首页 公司简介 企业新闻 产品展示 业务范围 工程案例 人才招聘 客户留言 联系我们 English
  凭借本公司雄厚的研发技术,常年供应工程外围设备,且可根据用户特殊要求订制研发其它产品,欢迎来人来函来电联系洽谈。联系人:王爱青 联系电话:025-52217423
 
  企业新闻
  技术解答

 
投影机
投影展台
投影幕布
周边设备
监控设备
网络设备
 
 技术解答

 校园网络监控
发布日期:[2011-11-13]   
我国正处在一个高速发展的历史时期,教育兴国是我国的一项基本国策,全社会都对教育事业投入了极大关注和巨大的人力物力,教育由原来的学分教育、知识教育向素质教育转变。这些都对教学工作提出了更高的要求,学校等教育业者采取了很多措施改进教学手段,其中,新兴电教设备的采用(如校园网)成为一个必不可少的部分。许多学校都建成了自己的校园网,但其利用潜力远未开发。校园网只用来做计算机课程的教具,而网络的根本特性如传播、复制、存储、共享等功能还未能充分运用。可以通过网络监控实施监看考场情况,杜绝考场舞弊现象的发生;对重要场所、重要通道监控录像,杜绝校园不文明现象的蔓延,给学校一个纯净的发展空间,提供一个良好的学术氛围。

  概述

  目前由研发的广角网络视频监控系统,是继模拟视频监控系统(CCTV)和数字视频监控系统(DVR)之后的最新形式,融合了视频编码技术、网络传输技术、数据库技术、流媒体技术和嵌入式技术的综合应用系统。在网络视频监控系统中,视/音频数据的采集、编码、解码、存储等环节都以数字形式实现。而视频流的传输则通过网络平台进行。整个系统的管理和配置等功能由视频监控管理平台软件实现。这种视频监控系统是一种全数字化、全网络化的系统,可以同现有的多媒体系统、控制系统和信息系统集成,方便地实现数据和信息的共享。同时在系统中可以很方便地实现报警、远程控制等功能。

  广角网络视频监控系统以广角软件为核心,结合嵌入式视频编码器和网络摄像机,实现了基于网络的点对点、点对多点、多点对多点的远程实时现场监视、远程遥控摄像机以及录像、报警等功能。广角网络视频监控系统支持多人同时监控(或多监控中心)、跨区域分级监控,可以实现多达几千个监控点的超大规模监控系统,还拥有高质量的视频图像、强大的用户管理功能、系统的兼容性、方便的可扩展性等众多优点,代表了最先进的网络视频监控系统。

  广角网络视频监控系统提出了全面全时跟踪教学活动的概念,利用计算机视频处理技术,为各位校长提供了辅助解决上述问题的技术手段。随着计算机多媒体技术的不断发展,计算机网络处理音频视频的能力越来越强,而软硬件价格越来越低。结合校园网,可以实现多媒体数据流在网络上的定向传输、广播传输、记录和检索等功能,这些技术特性在校园内有广阔的应用范围。充分利用这些技术手段,校方能够及时全面客观地了解学生、教师的活动,为组织教学、管理等工作带来极大便利。

  用户需求

  实现电子监考,杜绝考场舞弊现象

  对校园重点区域实现实时监控

  教务处可以通过监控了解课堂情况

  让远程教育、远程管理成为现实

  以最简单的方式提供高速图像传送

  让校园保安管理更具效益

  同时在互联网上设立多个监视平台

  系统功能

  实现远程监控、多监控中心、分级监控和分布式监控

  支持多达几千个视频编码器和网络摄像机

  全面兼容各种视频编解码协议:H.264、MPEG-4、MPEG-2、H.263、M-JPEG等

  在系统中同时兼容多厂商视频编码器和网络摄像机

  提供全屏、4、6、9、16多种画面实时显示

  支持多种云台、镜头控制协议

  支持摄像机的分组轮巡和预置位轮巡

  实现移动检测报警,可设定运动图像的变化区域和灵敏度

  报警管理实现组合报警触发和报警联动策略

  灵活的录像计划设置,包括定时录像、手动录像、触发录像和报警预录等

  支持现场图像抓拍功能

  提供两极密码保护、安全认证和水印技术,保证视频图像的传输安全

  采用先进的音频压缩技术,支持双向语音

  网络化分级电子地图

  具有与其它信息系统集成的开放接口

  用户的分组和权限管理,可设多个控制权限等级

  IP地址、端口、云台编码协议、视频编码格式、速率等参数在线设置

  可连接控制其它设备,如视频矩阵、画面分割器等

  支持OSD(On-Screen-Display)

