[font=Verdana]目標：安全、隔離 公安專網可以通過計算機任意觀看到高速公路監控網的每一幅圖像。 公安專網與高速公路監控網之間的聯系必需是安全可靠的，做到完全的隔離。 [/font] [font=Verdana][b]產生背景 [/b] 主要有以下原因：安全性、低延遲、構建簡單性。下面對這幾點進行詳細闡述。 [/font][font=Verdana]一、安全性[/font] [font=Verdana] 1.公安網架構及現狀 公安信息網絡分層的多元化廣域網絡，與公安系統的組織結構相對應，公安部至省廳為一級網；省廳至所轄各設區市公安局的網絡為二級網；各設區市公安局至所轄分、縣級公安局的網絡為三級網；分、縣級公安局至公安基層科所隊為四級網（接入網）。每一層由同級公安相關部門局域網互聯形成公安本地城域網，同時各層還要完成與行業公安網絡、電子政務網絡、社會網絡等多種內、外部網絡的不同程度的互聯互通。由于公安網絡必須保證絕對可靠的安全性和保密性，所以公安網絡的建設是一項非常復雜的工程，必須仔細規劃。 就當今互聯網發展狀況而言，隨著網絡的迅速發展，網絡的安全性顯得非常重要，這是因為懷有惡意的攻擊者竊取、修改網絡上傳輸的信息，通過網絡非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網絡資源，阻止其他用戶使用等。然而，網絡作為開放的信息系統必然存在眾多潛在的安全隱患，因此，網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。一般來說，計算機系統本身的脆弱性和通信設施的脆弱性再加上網際協議的漏洞共同構成了網絡的潛在威脅。 2. 網絡攻擊及其防護技術 [b] [/b] 計算機網絡安全是指計算機、網絡系統的硬件、軟件以及系統中的數據受到保護，不因偶然或惡意的原因遭到破壞、泄露，能確保網絡連續可靠的運行。網絡安全其實就是網絡上的信息存儲和傳輸安全。 網絡的安全主要來自黑客和病毒攻擊，各類攻擊給網絡造成的損失已越來越大了，有的損失對一些企業已是致命的，僥幸心里已經被提高防御取代，下面就攻擊和防御作簡要介紹。 2.1常見的攻擊有以下幾類： 2.1.1 入侵系統攻擊 此類攻擊如果成功，將使你的系統上的資源被對方一覽無遺，對方可以直接控制你的機器。 2.1.2 緩沖區溢出攻擊 程序員在編程時會用到一些不進行有效位檢查的函數，可能導致黑客利用自編寫程序來進一步打開安全豁口然后以root權限控制了系統，這樣系統的控制權就會被奪取。 2.1.3 欺騙類攻擊 網絡協議本身的一些缺陷可以被利用，使黑客可以對網絡進行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。 2.1.4 拒絕服務攻擊 通過網絡，也可使正在使用的計算機出現無響應、死機的現象，這就是拒絕服務攻擊，簡稱DoS（Denial of Service）。分布式拒絕服務攻擊采用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標，從而導致目標癱瘓，簡稱DDoS（Distributed Denial of Service）。 2.1.5 對防火墻的攻擊 防火墻也是由軟件和硬件組成的，在設計和實現上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術、認證的攻擊技術等。 2.1.6 利用病毒攻擊 病毒是黑客實施網絡攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性，而且在網絡中其危害更加可怕，目前可通過網絡進行傳播的病毒已有數萬種，可通過注入技術進行破壞和攻擊。 2.1.7 木馬程序攻擊 特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統。 2.1.8 網絡偵聽 網絡偵聽為主機工作模式，主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具，就可以輕易地截取所在網段的所有用戶口令和帳號等有用的信息資料。