电力系统网络安全解决方案篇1
关键词:未知攻击;同质化;被动防御;主动防御;防御体系
中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2011)23-0000-03
SolutiontoUpgradetheexistingpowerSystemnetworkSecurityDefenseSystem
LiYongkang1,ZhouJunpeng2,ChenYunfeng1
(1.Departmentoftechnologyinformation,panzhihuaelectricpowerBureau,SichuanelectricpowerCorporation,panzhihua617000,China;2.Departmentoftechnology,ChengduChinatechHuichuangtechnologyCo.,Ltd,Chengdu610041,China)
abstract:analyzedtechnologiesoftheexistingpowersystemnetworksecuritydefense,itshowsthecurrentsecurityanddefensetechnologycansolvethevastmajorityofknownmaliciouscodeattacks,butitisinastateofpassivedefense,whichcannotrecognizethenewandunknownmaliciouscode,itproposedtoupgradetheexistingsecuritydefensesystemfortheactivedefensesystem,toachievethesolutionofdifferentiationanddefenseindepth.
Keywords:Unknownattack;Homogenization;passivedefense;activeDefense;Defensesystem
一、前言
(一)电力行业简介
电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。
电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力销售市场的扩大又刺激了整个电力生产的发展。
(二)电力行业信息化it系统架构
电力行业it系统按照“SG186”体系部署,整体化分为一体化企业级平台、业务应用系统和六个保障系统,形成“纵向贯通、横向集成”的庞大信息网络。业务应用分为建设财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等。六个保障体系为信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
二、当前电力系统网络防御技术分析
(一)电力网络行为与内容的安全情况。电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面,面对的威胁应当属于是战略性质的,即电力系统威胁不仅要考虑一般的信息犯罪问题,更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击,甚至要考虑战争与灾害的威胁。
(二)电力网络系统安全情况。对于电力行业主要考虑以下系统:各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微波、电力载波、有线、电力线含光纤)、电力信息系统等。这里主要考虑到电力调度数据网(SpDnet)、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心,必须保障电力系统畅通的24小时服务。
目前,大多数规模较大的发电企业和很多省市的电力公司在网络安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、Vpn设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统,并取得一定的效果,应当说是有自主特色的。
(三)电力信息内网安全防护体系。电力信息内网属于电力网络的管理信息大区中,信息内网定位为内部业务应用系统承载网络和内部办公网络,部署了大量的应用服务器和数据库服务器、以及不需要外联的办公主机。
电力信息内网对外连接包括:通过公用信息网与上下级电力公司的信息内网相连接;通过Vpn连接互联网,以保障移动办公终端的接入;通过逻辑强隔离设备与信息外网相连接;通过正/反向隔离装置与生产控制大区相连。电力信息内网部署有以下安全防护手段:
防火墙系统。信息内网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;
信息内网出口处部署防火墙系统,实现网络边界防护,同时保护web服务器域;
Vpn系统。信息内网出口处部署Vpn系统,为移动办公、营销系统远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;
为了统一管理和维护,电力的移动办公统一入口设在信息内网的Vpn网关处;
入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;
日志审计系统。信息内网部署一套日志审计系统,采用分级部署方式,实现全省信息内网安全事件的集中收集和审计问题;
