【正文】 00數據庫服務器，涉及到大量數據庫的寫入，對于內存資源消耗較大，主要考慮內存資源占用。內存X計算方法：X≈記錄A*記錄占用空間B內存每60分鐘寫入硬盤帶入本項目要求，每30分鐘產生的記錄應為A≈固定產生記錄M（最大記錄數）+N（每秒生成數x600s）。其中固定產生記錄：M≈（CUS+User+PUS+NUS+Syn+ST）最大記錄數=1000+1000+200+100+100=1400條N≈（EventLOG+UserOperationLog）x3600s=120x3600=43200A≈M+N=44600B：每條記錄占用空間約為2K需要的內存X=A*B/1024 MB≈87MB按照數據緩沖占數據庫服務器整個內存的60%進行計算可得：7136MB/≈145MB按照數據庫服務器內存占系統(tǒng)物理內存的20%進行計算可得11900/≈725MB故數據庫預計占用800M左右內存磁盤容量Y計算方法磁盤容量=每小時產生內存x存儲時間考慮到數據庫中數據需要長期存放，我們假設存儲6個月，則服務器磁盤容量Y=87*24*180/1024GB=367GB根據磁盤冗余要求，以70%計算磁盤總空間應為367G/=524GB本期賣方提供的一類服務器完全滿足要求。結論：核心服務器兩臺，本期賣方提供兩臺一類機架式服務器作為核心服務器. 接入服務器n iCVS的每個設備接入服務支持1K設備的接入，單臺設備接入服務器可以運行多個設備接入網元，每個設備接入網元需要分配獨立的服務端口；n 設備接入服務主要實現設備接入的常連接保持、認證鑒權、命令轉發(fā)或不同協議的適配等，關鍵資源是內存和CPU核數；n 平均每臺設備/，每運行一個設備接入網元需500M內存，建議每1個設備接入網元配置一個CPU核；n 160個峰值在線用戶，1個用戶接入服務器可以滿足要求n 834個在線終端，1個設備接入服務器可以滿足要求結論：接入服務器兩臺，本期賣方提供兩臺二類服務器作為系統(tǒng)接入服務器. 媒體分發(fā)單元VTDUn 視頻分發(fā)對CPU和內存資源的消耗相對較小，關鍵資源是服務器的網絡吞吐能力；n 4個KM網口下，以每個600Mbps計算，即2400Mbps，即每臺4HBA服務器最高支持2400Mbps流轉發(fā)；n 每臺車分別有兩路高清視頻和標清視頻，碼流峰值為（3Mbps*2+*2）共計9Mbps，故每臺服務器最高支持266臺車載硬盤錄像機同時分發(fā)n 其中用戶直接觀看的視頻，其效果直接影響到辦案及督檢，我們以單獨一臺服務器進行并發(fā)。n 本項目共計375臺車載硬盤錄像機，需兩臺服務器作為存儲并發(fā)。結論：媒體分發(fā)服務器三臺，本期賣方提供三臺三類服務器作為系統(tǒng)媒體分發(fā)服務器. 云存儲服務CSS1）在本系統(tǒng)中：n 新增車載硬盤錄像機375臺，其中每臺兩路高清視頻和標清視頻；新增單兵便攜設備5臺，其中每臺一路高清視頻，一路標清視頻；n 高清720P每路3Mbps碼流計算，；n 每臺車載硬盤錄像機每天24小時不間斷存儲需要的空間為[（3Mbps*2+*2）*3600s/h*24h]/(8b/B*1024)=93GB=n 每臺單兵便攜設備每天24小時不間斷存儲需要的空間為[（3Mbps+）*3600s/h*24h]/(8b/B*1024)==2）在本系統(tǒng)，我們提供42TB的磁盤陣列，該磁盤陣列最高支持20x2TB錄像存儲空間考慮到需要做RAID，至少需要RAID盤：1塊考慮到為了提供存儲系統(tǒng)的安全性，需要提供熱備盤:1塊考慮到磁盤格式化的利用空間：90%故實際可利用空間為18*2*90%=3）存儲建議100臺車載硬盤錄像機24小時不間斷存儲，按照上述計算方法，考慮到車載硬盤錄像機已有硬盤存儲，故建議后臺磁盤陣列采用按需存儲模式(有需要才存儲)！. UTM及交換機UTM和交換機一方面需要發(fā)揮其安全網關作用，確保系統(tǒng)不會被有害信息入侵，同時需要考慮到流量問題本項目中，在后期共計有100路并發(fā)視頻，即300Mbps轉發(fā)流量本次賣方提供的UTM及交換機性能完全滿足要求. 