【導(dǎo)讀】人與個人之間的現(xiàn)實要求和重要通信手段，并快速進入人們的工作和生活。樣方便地召開遠程視頻會議。同時根據(jù)具體的功能要求，分別提供防火墻、路由器、錄播系統(tǒng)等附屬設(shè)備，充分的滿足貴州移動視頻在線視頻會議平臺的各項技術(shù)和業(yè)務(wù)的需求?？p連接，包括統(tǒng)一通訊系統(tǒng)、移動終端、桌面PC、語音電話。議系統(tǒng)的對接，包括兼容現(xiàn)有的主流高標清視頻會議終端。性，確保系統(tǒng)的穩(wěn)定運行。系統(tǒng)應(yīng)支持MCU1＋1備份功能，當主用MCU發(fā)生故障，會議可。自動調(diào)度到備用MCU上，調(diào)度過程不需要人為干預(yù)，保障會議的正常召開。整個MCU承載在高可靠的網(wǎng)絡(luò)通信平臺上，在保證鏈路帶寬的同時，應(yīng)可提供鏈路熱備份。系統(tǒng)應(yīng)增加防火墻等設(shè)備并充分考慮安全措施以充分保障視訊交換系統(tǒng)的安全性。的判斷，會議建立自動尋找物理位置最近的MCU召集會議。MCU池支持完善的防雷機制和國家對電磁兼容性的要求。并提供三方的認證計費和營帳接口。

　　

【正文】 訊和服務(wù) 該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞。如 Ping 炸彈可使一臺主機宕機、無需口令通過 Rlogin 以 root身份登錄到一臺主機等，都是利用了 TCP/IP 協(xié)議本身的漏洞。 層次二：操作系統(tǒng) 這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運行各種 UNIX 的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來的威脅。 層次三：應(yīng)用程序 該層次的安全威脅來自防火墻的配置、 Web 站點、 各種 服務(wù)及對數(shù)據(jù)庫的保護。 我 們需要綜合以上三個層次的情況，配合檢測、監(jiān)控、響應(yīng)等環(huán)節(jié)，提供完整的可適應(yīng)安全管理體系。 1 本方案根據(jù) 系統(tǒng) 安全需求，制定完善的網(wǎng)絡(luò)安全解決方案 。 為確保系統(tǒng)的高安全性和高可靠性，在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理 5 個層次，保護、攻擊層次M o d e mA c c e ssR o u t e rC o mmsT h e W o rl dT h e W o rl d 通訊 amp。 服務(wù)層 TC P / IP IPX Et he rne t F DDI R out e r C onfigura t i ons Hubs/ S wi t c he s第一層操作系統(tǒng)層 UNI X MVS W i ndows 95 OS/ 2 W i ndows NT DOS Ma c i nt osh VMS第二層應(yīng)用程序?qū)?Da t a ba s e s W e b S e rv e r I nt e rne t B rows e r Ma i nt e na nc e Of fic e Aut om a t i on第三層 37 / 74 檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理規(guī)章制度建立可靠有效的信息安全保障體系，保證安全的互聯(lián)互通和信息共享。 建設(shè)目標和原則 安全 系統(tǒng)的建設(shè) 目標是根據(jù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對可能存在的安全漏洞和安全需求，在不同層次上提出安全級別要求，并提出相應(yīng)的解決方案，制定相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進的技術(shù)實施安全工程，加強安全管理，保證系統(tǒng)的安全性。 本系統(tǒng)安全設(shè)計應(yīng)遵循以下設(shè)計原則： 標準化原則：方案設(shè)計以及產(chǎn)品選擇將依據(jù)國內(nèi)或國際的相關(guān)標準進行。 管理和技術(shù)相結(jié)合原則：管理規(guī)范的目標之一是保障技術(shù)措施的有效實施，安全管理機構(gòu)、崗位人員的設(shè)置應(yīng)該充分考慮各種安全技術(shù)措施的需要。 