《视频监控项目技术建议书.doc》由会员分享,可在线阅读,更多相关《视频监控项目技术建议书.doc(42页珍藏版)》请在三一办公上搜索。
1、 XXXXXXXXXXXX监控系统方案建议书 目录第1章 概述41.1 项目背景41.2 工程建设的必要性4第2章 系统建设规划5第3章 总体方案73.1 设计原则73.2 系统总体架构83.3 核心技术9第4章 系统架构设计104.1 业务功能设计104.1.1 系统管理模块104.1.2 网络视频监控124.1.3 监控录放像134.1.4 告警联动154.1.5 移动侦测154.1.6 图像抓拍154.1.7 电子地图164.2 传输子系统设计164.2.1认证服务器164.2.2 中心通信管理服务器164.2.3 通信管理分服务器174.2.4 通信(视频)转发服务器174.2.5 应
2、用扩展服务器184.2.6 前端监控点184.2.7 各客户端194.3 录像存储子系统204.3.1 视频存储服务器204.3.3 视频点播服务器214.3.4 存储设备224.3.5 各客户端224.4 系统监控子系统22第5章 系统安全设计235.1 安全性原则235.1.1 获得安全245.1.2 保持安全275.2 网络级安全性315.2.1 网络安全原则315.2.2 网络设备的安全配置315.3 认证安全325.4 数据传输安全32第6章 系统可扩展性设计346.1 网络可扩展性设计346.2 应用的可扩展性设计35第7章 备份与恢复方案367.1 概述367.2 备份策略36第
3、8章 设备配置与选型37第9章 系统运维389.1 运维策略389.1.1 四类管理任务为中心389.2 系统维护399.3.1 系统管理399.3.2 安全管理409.3.3 存储管理419.3.4 备份管理42第1章 概述1.1 项目背景 1.2 工程建设的必要性随着以数字化、网络化为代表的信息技术的发展,安全防范的理论和技术都发生了彻底的转变,传统的视频监控技术已不再适应时代发展的需要,而以计算机、网络、通信技术为基础,以智能图像分析为特色的网络视频监控系统逐渐成为监控领域发展的方向。与传统的视频监控相比,网络视频监控使用计算机进行音视频信息的压缩、储存、分析、显示以及报警等自动化处理,
4、从而实现无人值守;通过网络平台实现了远距离监控,即使是数千公里外也能达到亲临现场的效果;利用先进的平台系统不仅在几秒钟内便可完成传统视频监控中大量的数据分析,提高了监控效率,更能获得更为逼真、清晰的数字化图像质量与更为便捷、实用的监控管理和维护。 第2章 系统建设规划系统设计为XXXXXXXXXXXX安防保障系统,建设包括两个核心层面:1、系统核心平台:包括中心服务器、存储服务器、视频服务器,以及监控中心等一系列的核心平台。2、远端设备:包括彩色数码摄像机、镜头、云台、终端网络等一系列终端设备。基于以上两个层面的考虑,系统建设内容包括:1、系统建设范围覆盖主要的监控区域,分布较广,因此传输线路
5、应采用稳定可靠的传输线路,以保证视频码流传输的稳定性。视频编解码应是基于MPEG-4/H.264压缩技术,以保证图像清晰流畅;2、系统建设地具有明显的无线业务部署可能,适度考虑使用安全的WLAN或者Wi-Max等多种无线技术来解决不能布线的需求;3、在后端监控中心,通过监控平台可以对前端的摄像机进行各种控制:云台控制:上、下、左、右;镜头控制:变焦、聚集、光圈等;如需要还可以通过矩阵键盘控制前端图像;4、编码器、中心监控平台、录像点播系统支持WEB访问功能,PC客户端可以通过IE浏览器登录进行观看。出于安全考虑,系统能控制客户端的访问权限:只有经过授权的用户才能登录观看;能够登录的用户中只有经
6、过授权的用户才能控制摄像机动作; 5、系统要进行录像,支持集中存储方式和分布式存储,支持客户端远程点播,点播资料,同时录像资料可以通过解码设备显示到监视器上。支持IO录像、移动侦测等录像策略的运用,录像时间需要保存在15天以上。6、所有前端的监控点图像经过编码器进行编码,数字视频码流均送到的用户监控中心系统平台,由监控中心系统平台进行集中控制;整个系统应能保证控制灵活、应用方便。7、能按摄像机监控点及时间查看监控录像,并可设置时间段,自动删除过期录像8、可外接红外,烟感等告警设备,出现告警时摄像机自动切换至告警界面,并进行告警录像。第3章 总体方案3.1 设计原则系统平台的设计须立足现在、着眼
