视频的信息安全的系统方案的设计
城市视频监控联网系统信息安全设计方案
二〇一五年十一月
目录
1 项目背景 (1)
2 信息安全相关知识 (1)
2.1信息安全服务与机制 (2)
2.1.1 安全服务 (2)
2.1.2 安全机制 (3)
2.2安全体系架构 (3)
2.2.1 网络安全基本模型 (3)
2.2.2 信息安全框架 (3)
2.3信息安全起因 (4)
2.3.1 技术缺陷 (4)
2.3.2 管理缺陷 (5)
2.4网络攻击方式 (5)
2.4.1 口令攻击 (5)
2.4.2 软件攻击 (6)
2.4.3 窃听攻击 (7)
2.4.4 欺诈攻击 (7)
2.4.5 病毒攻击 (8)
2.4.6 拒绝服务攻击 (8)
2.5信息安全后果 (9)
2.6信息安全技术 (9)
2.6.1 PKI体系 (9)
2.6.2 用户身份认证 (12)
2.6.3 认证机制 (13)
2.6.4 认证协议 (15)
3 联网视频信息的特点 (17)
3.1系统多级架构 (17)
3.2网络状况复杂 (17)
3.3视频数据量大 (17)
4 视频系统信息安全分类 (17)
4.1信令加密 (18)
4.2媒体流加密 (18)
5 安全系统的实现 (18)
5.1认证中心 (18)
5.2视频安全平台 (18)
5.3系统评价 (18)
6 系统建成预期效果 (19)
7 安全技术展望 (19)
1 项目背景
互联网、大数据时代虽然带来了安防行业新的机遇与信息面貌,但是伴随信息聚集性越来越高,云安全问题也带来了新的挑战。对不法分子来说,只要击破云服务器,意味着可以获得更多的资源,例如iCloud泄露门,12306信息泄露,携程信息泄露等。海康威视“安全门”事件,对正在大力发展信息经济与互联网经济的中国,提出了信息安全的极大思考。信息安全任重而道远,千里之堤,毁于蚁穴。所以在信息安全上,应仔细排查安全隐患,防患于未然。
公开数据显示,有74.1%的网民在过去半年内遇到网络信息安全事件。有专家估计,中国每年因网络信息安全问题造成的经济损失高达数百亿美元。
在今年的全国两会上,中国移动广东公司总经理钟天华代表建议,加快制定网络信息安全法,从监管主体、设施安全、运行安全、信息安全、法律责任等方面规范网络信息安全。
各省城市视频监控联网系统共享平台已基本建设完成,标准基于国标GB/T 28181,但对于视频信息安全的要求没有严格要求。在国家对网络和信息安全高度重视的当下,扮演政府、企业、社区“守门人”角色的安防行业,实现自主可控异常重要。需要一套完整解决方案。
2 信息安全相关知识
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.1 信息安全服务与机制
2.1.1 安全服务
信息安全服务产生的基础是整个网络系统需要规避安全风险、控制安全成本以及保障业务持续性。从实践环节看,信息安全服务是由参与通信的开放系统的某一层(OSI)所提供的服务,它确保了该系统或数据传输具有足够的安全性。结合信息安全的基本要素,明确五大类安全服务,即鉴别、访问控制、数据完整、数据保密、抗抵赖。
2.1.1.1鉴别服务(authentication)
主要用来鉴别参与通信的对等实体和数据源,确认其合法性、真实性。
2.1.1.2访问控制服务(access control)
用于防止未授权用户非法使用资源。包括用户身份认证,用户权限确认。
2.1.1.3数据完整性服务(integrity)
用于对付主动威胁,阻止非法实体对通信双方交换数据的改动和删除。
2.1.1.4数据保密性服务(confidentiality)
防止系统内交换数据被截获或非法存取而造成泄密,提供加密保护。
2.1.1.5抗抵赖性服务(no-repudiation)
防止发送方发送数据后否认自己发送过此数据,接收方接收后否认收到过此
数据或伪造接收数据。
2.1.2 安全机制
2.2 安全体系架构
2.2.1 网络安全基本模型
网络安全基本模型包括通信主体双方、攻击者和可信第三方,通信双方在网络上传输信息,需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由,再选择该路由上使用的通信协议,如TCP/IP。
为了在开放式的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分:一是对发送的信息进行安全转换,如信息加密以便达到信息的保密性,附加一些特征码以便进行发送者身份验证等;二是发送双方共享的某些秘密信息,如加密密钥,除了对可信任的第三方外,对其他用户是保密的。
为了使信息安全传输,通常需要一个可信任的第三方,其作用是负责向通信双方分发秘密信息,以及在双方发生争议时进行仲裁。
一个安全的网络通信必须考虑以下内容:
◆实现与安全相关的信息转换的规则或算法
◆用于信息转换算法的密码信息(如密钥)
◆秘密信息的分发和共享
◆使用信息转换算法和秘密信息获取安全服务所需的协议
2.2.2 信息安全框架
2.2.2.1物理安全
进入办公室需经人脸识别门禁系统确认后才能打开办公室门,出办公室门需
按出门按钮。
2.2.2.2通信和网络安全
能完成对出入办公室人员的授权管理,能对进出办公室人员的历史出入记录
进行查询及输出。
2.2.2.3运行安全
2.2.2.4信息安全
2.3 信息安全起因
首先,视频监控网络安全问题是现实存在的,在互联网传输中不加密问题更甚。即便是美国国防部内部网络都曾被黑客入侵,何况是民用监控。
其次,视频监控网络安全问题是普遍存在的,并非只海康威视一家。此前便有报道,只要在Google中搜索简单的关键字,就可以无阻碍地连入全球超过1000个没有保护措施的监控摄像头。用户对网络安全重视程度不够,缺乏安全意识,在安装完监控产品之后,没有对密码进行修改,实际上只要用户按照产品说明书的说明修改了初始默认密码,就能很大程度上避免网络安全隐患。
第三,在视频传输中,利用公安专用通信网保密性最佳,其次为视频图像专网,再次为虚拟专用网(VPN,VirtualPrivateNetwork),未加密的公网传输,包括移动互联网传输保密性是很差的。目前平安城市视频监控系统承载网络主要是公安专用通信网和视频虚拟专网两种。现有系统的承载网络情况复杂,平台部署在不同的承载网络上。虚拟专用网通常是在公用网络上建立的专用网络,是为特别用户设置的加密通讯网络,而平安城市视频监控系统汇接的社会图像资源是通过多种方式接入到各级共享平台,虽然在接入时会采取一些安全接入措施,但仍很难避免被非法侵入。未加密的公网传输毫无保密性可言。
除了接入网络的设备会受到网络安全隐患威胁外这一无法回避的因素外,安防企业多是习惯于用局域网或者专网视角来看待问题。
2.3.1 技术缺陷
互联网使用的通讯协议是TCP/IP.TCP/IP在最初的设计时.主要考虑的是如何实现网络连接.并没有充分考虑到网络的安全问题.而TCP/IP协议是完全公开的,这就导致入侵者可以利用TCP/IP协议的漏洞对网络进行攻击。另外计算机使用的操作系统.比如说目前仍普遍使用的微软windows操作系统在设计上也存在安全漏洞,
用户经常需要更新.下载它的安全补丁.以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足.网络通讯设备包括路由器、交换机存在安全的缺陷等等.这些技术上的缺陷都容易被入侵者利用.从而构成安全威胁。
2.3.2 管理缺陷
由于网络使用单位的负责人、网络管理员思想上不重视或者疏忽.没有正视黑客入侵所造成的严重后果.没有投入必要的人力、物力和财力来加强网络的安全性,没有采取有效的安全策略和安全机制.缺乏先进的网络安全技术、工具、手段和产品等等,这也导致了网络的安全防范能力差。主要有以下几个方面:
●内部管理漏洞。缺乏健全的额管理制度或制度执行不力,给内部人员违规或犯
罪留下机会。与外部威胁相比,来自内部的攻击和犯罪更难防范,而且是网
络安全的主要来源,据统计,大约80%的安全威胁来自系统内部。
●动态环境变化。单位变化,人员流动,原有内部人员对网络的破坏。
●社会问题、道德问题和立法问题。
2.4 网络攻击方式
互联网技术在飞速发展的同时.黑客技术也在飞速发展,网络世界的安全性不断地在受到挑战。对于黑客来说.要进入普通人的电脑非常容易。只果你要上网.就免不了遇到病毒和黑客。下面列举一些黑客常用攻击手段:
2.4.1 口令攻击
