【正文】 持第三方加密機(jī)方式，支持華為Eudemon系列防火墻加密，支持華為路由器和交換機(jī)加密。 系統(tǒng)安全隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)攻擊也變得越來(lái)越頻繁。如何在頻繁復(fù)雜的網(wǎng)絡(luò)攻擊下，保證視頻會(huì)議系統(tǒng)的安全性，成為客戶在購(gòu)買視頻會(huì)議系統(tǒng)時(shí)需要重點(diǎn)考慮的一方面。華為視訊針對(duì)不同類型的網(wǎng)絡(luò)攻擊給出了完整的安全解決方案。n 網(wǎng)絡(luò)攻擊的類型根據(jù)被攻擊的對(duì)象分類，網(wǎng)絡(luò)攻擊可分為應(yīng)用層攻擊、系統(tǒng)層攻擊和網(wǎng)絡(luò)層攻擊。而華為視訊安全解決方案中，應(yīng)用層安全解決方案保護(hù)視訊的應(yīng)用程序，如：訪問(wèn)控制、數(shù)據(jù)安全、通信及編碼安全等；系統(tǒng)層安全解決方案保護(hù)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件及應(yīng)用程序依賴的服務(wù)；網(wǎng)絡(luò)層安全解決方案保護(hù)整個(gè)網(wǎng)絡(luò)，防范惡意攻擊。在網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊（DoS/DDoS攻擊）是最常見(jiàn)最普遍也最難防范的攻擊。拒絕服務(wù)攻擊是指凡是能導(dǎo)致目標(biāo)機(jī)器無(wú)法提供正常服務(wù)的行為。而根據(jù)攻擊方式分類，可以分為：1） 泛洪攻擊：攻擊者在短時(shí)間內(nèi)向目標(biāo)系統(tǒng)發(fā)送大量的虛假請(qǐng)求，導(dǎo)致目標(biāo)系統(tǒng)疲于應(yīng)付無(wú)用信息，而無(wú)法為合法用戶提供正常服務(wù)。2） 畸形報(bào)文攻擊：通常指攻擊者發(fā)送大量有缺陷的報(bào)文，從而造成主機(jī)或服務(wù)器在處理這類報(bào)文時(shí)消耗大量資源或者系統(tǒng)崩潰。3） 掃描探測(cè)類攻擊：是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)動(dòng)真正攻擊前的網(wǎng)絡(luò)探測(cè)行為。應(yīng)對(duì)如此復(fù)雜的網(wǎng)絡(luò)攻擊，華為視訊的安全性主要體現(xiàn)在兩個(gè)方面：一方面華為視訊提供完備的視訊安全解決方案，從多個(gè)維度制定了相應(yīng)的安全策略；另一方面體現(xiàn)在華為視訊設(shè)備的抗攻擊能力上，面對(duì)攻擊時(shí)系統(tǒng)能保持穩(wěn)定。n 華為視訊安全策略協(xié)議防攻擊 產(chǎn)品對(duì)外發(fā)布資料中配套提供通信端口矩陣，未在通信端口矩陣中列出的服務(wù)和端口不應(yīng)開(kāi)啟。 通信端口矩陣中記錄如下信息：該產(chǎn)品開(kāi)放的端口、該端口使用的傳輸層協(xié)議、通過(guò)該端口與對(duì)端通信的對(duì)端網(wǎng)元名稱、該端口是否可以更改、該端口使用的認(rèn)證及加密方式、該端口的用途等。 用戶登錄設(shè)備時(shí)，提供SSH（Secure SHell）安全加密協(xié)議進(jìn)行登錄。 支持通過(guò)FTPS（File Transfer Protocol over SSL）進(jìn)行導(dǎo)入、導(dǎo)出等操作。 ，保障會(huì)議過(guò)程中的媒體數(shù)據(jù)安全。 與SIP設(shè)備進(jìn)行通信時(shí)，遵循TLS（Transport Layer Security）傳輸層協(xié)議，基于SRTP（Secure Realtime Transport Protocol）協(xié)議傳輸碼流。 