7、未来。首先提供一个基础的框架平台。在这个基础框架平台上,可通过搭积木的方式增加功能模块,一个功能模块就实现一种增值服务;一个完整的平台就是基础框架平台+若干种功能模块。u 安全性采用服务器集群,具有故障恢复、动态热备份,动态不停机扩容,能够为客户提供全天候不间断的运营商级视频服务;u 模块结构系统平台须基于多级服务器结构设计,具有跨网络、分布式、动态均衡、数据分流等特性,通过扩展服务器,允许无限量的设备和用户在线。u 操作性系统平台须具有广泛的软件亲和力,不是传统的DVR等界面的复杂操作,应充分靠近用户常用的视频类软件,使用户简单上手。u 兼容性系统平台须能够保护用户原来的视频监控投资,使原来
8、的视频监控系统,可以充分和快速的融合在现在基础平台中。3.2 系统总体架构XXXXXXXXXX监控中心采用深圳市捷高电子科技有限公司提供的网络视频监控平台,各个区域可以按需建设分平台。XXXXXXXXXX监控中心视频监控平台负责码流汇聚、转发、分发等功能,并对下级视频监控平台进行管理和认证,区域分平台负责辖区内前端视频监控点的接入码流转发和录像。在XXXXXXXXXX监控中心可以通过视频解码器解码输出模拟信号到电视墙,通过电视墙来观看前方监控点图像,用户可以通过PC机登录视频监控平台或者通过控制键盘来灵活控制图像的切换。在各个区域可以建设监控分中心,通过视频解码器,解码输出模拟信号到电视墙,通
9、过电视墙来观看前方监控点图像,用户可以通过PC机登录视频监控平台或者通过控制键盘来灵活控制图像的切换。正常情况下只能看到辖区内图像,通过XXXXXXXXXX领导授权可以看到其他区域图像。3.3 核心技术 系统安全性平台有自检的功能,摄像机遭破坏(如:断电,断网线,摄像镜头被遮挡等)平台能自动报警并作相应的纪录同时能够发送邮件或者短信给相关人员,监控端修复后也应该能够自动记录(何时恢复,状态等)等。 多级管理功能,多级权限分配机制用户可以在平台上建立自己的管理系统:比如说:某一个用户有多个视频监控点在这个平台上,用户可以将这些自己的监控集中在一个界面上进行管理如同在自己的管理平台一样。根据其定制
10、的不同服务,提供不同的服务。用户在自己的平台上可以有多种查询搜索方式找到自己的录像资料,比如按时间段,按监控点的名字,按事件等等。其可以使用的硬盘资源,包括容易,备份方式,安全机制等等,都可以提供不同的服务等级, 丰富的管理功能提供系统管理、分区管理、组织机构管理、用户管理等模块 完全基于Web模式支持客户端从网页自动安装、升级与登录 单点登录登录一次即可进入所有的服务 界面定制化功能房间管理员可以为每个房间设置不同的界面,具有非常强的定制化能力。第4章 系统架构设计4.1 业务功能设计4.1.1 系统管理模块具有管理员身份的用户登录后,即可进入本模块;该功能模板主要包含:服务器(设备)管理系
11、统管理模块可以配置各种服务器;包括:认证服务器、中心服务器、通信管理分服务器、通信(视频)转发服务器、应用扩展服务器、视频存储服务器、视频点播服务器;服务器的信息包括编号、名称、IP、端口、生产厂家、型号、安装地点;客户端管理系统管理员可以配置前端监控点、客户端的版本,实现监控点和客户端的自动升级、零维护;分区管理(二级管理)模块分区相当于各区域等,支持多级分区管理;具有分区管理员身份的用户登录后,即可进入本模块;子分区管理可以添加、删除、修改子分区;可以设置子分区的主管理员;子分区结构以多级目录形式显示,目前可分为区域二级管理目录;添加子分区的同时必须设置该分区的主管理员;顶级分区即XXXX
12、XXXXXX监控管理中心;故障管理故障管理做为一个独立的模块进行;管理员可以记录用户的故障以及维护日志、维护状态;管理人员可以将故障传递给下级分区维护,例如XXXXXXXXXX监控中心可以设置客户受理中心,接收客户询问,填写故障,并传递给下级分区维护;故障查询时,按照代理商、是否递规、受理时间、状态等条件,递规查询子分区的故障记录;日志管理:本模块的各种操作,都将产生日志,管理员可以查看日志;管理员管理:主管理员可以管理多个普通管理员;管理员具有如下权限:子分区管理、单位用户管理、故障管理、管理员管理等权限;通过授予不同的权限,从而将管理工作分配给不同的人员去处理;个人信息维护:管理员可以修改
