視頻監(jiān)控項目技術(shù)建議書

1、 xxxxxxxxxxxx監(jiān)控系統(tǒng)方案建議書 目錄第1章 概述41.1 項目背景41.2 工程建設(shè)的必要性4第2章 系統(tǒng)建設(shè)規(guī)劃5第3章 總體方案73.1 設(shè)計原則73.2 系統(tǒng)總體架構(gòu)83.3 核心技術(shù)9第4章 系統(tǒng)架構(gòu)設(shè)計104.1 業(yè)務(wù)功能設(shè)計104.1.1 系統(tǒng)管理模塊104.1.2 網(wǎng)絡(luò)視頻監(jiān)控124.1.3 監(jiān)控錄放像134.1.4 告警聯(lián)動154.1.5 移動偵測154.1.6 圖像抓拍154.1.7 電子地圖164.2 傳輸子系統(tǒng)設(shè)計164.2.1認(rèn)證服務(wù)器164.2.2 中心通信管理服務(wù)器164.2.3 通信管理分服務(wù)器174.2.4 通信(視頻)轉(zhuǎn)發(fā)服務(wù)器174.2.5 應(yīng)

2、用擴(kuò)展服務(wù)器184.2.6 前端監(jiān)控點184.2.7 各客戶端194.3 錄像存儲子系統(tǒng)204.3.1 視頻存儲服務(wù)器204.3.3 視頻點播服務(wù)器214.3.4 存儲設(shè)備224.3.5 各客戶端224.4 系統(tǒng)監(jiān)控子系統(tǒng)22第5章 系統(tǒng)安全設(shè)計235.1 安全性原則235.1.1 獲得安全245.1.2 保持安全275.2 網(wǎng)絡(luò)級安全性315.2.1 網(wǎng)絡(luò)安全原則315.2.2 網(wǎng)絡(luò)設(shè)備的安全配置315.3 認(rèn)證安全325.4 數(shù)據(jù)傳輸安全32第6章 系統(tǒng)可擴(kuò)展性設(shè)計346.1 網(wǎng)絡(luò)可擴(kuò)展性設(shè)計346.2 應(yīng)用的可擴(kuò)展性設(shè)計35第7章 備份與恢復(fù)方案367.1 概述367.2 備份策略36第

3、8章 設(shè)備配置與選型37第9章 系統(tǒng)運維389.1 運維策略389.1.1 四類管理任務(wù)為中心389.2 系統(tǒng)維護(hù)399.3.1 系統(tǒng)管理399.3.2 安全管理409.3.3 存儲管理419.3.4 備份管理42第1章 概述1.1 項目背景 1.2 工程建設(shè)的必要性隨著以數(shù)字化、網(wǎng)絡(luò)化為代表的信息技術(shù)的發(fā)展，安全防范的理論和技術(shù)都發(fā)生了徹底的轉(zhuǎn)變，傳統(tǒng)的視頻監(jiān)控技術(shù)已不再適應(yīng)時代發(fā)展的需要，而以計算機(jī)、網(wǎng)絡(luò)、通信技術(shù)為基礎(chǔ)，以智能圖像分析為特色的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)逐漸成為監(jiān)控領(lǐng)域發(fā)展的方向。與傳統(tǒng)的視頻監(jiān)控相比，網(wǎng)絡(luò)視頻監(jiān)控使用計算機(jī)進(jìn)行音視頻信息的壓縮、儲存、分析、顯示以及報警等自動化處理，

4、從而實現(xiàn)無人值守；通過網(wǎng)絡(luò)平臺實現(xiàn)了遠(yuǎn)距離監(jiān)控，即使是數(shù)千公里外也能達(dá)到親臨現(xiàn)場的效果；利用先進(jìn)的平臺系統(tǒng)不僅在幾秒鐘內(nèi)便可完成傳統(tǒng)視頻監(jiān)控中大量的數(shù)據(jù)分析，提高了監(jiān)控效率，更能獲得更為逼真、清晰的數(shù)字化圖像質(zhì)量與更為便捷、實用的監(jiān)控管理和維護(hù)。 第2章 系統(tǒng)建設(shè)規(guī)劃系統(tǒng)設(shè)計為xxxxxxxxxxxx安防保障系統(tǒng)，建設(shè)包括兩個核心層面：1、系統(tǒng)核心平臺：包括中心服務(wù)器、存儲服務(wù)器、視頻服務(wù)器，以及監(jiān)控中心等一系列的核心平臺。2、遠(yuǎn)端設(shè)備：包括彩色數(shù)碼攝像機(jī)、鏡頭、云臺、終端網(wǎng)絡(luò)等一系列終端設(shè)備。基于以上兩個層面的考慮，系統(tǒng)建設(shè)內(nèi)容包括：1、系統(tǒng)建設(shè)范圍覆蓋主要的監(jiān)控區(qū)域，分布較廣，因此傳輸線路

5、應(yīng)采用穩(wěn)定可靠的傳輸線路，以保證視頻碼流傳輸?shù)姆€(wěn)定性。視頻編解碼應(yīng)是基于mpeg-4/h.264壓縮技術(shù)，以保證圖像清晰流暢；2、系統(tǒng)建設(shè)地具有明顯的無線業(yè)務(wù)部署可能，適度考慮使用安全的wlan或者wi-max等多種無線技術(shù)來解決不能布線的需求；3、在后端監(jiān)控中心，通過監(jiān)控平臺可以對前端的攝像機(jī)進(jìn)行各種控制：云臺控制：上、下、左、右；鏡頭控制：變焦、聚集、光圈等；如需要還可以通過矩陣鍵盤控制前端圖像；4、編碼器、中心監(jiān)控平臺、錄像點播系統(tǒng)支持web訪問功能，pc客戶端可以通過ie瀏覽器登錄進(jìn)行觀看。出于安全考慮，系統(tǒng)能控制客戶端的訪問權(quán)限：只有經(jīng)過授權(quán)的用戶才能登錄觀看；能夠登錄的用戶中只有經(jīng)

6、過授權(quán)的用戶才能控制攝像機(jī)動作； 5、系統(tǒng)要進(jìn)行錄像，支持集中存儲方式和分布式存儲，支持客戶端遠(yuǎn)程點播，點播資料，同時錄像資料可以通過解碼設(shè)備顯示到監(jiān)視器上。支持io錄像、移動偵測等錄像策略的運用，錄像時間需要保存在15天以上。6、所有前端的監(jiān)控點圖像經(jīng)過編碼器進(jìn)行編碼，數(shù)字視頻碼流均送到的用戶監(jiān)控中心系統(tǒng)平臺，由監(jiān)控中心系統(tǒng)平臺進(jìn)行集中控制；整個系統(tǒng)應(yīng)能保證控制靈活、應(yīng)用方便。7、能按攝像機(jī)監(jiān)控點及時間查看監(jiān)控錄像，并可設(shè)置時間段，自動刪除過期錄像8、可外接紅外，煙感等告警設(shè)備，出現(xiàn)告警時攝像機(jī)自動切換至告警界面，并進(jìn)行告警錄像。第3章 總體方案3.1 設(shè)計原則系統(tǒng)平臺的設(shè)計須立足現(xiàn)在、著眼

