远程视频综合管理应用平台
的有关信息介绍如下:神州鹰管理平台把所有的安防子系统通过TCP/IP以太网先集成形成一个独立的安防系统,然后再集成到监控网络的平台上去,组成一个完整的监控系统。如下图所示:
构成的监控系统可以建立在内网平台(或各安防子系统通过internet连接)上的系统,在监控网络平台上,采用虚拟局域网技术构成各个安防子系统,即每个虚拟局域网对应一个安防子系统,与其他系统(包括楼控、物业管理、一卡通等)一起,在监控网络上统一进行集成和管理。
建立在内网平台上的系统,已经具有足够的抗外界入侵的信息安全性。还可以加上信息安全措施,如身份认证、访问控制、病毒扫描等措施,提高整体的安全性。
一、网络安全性
1、防火墙+防毒墙
如果要求在城域网或Internet上进行远程管理和监控,则必须增设防火墙以及入侵检测的措施和病毒防护系统;或者与信息网络的互连,通过信息网上防火墙和入侵检测等措施连接城域网或Internet建立信息安全保障制度,强化内部人员的管理。
2、SSL通道加密
IIS配置为要求安全通道(SSL),客户端使用HTTPS访问神州鹰管理平台系统。SSL 确保服务器身份(使用服务器证书)和客户端身份的安全。系统直接使用验证后的用户信息。其中SSL 提供了一个安全通道,以便保护在客户端和服务器之间传递的机密数据。
二、系统级安全性
1、口令认证
神州鹰管理平台系统将根据数据存储(数据库)对调用者提供的凭证进行身份验证。口令认证采用MD5加密算法,128位密钥加密确保系统安全。
2、口令+身份认证卡
普通用户通过口令认证,而重要的角色如:政府、企事业单位的高层领导和系统管理员等,可以使用UKEY身份认证卡+PIN码登录。
UKEY身份认证卡:采用Key智能密码设备(通称智能密码钥匙盘),该设备是国家商业密码管理委员会定点生产的商用密码产品,通过了国家商业密码管理委员会的商用密码产品技术鉴定,该设备自带快速存储器和加密处理机制,用于存放单位或个人数字证书、用户所属标识等信息。该设备通过USB接口与计算机相连,在使用时数字证书等信息不会残留在内存或硬盘中,设备体积小,重量轻,携带方便。
3、CA数字认证
对那些安全级别高,权限大的客户,如单位领导、系统管理员等,推荐采用CA认证登陆;具有更安全,效率更高的特点。
4、AD域安全认证
神州鹰管理平台系统的服务器所使用的操作系统选用windows 2008,数据库选用MS SQL2008。并且对于操作系统进行优化加固,包括:系统安全补丁。专人负责定期检查安全补丁信息,并及时为系统打补丁。优化操作系统对于进程管理、网络通信和文件系统相关参数,防止基于栈溢出、网络、文件权限等攻击。
三、应用级安全
1、用户操作权限和界面安全控制
神州鹰管理平台系统对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单,操作按钮;在服务端则对URL程序资源和业务服务类方法的的调用进行访问控制。防止黑客通过界面注入木马对数据库和文件造成不可恢复的损失。不仅对数据类型进行检查,也对数据进行约束。使得数据的流出和流入在界面操作上得到真正的控制。
2、URL授权控制
平台采用严格的URL授权和逻辑授权机制,URL授权确保用户可以访问所请求的视频监控文件或文件夹,访问到文件后还要再根据系统逻辑授权对数据范围和操作等控制。此外,平台还支持管理权委托机制,以能够管理大型组织结构的跨应用的访问授权。
3、IP地址安全控制
系统记录客户端发送请求的IP地址和物理地址,通过访问IP段的限制,登录时间段的限制,连接数的限制等,可以有效防止黑客通过其它路径进入神州鹰管理平台系统。
四、数据级安全性
1、数据安全控制
实现对敏感数据的加密,如用户密码。用户进入敏感模块需要二次验证,如,录像回放,对敏感监控视频数据的加密和限制,可以防止内部人员通过合法手段获得不应该获取的敏感视频信息。
可以控制各子账号能看到的实时监控视频节点。即可以控制用户访问其所在单位及下级管辖单位的视频数据。
2、操作日志记录
重要的模块所有的操作都记录在日志中。系统采用回收站的方式保留重要的视频数据,系统管理员能够恢复被删除的视频数据。
系统在运行过程中,对在线系统和离线操作事件进行审计,在线系统审计信息存储于日志文件和数据库中,离线审计则以纸质介质进行记载。
3、数据备份(灾难恢复)
系统管理员可以对服务器用户信息和视频文件等数据,设定定时备份。备份可以是完全、增量备份。另外,管理员还可以使用自动备份设定的规则进行手工备份。
数据库采用了磁盘阵列。在磁盘阵列中采用了RAID 5+1技术,把一个硬盘的内容同步备份复制到另一个硬盘里,具备了备份和容错能力。在其中主硬盘出错时,可以及时从从硬盘中接管数据。
目前我公司运行《神州鹰管理平台》系统的各服务器群组架是设在全国各地的电信和联通的5星级IDC机房里,具有BGP双链路。