[font=Verdana]目標(biāo)：安全、隔離 公安專網(wǎng)可以通過(guò)計(jì)算機(jī)任意觀看到高速公路監(jiān)控網(wǎng)的每一幅圖像。 公安專網(wǎng)與高速公路監(jiān)控網(wǎng)之間的聯(lián)系必需是安全可靠的，做到完全的隔離。 [/font] [font=Verdana][b]產(chǎn)生背景 [/b] 主要有以下原因：安全性、低延遲、構(gòu)建簡(jiǎn)單性。下面對(duì)這幾點(diǎn)進(jìn)行詳細(xì)闡述。 [/font][font=Verdana]一、安全性[/font] [font=Verdana] 1.公安網(wǎng)架構(gòu)及現(xiàn)狀 公安信息網(wǎng)絡(luò)分層的多元化廣域網(wǎng)絡(luò)，與公安系統(tǒng)的組織結(jié)構(gòu)相對(duì)應(yīng)，公安部至省廳為一級(jí)網(wǎng)；省廳至所轄各設(shè)區(qū)市公安局的網(wǎng)絡(luò)為二級(jí)網(wǎng)；各設(shè)區(qū)市公安局至所轄分、縣級(jí)公安局的網(wǎng)絡(luò)為三級(jí)網(wǎng)；分、縣級(jí)公安局至公安基層科所隊(duì)為四級(jí)網(wǎng)（接入網(wǎng)）。每一層由同級(jí)公安相關(guān)部門局域網(wǎng)互聯(lián)形成公安本地城域網(wǎng)，同時(shí)各層還要完成與行業(yè)公安網(wǎng)絡(luò)、電子政務(wù)網(wǎng)絡(luò)、社會(huì)網(wǎng)絡(luò)等多種內(nèi)、外部網(wǎng)絡(luò)的不同程度的互聯(lián)互通。由于公安網(wǎng)絡(luò)必須保證絕對(duì)可靠的安全性和保密性，所以公安網(wǎng)絡(luò)的建設(shè)是一項(xiàng)非常復(fù)雜的工程，必須仔細(xì)規(guī)劃。 就當(dāng)今互聯(lián)網(wǎng)發(fā)展?fàn)顩r而言，隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得非常重要，這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔?，通過(guò)網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī)，獲取儲(chǔ)存在主機(jī)上的機(jī)密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用等。然而，網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。一般來(lái)說(shuō)，計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。 2. 網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù) [b] [/b] 計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲(chǔ)和傳輸安全。 網(wǎng)絡(luò)的安全主要來(lái)自黑客和病毒攻擊，各類攻擊給網(wǎng)絡(luò)造成的損失已越來(lái)越大了，有的損失對(duì)一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡(jiǎn)要介紹。 2.1常見的攻擊有以下幾類： 2.1.1 入侵系統(tǒng)攻擊 此類攻擊如果成功，將使你的系統(tǒng)上的資源被對(duì)方一覽無(wú)遺，對(duì)方可以直接控制你的機(jī)器。 2.1.2 緩沖區(qū)溢出攻擊 程序員在編程時(shí)會(huì)用到一些不進(jìn)行有效位檢查的函數(shù)，可能導(dǎo)致黑客利用自編寫程序來(lái)進(jìn)一步打開安全豁口然后以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取。 2.1.3 欺騙類攻擊 網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。 2.1.4 拒絕服務(wù)攻擊 通過(guò)網(wǎng)絡(luò)，也可使正在使用的計(jì)算機(jī)出現(xiàn)無(wú)響應(yīng)、死機(jī)的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡(jiǎn)稱DoS（Denial of Service）。分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，從而導(dǎo)致目標(biāo)癱瘓，簡(jiǎn)稱DDoS（Distributed Denial of Service）。 2.1.5 對(duì)防火墻的攻擊 防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷，對(duì)防火墻的攻擊方法也是多種多樣的，如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。 2.1.6 利用病毒攻擊 病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種，可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。 2.1.7 木馬程序攻擊 特洛伊木馬是一種直接由一個(gè)黑客，或是通過(guò)一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。 2.1.8 網(wǎng)絡(luò)偵聽 網(wǎng)絡(luò)偵聽為主機(jī)工作模式，主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅰＶ灰褂镁W(wǎng)絡(luò)監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號(hào)等有用的信息資料。