7、未來。首先提供一個基礎(chǔ)的框架平臺。在這個基礎(chǔ)框架平臺上，可通過搭積木的方式增加功能模塊，一個功能模塊就實現(xiàn)一種增值服務(wù)；一個完整的平臺就是基礎(chǔ)框架平臺+若干種功能模塊。u 安全性采用服務(wù)器集群，具有故障恢復(fù)、動態(tài)熱備份，動態(tài)不停機(jī)擴(kuò)容，能夠為客戶提供全天候不間斷的運營商級視頻服務(wù)；u 模塊結(jié)構(gòu)系統(tǒng)平臺須基于多級服務(wù)器結(jié)構(gòu)設(shè)計，具有跨網(wǎng)絡(luò)、分布式、動態(tài)均衡、數(shù)據(jù)分流等特性，通過擴(kuò)展服務(wù)器，允許無限量的設(shè)備和用戶在線。u 操作性系統(tǒng)平臺須具有廣泛的軟件親和力，不是傳統(tǒng)的dvr等界面的復(fù)雜操作，應(yīng)充分靠近用戶常用的視頻類軟件，使用戶簡單上手。u 兼容性系統(tǒng)平臺須能夠保護(hù)用戶原來的視頻監(jiān)控投資，使原來

8、的視頻監(jiān)控系統(tǒng)，可以充分和快速的融合在現(xiàn)在基礎(chǔ)平臺中。3.2 系統(tǒng)總體架構(gòu)xxxxxxxxxx監(jiān)控中心采用深圳市捷高電子科技有限公司提供的網(wǎng)絡(luò)視頻監(jiān)控平臺，各個區(qū)域可以按需建設(shè)分平臺。xxxxxxxxxx監(jiān)控中心視頻監(jiān)控平臺負(fù)責(zé)碼流匯聚、轉(zhuǎn)發(fā)、分發(fā)等功能，并對下級視頻監(jiān)控平臺進(jìn)行管理和認(rèn)證，區(qū)域分平臺負(fù)責(zé)轄區(qū)內(nèi)前端視頻監(jiān)控點的接入碼流轉(zhuǎn)發(fā)和錄像。在xxxxxxxxxx監(jiān)控中心可以通過視頻解碼器解碼輸出模擬信號到電視墻，通過電視墻來觀看前方監(jiān)控點圖像，用戶可以通過pc機(jī)登錄視頻監(jiān)控平臺或者通過控制鍵盤來靈活控制圖像的切換。在各個區(qū)域可以建設(shè)監(jiān)控分中心，通過視頻解碼器，解碼輸出模擬信號到電視墻，通

9、過電視墻來觀看前方監(jiān)控點圖像，用戶可以通過pc機(jī)登錄視頻監(jiān)控平臺或者通過控制鍵盤來靈活控制圖像的切換。正常情況下只能看到轄區(qū)內(nèi)圖像，通過xxxxxxxxxx領(lǐng)導(dǎo)授權(quán)可以看到其他區(qū)域圖像。3.3 核心技術(shù) 系統(tǒng)安全性平臺有自檢的功能，攝像機(jī)遭破壞（如：斷電，斷網(wǎng)線，攝像鏡頭被遮擋等）平臺能自動報警并作相應(yīng)的紀(jì)錄同時能夠發(fā)送郵件或者短信給相關(guān)人員，監(jiān)控端修復(fù)后也應(yīng)該能夠自動記錄（何時恢復(fù)，狀態(tài)等）等。 多級管理功能，多級權(quán)限分配機(jī)制用戶可以在平臺上建立自己的管理系統(tǒng)：比如說：某一個用戶有多個視頻監(jiān)控點在這個平臺上，用戶可以將這些自己的監(jiān)控集中在一個界面上進(jìn)行管理如同在自己的管理平臺一樣。根據(jù)其定制

10、的不同服務(wù)，提供不同的服務(wù)。用戶在自己的平臺上可以有多種查詢搜索方式找到自己的錄像資料，比如按時間段，按監(jiān)控點的名字，按事件等等。其可以使用的硬盤資源，包括容易，備份方式，安全機(jī)制等等，都可以提供不同的服務(wù)等級， 豐富的管理功能提供系統(tǒng)管理、分區(qū)管理、組織機(jī)構(gòu)管理、用戶管理等模塊 完全基于web模式支持客戶端從網(wǎng)頁自動安裝、升級與登錄 單點登錄登錄一次即可進(jìn)入所有的服務(wù) 界面定制化功能房間管理員可以為每個房間設(shè)置不同的界面，具有非常強(qiáng)的定制化能力。第4章 系統(tǒng)架構(gòu)設(shè)計4.1 業(yè)務(wù)功能設(shè)計4.1.1 系統(tǒng)管理模塊具有管理員身份的用戶登錄后，即可進(jìn)入本模塊；該功能模板主要包含：服務(wù)器(設(shè)備)管理系

11、統(tǒng)管理模塊可以配置各種服務(wù)器；包括：認(rèn)證服務(wù)器、中心服務(wù)器、通信管理分服務(wù)器、通信(視頻)轉(zhuǎn)發(fā)服務(wù)器、應(yīng)用擴(kuò)展服務(wù)器、視頻存儲服務(wù)器、視頻點播服務(wù)器；服務(wù)器的信息包括編號、名稱、ip、端口、生產(chǎn)廠家、型號、安裝地點；客戶端管理系統(tǒng)管理員可以配置前端監(jiān)控點、客戶端的版本，實現(xiàn)監(jiān)控點和客戶端的自動升級、零維護(hù)；分區(qū)管理（二級管理）模塊分區(qū)相當(dāng)于各區(qū)域等，支持多級分區(qū)管理；具有分區(qū)管理員身份的用戶登錄后，即可進(jìn)入本模塊；子分區(qū)管理可以添加、刪除、修改子分區(qū)；可以設(shè)置子分區(qū)的主管理員；子分區(qū)結(jié)構(gòu)以多級目錄形式顯示，目前可分為區(qū)域二級管理目錄；添加子分區(qū)的同時必須設(shè)置該分區(qū)的主管理員；頂級分區(qū)即xxxx

12、xxxxxx監(jiān)控管理中心；故障管理故障管理做為一個獨立的模塊進(jìn)行；管理員可以記錄用戶的故障以及維護(hù)日志、維護(hù)狀態(tài)；管理人員可以將故障傳遞給下級分區(qū)維護(hù)，例如xxxxxxxxxx監(jiān)控中心可以設(shè)置客戶受理中心，接收客戶詢問，填寫故障，并傳遞給下級分區(qū)維護(hù)；故障查詢時，按照代理商、是否遞規(guī)、受理時間、狀態(tài)等條件，遞規(guī)查詢子分區(qū)的故障記錄；日志管理：本模塊的各種操作，都將產(chǎn)生日志，管理員可以查看日志；管理員管理：主管理員可以管理多個普通管理員；管理員具有如下權(quán)限：子分區(qū)管理、單位用戶管理、故障管理、管理員管理等權(quán)限；通過授予不同的權(quán)限，從而將管理工作分配給不同的人員去處理；個人信息維護(hù)：管理員可以修改

13、自己的注冊資料；4.1.2 網(wǎng)絡(luò)視頻監(jiān)控實現(xiàn)網(wǎng)絡(luò)視頻監(jiān)看和網(wǎng)絡(luò)視頻控制，包括音頻通信?？梢栽谶h(yuǎn)端點上實時監(jiān)看、控制、錄制監(jiān)控端的視音頻數(shù)據(jù)，并可以和中心平臺進(jìn)行雙向交互?？梢愿鶕?jù)具體的網(wǎng)絡(luò)帶寬情況，動態(tài)調(diào)節(jié)視頻碼流以適應(yīng)網(wǎng)絡(luò)狀況，調(diào)節(jié)分為質(zhì)量優(yōu)先和速度優(yōu)先。具體實現(xiàn)如下：瀏覽方式系統(tǒng)支持web瀏覽、客戶端瀏覽兩種方式瀏覽視頻圖像。多畫面分割要求可以實現(xiàn)將指定的一個或多個前端實時圖像分割成一個實時圖像來顯示。多畫面輪巡能夠?qū)ο到y(tǒng)的前端編碼器傳來的圖像輪詢觀看，輪詢時間間隔及前端圖像可自由選擇。用戶可以在控制臺上，先設(shè)置輪詢時間間隔，然后從編碼器列表中拖動編碼通道至視頻源列表中。設(shè)置功能可對圖像傳