口令攻击就是通过窃取口令的方式进行破坏的活动,口令攻击是比较常用的一种攻击方式。在现实生活中.由于用户名和密码被盗造成损失的例子有很多,一旦用户名和密码被盗.入侵者还可以冒用此用户的名义对系统进行进一步的破坏和攻击.从而给用户本身或者整个系统造成非常大的损失。
就目前的黑客技术来说.用户名和密码的盗取对黑客不再是有难度的事情,黑客盗取口令的方法有很多。比如说,有的黑客通过FTP、TFTP和Telnet等工具.可以搜集用户账户资料、获得口令文件,然后对1:3令文件进行解密来获得口令。或者如果用户的口令设置缺乏安全性.可能被轻易地被“字典攻击”猜到用户的El令。
“字典攻击”就是通过编写一个应用程序.根据一定的规律.由应用程序自动反复地去尝试口令.强行破解用户口令。”字典攻击”要求黑客要有足够的耐心和时间.但对那些口令安全系数极低的用户,只要短短的几分钟.甚至数十秒就可以被破解。
2014年11月,知名专业安全网站SecurityStreetRapid公布了3个RTSP安全漏洞,编号分别为:CVE-2014-4878、CVE-2014-4879及CVE-2014-4880。这三个漏洞均为监控设备对RTSP请求处理不当导致的缓冲区溢出漏洞。通过该漏洞,攻击者只要知道设备的IP地址,即可采用电脑对设备进行拒绝服务攻击,从而导致设备瘫痪或被攻击者接管。
弱口令。弱口令是指容易被攻击者猜测到或被破解工具破解的口令。此次媒体报道中提及的弱口令问题主要是由于未修改设备初始密码或设备密码过于简单导致的安全问题。弱口令问题普遍存在,主要的解决方式是建立严格、规范化的口令管理流程和管理机制。
2.4.2 软件攻击
软件攻击有时又叫漏洞攻击.许多系统包括计算机系统、网络系统都有这样那样的安全漏洞(Bug)和后门(backdoor)。特别是计算机系统.在安装好操作系统后.出现漏洞和缺陷的可能性是最大的,这些漏洞需要厂商发布补丁(patch)程序来进行修补。各个硬件厂商和软件厂商,包括微软在内.都在不断地发布自己的补丁.这要求用户及时的去下载这些补丁.进行系统更新操作。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁.入侵者就可以很容易利用这些公开的漏洞,侵入系统.从而对整个网络带来灾难性的后果。
软件攻击除了利用系统的漏洞外.还可以利用一些后门程序。后门,就是秘密入口。比如说.在程序开发阶段,程序员可能会设置一些后门.以便于测试、修改和增强模块功能。正常情况下,程序开放完成后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因,比如说如保留后门便于日后访问、测试或维护.后门没有去掉,一些别有用心的人就会利用专门的扫描工具发现并利用这些后门,然后进入系统并发动攻击。
国内的安防产品的漏洞问题由来已久,主要原因在于社会和国家对信息化依赖越来越高。境外恶意攻击者一般会对网络进行扫描,发现系统存在弱口令问题后会利用其中未修复的安全漏洞进行攻击,然后植入后门软件进行长期控制。所有暴露在互联网环境下的设备都会面临黑客攻击的风险,很多用户缺乏安全意识,在安全上考虑不足也导致容易出现安全漏洞。
2.4.3 窃听攻击
网络窃听是最直接的获取数据的手段.如果在共享的网络通道上,用没有加密的明文传输敏感数据.这些信息很可能被窃听和监视。窃听者可以采用如sniffef等网络协议分析工具,非常容易地在信息传输过程中获取所有信息的内容,这些信息包括账号.密码等重要信息。一旦入侵者监听到用户传输的口令.就可以利用口令入侵到系统中。比如说.政府部门内部的普通工作人员.如果通过内部网络窃听手段。获取了领导的账号和密码,从而可以利用这些密码.查阅只能由领导查阅的秘密文件等。这类方法有一定的局限性,但危害性较大.监听者往往能够获得其所在网段的所有用户账号和口令.对内部网络安全威胁巨大,因为内网数据往往是密级非常高的.如果被非法窃听而导致信息泄露,将对国家造成非常大的损失。
2.4.4 欺诈攻击
欺诈攻击是利用假冒方式骗取连接和信息资源、损害企业的声誉和利益的方式。比如说.黑客在被攻击主机上启动一个可执行程序.该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息后.黑客程序会将用户输入的信息传送到攻击者主机.然后关闭界面给出提示错误.要求用户重新登录。此后.才会出现真正的登录界面.这就是欺诈攻击的一种方式。再比如说,黑客可以制作自己的网页.一旦用户点击了假冒链接地址.进入到这个网页后,如果用户此时输入银行账号、密码、验证码后,该假冒网页会提示验证码错误.随后再转向正常的网页.这样.黑客就巧妙地从中获取了用户的机密信息。
2.4.5 病毒攻击
计算机病毒实际上是一段可执行程序,为什么称之为病毒,主要是因为它和现实世界的病毒一样具有传染性.潜伏性和破坏性。在越来越依赖网络的今天.由于病毒导致的系统破坏将带来巨大的损失。
计算机病毒对计算机的影响是灾难性的。从20世纪80年代起.计算机使用者就开始和计算机病毒斗争,特别是随着近年互联网的发展.网络应用的普及、人们对计算机的依赖程度的不断提高.这一切为病毒的传播提供了方便的渠道,同时也使计算机病毒的种类迅速增加.扩散速度大大加快.受感染的范围越来越广,病毒的破坏性也越来越严重。以前病毒的传播方式主要是单机之问通过软盘介质传染.而现在病毒可以更迅速地通过网络共享文件、电子邮件及互联网在全世界范围内传播
2.4.6 拒绝服务攻击
DOS(denial-of-service)攻击,简称DoS攻击.是通过向攻击目标施加超强力的服务要求.要求被攻击目标提供超出它能力范圉的服务,从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。简单的说拒绝服务攻击就是想办法将被攻击的计算机资源或网络带宽资源耗尽.导致网络或系统不胜负荷以至于瘫痪.而停止提供正常的服务。
DoS攻击由于可以通过使用一些公开的软件和工具进行攻击,因而它的发动较为简单.”拒绝服务”的攻击方式是:用户发送许多要求确认的信息到服务器.使服务器里充斥着这种大量要求回复的无用信息.所有的信息都有需回复的虚假地址.而当服务器试图回传时.却无法找到用户。服务器于是暂时等候,然后再切断连接。服务器切断连接时.黑客再度传送新一批需要确认的信息,这个过程周而复始.最终导致服务器资源耗尽而瘫痪。
2.5 信息安全后果
在现代网络信息社会环境下.由于存在各种各样的安全威胁,比如病毒、误操作、设备故障和黑客攻击等,从而可能会造成重要数据文件的丢失。安全问题具体的后果包括:
●企业的资料被有意篡改,网站的页面被丑化或者修改。比如说,在被攻击的网
站首页上贴上谣言、黄色图片或反动言论.从而造成法律上和政治上的严重后果。
●破坏计算机的硬件系统,比如说磁盘系统.从而造成文件永久丢失。
●使得商业机密或技术成果泄露或者被散播。
●安全问题还可能使得服务被迫停止,并给客户层带来服务质量低劣的印象,使
得企业形象被破坏,从而造成恶劣影响和难以挽回的损失。
2.6 信息安全技术
2.6.1 PKI体系
公钥密码体制分为三个部分,公钥、私钥、加密解密算法,它的加密解密过程如下:
?加密:通过加密算法和公钥对内容(或者说明文)进行加密,得到密文。加密过程需要用到公钥。
?解密:通过解密算法和私钥对密文进行解密,得到明文。解密过程需要用到解密算法和私钥。注意,由公钥加密的内容,只能由私钥进行解密,也就是说,由公钥加密的内容,如果不知道私钥,是无法解密的。
公钥密码体制的公钥和算法都是公开的(这是为什么叫公钥密码体制的原因),私钥是保密的。大家都以使用公钥进行加密,但是只有私钥的持有者才能解密。在实际
的使用中,有需要的人会生成一对公钥和私钥,把公钥发布出去给别人使用,自己保留私钥。
2.6.1.1证书认证机构(CA)
认证授权机构(CA, Certificate Authority),也称为电子认证中心,是负责发放和管理数字证书的权威机构,并作为网络活动中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节
2.6.1.2数字证书
证书实际是由证书签证机关(CA)签发的对用户的公钥的认证。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509 国际标准。
信息发送者用其私匙对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有公钥对所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。
1. 使用数字证书能做什么?
