广角网络视频监控系统是一套完全基于IP网络，采用Browser/Server结构设计的新一代综合安防监控系统，是目前国内较先进的远程视频监控系统。

　　监控前端包括模拟摄像机、视频编码器、网络摄像机、报警输入/输出设备等。可以依据用户及环境的不同需求，另外加配护罩、雨刷、避雷器等。

　　网络通信平台由路由器、交换机、无线网桥、防火墙、通信线路等设备组成。通信线路可以采用多种方式：双绞线、光纤、有线电缆、专线、帧中继、xDSL、无线局域网、卫星、微波、GPRS、CDMA等。

　 管理服务器由监控管理软件、服务器硬件、存储服务器等组成。广角监控管理软件能够实现完整的监控管理功能，是广角网络视频监控系统的核心。基于拥有专利的流媒体分布式处理技术，能够在复杂网络环境中优化视频流的传输控制，提供大容量、高质量的网络视频传输和处理。广角监控管理软件可以跨服务器硬件部署并实现负责均衡，从而可以支持多达几千个监控点。

　　监视系统由监控终端和显示系统组成。监控终端可采用普通的PC机，无需安装客户端软件，只要使用标准浏览器访问监控管理服务器。用户登录广角监控系统，根据管理的权限使用系统功能。对于中心监控室，通常会配置高性能的PC机作为监控工作站，并建立电视墙系统。

　　系统特点

　　与传统的闭路电视监控系统和数字视频监控系统相比，广角网络视频监控系统具有一些独特的优势：

　　网络化监控

　　通过计算机网络，真正做到任何时间、从任何地方、对任何现场都能实现监控；

　　网络化存储

　　系统可以实现本地、远程的录像存储及录像查询和回放；

　　高可靠性

　　系统所采用的视频编码器和网络摄像机均为整机嵌入式系统，是工业级设备，具备极高的可靠性，即插即用，无需专人管理，特别适合于无人值守的远程监控点；

　　图像质量

　　系统所采用的视频编码器和自适应高性能流媒体服务器设备，图像清晰度可达到Full D1（DVD）、实时性好；

　　方便使用、操作管理简单

　　无需安装客户端软件，直接通过WEB方式进行远程监控和远程管理，图形化界面；

　　完整的监控管理功能

　　系统为用户提供了灵活的监控画面选择, 电子地图使用，对云台、变焦的行控制，预置位和镜头的轮巡，以及实现图像抓拍、录像和录像回放、报警和报警联动功能；

　　信息安全

　　充分利用防火墙/VPN、加密、权限管理、安全认证、实时时钟等技术，保证监控系统和录像资料不被越权使用和破坏；

　　有效利用带宽

　　根据网络带宽视频流可自动调节，系统可以在现有的任何网络中完成各种监控功能；

　　设备的分级、分组管理

　　强大的分级、分组功能可将摄像机、视频编码器、报警设备等前端设备根据监控地点和管理需要编成不同区域和工作组，区域可以分级（分层）。每个工作组可分配数个前端设备，同一个前端设备可同时分配在不同的工作组中。缺省工作组为系统内所有监控点的列表；

　　用户的分级、分组管理

　　根据管理需要可将用户划分成不同级别，最上层是超级管理员。不同级别的管理员被赋予不同的权限。管理员可以创建用户，分配初始密码，也可以将用户划分为用户组进行管理。系统将控制权限分为多个等级，可根据需要灵活地分配给相应的用户和用户组；