14、輸幀率，圖像分辨率設(shè)置，并可對圖像進(jìn)行放大、縮小操作，調(diào)整圖像對比度和亮度。具有完善的圖像切換及云臺鏡頭控制功能，操作人員在權(quán)限范圍內(nèi)任意調(diào)用顯示方式或手工設(shè)定，能控制相應(yīng)的云臺轉(zhuǎn)動以及鏡頭，將指定攝像機(jī)的實時圖像顯示在指定的顯示器上，并支持?jǐn)z像機(jī)預(yù)制位?？梢詾槊柯穲D像配置文字注釋和編號設(shè)置，疊加字符可在觀看圖像時任意調(diào)整位置、取消或疊加。4.1.3 監(jiān)控錄放像監(jiān)控錄放像功能作為一個獨立的功能模塊和中心平臺之間則是一種松耦合的關(guān)系，可以運行在任何一臺計算機(jī)服務(wù)器上。具有多路錄放像功能，控制方式靈活；錄像方式和放像方式多樣化；錄像文件格式(.asf)通用,方便點播；可以在線觀測系統(tǒng)狀態(tài)；支持分布

15、式處理業(yè)務(wù)；支持告警和日志查詢；支持多種條件組合（錄像別名、媒體模式、錄像類型、視頻源別名、時間）查詢回放。中心平臺能根據(jù)客戶端的要求把來自編碼器的圖像發(fā)給錄像服務(wù)器進(jìn)行錄像，也能按要求停發(fā)碼流。中心平臺能記錄各路圖像當(dāng)前的錄像狀態(tài)并通知客戶端，讓用戶通過客戶端了解各路圖像的當(dāng)前錄像狀態(tài)。中心平臺能根據(jù)客戶端的要求把來自于網(wǎng)絡(luò)錄像服務(wù)器的碼流交換給電視墻或某一解碼器進(jìn)行解碼輸出。錄放像系統(tǒng)功能描述如下：分布式處理 多個網(wǎng)絡(luò)錄像服務(wù)器可以協(xié)同工作 網(wǎng)絡(luò)錄像服務(wù)器分主從模式錄像控制 實現(xiàn)對指定終端的開始、暫停、繼續(xù)、停止錄像。 多種錄像方式： 手動錄像：用戶手動啟動某錄像任務(wù)進(jìn)行錄像。 定時錄像：

16、自動某一時刻開始錄像任務(wù)。 告警錄像：啟動告警響應(yīng)錄像任務(wù)。 周期錄像：指定某一周期時間段啟動錄像任務(wù)。 io錄像：由外部 支持預(yù)錄，錄下指定事件前一段時間的視頻，時間由用戶指定，最長可錄2.5分鐘，此功能一般與告警聯(lián)動結(jié)合（例如電子警察）。 錄像控制在客戶端上進(jìn)行，操作方便。錄像文件檢索系統(tǒng)提供多種條件組合查詢，包括： 錄像起止時間 抽幀方式 錄像別名(支持模糊查詢) 錄像類型 視頻源名稱放像控制 多種播放方式（電視墻、客戶端）。 實現(xiàn)對指定文件的播放、慢放、快放、暫停、繼續(xù)、停止?？蛇M(jìn)行播放進(jìn)度的調(diào)整。狀態(tài)顯示系統(tǒng)可以實時顯示錄像服務(wù)器和任務(wù)的運行狀態(tài)，包括： 錄放像服務(wù)器：運行、停止。

17、錄像任務(wù)：運行、暫停。 放像任務(wù)：運行、暫停、快進(jìn)、慢進(jìn)。4.1.4 告警聯(lián)動現(xiàn)場告警控制通過前端編碼器并口收集現(xiàn)場報警信息，可接入煙感、溫感等傳感裝置，控制門禁、燈光等外圍設(shè)備現(xiàn)場告警控制通過并口用于收集現(xiàn)場報警信息，根據(jù)設(shè)置進(jìn)行報警聯(lián)動，通過核心業(yè)務(wù)程序?qū)缶畔崟r通知中心控制臺，同時輸出現(xiàn)場報警控制信號。根據(jù)聯(lián)動信息，進(jìn)行告警聯(lián)動錄像、告警切換、調(diào)預(yù)置位，告警聲音等。4.1.5 移動偵測可以在控制臺上指定前端編碼器，對瀏覽的前端監(jiān)控圖像設(shè)置移動偵測區(qū)域（告警區(qū)域）?？梢栽O(shè)置為當(dāng)告警區(qū)域內(nèi)變化區(qū)域大于設(shè)定百分比時產(chǎn)生告警，以及設(shè)置當(dāng)告警區(qū)域內(nèi)變化區(qū)域小于設(shè)定百分比時恢復(fù)告警。如果設(shè)置已告

18、警聯(lián)動，會觸發(fā)相應(yīng)的聯(lián)動操作。4.1.6 圖像抓拍在實時瀏覽圖像時，對于重要或感興趣的圖像，可以使用抓拍功能，把抓拍到的通過設(shè)置抓拍路徑指定抓拍圖片保存的位置，以及保存的格式。4.1.7 電子地圖系統(tǒng)支持電子地圖，用戶可以選擇一張本地地圖，設(shè)置坐標(biāo)原點，設(shè)置放大，縮小倍數(shù)，更新當(dāng)前電子地圖及地圖上的前端位置。支持選中終端后自動定位到電子地圖中前端的位置。用戶管理員可以往電子地圖上添加前端設(shè)備，輸入圖元名稱，修改完后保存當(dāng)前設(shè)置。4.2 傳輸子系統(tǒng)設(shè)計傳輸子系統(tǒng)主要用于客戶端的登錄、實現(xiàn)視頻、報警信息的傳輸、控制；系統(tǒng)采用分布式服務(wù)器技術(shù)，具有非常高的穩(wěn)定性和規(guī)?？蓴U(kuò)展性；同時采用開放式插件技術(shù)

19、，使得系統(tǒng)具有非常好的功能可擴(kuò)展性；4.2.1認(rèn)證服務(wù)器認(rèn)證模塊，運行在中心管理服務(wù)器和數(shù)據(jù)庫服務(wù)器之間，實現(xiàn)前端監(jiān)控點、客戶端的登錄認(rèn)證、信息讀取、存儲等功能；4.2.2 中心通信管理服務(wù)器中心通信管理服務(wù)器，是分服務(wù)器、監(jiān)控點和客戶端(二者以下簡稱客戶端)登錄時的公開地址。負(fù)責(zé)客戶端的登錄、重定向、通信管理分服務(wù)器、通信轉(zhuǎn)發(fā)服務(wù)器、視頻存儲服務(wù)器的協(xié)調(diào)管理工作；中心通信管理服務(wù)器實際相當(dāng)于管理者，本身不存在大量的數(shù)據(jù)流通信，但是需要動態(tài)維護(hù)整個系統(tǒng)的均衡、穩(wěn)定、高效率的運轉(zhuǎn)；中心通信管理服務(wù)器能按照預(yù)訂的策略將客戶端重定向到不同的分服務(wù)器，從而實現(xiàn)網(wǎng)絡(luò)負(fù)載的均衡，并保證用戶以最好的質(zhì)量來查