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。
2.数字证书的类型
个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等,可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动。
机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等,可用于机构在电子商务、电子政务应用中进行合同签定、网上支付、行政审批、网上办公等各类活动。
设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,如:域名、网址等,可用于VPN服务器、WEB服务器等各种网络设备在网络通讯中标识和验证设备身份。
此外,还有代码签名数字证书,是签发给软件提供者的数字证书,包含了软件提供者的身份信息及其公钥,主要用于证明软件发布者所发行的软件代码来源于一个真实软件发布者,可以有效防止软件代码被篡改。
2.6.2 用户身份认证
所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,如Kerberos身份认证系统。
身份认证一般与授权控制是相互联系的,授权控制是指一旦用户的身份通过认证以后,确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个数字化的工作体系中,应该有一个统一的身份认证系统供各应用系统使用,但授权控制可以由各应用系统自己管理。
统一用户管理系统(IDS),实现网上应用系统的用户、角色和组织机构统一化管理,实现各种应用系统间跨域的单点登录和单点退出和统一的身份认证功能,用户登录到一个系统后,再转入到其他应用系统时不需要再次登录,简化了用户的操作,也保证了同一用户在不同的应用系统中身份的一致性。
身份认证可分为用户与系统间的认证和系统与系统之间的认证。身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证。目前使用比较多的是用
户与系统间的身份认证,它只需单向进行,只由系统对用户进行身份验证。随着计算机网络化的发展,大量的组织机构涌入国际互联网,以及电子商务与电子政务的大量兴起,系统与系统之间的身份认证也变得越来越重要。
身份认证的基本方式可以基于下述一个或几个因素的组合:
所知(Knowledge):即用户所知道的或所掌握的知识,如口令;
所有(Possesses):用户所拥有的某个秘密信息,如智能卡中存储的用户个人化参数,访问系统资源时必须要有智能卡;
特征(Characteristics):用户所具有的生物及动作特征,如指纹、声音、视网膜扫描等。
根据在认证中采用的因素的多少,可以分为单因素认证、双因素认证、多因素认证等方法。身份认证系统所采用的方法考虑因素越多,认证的可靠性就越高。
2.6.3 认证机制
2.6.
3.1基于口令的身份认证机制
基于口令的身份认证技术因其简单易用,得到了广泛的使用。但随着网络应用的深入和网络攻击手段的多样化,口令认证技术也不断发生变化,产生了各种各样的新技术。最常采用的身份认证方式是基于静态口令的认证方式,它是最简单、目前应用最普遍的一种身份认证方式。但它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充;同时易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。相对静态口令,动态口令也叫一次性口令,它的基本原理是在用户登录过程中,基于用户口令加入不确定因子,对用户口令和不确定因子进行单向散列函数变换,所得的结果作为认证数据提交给认证服务器。认证服务器接收到用户的认证数据后,把用户的认证数据和自己用同样的散列算法计算出的数值进行比对,从而实现对用户身份的认证。在认证过程中,用户口令不在网络上传输,不直接用于验证用户的身份。动态口令机制每次都采用不同的不确定
因子来生成认证数据,从而每次提交的认证数据都不相同,提高了认证过程的安全性。
2.6.
3.2挑战/响应认证机制
挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一
个不同的“挑战”码,客户端程序收到这个“挑战”码,根据客户端和服务器之间共
享的密钥信息,以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应
答的结果确定是否接受客户端的身份声明。从本质上讲,这种机制实际上也是一次性
口令的一种。
一个典型的认证过程如下图所示:
认证过程为:
1) 客户向认证服务器发出请求,要求进行身份认证;
2) 认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理;
3) 认证服务器内部产生一个随机数,作为“挑战”码,发送给客户;
4) 客户将用户名字和随机数合并,使用单向Hash函数(例如MD5算法)生成一个字节串作为应答;
5) 认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败;
6) 认证服务器通知客户认证成功或失败。
2.6.
3.3EAP认证机制
EAP(Extensible Authentication Protocol)扩展认证协议在RFC2248中定义,
是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以
用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。EAP
实际是一个认证框架,不是一个特殊的认证机制。EAP提供一些公共的功能,并且允
许协商所希望的认证机制。这些机制被称为EAP方法。由于EAP方法除了IETF定义
了一部分外,厂商也可以自定义方法,因此EAP具有很强的扩展性。IETF的RFC中
定义的方法包括EAP-MD5、EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA等。无
线网络中常用的方法包括EAP-TLS、 EAP-SIM、 EAP-AKA、 PEAP、LEAP和EAP-TTLS。目前EAP在802.1X的网络中使用广泛,可扩展的EAP方法可以为接入网络提供一个安全认证机制。
2.6.
