는 일상적인 관리 프로세스와 경보 연계 및 비디오 감시 프로세스의 두 가지 범주로 나눌 수 있습니다.
A. 일일 관리 프로세스: 2 차 모니터링 센터 (지점 모니터링 센터) 는 각 경보 지점, 모니터링 지점에서 전송되는 순찰 정보, 이벤트 정보, 비디오 정보 등 일상적인 관리 정보를 받고, 2 차 모니터링 센터는 이러한 정보를 식별, 분류, 처리하고 업로드해야 하는 중요한 정보를 1 차 모니터링 센터 (지점 모니터링 센터), 1 차 모니터링으로 업로드합니다
B. 경보 연계 및 비디오 감시 프로세스: 1 차 모니터링 센터 (분모니터링 센터) 는 모바일 포인트 경보, 포인트 자동 경보 또는 수동 경보 정보를 수신하고, 자동 연계 또는 수동 연계 공안 비디오 감시 시스템을 통해 경보를 검토하고, 사후 처리 경보를 확인하고, 에스컬레이션이 필요한 중요한 경보를 1 차 모니터링 센터 (분모니터링 센터) 에 에스컬레이션한 다음 1 차 모니터링 센터에서 적절히 처리합니다. 경고를 처리한 후 시스템 정상 상태를 복원합니다.
2. 1 비디오 전송 요구 사항
2.1..1네트워크 대역폭
네트워크 대역폭은 시스템의 정상적인 작동을 보장하는 대역폭 요구 사항입니다. 이는 비디오 감시 시스템이 동시에 전송하는 비디오 수에 따라 달라집니다. CIF 비디오 이미지의 최소 대역폭 요구 사항은 256 킬로비트/초이고, D 1(4CIF) 비디오 이미지의 최소 대역폭 요구 사항은 768 킬로비트/초입니다. .....
모든 수준의 모니터링 센터의 네트워크 대역폭 요구 사항은 프런트 엔드 디지털 모니터링 비디오를 수신하는 데 필요한 네트워크 대역폭과 관련 데이터를 전달하는 데 필요한 네트워크 대역폭의 두 부분으로 구성됩니다. 프런트 엔드의 디지털 모니터링 비디오를 수신하는 데이터와 전달된 데이터의 합계를 기준으로 각 수준의 모니터링 센터 총 대역폭에 대한 최소 요구 사항을 계산합니다. 모든 수준의 모니터링 센터에 필요한 일반 네트워크 대역폭은 최소 요구 사항인 1.5 배가 되어야 합니다.
각 액세스 시스템 사용자 터미널에 대한 최소 대역폭 요구 사항, CIF 형식은 (총 비디오 채널 수 모니터링) ×256Kbits/s 로 계산해야 합니다. D 1 형식의 경우 (총 감시 비디오 수) ×768Kbits/s 로 계산해야 합니다. 일반 네트워크 대역폭은 최소 요구 사항인 1.5 배여야 합니다.
2. 1.2 이미지 형식
시스템에서 지원하는 이미지 형식은 CIF 이며 D 1 (4CIF) 까지 확장할 수 있습니다. CIF 이미지의 크기는 352×288 픽셀입니다. D 1 (4CIF) 의 이미지 크기는 704×576 픽셀입니다.
2. 1.3 비디오 프레임 속도
로컬로 녹음할 때는 비디오 프레임 속도가 초당 25 프레임 이상이어야 합니다. 이미지 형식 크기가 CIF 이면 네트워크에서 전송되는 비디오 프레임 속도가 15 프레임/초 이상이어야 합니다. 이미지 형식 크기가 D 1(4CIF) 이면 네트워크에서 전송되는 비디오 프레임 속도가 10 프레임/초 이상이어야 합니다.
2. 1.4 비디오 전송 지연
비즈니스 모니터링 지점의 시스템 비디오 이미지에서 보조 모니터링 센터로의 네트워크 지연은 1.5s 미만이어야 하며, 보조 모니터링 센터는 스트리밍 미디어 서버를 통해 1 차 모니터링 센터로 전달된 비디오 이미지는 3s 미만이어야 합니다.
2. 1.5 비디오 백업 시간
일반 동영상 녹화는 감시 호스트 장치에 30 일 이상 보관해야 하고, 중요한 부위의 CCTV 는 60 일 이상 보관해야 한다. 돌발 사건이나 사건의 동영상은 백업 및 보존을 위해 1 차 모니터링 센터의 중앙 스토리지 서버로 전송해야 합니다.