硬件部署總圖通過上述計算方法，在本系統(tǒng)中，硬件部署方案如下圖：. 系統(tǒng)安全保障方案. 系統(tǒng)可靠性. 雙機熱備雙機熱備是系統(tǒng)中兩臺設備的高可用性備份方案。按工作中的切換方式分為主備方式（ActiveStandby方式）和雙主機方式（ActiveActive方式），主備方式指的是一臺設備處于某種業(yè)務的激活狀態(tài)（即Active狀態(tài)），另一臺設備處于該業(yè)務的備用狀態(tài)（即Standby狀態(tài))。雙主機方式是指兩種不同業(yè)務分別在兩臺設備上互為主備狀態(tài)（即ActiveStandby和StandbyActive狀態(tài)）。系統(tǒng)中數據庫管理單元是系統(tǒng)數據的核心，通過高可靠性的雙機熱備設計（主備方式），保證平臺穩(wěn)定、連續(xù)地工作。. 負載均衡負載均衡是一種廉價、有效、透明的擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性的一種技術。這種技術使得大量的并發(fā)訪問或數據流量分擔到多臺節(jié)點設備上分別處理，減少用戶等待響應的時間。并且單個重負載的運算分擔到多臺節(jié)點設備上做并行結束后，將結果匯總，統(tǒng)一返回給用戶，使得系統(tǒng)處理能力得到大幅度提高。系統(tǒng)采用動態(tài)負載均衡機制，中心管理單元（iCMS）、接入管理單元（PAS）和業(yè)務應用單元實現動態(tài)負載均衡，保證了系統(tǒng)極高的可用性。. 雙網雙路由系統(tǒng)支持雙網雙路由機制，為系統(tǒng)提供極高的網絡通暢保障機制，在關鍵的路由器和交換機之間實現當一個網絡出現故障時由另一個網絡完成所有工作. 異地容災隨著系統(tǒng)規(guī)模的逐步擴大，單點數據備份已經無法滿足關鍵業(yè)務對系統(tǒng)的可用性、實時性、安全性的需要。更重要的是備份的數據往往會因為各種因素而遭到毀壞，如地震、火災、丟失等。異地容災解決方案的出現則可通過在不同地點建立備份系統(tǒng)，從而進一步提高數據抵抗各種可能安全因素的容災能力。針對這一應用的需求，可提供全方位的以網絡環(huán)境和異地實時備份為基礎的，高效、可靠的異地容災解決方案，并且能夠為用戶提供支持多種操作系統(tǒng)平臺、數據庫應用和網絡應用的系統(tǒng)容災服務。異地容災備份方案示意圖如下：. 數據可靠本系統(tǒng)平臺采用媒體流與信令流分離處理的方式，保證了系統(tǒng)高效的隔離機制，確保重要數據或需要實時傳達的數據能夠更及時和準確的送達。關鍵數據和媒體數據保存在專用的磁陣存儲設備中，采用RAID0/1/5/10容錯機制，保證數據安全可靠。系統(tǒng)對數據庫進行定期自動備份，確保重要數據的安全性，即使在非常情況下造成數據庫損壞也能夠及時恢復數據，是損失最小化。. 物理安全在眾多設備安裝實踐中，工程技術人員對設備的物理安全保障方面有極其豐富的經驗。在物理安全保障方面，有如下保障措施。. 設備保障系統(tǒng)所使用的主機設備、網絡設備、存儲陣列、視頻存儲設備等硬件設備，均依照項目建設相關要求來選定，具備較高的可靠性，并有較完備的支持服務，能夠設備724小時服務支持工作。其中，關鍵主機設備利用存儲陣列實現雙機結構，或選擇負載均衡方式，以保證主機設備的高可用性。所有物理設備均具備關鍵部件的冗余，使用多路電源輸入，主機和存儲陣列具備備份磁盤，避免因單點故障干擾設備正常運行，進而影響整個應用系統(tǒng)的服務。. 