視頻監(jiān)控項(xiàng)目技術(shù)建議書

1、 xxxxxxxxxxxx監(jiān)控系統(tǒng)方案建議書 目錄第1章 概述41.1 項(xiàng)目背景41.2 工程建設(shè)的必要性4第2章 系統(tǒng)建設(shè)規(guī)劃5第3章 總體方案73.1 設(shè)計(jì)原則73.2 系統(tǒng)總體架構(gòu)83.3 核心技術(shù)9第4章 系統(tǒng)架構(gòu)設(shè)計(jì)104.1 業(yè)務(wù)功能設(shè)計(jì)104.1.1 系統(tǒng)管理模塊104.1.2 網(wǎng)絡(luò)視頻監(jiān)控124.1.3 監(jiān)控錄放像134.1.4 告警聯(lián)動(dòng)154.1.5 移動(dòng)偵測154.1.6 圖像抓拍154.1.7 電子地圖164.2 傳輸子系統(tǒng)設(shè)計(jì)164.2.1認(rèn)證服務(wù)器164.2.2 中心通信管理服務(wù)器164.2.3 通信管理分服務(wù)器174.2.4 通信(視頻)轉(zhuǎn)發(fā)服務(wù)器174.2.5 應(yīng)

2、用擴(kuò)展服務(wù)器184.2.6 前端監(jiān)控點(diǎn)184.2.7 各客戶端194.3 錄像存儲(chǔ)子系統(tǒng)204.3.1 視頻存儲(chǔ)服務(wù)器204.3.3 視頻點(diǎn)播服務(wù)器214.3.4 存儲(chǔ)設(shè)備224.3.5 各客戶端224.4 系統(tǒng)監(jiān)控子系統(tǒng)22第5章 系統(tǒng)安全設(shè)計(jì)235.1 安全性原則235.1.1 獲得安全245.1.2 保持安全275.2 網(wǎng)絡(luò)級(jí)安全性315.2.1 網(wǎng)絡(luò)安全原則315.2.2 網(wǎng)絡(luò)設(shè)備的安全配置315.3 認(rèn)證安全325.4 數(shù)據(jù)傳輸安全32第6章 系統(tǒng)可擴(kuò)展性設(shè)計(jì)346.1 網(wǎng)絡(luò)可擴(kuò)展性設(shè)計(jì)346.2 應(yīng)用的可擴(kuò)展性設(shè)計(jì)35第7章 備份與恢復(fù)方案367.1 概述367.2 備份策略36第

3、8章 設(shè)備配置與選型37第9章 系統(tǒng)運(yùn)維389.1 運(yùn)維策略389.1.1 四類管理任務(wù)為中心389.2 系統(tǒng)維護(hù)399.3.1 系統(tǒng)管理399.3.2 安全管理409.3.3 存儲(chǔ)管理419.3.4 備份管理42第1章 概述1.1 項(xiàng)目背景 1.2 工程建設(shè)的必要性隨著以數(shù)字化、網(wǎng)絡(luò)化為代表的信息技術(shù)的發(fā)展，安全防范的理論和技術(shù)都發(fā)生了徹底的轉(zhuǎn)變，傳統(tǒng)的視頻監(jiān)控技術(shù)已不再適應(yīng)時(shí)代發(fā)展的需要，而以計(jì)算機(jī)、網(wǎng)絡(luò)、通信技術(shù)為基礎(chǔ)，以智能圖像分析為特色的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)逐漸成為監(jiān)控領(lǐng)域發(fā)展的方向。與傳統(tǒng)的視頻監(jiān)控相比，網(wǎng)絡(luò)視頻監(jiān)控使用計(jì)算機(jī)進(jìn)行音視頻信息的壓縮、儲(chǔ)存、分析、顯示以及報(bào)警等自動(dòng)化處理，

4、從而實(shí)現(xiàn)無人值守；通過網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)了遠(yuǎn)距離監(jiān)控，即使是數(shù)千公里外也能達(dá)到親臨現(xiàn)場的效果；利用先進(jìn)的平臺(tái)系統(tǒng)不僅在幾秒鐘內(nèi)便可完成傳統(tǒng)視頻監(jiān)控中大量的數(shù)據(jù)分析，提高了監(jiān)控效率，更能獲得更為逼真、清晰的數(shù)字化圖像質(zhì)量與更為便捷、實(shí)用的監(jiān)控管理和維護(hù)。 第2章 系統(tǒng)建設(shè)規(guī)劃系統(tǒng)設(shè)計(jì)為xxxxxxxxxxxx安防保障系統(tǒng)，建設(shè)包括兩個(gè)核心層面：1、系統(tǒng)核心平臺(tái)：包括中心服務(wù)器、存儲(chǔ)服務(wù)器、視頻服務(wù)器，以及監(jiān)控中心等一系列的核心平臺(tái)。2、遠(yuǎn)端設(shè)備：包括彩色數(shù)碼攝像機(jī)、鏡頭、云臺(tái)、終端網(wǎng)絡(luò)等一系列終端設(shè)備。基于以上兩個(gè)層面的考慮，系統(tǒng)建設(shè)內(nèi)容包括：1、系統(tǒng)建設(shè)范圍覆蓋主要的監(jiān)控區(qū)域，分布較廣，因此傳輸線路

5、應(yīng)采用穩(wěn)定可靠的傳輸線路，以保證視頻碼流傳輸?shù)姆€(wěn)定性。視頻編解碼應(yīng)是基于mpeg-4/h.264壓縮技術(shù)，以保證圖像清晰流暢；2、系統(tǒng)建設(shè)地具有明顯的無線業(yè)務(wù)部署可能，適度考慮使用安全的wlan或者wi-max等多種無線技術(shù)來解決不能布線的需求；3、在后端監(jiān)控中心，通過監(jiān)控平臺(tái)可以對(duì)前端的攝像機(jī)進(jìn)行各種控制：云臺(tái)控制：上、下、左、右；鏡頭控制：變焦、聚集、光圈等；如需要還可以通過矩陣鍵盤控制前端圖像；4、編碼器、中心監(jiān)控平臺(tái)、錄像點(diǎn)播系統(tǒng)支持web訪問功能，pc客戶端可以通過ie瀏覽器登錄進(jìn)行觀看。出于安全考慮，系統(tǒng)能控制客戶端的訪問權(quán)限：只有經(jīng)過授權(quán)的用戶才能登錄觀看；能夠登錄的用戶中只有經(jīng)

6、過授權(quán)的用戶才能控制攝像機(jī)動(dòng)作； 5、系統(tǒng)要進(jìn)行錄像，支持集中存儲(chǔ)方式和分布式存儲(chǔ)，支持客戶端遠(yuǎn)程點(diǎn)播，點(diǎn)播資料，同時(shí)錄像資料可以通過解碼設(shè)備顯示到監(jiān)視器上。支持io錄像、移動(dòng)偵測等錄像策略的運(yùn)用，錄像時(shí)間需要保存在15天以上。6、所有前端的監(jiān)控點(diǎn)圖像經(jīng)過編碼器進(jìn)行編碼，數(shù)字視頻碼流均送到的用戶監(jiān)控中心系統(tǒng)平臺(tái)，由監(jiān)控中心系統(tǒng)平臺(tái)進(jìn)行集中控制；整個(gè)系統(tǒng)應(yīng)能保證控制靈活、應(yīng)用方便。7、能按攝像機(jī)監(jiān)控點(diǎn)及時(shí)間查看監(jiān)控錄像，并可設(shè)置時(shí)間段，自動(dòng)刪除過期錄像8、可外接紅外，煙感等告警設(shè)備，出現(xiàn)告警時(shí)攝像機(jī)自動(dòng)切換至告警界面，并進(jìn)行告警錄像。第3章 總體方案3.1 設(shè)計(jì)原則系統(tǒng)平臺(tái)的設(shè)計(jì)須立足現(xiàn)在、著眼