可控化原則：采取的技術(shù)手段需要達到安全可控的 目的，技術(shù)解決方案涉及的工程實施應(yīng)具有可控性。 最小影響原則：安全建設(shè)將本著對現(xiàn)有業(yè)務(wù)系統(tǒng)影響最小化考慮，盡量不影響現(xiàn)有業(yè)務(wù)的正常使用。 被動防御和主動檢測相結(jié)合原則：安全建設(shè)將從被動防御和主動檢測兩個方面考慮，不但要考慮防火墻等被動防御技術(shù)，還要充分考慮入侵檢測等主動檢測技術(shù)。 全局化原則：信息安全體系建設(shè)是一個復(fù)雜的系統(tǒng)工程，安全管理規(guī)范不僅涉及管理組織結(jié)構(gòu)和被管資產(chǎn)，還涉及環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、業(yè)務(wù)等各層次的安全技術(shù)措施的管理，以及對人員的教育與培訓(xùn)、安全機制的審計與驗證等各個環(huán)節(jié)，任何一個環(huán)節(jié)的失誤都可能導(dǎo)致整個信息安全體系的崩潰。 動態(tài)原則：安全管理規(guī)范是一個動態(tài)發(fā)展變化的過程，隨著業(yè)務(wù)的擴展、模式的轉(zhuǎn)變、以及網(wǎng)絡(luò)安全相關(guān)技術(shù)的發(fā)展，安全管理規(guī)范也需要動態(tài)的調(diào)整、加強、與完善。 安全策略 貴州移動視頻會議系統(tǒng) 的安全策略體系結(jié)構(gòu)如下圖所示： 38 / 74 圖：安全策略體系結(jié)構(gòu)圖 根據(jù)如上的安全策略體系結(jié)構(gòu)，按照“網(wǎng)絡(luò)隔離、分域防護、多層保護、安全管理”的原則建設(shè)安全保障體系。安全保障體系的詳細內(nèi)容如下表所描述：在物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用以及安全管理每個層面上，均設(shè)置了各自的安全目標和防護對象；針對各層次的可能的安全威脅，在保護、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié)列舉了可以采納的安全措施。 安全管理 39 / 74 安全措施 結(jié)合 貴州移動視頻會議系統(tǒng) 的安全策略，安全措施的采取主要從以下幾個方面入手： ? 物理安全 物理安全設(shè)計的目的是保障網(wǎng)絡(luò)硬件設(shè)備的安全，阻止盜竊和非 法闖入，防止電磁輻射等等。物理安全是系統(tǒng)正常運行的基本前提。物理安全設(shè)計要遵從國家有關(guān)法規(guī)、標準和規(guī)定，針對本項目，物理安全設(shè)計主要從基礎(chǔ)設(shè)施的安全設(shè)計、系統(tǒng)的備份和恢復(fù)、不同安全域網(wǎng)絡(luò)的信息安全交換等三個方面考慮。 ? 基礎(chǔ)設(shè)施的安全設(shè)計 在 貴州移動視頻會議系統(tǒng) 中，基礎(chǔ)設(shè)施（包括場地和線路）的設(shè)計安裝需有意識地把安全因素考慮在其中。 首先應(yīng)滿足以下基本要求： ? 計 算機場地環(huán)境應(yīng)符合 GB288789《計算機場地技術(shù)要求》和 GB936188《計算機場地安全要求》的規(guī)定。 ? 計算機局域網(wǎng)的安全要求應(yīng)符合 GB494390《信息技術(shù)設(shè)備（包括電氣事物設(shè)備）的安全》的規(guī)定。 ? 局域網(wǎng)網(wǎng)線電纜不明布、不走空中高架，防范人為因素造成的物理損壞。 ? 機房內(nèi)安裝紅外聲光報警裝置，保證非上班時間內(nèi)的實時監(jiān)測。在機房內(nèi)外重點部位安裝電視監(jiān)視系統(tǒng)，記錄機房的使用情況，以供事后查詢。 ? 機房和內(nèi)部重要房間增加智能門鎖，只有持有合法身份認證卡的人員才能進入相應(yīng)房間。 ? 密碼設(shè)備必須按照有關(guān)規(guī)定安裝與管理。 ? 重要的網(wǎng)絡(luò)設(shè)備和主機采用電磁屏蔽措施（如采用屏蔽機柜），使用屏蔽網(wǎng)線電纜，解決電磁泄漏問題。 ? 系統(tǒng)的備份和恢復(fù) 為了防止意外的自然災(zāi)害（火災(zāi)、地震等）或人為破壞，并保證系統(tǒng)發(fā)生故障后的技術(shù)支持，需對信息系統(tǒng)中的數(shù)據(jù)進行備份，重要的設(shè)備、通信線路、軟件和文檔資料也應(yīng)保持適度的冗余。為提高設(shè)備的可靠性，對關(guān)鍵部件采取雙備份，如雙總線、雙電源、雙風(fēng)扇、雙路由處理器、雙核心交換機等。