[/font] [font=Verdana] 現在的網絡攻擊手段可以說日新月異，隨著計算機網絡的發展，其開放性、共享性、互連程度擴大，網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進，操作系統對本身漏洞的更新補救越來越及時。現在企業更加注意企業內部網的安全，個人越來越注意自己計算機的安全。可以說：只要有計算機和網絡的地方肯定是把網絡安全放到第一位。[/font] [font=Verdana] 網絡結構分析在系統可行性分析階段就應進行了。因為在這階段實現安全控制要遠比在網絡系統運行后采取同樣的控制要節約的多。 2.2 防御措施主要有以下幾種 2.2.1 防火墻 防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障，用于保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計。 2.2.2 虛擬專用網 2.2.3 虛擬局域網 2.2.4 漏洞檢測 2.2.5 入侵檢測 2.2.6 密碼保護 2.2.7 安全策略 3. 結論 [b] [/b] 總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。目前互聯網安全技術主要分為三類:傳輸加密、入侵檢測（主動和被動）、QoS。通常在一個健壯的網絡安全體系下，三者分工明確，又互相協作，已經成為但當代網絡安全技術的核心。 但是這樣的安全是用犧牲了很大一部分的網絡傳輸效率的代價換取的，即使這樣，隨著黑客攻擊的手段越來越隱蔽，病毒生及換代周期越來越短，使我們的網絡安全技術始終處于被動地位，所謂治標不治本。 歸根到底，網絡的一切弊病都是緣于我們的環聯網internet技術的設計缺陷造成的，我們當今的互聯網的傳輸協議采用的tcp/ip協議，以上的攻擊技術其實歸根到底也都是根據此協議的漏洞而設計的。 因此，采用RS232串口及相關協議取代以太網傳輸，能從根本上隔離以上所有不安全因素，是根本的，有效的。 二、低延遲性 眾所周知，以太網因為路由協議的和IP協議的先天性原因，延遲是以太網一直無法解決的問題，而采用RS232串口及相關協議，這個問題可以迎刃而解，因為RS232協議采用的簡單的硬件傳輸協議，其協議指令簡單高效、作為簡單的點對點跨網環境，傳輸控制指令，是最佳選擇。 三、簡單性 采用RS232作為跨網的主要技術接口，可以施工聯網節約很多成本，因為其只要將連接鏈路接通即可，不用作以太網那樣的煩瑣配置（路由配置、VLAN） 解決方案 兩個網絡里設立兩個獨立的CCS視頻服務器, 每臺服務器安裝兩個232串口。公安網的用戶首先登陸到本網的視頻服務器2。圖像控制、切換及報警信號全部通過232串口進行交互通訊，決定監控網的解碼器解前端哪一路的圖像，從而間接完成公安網的用戶可以實時瀏覽監控網的每一幅圖像。 公安專網的圖像瀏覽，控制通過二次編解碼的方式。即網絡之間不是直接調用高速公路監控網的數字視頻流，而是模擬視頻信號。客戶可在公安網的任意一臺授權計算機上瀏覽所有圖像。 高速公路監控網：攝像機→編碼器→交換機→解碼器→視頻光端機/T 公安網：視頻光端機/R→編碼器→交換機→視頻工作站 通過以上兩種方式，既可以達到兩網之間資源共享，同時又最大限度保證了網絡安全。 實現方式示意圖： 說明： 構架“背靠背”的CCS服務器，每臺服務器安裝兩個RS232串口，實現雙向交互透傳。 在視頻網內獨立配置10路解碼輸出，作為公安專網的視頻源，通過“背靠背”CCS服務器，將其配置成一個可控，可切換，可輪訓、報警上傳、DO聯動的虛擬矩陣，并配置其相應的用戶即可跨網實時切換調用視頻資源 10路解碼輸出通過視頻光端機，將視頻傳到公安專網的編碼器/電視墻上。 公安網內部用戶，使用合法權限的用戶登錄到本地的CCS服務器，獲取到實時視頻資源，并可實時控制，實時接收報警信號等聯動信息，因為所有的控制，報警信號都是通過兩臺“背靠背”CCS服務器的232串口時間，增加了安全性，也減少了傳輸延遲。 [/font]