7、未來。首先提供一個(gè)基礎(chǔ)的框架平臺(tái)。在這個(gè)基礎(chǔ)框架平臺(tái)上，可通過搭積木的方式增加功能模塊，一個(gè)功能模塊就實(shí)現(xiàn)一種增值服務(wù)；一個(gè)完整的平臺(tái)就是基礎(chǔ)框架平臺(tái)+若干種功能模塊。u 安全性采用服務(wù)器集群，具有故障恢復(fù)、動(dòng)態(tài)熱備份，動(dòng)態(tài)不停機(jī)擴(kuò)容，能夠?yàn)榭蛻籼峁┤旌虿婚g斷的運(yùn)營商級(jí)視頻服務(wù)；u 模塊結(jié)構(gòu)系統(tǒng)平臺(tái)須基于多級(jí)服務(wù)器結(jié)構(gòu)設(shè)計(jì)，具有跨網(wǎng)絡(luò)、分布式、動(dòng)態(tài)均衡、數(shù)據(jù)分流等特性，通過擴(kuò)展服務(wù)器，允許無限量的設(shè)備和用戶在線。u 操作性系統(tǒng)平臺(tái)須具有廣泛的軟件親和力，不是傳統(tǒng)的dvr等界面的復(fù)雜操作，應(yīng)充分靠近用戶常用的視頻類軟件，使用戶簡單上手。u 兼容性系統(tǒng)平臺(tái)須能夠保護(hù)用戶原來的視頻監(jiān)控投資，使原來

8、的視頻監(jiān)控系統(tǒng)，可以充分和快速的融合在現(xiàn)在基礎(chǔ)平臺(tái)中。3.2 系統(tǒng)總體架構(gòu)xxxxxxxxxx監(jiān)控中心采用深圳市捷高電子科技有限公司提供的網(wǎng)絡(luò)視頻監(jiān)控平臺(tái)，各個(gè)區(qū)域可以按需建設(shè)分平臺(tái)。xxxxxxxxxx監(jiān)控中心視頻監(jiān)控平臺(tái)負(fù)責(zé)碼流匯聚、轉(zhuǎn)發(fā)、分發(fā)等功能，并對(duì)下級(jí)視頻監(jiān)控平臺(tái)進(jìn)行管理和認(rèn)證，區(qū)域分平臺(tái)負(fù)責(zé)轄區(qū)內(nèi)前端視頻監(jiān)控點(diǎn)的接入碼流轉(zhuǎn)發(fā)和錄像。在xxxxxxxxxx監(jiān)控中心可以通過視頻解碼器解碼輸出模擬信號(hào)到電視墻，通過電視墻來觀看前方監(jiān)控點(diǎn)圖像，用戶可以通過pc機(jī)登錄視頻監(jiān)控平臺(tái)或者通過控制鍵盤來靈活控制圖像的切換。在各個(gè)區(qū)域可以建設(shè)監(jiān)控分中心，通過視頻解碼器，解碼輸出模擬信號(hào)到電視墻，通

9、過電視墻來觀看前方監(jiān)控點(diǎn)圖像，用戶可以通過pc機(jī)登錄視頻監(jiān)控平臺(tái)或者通過控制鍵盤來靈活控制圖像的切換。正常情況下只能看到轄區(qū)內(nèi)圖像，通過xxxxxxxxxx領(lǐng)導(dǎo)授權(quán)可以看到其他區(qū)域圖像。3.3 核心技術(shù) 系統(tǒng)安全性平臺(tái)有自檢的功能，攝像機(jī)遭破壞（如：斷電，斷網(wǎng)線，攝像鏡頭被遮擋等）平臺(tái)能自動(dòng)報(bào)警并作相應(yīng)的紀(jì)錄同時(shí)能夠發(fā)送郵件或者短信給相關(guān)人員，監(jiān)控端修復(fù)后也應(yīng)該能夠自動(dòng)記錄（何時(shí)恢復(fù)，狀態(tài)等）等。 多級(jí)管理功能，多級(jí)權(quán)限分配機(jī)制用戶可以在平臺(tái)上建立自己的管理系統(tǒng)：比如說：某一個(gè)用戶有多個(gè)視頻監(jiān)控點(diǎn)在這個(gè)平臺(tái)上，用戶可以將這些自己的監(jiān)控集中在一個(gè)界面上進(jìn)行管理如同在自己的管理平臺(tái)一樣。根據(jù)其定制

10、的不同服務(wù)，提供不同的服務(wù)。用戶在自己的平臺(tái)上可以有多種查詢搜索方式找到自己的錄像資料，比如按時(shí)間段，按監(jiān)控點(diǎn)的名字，按事件等等。其可以使用的硬盤資源，包括容易，備份方式，安全機(jī)制等等，都可以提供不同的服務(wù)等級(jí)， 豐富的管理功能提供系統(tǒng)管理、分區(qū)管理、組織機(jī)構(gòu)管理、用戶管理等模塊 完全基于web模式支持客戶端從網(wǎng)頁自動(dòng)安裝、升級(jí)與登錄 單點(diǎn)登錄登錄一次即可進(jìn)入所有的服務(wù) 界面定制化功能房間管理員可以為每個(gè)房間設(shè)置不同的界面，具有非常強(qiáng)的定制化能力。第4章 系統(tǒng)架構(gòu)設(shè)計(jì)4.1 業(yè)務(wù)功能設(shè)計(jì)4.1.1 系統(tǒng)管理模塊具有管理員身份的用戶登錄后，即可進(jìn)入本模塊；該功能模板主要包含：服務(wù)器(設(shè)備)管理系

11、統(tǒng)管理模塊可以配置各種服務(wù)器；包括：認(rèn)證服務(wù)器、中心服務(wù)器、通信管理分服務(wù)器、通信(視頻)轉(zhuǎn)發(fā)服務(wù)器、應(yīng)用擴(kuò)展服務(wù)器、視頻存儲(chǔ)服務(wù)器、視頻點(diǎn)播服務(wù)器；服務(wù)器的信息包括編號(hào)、名稱、ip、端口、生產(chǎn)廠家、型號(hào)、安裝地點(diǎn)；客戶端管理系統(tǒng)管理員可以配置前端監(jiān)控點(diǎn)、客戶端的版本，實(shí)現(xiàn)監(jiān)控點(diǎn)和客戶端的自動(dòng)升級(jí)、零維護(hù)；分區(qū)管理（二級(jí)管理）模塊分區(qū)相當(dāng)于各區(qū)域等，支持多級(jí)分區(qū)管理；具有分區(qū)管理員身份的用戶登錄后，即可進(jìn)入本模塊；子分區(qū)管理可以添加、刪除、修改子分區(qū)；可以設(shè)置子分區(qū)的主管理員；子分區(qū)結(jié)構(gòu)以多級(jí)目錄形式顯示，目前可分為區(qū)域二級(jí)管理目錄；添加子分區(qū)的同時(shí)必須設(shè)置該分區(qū)的主管理員；頂級(jí)分區(qū)即xxxx

12、xxxxxx監(jiān)控管理中心；故障管理故障管理做為一個(gè)獨(dú)立的模塊進(jìn)行；管理員可以記錄用戶的故障以及維護(hù)日志、維護(hù)狀態(tài)；管理人員可以將故障傳遞給下級(jí)分區(qū)維護(hù)，例如xxxxxxxxxx監(jiān)控中心可以設(shè)置客戶受理中心，接收客戶詢問，填寫故障，并傳遞給下級(jí)分區(qū)維護(hù)；故障查詢時(shí)，按照代理商、是否遞規(guī)、受理時(shí)間、狀態(tài)等條件，遞規(guī)查詢子分區(qū)的故障記錄；日志管理：本模塊的各種操作，都將產(chǎn)生日志，管理員可以查看日志；管理員管理：主管理員可以管理多個(gè)普通管理員；管理員具有如下權(quán)限：子分區(qū)管理、單位用戶管理、故障管理、管理員管理等權(quán)限；通過授予不同的權(quán)限，從而將管理工作分配給不同的人員去處理；個(gè)人信息維護(hù)：管理員可以修改

13、自己的注冊資料；4.1.2 網(wǎng)絡(luò)視頻監(jiān)控實(shí)現(xiàn)網(wǎng)絡(luò)視頻監(jiān)看和網(wǎng)絡(luò)視頻控制，包括音頻通信?？梢栽谶h(yuǎn)端點(diǎn)上實(shí)時(shí)監(jiān)看、控制、錄制監(jiān)控端的視音頻數(shù)據(jù)，并可以和中心平臺(tái)進(jìn)行雙向交互?？梢愿鶕?jù)具體的網(wǎng)絡(luò)帶寬情況，動(dòng)態(tài)調(diào)節(jié)視頻碼流以適應(yīng)網(wǎng)絡(luò)狀況，調(diào)節(jié)分為質(zhì)量優(yōu)先和速度優(yōu)先。具體實(shí)現(xiàn)如下：瀏覽方式系統(tǒng)支持web瀏覽、客戶端瀏覽兩種方式瀏覽視頻圖像。多畫面分割要求可以實(shí)現(xiàn)將指定的一個(gè)或多個(gè)前端實(shí)時(shí)圖像分割成一個(gè)實(shí)時(shí)圖像來顯示。多畫面輪巡能夠?qū)ο到y(tǒng)的前端編碼器傳來的圖像輪詢觀看，輪詢時(shí)間間隔及前端圖像可自由選擇。用戶可以在控制臺(tái)上，先設(shè)置輪詢時(shí)間間隔，然后從編碼器列表中拖動(dòng)編碼通道至視頻源列表中。設(shè)置功能可對(duì)圖像傳