3.4钥认证机制
随着网络应用的普及,对系统外用户进行身份认证的需求不断增加,即某个用户没有在一个系统中注册,但也要求能够对其身份进行认证,尤其是在分布式系统中,这种要求格外突出。这种情况下,公钥认证机制就显示出它独特的优越性。
公钥认证机制中每个用户被分配给一对密钥,称之为公钥和私钥,其中私钥由用户保管,而公钥则向所有人公开。用户如果能够向验证方证实自己持有私钥,就证明了自己的身份。当它用作身份认证时,验证方需要用户方对某种信息进行数字签名,即用户方以用户私钥作为加密密钥,对某种信息进行加密,传给验证方,而验证方根据用户方预先提供的公钥作为解密密钥,就可以将用户方的数字签名进行解密,以确认该信息是否是该用户所发,进而认证该用户的身份。
公钥认证机制中要验证用户的身份,必须拥有用户的公钥,而用户公钥是否正确,是否是所声称拥有人的真实公钥,在认证体系中是一个关键问题。常用的办法是找一个值得信赖而且独立的第三方认证机构充当认证中心(Certificate Authority,CA),来确认声称拥有公开密钥的人的真正身份。要建立安全的公钥认证系统,必须先建立一个稳固、健全的CA体系,尤其是公认的权威机构,即“Root CA”,这也是当前公钥基础设施(PKI)建设的一个重点。
2.6.4 认证协议
许多协议在向用户或设备授权访问和访问权限之前需要认证校验,通常要用到认证相关的机制,前面讨论了常用的认证机制,本节介绍使用这些认证机制的协议,这些协议包括RADIUS、TACACS、Kerberos、LDAP等。RADIUS和TACACS通常用在拨号环境中,Kerberos是在校园网中用的比较多的协议。LDAP提供一种轻量级的目录服务,严格来说不能算作一种认证协议,而对用户进行认证授权只是LDAP的一种应用。
2.6.4.1RADIUS认证协议
RADIUS(Remote Authentication Dial In User Service)协议最初是由Livingston公司提出的,目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一个通用的AAA协议。
RADIUS协议认证机制灵活,能够支持各种认证方法对用户进行认证。可以采用上述任何一种认证机制。RADIUS是一种可扩展的协议,它进行的全部工作都是基于属性进行的,由于属性可扩展性,因此很容易支持不同的认证方式。
RADIUS协议通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。
2.6.4.2TACACS认证协议
TACACS(Terminal Access Controller Access Control System)最先是由BBN 为MILNET开发的一种基于UDP的访问控制协议,一些厂商对协议进行了扩展,最终形成了一种新的AAA协议,其中CISCO公司对TACACS协议多次进行增强扩展,目前成为TACACS+协议,H3C在TACACS(RFC1492)基础上进行了功能增强,形成了H3C 扩展的TACACS协议。无论TACACS、TACACS+还是H3C扩展TACACS协议,其认证、授权和计费是分离的,并且与原始TACACS协议相比,TACACS+和HWTACACS可以使用TCP 作为传输层协议,端口号为49。
TACACS+允许任意长度和内容的认证交换,与RADIUS一样,具有很强的扩展性,并且客户端可以使用任何认证机制。由于TACACS+的认证与其他服务是分开的,所以认证不是强制的,这点与RADIUS是不同的。
2.6.4.3Kerberos认证协议
在一个分布式环境中,采用上述两种认证协议时,如果发生账号改动的情况,每台机器上的都要进行相应的账号修改,工作量非常大。Kerberos是MIT为解决分布式网络认证而设计的可信第三方认证协议。Kerberos基于对称密码技术,网络上的每个实体持有不同的密钥,是否知道该密钥便是身份的证明。网络上的Kerberos服务起着可信仲裁者的作用,可提供安全的网络认证。Kerberos常见的有两个版本:第4版和第5版,目前使用的标准版本是版本5。
Kerberos是一种受托的第三方认证服务,它是建立在Needham和Schroeder认证协议基础上,它要求信任第三方,即Kerberos认证服务器(AS)。AS为客户和服务器提供证明自己身份的票据以及双方安全通信的会话密钥。Kerberos中还有一个票据授予服务器(TGS),TGS向AS的可靠用户发出票据。除客户第一次获得的初始票据是由Kerberos认证服务器签发外,其他票据都是由TGS签发的,一个票据可以使用多次直至期限。客户方请求服务方提供一个服务时,不仅要向服务方发送从票据授予服务器领来的票据,同时还要自己生成一个鉴别码(Authenticator,Ac)一同发送,该证是一次性的。
市政府视频监控系统设计方案
1.1 视频监控系统设计方案 1.1.1 系统概述 视频监控系统是指将从市公安系统中接入的8路视频监控信号以及数字化城管将要建设的视频信号,结合城市管理地理信息系统,在城市管理信息中心的大屏幕和PC终端上显示,实现对城市部件和事件的全方位、全时段的可视化监控管理,从而对城管事件作出准确判断并及时响应,对监控范围内的突发性城管事件录像取证,起到综合治理效果。 视频监控系统建设主要包括三部分的内容,即政府中心控制节点的建设、城管中心视频监控系统建设和城管中心安防监控系统建设。 1.1.2 城管中心视频监控 扬州市公安局已经在扬州市内建设36个公安监控点,需连接到市城管 监督中心之外,还包括以下内容: 根据扬州市建设全市城管监控系统的要求,计划建设50个,后续可以 扩展到100个(当前建设50个,后续可以扩展到100个)可控监视探头, 探头采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到 监督中心机房,并通过大屏幕展现出来。 1.1. 2.1 系统建设要求 视频监控系统可以随时选择需要监控的8路视频监控信号。 视频监控系统主要应包括以下功能模块:视频图像播放、视频源选择、 监控探头调整控制等。 ?视频图像播放 应能播放支持扬州市现有的视频数据压缩格式。要求能在城市管理信息 中心的大屏幕和PC终端上显示。 ?视频源选择 应可在系统的电子地图上选择需要调用查看的视频源,方便地查看相应 的视频信息。 ?监控探头调整控制 应能实现对监控探头的调整控制(公安局建设的36路图像除外)。可以通过调整监控探头,实现视频图像的放大、缩小,还可以实现监控探头的方向调整。
1.1. 2.2 系统设计 1.1. 2.2.1 视频前端设计 扬州城管中心视频监控系统前端图像源只要来自两个方面:扬州市公安局已建的36路视频图像接入和扬州市城管计划建设100个(当前建设50个,后续可以扩展到100个)可控监视探头。 公安局已建的36路图像,考虑节省传输路由租用费用,采取租用电信8条2M带宽路由同时到达城管监督中心。 扬州市城管计划建设的100个(当前建设50个,后续可以扩展到100个)可控监视探头,拟采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到监督中心机房,并通过大屏幕展现出来。 1.1. 2.2.2 系统传输设计 公安局已建的36路图像,通过租用电信8条2M带宽路由,加编解码器同时送8路图像至城管中心,在大屏幕上显示。 由于公安局原配置的图像切换矩阵有控制限制,设计采用配置一台48*16矩阵放在公安局机房,接入36路视频源;配置一台主控键盘放在城管监督中心,通过编解码器的双向数据口,远程控制矩阵,自由选择城管需要监视的视频图像。 扬州市城管计划建设的100个可控监视探头,拟采用数字式以太网传输模式,通过通信运营商提供的传输通道,汇集到监督中心机房。 由于城管监督中心在二楼,配线总机房在一楼,因施工前后衔接很难统一,电信的宽带路由一般只到一楼配线总机房,故考虑在一楼配线总机房至二楼监督中心机柜预留110根视频线缆(SYV75-5)和10根RVVP线缆作为远端视频图像信号接入路由。 1.1. 2.2.3 系统功能实现 各路视频图像汇集到城管监督中心,通过监督中心的图像显示系统进行切换、选择,显示在大屏幕上。实现以下功能: 1) 视频图像播放 能播放支持扬州市现有的视频数据压缩格式。能在城市管理信息中心的 大屏幕和PC终端上显示。为城管中心对整个城市进行实时掌控提供了准确 无误的保障。
小区安防系统设计方案
小区安防系统设计方案内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
小区安防系统设计方案 目录 一.前言 二.小区访客对讲系统 三.周界防越报警系统 四.闭路电视图像监视系统 五.小区巡更管理系统 六.系统维护及售后服务方案 七.结束 八.方案说明及补充方案 一.前言 1.概况 根据业主方的建设规划,以及技术防范的需要,本小区应建立完善的安全保安系统,为小区内人员和设备提供安全屏障的必要保证,为此需要配置设计周密的安全保卫系统,采用现代化安保监控手段满足小区的安全需要。 在系统的设计中,我们力争做到: 经济性:器材设备选用性价比高的产品 合理性:整个系统配置合理 可扩展性:系统设备留有扩展余地 操作性:系统操作简单,易于维护 2.设计依据 《关于加强本市新建居民住宅安全防范设施建设管理的意见》[沪公发 (2001)136号]。 《本市新建居民住宅安全技术防范系统建设要求》