通過(guò)SNMPv3（Simple Network Management Protocol version 3）協(xié)議與上層網(wǎng)管建立連接，提供安全的用戶認(rèn)證連接通道。用戶口令安全 對(duì)默認(rèn)密碼及用戶修改后的密碼進(jìn)行復(fù)雜度檢查，支持口令輸入框口令顯示為“.”或者“*”，輸入的口令不允許拷貝。 登錄過(guò)程中，向服務(wù)端傳遞用戶名和口令時(shí)，必須采用HTTPS（Hypertext Transfer Protocol Secure）安全協(xié)議。 認(rèn)證模塊必須采用防暴力破解機(jī)制，多次連續(xù)嘗試登錄失敗后鎖定帳號(hào)或IP。信息安全 支持信令流加密、媒體流加密、線路加密、內(nèi)置硬件加密、外置第三方加密機(jī)等5重加密，全面保證會(huì)議的信息安全。 對(duì)于每一個(gè)需要授權(quán)訪問(wèn)的頁(yè)面或Servlet的請(qǐng)求都必須核實(shí)用戶的會(huì)話標(biāo)識(shí)是否合法、用戶是否被授權(quán)執(zhí)行這個(gè)操作。 對(duì)用戶的最終認(rèn)證處理過(guò)程放在服務(wù)器上執(zhí)行。 用戶產(chǎn)生的數(shù)據(jù)在服務(wù)端進(jìn)行校驗(yàn)，數(shù)據(jù)在輸出到客戶端前必須先進(jìn)行HTML編碼，以防止執(zhí)行惡意代碼、跨站腳本攻擊。 使用Web安全掃描軟件掃描Web服務(wù)器和Web應(yīng)用，不存在高級(jí)別的漏洞。 ，并啟用防火墻，開(kāi)放最少的端口。 、惡意代碼、間諜軟件以及程序侵害。軟件包安全 軟件、補(bǔ)丁和文檔均通過(guò)防病毒軟件的掃描，保證未感染或者嵌入病毒和木馬。 使用數(shù)字簽名驗(yàn)證軟件包的完整性與合法性。n 華為視訊抗攻擊能力華為視頻會(huì)議系統(tǒng)的全系列產(chǎn)品在正式發(fā)布之前都要進(jìn)行嚴(yán)格的安全性能測(cè)試，保證系統(tǒng)安全和功能使用。華為視訊設(shè)備在會(huì)議中受到DoS/DDoS等類型的攻擊時(shí)，不會(huì)出現(xiàn)系統(tǒng)崩潰或者設(shè)備自動(dòng)重啟等情況；用戶通過(guò)掛斷重呼，設(shè)備就能恢復(fù)繼續(xù)使用，不需要進(jìn)行重啟。 資源池會(huì)議備份隨著云計(jì)算技術(shù)的逐漸發(fā)展，視頻會(huì)議系統(tǒng)組網(wǎng)逐漸走向云化，基于云計(jì)算架構(gòu)的新型視頻會(huì)議組網(wǎng)和應(yīng)用將成為未來(lái)視頻會(huì)議系統(tǒng)的發(fā)展方向。云計(jì)算技術(shù)應(yīng)用在視頻會(huì)議行業(yè)組網(wǎng)中即是將視頻會(huì)議系統(tǒng)中最重要的音視頻交換處理平臺(tái)—MCU進(jìn)行云化、端口化，使多臺(tái)MCU設(shè)備之間組成MCU“資源池”，實(shí)現(xiàn)在會(huì)議組建中不用去考慮使用哪個(gè)MCU的端口資源，系統(tǒng)通過(guò)智能的資源調(diào)度和端口分配原則滿足每次會(huì)議的正常使用。 資源調(diào)配原理資源池管理系統(tǒng)根據(jù)用戶請(qǐng)求的會(huì)議參數(shù)，與會(huì)會(huì)場(chǎng)，按照資源調(diào)配策略為會(huì)場(chǎng)確定接入MCU以及MCU之間的級(jí)聯(lián)關(guān)系，這個(gè)過(guò)程可稱之為資源調(diào)配過(guò)程。資源池管理系統(tǒng)以服務(wù)區(qū)方式對(duì)MCU資源進(jìn)行管理。