【正文】 加其它的接口的需要，同時也要考慮管理系統(tǒng)的可升級性。 系統(tǒng)安全設計對于合肥市校園報警與監(jiān)控系統(tǒng)，如何保證系統(tǒng)安全可靠的運行，我們采用了以下安全措施： 網(wǎng)絡安全設計（防火墻、入侵檢測） 防火墻設計我們設計在市局采用高可靠性和高可用性的千兆防火墻設備進行邊界隔離和訪問控制，制定嚴格的訪問策略，限制未經(jīng)過許可的訪問，從而確保合肥市公安局數(shù)據(jù)網(wǎng)絡系統(tǒng)的邊界安全。防火墻部署在合肥市公安局網(wǎng)絡與公安專網(wǎng)之間，根據(jù)預先制定的安全策略，控制授權(quán)合法數(shù)據(jù)流可以穿越防火墻，而受限數(shù)據(jù)流被阻擋在防火墻之外。 入侵檢測設計利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護，降低了網(wǎng)絡安全風險，但是入侵者可尋找防火墻背后可能敞開的后門，或者入侵者也可能就在防火墻內(nèi)。這里我們設計在合肥市公安局網(wǎng)絡中采用入侵檢測系統(tǒng)，網(wǎng)絡入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上，通過實時偵聽網(wǎng)絡數(shù)據(jù)流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。入侵檢測系統(tǒng)可以部署在網(wǎng)絡中的核心，監(jiān)視并記錄網(wǎng)絡中的所有訪問行為和操作，有效防止非法操作和惡意攻擊。同時，入侵檢測系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡安全的隱患。入侵檢測系統(tǒng)作為網(wǎng)絡安全體系的第二道防線，對在防火墻系統(tǒng)阻斷攻擊失敗時，可以最大限度地減少相應的損失。 本次部署的網(wǎng)絡入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的數(shù)據(jù)中心區(qū)域和各個網(wǎng)絡邊界區(qū)域，通過實時偵聽網(wǎng)絡數(shù)據(jù)流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)行為和未授權(quán)的網(wǎng)絡訪問時，網(wǎng)絡監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等（比如與聯(lián)想網(wǎng)御防火墻建立聯(lián)動，實現(xiàn)動態(tài)的安全維護）。入侵檢測系統(tǒng)解決的安全問題包括：對抗蠕蟲病毒：針對蠕蟲病毒利用網(wǎng)絡傳播速度快，范圍廣的特點，通過防火墻端口過濾，可以從一定程度上防范蠕蟲病毒，但不是最好的解決方案，特別是針對利用防火墻已開放端口（比如紅色代碼利用TCP 80）進行傳播的蠕蟲病毒，對此需要利用入侵檢測系統(tǒng)進行進一步細化檢測和控制；防范網(wǎng)絡攻擊事件：正如入侵檢測系統(tǒng)的安全策略中描述的，針對合肥市公安局數(shù)據(jù)中心區(qū)域和網(wǎng)絡邊界區(qū)域，入侵檢測系統(tǒng)采用細粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效防止各種攻擊和欺騙。并且還能夠通過策略編輯器中的用戶自定義功能定制針對網(wǎng)絡中各種TCP/IP協(xié)議的網(wǎng)絡事件監(jiān)控；防范拒絕服務攻擊：入侵檢測系統(tǒng)在防火墻進行邊界防范的基礎上，能夠應付各種SNA類型和應用層的強力攻擊行為,包括消耗目的端各種資源如網(wǎng)絡帶寬、系統(tǒng)性能等攻擊。主要防范的攻擊類型有TCP Flood，UDP Flood，Ping Abuse等；防范預探測攻擊：部署在合肥市公安局數(shù)據(jù)中心區(qū)域和網(wǎng)絡邊界區(qū)域的入侵檢測系統(tǒng)，能夠很好的防范各種SNA類型和應用層的預探測攻擊行為。