13、自己的注册资料;4.1.2 网络视频监控实现网络视频监看和网络视频控制,包括音频通信。可以在远端点上实时监看、控制、录制监控端的视音频数据,并可以和中心平台进行双向交互。可以根据具体的网络带宽情况,动态调节视频码流以适应网络状况,调节分为质量优先和速度优先。具体实现如下:浏览方式系统支持Web浏览、客户端浏览两种方式浏览视频图像。多画面分割要求可以实现将指定的一个或多个前端实时图像分割成一个实时图像来显示。多画面轮巡能够对系统的前端编码器传来的图像轮询观看,轮询时间间隔及前端图像可自由选择。用户可以在控制台上,先设置轮询时间间隔,然后从编码器列表中拖动编码通道至视频源列表中。设置功能可对图像传
14、输帧率,图像分辨率设置,并可对图像进行放大、缩小操作,调整图像对比度和亮度。具有完善的图像切换及云台镜头控制功能,操作人员在权限范围内任意调用显示方式或手工设定,能控制相应的云台转动以及镜头,将指定摄像机的实时图像显示在指定的显示器上,并支持摄像机预制位。可以为每路图像配置文字注释和编号设置,叠加字符可在观看图像时任意调整位置、取消或叠加。4.1.3 监控录放像监控录放像功能作为一个独立的功能模块和中心平台之间则是一种松耦合的关系,可以运行在任何一台计算机服务器上。具有多路录放像功能,控制方式灵活;录像方式和放像方式多样化;录像文件格式(.asf)通用,方便点播;可以在线观测系统状态;支持分布
15、式处理业务;支持告警和日志查询;支持多种条件组合(录像别名、媒体模式、录像类型、视频源别名、时间)查询回放。中心平台能根据客户端的要求把来自编码器的图像发给录像服务器进行录像,也能按要求停发码流。中心平台能记录各路图像当前的录像状态并通知客户端,让用户通过客户端了解各路图像的当前录像状态。中心平台能根据客户端的要求把来自于网络录像服务器的码流交换给电视墙或某一解码器进行解码输出。录放像系统功能描述如下:分布式处理 多个网络录像服务器可以协同工作 网络录像服务器分主从模式录像控制 实现对指定终端的开始、暂停、继续、停止录像。 多种录像方式: 手动录像:用户手动启动某录像任务进行录像。 定时录像:
16、自动某一时刻开始录像任务。 告警录像:启动告警响应录像任务。 周期录像:指定某一周期时间段启动录像任务。 IO录像:由外部 支持预录,录下指定事件前一段时间的视频,时间由用户指定,最长可录2.5分钟,此功能一般与告警联动结合(例如电子警察)。 录像控制在客户端上进行,操作方便。录像文件检索系统提供多种条件组合查询,包括: 录像起止时间 抽帧方式 录像别名(支持模糊查询) 录像类型 视频源名称放像控制 多种播放方式(电视墙、客户端)。 实现对指定文件的播放、慢放、快放、暂停、继续、停止。可进行播放进度的调整。状态显示系统可以实时显示录像服务器和任务的运行状态,包括: 录放像服务器:运行、停止。
17、录像任务:运行、暂停。 放像任务:运行、暂停、快进、慢进。4.1.4 告警联动现场告警控制通过前端编码器并口收集现场报警信息,可接入烟感、温感等传感装置,控制门禁、灯光等外围设备现场告警控制通过并口用于收集现场报警信息,根据设置进行报警联动,通过核心业务程序将报警信息实时通知中心控制台,同时输出现场报警控制信号。根据联动信息,进行告警联动录像、告警切换、调预置位,告警声音等。4.1.5 移动侦测可以在控制台上指定前端编码器,对浏览的前端监控图像设置移动侦测区域(告警区域)。可以设置为当告警区域内变化区域大于设定百分比时产生告警,以及设置当告警区域内变化区域小于设定百分比时恢复告警。如果设置已告
18、警联动,会触发相应的联动操作。4.1.6 图像抓拍在实时浏览图像时,对于重要或感兴趣的图像,可以使用抓拍功能,把抓拍到的通过设置抓拍路径指定抓拍图片保存的位置,以及保存的格式。4.1.7 电子地图系统支持电子地图,用户可以选择一张本地地图,设置坐标原点,设置放大,缩小倍数,更新当前电子地图及地图上的前端位置。支持选中终端后自动定位到电子地图中前端的位置。用户管理员可以往电子地图上添加前端设备,输入图元名称,修改完后保存当前设置。4.2 传输子系统设计传输子系统主要用于客户端的登录、实现视频、报警信息的传输、控制;系统采用分布式服务器技术,具有非常高的稳定性和规模可扩展性;同时采用开放式插件技术