14、輸幀率，圖像分辨率設(shè)置，并可對(duì)圖像進(jìn)行放大、縮小操作，調(diào)整圖像對(duì)比度和亮度。具有完善的圖像切換及云臺(tái)鏡頭控制功能，操作人員在權(quán)限范圍內(nèi)任意調(diào)用顯示方式或手工設(shè)定，能控制相應(yīng)的云臺(tái)轉(zhuǎn)動(dòng)以及鏡頭，將指定攝像機(jī)的實(shí)時(shí)圖像顯示在指定的顯示器上，并支持?jǐn)z像機(jī)預(yù)制位?？梢詾槊柯穲D像配置文字注釋和編號(hào)設(shè)置，疊加字符可在觀看圖像時(shí)任意調(diào)整位置、取消或疊加。4.1.3 監(jiān)控錄放像監(jiān)控錄放像功能作為一個(gè)獨(dú)立的功能模塊和中心平臺(tái)之間則是一種松耦合的關(guān)系，可以運(yùn)行在任何一臺(tái)計(jì)算機(jī)服務(wù)器上。具有多路錄放像功能，控制方式靈活；錄像方式和放像方式多樣化；錄像文件格式(.asf)通用,方便點(diǎn)播；可以在線觀測系統(tǒng)狀態(tài)；支持分布

15、式處理業(yè)務(wù)；支持告警和日志查詢；支持多種條件組合（錄像別名、媒體模式、錄像類型、視頻源別名、時(shí)間）查詢回放。中心平臺(tái)能根據(jù)客戶端的要求把來自編碼器的圖像發(fā)給錄像服務(wù)器進(jìn)行錄像，也能按要求停發(fā)碼流。中心平臺(tái)能記錄各路圖像當(dāng)前的錄像狀態(tài)并通知客戶端，讓用戶通過客戶端了解各路圖像的當(dāng)前錄像狀態(tài)。中心平臺(tái)能根據(jù)客戶端的要求把來自于網(wǎng)絡(luò)錄像服務(wù)器的碼流交換給電視墻或某一解碼器進(jìn)行解碼輸出。錄放像系統(tǒng)功能描述如下：分布式處理 多個(gè)網(wǎng)絡(luò)錄像服務(wù)器可以協(xié)同工作 網(wǎng)絡(luò)錄像服務(wù)器分主從模式錄像控制 實(shí)現(xiàn)對(duì)指定終端的開始、暫停、繼續(xù)、停止錄像。 多種錄像方式： 手動(dòng)錄像：用戶手動(dòng)啟動(dòng)某錄像任務(wù)進(jìn)行錄像。 定時(shí)錄像：

16、自動(dòng)某一時(shí)刻開始錄像任務(wù)。 告警錄像：啟動(dòng)告警響應(yīng)錄像任務(wù)。 周期錄像：指定某一周期時(shí)間段啟動(dòng)錄像任務(wù)。 io錄像：由外部 支持預(yù)錄，錄下指定事件前一段時(shí)間的視頻，時(shí)間由用戶指定，最長可錄2.5分鐘，此功能一般與告警聯(lián)動(dòng)結(jié)合（例如電子警察）。 錄像控制在客戶端上進(jìn)行，操作方便。錄像文件檢索系統(tǒng)提供多種條件組合查詢，包括： 錄像起止時(shí)間 抽幀方式 錄像別名(支持模糊查詢) 錄像類型 視頻源名稱放像控制 多種播放方式（電視墻、客戶端）。 實(shí)現(xiàn)對(duì)指定文件的播放、慢放、快放、暫停、繼續(xù)、停止?？蛇M(jìn)行播放進(jìn)度的調(diào)整。狀態(tài)顯示系統(tǒng)可以實(shí)時(shí)顯示錄像服務(wù)器和任務(wù)的運(yùn)行狀態(tài)，包括： 錄放像服務(wù)器：運(yùn)行、停止。

17、錄像任務(wù)：運(yùn)行、暫停。 放像任務(wù)：運(yùn)行、暫停、快進(jìn)、慢進(jìn)。4.1.4 告警聯(lián)動(dòng)現(xiàn)場告警控制通過前端編碼器并口收集現(xiàn)場報(bào)警信息，可接入煙感、溫感等傳感裝置，控制門禁、燈光等外圍設(shè)備現(xiàn)場告警控制通過并口用于收集現(xiàn)場報(bào)警信息，根據(jù)設(shè)置進(jìn)行報(bào)警聯(lián)動(dòng)，通過核心業(yè)務(wù)程序?qū)?bào)警信息實(shí)時(shí)通知中心控制臺(tái)，同時(shí)輸出現(xiàn)場報(bào)警控制信號(hào)。根據(jù)聯(lián)動(dòng)信息，進(jìn)行告警聯(lián)動(dòng)錄像、告警切換、調(diào)預(yù)置位，告警聲音等。4.1.5 移動(dòng)偵測可以在控制臺(tái)上指定前端編碼器，對(duì)瀏覽的前端監(jiān)控圖像設(shè)置移動(dòng)偵測區(qū)域（告警區(qū)域）?？梢栽O(shè)置為當(dāng)告警區(qū)域內(nèi)變化區(qū)域大于設(shè)定百分比時(shí)產(chǎn)生告警，以及設(shè)置當(dāng)告警區(qū)域內(nèi)變化區(qū)域小于設(shè)定百分比時(shí)恢復(fù)告警。如果設(shè)置已告

18、警聯(lián)動(dòng)，會(huì)觸發(fā)相應(yīng)的聯(lián)動(dòng)操作。4.1.6 圖像抓拍在實(shí)時(shí)瀏覽圖像時(shí)，對(duì)于重要或感興趣的圖像，可以使用抓拍功能，把抓拍到的通過設(shè)置抓拍路徑指定抓拍圖片保存的位置，以及保存的格式。4.1.7 電子地圖系統(tǒng)支持電子地圖，用戶可以選擇一張本地地圖，設(shè)置坐標(biāo)原點(diǎn)，設(shè)置放大，縮小倍數(shù)，更新當(dāng)前電子地圖及地圖上的前端位置。支持選中終端后自動(dòng)定位到電子地圖中前端的位置。用戶管理員可以往電子地圖上添加前端設(shè)備，輸入圖元名稱，修改完后保存當(dāng)前設(shè)置。4.2 傳輸子系統(tǒng)設(shè)計(jì)傳輸子系統(tǒng)主要用于客戶端的登錄、實(shí)現(xiàn)視頻、報(bào)警信息的傳輸、控制；系統(tǒng)采用分布式服務(wù)器技術(shù)，具有非常高的穩(wěn)定性和規(guī)?？蓴U(kuò)展性；同時(shí)采用開放式插件技術(shù)

19、，使得系統(tǒng)具有非常好的功能可擴(kuò)展性；4.2.1認(rèn)證服務(wù)器認(rèn)證模塊，運(yùn)行在中心管理服務(wù)器和數(shù)據(jù)庫服務(wù)器之間，實(shí)現(xiàn)前端監(jiān)控點(diǎn)、客戶端的登錄認(rèn)證、信息讀取、存儲(chǔ)等功能；4.2.2 中心通信管理服務(wù)器中心通信管理服務(wù)器，是分服務(wù)器、監(jiān)控點(diǎn)和客戶端(二者以下簡稱客戶端)登錄時(shí)的公開地址。負(fù)責(zé)客戶端的登錄、重定向、通信管理分服務(wù)器、通信轉(zhuǎn)發(fā)服務(wù)器、視頻存儲(chǔ)服務(wù)器的協(xié)調(diào)管理工作；中心通信管理服務(wù)器實(shí)際相當(dāng)于管理者，本身不存在大量的數(shù)據(jù)流通信，但是需要?jiǎng)討B(tài)維護(hù)整個(gè)系統(tǒng)的均衡、穩(wěn)定、高效率的運(yùn)轉(zhuǎn)；中心通信管理服務(wù)器能按照預(yù)訂的策略將客戶端重定向到不同的分服務(wù)器，從而實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載的均衡，并保證用戶以最好的質(zhì)量來查