20、看視頻；中心通信管理服務(wù)器支持熱備份，部署于系統(tǒng)中心機(jī)房；4.2.3 通信管理分服務(wù)器通信管理分服務(wù)器啟動后將登錄到中心通信管理服務(wù)器，并與之保持持久連接；前端監(jiān)控點和客戶端再登錄中心服務(wù)器后，都會重定向到該服務(wù)器；該服務(wù)器主要實現(xiàn)與客戶端的通信連接、狀態(tài)保存、命令傳輸?shù)?；該服?wù)器支持分布式集群、級聯(lián)轉(zhuǎn)發(fā)、熱備份等特性；系統(tǒng)支持65536個通信管理分服務(wù)器集群，單服務(wù)器可以支持1萬個客戶端在線；通信管理分服務(wù)器部署于市區(qū)或縣城的網(wǎng)絡(luò)系統(tǒng)中心機(jī)房4.2.4 通信(視頻)轉(zhuǎn)發(fā)服務(wù)器通信轉(zhuǎn)發(fā)服務(wù)器啟動后將登錄到中心通信管理服務(wù)器，并與之保持持久連接；只有在轉(zhuǎn)發(fā)視頻的時候，客戶端才會連接到該服務(wù)器，如

21、果停止發(fā)送或者查看視頻，客戶端將立即與該服務(wù)器斷開；客戶端具體使用哪個轉(zhuǎn)發(fā)服務(wù)器，由中心服務(wù)器按照預(yù)訂的策略來分派；該服務(wù)器支持分布式集群、級聯(lián)轉(zhuǎn)發(fā)、熱備份等特性；通信轉(zhuǎn)發(fā)服務(wù)器和通信管理分服務(wù)器一起，部署于市區(qū)或縣城的網(wǎng)絡(luò)系統(tǒng)中心機(jī)房；*具體視轉(zhuǎn)發(fā)帶寬而定，即每路視頻轉(zhuǎn)發(fā)的帶寬之和不能超過服務(wù)器的總帶寬；4.2.5 應(yīng)用擴(kuò)展服務(wù)器本系統(tǒng)具有非常好的擴(kuò)展性和數(shù)據(jù)庫開放性，充分體現(xiàn)一個平臺、多種應(yīng)用的特點；系統(tǒng)以即時通信客戶端做為入口，實現(xiàn)單點登錄，統(tǒng)一應(yīng)用管理；除了視頻監(jiān)控之外，可以通過增加相應(yīng)的服務(wù)器和客戶端插件來實現(xiàn)應(yīng)用的擴(kuò)展：擴(kuò)展多點通信服務(wù)器，可以實現(xiàn)視頻會議、遠(yuǎn)程實時培訓(xùn)；擴(kuò)展文件服

22、務(wù)器，可以實現(xiàn)協(xié)同辦公、公文流轉(zhuǎn)；擴(kuò)展lms服務(wù)器，可以實現(xiàn)異步教學(xué)；應(yīng)用擴(kuò)展服務(wù)器按照實際情況部署于系統(tǒng)中心機(jī)房；4.2.6 前端監(jiān)控點ip視頻服務(wù)器模擬攝像機(jī)云臺、視頻服務(wù)器、報警裝置、可安裝在企業(yè)的各個地方；監(jiān)控點登錄后，可以定時從服務(wù)器獲取相關(guān)配置參數(shù)，同步設(shè)置到本地；支持語音、視頻采集、壓縮、傳輸；支持云臺、雨刷控制；支持本地視頻錄像存儲，錄像存儲策略由管理員通過業(yè)務(wù)管理系統(tǒng)進(jìn)行定義；支持報警信號的實時采集、主動傳輸；支持h.264等視頻編碼器，支持qcif/cif/4cif等格式，幀率可達(dá)25fps，帶寬從64kbps到2mbps可選；4.2.7 各客戶端客戶端運行在能接入互聯(lián)網(wǎng)的

23、任何位置，只有具有正確的用戶名、密碼即可登錄系統(tǒng)；u 視頻監(jiān)控視頻監(jiān)控做為該客戶端的一個功能插件，支持如下功能：顯示所有授權(quán)的監(jiān)控點列表，包括名字、狀態(tài)等信息；可同時監(jiān)看9或16個攝像機(jī)或者錄像服務(wù)器的內(nèi)容.可以自由進(jìn)行1倍,2倍,全屏等的放大，可以獲取監(jiān)看點“視點”信息；可對顯示畫面的如何一路進(jìn)行操作，完成開/關(guān)聲音；圖像放大和分辨率改變等；支持臨時自由添加或刪除參與循環(huán)監(jiān)控的攝像機(jī)、更改循環(huán)間隔時間、暫停循環(huán)等功能，并可任意固定顯示某一路或多路攝像機(jī)停止循環(huán)，而讓其他攝像機(jī)繼續(xù)循環(huán)顯示；支持視頻的抓拍、錄制功能；可對任意被授權(quán)的攝像機(jī)的雨刷、云臺的姿態(tài)進(jìn)行控制及鏡頭控制；能實時監(jiān)測到監(jiān)控點

24、的報警信息，如果客戶端離線，報警消息將會存儲在服務(wù)器，并在客戶端下次登錄時自動提示；u 錄像回放該程序?qū)浵翊鎯ψ酉到y(tǒng)的錄像點播客戶端做為一個功能插件，有機(jī)地整合到一起，實現(xiàn)錄像的檢索、點播；u 擴(kuò)展應(yīng)用客戶端可以非常方便地管理、擴(kuò)展其他應(yīng)用，例如協(xié)同辦公、短信、視頻會議、遠(yuǎn)程培訓(xùn)等；4.3 錄像存儲子系統(tǒng)錄像存儲子系統(tǒng)，是為了完成遠(yuǎn)程監(jiān)控系統(tǒng)要求中的遠(yuǎn)程存儲要求而設(shè)立的。它是為了完成用戶因為不能經(jīng)常在線監(jiān)控，而又需要724小時錄像的要求而設(shè)立的。其實現(xiàn)方式，是通過在市區(qū)或縣區(qū)分別建立t級的集中存儲中心，按照用戶的要求，分配一定的存儲容量。用戶根據(jù)這個容量，可以自由設(shè)定錄像策略規(guī)則進(jìn)行的。4.