主机管理系统。电力信息内网统一部署主机管理系统,实现主机设备的统一管理和防护;防病毒系统。电力公司信息内网部署一套防病毒系统,采用分级部署方式,控管中心设在电力公司本部,地市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。安全管理分区。电力信息内网依据业务系统保护等级,分为生产控制区(Ⅰ、Ⅱ区)、管理信息区(Ⅲ区)和外部信息网,各分区进行相应等级的安全防护。
(四)目前防御系统的防御弱点
病毒检测扫描类技术的防御弱点。从病毒到恶意代码(木马、蠕虫、病毒、恶意脚本、Shellcode、流氓间谍软件),无论是种类还是数量都是海量增长,来自海量恶意代码的海量攻击使得基于以字符串CRC效验、散列函数值等特征码检测为主;采用加密变形的启发式算法、仿真技术检测为辅的病毒检测技术已无法有效检测每天如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超级恶意URL库、自动化分析流程为主要特点的云安全技术在一定程度上改善互联网用户安全的同时,存在分析时延、病毒特征库更新时延、恶意URL搜索时间间隔等问题,同时海量提交的文件带来的极大分析压力使得分析失误的概率大大增加,从而给用户带来极大的风险,对于物理隔离的专网、内网也无法使用云安全技术。该类产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入侵检测防御类技术的防御弱点。入侵检测技术经过多年发展,iDS、ipS、Utm、应用防火墙、防毒墙等产品能应对大部分已知攻击,对网络安全起到了非常大的作用,但也存在辨识技术上的防御弱点。以基于规则描述的特征组合检查为主,协议异常检测、统计异常检测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻击流量、基于未知漏洞的攻击流量、加密变形的攻击流量,更无法截断潜伏在这些流量中的有经验黑客的深度攻击。
由iDS(监控报警子系统)+安全工程师(辨识和决策)+防火墙(处理子系统)构成的防御系统,严重依赖安全工程师的经验和分析水平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能力,使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现实的。其它非防御类安全产品的弱点。加密技术类安全产品可以解决泄密问题,却无法阻御攻击者和恶意代码对加密信息的破坏。行为管理类安全产品能管理用户的行为,却无法阻挡有意者的恶意攻击行为,对恶意代码和黑客攻击的后台行为,更无法察觉和控制。身份认证类安全产品能解决身份可信问题,却无法保证合法者伪造的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制能力更适合作为处理控制手段,而不是攻击和恶意代码的识别工具,更无法解除流量中的威胁,桌面级的防火墙更是带来网络管理上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险,却没有防御攻击的手段。主机安全产品,偏重于主机使用者的行为控制,它本身不能防御恶意代码的攻击和破坏。以上安全类产品由于解决的主要问题是在安全的其它方面,从防御组成来看,本身缺乏防御能力,更需要安全防御系统来保护这类安全资产。
(五)当前电力防御体系总结分析
当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不能阻挡每天如潮水般增长的恶意代码,其技术壁垒也逐渐显露,其被动性的原因主要有以下几点:1.恶意样本和攻击的海量增长。据国内安全厂商江民科技对近年来恶意代码数量的统计,2011年上半年全年共增加病毒特征代码48万余条。
2010年上半年及2011年上半年新增病毒特征数量示意图[1]图1
2.对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变为一个集团利益团体甚至国家利益的团体,在经济、政治利益的驱使下,免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足,对未知攻击和威胁无法识别。要防御攻击带来的威胁,首先要解决对攻击和威胁的识别,传统的特征码识别技术对未知的攻击和威胁无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、全局皆破。随着电力系统在信息化建设方面的不断加大,信息安全问题也逐渐凸显,病毒、蠕虫、木马等恶意代码在网络中肆意传播,严重威胁着电力系统的正常运行。而现有的防御体系则主要以协议过滤、特征签名包和特征码比对技术为主构建的传统的防御体系,能够有效的防御已知的恶意代码攻击(已有的特征签名包和特征码),但对于多变的未知的恶意代码攻击却显得无能为力。因此,需要一种技术能够实时有效的防止未知的恶意代码攻击,从而提升整个网络的安全防御体系。传统的防御手段所采用的技术是导致其被动性的根源,面对当下如此严峻的安全形势,亟需构建一个实时主动的网络防御体系。
三、构建主动防御体系
(一)防御系统的构成标准
在网络信息对抗中,一个完善防御系统的防御链必须由监控、辨识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善有效、三个子系统的自动化联动程度四个方面,其中最核心的是辨识决策技术。