服務(wù)區(qū)是資源池管理系統(tǒng)為會(huì)場(chǎng)分配MCU資源的管理概念, 會(huì)場(chǎng)和MCU之間通過(guò)服務(wù)區(qū)進(jìn)行關(guān)聯(lián)。每個(gè)會(huì)場(chǎng)只可歸屬一個(gè)服務(wù)區(qū)，每個(gè)服務(wù)區(qū)可包括多臺(tái)MCU，實(shí)際應(yīng)用上，每個(gè)服務(wù)區(qū)可對(duì)應(yīng)于系統(tǒng)的一個(gè)MCU資源池。會(huì)場(chǎng)、服務(wù)區(qū)（資源池）、MCU之間的關(guān)系 服務(wù)區(qū)確定策略由于級(jí)聯(lián)會(huì)議一方面可對(duì)分布式的會(huì)議進(jìn)行就近收斂，降低對(duì)主MCU的帶寬占用，另一方面會(huì)對(duì)MCU端口產(chǎn)生浪費(fèi)（會(huì)場(chǎng)越少越明顯），并增加系統(tǒng)時(shí)延。系統(tǒng)采用兩級(jí)MCU組網(wǎng)，當(dāng)下級(jí)參會(huì)會(huì)場(chǎng)較少時(shí)，應(yīng)當(dāng)避免級(jí)聯(lián)，直接使用總部MCU資源。 分配MCU資源按照資源最優(yōu)、負(fù)載均衡原則分配MCU資源。主從服務(wù)區(qū)確定完之后，當(dāng)某個(gè)服務(wù)區(qū)內(nèi)存在多臺(tái)MCU滿足該服務(wù)區(qū)的會(huì)場(chǎng)接入需求時(shí)， 系統(tǒng)會(huì)按照資源最優(yōu)的原則選擇剩余資源最充足的MCU進(jìn)行會(huì)場(chǎng)接入。 當(dāng)該服務(wù)區(qū)內(nèi)MCU資源不足時(shí)， 如果該服務(wù)區(qū)存在備份服務(wù)區(qū)，則可以使用備份服務(wù)區(qū)的MCU資源。 資源池備份觸發(fā)條件（1）會(huì)議預(yù)約時(shí)本服務(wù)區(qū)MCU資源不足（2）會(huì)議過(guò)程中本服務(wù)區(qū)MCU發(fā)生故障時(shí)產(chǎn)生 非級(jí)聯(lián)會(huì)議的備份按照備份資源池定義順序依次選擇，直到找到可用的備份資源池為止，系統(tǒng)找到可用的備份資源池后， 將原有MCU上的會(huì)議整體備份到備份資源池的MCU上。以北京—河北—冀北—山東—山西—天津—總部的備份順序?yàn)槔?，如下：圖59：資源池備份示意圖 級(jí)聯(lián)會(huì)議的備份當(dāng)會(huì)議存在級(jí)聯(lián)的情況時(shí), 分為兩種情況（1）主MCU故障（2）從MCU故障。所有該MCU上的接入會(huì)場(chǎng)和級(jí)聯(lián)會(huì)場(chǎng)都會(huì)整體切換到備份資源池的MCU上，會(huì)議中的其它MCU會(huì)與備份資源池的MCU建立新的級(jí)聯(lián)關(guān)系。圖60：資源池備份示意圖 資源池備份對(duì)會(huì)議的影響MCU切換到備份資源池的MCU時(shí)，因?yàn)闀?huì)場(chǎng)的信令和媒體流都經(jīng)過(guò)MCU，發(fā)生故障的MCU上所接入的會(huì)場(chǎng)會(huì)產(chǎn)生短時(shí)間的圖像和聲音中斷。備份時(shí)，資源池管理系統(tǒng)會(huì)將該MCU上的會(huì)議信息、會(huì)場(chǎng)接入信息、會(huì)議廣播狀態(tài)發(fā)送到備份MCU上進(jìn)行恢復(fù)。備份MCU會(huì)依據(jù)這些信息重新呼叫各會(huì)場(chǎng)入會(huì)，并設(shè)置會(huì)議狀態(tài)。