〖89〗公(治)字22号:关于改善和提高居民住宅整体安全防范能力的通知。 甲方使用要求(暂缺)。 产品技术要求符合(1997)公(社防)258号《上海市楼寓对讲电控门技术要求(试行)》。 GA/T-75安全防范工程程序与要求。 《安全防范系统通用图形符号》 GA/T 74-94; 《安全防范工程程序与要求》GA/T 75-94; 《民用建筑电气设计规范》JGJ/T 16-92; 《民用建筑线缆标准》EIA/TIA-568; 3.小区整个安防工程由以下部分组成: 楼宇对讲系统 周界报警系统 家庭防盗系统(1、2层) 图像监控系统 巡更系统 4.系统特点 1.实用性:所开发的实用功能应能为用户实实在在地感受和使用,以人为本,充 分体现幽雅舒适便利快捷的工作环境,并因此而提高工作效率,同时应与国情相符,与城市的基础设施和周边环境适应。 2.先进性:立足当前,面向未来,在满足用户现有需求的前提下,充分考虑信息 社会的发展趋势,在技术上适度超前。 3.开放性:系统应具有兼容性和可扩展性,使整个系统可以随着技术的发展和进 步,不断得以充实和提高。 4.经济性:在保证整个系统先进性、可靠性的前提下,力争做到性能价格比的最 优化。 5.系统间的互补性:
涉密信息安全体系建设方案
涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。 完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源 规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。 质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 (1)安全管理体系
小区安防系统设计方案
小区安防敏达智能 小区安防系统设计方案
目录一.前言 二.小区访客对讲系统 三.周界防越报警系统 四.闭路电视图像监视系统 五.小区巡更管理系统 六 . 系统维护及售后服务方案 七.结束 八. 方案说明及补充方案
一.前言 1.概况 根据业主方的建设规划,以及技术防范的需要,本小区应建立完善的安全保安系统,为小 区内人员和设备提供安全屏障的必要保证,为此需要配臵设计周密的安全保卫系统,采用现代化安保监控手段满足小区的安全需要。 在系统的设计中,我们力争做到: 经济性:器材设备选用性价比高的产品 合理性:整个系统配臵合理 可扩展性:系统设备留有扩展余地 操作性:系统操作简单,易于维护 2.设计依据 《关于加强本市新建居民住宅安全防范设施建设管理的意见》[ 沪公发( 2001)136 号 ] 。 《本市新建居民住宅安全技术防范系统建设要求》 〖89〗公(治)字22 号:关于改善和提高居民住宅整体安全防范能力的通知。 甲方使用要求(暂缺)。 产品技术要求符合( 1997)公(社防) 258 号《上海市楼寓对讲电控门技术要求(试行)》。 GA/T-75 安全防范工程程序与要求。 《安全防范系统通用图形符号》GA/T 74-94 ; 《安全防范工程程序与要求》GA/T 75-94 ; 《民用建筑电气设计规范》JGJ/T 16-92 ; 《民用建筑线缆标准》 EIA/TIA-568 ; 3.小区整个安防工程由以下部分组成: 楼宇对讲系统 周界报警系统 家庭防盗系统( 1、2 层) 图像监控系统 巡更系统 4.系统特点 1.实用性:所开发的实用功能应能为用户实实在在地感受和使用,以人为本,充分体现幽雅
视频监控系统设计方案
网络监控系统设计方案 导读:本次设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: (一) 前端视频数据采集部分:通过网络摄像机实现对各个监控区域的图像采集;前端视频数据 采集设备包括红外一体化网络摄像机、网络半球、网络智能球、高清网络摄像机、立杆、墙挂支架等设备。 视频监控总体设计 1.1. 网络视频监控系统组成 本次设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: (一) 前端视频数据采集部分:通过网络摄像机实现对各个监控区域的图像采集;前端视频数据采集设备包括红外一体化网络摄像机、网络半球、网络智能球、高清网络摄像机、立杆、墙挂支架等设备。 (二) 视频数据传输部分:通过超五类双绞线、室外4芯室外多模铠装光缆、光电转换设备和网络交换机等设备组成转发视频图像数据的传输网络,并通过传输网络将图像数据从前端监控设备传送到后端监控中心进行视频显示和存储,主要设备和线材包括:网络交换机、光电转换设备、超五类双绞线、室外铠装光缆等。 (三) 视频监控中心部分:视频监控中心是将前端采集的视频图像信息通过软件解码,转化为图像信号传送到监视器上,形成直观图像信息并且显示出来,同时对视频信息按照存储策略进行存储。通过网络监控中心管理平台对整个系统进行统一操作、配置、管理,其中主要设备网络监控中心管理平台、监控录像主机、大尺寸电视等设备。 (四) 监控终端部份:监控终端主要功能是监看实时视频画面、查询回放录像、抓拍图像、手动录像,主要包括监控客户端、多路视频解码器。 1.2. 监控系统拓扑图
1.3. 前端视频监控部分 1.3.1. 前端监控点设置说明 序号安装位置产品名称 单 位 数量备注 1 负一层停 车场 红外一体化网络摄像 机 台11 监控车位及通道,安全通道等出入口情 况
信息安全设计的活动方案.docx
设计方案 一、立项背景 随着高校内各种网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代教育的发展方向。在当今的互联网环境下,计算机被攻击、破坏的事件经常发生,我们经常需要面对的信息安全问题有:黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此,在校园网络建设中,网络信息安全成为需要特别考虑的问题。 1.1、校园网信息系统安全现状 1.2、现有安全技术和需求 1.操作系统和应用软件自身的身份认证功能,实现访问限制。 2.定期对重要数据进行备份数据备份。 3.每台校园网电脑安装有防毒杀毒软件。 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 经调查,现有校园网络拓扑图如下: 二、设计方案拓扑图
三、设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则: 3.2.物理层设计 3.2.1物理位置选择 3.3网络层设计 3.3.1防火墙技术 建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一
视频监控系统设计方案
视频监控系统设计方案 摘要:生产经营管理的高效性、实时性直接影响到企业的生产效益和成本控制。当前,工厂的建设、管理正向着信息化、智能化的方向发展。通过在企业内部安装一整套局域网上的网络视频监控系统,安全生产人员可实时监控各个设备的运行状况,安保人员可实时监控厂区的出入口、道路、重点建筑等重要场所的人员流动情况,企业相关部门的领导也可以在办公室随时监控整个企业的运作情况。 一、工程说明 1.1 工程需求分析 根据用户的实际要求和现代监控系统的特点对本项目的需求进行了认真的分析。 1. 防范目的 通过安装在工厂辖区的摄像机,可以对现场的人员、车辆及设备的工作情况进行实时监视,监控室能够及时观察到现场的情况,并能够将相关图像进行实时的录像。在充分保证客人及业主隐私的基础上,加强工厂的安全保卫工作,同时提高工作效率,实现科学的管理。 2. 布防要求 根据现场的实际情况加以安装,以便最能有效地监控现场图像,不留死角。 3. 安全可靠性 为使整个监控系统充分发挥其安全防范的作用,应从以下几个方面确保系统安全可靠: ⑴前端设备品质必须高度可靠,尽量选用性价比高的名牌产品,同时充分考虑到特殊且恶劣的环境因素对设备的影响。 ⑵必须按照国家标准及工艺要求进行施工。 ⑶控制系统应采用可靠性高、功能全的产品 ⑷严格的管理制度,规范的操作。 ⑸操作简便。具有一定的扩容和升级能力。