目前的安全产品,能有效构建防御系统主要是以病毒检测扫描类技术和入侵检测防御类技术为主,但这两类技术都存在防御弱点。
(二)构建电力系统主动防御体系
在构建主动防御体系之前,不防先回顾一下防御系统产生的原因:有了信任与欺骗的斗争,于是便产生了可信任体系;出现了攻与防的斗争,也就有了防御体系。那如何构建一个防御体系,不防借鉴历史战争,其无非分为三种:事前防御、事中防御和事后防御。
于是建立如下的主动防御体系:
主动防御中心图2
从图中可以看出,防御体系的强弱取决于攻击事件正在进行时防御系统的防御能力,也就是事中防御。而从传统的防御体系可以看出,无论是漏洞检测技术、网络准入技术、特征码扫描技术都偏向于事前防御,在事中实时防御上,特别是事中主机防御上存在严重不足。因此,要提升整体网络的防御能力,必须加入主机事中防御的技术。
四、主机主动防御技术的实现
在主机层面要做到事中防御,必须摒弃传统的特征码比对技术,做到“敌动我动”的实时防御。经过业界专家的研究,提出了基于行为检测的主动防御技术。即不依赖于程序的特征,而是根据程序所表现出来的行为来预先判断其合法性。这在理论上是可行的。给出主动防御的概念:在监控、分析、侦测等环节中采用主动感知未知威胁行为识别、行为智能处理、行为防御加固等主动性技术来进行防御。
(一)恶意程序行为的提取
恶意代码一般的行为包括注册表操作、文件操作、进程的行为和网络行为等;在windows操作系统上,可执行文件基本上都是通过api的调用来执行,以上任何行为都要通过导出函数或者系统调用接口[3]。可通过对恶意代码行为进行搜集和数据挖掘,建立如下的行为算法模型:
行为算法模型表1
格式1行为行为描述危险等级
格式2行为序列行为描述危险等级
…
说
明1.格式1适用于单个行为的规则建模;
2.格式2适用于由多个行为组成的行为序列的规则建模;
3.m表示函数的参数个数,n表示行为序列包含的行为个数;
4.四个危险等级:低、中、较高、极高,代表不同级别的恶意程序;
5.“参数取值特征”表示对应的函数调用行为表现出恶意性时的参数的具体取值。
6.“参数0”表示只识别函数的调用行为,不对调用参数进行分析;
7.若“参数取值特征”为“nULL”,表示对应参数的值等于nULL;
若“参数取值特征值”为“nULL”与“参数0”配合使用,表示不需要分析对应的实参。
(二)深层监控实现
主机层面的防御又可分为六个方面:内核子系统、服务子系统、应用子系统、通信子系统、文件及资源子系统、账号及认证子系统。每个子系统又按照p2DR(policy、protection、DetectionandResponse)模型组成一个完整的、动态的安全威胁相应循环[4]。任何攻击无非是攻击操作系统以上的单个或者多个方面,因此通过对六大子系统实时监控,最终达到对主机威胁行为识别。识别技术是辨识和处理的前提。
主动防御引擎模型图3
(三)辨识技术的实现
操作系统向外提供丰富的系统api接口,方便上层应用程序对系统资源的访问,开发各类功能软件,程序行为指程序或代码对操作系统资源如文件系统、注册表、内存、内核、网络、服务、进程等的访问操作。恶意代码行为特点:非授权性和破坏性,主要表现为恶意代码对系统资源的非授权访问或篡改,如信息窃取、建立后门、实施破坏等行为。了解程序行为和恶意代码的行为后,通过对恶意代码的行为分析,并将恶意代码必经的攻击点进行记录和分类,丰富到行为库中,形成一套行为算法库,通过行为算法库来判别程序的合法性。其他子系统的行为引擎,也可建立相应的模型。识别技术是关键。
(四)强大的处理能力.
在判断程序的危害性后,可通过取得操作系统底层权限,对恶意代码进行处理,对无法及时处理的可通过隔离,重启后删除。采用系统级主动防御技术,在异常监控技术上将监控范围扩大到操作系统上的六大子系统,包括内核系统、应用系统、通讯系统、文件及资源系统、账号及权限系统,采用分布式监控技术实现对全系统的监控。在辨识决策技术上是以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础,采用动态行为跟踪技术,依据恶意程序行为特征算法库,判定程序的性质和逻辑,预先判断程序的危害行为和风险,实现对恶意代码和恶意行为的自主识别、判断。在管理上平台可设计灵活的组网方式,实现多级连接、分权管理,也可通过同入侵检测系统iDS、访问控制中心等联动,获得全网安全态势,预警和应急处理全网安全事件,组成主动防御控制中心。
五、结论
当前日益严峻的安全形势下,恶意代码泛滥,针对传统的防御方式已形成了一条集生产木马、销售、传播等一体的黑色产业链,其利益集团也由个体利益、团体经济利益逐渐演变成政治利益,甚至于国家之间的利益。因此,在防御手段上必须不断的推陈出新,建立基于差异化的防御技术平台,才能有效的防范已知的和未知的恶意代码攻击。
基于行为分析的主动防御技术的实现,弥补了传统的防御方式无法查杀未知恶意代码的弊端,提升了整个网络安全的防御体系,使原被动滞后的防御体系成得实时主动,是未来主机防御技术的方向。主机主动防御技术采用程序行为分析技术,能主动防御病毒、木马、间谍软件、恶意脚本的攻击及入侵,特别是对未知、新型、变种、加密、加壳等恶意代码的防御效果显著,其应用,将在智能电力网络受信息安全威胁的电力行业带来了一场革命。
参考文献:
[1]江民科技.2011年上半年网络安全信息报告[n].江民科技网,2011,8:12;2011,9:23
省略/news/jiangmin/index/important/2011810155519.htm.