根據(jù)會(huì)議的不同參會(huì)會(huì)場(chǎng)數(shù)目，會(huì)議一般會(huì)在1～5分鐘內(nèi)進(jìn)行恢復(fù)。 資源池備份日志圖61：資源池備份日志記錄圖 管理維護(hù)方便 分級(jí)分權(quán)，大網(wǎng)維護(hù)簡(jiǎn)單 “分級(jí)分權(quán)”顧名思義，“分級(jí)”就是分級(jí)別的管理，一般按照已有的級(jí)別劃分習(xí)慣分為“省、市、縣”或者“軍、師、旅”這類上下級(jí)關(guān)系來(lái)管理，“分權(quán)”就是上級(jí)管理部門(mén)把部分管理權(quán)力下放到下級(jí)。“分級(jí)分權(quán)”的好處在于權(quán)力下放之后，各級(jí)管理部門(mén)各司其職，能夠快速地、因地制宜地完成維護(hù)和管理視訊系統(tǒng)的工作，與此同時(shí)每級(jí)管理部門(mén)還可以有自己獨(dú)立控制的視頻通信計(jì)劃?！胺旨?jí)分權(quán)”管理能夠在最頂級(jí)管理界面，看到下面各級(jí)部門(mén)的工作狀態(tài)和設(shè)備情況，而一般的分級(jí)只是分開(kāi)了兩套或者多套不同的獨(dú)立視訊系統(tǒng)，系統(tǒng)方案實(shí)現(xiàn)上并沒(méi)有存在上下級(jí)的概念，上下級(jí)管理仍然依靠人與人之間的匯報(bào)和命令下達(dá)，而不是通過(guò)一個(gè)系統(tǒng)來(lái)全局把握。傳統(tǒng)的行業(yè)各級(jí)組網(wǎng)，并未真正實(shí)現(xiàn)真正意義上的分級(jí)組網(wǎng)，都是靠人與人之間的上下級(jí)關(guān)系，通過(guò)電話或者郵件等方式來(lái)驅(qū)動(dòng)各級(jí)設(shè)備管理員進(jìn)行配合，最終完成跨級(jí)之間的會(huì)議召開(kāi)，會(huì)議效率低下。圖62：分級(jí)分權(quán)大網(wǎng)組網(wǎng)圖華為公司的分級(jí)分權(quán)解決方案可以有效提高會(huì)議管理的效果，如上圖所示：一級(jí)網(wǎng)是省級(jí)會(huì)議中心，二級(jí)是地市級(jí)會(huì)議中心，三級(jí)是區(qū)縣級(jí)會(huì)議中心，四級(jí)是鄉(xiāng)村會(huì)議中心，每一級(jí)都有自己獨(dú)立的視頻會(huì)議需求。此局點(diǎn)一般有幾種典型會(huì)議模式：省級(jí)會(huì)議中心調(diào)度“省市縣鄉(xiāng)村” 級(jí)別的超大規(guī)模會(huì)議、省級(jí)會(huì)議中心調(diào)度“省市”級(jí)別的行政會(huì)議、各個(gè)市級(jí)會(huì)議中心調(diào)度“市縣”級(jí)別的行政會(huì)議、各個(gè)縣級(jí)會(huì)議中心調(diào)度“縣鄉(xiāng)村”級(jí)別的行政會(huì)議；與此同時(shí)，像“省市縣鄉(xiāng)村”和“市縣街道”這種規(guī)模會(huì)議通常用于宣傳政治精神，這些會(huì)議開(kāi)完之后，支持?jǐn)嚅_(kāi)上級(jí)和下級(jí)之間的級(jí)聯(lián)，上下各級(jí)可以繼續(xù)召開(kāi)內(nèi)部落實(shí)的具體操作討論會(huì)議，上下級(jí)彼此之間不會(huì)相互干擾。在每級(jí)區(qū)域都有自己的區(qū)域管理員，隨時(shí)監(jiān)控下級(jí)區(qū)域或者本區(qū)域的所有操作，一方面可以專心維護(hù)本區(qū)域的會(huì)場(chǎng)和會(huì)議，另一方面也便于上下級(jí)會(huì)議的聯(lián)調(diào)準(zhǔn)備。，，給各地市按照區(qū)域劃分相應(yīng)的使用權(quán)限。，并且對(duì)入會(huì)會(huì)場(chǎng)具有完全的控制權(quán)限。