二、方案设计的原则和思想 2.1 系统应具有的特性 2.1.1 先进性 当今科学技术发展迅速,若花巨资建成一个几年之内就要淘汰的落后系统,不仅是一种极大的浪费,而且将严重影响工厂的声誉。所以设计方案首先就要确保设计技术和应用技术的先进性,同时也要保证整个系统的最佳性能价格比。 2.1.2 灵活性和兼容性 随着科学技术的发展,不可能保证一个系统永远处于领先地位。为此在设计方案时,必须考虑到系统升级扩容的灵活性和兼容性,这就需要采用模块化、开放式、集散型、分布式的控制系统。使得不改变原有设备,在不损失前期投资的情况下,就能方便的升级和扩容,确保系统不过时。 2.1.3 经济实用性 先进性与经济性往往会产生矛盾,这就需要在制定总体设计方案时: 一、要选择性能价格比最佳的产品和系统。高科技现代化时代,经济性衡量的唯一标准是性能价格比,既不是单纯性能,也不是单纯的价格,若不顾性能,而单纯追求价格,势必会陷入不正当的价格竞争战。那么系统事故所造成损失和影响用经济是补偿不了的。 二、善于充分利用软件来实现系统功能,尽可能减少硬件开支,达到降低系统总成本的目的。 三、充分了解其它子系统的功能,并与之进行有机结合,避免功能重复。 四、要善于从实际出发,突出实用功能,去掉“华而不实”的无用功能,降低总体投资,求得先进性与经济性的完美统一。 2.1.4 可靠性 可靠性是系统设计中的关键,不可靠的系统不仅根本谈不上什么先进性,而且由于系统的瘫痪导致重大的损失会给用户带来巨大的负担和耗费。为此总体方案的设计和产品的选用时: 一、既要考虑技术的先进性,又要考虑技术的成熟性。
安防报警系统方案设计
安防警报系统设计 工程概况 某校一栋4层的教学楼的建筑占地面积为16*40平方米。现为信息实训教学楼,内置设备因比较昂贵,现需要做一个安防警报系统,提高整栋教学楼的安全防护,还用作的教学水平评估以及学生的考试监控。 需求分析 1) 系统在非特殊情况下要求24小时连续自动运行、各种设备必须 具有掉电保护功能。 2) 能够完成对各类摄像机及云台的控制、具有更完善的图像分配 与切换功能及循环显示功能。 3) 在特殊情况下,电视监控系统可以对一个或几个部位进行连续 跟踪,保证可靠遥控,以获取最佳摄像效果。 4) 全天候微观监视:值班人员坐在监控中心就可查看各路摄像信 号。数字硬盘录像机可设置单画面或多画面显示,通过操作鼠 标对单画面进行局部无限电子放大。 5) 视频录制及回放,可设定硬盘录像机对各路视频信号进行不间 断的实时视频录制。 6) 定时录像设置:支持单画面或多画面定时录像的编程,具体可 设置到分钟,系统即开始自动启动录像。用户可根据要求及情 况自由设定上述不同参数,从而满足不同状况的需要。 7) 图像抓拍存储:数字硬盘录像机在进行正常显示的同时,还可 同时进行录、放像,且不影响回放的实时性及效果。当系统正 处于录像或放像,值班人员依然可通过鼠标对当前显示的任意 一个画面进行抓拍,且不影响录制的图像质量。 8) 电视监控系统由前端图像采集摄像设备、中间有效传输介质、 终端视频信号处理、控制及显示设备构成。 9) 本方案设计的图像采集、监视、备案是利用数字监控系统来实 现的。用户可以很清晰地在彩色显示器上监视前端传过来的每
一幅画面。监视的同时,可以根据工作需要,对任何一路图像 资料进行数字硬盘录像。 设计说明 根据客户要求,我公司做出如下设计 1、我们拟在所有的教室分别以接力方式安装两个摄像机,平时 以掌握教 室设备人员出入情况,其录像资料可作为教师教学水平评估的依据之 一,并且在考试时可对考场情况进行监视。 2、综合控制中心放置于一楼保安室,在一楼梯口和财务室和校 长办公室等重点保护区域所在的走廊分别吸 顶安装一个半彩色球摄像机。 3、在教室内不宜安装摄像机的场所或重要教室安装红外探测器 (如:财 务室、档案室、机房、实验室等) , 当处于布防状态时,一旦有物体在探测器监控范围内移动,即触发探 测器,保安控制中心就会有相应被侵犯防区的报警显示,并可以与监 控系统进行联动,自动进行切换显示。 4、在财务室、档案室、机房及实验室分别安装一套联网型门禁 系统。该 系统可以效的控制该重要区域的财产安全,并详细记录进出该重要区 域的人员清单。 5、门禁系统可以和报警联动,用户可在进门时刷卡的同时即可 对报警系 统撤防,可防止人为的误报,同时在有人强行开门时发送报警信号至 综合控制中心。 6、报警系统可以和闭路监控系统进行联动,在发生报警时,系 统自动把 硬盘录像机切换至实时录像模块,并且可以把报警前的部分视频资料录制下来,以供有效案件分析资料。 7、可以通过监控主机对采集的视频信号进行保存。在一楼主控 室还设有 电视墙分别对每个视讯监控点进行实时的监看,另外将通过数字硬盘 对视频信号的切换放大。 8、本系统的还支持多路分控,每个分控点可以实现和主控相同 的功能, 画面的切换,云台的控制,都能实现。作为学校的领导可以在足不出 门的情况下,全面地了解学校的教学、纪律等情
网络信息安全规划方案
网络信息安全规划方案 制作人:XXX 日期:2018年4月5日
目录 1. 网络信息安全概述 (3) 1.1 网络信息安全的概念 (3) 1.2 网络信息安全风险分析 (3) 2. 需求分析 (4) 2.1 现有网络拓扑图 (4) 2.2 规划需求 (4) 3. 解决方案 (5) 3.1 防火墙方案 (5) 3.2 上网行为管理方案 (6) 3.3 三层交换机方案 (6) 3.4 域控管理方案 (7) 3.5 企业杀毒方案 (11) 3.6 数据文件备份方案 (15) 4. 设备清单 (16) 5. 实施计划 (16)
1. 网络信息安全概述 1.1 网络信息安全的概念 网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或是恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务 不中断。 网络信息安全从广义来说,凡是设计到网络上信息的保密性、完整性、可用性真实性和可控性的相关安全都属于网络信息安全范畴;从网络运行和管理者角度说, 网络信息安全是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源非法 占用和非法控制等威胁,制止和防御网络黑客的攻击,保障网络正常运行;从社会 和意识形态来讲,企业访问网络中不健康的内容,反社会的稳定及人类发展的言论 等,属于国家明文禁止的,必须对其进行管控。 1.2 网络信息安全风险分析 企业局域网是一个信息点较多的百兆或千兆局域网络系统,它所连接的上百个信息点为企业内部各部门办公提供了一个快速方便的信息交流平台,以及与互联网通讯、沟通、交流的开放式平台。企业局域网存在以下安全风险: ●局域网与Internet之间的相互访问,没有专有设备对其进、出数据包进行分析、 筛选及过滤,存在大量的垃圾数据包,造成网络拥堵及瘫痪。 ●内部应用服务器发布到公网中使用,在Internet外部环境下,存在被不法分子攻 击、入侵及篡改企业安全数据信息。 ●企业内部终端在无约束条件下,随意访问、下载网络上的资源,其中大量的网络资 源没有经过安全验证,可能带有病毒、以及资源版权纠纷等问题。 ●企业内部网络环境在没有做流控管理的情况下,造成一部分人占用大部分网络资源,
智能家居安防系统设计方案
智能家居安防系统设计方案 智能家居安防系统即智能安防系统,其产品涉及广泛,除了远程监控类产品还有各种保护人体安全等的探测器,这些产品所集成的智能安防系统为用户的家庭及人身安全提供了极大的保障。那么智能家居安防系统是如何设计的方案呢? 智能家居安全系统总体设计方案 系统的总体设计思路是,在用户家中部署一台PC,负责连接、控制监控设备并与用户的智能手机通信。智能手机则作为终端设备负责显示监控画面,并提供控制监控设备的用户界面。智能手机通过GPRS移动数据网络接入Internet进而实现与用户家中PC的通信。 智能家居安全系统传输协议设计方案 智能手机上的客户端程序在收到一个完整的图像数据包后将向服务器发送确认包。该数据包作为提示服务器可以继续传送图像数据用,因此没有数据载荷和结束界符。类似地,中断连接包用作服务器与客户端之间提示将要中断当前连接,也没有数据载荷和结束界符。 家庭网络的拓补结构 在ZigBee协议里定义了三种网络拓扑结构,分别为星型网络、点对点网络和簇树网络,其中簇树网络可归为点对点网络。 在星型结构的网络中,其协调器节点的能量供应必须具有不间断性,而终端节点则可以采用普通的电池对其提供能量。此种网络结构适合在比较小的范围内组建。而对于点对点的网络结构,只要双方的距离小于节点设备的最大通信距离,同时通信的基本条件得到满足,则双方就可以实现彼此间的通信。点对点网络中也有协调器节点,它主要用于管理链路状态信息,认证设备身份等。 嵌入式开发平台的建立和系统移植 进行嵌入式软件的开发的首要工作是构建其相应的开发环境,嵌入式的软件开发环境是由目标板和宿主机所连接构成的交叉开发环境。目标板用于运行嵌入式操作系统和应用程序,而应用程序的开发、编译、调试等工作则都是在宿主机上完成的。
高清网络视频监控系统设计方案
2018 XX地区XX项目 网络视频监控系统设计方案 XXXXXXXXXX 有限公司 2018/8/1