[2]B51.628-2009.成都中科慧创科技有限公司.网络体系式主动防御系统[S].
[3]陈培,高维.恶意代码行为获取的研究与实现[D].计算机科学,2009,1-3
电力系统网络安全解决方案篇2
融合之惑
广东电网公司是中国南方电网有限责任公司的全资子公司,是全国最大的省电网公司,注册资金480亿元,公司资产总额1280.82亿元,员工12万人。广东电网公司经营电网投资、运行维护、电力交易与调度等业务,直接管理广东省全部21个地市供电企业以及电力调度、通信、设计等共42家企业,代管50个县级供电企业。
在2005年亚太地区ieee/peS输配电国际会议的讲坛上,南方电网公司董事长袁懋振提出了南方电网的总体技术路线,他指出,要大胆采用先进技术,提高装备和管理水平,建设数字化南方电网。作为占南方电网公司70%资产的广东电网公司理应在数字化和网络建设方面争当排头兵。
然而,在广东经济和电力迅速发展的情况下,广东电网公司在数字化建设中也遇到了网络难题。以前,为了满足全省电网系统办公自动化的需求,广东电网公司建立了一个单一的oa城域网;之后,公司又建立了一个财务专网来满足财务一体化的要求。
用一个综合的业务网代替以前相互隔离的网络,降低人力、营销、决策等系统的潜在投入成本,促进各个系统之间信息的相互融合,是广东电网公司提高现代化管理质量的基础。广东电网公司迫切需要一个先进的网络解决方案来加快信息网络的建设,思科公司凭借其对中国电力信息化建设的深入理解和其解决方案的先进性成为广东电网公司网络设备及城域网解决方案的提供商。
想用户之所想
思科公司提出,电网公司要提高自身的管理水平,技术体系和管理制度同等重要。要提高技术体系的管理水平,it网络建设是基础。但网络建设不能与业务脱节,思科有着丰富的电力信息化建设方面的成功经验,对电网公司的业务也十分了解,这对理解广东电网公司的网络需求非常关键。
为了更深层次地把握广东电网公司的需求,思科公司的工程师拜访了广东省全部21个地市供电企业的负责人,通过沟通交流,准确地了解到了客户的实际需要。同时,思科的品牌和服务意识也得到了广东电网公司上上下下的认同。
在充分调研的基础上,思科公司为广东电网公司提出了mpLSVpn的解决方案。该解决方案可以在同一网络上划分不同的逻辑网,通过mpLS技术在对业务实现安全隔离的同时,又达到了数据互访目的。
于是,oa、财务、人力等系统可以共存在同一网络上,而且,如果要新增一个应用系统时,只需在逻辑上进行划分即可,大大减少了网络建设的重复投资,提高了网络利用率,而且具有一定的超前性,为今后实现全省的数据集中和各业务平台的顺利运行提供了有利的保证。此次广东电网公司城域网采用思科mpLSVpn解决方案进行建设,并同时成为拥有超过200台思科6500系列交换机的超级企业用户。
6500系列交换机之利
思科6500系列交换机提供多插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。6500系列中的所有型号都使用了统一的模块和操作系统软件,形成了能够适应未来发展的体系结构,由于能提供操作一致性,因而能保护it基础设施的投资,增加投资回报。
思科6500系列交换机具有集成式高性能的网络安全性,可以有效防止非法的用户和设备入侵、信息丢失,确保网络持续运行,特别适合电网公司安全稳定的特点。不需要部署外部设备,直接在6500机箱内部署集成式的数千兆位防火墙模块、高性能入侵检测模块、千兆位网络分析模块、千兆位Vpn和基于标准的ipSec模块,可简化网络管理,降低网络的总体成本,为电网公司的网络应用保驾护航。
