[font=Verdana]目標：安全、隔離 公安專網(wǎng)可以通過計算機任意觀看到高速公路監(jiān)控網(wǎng)的每一幅圖像。 公安專網(wǎng)與高速公路監(jiān)控網(wǎng)之間的聯(lián)系必需是安全可靠的，做到完全的隔離。 [/font] [font=Verdana][b]產(chǎn)生背景 [/b] 主要有以下原因：安全性、低延遲、構(gòu)建簡單性。下面對這幾點進行詳細闡述。 [/font][font=Verdana]一、安全性[/font] [font=Verdana] 1.公安網(wǎng)架構(gòu)及現(xiàn)狀 公安信息網(wǎng)絡(luò)分層的多元化廣域網(wǎng)絡(luò)，與公安系統(tǒng)的組織結(jié)構(gòu)相對應(yīng)，公安部至省廳為一級網(wǎng)；省廳至所轄各設(shè)區(qū)市公安局的網(wǎng)絡(luò)為二級網(wǎng)；各設(shè)區(qū)市公安局至所轄分、縣級公安局的網(wǎng)絡(luò)為三級網(wǎng)；分、縣級公安局至公安基層科所隊為四級網(wǎng)（接入網(wǎng)）。每一層由同級公安相關(guān)部門局域網(wǎng)互聯(lián)形成公安本地城域網(wǎng)，同時各層還要完成與行業(yè)公安網(wǎng)絡(luò)、電子政務(wù)網(wǎng)絡(luò)、社會網(wǎng)絡(luò)等多種內(nèi)、外部網(wǎng)絡(luò)的不同程度的互聯(lián)互通。由于公安網(wǎng)絡(luò)必須保證絕對可靠的安全性和保密性，所以公安網(wǎng)絡(luò)的建設(shè)是一項非常復雜的工程，必須仔細規(guī)劃。 就當今互聯(lián)網(wǎng)發(fā)展狀況而言，隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得非常重要，這是因為懷有惡意的攻擊者竊取、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡(luò)非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用等。然而，網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。一般來說，計算機系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。 2. 網(wǎng)絡(luò)攻擊及其防護技術(shù) [b] [/b] 計算機網(wǎng)絡(luò)安全是指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡(luò)連續(xù)可靠的運行。網(wǎng)絡(luò)安全其實就是網(wǎng)絡(luò)上的信息存儲和傳輸安全。 網(wǎng)絡(luò)的安全主要來自黑客和病毒攻擊，各類攻擊給網(wǎng)絡(luò)造成的損失已越來越大了，有的損失對一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡要介紹。 2.1常見的攻擊有以下幾類： 2.1.1 入侵系統(tǒng)攻擊 此類攻擊如果成功，將使你的系統(tǒng)上的資源被對方一覽無遺，對方可以直接控制你的機器。 2.1.2 緩沖區(qū)溢出攻擊 程序員在編程時會用到一些不進行有效位檢查的函數(shù)，可能導致黑客利用自編寫程序來進一步打開安全豁口然后以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會被奪取。 2.1.3 欺騙類攻擊 網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對網(wǎng)絡(luò)進行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。 2.1.4 拒絕服務(wù)攻擊 通過網(wǎng)絡(luò)，也可使正在使用的計算機出現(xiàn)無響應(yīng)、死機的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡稱DoS（Denial of Service）。分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機同時攻擊一個目標，從而導致目標癱瘓，簡稱DDoS（Distributed Denial of Service）。 2.1.5 對防火墻的攻擊 防火墻也是由軟件和硬件組成的，在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術(shù)、認證的攻擊技術(shù)等。 2.1.6 利用病毒攻擊 病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過網(wǎng)絡(luò)進行傳播的病毒已有數(shù)萬種，可通過注入技術(shù)進行破壞和攻擊。 2.1.7 木馬程序攻擊 特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。 2.1.8 網(wǎng)絡(luò)偵聽 網(wǎng)絡(luò)偵聽為主機工作模式，主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。