網(wǎng)絡(luò)設(shè)計上充分考慮冗余連接和備份路由，業(yè)務(wù)容量的及 40 / 74 時調(diào)度和配置，盡量選用具有自愈功能的鏈路以提高網(wǎng)絡(luò)的可靠性和可用性。 從數(shù)據(jù)的安全性考慮，需要建立電信級的數(shù)據(jù)災(zāi)備機制，負責(zé)數(shù)據(jù)資源的安全、完整和有效利用，在系統(tǒng)數(shù)據(jù)遭到災(zāi)難性破壞時，及時進行恢復(fù) 或啟動本中心備份系統(tǒng)，確保信息系統(tǒng)正常運行。 網(wǎng)絡(luò)和系統(tǒng)安全 網(wǎng)絡(luò)級安全設(shè)計的目的是構(gòu)建一個安全的網(wǎng)絡(luò)傳輸平臺，防止從網(wǎng)絡(luò)傳輸平臺引入的攻擊和破壞造成的安全威脅，保證網(wǎng)絡(luò)路由正確，保證網(wǎng)絡(luò)只給被授權(quán)的客戶使用經(jīng)授權(quán)的服務(wù)。網(wǎng)絡(luò)和系統(tǒng)安全設(shè)計主要包括入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防火墻系統(tǒng)、防病毒系統(tǒng)、安全審計系統(tǒng)、其他安全防范措施（包括網(wǎng)絡(luò)流量檢測分析、防 DDOS 攻擊等）。我們本次重點考慮防火墻系統(tǒng)，其它安全系統(tǒng)在后續(xù)工程中進行完善。 防火墻系統(tǒng) 防火墻的主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則 ，可在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。防火墻系統(tǒng)的根本設(shè)計思想是網(wǎng)絡(luò)的出入信息必須經(jīng)由防火墻的控制，不能存在旁路的非法通道。 防火墻系統(tǒng)具體功能包括： （ 1） 網(wǎng)絡(luò)訪問控制：防火墻系統(tǒng)能夠根據(jù)設(shè)定的網(wǎng)絡(luò)訪問控制策略及安全規(guī)則，對穿越防火墻的網(wǎng)絡(luò)通訊進行控制，阻止對內(nèi)部網(wǎng)絡(luò)系統(tǒng)和資源的非授權(quán)訪問，保護局域網(wǎng)絡(luò)系統(tǒng)及資源免受外部網(wǎng)絡(luò)的攻擊，保障基礎(chǔ)庫系統(tǒng)安全、穩(wěn)定的運行。 （ 2）屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)：防火墻系統(tǒng)通過屏蔽、映射等方式，如：網(wǎng)絡(luò)地址翻譯（ NAT）等，防止外部網(wǎng)絡(luò)的系統(tǒng)非法探察局域網(wǎng)絡(luò)結(jié)構(gòu)，保護 內(nèi)部網(wǎng)絡(luò)重要的服務(wù)器及系統(tǒng)免受外部網(wǎng)絡(luò)的攻擊。 （ 3）網(wǎng)絡(luò)訪問審計：防火墻系統(tǒng)作為局域網(wǎng)絡(luò)系統(tǒng)的入口通道，可以對網(wǎng)絡(luò)的訪問進行網(wǎng)絡(luò)安全審計。 （ 4）支持虛擬專網(wǎng)：防火墻系統(tǒng)是網(wǎng)絡(luò)的入口通道，為保障基礎(chǔ)庫系統(tǒng)正常、穩(wěn)定的運行，防火墻系統(tǒng)不影響已授權(quán)訪問的正常進行。外邊網(wǎng)絡(luò)通過虛擬專網(wǎng)進行連接，防火墻系統(tǒng)能夠不影響通過虛擬專網(wǎng)加密通道傳遞的網(wǎng)絡(luò)通訊。 應(yīng)用安全 41 / 74 應(yīng)用安全設(shè)計的主要目標是保障信息及其服務(wù)的保密性、完整性、可用性、真實性、可核查性和可靠性， 貴州移動視頻會議系統(tǒng) 基于安全平臺提供的身份認證、角色管理和權(quán)限控制建立應(yīng)用安全體系。 安全平臺是為建立安全的應(yīng)用提供信息保密性、完整性、可用性、真實性、可審查性和可靠性等綜合的安全服務(wù)。 ? 設(shè)備安全訪問機制 系統(tǒng)設(shè)備可以設(shè)置訪問控制列表，通過配置，只允許可信的 PC 對設(shè)備進行訪問和控制。 設(shè)備也提供訪問方式的限制，如可以禁止通過 Tel、 SNMP 或 WEB 的訪問方式，保障系統(tǒng)的安全。 ? 