此外,用于思科6500系列交换机的CiscoioS软件模块化通过在最需要网络可用性的环境中提供故障抑制和更快的故障恢复速度,为网络可用性树立了新的标准。这使得网络管理员在不影响网络可用性的情况下,逐步安装新的补丁,以满足迫切的需求,例如修复严重的安全漏洞。随着电力体制改革的深入,“厂网分离,竞价上网”,使得越来越多的电力企业感受到了激烈的竞争。
新的通信模式
电力系统网络安全解决方案篇3
立体安全防护考虑到了信息安全防范的多个层次以及各个方面,是一个完善的解决方案。
信息系统在提高工作效率、辅助决策、优化管理的同时,也带来了众多的信息安全风险,比如:黑客的入侵和犯罪、病毒木马的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、DDoS攻击的巨大危害、内部人员的违规和违法操作、用户上网行为的管理和控制、移动存储介质带来的信息泄密、网络与主机系统、服务的脆弱和瘫痪,信息产品的管理和失控等等。这些风险时刻威胁着各项业务的正常运转。一旦风险失控,将可能带来无法估量的重大损失。
针对上述种种安全隐患,同时为了降低各种信息安全风险,保障业务的连续性,将损失尽可能降到最低点,基于信息安全的“保密性”、“可用性”和“完整性”原则,华为推出了融“慧”贯通的立体安全防护体系,为客户业务保驾护航,目前在各行各业的信息化领域得到了广泛的成功应用。
“融”:融合网络和内容安全
“融”是指融合网络安全和内容安全,包括web安全、邮件安全、应用与通信过程的安全及安全管理平台。它是方案的全貌。
从入口方向,方案要做的是:抑制恶意代码通过web应用传播,阻止病毒通过web下载传播,对所有的请求进行数据安全性验证;抑制垃圾邮件传播、抑制病毒或恶意代码通过邮件传播,同时对邮件服务系统进行加固;阻止利用网站应用漏洞使用SQL注入或跨站攻击等方式获得系统或数据库管理员权限,保护网站web应用安全;评估与防护系统漏洞、防止DDoS攻击。
在出口方向,方案要做的是:提供主动危害防护,对恶意内容过滤,控制内容访问;对邮件进行加密,避免信息泄漏,建立邮件审计机制,对用户恶意行为有追述能力,过滤邮件中的恶意内容;基于应用和操作识别,控制访问过程和数据传播过程。
俗话说:“三分技术,七分管理”。优秀的产品与技术需要优秀的管理平台支撑,否则只是一盘散沙,无法发挥应有的作用。在华为立体安全防护解决方案中,整个安全体系由统一的安全管理平台VSm管理,对网络中的路由器、交换机、防火墙、入侵检测系统、Vpn、Secospace等网络及安全产品进行统一的集中管理与监控,保证各个产品的正常运行与协同工作,使安全管理真正落到实处,真正体现立体安全防护体系的威力,减少管理环节,提高管理效率,降低管理运维成本。
“慧”:构建主动安全架构
“慧”指的是主动安全架构。
安全是动态变化的,安全防护产品及技术体系必须时刻研究变化发展的安全趋势,适应新的安全形势。为此,华为提出了业界领先的主动安全架构(proactiveSecurityFrame)模型,它是华为针对未来安全的发展趋势,运用华为立体安全防护的理念提出的主动安全解决方案的集合,该方案针对网络模型中各层威胁的特点,提供应用和内容的双向安全管理与防护。借助华为分布于全球的ip信誉评估系统,它能够提供及时主动的、实时的在线安全。
为了保证能及时了解变化发展的安全形势,华为专门成立了近200人的安全专家团队。这是国内最大的安全技术预研小组,专注于对网络安全基础及前沿技术进行深入分析研究,并进行协议分析、防病毒、反垃圾邮件、网络攻防技术的研究和相关知识库的积累。这些能力和积累是华为提供优质安全产品、解决方案和服务的最有力的支撑。
“贯”:建立纵深安全防御体系