20、看視頻；中心通信管理服務(wù)器支持熱備份，部署于系統(tǒng)中心機(jī)房；4.2.3 通信管理分服務(wù)器通信管理分服務(wù)器啟動(dòng)后將登錄到中心通信管理服務(wù)器，并與之保持持久連接；前端監(jiān)控點(diǎn)和客戶端再登錄中心服務(wù)器后，都會(huì)重定向到該服務(wù)器；該服務(wù)器主要實(shí)現(xiàn)與客戶端的通信連接、狀態(tài)保存、命令傳輸?shù)?；該服?wù)器支持分布式集群、級(jí)聯(lián)轉(zhuǎn)發(fā)、熱備份等特性；系統(tǒng)支持65536個(gè)通信管理分服務(wù)器集群，單服務(wù)器可以支持1萬個(gè)客戶端在線；通信管理分服務(wù)器部署于市區(qū)或縣城的網(wǎng)絡(luò)系統(tǒng)中心機(jī)房4.2.4 通信(視頻)轉(zhuǎn)發(fā)服務(wù)器通信轉(zhuǎn)發(fā)服務(wù)器啟動(dòng)后將登錄到中心通信管理服務(wù)器，并與之保持持久連接；只有在轉(zhuǎn)發(fā)視頻的時(shí)候，客戶端才會(huì)連接到該服務(wù)器，如

21、果停止發(fā)送或者查看視頻，客戶端將立即與該服務(wù)器斷開；客戶端具體使用哪個(gè)轉(zhuǎn)發(fā)服務(wù)器，由中心服務(wù)器按照預(yù)訂的策略來分派；該服務(wù)器支持分布式集群、級(jí)聯(lián)轉(zhuǎn)發(fā)、熱備份等特性；通信轉(zhuǎn)發(fā)服務(wù)器和通信管理分服務(wù)器一起，部署于市區(qū)或縣城的網(wǎng)絡(luò)系統(tǒng)中心機(jī)房；*具體視轉(zhuǎn)發(fā)帶寬而定，即每路視頻轉(zhuǎn)發(fā)的帶寬之和不能超過服務(wù)器的總帶寬；4.2.5 應(yīng)用擴(kuò)展服務(wù)器本系統(tǒng)具有非常好的擴(kuò)展性和數(shù)據(jù)庫開放性，充分體現(xiàn)一個(gè)平臺(tái)、多種應(yīng)用的特點(diǎn)；系統(tǒng)以即時(shí)通信客戶端做為入口，實(shí)現(xiàn)單點(diǎn)登錄，統(tǒng)一應(yīng)用管理；除了視頻監(jiān)控之外，可以通過增加相應(yīng)的服務(wù)器和客戶端插件來實(shí)現(xiàn)應(yīng)用的擴(kuò)展：擴(kuò)展多點(diǎn)通信服務(wù)器，可以實(shí)現(xiàn)視頻會(huì)議、遠(yuǎn)程實(shí)時(shí)培訓(xùn)；擴(kuò)展文件服

22、務(wù)器，可以實(shí)現(xiàn)協(xié)同辦公、公文流轉(zhuǎn)；擴(kuò)展lms服務(wù)器，可以實(shí)現(xiàn)異步教學(xué)；應(yīng)用擴(kuò)展服務(wù)器按照實(shí)際情況部署于系統(tǒng)中心機(jī)房；4.2.6 前端監(jiān)控點(diǎn)ip視頻服務(wù)器模擬攝像機(jī)云臺(tái)、視頻服務(wù)器、報(bào)警裝置、可安裝在企業(yè)的各個(gè)地方；監(jiān)控點(diǎn)登錄后，可以定時(shí)從服務(wù)器獲取相關(guān)配置參數(shù)，同步設(shè)置到本地；支持語音、視頻采集、壓縮、傳輸；支持云臺(tái)、雨刷控制；支持本地視頻錄像存儲(chǔ)，錄像存儲(chǔ)策略由管理員通過業(yè)務(wù)管理系統(tǒng)進(jìn)行定義；支持報(bào)警信號(hào)的實(shí)時(shí)采集、主動(dòng)傳輸；支持h.264等視頻編碼器，支持qcif/cif/4cif等格式，幀率可達(dá)25fps，帶寬從64kbps到2mbps可選；4.2.7 各客戶端客戶端運(yùn)行在能接入互聯(lián)網(wǎng)的

23、任何位置，只有具有正確的用戶名、密碼即可登錄系統(tǒng)；u 視頻監(jiān)控視頻監(jiān)控做為該客戶端的一個(gè)功能插件，支持如下功能：顯示所有授權(quán)的監(jiān)控點(diǎn)列表，包括名字、狀態(tài)等信息；可同時(shí)監(jiān)看9或16個(gè)攝像機(jī)或者錄像服務(wù)器的內(nèi)容.可以自由進(jìn)行1倍,2倍,全屏等的放大，可以獲取監(jiān)看點(diǎn)“視點(diǎn)”信息；可對(duì)顯示畫面的如何一路進(jìn)行操作，完成開/關(guān)聲音；圖像放大和分辨率改變等；支持臨時(shí)自由添加或刪除參與循環(huán)監(jiān)控的攝像機(jī)、更改循環(huán)間隔時(shí)間、暫停循環(huán)等功能，并可任意固定顯示某一路或多路攝像機(jī)停止循環(huán)，而讓其他攝像機(jī)繼續(xù)循環(huán)顯示；支持視頻的抓拍、錄制功能；可對(duì)任意被授權(quán)的攝像機(jī)的雨刷、云臺(tái)的姿態(tài)進(jìn)行控制及鏡頭控制；能實(shí)時(shí)監(jiān)測到監(jiān)控點(diǎn)

24、的報(bào)警信息，如果客戶端離線，報(bào)警消息將會(huì)存儲(chǔ)在服務(wù)器，并在客戶端下次登錄時(shí)自動(dòng)提示；u 錄像回放該程序?qū)浵翊鎯?chǔ)子系統(tǒng)的錄像點(diǎn)播客戶端做為一個(gè)功能插件，有機(jī)地整合到一起，實(shí)現(xiàn)錄像的檢索、點(diǎn)播；u 擴(kuò)展應(yīng)用客戶端可以非常方便地管理、擴(kuò)展其他應(yīng)用，例如協(xié)同辦公、短信、視頻會(huì)議、遠(yuǎn)程培訓(xùn)等；4.3 錄像存儲(chǔ)子系統(tǒng)錄像存儲(chǔ)子系統(tǒng)，是為了完成遠(yuǎn)程監(jiān)控系統(tǒng)要求中的遠(yuǎn)程存儲(chǔ)要求而設(shè)立的。它是為了完成用戶因?yàn)椴荒芙?jīng)常在線監(jiān)控，而又需要724小時(shí)錄像的要求而設(shè)立的。其實(shí)現(xiàn)方式，是通過在市區(qū)或縣區(qū)分別建立t級(jí)的集中存儲(chǔ)中心，按照用戶的要求，分配一定的存儲(chǔ)容量。用戶根據(jù)這個(gè)容量，可以自由設(shè)定錄像策略規(guī)則進(jìn)行的。4.