25、3.1 視頻存儲服務(wù)器根據(jù)系統(tǒng)設(shè)置的給某單位用戶的空間容量，提供錄像存儲服務(wù)；用戶需要提前設(shè)定好存儲的觸發(fā)條件，例如： 全天循環(huán)錄像（系統(tǒng)默認(rèn)提供的錄像方式） 每天固定時間段存儲 每周固定時間段存儲 每月固定時間段存儲 根據(jù)報警觸發(fā)條件存儲這些錄像，都要求在固定的空間范圍內(nèi)，可以循環(huán)錄像，或者到系統(tǒng)；提供的容量后自動停止兩種方式。到容量后，還可以提供emaill通知的方式；這些視頻存儲方式，可以指定錄像分割單元的時間片，例如1分鐘、10分鐘等自由設(shè)置；可以一次性設(shè)定該單位用戶可以支配的所有攝像機(jī)前端設(shè)備，也可以單獨設(shè)定任何一個前端設(shè)備的錄像策略，實現(xiàn)特性錄像；視頻存儲服務(wù)器啟動時，需要登錄中心

26、管理服務(wù)器，并且與之保持連接狀態(tài)；同時還需要從中心管理服務(wù)器獲取每個監(jiān)控點的存儲策略，便于執(zhí)行存儲任務(wù)；文件信息，保存在數(shù)據(jù)庫服務(wù)器內(nèi)。用戶可以通過點播服務(wù)器，輸入關(guān)鍵字，就可以查詢到錄像信息，這些關(guān)鍵字，可以是前端設(shè)備名稱、時間、報警關(guān)鍵字、其他關(guān)鍵字；視頻存儲服務(wù)器，還可以自動根據(jù)設(shè)定的間隔時間，向中心管理服務(wù)器報告其的工作情況，例如：硬盤空閑容量、內(nèi)存使用情況、網(wǎng)絡(luò)帶寬使用情況、正在錄像的前端設(shè)備數(shù)量；4.3.3 視頻點播服務(wù)器與對應(yīng)的存儲服務(wù)器配合，根據(jù)用戶觀看的請求，把對應(yīng)的文件，以流方式發(fā)送給觀看的用戶。用戶可以選擇快進(jìn)、快退、暫停、慢放（1/2，1/4速度），快放(2，4，8，1

27、6速度)，根據(jù)百分比跳躍(前跳、后跳)可以根據(jù)用戶的要求，選擇以ftp的方式下載錄像文件，供用戶在本地分析和使用。視頻點播服務(wù)器，還可以自動根據(jù)設(shè)定的間隔時間，報告給關(guān)心的網(wǎng)管模塊（服務(wù)器）該存儲服務(wù)器的工作情況，例如：硬盤空閑容量、內(nèi)存使用情況、網(wǎng)絡(luò)帶寬使用情況、正在點播的用戶數(shù)量。4.3.4 存儲設(shè)備支持nas設(shè)備，支持scsi硬盤塔。4.3.5 各客戶端在客戶端，可以查詢到目前錄制的文件?？梢杂脩艨梢赃x擇快進(jìn)、快退、暫停、慢放（1/2，1/4速度），快放(2，4，8，16速度)，根據(jù)百分比跳躍(前跳、后跳)用戶可以選擇以ftp的方式下載錄像文件，供用戶在本地分析和使用。在客戶端，可以播放

28、這些錄像文件。4.4 系統(tǒng)監(jiān)控子系統(tǒng)監(jiān)控子系統(tǒng)由多臺監(jiān)控工作站組成，可部署在各級監(jiān)控中心機(jī)房；能以不同顏色、聲音等對不正常設(shè)備進(jìn)行告警，同時存儲告警信息；能保存所有的系統(tǒng)監(jiān)控信息，形成日志，并可對系統(tǒng)日志進(jìn)行查詢；監(jiān)控工作站提供系統(tǒng)級、應(yīng)用級、內(nèi)容級的監(jiān)控；系統(tǒng)級：各個服務(wù)器的cpu負(fù)載、網(wǎng)絡(luò)流量、內(nèi)存、硬盤等；應(yīng)用級：前端監(jiān)控點和客戶端的狀態(tài)，包括活動的監(jiān)控點數(shù)、監(jiān)控客戶端數(shù)等；內(nèi)容級：可以監(jiān)視每個監(jiān)控點的狀態(tài)、視頻；第5章 系統(tǒng)安全設(shè)計隨著世界的網(wǎng)絡(luò)化程度越來越高，獲取信息的方式越來越方便和快捷。然而企業(yè)及其客戶只會信賴那種能夠確保安全的環(huán)境來存儲他們的敏感數(shù)據(jù)，安全性是所有網(wǎng)絡(luò)都要考慮的

29、一個主要問題。系統(tǒng)的安全性來自于三個方面的有機(jī)結(jié)合：技術(shù)、過程和人員。也就是說，安全并不僅僅是安全技術(shù)的組合運用，而且也有賴于嚴(yán)謹(jǐn)有效的管理和具備足夠知識的業(yè)務(wù)人員的保障。在系統(tǒng)的安全設(shè)計方面，我們從技術(shù)和運行保障兩個方面進(jìn)行考慮。在技術(shù)方面，通過在多個層次上進(jìn)行安全設(shè)計，保證數(shù)據(jù)、通訊和驗證的安全。在運行保障方面，通過相應(yīng)安全操作框架，為深圳市捷高電子科技有限公司公司提供系統(tǒng)運行過程中的安全管理的最佳實踐。5.1 安全性原則保持安全環(huán)境的過程分成兩個相關(guān)的階段：獲得安全和保持安全。獲得安全保障和保持該安全狀態(tài)都是管理操作。若要獲得安全保障，必須進(jìn)行有效的部署。它包含部署最新的安全補(bǔ)丁程序和最

30、新的服務(wù)包以使系統(tǒng)進(jìn)入安全狀態(tài)。第二個階段稱為“保持安全”。創(chuàng)建一個最初安全的環(huán)境只是安全的一個方面。但是，一旦環(huán)境建立并運行起來，如何長期保持環(huán)境安全，采取針對威脅的預(yù)防性措施，并在發(fā)生威脅時有效地作出響應(yīng)，這就完全是另外一回事了。保持安全狀態(tài)包含跟蹤系統(tǒng)的狀態(tài)；確保應(yīng)用了正確的補(bǔ)丁程序；確保在特定的時候可得到最新的更新；并確保沒有安裝會破壞系統(tǒng)安全性的其他應(yīng)用程序。這種監(jiān)控和跟蹤也是管理操作。獲得安全第一個階段稱為“獲得安全”。該階段的主要目的是為了使企業(yè)達(dá)到適當(dāng)?shù)陌踩墑e。保持安全在實施安全機(jī)制時，有許多必須規(guī)劃和實施的領(lǐng)域。下面的圖表是對這些領(lǐng)域的高度概括。5.1.1 獲得安全 安全策

31、略為保證安全措施在整個組織中得以實施和維護(hù)，需要制定并執(zhí)行一個安全策略。安全策略必須能夠提供： n 總體安全目標(biāo)。 n 所需的總體安全級別的概要。 n 安全標(biāo)準(zhǔn)，包括審核和監(jiān)視策略。 n 定義維護(hù)安全所需的培訓(xùn)和過程。 安全策略提供了企業(yè)的安全目標(biāo)，描述了整個組織所要達(dá)到的安全目標(biāo)，并定義了內(nèi)部安全標(biāo)準(zhǔn)及如何審核和監(jiān)控這些標(biāo)準(zhǔn)。為使策略能夠在整個組織內(nèi)生效，管理層必須欣然接受它。 安全防范采用縱深防御戰(zhàn)略來保護(hù)資源不受外部和內(nèi)部的威脅，可以減少威脅和薄弱點，并因此降低風(fēng)險。這包括部署高級的安全方案，如防火墻、入侵檢測、加密和確保服務(wù)器和應(yīng)用程序控制權(quán)和配置正確?？v深防御戰(zhàn)略在本系統(tǒng)中的每一層，

32、都有各種形式的安全控制。安全控制包括防火墻、路由器、審核日志檢查、多主服務(wù)器、正確的訪問控制和加密。為安全保護(hù)而創(chuàng)建的每一層都相當(dāng)于一個防止未授權(quán)訪問的塹壕。防御層數(shù)越多，對網(wǎng)絡(luò)資源進(jìn)行未授權(quán)訪問的難度就越大。這一戰(zhàn)略通過提供冗余防御層來確保安全性，在某一層或者在某些情況下多個層被攻破時，冗余的防御層能夠?qū)Y源進(jìn)行保護(hù)。縱深防御策略包括：周邊防御（perimeter defenses）本系統(tǒng)外圍各方面的安全保護(hù)是根據(jù)周邊防御的要求劃定的，它利用安全設(shè)備來保護(hù)進(jìn)入網(wǎng)絡(luò)的各入口點。利用縱深防御戰(zhàn)略，每個設(shè)備都經(jīng)過評估，并且確定所允許的通信類型，于是就形成了一個安全模型來抵抗各種威脅。同時制定這樣一