19、,使得系统具有非常好的功能可扩展性;4.2.1认证服务器认证模块,运行在中心管理服务器和数据库服务器之间,实现前端监控点、客户端的登录认证、信息读取、存储等功能;4.2.2 中心通信管理服务器中心通信管理服务器,是分服务器、监控点和客户端(二者以下简称客户端)登录时的公开地址。负责客户端的登录、重定向、通信管理分服务器、通信转发服务器、视频存储服务器的协调管理工作;中心通信管理服务器实际相当于管理者,本身不存在大量的数据流通信,但是需要动态维护整个系统的均衡、稳定、高效率的运转;中心通信管理服务器能按照预订的策略将客户端重定向到不同的分服务器,从而实现网络负载的均衡,并保证用户以最好的质量来查
20、看视频;中心通信管理服务器支持热备份,部署于系统中心机房;4.2.3 通信管理分服务器通信管理分服务器启动后将登录到中心通信管理服务器,并与之保持持久连接;前端监控点和客户端再登录中心服务器后,都会重定向到该服务器;该服务器主要实现与客户端的通信连接、状态保存、命令传输等;该服务器支持分布式集群、级联转发、热备份等特性;系统支持65536个通信管理分服务器集群,单服务器可以支持1万个客户端在线;通信管理分服务器部署于市区或县城的网络系统中心机房4.2.4 通信(视频)转发服务器通信转发服务器启动后将登录到中心通信管理服务器,并与之保持持久连接;只有在转发视频的时候,客户端才会连接到该服务器,如
21、果停止发送或者查看视频,客户端将立即与该服务器断开;客户端具体使用哪个转发服务器,由中心服务器按照预订的策略来分派;该服务器支持分布式集群、级联转发、热备份等特性;通信转发服务器和通信管理分服务器一起,部署于市区或县城的网络系统中心机房;*具体视转发带宽而定,即每路视频转发的带宽之和不能超过服务器的总带宽;4.2.5 应用扩展服务器本系统具有非常好的扩展性和数据库开放性,充分体现一个平台、多种应用的特点;系统以即时通信客户端做为入口,实现单点登录,统一应用管理;除了视频监控之外,可以通过增加相应的服务器和客户端插件来实现应用的扩展:扩展多点通信服务器,可以实现视频会议、远程实时培训;扩展文件服
22、务器,可以实现协同办公、公文流转;扩展LMS服务器,可以实现异步教学;应用扩展服务器按照实际情况部署于系统中心机房;4.2.6 前端监控点IP视频服务器模拟摄像机云台、视频服务器、报警装置、可安装在企业的各个地方;监控点登录后,可以定时从服务器获取相关配置参数,同步设置到本地;支持语音、视频采集、压缩、传输;支持云台、雨刷控制;支持本地视频录像存储,录像存储策略由管理员通过业务管理系统进行定义;支持报警信号的实时采集、主动传输;支持H.264等视频编码器,支持QCIF/CIF/4CIF等格式,帧率可达25fps,带宽从64kbps到2Mbps可选;4.2.7 各客户端客户端运行在能接入互联网的
23、任何位置,只有具有正确的用户名、密码即可登录系统;u 视频监控视频监控做为该客户端的一个功能插件,支持如下功能:显示所有授权的监控点列表,包括名字、状态等信息;可同时监看9或16个摄像机或者录像服务器的内容.可以自由进行1倍,2倍,全屏等的放大,可以获取监看点“视点”信息;可对显示画面的如何一路进行操作,完成开/关声音;图像放大和分辨率改变等;支持临时自由添加或删除参与循环监控的摄像机、更改循环间隔时间、暂停循环等功能,并可任意固定显示某一路或多路摄像机停止循环,而让其他摄像机继续循环显示;支持视频的抓拍、录制功能;可对任意被授权的摄像机的雨刷、云台的姿态进行控制及镜头控制;能实时监测到监控点
24、的报警信息,如果客户端离线,报警消息将会存储在服务器,并在客户端下次登录时自动提示;u 录像回放该程序将录像存储子系统的录像点播客户端做为一个功能插件,有机地整合到一起,实现录像的检索、点播;u 扩展应用客户端可以非常方便地管理、扩展其他应用,例如协同办公、短信、视频会议、远程培训等;4.3 录像存储子系统录像存储子系统,是为了完成远程监控系统要求中的远程存储要求而设立的。它是为了完成用户因为不能经常在线监控,而又需要724小时录像的要求而设立的。其实现方式,是通过在市区或县区分别建立T级的集中存储中心,按照用户的要求,分配一定的存储容量。用户根据这个容量,可以自由设定录像策略规则进行的。4.