布線保障系統(tǒng)全部生產設備的強、弱電纜均按照機房布線要求進行布線施工，所有的電纜均放置在地板下的線纜槽中（上走線機房均可放置于線架上），嚴禁交叉布線和分線。機柜內所有線纜均整齊的固定并碼好，無隨意拉線，機柜之間的線纜均走在線纜槽或線架，嚴禁在機房地面上拉線。所有的數據線兩端可粘貼線路標簽，線路標簽按統(tǒng)一標準定制，可以輕易識別線纜的用途和另一段位置。. 網絡安全x車載視頻監(jiān)控系統(tǒng)對外提供服務的設備，接入到防火墻的DMZ區(qū)中，通過該防火墻接入到外部網絡（如：城域網）。在系統(tǒng)網絡規(guī)劃設計中，采用防火墻、漏洞掃描、入侵監(jiān)測、VPN等多種網絡安全技術措施，實時監(jiān)控整個網絡的運行狀態(tài)，保證系統(tǒng)安全可靠運行。. 防火墻技術防火墻是一種重要的安全技術，其特征是通過在網絡邊界上建立相應的網絡通信監(jiān)控系統(tǒng)，達到保障網絡安全的目的。防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務，并且網絡安全的威脅僅來自外部網絡，進而通過監(jiān)測、限制、更改跨越防火墻的數據流，通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構，實現對網絡的安全保護。在監(jiān)控系統(tǒng)中，建議應用防火墻技術，通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全。建立過濾規(guī)則和其它安全策略。由于需要處理實時視頻數據流，建議采用高性能的硬件防火墻。. 入侵檢測技術防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網絡級提供訪問控制，但好幾個通信端口都是開放的。借助這些端口，外部用戶能夠與機構內的交換機通信。例如，郵件和Web服務器都要求，外部能夠訪問某些端口。通過這些端口，黑客可以穿過防火墻攻擊服務器，將其作為網絡的入口。入侵檢測系統(tǒng)（IDS）是防火墻的補充解決方案，可以防止網絡基礎設施（路由器、交換機和網絡帶寬）和服務器（操作系統(tǒng)和應用層）受到襲擊。由于問題比較復雜，先進的IDS解決方案一般都包含兩個組件：用于保護網絡的IDS（NIDS）和用于保護服務器及其上運行的應用的主機IDS（HIDS）。NIDS主要預防網絡襲擊，HIDS則主要防止服務器遭受OS和應用襲擊。考慮到襲擊技術多種多樣，黑客數量只增不減，必須采用全面的解決方案才有有效預防黑客的襲擊。我們建議在關鍵部位同時采用主機入侵檢測和網絡入侵檢測。. 端口掃描與風險防范技術風險管理系統(tǒng)是一個漏洞和風險評估工具，用于發(fā)現、發(fā)掘和報告網絡安全漏洞。一個出色的風險管理系統(tǒng)不僅能夠檢測和報告漏洞，而且還可以證明漏洞發(fā)生在什么地方以及發(fā)生的原因。隨時質詢網絡和系統(tǒng)；在系統(tǒng)間分享信息并繼續(xù)探測各種漏洞直到發(fā)現所有的安全漏洞；還可以通過發(fā)掘漏洞以提供更高的可信度以確保被檢測出的漏洞是真正的漏洞。這就使得風險分析更加精確并確保管理員可以把風險程度最高的漏洞放在優(yōu)先考慮的位置。漏洞掃描系統(tǒng)也包含兩個部分：基于主機的和基于網絡的。基于主機的安全漏洞掃描和風險評估工具：它通過簡化整個安全策略的設置和安全過程，可最大可能的檢測出系統(tǒng)內部的安全漏洞障礙，并且使管理人員能夠迅速對其網絡安全基礎架構中存在的潛在漏洞進行評估并采取措施。基于網絡的安全漏洞掃描和風險評估工具：它可根據整體網絡視圖進行風險評估，同時可在那些常見安全漏洞被入侵者利用且實施攻擊之前進行漏洞識別，從而幫助企業(yè)妥善保護網絡和系統(tǒng)。它能夠安全地模擬常見的入侵和攻擊情況，在系統(tǒng)間分享信息并繼續(xù)探測各種漏洞直到發(fā)現所有的安全漏洞，從而識別并準確報告網絡漏洞，并推薦修正措施。. 