會議安全管理機制 本系統(tǒng)所有管理界面均進行密碼分級設(shè)計，主要分為如下的級別： 系統(tǒng)管理員：可以訪問所有的設(shè)備和修改系統(tǒng)、會議配置； 會議操作員：能夠?qū)λ袝h進行操作，如建立、控制會議、刪除會議等； 會議主席：只能在得到授權(quán)以后對當前會議進行控制，如切換分屏、靜音、鎖定會議等等； 普通用戶：該級別用戶只能查看會議的基本信息，無修改和操作權(quán)限； ? 會議通訊安全管理機制 本系統(tǒng)提供在會議過程中對會議通訊碼流進行 AES/DES 的加密機制，適用于有保密要求的重要會議。 系統(tǒng)也提供對加入會議的成員實行密碼驗證，只有當參會者輸入正確的密碼后才能夠順利的加入到會議中，否則將被強行斷開。 定制開發(fā)接口 Radvision 全球 4 大研發(fā)基地，分別為中國、美國、意大利、以色列。其中中國研發(fā)基地位于中國首都北京，專為具有中國特色的會議模式進行會議平臺管理以及使用模式進行核心開發(fā)，并且可針對用戶在各領(lǐng)域和環(huán)境下實現(xiàn)不同功能的要求進行評估并定制開發(fā)。 本次項目中我方向貴州移動所提供的設(shè)備中，可針對貴州移動的實際需求進行一些的定制和開發(fā)，滿足貴州移動在實際運用中的習(xí)慣。 42 / 74 設(shè)備對外接口、通信協(xié)議 ITUT協(xié)議 ITUT ：基于分組網(wǎng)絡(luò)的多媒體通信系統(tǒng)呼叫信令與媒體流傳輸協(xié)議 ITUT ：用于 2Mbit/s以下數(shù)字信道的視聽系統(tǒng)多點控制單元 ITUT ：數(shù)字視頻系統(tǒng)利用單一視頻連接傳輸附加視頻應(yīng)用的雙流標準 ITUT ：關(guān)于建立使用 2Mbit/s以下數(shù)字信道的視聽終端間的通信系統(tǒng) ITUT ：利用 2Mbit/s信道在 2～ 3個以上的視聽終端建立通信的方法 ITUT ：多媒體通信控制協(xié)議 ITUT ：支持 H系列協(xié)議的多媒體終端之間的交互 ITUT ：關(guān)于 P X 64Kbit/s視聽業(yè)務(wù)的視頻編解碼器 ITUT ：關(guān)于低碼率通信的視頻編解碼 ITUT Annex W：關(guān)于低碼率通信的 50/60場視頻編解碼標準 ITUT ：關(guān)于低碼率通信的高效率視頻編解碼 ITUT ：在視頻會議中應(yīng)用 （ FECC）規(guī)程 ITUT ：遠端設(shè)備控制邏輯通道傳輸 ITUT ：多媒體應(yīng)用的遠端設(shè)備控制協(xié)議 ITUT ：窄帶電視電話系統(tǒng)和終端設(shè)備 ITUT ：基于 IP包交換網(wǎng)絡(luò)中多媒體業(yè)務(wù)的框架協(xié)議 ITUT 關(guān)于視頻會議系統(tǒng)單向接收的通訊規(guī)程 ITUT ：在視頻會議中多媒體鏈路高級加密規(guī)程 ITUT ANNEX Q：在視頻會議中遠端攝像機控制（ FECC）規(guī)程 ITU－ T 數(shù)字系列接口的物理 /電氣特性 ITU－ T 用于一次群和二次群等級的同步幀結(jié)構(gòu) ITU－ T 話音頻率的 PCM脈沖編碼調(diào)制 ITU－ T 語音雙速率編解碼標準 ITU－ T 自適應(yīng)差分脈沖編碼調(diào)制（ APPCM）的語音編碼標準 ITU－ T 用 24或 32kbps傳輸 7Khz的聲音 ITU－ T 低時延碼本激勵線性預(yù)測編碼 43 / 74 系統(tǒng)穩(wěn)定性、可靠性保證措施 本方案提供完善的安全保障措施，確保項目單位視頻會議系統(tǒng)全網(wǎng)的高安全性。 視頻會議終端 SCOPIA Elite MCU、 SCOPIA XT 終端 都支持以下的 穩(wěn)定性、可靠性 解決方案。 Scopia management 系統(tǒng)安全管理設(shè)計 RADVISION Scopia management網(wǎng)管系統(tǒng)使 多功能視頻會議最佳綜合集中管理平臺 ， 遵循著RADVISION的發(fā)展軌跡，是管理多媒體視頻會議系統(tǒng)最理想的選擇 。 系統(tǒng)應(yīng)具有多重的安全管理機制： ? 用戶權(quán)限控制 用戶實行多級授權(quán)管理，不同級別的管理員可以實現(xiàn)不同的管理功能。 ? 系統(tǒng)訪問范圍控制 在用戶進入允許使用的某項平臺功能后，系統(tǒng)對不同用戶根據(jù)其所屬的機構(gòu)進行訪問范 圍的控制。 ? 用戶安全認證 對用戶登錄平臺的合法身份進行嚴格識別。所有的操作都在認證之后方可進