25、3.1 视频存储服务器根据系统设置的给某单位用户的空间容量,提供录像存储服务;用户需要提前设定好存储的触发条件,例如: 全天循环录像(系统默认提供的录像方式) 每天固定时间段存储 每周固定时间段存储 每月固定时间段存储 根据报警触发条件存储这些录像,都要求在固定的空间范围内,可以循环录像,或者到系统;提供的容量后自动停止两种方式。到容量后,还可以提供eMaill通知的方式;这些视频存储方式,可以指定录像分割单元的时间片,例如1分钟、10分钟等自由设置;可以一次性设定该单位用户可以支配的所有摄像机前端设备,也可以单独设定任何一个前端设备的录像策略,实现特性录像;视频存储服务器启动时,需要登录中心
26、管理服务器,并且与之保持连接状态;同时还需要从中心管理服务器获取每个监控点的存储策略,便于执行存储任务;文件信息,保存在数据库服务器内。用户可以通过点播服务器,输入关键字,就可以查询到录像信息,这些关键字,可以是前端设备名称、时间、报警关键字、其他关键字;视频存储服务器,还可以自动根据设定的间隔时间,向中心管理服务器报告其的工作情况,例如:硬盘空闲容量、内存使用情况、网络带宽使用情况、正在录像的前端设备数量;4.3.3 视频点播服务器与对应的存储服务器配合,根据用户观看的请求,把对应的文件,以流方式发送给观看的用户。用户可以选择快进、快退、暂停、慢放(1/2,1/4速度),快放(2,4,8,1
27、6速度),根据百分比跳跃(前跳、后跳)可以根据用户的要求,选择以FTP的方式下载录像文件,供用户在本地分析和使用。视频点播服务器,还可以自动根据设定的间隔时间,报告给关心的网管模块(服务器)该存储服务器的工作情况,例如:硬盘空闲容量、内存使用情况、网络带宽使用情况、正在点播的用户数量。4.3.4 存储设备支持NAS设备,支持SCSI硬盘塔。4.3.5 各客户端在客户端,可以查询到目前录制的文件。可以用户可以选择快进、快退、暂停、慢放(1/2,1/4速度),快放(2,4,8,16速度),根据百分比跳跃(前跳、后跳)用户可以选择以FTP的方式下载录像文件,供用户在本地分析和使用。在客户端,可以播放
28、这些录像文件。4.4 系统监控子系统监控子系统由多台监控工作站组成,可部署在各级监控中心机房;能以不同颜色、声音等对不正常设备进行告警,同时存储告警信息;能保存所有的系统监控信息,形成日志,并可对系统日志进行查询;监控工作站提供系统级、应用级、内容级的监控;系统级:各个服务器的CPU负载、网络流量、内存、硬盘等;应用级:前端监控点和客户端的状态,包括活动的监控点数、监控客户端数等;内容级:可以监视每个监控点的状态、视频;第5章 系统安全设计随着世界的网络化程度越来越高,获取信息的方式越来越方便和快捷。然而企业及其客户只会信赖那种能够确保安全的环境来存储他们的敏感数据,安全性是所有网络都要考虑的
29、一个主要问题。系统的安全性来自于三个方面的有机结合:技术、过程和人员。也就是说,安全并不仅仅是安全技术的组合运用,而且也有赖于严谨有效的管理和具备足够知识的业务人员的保障。在系统的安全设计方面,我们从技术和运行保障两个方面进行考虑。在技术方面,通过在多个层次上进行安全设计,保证数据、通讯和验证的安全。在运行保障方面,通过相应安全操作框架,为深圳市捷高电子科技有限公司公司提供系统运行过程中的安全管理的最佳实践。5.1 安全性原则保持安全环境的过程分成两个相关的阶段:获得安全和保持安全。获得安全保障和保持该安全状态都是管理操作。若要获得安全保障,必须进行有效的部署。它包含部署最新的安全补丁程序和最
30、新的服务包以使系统进入安全状态。第二个阶段称为“保持安全”。创建一个最初安全的环境只是安全的一个方面。但是,一旦环境建立并运行起来,如何长期保持环境安全,采取针对威胁的预防性措施,并在发生威胁时有效地作出响应,这就完全是另外一回事了。保持安全状态包含跟踪系统的状态;确保应用了正确的补丁程序;确保在特定的时候可得到最新的更新;并确保没有安装会破坏系统安全性的其他应用程序。这种监控和跟踪也是管理操作。获得安全第一个阶段称为“获得安全”。该阶段的主要目的是为了使企业达到适当的安全级别。保持安全在实施安全机制时,有许多必须规划和实施的领域。下面的图表是对这些领域的高度概括。5.1.1 获得安全 安全策