33、個策略： 在進(jìn)入系統(tǒng)的主入口點上只允許在指定端口上進(jìn)行通信，而其他所有通信全部被阻止。網(wǎng)絡(luò)防御（network defenses）縱深防御戰(zhàn)略強(qiáng)調(diào)，好的安全模型建立在一系列的安全壁壘上。在前沿周邊設(shè)備后的第二道防線就是網(wǎng)絡(luò)本身。對于本系統(tǒng)，各個網(wǎng)絡(luò)都要分別經(jīng)過評估，然后制定出一個策略，列出此網(wǎng)絡(luò)絕對需要的通信類型。而其他所有的通信都將被防火墻阻止，由交換機(jī)控制，或被禁用。服務(wù)器防御（host defenses）使用縱深防御，系統(tǒng)中的每臺服務(wù)器都要經(jīng)過評估，而且為各服務(wù)器分別創(chuàng)建的策略限制該服務(wù)器只執(zhí)行要求它完成的任務(wù)。這就建立了另一個安全壁壘，黑客進(jìn)行任何破壞必須要突破這一關(guān)。單獨的策略是基于

34、各服務(wù)器上包含數(shù)據(jù)的分類和類型而創(chuàng)建的。例如，公司策略指出所有 web 服務(wù)器都是不保密的，于是只能包含共用信息。數(shù)據(jù)庫服務(wù)器是絕密的，意味著要不惜一切代價保護(hù)其中的信息。所有服務(wù)器在 tcp/ip 級都有一個暴露點，因此在協(xié)議鎖定方面存在一個共性。應(yīng)用程序防御（application defenses）作為另一個防御層，應(yīng)用程序的加固是任何一種安全模型中都不可缺少的一部分。加強(qiáng)保護(hù)操作系統(tǒng)安全只能提供一定程度的保護(hù)。應(yīng)用程序開發(fā)者負(fù)責(zé)將安全保護(hù)融入到應(yīng)用程序中，以便對體系結(jié)構(gòu)中應(yīng)用程序可訪問到的區(qū)域提供專門的保護(hù)。應(yīng)用程序存在于系統(tǒng)的環(huán)境中。所以，查看應(yīng)用程序的安全性而不看整個系統(tǒng)是不可能的

35、。在設(shè)計上，本系統(tǒng)支持多種應(yīng)用程序類型。每個應(yīng)用程序可能需要有自己的安全模型，但在開發(fā)期間都遵循一組標(biāo)準(zhǔn)的指導(dǎo)原則。 數(shù)據(jù)和資源（data & resources）每個服務(wù)器上的所有應(yīng)用程序和服務(wù)都要評估其相關(guān)性，那些不需要的應(yīng)用程序和服務(wù)將被刪除。其他類型的資源，包括數(shù)據(jù)在內(nèi)，都使用策略來保護(hù)并使用一個集中的管理平臺進(jìn)行審核。5.1.2 保持安全創(chuàng)建一個最初安全的環(huán)境只是安全的一個方面。但是，一旦環(huán)境建立并運行起來，如何長期保持環(huán)境安全，采取針對威脅的預(yù)防性措施，并在發(fā)生威脅時有效地作出響應(yīng)，對于系統(tǒng)的安全具有更重要的意思。在本方案中，主要涉及到集中管理和快速相應(yīng)兩個方面。 集中管理安全的系

36、統(tǒng)首先是管理完善的系統(tǒng)。通過有效的管理措施可以使安全時間的數(shù)量和影響減到最小。這些措施包括：明確地建立并實施所有策略和步驟。許多安全事件是由 it 人員無意間造成的，他們可能未遵守或不理解更改管理過程，或者對安全設(shè)備配置不當(dāng)，如防火墻和身份驗證系統(tǒng)。徹底測試安全策略和過程，以確保它們實用、清楚，并能提供適當(dāng)?shù)陌踩墑e。 在安全策略和事件處理方面得到管理層的支持。 定期監(jiān)視和分析網(wǎng)絡(luò)通訊量和系統(tǒng)性能。 定期查看所有日志和日志記錄機(jī)制。這些應(yīng)包括操作系統(tǒng)事件日志、特定于應(yīng)用程序的日志和入侵檢測系統(tǒng)日志。 定期評估環(huán)境中的安全漏洞。這應(yīng)由具有執(zhí)行這些操作的特別權(quán)限的安全專家來完成。 定期檢查服務(wù)器以

37、確保它們都安裝了最新的安全修補(bǔ)程序。 制定 it 人員和最終用戶的安全培訓(xùn)計劃。 經(jīng)常提醒用戶記住他們的責(zé)任和對他們的限制，以及可能追究違規(guī)行為的警告。 制定、實現(xiàn)并強(qiáng)制執(zhí)行一個要求使用復(fù)雜密碼的策略。 檢查備份和還原步驟。確認(rèn)備份保存在什么位置，誰能訪問它們，并知道數(shù)據(jù)還原和系統(tǒng)恢復(fù)的步驟。確保定期通過有選擇地還原一些數(shù)據(jù)來檢驗備份和保存介質(zhì)。 建立一個計算機(jī)安全事件響應(yīng)小組 (csirt)。該小組人員負(fù)責(zé)處理所有安全事件。csirt 中的每個成員都應(yīng)有明確定義的職責(zé)，以確保能對每一個方面做出響應(yīng)。 快速響應(yīng)安全是相對的，不安全是絕對的。關(guān)鍵在于能否快速的發(fā)現(xiàn)問題，定位問題，以及快速響應(yīng)來解

38、決問題。事件快速響應(yīng)計劃包括以下步驟：作出初步評估采取初步步驟確定遇到的是真正的事件還是一個假象。 對攻擊的類型和嚴(yán)重性有一個大致的認(rèn)識。這時掌握的信息應(yīng)足以能夠就此事件與有關(guān)各方溝通，以便進(jìn)行進(jìn)一步的調(diào)查并開始控制破壞，使風(fēng)險減至最小。 詳細(xì)記錄采取的行動。這些記錄以后用來將事件歸檔（無論是真事件還是假事件）。寧可對每一個假象都做出反應(yīng)，也不要放過一個真正的事件。所以初步評估應(yīng)盡可能短而快，但仍要能夠剔除明顯的假象。通報發(fā)生的事件當(dāng)懷疑發(fā)生了安全事件時，應(yīng)迅速將此事件通知計算機(jī)安全事件響應(yīng)小組 (csirt)，確保能夠適當(dāng)?shù)乜刂剖录f(xié)調(diào)對事件的反應(yīng)，同時又能夠?qū)⑵茐姆秶鷾p至最小。在事件得到