25、3.1 視頻存儲(chǔ)服務(wù)器根據(jù)系統(tǒng)設(shè)置的給某單位用戶的空間容量，提供錄像存儲(chǔ)服務(wù)；用戶需要提前設(shè)定好存儲(chǔ)的觸發(fā)條件，例如： 全天循環(huán)錄像（系統(tǒng)默認(rèn)提供的錄像方式） 每天固定時(shí)間段存儲(chǔ) 每周固定時(shí)間段存儲(chǔ) 每月固定時(shí)間段存儲(chǔ) 根據(jù)報(bào)警觸發(fā)條件存儲(chǔ)這些錄像，都要求在固定的空間范圍內(nèi)，可以循環(huán)錄像，或者到系統(tǒng)；提供的容量后自動(dòng)停止兩種方式。到容量后，還可以提供emaill通知的方式；這些視頻存儲(chǔ)方式，可以指定錄像分割單元的時(shí)間片，例如1分鐘、10分鐘等自由設(shè)置；可以一次性設(shè)定該單位用戶可以支配的所有攝像機(jī)前端設(shè)備，也可以單獨(dú)設(shè)定任何一個(gè)前端設(shè)備的錄像策略，實(shí)現(xiàn)特性錄像；視頻存儲(chǔ)服務(wù)器啟動(dòng)時(shí)，需要登錄中心

26、管理服務(wù)器，并且與之保持連接狀態(tài)；同時(shí)還需要從中心管理服務(wù)器獲取每個(gè)監(jiān)控點(diǎn)的存儲(chǔ)策略，便于執(zhí)行存儲(chǔ)任務(wù)；文件信息，保存在數(shù)據(jù)庫服務(wù)器內(nèi)。用戶可以通過點(diǎn)播服務(wù)器，輸入關(guān)鍵字，就可以查詢到錄像信息，這些關(guān)鍵字，可以是前端設(shè)備名稱、時(shí)間、報(bào)警關(guān)鍵字、其他關(guān)鍵字；視頻存儲(chǔ)服務(wù)器，還可以自動(dòng)根據(jù)設(shè)定的間隔時(shí)間，向中心管理服務(wù)器報(bào)告其的工作情況，例如：硬盤空閑容量、內(nèi)存使用情況、網(wǎng)絡(luò)帶寬使用情況、正在錄像的前端設(shè)備數(shù)量；4.3.3 視頻點(diǎn)播服務(wù)器與對(duì)應(yīng)的存儲(chǔ)服務(wù)器配合，根據(jù)用戶觀看的請(qǐng)求，把對(duì)應(yīng)的文件，以流方式發(fā)送給觀看的用戶。用戶可以選擇快進(jìn)、快退、暫停、慢放（1/2，1/4速度），快放(2，4，8，1

27、6速度)，根據(jù)百分比跳躍(前跳、后跳)可以根據(jù)用戶的要求，選擇以ftp的方式下載錄像文件，供用戶在本地分析和使用。視頻點(diǎn)播服務(wù)器，還可以自動(dòng)根據(jù)設(shè)定的間隔時(shí)間，報(bào)告給關(guān)心的網(wǎng)管模塊（服務(wù)器）該存儲(chǔ)服務(wù)器的工作情況，例如：硬盤空閑容量、內(nèi)存使用情況、網(wǎng)絡(luò)帶寬使用情況、正在點(diǎn)播的用戶數(shù)量。4.3.4 存儲(chǔ)設(shè)備支持nas設(shè)備，支持scsi硬盤塔。4.3.5 各客戶端在客戶端，可以查詢到目前錄制的文件。可以用戶可以選擇快進(jìn)、快退、暫停、慢放（1/2，1/4速度），快放(2，4，8，16速度)，根據(jù)百分比跳躍(前跳、后跳)用戶可以選擇以ftp的方式下載錄像文件，供用戶在本地分析和使用。在客戶端，可以播放

28、這些錄像文件。4.4 系統(tǒng)監(jiān)控子系統(tǒng)監(jiān)控子系統(tǒng)由多臺(tái)監(jiān)控工作站組成，可部署在各級(jí)監(jiān)控中心機(jī)房；能以不同顏色、聲音等對(duì)不正常設(shè)備進(jìn)行告警，同時(shí)存儲(chǔ)告警信息；能保存所有的系統(tǒng)監(jiān)控信息，形成日志，并可對(duì)系統(tǒng)日志進(jìn)行查詢；監(jiān)控工作站提供系統(tǒng)級(jí)、應(yīng)用級(jí)、內(nèi)容級(jí)的監(jiān)控；系統(tǒng)級(jí)：各個(gè)服務(wù)器的cpu負(fù)載、網(wǎng)絡(luò)流量、內(nèi)存、硬盤等；應(yīng)用級(jí)：前端監(jiān)控點(diǎn)和客戶端的狀態(tài)，包括活動(dòng)的監(jiān)控點(diǎn)數(shù)、監(jiān)控客戶端數(shù)等；內(nèi)容級(jí)：可以監(jiān)視每個(gè)監(jiān)控點(diǎn)的狀態(tài)、視頻；第5章 系統(tǒng)安全設(shè)計(jì)隨著世界的網(wǎng)絡(luò)化程度越來越高，獲取信息的方式越來越方便和快捷。然而企業(yè)及其客戶只會(huì)信賴那種能夠確保安全的環(huán)境來存儲(chǔ)他們的敏感數(shù)據(jù)，安全性是所有網(wǎng)絡(luò)都要考慮的

29、一個(gè)主要問題。系統(tǒng)的安全性來自于三個(gè)方面的有機(jī)結(jié)合：技術(shù)、過程和人員。也就是說，安全并不僅僅是安全技術(shù)的組合運(yùn)用，而且也有賴于嚴(yán)謹(jǐn)有效的管理和具備足夠知識(shí)的業(yè)務(wù)人員的保障。在系統(tǒng)的安全設(shè)計(jì)方面，我們從技術(shù)和運(yùn)行保障兩個(gè)方面進(jìn)行考慮。在技術(shù)方面，通過在多個(gè)層次上進(jìn)行安全設(shè)計(jì)，保證數(shù)據(jù)、通訊和驗(yàn)證的安全。在運(yùn)行保障方面，通過相應(yīng)安全操作框架，為深圳市捷高電子科技有限公司公司提供系統(tǒng)運(yùn)行過程中的安全管理的最佳實(shí)踐。5.1 安全性原則保持安全環(huán)境的過程分成兩個(gè)相關(guān)的階段：獲得安全和保持安全。獲得安全保障和保持該安全狀態(tài)都是管理操作。若要獲得安全保障，必須進(jìn)行有效的部署。它包含部署最新的安全補(bǔ)丁程序和最

30、新的服務(wù)包以使系統(tǒng)進(jìn)入安全狀態(tài)。第二個(gè)階段稱為“保持安全”。創(chuàng)建一個(gè)最初安全的環(huán)境只是安全的一個(gè)方面。但是，一旦環(huán)境建立并運(yùn)行起來，如何長期保持環(huán)境安全，采取針對(duì)威脅的預(yù)防性措施，并在發(fā)生威脅時(shí)有效地作出響應(yīng)，這就完全是另外一回事了。保持安全狀態(tài)包含跟蹤系統(tǒng)的狀態(tài)；確保應(yīng)用了正確的補(bǔ)丁程序；確保在特定的時(shí)候可得到最新的更新；并確保沒有安裝會(huì)破壞系統(tǒng)安全性的其他應(yīng)用程序。這種監(jiān)控和跟蹤也是管理操作。獲得安全第一個(gè)階段稱為“獲得安全”。該階段的主要目的是為了使企業(yè)達(dá)到適當(dāng)?shù)陌踩?jí)別。保持安全在實(shí)施安全機(jī)制時(shí)，有許多必須規(guī)劃和實(shí)施的領(lǐng)域。下面的圖表是對(duì)這些領(lǐng)域的高度概括。5.1.1 獲得安全 安全策

31、略為保證安全措施在整個(gè)組織中得以實(shí)施和維護(hù)，需要制定并執(zhí)行一個(gè)安全策略。安全策略必須能夠提供： n 總體安全目標(biāo)。 n 所需的總體安全級(jí)別的概要。 n 安全標(biāo)準(zhǔn)，包括審核和監(jiān)視策略。 n 定義維護(hù)安全所需的培訓(xùn)和過程。 安全策略提供了企業(yè)的安全目標(biāo)，描述了整個(gè)組織所要達(dá)到的安全目標(biāo)，并定義了內(nèi)部安全標(biāo)準(zhǔn)及如何審核和監(jiān)控這些標(biāo)準(zhǔn)。為使策略能夠在整個(gè)組織內(nèi)生效，管理層必須欣然接受它。 安全防范采用縱深防御戰(zhàn)略來保護(hù)資源不受外部和內(nèi)部的威脅，可以減少威脅和薄弱點(diǎn)，并因此降低風(fēng)險(xiǎn)。這包括部署高級(jí)的安全方案，如防火墻、入侵檢測、加密和確保服務(wù)器和應(yīng)用程序控制權(quán)和配置正確?？v深防御戰(zhàn)略在本系統(tǒng)中的每一層，