31、略为保证安全措施在整个组织中得以实施和维护,需要制定并执行一个安全策略。安全策略必须能够提供: n 总体安全目标。 n 所需的总体安全级别的概要。 n 安全标准,包括审核和监视策略。 n 定义维护安全所需的培训和过程。 安全策略提供了企业的安全目标,描述了整个组织所要达到的安全目标,并定义了内部安全标准及如何审核和监控这些标准。为使策略能够在整个组织内生效,管理层必须欣然接受它。 安全防范采用纵深防御战略来保护资源不受外部和内部的威胁,可以减少威胁和薄弱点,并因此降低风险。这包括部署高级的安全方案,如防火墙、入侵检测、加密和确保服务器和应用程序控制权和配置正确。纵深防御战略在本系统中的每一层,
32、都有各种形式的安全控制。安全控制包括防火墙、路由器、审核日志检查、多主服务器、正确的访问控制和加密。为安全保护而创建的每一层都相当于一个防止未授权访问的堑壕。防御层数越多,对网络资源进行未授权访问的难度就越大。这一战略通过提供冗余防御层来确保安全性,在某一层或者在某些情况下多个层被攻破时,冗余的防御层能够对资源进行保护。纵深防御策略包括:周边防御(Perimeter Defenses)本系统外围各方面的安全保护是根据周边防御的要求划定的,它利用安全设备来保护进入网络的各入口点。利用纵深防御战略,每个设备都经过评估,并且确定所允许的通信类型,于是就形成了一个安全模型来抵抗各种威胁。同时制定这样一
33、个策略: 在进入系统的主入口点上只允许在指定端口上进行通信,而其他所有通信全部被阻止。网络防御(Network Defenses)纵深防御战略强调,好的安全模型建立在一系列的安全壁垒上。在前沿周边设备后的第二道防线就是网络本身。对于本系统,各个网络都要分别经过评估,然后制定出一个策略,列出此网络绝对需要的通信类型。而其他所有的通信都将被防火墙阻止,由交换机控制,或被禁用。服务器防御(Host Defenses)使用纵深防御,系统中的每台服务器都要经过评估,而且为各服务器分别创建的策略限制该服务器只执行要求它完成的任务。这就建立了另一个安全壁垒,黑客进行任何破坏必须要突破这一关。单独的策略是基于
34、各服务器上包含数据的分类和类型而创建的。例如,公司策略指出所有 Web 服务器都是不保密的,于是只能包含共用信息。数据库服务器是绝密的,意味着要不惜一切代价保护其中的信息。所有服务器在 TCP/IP 级都有一个暴露点,因此在协议锁定方面存在一个共性。应用程序防御(Application Defenses)作为另一个防御层,应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。应用程序开发者负责将安全保护融入到应用程序中,以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。所以,查看应用程序的安全性而不看整个系统是不可能的
35、。在设计上,本系统支持多种应用程序类型。每个应用程序可能需要有自己的安全模型,但在开发期间都遵循一组标准的指导原则。 数据和资源(Data & Resources)每个服务器上的所有应用程序和服务都要评估其相关性,那些不需要的应用程序和服务将被删除。其他类型的资源,包括数据在内,都使用策略来保护并使用一个集中的管理平台进行审核。5.1.2 保持安全创建一个最初安全的环境只是安全的一个方面。但是,一旦环境建立并运行起来,如何长期保持环境安全,采取针对威胁的预防性措施,并在发生威胁时有效地作出响应,对于系统的安全具有更重要的意思。在本方案中,主要涉及到集中管理和快速相应两个方面。 集中管理安全的系