39、適當(dāng)控制之前，知情范圍應(yīng)只限制在事件響應(yīng)參與者這一范圍內(nèi)?？刂茡p失/將風(fēng)險減到最小通過迅速采取行動來減少攻擊所造成的實際的和潛在的影響，就能夠避免讓小事件演化成大事件。確定破壞的類型和嚴(yán)重程度為能夠從遭受的攻擊中有效地恢復(fù)，需要確定系統(tǒng)被破壞的嚴(yán)重程度。這包括確定如何進(jìn)一步抑制并減少風(fēng)險、如何恢復(fù)和向誰通知發(fā)生的事件以及如何掌握通知的時間，還包括是否應(yīng)訴諸法律。需要確定攻擊的性質(zhì)；攻擊的發(fā)起點；攻擊的意圖（它是為獲得特定信息而專門發(fā)起的攻擊，還是一次漫無目的的攻擊？ ）；找出受破壞的系統(tǒng)；找出被訪問過的文件并確定這些文件的機(jī)密程度，最后確定出適合于環(huán)境的響應(yīng)措施。保護(hù)證據(jù)許多情況下，如果運行環(huán)

40、境遭受蓄意的攻擊，都希望能將攻擊者繩之以法。如要這樣做，就需要收集用來對付他們的證據(jù)。極為重要的一點是，要盡可能快地備份受破壞的系統(tǒng)，這應(yīng)在執(zhí)行任何可能會影響原始媒體上數(shù)據(jù)的完整性的操作之前進(jìn)行。通知外部機(jī)構(gòu)在事件已得到控制并保留了證據(jù)之后，就需要開始通知外部的有關(guān)各方了?？赡苄枰ㄖ姆矫姘▓?zhí)法機(jī)構(gòu)、外部安全機(jī)構(gòu)，以及防病毒專家。外部機(jī)構(gòu)可提供技術(shù)幫助，提供更快的解決辦法，并提供從類似的事件中取得的經(jīng)驗，以幫助從事件中全面恢復(fù)并防止以后再發(fā)生此類事件。對于某些特定的行業(yè)和違規(guī)事件類型，可能需要明確地通知客戶和/或公眾，特別是在客戶可能會直接受到事件影響時?；謴?fù)系統(tǒng)如何恢復(fù)系統(tǒng)一般取決于安全

41、事件的影響范圍。需要確定，是否能夠在盡可能保持原數(shù)據(jù)不動的情況下還原現(xiàn)有系統(tǒng)，或者是否必須完全重建系統(tǒng)。編寫和整理事件記錄資料詳細(xì)記錄響應(yīng)處理所有事件的過程。這應(yīng)包括對安全違規(guī)事件的描述和所采取的每一個行動的細(xì)節(jié)（是誰采取的行動，是在何時采取的以及采取此行動的理由）。在整個響應(yīng)過程中，應(yīng)將所有參與和接觸事件響應(yīng)的人都記錄下來。總結(jié)響應(yīng)過程并更新策略在文檔記錄和恢復(fù)階段完成后，需要徹底重新檢查一下響應(yīng)過程。確定響應(yīng)過程中哪些步驟的執(zhí)行是成功的，犯了哪些錯誤。適當(dāng)更改響應(yīng)過程，以便以后能夠更好地處理安全事件。這些步驟并不是完全按順序先后執(zhí)行的，而是在整個事件中都在進(jìn)行。例如，文檔記錄在剛開始時就啟

42、動了，而且在整個事件過程中將一直進(jìn)行，信息溝通也貫穿了整個事件過程。 響應(yīng)過程的其他方面也會協(xié)同進(jìn)行。例如，作為初步評估的一部分，將了解到攻擊的大致性質(zhì)。盡可能快地使用此信息以減少破壞和將風(fēng)險降至最低是非常重要的。如果反應(yīng)迅速，就能夠節(jié)省時間和資金。然而，如果等到對破壞的類型和嚴(yán)重程度有更詳細(xì)的了解時，就無法真正有效地減少破壞并將風(fēng)險降至最低了。過于急進(jìn)的響應(yīng)甚至?xí)斐杀茸畛醯墓舾蟮钠茐?。通過協(xié)調(diào)這兩個步驟，就能夠在快速反應(yīng)和有效行動之間找到最佳平衡點。5.2 網(wǎng)絡(luò)級安全性5.2.1 網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)級別安全性主要是對系統(tǒng)網(wǎng)絡(luò)的安全保護(hù)。網(wǎng)絡(luò)的安全保護(hù)首先是規(guī)劃，要從業(yè)務(wù)的角度上劃分出可信

43、網(wǎng)、不可信網(wǎng)，或可以按照分布式的方法，對網(wǎng)絡(luò)區(qū)域進(jìn)行分層，每層都有不同的保護(hù)方法。采用防火墻設(shè)備對不同信任程度的網(wǎng)絡(luò)段的用戶與服務(wù)進(jìn)行控制或直接進(jìn)行隔離。同時，通過劃分vlan對內(nèi)部網(wǎng)進(jìn)行劃分和隔離，防止竊聽。要進(jìn)行網(wǎng)點合法性管理，對網(wǎng)絡(luò)中任何節(jié)點的增加、刪除、改變進(jìn)行管理，建立相應(yīng)的審批和操作程序；對網(wǎng)絡(luò)ip地址、主機(jī)名按照標(biāo)準(zhǔn)進(jìn)行統(tǒng)一編碼和分配，并嚴(yán)格保密；對通信連接進(jìn)行管理，防止他人冒充合法網(wǎng)點進(jìn)行犯罪?？偟哪康氖潜３志W(wǎng)絡(luò)設(shè)備、線路能按照提供的性能提供穩(wěn)定的服務(wù)。5.2.2 網(wǎng)絡(luò)設(shè)備的安全配置1、保護(hù)管理接口的安全：入侵者的一些主要攻擊點包括cisco路由器、以太網(wǎng)交換機(jī)的管理接口。如果

44、一個入侵者能夠訪問設(shè)備的管理接口，他就能觀察設(shè)備的配置信息，重新配置設(shè)備并獲得對它的控制，甚至能繼續(xù)獲得對其他相連網(wǎng)絡(luò)設(shè)備的訪問權(quán)。2、保護(hù)控制臺端口的訪問安全：控制臺是一個通過控制臺端口直接連接到路由器的終端，在路由器的缺省配置中，沒有為控制臺端口設(shè)置口令保護(hù)，在最初的配置對話框中也沒有要求用戶設(shè)置控制臺口令，因此需要配置口令，而且一定要區(qū)分出用戶模式口令和特權(quán)模式口令（enable命令啟用時）。3、保護(hù)路由器到路由器的通信安全：可以采用路由協(xié)議本身支持的認(rèn)證技術(shù)實現(xiàn)路由的鄰居認(rèn)證；保護(hù)路由器配置文件的安全，如果路由器配置文件在tftp服務(wù)器上，要手工啟動或關(guān)閉tftp服務(wù)器軟件，防止有人訪

45、問tftp服務(wù)器軟件而修改配置文件；控制對路由器的http訪問。4、保護(hù)以太網(wǎng)交換機(jī)的安全：控制以太網(wǎng)交換機(jī)的管理訪問；采用安全端口過濾阻止一個非授權(quán)的工作站對以太網(wǎng)或快速以太網(wǎng)端口的輸入；使用ip訪問控制列表控制從非授權(quán)的源ip地址對交換機(jī)進(jìn)行telnet和snmp訪問。5.3 認(rèn)證安全在認(rèn)證的過程中，需要建立系統(tǒng)以及運營商的審核機(jī)制，保證合作伙伴、會員、運營商之間是可信任的，存放在用戶端的數(shù)據(jù)使用國際通用的加密算法進(jìn)行加密處理，不可篡改、不可泄漏、不包括用戶敏感信息。保證系統(tǒng)對外提供的認(rèn)證接口的安全性。使用加密驗證手段，防止惡意調(diào)用端口對系統(tǒng)進(jìn)行的攻擊行為使用其它系統(tǒng)提供的接口時，確保該接