32、都有各種形式的安全控制。安全控制包括防火墻、路由器、審核日志檢查、多主服務(wù)器、正確的訪問控制和加密。為安全保護(hù)而創(chuàng)建的每一層都相當(dāng)于一個(gè)防止未授權(quán)訪問的塹壕。防御層數(shù)越多，對(duì)網(wǎng)絡(luò)資源進(jìn)行未授權(quán)訪問的難度就越大。這一戰(zhàn)略通過提供冗余防御層來確保安全性，在某一層或者在某些情況下多個(gè)層被攻破時(shí)，冗余的防御層能夠?qū)Y源進(jìn)行保護(hù)。縱深防御策略包括：周邊防御（perimeter defenses）本系統(tǒng)外圍各方面的安全保護(hù)是根據(jù)周邊防御的要求劃定的，它利用安全設(shè)備來保護(hù)進(jìn)入網(wǎng)絡(luò)的各入口點(diǎn)。利用縱深防御戰(zhàn)略，每個(gè)設(shè)備都經(jīng)過評(píng)估，并且確定所允許的通信類型，于是就形成了一個(gè)安全模型來抵抗各種威脅。同時(shí)制定這樣一

33、個(gè)策略： 在進(jìn)入系統(tǒng)的主入口點(diǎn)上只允許在指定端口上進(jìn)行通信，而其他所有通信全部被阻止。網(wǎng)絡(luò)防御（network defenses）縱深防御戰(zhàn)略強(qiáng)調(diào)，好的安全模型建立在一系列的安全壁壘上。在前沿周邊設(shè)備后的第二道防線就是網(wǎng)絡(luò)本身。對(duì)于本系統(tǒng)，各個(gè)網(wǎng)絡(luò)都要分別經(jīng)過評(píng)估，然后制定出一個(gè)策略，列出此網(wǎng)絡(luò)絕對(duì)需要的通信類型。而其他所有的通信都將被防火墻阻止，由交換機(jī)控制，或被禁用。服務(wù)器防御（host defenses）使用縱深防御，系統(tǒng)中的每臺(tái)服務(wù)器都要經(jīng)過評(píng)估，而且為各服務(wù)器分別創(chuàng)建的策略限制該服務(wù)器只執(zhí)行要求它完成的任務(wù)。這就建立了另一個(gè)安全壁壘，黑客進(jìn)行任何破壞必須要突破這一關(guān)。單獨(dú)的策略是基于

34、各服務(wù)器上包含數(shù)據(jù)的分類和類型而創(chuàng)建的。例如，公司策略指出所有 web 服務(wù)器都是不保密的，于是只能包含共用信息。數(shù)據(jù)庫服務(wù)器是絕密的，意味著要不惜一切代價(jià)保護(hù)其中的信息。所有服務(wù)器在 tcp/ip 級(jí)都有一個(gè)暴露點(diǎn)，因此在協(xié)議鎖定方面存在一個(gè)共性。應(yīng)用程序防御（application defenses）作為另一個(gè)防御層，應(yīng)用程序的加固是任何一種安全模型中都不可缺少的一部分。加強(qiáng)保護(hù)操作系統(tǒng)安全只能提供一定程度的保護(hù)。應(yīng)用程序開發(fā)者負(fù)責(zé)將安全保護(hù)融入到應(yīng)用程序中，以便對(duì)體系結(jié)構(gòu)中應(yīng)用程序可訪問到的區(qū)域提供專門的保護(hù)。應(yīng)用程序存在于系統(tǒng)的環(huán)境中。所以，查看應(yīng)用程序的安全性而不看整個(gè)系統(tǒng)是不可能的

35、。在設(shè)計(jì)上，本系統(tǒng)支持多種應(yīng)用程序類型。每個(gè)應(yīng)用程序可能需要有自己的安全模型，但在開發(fā)期間都遵循一組標(biāo)準(zhǔn)的指導(dǎo)原則。 數(shù)據(jù)和資源（data & resources）每個(gè)服務(wù)器上的所有應(yīng)用程序和服務(wù)都要評(píng)估其相關(guān)性，那些不需要的應(yīng)用程序和服務(wù)將被刪除。其他類型的資源，包括數(shù)據(jù)在內(nèi)，都使用策略來保護(hù)并使用一個(gè)集中的管理平臺(tái)進(jìn)行審核。5.1.2 保持安全創(chuàng)建一個(gè)最初安全的環(huán)境只是安全的一個(gè)方面。但是，一旦環(huán)境建立并運(yùn)行起來，如何長期保持環(huán)境安全，采取針對(duì)威脅的預(yù)防性措施，并在發(fā)生威脅時(shí)有效地作出響應(yīng)，對(duì)于系統(tǒng)的安全具有更重要的意思。在本方案中，主要涉及到集中管理和快速相應(yīng)兩個(gè)方面。 集中管理安全的系

36、統(tǒng)首先是管理完善的系統(tǒng)。通過有效的管理措施可以使安全時(shí)間的數(shù)量和影響減到最小。這些措施包括：明確地建立并實(shí)施所有策略和步驟。許多安全事件是由 it 人員無意間造成的，他們可能未遵守或不理解更改管理過程，或者對(duì)安全設(shè)備配置不當(dāng)，如防火墻和身份驗(yàn)證系統(tǒng)。徹底測試安全策略和過程，以確保它們實(shí)用、清楚，并能提供適當(dāng)?shù)陌踩?jí)別。 在安全策略和事件處理方面得到管理層的支持。 定期監(jiān)視和分析網(wǎng)絡(luò)通訊量和系統(tǒng)性能。 定期查看所有日志和日志記錄機(jī)制。這些應(yīng)包括操作系統(tǒng)事件日志、特定于應(yīng)用程序的日志和入侵檢測系統(tǒng)日志。 定期評(píng)估環(huán)境中的安全漏洞。這應(yīng)由具有執(zhí)行這些操作的特別權(quán)限的安全專家來完成。 定期檢查服務(wù)器以

37、確保它們都安裝了最新的安全修補(bǔ)程序。 制定 it 人員和最終用戶的安全培訓(xùn)計(jì)劃。 經(jīng)常提醒用戶記住他們的責(zé)任和對(duì)他們的限制，以及可能追究違規(guī)行為的警告。 制定、實(shí)現(xiàn)并強(qiáng)制執(zhí)行一個(gè)要求使用復(fù)雜密碼的策略。 檢查備份和還原步驟。確認(rèn)備份保存在什么位置，誰能訪問它們，并知道數(shù)據(jù)還原和系統(tǒng)恢復(fù)的步驟。確保定期通過有選擇地還原一些數(shù)據(jù)來檢驗(yàn)備份和保存介質(zhì)。 建立一個(gè)計(jì)算機(jī)安全事件響應(yīng)小組 (csirt)。該小組人員負(fù)責(zé)處理所有安全事件。csirt 中的每個(gè)成員都應(yīng)有明確定義的職責(zé)，以確保能對(duì)每一個(gè)方面做出響應(yīng)。 快速響應(yīng)安全是相對(duì)的，不安全是絕對(duì)的。關(guān)鍵在于能否快速的發(fā)現(xiàn)問題，定位問題，以及快速響應(yīng)來解

38、決問題。事件快速響應(yīng)計(jì)劃包括以下步驟：作出初步評(píng)估采取初步步驟確定遇到的是真正的事件還是一個(gè)假象。 對(duì)攻擊的類型和嚴(yán)重性有一個(gè)大致的認(rèn)識(shí)。這時(shí)掌握的信息應(yīng)足以能夠就此事件與有關(guān)各方溝通，以便進(jìn)行進(jìn)一步的調(diào)查并開始控制破壞，使風(fēng)險(xiǎn)減至最小。 詳細(xì)記錄采取的行動(dòng)。這些記錄以后用來將事件歸檔（無論是真事件還是假事件）。寧可對(duì)每一個(gè)假象都做出反應(yīng)，也不要放過一個(gè)真正的事件。所以初步評(píng)估應(yīng)盡可能短而快，但仍要能夠剔除明顯的假象。通報(bào)發(fā)生的事件當(dāng)懷疑發(fā)生了安全事件時(shí)，應(yīng)迅速將此事件通知計(jì)算機(jī)安全事件響應(yīng)小組 (csirt)，確保能夠適當(dāng)?shù)乜刂剖录f(xié)調(diào)對(duì)事件的反應(yīng)，同時(shí)又能夠?qū)⑵茐姆秶鷾p至最小。在事件得到