[/font] [font=Verdana] 現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說(shuō)日新月異，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開放性、共享性、互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來(lái)越先進(jìn)，操作系統(tǒng)對(duì)本身漏洞的更新補(bǔ)救越來(lái)越及時(shí)?，F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個(gè)人越來(lái)越注意自己計(jì)算機(jī)的安全?？梢哉f(shuō)：只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。[/font] [font=Verdana] 網(wǎng)絡(luò)結(jié)構(gòu)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。 2.2 防御措施主要有以下幾種 2.2.1 防火墻 防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)。 2.2.2 虛擬專用網(wǎng) 2.2.3 虛擬局域網(wǎng) 2.2.4 漏洞檢測(cè) 2.2.5 入侵檢測(cè) 2.2.6 密碼保護(hù) 2.2.7 安全策略 3. 結(jié)論 [b] [/b] 總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。目前互聯(lián)網(wǎng)安全技術(shù)主要分為三類:傳輸加密、入侵檢測(cè)（主動(dòng)和被動(dòng)）、QoS。通常在一個(gè)健壯的網(wǎng)絡(luò)安全體系下，三者分工明確，又互相協(xié)作，已經(jīng)成為但當(dāng)代網(wǎng)絡(luò)安全技術(shù)的核心。 但是這樣的安全是用犧牲了很大一部分的網(wǎng)絡(luò)傳輸效率的代價(jià)換取的，即使這樣，隨著黑客攻擊的手段越來(lái)越隱蔽，病毒生及換代周期越來(lái)越短，使我們的網(wǎng)絡(luò)安全技術(shù)始終處于被動(dòng)地位，所謂治標(biāo)不治本。 歸根到底，網(wǎng)絡(luò)的一切弊病都是緣于我們的環(huán)聯(lián)網(wǎng)internet技術(shù)的設(shè)計(jì)缺陷造成的，我們當(dāng)今的互聯(lián)網(wǎng)的傳輸協(xié)議采用的tcp/ip協(xié)議，以上的攻擊技術(shù)其實(shí)歸根到底也都是根據(jù)此協(xié)議的漏洞而設(shè)計(jì)的。 因此，采用RS232串口及相關(guān)協(xié)議取代以太網(wǎng)傳輸，能從根本上隔離以上所有不安全因素，是根本的，有效的。 二、低延遲性 眾所周知，以太網(wǎng)因?yàn)槁酚蓞f(xié)議的和IP協(xié)議的先天性原因，延遲是以太網(wǎng)一直無(wú)法解決的問(wèn)題，而采用RS232串口及相關(guān)協(xié)議，這個(gè)問(wèn)題可以迎刃而解，因?yàn)镽S232協(xié)議采用的簡(jiǎn)單的硬件傳輸協(xié)議，其協(xié)議指令簡(jiǎn)單高效、作為簡(jiǎn)單的點(diǎn)對(duì)點(diǎn)跨網(wǎng)環(huán)境，傳輸控制指令，是最佳選擇。 三、簡(jiǎn)單性 采用RS232作為跨網(wǎng)的主要技術(shù)接口，可以施工聯(lián)網(wǎng)節(jié)約很多成本，因?yàn)槠渲灰獙⑦B接鏈路接通即可，不用作以太網(wǎng)那樣的煩瑣配置（路由配置、VLAN） 解決方案 兩個(gè)網(wǎng)絡(luò)里設(shè)立兩個(gè)獨(dú)立的CCS視頻服務(wù)器, 每臺(tái)服務(wù)器安裝兩個(gè)232串口。公安網(wǎng)的用戶首先登陸到本網(wǎng)的視頻服務(wù)器2。圖像控制、切換及報(bào)警信號(hào)全部通過(guò)232串口進(jìn)行交互通訊，決定監(jiān)控網(wǎng)的解碼器解前端哪一路的圖像，從而間接完成公安網(wǎng)的用戶可以實(shí)時(shí)瀏覽監(jiān)控網(wǎng)的每一幅圖像。 公安專網(wǎng)的圖像瀏覽，控制通過(guò)二次編解碼的方式。即網(wǎng)絡(luò)之間不是直接調(diào)用高速公路監(jiān)控網(wǎng)的數(shù)字視頻流，而是模擬視頻信號(hào)?？蛻艨稍诠簿W(wǎng)的任意一臺(tái)授權(quán)計(jì)算機(jī)上瀏覽所有圖像。 高速公路監(jiān)控網(wǎng)：攝像機(jī)→編碼器→交換機(jī)→解碼器→視頻光端機(jī)/T 公安網(wǎng)：視頻光端機(jī)/R→編碼器→交換機(jī)→視頻工作站 通過(guò)以上兩種方式，既可以達(dá)到兩網(wǎng)之間資源共享，同時(shí)又最大限度保證了網(wǎng)絡(luò)安全。 實(shí)現(xiàn)方式示意圖： 說(shuō)明： 構(gòu)架“背靠背”的CCS服務(wù)器，每臺(tái)服務(wù)器安裝兩個(gè)RS232串口，實(shí)現(xiàn)雙向交互透?jìng)鳌? 在視頻網(wǎng)內(nèi)獨(dú)立配置10路解碼輸出，作為公安專網(wǎng)的視頻源，通過(guò)“背靠背”CCS服務(wù)器，將其配置成一個(gè)可控，可切換，可輪訓(xùn)、報(bào)警上傳、DO聯(lián)動(dòng)的虛擬矩陣，并配置其相應(yīng)的用戶即可跨網(wǎng)實(shí)時(shí)切換調(diào)用視頻資源 10路解碼輸出通過(guò)視頻光端機(jī)，將視頻傳到公安專網(wǎng)的編碼器/電視墻上。 公安網(wǎng)內(nèi)部用戶，使用合法權(quán)限的用戶登錄到本地的CCS服務(wù)器，獲取到實(shí)時(shí)視頻資源，并可實(shí)時(shí)控制，實(shí)時(shí)接收?qǐng)?bào)警信號(hào)等聯(lián)動(dòng)信息，因?yàn)樗械目刂?，?bào)警信號(hào)都是通過(guò)兩臺(tái)“背靠背”CCS服務(wù)器的232串口時(shí)間，增加了安全性，也減少了傳輸延遲。 [/font]