防病毒技術病毒是目前計算機網絡系統(tǒng)的最大風險之一，因此在各級監(jiān)控中心部署強有力的防病毒系統(tǒng)是非常必要的。該防病毒系統(tǒng)應該能夠提供高性能的防護和靈活性，保護網關、服務器和工作站的安全；它應該是一個完善的安全解決方案，提供先進技術來保護網絡中的各個層次；它應該能夠提供集中化的策略管理，為各種服務器提供可擴展、跨平臺的病毒防護。. VPN技術系統(tǒng)支持VPN（Virtual Private Network，中文意思是“虛擬專用網絡”）組網方案，通過私有隧道技術，在公共網絡（如internet）上仿真一條點到點的專線，從而達到媒體數據安全傳輸的目的，采用VPN技術，系統(tǒng)與公眾網絡完全隔離，能夠保證媒體信息的安全性。在這里簡單介紹一下IP網絡主流的MPLS VPN技術，MPLS VPN是一種基于MPLS（MultiProtocol Label Switch多協議標簽交換）技術的IPVPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，結合傳統(tǒng)路由技術的標記交換實現的IP虛擬專用網絡（IP VPN），用來構造寬帶的Intranet、 Extranet，滿足多種業(yè)務需求。. 應用安全. 先進的加密技術設備接入系統(tǒng)，系統(tǒng)組件之間互聯互通，用戶接入系統(tǒng)，等等溝通環(huán)節(jié)，都是經過加密和認證的；一是確保信息不會明文傳輸，采用64位DES加密手段，保證傳輸數據自身的安全，二是系統(tǒng)的每次登陸都需要chap認證，且認證的級別是不同的，可以設置復雜的認證模式，也可使用簡單的認證模式。可以做到只合法用戶接入，決不讓非法用戶登錄。通過先進的加密技術，保證系統(tǒng)用戶信息的安全性。. 嚴格的權限管理系統(tǒng)可向用戶提供完善的權限管理功能，在系統(tǒng)數據庫中記錄每個用戶對各監(jiān)控點的使用權限。權限管理系統(tǒng)根據這些數據對用戶進行授權，并對用戶使用界面進行定制，使用戶只能管理和使用具有相應權限的監(jiān)控點的設備和視頻文件，禁止其越權訪問，保障系統(tǒng)的安全性。管理員在開戶過程中，即對用戶進行賦權。對于整個平臺來說，所有的設備、用戶、平臺信息都是資源，需要根據情況進行賦權。. 終端管理設備入網認證，不是每個設備都能接入，需要有相關認證。含：設備接入ID、接入密碼。防止個別用戶自接設備，占用系統(tǒng)資源。避免該用戶名、密碼被盜后，通過其它終端訪問系統(tǒng)，造成視頻信息泄露；同時，也有效地監(jiān)督用戶的工作行為，防止非正常場所觀看秘密視頻信息。. 用戶限制對于同一個用戶名，在同一時間內，系統(tǒng)嚴格設定只能有一個人登陸使用監(jiān)控系統(tǒng)，防止某一用戶名和密碼泄露后，其它人訪問監(jiān)控系統(tǒng)，造成視頻信息泄露。. 日志管理對于用戶的登錄、登出信息、控制視頻、瀏覽視頻等重要操作信息，系統(tǒng)將詳細記錄日志，并于用戶查詢和統(tǒng)計；同時，在系統(tǒng)產生故障或者重要視頻信息遺漏等問題時，可以通過系統(tǒng)日志信息，作為分析、處理問題的一個重要依據。. 軟件看門狗技術在系統(tǒng)中，通過“看門狗”技術，避免系統(tǒng)業(yè)務軟件意外退出，保障系統(tǒng)正常工作。. 雙重設備認證機制系統(tǒng)保證只有合法的前端設備才能注冊到系統(tǒng)上使用。系統(tǒng)采用獨有的密碼發(fā)布機制對通過身份ID認證的前端設備發(fā)布隨機密碼。系統(tǒng)通過身份ID和密碼雙重認證機制，有效的防御非法前端設備以及假冒前端設備接入系統(tǒng)，保證系統(tǒng)的安全性。