39、適當(dāng)控制之前，知情范圍應(yīng)只限制在事件響應(yīng)參與者這一范圍內(nèi)?？刂茡p失/將風(fēng)險(xiǎn)減到最小通過迅速采取行動(dòng)來減少攻擊所造成的實(shí)際的和潛在的影響，就能夠避免讓小事件演化成大事件。確定破壞的類型和嚴(yán)重程度為能夠從遭受的攻擊中有效地恢復(fù)，需要確定系統(tǒng)被破壞的嚴(yán)重程度。這包括確定如何進(jìn)一步抑制并減少風(fēng)險(xiǎn)、如何恢復(fù)和向誰通知發(fā)生的事件以及如何掌握通知的時(shí)間，還包括是否應(yīng)訴諸法律。需要確定攻擊的性質(zhì)；攻擊的發(fā)起點(diǎn)；攻擊的意圖（它是為獲得特定信息而專門發(fā)起的攻擊，還是一次漫無目的的攻擊？ ）；找出受破壞的系統(tǒng)；找出被訪問過的文件并確定這些文件的機(jī)密程度，最后確定出適合于環(huán)境的響應(yīng)措施。保護(hù)證據(jù)許多情況下，如果運(yùn)行環(huán)

40、境遭受蓄意的攻擊，都希望能將攻擊者繩之以法。如要這樣做，就需要收集用來對(duì)付他們的證據(jù)。極為重要的一點(diǎn)是，要盡可能快地備份受破壞的系統(tǒng)，這應(yīng)在執(zhí)行任何可能會(huì)影響原始媒體上數(shù)據(jù)的完整性的操作之前進(jìn)行。通知外部機(jī)構(gòu)在事件已得到控制并保留了證據(jù)之后，就需要開始通知外部的有關(guān)各方了?？赡苄枰ㄖ姆矫姘▓?zhí)法機(jī)構(gòu)、外部安全機(jī)構(gòu)，以及防病毒專家。外部機(jī)構(gòu)可提供技術(shù)幫助，提供更快的解決辦法，并提供從類似的事件中取得的經(jīng)驗(yàn)，以幫助從事件中全面恢復(fù)并防止以后再發(fā)生此類事件。對(duì)于某些特定的行業(yè)和違規(guī)事件類型，可能需要明確地通知客戶和/或公眾，特別是在客戶可能會(huì)直接受到事件影響時(shí)?；謴?fù)系統(tǒng)如何恢復(fù)系統(tǒng)一般取決于安全

41、事件的影響范圍。需要確定，是否能夠在盡可能保持原數(shù)據(jù)不動(dòng)的情況下還原現(xiàn)有系統(tǒng)，或者是否必須完全重建系統(tǒng)。編寫和整理事件記錄資料詳細(xì)記錄響應(yīng)處理所有事件的過程。這應(yīng)包括對(duì)安全違規(guī)事件的描述和所采取的每一個(gè)行動(dòng)的細(xì)節(jié)（是誰采取的行動(dòng)，是在何時(shí)采取的以及采取此行動(dòng)的理由）。在整個(gè)響應(yīng)過程中，應(yīng)將所有參與和接觸事件響應(yīng)的人都記錄下來?？偨Y(jié)響應(yīng)過程并更新策略在文檔記錄和恢復(fù)階段完成后，需要徹底重新檢查一下響應(yīng)過程。確定響應(yīng)過程中哪些步驟的執(zhí)行是成功的，犯了哪些錯(cuò)誤。適當(dāng)更改響應(yīng)過程，以便以后能夠更好地處理安全事件。這些步驟并不是完全按順序先后執(zhí)行的，而是在整個(gè)事件中都在進(jìn)行。例如，文檔記錄在剛開始時(shí)就啟

42、動(dòng)了，而且在整個(gè)事件過程中將一直進(jìn)行，信息溝通也貫穿了整個(gè)事件過程。 響應(yīng)過程的其他方面也會(huì)協(xié)同進(jìn)行。例如，作為初步評(píng)估的一部分，將了解到攻擊的大致性質(zhì)。盡可能快地使用此信息以減少破壞和將風(fēng)險(xiǎn)降至最低是非常重要的。如果反應(yīng)迅速，就能夠節(jié)省時(shí)間和資金。然而，如果等到對(duì)破壞的類型和嚴(yán)重程度有更詳細(xì)的了解時(shí)，就無法真正有效地減少破壞并將風(fēng)險(xiǎn)降至最低了。過于急進(jìn)的響應(yīng)甚至?xí)斐杀茸畛醯墓舾蟮钠茐?。通過協(xié)調(diào)這兩個(gè)步驟，就能夠在快速反應(yīng)和有效行動(dòng)之間找到最佳平衡點(diǎn)。5.2 網(wǎng)絡(luò)級(jí)安全性5.2.1 網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)級(jí)別安全性主要是對(duì)系統(tǒng)網(wǎng)絡(luò)的安全保護(hù)。網(wǎng)絡(luò)的安全保護(hù)首先是規(guī)劃，要從業(yè)務(wù)的角度上劃分出可信

43、網(wǎng)、不可信網(wǎng)，或可以按照分布式的方法，對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行分層，每層都有不同的保護(hù)方法。采用防火墻設(shè)備對(duì)不同信任程度的網(wǎng)絡(luò)段的用戶與服務(wù)進(jìn)行控制或直接進(jìn)行隔離。同時(shí)，通過劃分vlan對(duì)內(nèi)部網(wǎng)進(jìn)行劃分和隔離，防止竊聽。要進(jìn)行網(wǎng)點(diǎn)合法性管理，對(duì)網(wǎng)絡(luò)中任何節(jié)點(diǎn)的增加、刪除、改變進(jìn)行管理，建立相應(yīng)的審批和操作程序；對(duì)網(wǎng)絡(luò)ip地址、主機(jī)名按照標(biāo)準(zhǔn)進(jìn)行統(tǒng)一編碼和分配，并嚴(yán)格保密；對(duì)通信連接進(jìn)行管理，防止他人冒充合法網(wǎng)點(diǎn)進(jìn)行犯罪。總的目的是保持網(wǎng)絡(luò)設(shè)備、線路能按照提供的性能提供穩(wěn)定的服務(wù)。5.2.2 網(wǎng)絡(luò)設(shè)備的安全配置1、保護(hù)管理接口的安全：入侵者的一些主要攻擊點(diǎn)包括cisco路由器、以太網(wǎng)交換機(jī)的管理接口。如果

44、一個(gè)入侵者能夠訪問設(shè)備的管理接口，他就能觀察設(shè)備的配置信息，重新配置設(shè)備并獲得對(duì)它的控制，甚至能繼續(xù)獲得對(duì)其他相連網(wǎng)絡(luò)設(shè)備的訪問權(quán)。2、保護(hù)控制臺(tái)端口的訪問安全：控制臺(tái)是一個(gè)通過控制臺(tái)端口直接連接到路由器的終端，在路由器的缺省配置中，沒有為控制臺(tái)端口設(shè)置口令保護(hù)，在最初的配置對(duì)話框中也沒有要求用戶設(shè)置控制臺(tái)口令，因此需要配置口令，而且一定要區(qū)分出用戶模式口令和特權(quán)模式口令（enable命令啟用時(shí)）。3、保護(hù)路由器到路由器的通信安全：可以采用路由協(xié)議本身支持的認(rèn)證技術(shù)實(shí)現(xiàn)路由的鄰居認(rèn)證；保護(hù)路由器配置文件的安全，如果路由器配置文件在tftp服務(wù)器上，要手工啟動(dòng)或關(guān)閉tftp服務(wù)器軟件，防止有人訪

45、問tftp服務(wù)器軟件而修改配置文件；控制對(duì)路由器的http訪問。4、保護(hù)以太網(wǎng)交換機(jī)的安全：控制以太網(wǎng)交換機(jī)的管理訪問；采用安全端口過濾阻止一個(gè)非授權(quán)的工作站對(duì)以太網(wǎng)或快速以太網(wǎng)端口的輸入；使用ip訪問控制列表控制從非授權(quán)的源ip地址對(duì)交換機(jī)進(jìn)行telnet和snmp訪問。5.3 認(rèn)證安全在認(rèn)證的過程中，需要建立系統(tǒng)以及運(yùn)營商的審核機(jī)制，保證合作伙伴、會(huì)員、運(yùn)營商之間是可信任的，存放在用戶端的數(shù)據(jù)使用國際通用的加密算法進(jìn)行加密處理，不可篡改、不可泄漏、不包括用戶敏感信息。保證系統(tǒng)對(duì)外提供的認(rèn)證接口的安全性。使用加密驗(yàn)證手段，防止惡意調(diào)用端口對(duì)系統(tǒng)進(jìn)行的攻擊行為使用其它系統(tǒng)提供的接口時(shí)，確保該接

