恶意代码防范安全配置。通过杀毒软件系统中心、管理控制台、防病毒服务器端和防病毒客户端四个组成部分布置在视频专网上，各个子系统协同工作，共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案，其架构图如(图2)所示：

图2：杀毒软件逻辑示意图

资源控制安全配置。

资源控制对服务器中的各项资源，如：磁盘空间、CPU、内存、网络连接等的使用情况，进行检测和控制，如果资源不足时还要求进行报警。

♦数据安全

在平安城市建设中，在监控中心汇聚大量的数据，为保证数据的安全性，其主要考虑存储设备数据的安全，要考虑存储设备的RAID和备份机制等，保证设备的安全，同时在平安城市建设中，提倡云存储及云计算建设，在数据安全设计时要考虑云存储及云计算的数据的安全。

♦应用安全

对于平安城市中的应用软件系统，由于其主要为公安用户和政府用户提供信息浏览服务，防护的重点是增加自身的信息防篡改能力，通过以下方式实现其应用安全防护：

加强外部用户访问信息系统的防护

在边界入侵防御系统上针对外部对公安信息系统的访问行为配置全面的攻击防御、日志审计和报警策略。

加强信息系统的内容安全防护

在信息系统上配置全面的监控与恢复策略、日志审计和报警策略，增强信息系统的内容安全防护能力。

通过制定相关制度和流程加强信息系统备份工作

增加身份鉴别功能

按照安全策略的要求，设置相应的密码长度、复杂度及更新时间等;

进行应用系统的升级，增加“限制非法登录次数”和“连接超时”等功能保证应用系统能够安全的处理登录失败。

增强安全审计功能

增强“安全审计”功能，使安全审计能够覆盖到应用系统的每个用户，使审计记录应用系统重要的安全相关事件(包括重要用户行为和重要系统功能的执行等)，对审计记录制定一定的保护措施，避免受到未预期的删除、修改或覆盖等。

增强通信完整性

对通信双方约定单向的校验码算法，在进行通信时，双方根据校验码判断对方报文的有效性。

增强通信保密性

增强软件容错能力

加强应用系统对人机输入界面中数据的有效性校验。

♦终端安全

终端加固管理

由于终端众多，员工的计算机水平和信息安全意思参差不齐，由于操作系统安全设置不当而引起的安全风险越来越明显，仅通过目前行政管理手段无法保证所有终端的安全性，需加强对操作系统的安全加固管理，其包括强化补丁安装、超时自动锁屏、注册表配置管理、冗余账号检查、检查账号安全、检查端口策略、网络共享管理、监控非法应用和服务。

终端行为管理

其终端行为管理主要包括：软件安装标准化、IP访问和网络应用程序监控、终端入网审计。

信息防泄密管理

由于办公终端数量较多，员工的办公终端里存储大量涉及机密的敏感信息，时常发生员工通过终端外设，如刻录光盘、U盘拷贝、打印等方式将敏感信息外泄，目前通过人工管理方式不仅耗时费力，而且效果并不明显。针对此种状况，建议加强对终端外设接口的监控，其主要包括：外设接口管理、监控USB设备使用、USB监控属性、USB禁用属性、USB只读属性、USB写加密属性、防止违规假设PROXY/路由器等外联设备、文件操作审计。

在平安城市的建设中，安全系统的建设是其重要组成部分，其安全体系从物理、网络、主机、应用和数据等方面，通过技术保障建立起来可靠有效的安全体系。在大量数据采集、存储和应用的过程中，安全系统的建设，不仅给平安城市的建设提供了基础，更保证了城市中大量数据的安全，提供了最可靠、最安全的数据存储中心，用户不用再担心数据丢失、病毒入侵等麻烦，同时 “坚持积极防御、综合防范”的方针，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进平安城市项目信息化的深入发展。

     ■ 文/程海涛 杨柳 安徽四创电子股份有限公司