36、统首先是管理完善的系统。通过有效的管理措施可以使安全时间的数量和影响减到最小。这些措施包括:明确地建立并实施所有策略和步骤。许多安全事件是由 IT 人员无意间造成的,他们可能未遵守或不理解更改管理过程,或者对安全设备配置不当,如防火墙和身份验证系统。彻底测试安全策略和过程,以确保它们实用、清楚,并能提供适当的安全级别。 在安全策略和事件处理方面得到管理层的支持。 定期监视和分析网络通讯量和系统性能。 定期查看所有日志和日志记录机制。这些应包括操作系统事件日志、特定于应用程序的日志和入侵检测系统日志。 定期评估环境中的安全漏洞。这应由具有执行这些操作的特别权限的安全专家来完成。 定期检查服务器以
37、确保它们都安装了最新的安全修补程序。 制定 IT 人员和最终用户的安全培训计划。 经常提醒用户记住他们的责任和对他们的限制,以及可能追究违规行为的警告。 制定、实现并强制执行一个要求使用复杂密码的策略。 检查备份和还原步骤。确认备份保存在什么位置,谁能访问它们,并知道数据还原和系统恢复的步骤。确保定期通过有选择地还原一些数据来检验备份和保存介质。 建立一个计算机安全事件响应小组 (CSIRT)。该小组人员负责处理所有安全事件。CSIRT 中的每个成员都应有明确定义的职责,以确保能对每一个方面做出响应。 快速响应安全是相对的,不安全是绝对的。关键在于能否快速的发现问题,定位问题,以及快速响应来解
38、决问题。事件快速响应计划包括以下步骤:作出初步评估采取初步步骤确定遇到的是真正的事件还是一个假象。 对攻击的类型和严重性有一个大致的认识。这时掌握的信息应足以能够就此事件与有关各方沟通,以便进行进一步的调查并开始控制破坏,使风险减至最小。 详细记录采取的行动。这些记录以后用来将事件归档(无论是真事件还是假事件)。宁可对每一个假象都做出反应,也不要放过一个真正的事件。所以初步评估应尽可能短而快,但仍要能够剔除明显的假象。通报发生的事件当怀疑发生了安全事件时,应迅速将此事件通知计算机安全事件响应小组 (CSIRT),确保能够适当地控制事件并协调对事件的反应,同时又能够将破坏范围减至最小。在事件得到
39、适当控制之前,知情范围应只限制在事件响应参与者这一范围内。控制损失/将风险减到最小通过迅速采取行动来减少攻击所造成的实际的和潜在的影响,就能够避免让小事件演化成大事件。确定破坏的类型和严重程度为能够从遭受的攻击中有效地恢复,需要确定系统被破坏的严重程度。这包括确定如何进一步抑制并减少风险、如何恢复和向谁通知发生的事件以及如何掌握通知的时间,还包括是否应诉诸法律。需要确定攻击的性质;攻击的发起点;攻击的意图(它是为获得特定信息而专门发起的攻击,还是一次漫无目的的攻击? );找出受破坏的系统;找出被访问过的文件并确定这些文件的机密程度,最后确定出适合于环境的响应措施。保护证据许多情况下,如果运行环
40、境遭受蓄意的攻击,都希望能将攻击者绳之以法。如要这样做,就需要收集用来对付他们的证据。极为重要的一点是,要尽可能快地备份受破坏的系统,这应在执行任何可能会影响原始媒体上数据的完整性的操作之前进行。通知外部机构在事件已得到控制并保留了证据之后,就需要开始通知外部的有关各方了。可能需要通知的方面包括执法机构、外部安全机构,以及防病毒专家。外部机构可提供技术帮助,提供更快的解决办法,并提供从类似的事件中取得的经验,以帮助从事件中全面恢复并防止以后再发生此类事件。对于某些特定的行业和违规事件类型,可能需要明确地通知客户和/或公众,特别是在客户可能会直接受到事件影响时。恢复系统如何恢复系统一般取决于安全
41、事件的影响范围。需要确定,是否能够在尽可能保持原数据不动的情况下还原现有系统,或者是否必须完全重建系统。编写和整理事件记录资料详细记录响应处理所有事件的过程。这应包括对安全违规事件的描述和所采取的每一个行动的细节(是谁采取的行动,是在何时采取的以及采取此行动的理由)。在整个响应过程中,应将所有参与和接触事件响应的人都记录下来。总结响应过程并更新策略在文档记录和恢复阶段完成后,需要彻底重新检查一下响应过程。确定响应过程中哪些步骤的执行是成功的,犯了哪些错误。适当更改响应过程,以便以后能够更好地处理安全事件。这些步骤并不是完全按顺序先后执行的,而是在整个事件中都在进行。例如,文档记录在刚开始时就启