  系统组成

  广角网络视频监控系统由监控前端、网络通信平台、管理服务器、监视系统组成。


广角网络视频监控系统是一套完全基于IP网络,采用Browser/Server结构设计的新一代综合安防监控系统,是目前国内较先进的远程视频监控系统。

  监控前端包括模拟摄像机、视频编码器、网络摄像机、报警输入/输出设备等。可以依据用户及环境的不同需求,另外加配护罩、雨刷、避雷器等。

  网络通信平台由路由器、交换机、无线网桥、防火墙、通信线路等设备组成。通信线路可以采用多种方式:双绞线、光纤、有线电缆、专线、帧中继、xDSL、无线局域网、卫星、微波、GPRS、CDMA等。

  管理服务器由监控管理软件、服务器硬件、存储服务器等组成。广角监控管理软件能够实现完整的监控管理功能,是广角网络视频监控系统的核心。基于拥有专利的流媒体分布式处理技术,能够在复杂网络环境中优化视频流的传输控制,提供大容量、高质量的网络视频传输和处理。广角监控管理软件可以跨服务器硬件部署并实现负责均衡,从而可以支持多达几千个监控点。

  监视系统由监控终端和显示系统组成。监控终端可采用普通的PC机,无需安装客户端软件,只要使用标准浏览器访问监控管理服务器。用户登录广角监控系统,根据管理的权限使用系统功能。对于中心监控室,通常会配置高性能的PC机作为监控工作站,并建立电视墙系统。

  系统特点

  与传统的闭路电视监控系统和数字视频监控系统相比,广角网络视频监控系统具有一些独特的优势:

  网络化监控

  通过计算机网络,真正做到任何时间、从任何地方、对任何现场都能实现监控;

  网络化存储

  系统可以实现本地、远程的录像存储及录像查询和回放;

  高可靠性

  系统所采用的视频编码器和网络摄像机均为整机嵌入式系统,是工业级设备,具备极高的可靠性,即插即用,无需专人管理,特别适合于无人值守的远程监控点;

  图像质量

  系统所采用的视频编码器和自适应高性能流媒体服务器设备,图像清晰度可达到Full D1(DVD)、实时性好;

  方便使用、操作管理简单

  无需安装客户端软件,直接通过WEB方式进行远程监控和远程管理,图形化界面;

  完整的监控管理功能

  系统为用户提供了灵活的监控画面选择, 电子地图使用,对云台、变焦的行控制,预置位和镜头的轮巡,以及实现图像抓拍、录像和录像回放、报警和报警联动功能;

  信息安全

  充分利用防火墙/VPN、加密、权限管理、安全认证、实时时钟等技术,保证监控系统和录像资料不被越权使用和破坏;

  有效利用带宽

  根据网络带宽视频流可自动调节,系统可以在现有的任何网络中完成各种监控功能;

  设备的分级、分组管理

  强大的分级、分组功能可将摄像机、视频编码器、报警设备等前端设备根据监控地点和管理需要编成不同区域和工作组,区域可以分级(分层)。每个工作组可分配数个前端设备,同一个前端设备可同时分配在不同的工作组中。缺省工作组为系统内所有监控点的列表;

  用户的分级、分组管理

  根据管理需要可将用户划分成不同级别,最上层是超级管理员。不同级别的管理员被赋予不同的权限。管理员可以创建用户,分配初始密码,也可以将用户划分为用户组进行管理。系统将控制权限分为多个等级,可根据需要灵活地分配给相应的用户和用户组;