為了保證會(huì)議的安全和保密，根據(jù)權(quán)限不同來(lái)控制用戶執(zhí)行不同的操作。滿足了行政級(jí)別執(zhí)行不同操作的需求。u 用戶分類在多用戶模式下，用戶類型包括系統(tǒng)管理員、系統(tǒng)操作員、區(qū)域管理員和區(qū)域操作員。他們之間關(guān)系如下圖所示。圖63：多用戶分類示意圖l 圖中箭頭的方向表示分配下級(jí)管理員或操作員。l “A區(qū)域管理員”可認(rèn)為是一級(jí)管理員，“”可認(rèn)為是二級(jí)管理員。l 一個(gè)區(qū)域（或者稱為組，可以包含多個(gè)號(hào)段）必須要有一個(gè)管理員，并且只能有一個(gè)管理員。l 不同用戶概念描述請(qǐng)參見(jiàn)下。用戶概念描述表用戶說(shuō)明系統(tǒng)管理員系統(tǒng)管理員是系統(tǒng)默認(rèn)存在的，并且不能被刪除。系統(tǒng)管理員可以執(zhí)行RM上的全部操作。l 負(fù)責(zé)添加系統(tǒng)操作員和下一級(jí)管理員及操作員，并給他們分配權(quán)限。l 分配可管理的區(qū)域給操作員或下一級(jí)管理員。l 系統(tǒng)管理員不能修改系統(tǒng)操作員管轄的區(qū)域。系統(tǒng)操作員系統(tǒng)操作員沒(méi)有任何分配權(quán)限和劃分區(qū)域的能力。系統(tǒng)操作員管轄的區(qū)域與系統(tǒng)管理員管轄區(qū)域是相同的。區(qū)域管理員區(qū)域管理員可以為更小的區(qū)域添加管理員和操作員，并分配權(quán)限和區(qū)域。區(qū)域操作員只能在區(qū)域管理分配的權(quán)限內(nèi)進(jìn)行相關(guān)的操作。u 用戶分級(jí)用戶等級(jí)劃分為系統(tǒng)管理員、一級(jí)管理員和二級(jí)管理員。每一級(jí)管理員都有同等級(jí)的操作員。一、二管理員的等級(jí)通過(guò)可以管理的號(hào)段范圍表示。二級(jí)管理員的管理范圍必須是一級(jí)管理員管理范圍的子集。例如一級(jí)管理員可以管理的號(hào)段是075020和0756，那么這個(gè)一級(jí)管理員下面的二級(jí)管理員只能選擇這三個(gè)號(hào)段中的一個(gè)或多個(gè)來(lái)管理。u 用戶分權(quán)管理員可以添加同級(jí)的其它操作員，也可以添加下級(jí)區(qū)域的管理員或者操作員。操作員不能添加其它用戶。管理員和操作員可以有相同的業(yè)務(wù)權(quán)限，業(yè)務(wù)權(quán)限根據(jù)RM上提供的操作劃分，添加用戶時(shí)可以分配用戶的權(quán)限，可以設(shè)置的權(quán)限請(qǐng)參見(jiàn)下表。用操作權(quán)限列表可設(shè)置的權(quán)限對(duì)應(yīng)的用戶操作說(shuō)明添加MCU添加本區(qū)域的MCU，MCU的區(qū)號(hào)必須在本區(qū)域內(nèi)。用戶可以看到區(qū)號(hào)在本區(qū)域上的所有MCU。修改MCU修改本區(qū)域的MCU無(wú)。刪除MCU刪除本區(qū)域的MCU無(wú)。添加會(huì)場(chǎng)添加本區(qū)域的會(huì)場(chǎng)，會(huì)場(chǎng)的區(qū)號(hào)必須在本區(qū)域內(nèi)。如果是專線會(huì)場(chǎng)，會(huì)場(chǎng)所連接的MCU必須是本區(qū)域的MCU。不配置任何權(quán)限時(shí)，用戶可以看到本區(qū)域的全部會(huì)場(chǎng)。修改會(huì)場(chǎng)修改本區(qū)域的會(huì)場(chǎng)。無(wú)。刪除會(huì)場(chǎng)刪除本區(qū)域的會(huì)場(chǎng)。無(wú)。查看所有會(huì)場(chǎng)是否需要查看到本區(qū)域以外的會(huì)場(chǎng)。