[/font] [font=Verdana] 現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說日新月異，隨著計算機網(wǎng)絡(luò)的發(fā)展，其開放性、共享性、互連程度擴大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。計算機和網(wǎng)絡(luò)安全技術(shù)正變得越來越先進，操作系統(tǒng)對本身漏洞的更新補救越來越及時?，F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個人越來越注意自己計算機的安全?？梢哉f：只要有計算機和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。[/font] [font=Verdana] 網(wǎng)絡(luò)結(jié)構(gòu)分析在系統(tǒng)可行性分析階段就應(yīng)進行了。因為在這階段實現(xiàn)安全控制要遠比在網(wǎng)絡(luò)系統(tǒng)運行后采取同樣的控制要節(jié)約的多。 2.2 防御措施主要有以下幾種 2.2.1 防火墻 防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。 2.2.2 虛擬專用網(wǎng) 2.2.3 虛擬局域網(wǎng) 2.2.4 漏洞檢測 2.2.5 入侵檢測 2.2.6 密碼保護 2.2.7 安全策略 3. 結(jié)論 [b] [/b] 總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。目前互聯(lián)網(wǎng)安全技術(shù)主要分為三類:傳輸加密、入侵檢測（主動和被動）、QoS。通常在一個健壯的網(wǎng)絡(luò)安全體系下，三者分工明確，又互相協(xié)作，已經(jīng)成為但當代網(wǎng)絡(luò)安全技術(shù)的核心。 但是這樣的安全是用犧牲了很大一部分的網(wǎng)絡(luò)傳輸效率的代價換取的，即使這樣，隨著黑客攻擊的手段越來越隱蔽，病毒生及換代周期越來越短，使我們的網(wǎng)絡(luò)安全技術(shù)始終處于被動地位，所謂治標不治本。 歸根到底，網(wǎng)絡(luò)的一切弊病都是緣于我們的環(huán)聯(lián)網(wǎng)internet技術(shù)的設(shè)計缺陷造成的，我們當今的互聯(lián)網(wǎng)的傳輸協(xié)議采用的tcp/ip協(xié)議，以上的攻擊技術(shù)其實歸根到底也都是根據(jù)此協(xié)議的漏洞而設(shè)計的。 因此，采用RS232串口及相關(guān)協(xié)議取代以太網(wǎng)傳輸，能從根本上隔離以上所有不安全因素，是根本的，有效的。 二、低延遲性 眾所周知，以太網(wǎng)因為路由協(xié)議的和IP協(xié)議的先天性原因，延遲是以太網(wǎng)一直無法解決的問題，而采用RS232串口及相關(guān)協(xié)議，這個問題可以迎刃而解，因為RS232協(xié)議采用的簡單的硬件傳輸協(xié)議，其協(xié)議指令簡單高效、作為簡單的點對點跨網(wǎng)環(huán)境，傳輸控制指令，是最佳選擇。 三、簡單性 采用RS232作為跨網(wǎng)的主要技術(shù)接口，可以施工聯(lián)網(wǎng)節(jié)約很多成本，因為其只要將連接鏈路接通即可，不用作以太網(wǎng)那樣的煩瑣配置（路由配置、VLAN） 解決方案 兩個網(wǎng)絡(luò)里設(shè)立兩個獨立的CCS視頻服務(wù)器, 每臺服務(wù)器安裝兩個232串口。公安網(wǎng)的用戶首先登陸到本網(wǎng)的視頻服務(wù)器2。圖像控制、切換及報警信號全部通過232串口進行交互通訊，決定監(jiān)控網(wǎng)的解碼器解前端哪一路的圖像，從而間接完成公安網(wǎng)的用戶可以實時瀏覽監(jiān)控網(wǎng)的每一幅圖像。 公安專網(wǎng)的圖像瀏覽，控制通過二次編解碼的方式。即網(wǎng)絡(luò)之間不是直接調(diào)用高速公路監(jiān)控網(wǎng)的數(shù)字視頻流，而是模擬視頻信號。客戶可在公安網(wǎng)的任意一臺授權(quán)計算機上瀏覽所有圖像。 高速公路監(jiān)控網(wǎng)：攝像機→編碼器→交換機→解碼器→視頻光端機/T 公安網(wǎng)：視頻光端機/R→編碼器→交換機→視頻工作站 通過以上兩種方式，既可以達到兩網(wǎng)之間資源共享，同時又最大限度保證了網(wǎng)絡(luò)安全。 實現(xiàn)方式示意圖： 說明： 構(gòu)架“背靠背”的CCS服務(wù)器，每臺服務(wù)器安裝兩個RS232串口，實現(xiàn)雙向交互透傳。 在視頻網(wǎng)內(nèi)獨立配置10路解碼輸出，作為公安專網(wǎng)的視頻源，通過“背靠背”CCS服務(wù)器，將其配置成一個可控，可切換，可輪訓、報警上傳、DO聯(lián)動的虛擬矩陣，并配置其相應(yīng)的用戶即可跨網(wǎng)實時切換調(diào)用視頻資源 10路解碼輸出通過視頻光端機，將視頻傳到公安專網(wǎng)的編碼器/電視墻上。 公安網(wǎng)內(nèi)部用戶，使用合法權(quán)限的用戶登錄到本地的CCS服務(wù)器，獲取到實時視頻資源，并可實時控制，實時接收報警信號等聯(lián)動信息，因為所有的控制，報警信號都是通過兩臺“背靠背”CCS服務(wù)器的232串口時間，增加了安全性，也減少了傳輸延遲。 [/font]