主要防范的攻擊類型有TCP SYN Scan，TCP ACK Scan，Ping Sweep，TCP FIN Scan等；防范欺騙攻擊：有些攻擊能夠自動尋找系統(tǒng)所開放的端口（比如安全服務區(qū)所開放的TCP 80、TCP 25），將自己偽裝成該端口，從而繞過部署在數(shù)據(jù)中心區(qū)域和網(wǎng)絡邊界區(qū)域邊界的防火墻，對防火墻保護的服務器進行攻擊，而入侵檢測系統(tǒng)則通過對應用協(xié)議的進一步分析，能夠識別偽裝行為，并對此類攻擊行為進行阻斷或報警；防范內(nèi)部攻擊：對于合肥市公安局網(wǎng)絡而言，內(nèi)部人員自身對網(wǎng)絡擁有相當?shù)脑L問權(quán)限，因此對比外部攻擊者，對系統(tǒng)發(fā)起攻擊的成功概率更高。雖然合肥市公安局在網(wǎng)絡邊界部署防火墻，防范外部攻擊者滲透到網(wǎng)絡中，但是對內(nèi)部人員的控制規(guī)則是相對寬松的，入侵檢測系統(tǒng)通過對訪問數(shù)據(jù)包的細化檢測，在防火墻邊界防護的基礎上，更好地發(fā)覺內(nèi)部人員的攻擊行為；加密通信中的數(shù)據(jù)也可能含有攻擊信息，利用入侵檢測系統(tǒng)對加密數(shù)據(jù)進行解包、檢測，是技術(shù)發(fā)展的趨勢，也是目前解決此類問題的最佳方案。IDS部署網(wǎng)絡拓撲圖如下：合肥市公安局網(wǎng)絡的內(nèi)部用戶到公安網(wǎng)的訪問和到網(wǎng)絡數(shù)據(jù)中心的服務器群的訪問都是要經(jīng)過核心層交換機，外網(wǎng)區(qū)域上的用戶企圖到內(nèi)網(wǎng)區(qū)域的訪問也要經(jīng)過核心交換機， 重要圖像備份對重要的錄像數(shù)據(jù)，建議采用磁盤陣列存儲方式。在部分關鍵派出所選配磁盤陣列存儲，選擇重要部位進行長時間錄像，結(jié)合項目特點建議選用NAS（Network Attached Storage網(wǎng)絡附加存儲）磁盤陣列存儲視頻文件，NAS是指將存儲設備通過網(wǎng)絡連接到一臺計算機上。NAS 產(chǎn)品是個簡易的服務器，可用于實現(xiàn)涉及文件存取及管理的所有功能，安裝維護簡單方便，在市局或分局建議配置SAN磁盤陣列，存取速度高。 UPS系統(tǒng)及參數(shù)（10KVA）隨著科技的發(fā)展和社會的進步，UPS電源在日常生活中，特別是在公安部門監(jiān)控系統(tǒng)中的應用已經(jīng)非常普及。UPS有在線式和后備式兩種，在線式UPS可以實現(xiàn)真正的不間斷供電，因此它也是監(jiān)控系統(tǒng)的首選UPS電源。本系統(tǒng)中，我們在市局中心機房配置供電不低于8小時的10KVA UPS，并考慮未來系統(tǒng)的擴容和合并。 系統(tǒng)防雷設計 直擊雷和感應雷的防護雷電直接擊在露天的攝像機上會造成設備損壞；雷電直接擊在架空線纜上會造成線纜熔斷。所以前端設備如攝像頭應置于接閃器（避雷針或其它接閃導體）有效保護范圍之內(nèi)。本方案中，監(jiān)控點處在城市中心，一般都在周圍建筑物的避雷保護區(qū)內(nèi)，具體根據(jù)安裝時考慮，但設備必須具有良好的接地，良好的接地可以避免或減少感應雷造成設備的損壞，本次設計方案我們只對前端攝像機做防雷保護，各級中心機房部分接地未做設計。 感應雷的防護感應雷的防護采用雷迅的三合一系列防雷產(chǎn)品，包括EPL系列雙絞線信號過電壓保護器（信號避雷器）、EPC同軸信號過電壓保護器（同軸信號避雷器）、EPP系列電源過電壓保護器（電源避雷器），由于一體化攝像機已有防雷器，只需在光端機側(cè)做好防雷措施。結(jié)構(gòu)圖如下圖：EPL系列雙絞線信號過電壓保護器（信號避雷器）適用于通信系統(tǒng)、計算機系統(tǒng)以及自動控制回路系統(tǒng)（如RS23RS42RS485等），三級保護，具有放電電流大、輸出殘壓低、使用壽命長、安裝方便（35mm導軌）等特點。