46、口本身是安全的、可信任的。認(rèn)證系統(tǒng)能夠識(shí)別惡意的攻擊，并且采取一定的措施來防御攻擊，并保證攻擊不會(huì)影響系統(tǒng)的正常運(yùn)作。具體攻擊防御方法見后面攻擊防御一節(jié)。5.4 數(shù)據(jù)傳輸安全在系統(tǒng)組件間以及系統(tǒng)與外部系統(tǒng)交互過程中的數(shù)據(jù)傳輸過程中，必須保證傳輸?shù)碾p方是相互信任的，并且要保證一些敏感的信息（包括帳號(hào)的密碼、計(jì)費(fèi)的數(shù)據(jù)、結(jié)算的數(shù)據(jù)等）在傳輸過程具備了防止被非法竊取、篡改的能力。用戶與服務(wù)器之間具有大量的通信，其中，有些通信傳遞的是非常敏感的信息，例如用戶的賬戶密碼，用戶的付費(fèi)帳號(hào)和密碼等。這些信息泄露的后果十分嚴(yán)重。因此，對(duì)這些敏感信息的傳輸要采用嚴(yán)格的保護(hù)措施。安全套接層協(xié)議(ssl)是在int

47、ernet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶進(jìn)行認(rèn)證。ssl協(xié)議要求建立在可靠的傳輸層協(xié)議(例如tcp)之上。ssl協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。第6章 系統(tǒng)可擴(kuò)展性設(shè)計(jì)6.1 網(wǎng)絡(luò)可擴(kuò)展性設(shè)計(jì)網(wǎng)絡(luò)負(fù)載均衡的好處包括： 可擴(kuò)展能力n 通過完全滾動(dòng)升級(jí)來降低計(jì)劃內(nèi)的停機(jī)時(shí)間。 n 全面管道式實(shí)現(xiàn)確保高性能低開銷。 高度可用性 n 自動(dòng)檢測并從故障或脫機(jī)的計(jì)算機(jī)中恢復(fù)。 n 當(dāng)群集配置改變時(shí)自動(dòng)重

48、新分配網(wǎng)絡(luò)負(fù)載。 n 在10秒內(nèi)恢復(fù)并重新分配網(wǎng)絡(luò)負(fù)載。 n 處理因疏忽導(dǎo)致的子網(wǎng)并重新加入網(wǎng)絡(luò)群集。 可控性 n 為單一ip端口或成組端口指定負(fù)載平衡功能，方法是使用直接轉(zhuǎn)發(fā)端口管理規(guī)則為每臺(tái)服務(wù)器定制工作負(fù)載。 n 支持客戶會(huì)話和ssl。 n 可選擇的單一主機(jī)規(guī)則將全部客戶請(qǐng)求指定到單一主機(jī)，以此在不同的應(yīng)用間改進(jìn)負(fù)載平衡。 n 通過使用控制臺(tái)命令或腳本，可以從任一聯(lián)網(wǎng)的windows 2000或windows 2003操作系統(tǒng)中遠(yuǎn)程啟動(dòng)、停止和控制操作。 易于使用 n 不需要專門硬件。 n 無須對(duì)服務(wù)器應(yīng)用進(jìn)行修改即可運(yùn)行群集。 n 包括故障恢復(fù)在內(nèi)的大多數(shù)操作均不需要人工干預(yù)。 n 在

49、不影響群集操作的情況下，允許電腦為進(jìn)行預(yù)防性維護(hù)而脫機(jī)。6.2 應(yīng)用的可擴(kuò)展性設(shè)計(jì)在系統(tǒng)中，群集透明性允許應(yīng)用訪問群集中任何地方的數(shù)據(jù)和對(duì)象，好像這些數(shù)據(jù)和對(duì)象是在本地一樣。這種方式允許數(shù)據(jù)從一個(gè)分區(qū)移動(dòng)到另一個(gè)分區(qū)，而不用改變應(yīng)用程序。因此，透明性是模塊化增長的關(guān)鍵因素：在系統(tǒng)中增加節(jié)點(diǎn)，把數(shù)據(jù)移動(dòng)到這些新節(jié)點(diǎn)中，不必修改應(yīng)用。透明性也是高可用性的關(guān)鍵因素，萬一某個(gè)節(jié)點(diǎn)失敗時(shí)，允許數(shù)據(jù)從一個(gè)節(jié)點(diǎn)切換到另一個(gè)節(jié)點(diǎn)上。分布式系統(tǒng)技術(shù)是在群集中創(chuàng)建透明性的關(guān)鍵技術(shù)。通過構(gòu)建模塊結(jié)構(gòu)化應(yīng)用和系統(tǒng)，這些模塊通過遠(yuǎn)程過程調(diào)用而交互作用，應(yīng)用變得模塊化程度更高，并且可以分布在該群集的許多節(jié)點(diǎn)中。客戶根據(jù)名

50、稱調(diào)用服務(wù)。這種過程調(diào)用可以調(diào)用本機(jī)服務(wù)，如果該服務(wù)是遠(yuǎn)程的，那么也可以使用遠(yuǎn)程過程調(diào)用。第7章 備份與恢復(fù)方案7.1 概述在本期工程項(xiàng)目中，我們建議采用局域網(wǎng)備份技術(shù)實(shí)現(xiàn)對(duì)主機(jī)上關(guān)鍵視頻監(jiān)控和用戶數(shù)據(jù)的自動(dòng)備份。、當(dāng)因意外情況，平臺(tái)數(shù)據(jù)丟失時(shí)，可以通過備份數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)工作，以保證數(shù)據(jù)的安全性。7.2 備份策略本期工程系統(tǒng)視頻存儲(chǔ)服務(wù)器保存關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)和應(yīng)用程序?qū)τ趚xxxxxxxxx來說是非常重要的。因此有必要建立一套備份制度對(duì)這些關(guān)鍵的信息定期進(jìn)行備份，以便能在信息遭到破壞的時(shí)候能及時(shí)恢復(fù)。要備份的系統(tǒng)包括了系統(tǒng)的所有數(shù)據(jù)。這些系統(tǒng)都是在不間斷運(yùn)作中，需要在不影響系統(tǒng)的正常運(yùn)作的

51、情況下，根據(jù)備份的策略對(duì)系統(tǒng)的信息進(jìn)行定期備份。其中備份策略為：1.自動(dòng)的、制度化的備份；2.系統(tǒng)的災(zāi)難恢復(fù)。需要備份的數(shù)據(jù)包括：1.視頻監(jiān)控?cái)?shù)據(jù)2.應(yīng)用程序數(shù)據(jù)第8章 設(shè)備配置與選型按照需求規(guī)劃的定位和xxxxxxxxxx的發(fā)展趨勢，本建議書立足于解決現(xiàn)階段xxxxxxxxxx的視頻監(jiān)控需求，并合理預(yù)留一定程度的系統(tǒng)冗余，從中心平臺(tái)、遠(yuǎn)端點(diǎn)兩個(gè)層面制定了以下系統(tǒng)規(guī)劃：序號(hào)設(shè)備名稱型號(hào)主要技求指標(biāo)單價(jià)1234567第9章 系統(tǒng)運(yùn)維作為完整的it生命周期的一部分，系統(tǒng)運(yùn)行和維護(hù)的生命周期中需要保障系統(tǒng)的高可用性、性能、安全性、可伸縮性等等。而系統(tǒng)管理的科學(xué)性日益成為維護(hù)系統(tǒng)成功平穩(wěn)運(yùn)行的重要因素。在運(yùn)維過程中，從應(yīng)用發(fā)布后，通過系統(tǒng)維護(hù)，應(yīng)用維護(hù)進(jìn)行每日系統(tǒng)運(yùn)行中的支持工作，使用戶能夠使用系統(tǒng)；通過用戶支持工作，得到用戶反饋；一直到質(zhì)量控制人員從整個(gè)系統(tǒng)的角度對(duì)系統(tǒng)進(jìn)行slm服務(wù)級(jí)別管理、系統(tǒng)容量管理、可靠性管理、災(zāi)難預(yù)警管理等，并通過提交系統(tǒng)優(yōu)化可行性分析報(bào)告，促使達(dá)到優(yōu)化現(xiàn)有系統(tǒng)，整個(gè)系統(tǒng)達(dá)到螺旋式上升的模