2. 1.6 오디오 및 비디오 동기화
오디오와 비디오 간의 동기화 차이는 500 ms 미만이어야 합니다.
2. 1.7 경보 응답 처리 시간
2 차 모니터링 센터가 영업망을 모니터링하는 경고를 받으면 응답 처리 시간은 60s 미만이어야 하고, 경고 정보는 2 차 모니터링 센터를 통해 1 차 모니터링 센터로 전송되는 시간은 5s 미만이어야 합니다.
2.2 보안 기술 요구 사항
2.2. 1 네트워크 보안
외부 네트워크 격리
네트워크 시스템의 절대 보안을 보장합니다. 네트워킹 시스템은 은행 인트라넷 플랫폼에 엄격하게 구축되어야 하며, 외부 네트워크와는 완전히 물리적으로 격리되어 보안 네트워킹 시스템이 어떠한 외부 네트워크 및 공용 네트워크 시스템 (VPN 전용 네트워크 모드도 사용 가능) 을 통해 연결 및 액세스할 수 없도록 해야 합니다.
인트라넷 격리
본사 인트라넷 하위 시스템, 주정부 지점 네트워크 하위 시스템 및 지방 지점 네트워크 하위 시스템이 상호 연결된 경우 방화벽을 통해 격리해야 합니다. 방화벽의 기술적 요구 사항은 비순수 소프트웨어 구현, 주소/프로토콜 필터링 지원, 패킷 필터링 지원, 보안 인증 및 원격 관리 지원, 1024 이상 동시 네트워크 연결 지원, 단일 연결 최대 대역폭 2 mbits/s 이상입니다.
2.2.2 정보 보안
승인
네트워크로 연결된 시스템은 역할 기반 액세스 제어 모델을 채택해야 하며 다음 작업에 대한 권한 부여를 지원해야 합니다.
A. 클라이언트 워크스테이션은 1 차 모니터링 센터 서버 (로그인, 찾아보기, 읽기, 수정, 삭제 등) 에 액세스합니다. );
B. 모든 수준의 시스템에서 여러 사용자 수준을 정의해야 합니다. 각 수준마다 서로 다른 권한 목록이 있어야 합니다. 각 하위 시스템에는 해당 하위 시스템의 각 법적 사용자에게 적절한 수준을 할당하는 별도의 보안 관리자가 있어야 합니다.
C. 시스템은 강제 액세스 제어를 구현해야합니다. 보안 관리 외부 구성원을 제외한 어떤 사용자도 권한을 무단으로 변경하거나, 월권 작업을 하거나, 권한을 다른 사용자에게 위임할 수 없습니다. 보안 관리자는 권한 부여 기능을 제외하고 시스템의 다른 데이터를 찾아보기, 수정 또는 삭제할 수 없습니다.
D. 시스템의 모든 권한 변경 작업은 해당 로그 시스템에 의해 기록되고 참조용으로 잘 보존되어야 합니다.
증명
A. 시스템에서 사용하는 인증 시스템은 컴퓨터 시스템의 사용자 인증, 컴퓨터 시스템의 사용자 인증, 컴퓨터 시스템의 다른 컴퓨터 시스템에 대한 인증의 세 가지 측면을 포함합니다.
B. 사용자 인증은 암호 및 인증 장치라는 2 요소 인증을 사용해야 합니다. 사용자는 암호와 관련 인증 하드웨어 장치를 모두 정확하게 제시해야 인증을 받을 수 있다.
C. 시스템은 가능한 한 한 한 한 번 인증을 지원해야 합니다. 즉, 사용자가 한 번의 인증 작업으로 시스템을 사용할 수 있으므로 다른 하위 시스템에 액세스할 때 인증을 반복할 필요가 없습니다.
D. 성공 및 실패를 포함한 모든 인증 작업은 관련 로깅 시스템에 의해 기록되고 참조용으로 안전하게 저장되어야 합니다.
액세스 제어
시스템이 방문자 id 를 성공적으로 인증한 후 권한 부여 데이터베이스에 따라 사용자의 현재 권한 부여 목록을 가져옵니다. 권한 부여 목록에 따라 방문자의 요청을 받아들일 수 있는지 여부를 결정합니다. 수락할 수 있는 경우 서비스를 실행하고, 그렇지 않은 경우 서비스를 거부합니다. 모든 데이터 작업 (읽기/쓰기 포함) 에는 해당 로깅 시스템 로깅과 보안 로깅이 있어야 합니다.