44安徽四創(chuàng)電子股份有限公司控 安全防范綜合管理平臺特色平臺體系結(jié)構(gòu)平安校園監(jiān)控報警系統(tǒng)軟件平臺體系結(jié)構(gòu)分為三個層次，最低下一層是硬件抽象層，目的是給不同的DVR、報警設備等其他設備提供相應設備類的統(tǒng)一接口，為系統(tǒng)整體管理、配置、檢索所有的設備提供統(tǒng)一的標準；上面一層是平臺，平臺部分包括兩部分，一部分是基本的服務，另一部分是基于這些服務的設計工具。最上面一層是構(gòu)架在平臺之上的應用，這些應用使用平臺的基本服務一致、可靠、高效、靈活地完成功能，而平臺提供的工具可以讓用戶自定義、自創(chuàng)建、自組合很多和用戶特定業(yè)務相關的業(yè)務功能和流程。另外需要說明的是，平臺和系統(tǒng)提供的所有功能都通過WebService的國際標準提供對外接口，這可以在異種操作系統(tǒng)、異種語言之間進行交互，也是和其他IT和業(yè)務應用程序集成的最好方法。平臺技術(shù)采用Sun推出J2EE標準，克服了傳統(tǒng)Client/Server模式的弊病，特別適合Browser/Server架構(gòu)的潮流應用，為應用Java技術(shù)開發(fā)服務器端應用提供一個平臺獨立的、可移植的、多用戶的、安全的和基于標準的企業(yè)級平臺。平臺管理中心采用J2EE平臺技術(shù)，因此可以構(gòu)架企業(yè)級的大型系統(tǒng)平臺，具有極強的功能擴展性、結(jié)構(gòu)穩(wěn)定性和環(huán)境無關性。這些對于系統(tǒng)平臺產(chǎn)品至關重要：178。 功能擴展性：由于采用了先進的平臺技術(shù)，功能模塊均通過插件來實現(xiàn)，避免了其它技術(shù)產(chǎn)品功能擴展對整個系統(tǒng)穩(wěn)定性的不良影響，而且實現(xiàn)起來更加簡單快捷。178。 結(jié)構(gòu)穩(wěn)定性：穩(wěn)定的系統(tǒng)結(jié)構(gòu)是系統(tǒng)平臺長期可靠無故障運行的保證，特別是構(gòu)建支持海量數(shù)據(jù)和多用戶操作應用時，顯得尤為重要。178。 環(huán)境無關性：平臺軟件是在操作系統(tǒng)和數(shù)據(jù)庫環(huán)境之上運行的，多數(shù)的軟件產(chǎn)品對操作系統(tǒng)的類別、版本和數(shù)據(jù)庫類型都有嚴格的要求，這就極大了限定了系統(tǒng)的應用空間和適應能力。天視平臺采用和J2EE平臺技術(shù)，可以運行于任何操作系統(tǒng)（如WINDOWS、LINUX、UNIX），可以支持任何數(shù)據(jù)庫，真正實現(xiàn)了與操作系統(tǒng)和數(shù)據(jù)庫等運行環(huán)境的無關性。安全的用戶管理采用單點登陸技術(shù)，所謂“單點登陸”是指用戶一次登陸后，就可以按照授權(quán)權(quán)限查看、控制和管理許可的所有信息和設備，而不需要在訪問不同節(jié)點設備時再次經(jīng)過身份驗證。在通常情況下，這種方便性和安全性始終是一對不可調(diào)和的矛盾。因此，一般的“單點登陸”是通過解除前端設備的訪問限制來實現(xiàn)的，這樣就使得非法用戶可以輕易繞過認證管理服務器而直接訪問前端設備，極大的降低了系統(tǒng)的安全性。而我們的“單點登陸”技術(shù)通過認證管理中心產(chǎn)生的隨機通行證來實現(xiàn)對前端設備的訪問控制管理，非法用戶無法通過偽造等手段取得控制權(quán)。這樣即兼顧了方便性，又同時保證了系統(tǒng)的安全性。同時對于用戶的權(quán)限是基于角色管理的權(quán)限模型，依照不同的職責崗位設定不同的用戶角色，對每一個基于崗位職責的用戶角色分配特定的權(quán)限，所有用戶都可以通過“角色”的定位來獲得自己的操作訪問權(quán)限，而不需要對每個用戶的權(quán)限進行分別設置，這樣即節(jié)省了維護的工作量，又方便了系統(tǒng)的管理。