46、口本身是安全的、可信任的。認(rèn)證系統(tǒng)能夠識別惡意的攻擊，并且采取一定的措施來防御攻擊，并保證攻擊不會影響系統(tǒng)的正常運作。具體攻擊防御方法見后面攻擊防御一節(jié)。5.4 數(shù)據(jù)傳輸安全在系統(tǒng)組件間以及系統(tǒng)與外部系統(tǒng)交互過程中的數(shù)據(jù)傳輸過程中，必須保證傳輸?shù)碾p方是相互信任的，并且要保證一些敏感的信息（包括帳號的密碼、計費的數(shù)據(jù)、結(jié)算的數(shù)據(jù)等）在傳輸過程具備了防止被非法竊取、篡改的能力。用戶與服務(wù)器之間具有大量的通信，其中，有些通信傳遞的是非常敏感的信息，例如用戶的賬戶密碼，用戶的付費帳號和密碼等。這些信息泄露的后果十分嚴(yán)重。因此，對這些敏感信息的傳輸要采用嚴(yán)格的保護(hù)措施。安全套接層協(xié)議(ssl)是在int

47、ernet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進(jìn)行認(rèn)證，還可選擇對客戶進(jìn)行認(rèn)證。ssl協(xié)議要求建立在可靠的傳輸層協(xié)議(例如tcp)之上。ssl協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。第6章 系統(tǒng)可擴(kuò)展性設(shè)計6.1 網(wǎng)絡(luò)可擴(kuò)展性設(shè)計網(wǎng)絡(luò)負(fù)載均衡的好處包括： 可擴(kuò)展能力n 通過完全滾動升級來降低計劃內(nèi)的停機(jī)時間。 n 全面管道式實現(xiàn)確保高性能低開銷。 高度可用性 n 自動檢測并從故障或脫機(jī)的計算機(jī)中恢復(fù)。 n 當(dāng)群集配置改變時自動重

48、新分配網(wǎng)絡(luò)負(fù)載。 n 在10秒內(nèi)恢復(fù)并重新分配網(wǎng)絡(luò)負(fù)載。 n 處理因疏忽導(dǎo)致的子網(wǎng)并重新加入網(wǎng)絡(luò)群集。 可控性 n 為單一ip端口或成組端口指定負(fù)載平衡功能，方法是使用直接轉(zhuǎn)發(fā)端口管理規(guī)則為每臺服務(wù)器定制工作負(fù)載。 n 支持客戶會話和ssl。 n 可選擇的單一主機(jī)規(guī)則將全部客戶請求指定到單一主機(jī)，以此在不同的應(yīng)用間改進(jìn)負(fù)載平衡。 n 通過使用控制臺命令或腳本，可以從任一聯(lián)網(wǎng)的windows 2000或windows 2003操作系統(tǒng)中遠(yuǎn)程啟動、停止和控制操作。 易于使用 n 不需要專門硬件。 n 無須對服務(wù)器應(yīng)用進(jìn)行修改即可運行群集。 n 包括故障恢復(fù)在內(nèi)的大多數(shù)操作均不需要人工干預(yù)。 n 在

49、不影響群集操作的情況下，允許電腦為進(jìn)行預(yù)防性維護(hù)而脫機(jī)。6.2 應(yīng)用的可擴(kuò)展性設(shè)計在系統(tǒng)中，群集透明性允許應(yīng)用訪問群集中任何地方的數(shù)據(jù)和對象，好像這些數(shù)據(jù)和對象是在本地一樣。這種方式允許數(shù)據(jù)從一個分區(qū)移動到另一個分區(qū)，而不用改變應(yīng)用程序。因此，透明性是模塊化增長的關(guān)鍵因素：在系統(tǒng)中增加節(jié)點，把數(shù)據(jù)移動到這些新節(jié)點中，不必修改應(yīng)用。透明性也是高可用性的關(guān)鍵因素，萬一某個節(jié)點失敗時，允許數(shù)據(jù)從一個節(jié)點切換到另一個節(jié)點上。分布式系統(tǒng)技術(shù)是在群集中創(chuàng)建透明性的關(guān)鍵技術(shù)。通過構(gòu)建模塊結(jié)構(gòu)化應(yīng)用和系統(tǒng)，這些模塊通過遠(yuǎn)程過程調(diào)用而交互作用，應(yīng)用變得模塊化程度更高，并且可以分布在該群集的許多節(jié)點中?？蛻舾鶕?jù)名

50、稱調(diào)用服務(wù)。這種過程調(diào)用可以調(diào)用本機(jī)服務(wù)，如果該服務(wù)是遠(yuǎn)程的，那么也可以使用遠(yuǎn)程過程調(diào)用。第7章 備份與恢復(fù)方案7.1 概述在本期工程項目中，我們建議采用局域網(wǎng)備份技術(shù)實現(xiàn)對主機(jī)上關(guān)鍵視頻監(jiān)控和用戶數(shù)據(jù)的自動備份。、當(dāng)因意外情況，平臺數(shù)據(jù)丟失時，可以通過備份數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)工作，以保證數(shù)據(jù)的安全性。7.2 備份策略本期工程系統(tǒng)視頻存儲服務(wù)器保存關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)和應(yīng)用程序?qū)τ趚xxxxxxxxx來說是非常重要的。因此有必要建立一套備份制度對這些關(guān)鍵的信息定期進(jìn)行備份，以便能在信息遭到破壞的時候能及時恢復(fù)。要備份的系統(tǒng)包括了系統(tǒng)的所有數(shù)據(jù)。這些系統(tǒng)都是在不間斷運作中，需要在不影響系統(tǒng)的正常運作的

51、情況下，根據(jù)備份的策略對系統(tǒng)的信息進(jìn)行定期備份。其中備份策略為：1.自動的、制度化的備份；2.系統(tǒng)的災(zāi)難恢復(fù)。需要備份的數(shù)據(jù)包括：1.視頻監(jiān)控數(shù)據(jù)2.應(yīng)用程序數(shù)據(jù)第8章 設(shè)備配置與選型按照需求規(guī)劃的定位和xxxxxxxxxx的發(fā)展趨勢，本建議書立足于解決現(xiàn)階段xxxxxxxxxx的視頻監(jiān)控需求，并合理預(yù)留一定程度的系統(tǒng)冗余，從中心平臺、遠(yuǎn)端點兩個層面制定了以下系統(tǒng)規(guī)劃：序號設(shè)備名稱型號主要技求指標(biāo)單價1234567第9章 系統(tǒng)運維作為完整的it生命周期的一部分，系統(tǒng)運行和維護(hù)的生命周期中需要保障系統(tǒng)的高可用性、性能、安全性、可伸縮性等等。而系統(tǒng)管理的科學(xué)性日益成為維護(hù)系統(tǒng)成功平穩(wěn)運行的重要因素。在運維過程中，從應(yīng)用發(fā)布后，通過系統(tǒng)維護(hù)，應(yīng)用維護(hù)進(jìn)行每日系統(tǒng)運行中的支持工作，使用戶能夠使用系統(tǒng)；通過用戶支持工作，得到用戶反饋；一直到質(zhì)量控制人員從整個系統(tǒng)的角度對系統(tǒng)進(jìn)行slm服務(wù)級別管理、系統(tǒng)容量管理、可靠性管理、災(zāi)難預(yù)警管理等，并通過提交系統(tǒng)優(yōu)化可行性分析報告，促使達(dá)到優(yōu)化現(xiàn)有系統(tǒng)，整個系統(tǒng)達(dá)到螺旋式上升的模