42、动了,而且在整个事件过程中将一直进行,信息沟通也贯穿了整个事件过程。 响应过程的其他方面也会协同进行。例如,作为初步评估的一部分,将了解到攻击的大致性质。尽可能快地使用此信息以减少破坏和将风险降至最低是非常重要的。如果反应迅速,就能够节省时间和资金。然而,如果等到对破坏的类型和严重程度有更详细的了解时,就无法真正有效地减少破坏并将风险降至最低了。过于急进的响应甚至会造成比最初的攻击更大的破坏。通过协调这两个步骤,就能够在快速反应和有效行动之间找到最佳平衡点。5.2 网络级安全性5.2.1 网络安全原则网络级别安全性主要是对系统网络的安全保护。网络的安全保护首先是规划,要从业务的角度上划分出可信
43、网、不可信网,或可以按照分布式的方法,对网络区域进行分层,每层都有不同的保护方法。采用防火墙设备对不同信任程度的网络段的用户与服务进行控制或直接进行隔离。同时,通过划分VLAN对内部网进行划分和隔离,防止窃听。要进行网点合法性管理,对网络中任何节点的增加、删除、改变进行管理,建立相应的审批和操作程序;对网络IP地址、主机名按照标准进行统一编码和分配,并严格保密;对通信连接进行管理,防止他人冒充合法网点进行犯罪。总的目的是保持网络设备、线路能按照提供的性能提供稳定的服务。5.2.2 网络设备的安全配置1、保护管理接口的安全:入侵者的一些主要攻击点包括Cisco路由器、以太网交换机的管理接口。如果
44、一个入侵者能够访问设备的管理接口,他就能观察设备的配置信息,重新配置设备并获得对它的控制,甚至能继续获得对其他相连网络设备的访问权。2、保护控制台端口的访问安全:控制台是一个通过控制台端口直接连接到路由器的终端,在路由器的缺省配置中,没有为控制台端口设置口令保护,在最初的配置对话框中也没有要求用户设置控制台口令,因此需要配置口令,而且一定要区分出用户模式口令和特权模式口令(enable命令启用时)。3、保护路由器到路由器的通信安全:可以采用路由协议本身支持的认证技术实现路由的邻居认证;保护路由器配置文件的安全,如果路由器配置文件在TFTP服务器上,要手工启动或关闭TFTP服务器软件,防止有人访
45、问TFTP服务器软件而修改配置文件;控制对路由器的HTTP访问。4、保护以太网交换机的安全:控制以太网交换机的管理访问;采用安全端口过滤阻止一个非授权的工作站对以太网或快速以太网端口的输入;使用IP访问控制列表控制从非授权的源IP地址对交换机进行Telnet和SNMP访问。5.3 认证安全在认证的过程中,需要建立系统以及运营商的审核机制,保证合作伙伴、会员、运营商之间是可信任的,存放在用户端的数据使用国际通用的加密算法进行加密处理,不可篡改、不可泄漏、不包括用户敏感信息。保证系统对外提供的认证接口的安全性。使用加密验证手段,防止恶意调用端口对系统进行的攻击行为使用其它系统提供的接口时,确保该接
46、口本身是安全的、可信任的。认证系统能够识别恶意的攻击,并且采取一定的措施来防御攻击,并保证攻击不会影响系统的正常运作。具体攻击防御方法见后面攻击防御一节。5.4 数据传输安全在系统组件间以及系统与外部系统交互过程中的数据传输过程中,必须保证传输的双方是相互信任的,并且要保证一些敏感的信息(包括帐号的密码、计费的数据、结算的数据等)在传输过程具备了防止被非法窃取、篡改的能力。用户与服务器之间具有大量的通信,其中,有些通信传递的是非常敏感的信息,例如用户的账户密码,用户的付费帐号和密码等。这些信息泄露的后果十分严重。因此,对这些敏感信息的传输要采用严格的保护措施。安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如TCP)之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。第6章 系统可扩展性设计6.1 网络可扩展性设计网络负载均衡的好处包括: 可