廣泛的設備兼容性與管理能夠兼容目前市場上所有的主流數(shù)字壓縮和解碼板卡,?？?、大華、大立、金鵬等主流嵌入式DVR設備，PELCO、AB、英飛拓、AD等主流視頻矩陣，蛙視、AB、NTK等多業(yè)務光傳輸系統(tǒng)設備和數(shù)字視頻光端機，以及所有能夠提供SDK開發(fā)協(xié)議的硬件軟件設備。有效的解決了困擾用戶進行系統(tǒng)擴充、系統(tǒng)升級 、新舊設備不能兼容，不同品牌設備不能兼容，無法實現(xiàn)集中管理的問題。依靠獨立的插件，快速增加新設備接入，不影響原有架構(gòu)，是目前國內(nèi)兼容性最廣的平臺產(chǎn)品之一，并可以實現(xiàn)對視頻矩陣、多業(yè)務數(shù)字視頻光端機、報警主機、嵌入式和PC式DVR的遠程參數(shù)設置、遠程控制（關機、重啟）和設備工作狀態(tài)的遠程監(jiān)視等。對于用戶，提供一個操作界面和一次登陸操作，使用和操作更加簡單，也極大的節(jié)省了系統(tǒng)的維護管理成本報警事件的智能聯(lián)動能力報警事件的聯(lián)動是“平安城市”的基本功能和重點要求，我們通過“報警源－觸發(fā)規(guī)則－聯(lián)動對象”這一聯(lián)動鏈條的定義實現(xiàn)了對不同類別（如110接警中心的電話報警、城市聯(lián)網(wǎng)報警、銀行金庫門禁刷卡報警、GPS移動目標定位報警、視頻丟失報警、視頻遮擋報警、面部識別報警、設備狀態(tài)報警、參數(shù)修改報警等）、不同部位的報警，按照不同的觸發(fā)規(guī)則（如持續(xù)時間等）來聯(lián)動相應的對象（如燈光設備、電動門、警笛、電話、短信、彩信以及其它通信設備等），實現(xiàn)了真正意義智能化聯(lián)動。強大的計劃執(zhí)行和調(diào)度引擎引擎的主要對象包括： 任務調(diào)度對象/任務對象/觸發(fā)器對象任務對象是一種可以由系統(tǒng)自動執(zhí)行的對象。觸發(fā)器是一種可以根據(jù)用戶安排在指定時間點觸發(fā)事件的對象。觸發(fā)器用于安排日程。調(diào)度器把觸發(fā)器和任務粘合在一起，并且在觸發(fā)器觸發(fā)的時刻開始執(zhí)行與這個觸發(fā)器關聯(lián)的任務對象。系統(tǒng)目前已經(jīng)提供了豐富的任務對象，比如：校時、參數(shù)讀取、參數(shù)設置、參數(shù)對比、布設防等等。用戶在制定任務計劃的時候，只需要指定一個任務和執(zhí)行這個任務所需要的參數(shù)，并且根據(jù)向?qū)гO置好觸發(fā)器。系統(tǒng)將自動把觸發(fā)器和當前的任務關聯(lián)到一起，并自動在觸發(fā)器確定的時間點開始執(zhí)行這個任務。如：178。 在每天的下午6:0:0對某些DVR開始布防 每天的上午8:0:0撤防178。 在5月1日的0:0:0 對某些DVR開始布防 在5月8日的8:0:0撤防178。 在每個月的最后一天的0:0:0開始對某些DVR布防 在每個月的第一天的8:0:0撤防178。 在每天的1:0:0 對所有的設備校時日志管理功能系統(tǒng)提供日志查詢與導出功能，日志記錄關于軟件操作的整個過程，包括操作人員的身份詳細信息，重要信息可以進行打印備案。提供日志查詢頁面，方便用戶查詢歷史信息，可以根據(jù)不同的條件查詢來源，包括:178。 來源：管理中心、前端服務器；178。 等級：全部信息、普通信息、重要信息、警告信息、錯誤信息；178。 操作：功能操作；178。 操作對象：對象的操作，譬如（DVR設備、組織機構(gòu)、日志處理、報警日志處理等等）；178。 操作類型：前部、日志、機構(gòu)、通道、云臺、人員、角色、功能模塊、視頻錄像機、任務管理；178。 用戶：用戶登陸時的用戶名；178。 時間：開始時間，結(jié)束時間，中斷時間；48安徽四創(chuàng)電子股份有限公