  可扩展性

  增加网络摄像机、视频编码器和监控工作站非常简单,能够持续平滑升级和扩展,降低对系统的整体投资成本,和其他管理控制兼容。

校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。

  一、 网络信息安全系统设计原则

  · 1.1满足Internet分级管理需求

  · 1.2需求、风险、代价平衡的原则

  · 1.3综合性、整体性原则

  · 1.4可用性原则

  · 1.5分步实施原则



  目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:

  (1)大幅度地提高系统的安全性和保密性;

  (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;

  (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;

  (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;

  (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;

  (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。

  基于上述思想,网络信息安全系统应遵循如下设计原则:

  满足因特网的分级管理需求

  根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。

  -- 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。

  -- 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。

  -- 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。

  需求、风险、代价平衡的原则

  对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。

  综合性、整体性原则

  应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。

  可用性原则

  安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。

  分步实施原则:分级管理 分步实施

  由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。

  二、 网络信息安全系统设计步骤

  网络安全需求分析

  确立合理的目标基线和安全策略

  明确准备付出的代价

  制定可行的技术方案

  工程实施方案(产品的选购与定制)

  制定配套的法规、条例和管理办法

  本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。

  三、 网络安全需求

  确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:

  · 局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现

  · 在连接Internet时,如何在网络层实现安全性

  · 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵

  · 如何实现广域网信息传输的安全保密性

  · 加密系统如何布置,包括建立证书管理中心、应用系统集成加密等

  · 如何实现远程访问的安全性

  · 如何评价网络系统的整体安全性
  基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。

  四、 网络安全层次及安全措施

  4.1链路安全

  4.2网络安全

  4.3信息安全

  网络的安全层次分为:链路安全、网络安全、信息安全

  网络的安全层次及在相应层次上采取的安全措施见下表。

  信息安全 信息传输安全(动态安全) 数据加密 数据完整性鉴别 安全管理

  信息存储安全(静态安全) 数据库安全 终端安全

  信息的防泄密 信息内容审计

  用户 鉴别 授权(CA)

  网络安全 访问控制(防火墙) 网络安全检测 入侵检测(监控) IPSEC(IP安全) 审计分析

  链路安全 链路加密

  4.1链路安全

  链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。

  一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。

  4.2网络安全

  网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。

  目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

  信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。

  信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

  网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。

  入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。

  另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与数据完整性机制。利用IP封装净载(IP ESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。

  五、校园网网络安全解决方案

  5.1 基本防护体系(包过滤防火墙+NAT+计费)

  用户需求:全部或部分满足以下各项

  · 解决内外网络边界安全,防止外部攻击,保护内部网络

  · 解决内部网安全问题,隔离内部不同网段,建立VLAN

  · 根据IP地址、协议类型、端口进行过滤

  · 内外网络采用两套IP地址,需要网络地址转换NAT功能

  · 支持安全服务器网络SSN

  · 通过IP地址与MAC地址对应防止IP欺骗

  · 基于IP地址计费

  · 基于IP地址的流量统计与限制

  · 基于IP地址的黑白名单。

  · 防火墙运行在安全操作系统之上

  · 防火墙为独立硬件

  · 防火墙无IP地址

  解决方案:采用网络卫士防火墙PL FW1000

  5.2 标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)

  用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项

  · 提供应用代理服务,隔离内外网络

  · 用户身份鉴别

  · 权限控制

  · 基于用户计费

  · 基于用户的流量统计与控制

  · 基于WEB的安全管理

  · 支持VPN及其管理

  · 支持透明接入

  · 具有自身保护能力,防范对防火墙的常见攻击

  解决方案:

  (1)选用网络卫士防火墙 PL FW2000

  (2)防火墙基本配置+网络加密机(IP协议加密机)

  5.3 强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+ 监控)

  用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项

  · 网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)

  · 操作系统安全性检测

  · 网络监控与入侵检测

 
【 字体: 】【打印此页】 【返回】【顶部】【关闭


Copyright(C)2001-2013 南京东亮科技有限公司 www.dlkj.com 苏ICP备14007429号
地址:南京市中华路420号(江苏省高新技术创业中心)E-mail:duanjitu@163.com
电话:(025)52217423 52203166 52210394传真:(025)52201575 邮编:210006