　　可扩展性

　　增加网络摄像机、视频编码器和监控工作站非常简单，能够持续平滑升级和扩展，降低对系统的整体投资成本，和其他管理控制兼容。

校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

　　一、 网络信息安全系统设计原则

　　· 1.1满足Internet分级管理需求

　　· 1.2需求、风险、代价平衡的原则

　　· 1.3综合性、整体性原则

　　· 1.4可用性原则

　　· 1.5分步实施原则



　　目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想：

　　(1)大幅度地提高系统的安全性和保密性；

　　(2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；

　　(3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

　　(4)尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

　　(5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

　　(6)安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

　　基于上述思想，网络信息安全系统应遵循如下设计原则：

　　满足因特网的分级管理需求

　　根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

　　-- 第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

　　-- 第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

　　-- 第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

　　需求、风险、代价平衡的原则

　　对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

　　综合性、整体性原则

　　应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

　　可用性原则

　　安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。

　　分步实施原则：分级管理 分步实施

　　由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

　　二、 网络信息安全系统设计步骤

　　网络安全需求分析

　　确立合理的目标基线和安全策略

　　明确准备付出的代价

　　制定可行的技术方案

　　工程实施方案(产品的选购与定制)

　　制定配套的法规、条例和管理办法

　　本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。

　　三、 网络安全需求

　　确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：

　　· 局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现

　　· 在连接Internet时，如何在网络层实现安全性

　　· 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵

　　· 如何实现广域网信息传输的安全保密性

　　· 加密系统如何布置，包括建立证书管理中心、应用系统集成加密等

　　· 如何实现远程访问的安全性

　　· 如何评价网络系统的整体安全性
　　基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。

　　四、 网络安全层次及安全措施

　　4.1链路安全

　　4.2网络安全

　　4.3信息安全

　　网络的安全层次分为:链路安全、网络安全、信息安全

　　网络的安全层次及在相应层次上采取的安全措施见下表。

　　信息安全 信息传输安全(动态安全) 数据加密 数据完整性鉴别 安全管理

　　信息存储安全(静态安全) 数据库安全 终端安全

　　信息的防泄密 信息内容审计

　　用户 鉴别 授权(CA)

　　网络安全 访问控制(防火墙) 网络安全检测 入侵检测(监控) IPSEC(IP安全) 审计分析

　　链路安全 链路加密

　　4.1链路安全

　　链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如DDN直通专线用户就可以选择路由加密设备。

　　一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。

　　4.2网络安全

　　网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

　　目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

　　信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决60%-80%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。

　　信息系统的安全应该是一个动态的发展过程，应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

　　网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。

　　入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。

　　另外，使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与数据完整性机制。利用IP封装净载(IP ESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明，可以提供主机到主机的安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机，另外，有些防火墙也提供相同功能。

　　五、校园网网络安全解决方案

　　5.1 基本防护体系(包过滤防火墙+NAT+计费)

　　用户需求：全部或部分满足以下各项

　　· 解决内外网络边界安全，防止外部攻击，保护内部网络

　　· 解决内部网安全问题，隔离内部不同网段，建立VLAN

　　· 根据IP地址、协议类型、端口进行过滤

　　· 内外网络采用两套IP地址，需要网络地址转换NAT功能

　　· 支持安全服务器网络SSN

　　· 通过IP地址与MAC地址对应防止IP欺骗

　　· 基于IP地址计费

　　· 基于IP地址的流量统计与限制

　　· 基于IP地址的黑白名单。

　　· 防火墙运行在安全操作系统之上

　　· 防火墙为独立硬件

　　· 防火墙无IP地址

　　解决方案：采用网络卫士防火墙PL FW1000

　　5.2 标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)

　　用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项

　　· 提供应用代理服务，隔离内外网络

　　· 用户身份鉴别

　　· 权限控制

　　· 基于用户计费

　　· 基于用户的流量统计与控制

　　· 基于WEB的安全管理

　　· 支持VPN及其管理

　　· 支持透明接入

　　· 具有自身保护能力，防范对防火墙的常见攻击

　　解决方案：

　　(1)选用网络卫士防火墙 PL FW2000

　　(2)防火墙基本配置+网络加密机(IP协议加密机)

　　5.3 强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+ 监控)

　　用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项

　　· 网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)

　　· 操作系统安全性检测

　　· 网络监控与入侵检测