無(wú)。添加會(huì)議添加會(huì)議。不配置任何權(quán)限時(shí)，用戶可以看到本區(qū)域內(nèi)用戶定義的所有會(huì)議。修改會(huì)議修改本區(qū)域用戶定義的會(huì)議。無(wú)。刪除會(huì)議刪除本區(qū)域用戶定義的會(huì)議。無(wú)。查看所有會(huì)議查看其它區(qū)域用戶定義的會(huì)議。無(wú)。調(diào)度會(huì)議調(diào)度本區(qū)域用戶定義的會(huì)議。不配置任何權(quán)限時(shí)，用戶可以看到本區(qū)域用戶調(diào)度的會(huì)議，也可以看到本區(qū)域MCU上的正在召開(kāi)的會(huì)議。取消會(huì)議取消本區(qū)域用戶定義的會(huì)議。無(wú)?？刂苹顒?dòng)會(huì)議是否允許控制活動(dòng)會(huì)議/活動(dòng)會(huì)場(chǎng)。無(wú)?？刂苹顒?dòng)會(huì)場(chǎng)是否允許控制活動(dòng)會(huì)場(chǎng)。無(wú)。查看網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)是否允許查看網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)。無(wú)。參數(shù)配置、服務(wù)區(qū)、區(qū)號(hào)、流媒體等系統(tǒng)參數(shù)，只有系統(tǒng)管理員可以修改，其它用戶只能查看。u 用戶分級(jí)和區(qū)號(hào)規(guī)劃圖64：用戶分級(jí)和區(qū)號(hào)規(guī)劃示意圖省中心為系統(tǒng)管理員，有最高權(quán)限，可以查看全省的會(huì)場(chǎng)、會(huì)議、MCU，可以召開(kāi)全省大會(huì)，可以管理省及下轄市、縣調(diào)度的活動(dòng)會(huì)議。省廳各級(jí)單位設(shè)置為一級(jí)管理員，只能管理自己的會(huì)場(chǎng)，可以分配查看全省會(huì)場(chǎng)的權(quán)限，可以召開(kāi)到地市的會(huì)議。深圳，佛山等各地市設(shè)置為一級(jí)管理員，只分配管理自己地市的會(huì)場(chǎng)權(quán)限（包括下級(jí)區(qū)縣會(huì)場(chǎng)），可以召開(kāi)本地市內(nèi)的會(huì)議。如果和其他地市一起開(kāi)級(jí)聯(lián)會(huì)議，有兩個(gè)選擇：通過(guò)省中心召開(kāi)級(jí)聯(lián)會(huì)議，或者雙方地市協(xié)商好，手工級(jí)聯(lián)開(kāi)會(huì)。各區(qū)縣設(shè)置為二級(jí)管理員，只分配管理自己區(qū)縣的會(huì)場(chǎng)，會(huì)議權(quán)限，可以查看并管理區(qū)內(nèi)的MCU，召集區(qū)內(nèi)的會(huì)議。1. 系統(tǒng)管理員252。 默認(rèn)有一個(gè)系統(tǒng)管理員admin，該管理員擁有最高權(quán)限。252。 系統(tǒng)管理員可以查看，管理所有會(huì)場(chǎng)。252。 系統(tǒng)管理員可以查看，管理所有會(huì)議。252。 系統(tǒng)管理員可以召開(kāi)全省大會(huì)，可以查看并管理所有的活動(dòng)會(huì)議，包括下級(jí)市，縣調(diào)度的會(huì)議。252。 系統(tǒng)管理員可以查看并管理所有的MCU。2. 省廳管理員252。 省廳管理員，設(shè)置為一級(jí)管理員，配置了查看全省會(huì)場(chǎng)，查看全省會(huì)議的權(quán)限，可以管理轄區(qū)內(nèi)的會(huì)場(chǎng)，會(huì)議，MCU，可以召開(kāi)到地