系统概述 随着社会主义市场经济的发展,社会各行业在实际应用中对安全防范行业提出了更高 的要求。而数字网络监控技术作为一种行之有效的安防和自动化管理,已被各个行业安防监控系统所广泛采用。它一方面使单位管理部门能获取各个重要场所内的情况、安全防范, 产生的大量实时信息,更有利于加强对单位的安全的管理;另一方面又可提高工作效率,达到现代化网络的管理水平。 安装数字网络监控系统,能大大减少不必要的人力、物力,实时高度监控可视区域,做到控制现场人员的实际运作现状,实时快速的反映所发生的一切事物,便于及时应付处理突发变故事件等;达到安全防范和安全管理的宏观动态监控、微观取证的目的。 根据“数字式网络视频监控”系统项目和有关部门的设计规范要求,结合我公司从事保安监控系统工程设计经验,遵循技术的先进性、系统的扩展性、整体设计的实效性和高性能价格比。在系统的设计中,强调设计的综合管理及操作性能,力求系统操作简便、实用和直观性。 系统设计强调中心监控的综合管理和操作性能,力求系统操作简便直观。一方面激活内部配置管理,利用现代计算机技术和网络技术加强过程控制,以提高管理的水平;另一方面需要使有关部门在事后获取相关录像记录,提供有效现场证据和线索,在事前,事中、事后进行全面防范。 二.设计原则 2.1基本情况介绍 一共有36 个监控点。组建这样大型的系统,根据我们对监控行业的了解和丰富的工程 经验,认为其需求主要体现在以下几个方面: 、视频监控覆盖到大楼各通道或重要区域的监控需求的地方,对其进行24小时实时视频监控,特殊区域还可以进行实时音视频监控;
安防监控系统设计方案
XXXX(常熟)有限公司安防监控工程 设 计 方 案 XXXXXXXXXXXXXXXXX
目录 一、数字监控系统简介 二、计算机数字监控系统的主要功能 三、用户功能要求、项目摘要及现场情况勘察分析报告 四、方案拟定 五、设备清单及报价
一、数字监控系统简介 计算机数字监控系统是监控报警业界的新型产品,它将数字化视频图像记录与多画面图像显示功能和监视报警功能结合在一起,将逐步取代传统模拟式多画面分割器和长时间录像机,具有灵活方便等特点。 在此基础上,采用高档的工业控制微机、PC工作站机,增加摄像机图像输入路数,提高多画面图像的显示速率、增加对云台和镜头的控制功能,配之以良好的人机交互界面,便构成了以计算机为核心的数字式监控报警系统。 系统结构如图所示: 二、计算机数字监控系统的主要功能: 此污水处理厂的视频监控系统设计遵循先进性、可靠性、安全性、可扩充性、规范性等原则: 1、选择输入摄像机的图像; 2、可从多路摄像机的输入图像中任选一路或多路在屏幕上; 3、用硬盘对图像作数字化记录; 4、数字化硬盘存储及视频解压缩功能,可以完整的记录下摄像机的高清晰度画面,使画面回放时也能达到极高的清晰度; 5、评价多画面分割显示性能优劣的关键是影像处理与显示更新速度和画面的清晰程度控制云台和镜头的运动 三、用户功能要求、项目摘要及现场情况勘察分析报告: 1、根据现场实践报告分析本监控系统主机部分由1台16路硬盘录像机1台主机、显示器和15支前端摄像机及前端电源和相关软件组成,来完成所有摄像机信号的显示,并通过硬盘进行录像,应贵公司要求资料保存1个月,经过计算,硬盘录像机需要配备2块500G 硬盘,当硬盘空间存满后会自动覆盖存储期限最长的视频资料,无需人为干预。经过现场勘查和贵公司的要求基本符合实际安装需求。 2、经现场实际勘察分析,实际点位安装如下: 在厂区围墙上总共装15个红外防雨摄像机。分布为: 1、门口装3个红外摄像机各照射南北二面,和进门口; 2、北边围墙比较直可安装3个红外摄像机; 3、东边围墙3个红外摄像机、 4、南边围墙由于杂草比较多,经勘察认为将安装2个红外摄像机安装在风机房墙壁和埋2个6米高的杆子在南边的围墙边上安装2个红外摄像机; 5、西南角上面安装2个红外摄像机监视门口方向; 6、在二沉池和三沉池中间安装1个360度旋转匀速球机,监视整个厂区道路及池体周边设施。 四、方案拟定 工程总述、设计思想和依据 以下方案是在综合考虑了用户的实际情况和工程现场情况勘察报告后做出的。本设计方案的设计目的是要把用户单位的监控中心建设成具有相当高的先进技术、数字化、可扩
设计方案(信息安全防范技术)
个人资料整理仅限学习使用 毕业论文 题目:信息安全防范技术 学生姓名郑钊彬 学生专业计算机信息管理 学生年级09级 指导教师陈刚 指导时间: 2018年2月3日——2018年5月15日
独创性声明 本人声明所呈交的论文是我个人在导师指导下完成的。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 论文作者签名:郑钊彬 日期:年月日
摘要 人们生活在发展的世界中,越来越多的产品的出现,标志着人们对信息的需要在不断增加。在这个“网络时代”,随着科学技术的进步和经济的迅速发展,网络时代的一个明显特征就是网络技术的广泛应用。从世界范围的全球互联网到几台电脑之间的局域网络。网络的发展使得资源得到更有效的传播和利用,但与此同时,网络安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。网络攻击时危害网络安全的一大威胁。随着计算机技术的飞速发展,网络攻击技术理论和攻击工具均有了新的发展,伴随网络攻击事件层出不穷,因此通过对网络技术方向的分析与归纳,才取相应的安全措施减少被攻击的可能性具有很强的实用意义。 本文讲述的是网络当中局域网的安全及维护,主要是从局域网的安全概论、局域网安全分类、局域网所面临的危害、局域网安全技术、局域网安全防范措施等方面内容。 关键字:局域网、安全技术、防范措施、安全分类
Abstract People life world in development in, more and more of product of emergence, marking people need information at continuously increment. At this “network ages”, along with science technique of progress and economy of quick development, network ages of an obvious the characteristic be a network technique of extensive application. The bureau area that is from the world Internet of world scope to several of set computer network. The development of network make the resources get more valid of dissemination and make use of, but at the same time, network safety the problem be also outstanding day by day. In spite of is the network of the net of a net still an inner part in the exterior will be subjected to safety of problem. Network attack is endanger network safety of a big threat. Along with calculator technique of fly soon development, network attack technique theories and attack the tool all had new of development, chaperonage network attack the affairs pile up one after another, so pass to the network technique direction of analysis with induce, adopt correspond of safety measure decrease quilt attack of possibility have very strong practical meaning. What this text relate is network in the middle bureau area net of safety and maintenance, bureau area net safety structure, the bureau area net safety classification, bureau area the net face of endanger, bureau area net safety technique, bureau area net safety guard against measure etc. contents. Key word: bureau area net, safety technique, guard against measure, safety classification
(完整word版)安防监控报警系统设计方案
安防监控报警系统设计方案 (草案稿) 一、小区保安监控系统 小区的保安监控系统是一个综合完整的安全防范系统重要的组成部分,是系统的第一道防线。周界报警系统的目的是为了阻止入侵的发生,当入侵发生时,提供早期报警。为警力的快速反应赢得时间,并留下有效的证据。 保安监控系统共分二部分:周界探测报警系统和闭路监控系统。 周界探测报警系统配置:在整个小区边界设置主动式红外对射探测器。这样只要有人翻越围墙,安装在围墙上的对射探测器便能立刻触发,监控中心发出警报声,值班人员马上发现目标。 闭路电视监控系统:在小区的出入口设置摄像机,以便能清晰的观察进出小区的人流及物流。在小区的靠近河流和小学的围墙区域增加摄像点,以弥补红外对射报警系统的防护盲区。所有摄像机信号进入数字录象监控主机,在显示器上分割所有摄像机图像画面,也可根据需要单画面放大显示,以便观察。 二、楼宇可视对讲管理系统 根据多家物业管理公司的建议,并综合考虑小区楼宇对讲的实际需求,我们对本小区的设计及规划如下。 别墅、排屋采用别墅型门口机和室内机,公寓为普通型。访客在进入大楼或小区之前,可首先和住户取得联系,如无人应答就没必要进入大楼或小区,确保内部安全。主人通过室内机屏幕即可看到来客,倍添安全感。所有住户可通过管理中心联网(在小区保安室设立管理
中心),管理中心可呼叫任一住户,住户亦可呼叫管理中心。管理中心可监视、监听所有来访客人,并自动纪录数个呼叫信息。一套功能完善、质量可靠的楼宇可视对讲系统在带给用户安全感的同时,也带来了通讯上的便利,同时成为物业管理的好帮手。 三、室内安防报警系统 小区和住宅的安全是智能小区首要解决的问题。长期以来,人们在家居安全防盗、防抢问题上,经常采用的解决方案是安装防盗门、防撬锁和防入寝钢窗;防煤气泄露、防火灾以及遇险紧急求助问题上几乎没有任何措施。在这样的条件下,遇险时无法逃生和求救,以及遇难后无人知晓事件。在科技高速发展的今天,利用科技手段和有效的物业管理,彻底改变从单一封闭、被动型安全防范模式向多元化、综合化电控化、网络化以及主动报警处理模式发展。 一、室内安防设计 1、报警主机:可编程报警控制主机。采用最先进的微处理技术作为控制核心,集成度高,可靠性好,可用数字通讯方式和报警中心相连,支持多种通讯格式。系统能自检,并把运行情况报告中心。具有“看门狗”功能,防止死机。具有自动检测电话线功能,防剪线。 2、幕帘式探头装在玻璃窗内。该探头的特点:灵敏度高,稳定性强,且误报率低;只对从室外向室内移动的物体报警,不对从室内向室外移动或者在室内活动的物体报警,方便业主在房内休息、生活。与门磁共用,效果更好。 3、烟感探头。该探头为消防安防装置,若房中因火灾发生的烟雾浓度达到一定系数时,便立刻报警。 4、煤气探头。若室内煤气发生泄露,当煤气在爆炸极限的1/4以下时,便立即报警。
办公大楼视频监控系统设计方案
办公大楼视频监控系统设计方案
办公楼视频监控系统 二零零九年七月
1、方案概述 (5) 1.1、概述 (5) 1.2、建设宗旨 (6) 1.3、基本思路 (6) 1.4、闭路电视发展历程简介 (7) 2、设计原则.............................. .9 2.1、先进性与适用性 (9) 2.2、经济性与实用性................. .10 2.3、可靠性与安全性................. .10 2.4、开放性 (10) 2.5、可扩充性 (10) 2.6、洎求最优化的系统设备配置 (11) 2.7、保留足够的扩展容量 (11) 3、设计规范和依据 (12) 3.1、《智能建筑设计标准》 (12) 3.2、《建筑智能化系统工程设计标准》 (DB32/191-1998) (12) 3.3、《城市住宅建筑综合布线系统工程设 计规范》(CECS/119-2000) (12) 3.4、《建筑与建筑群综合面线系统工程设
计规范》(GB/T50311-2000) ............ .12 3.5、《民用建筑电气设计规范》 (JGJ/T16-92) (12) 3.6、《民用闭路监视电视系统工程技术规 范》(GB/50198-94) (12) 3.7、《系统接地的型式及安全技术要求》 (GB14050-93) (12) 3.8、《安全防范工程程序与要求》 (GA/T75-94) (12) 3.9、《安全防范工程验收规则》 (GA/T308-2001) (12) 3.10、《工业电视系统工程设计规范》(GBJ 115) ................................ .12 3.11、《安全检查防范系统通作图形符号》 (GA/74-94) (12) 3.12、《消防联动控制设备诵用技术条件》 (GB 16806—1997) (12) 3.13 >《火灾自动报警设计规范》 (GB50116-98) (12) 4、系统功能和特点 (13) 4.1、系统具有以下功能: (13)
安防监控系统设计方案 _0
安防监控系统设计方案 方案一:安防监控系统设计方案 家,是心休息的驿站;我们欢笑着出门、归来。 然而,有太多的意外,盗窃、火灾......使家里的笑声不再。为家多设一层防范,家人则多一份安心! 方案简述: 此方案是针对独栋别墅个性设计的,从业主安全、全面、稳定的需求角 度出发,对此视频监控系统方案进行设计。 本套视频监控系统设计方案能为您解决以下问题: 1、录相能清晰的录下犯罪分子的相貌和犯罪过程,为警方破案提供关键资料。 2、远程监控主人随时随地可以通过电脑查看家中情况,了解家中老人、小孩的活动情况。(需额外开通远程服务项目) 本系统主要由前端设备、传输设备以及后端录像等相关设备组成。 系统设备选型: 1、阵列红外防水一体化摄像机 品牌:威康 产品型号:VK-6150 产品介绍: 此款阵列红外一体摄像机采用最新激光阵列设计,内置高亮度阵列红外灯,内置广角红外镜头6mm(镜头可选)。 红外灯有效距离50-60米 2、嵌入式网络硬盘录像机 品牌:浙江大华 型号:DH-DVR0804HF-A
产品介绍: DH-DVR0804HF-A网络硬盘录像机是浙江大华自主研发的最新款高性价比网络硬盘录像机。它融合了多项IT高新技术,如视频编解码技术、嵌入式系统技术、存储技术和网络技术等。 DH-DVR0804HF-A网络硬盘录像机可作为DVR进行本地独立工作,也可联网组成一个强大的安全防范系统。在酒店、家庭、超市、商铺等安防领域广泛应用。 主要特性: 第一、九通道支持8CIF实时编码,其余通道支持CIF编码; 支持预览图像与回放图像的电子放大;不同通道可设定不同的录像保存周期;支持NTP (网络校时)、SADP(自动搜索IP地址)、DHCP(动态主机配置协议)等网络协议。 注意:建议使用监控专用硬盘进行数据存储 系统功能特点: 1、设计科学,功能全面,能满足客户全方位需求 2、高品质产品保证,系统高可靠性。 我们选择产品的质量在同类产品中可靠性较高,如我们选择的摄像机,对主板等其它元器件的要求就非常严格。 就连线材的选择,我们都力求严把质量关 A:视频线 B:电源线 3、性能稳定、使用寿命长、低误报, 我们公司所采用的所有产品设备和零部件,都有可靠的生产基地,确保客户使用高性价比的产品和系统。 我们坚信这样设计完善的视频监控系统能为您提供更加放心、安心的生活服务,使您充分享受娱乐休闲时光,免去您的后顾之忧! 方案二:安防监控系统设计方案 一、前言
企业信息安全整体方案设计概要
企业信息安全整体方案设计 一、企业安全背景与现状 全球信息网的出现和信息化社会的来临,使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大,原来的电脑只是停留在单机工作的模式,各科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这将严重妨碍公司的生存和发展。 1.企业组织机构和信息系统简介 该企业包括生产,市场,财务,资源等部门. 该企业的的信息系统包括公司内部员工信息交流,部门之间的消息公告,还有企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等。 2. 用户安全需求分析 在日常的企业办公中,企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。 3.信息安全威胁类型
目前企业信息化的安全威胁主要来自以下几个方面:(1)、来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。 (2)、来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。 (3)、来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。 (4)、管理及操作人员缺乏安全知识。由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。 (5)、雷击。由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。二.企业安全需求分析 1、对信息的保护方式进行安全需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN 拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、