“贯”是指建立纵深安全防御体系,实现“进不来”、“看不了”、“拿不走”、“打不开”、“跑不掉”的安全目标,保证信息资源的安全,保持业务的连续性。
在总部与分支机构、移动用户、合作伙伴等的数据传输上,通过ipSec/SSLVpn实现信息的加密安全传输,防止被黑客非法窃听;
在网络层,通过防火墙、Utm综合安全网关堵截网络威胁,通过连接控制、认证、授权技术对访问者进行认证授权,并为事后的追溯提供依据。
通过入侵检测系统对各类网络攻击、入侵行为进行检测响应,及时报警通知管理员采取适当的防护措施,同时可与防火墙、Utm设备进行联动,及时阻断入侵行为的继续进行,保证内部网络及业务的安全性。
web网关具备防恶意软件能力,对web应用程序进行控制,通过web过滤、SSL流量检测、内容检查和防信息泄漏等技术,保证web应用安全。
邮件安全网关提供反垃圾邮件、防病毒、内容检测、加密以及信侵检测等功能。
所有的安全功能,均由华为的安全知识库体系提供有力的技术支撑。
Secospace内网终端安全管理系统对内网及终端用户进行保护及控制,可以与已有的用户认证系统结合,非法用户将被阻止接入网络,合法用户认证通过后,需经过安全检查确认该终端的安全性之后方可授权访问权限内的资源;同时能够规范员工行为,管理和审计终端的各种行为举动,监测控制非法外联、非法存储介质的使用,防止机密资料的外泄,对安全状态进行连续监控,实现不间断防护。
Secospace文档安全管理系统可以为机密文档加强保护,保证文档的权限不会扩散,即使不慎丢失或者被黑客、间谍窃取也无法使用,防止泄密。
日志审计、流量分析解决方案可以为管理员了解网络及业务运行情况提供有力的数据支持,便于管理员提出信息化优化方案,进一步促进业务的发展;在安全事件发生后,可以为事后追踪取证提供依据,防止抵赖。
“通”:时刻保持网络的畅通
“通”是指保证网络出口不受DDoS攻击的影响,时刻保持网络的畅通,保证业务的可用性。
华为防DDoS攻击技术通过对攻击指纹信息的匹配与学习,采用线速的深度报文检测技术,可以有效抵御各种类型DDoS的攻击,阻断僵尸网络的传播与控制途径。
华为防DDoS方案提供10G接口以及20G的流量清洗能力。该方案不仅支持流量型攻击检测和清洗,同时还支持小流量应用层的攻击检测和清洗,如httpget及CC攻击;同时开放接口设计,可轻松地与统一网关平台进行对接,为客户提供安全灵活的组网部署方案。
电力系统网络安全解决方案篇4
关键词:档案管理;信息化;资源共享;网络安全
中图分类号:tp315
文献标识码:a
文章编号:1009-2374(2012)29-0154-02
随着信息技术的不断发展以及人们对信息需求的不断增加,实现档案信息资源的共享就显得尤为重要。然而,在实现档案信息资源共享过程中档案信息的生产、移交、归档、管理以及利用都必须依托于信息网络,因此遂昌电力局在实现档案信息资源共享时,不仅需要考虑档案资源管理的安全性问题,还需要考虑档案资源网络与信息系统的安全性问题。
1 遂昌电力局档案信息资源共享中存在的安全问题
1.1 网络系统本身的脆弱性导致的安全性问题
有信息专家提出,当前绝大部分的网络系统都至少存在三个以上的漏洞可以使得入侵者获得系统的最高权限。近年来,国家电网公司加快了档案数字化进程,建立了统一的档案管理应用平台,实现了档案信息资源共享。国家电网公司在档案管理系统在设计和实现的过程中,也较为充分地考虑到了信息的安全性问题。然而,随着技术的不断发展和进步,任何系统都会出现一些漏洞,需要去逐步发现问题,并逐一加以解决。因此,遂昌电力局的档案信息资源管理网络系统本身就必然会存在一些不足或者说存在漏洞。这也意味着,档案信息的安全会受到一定的威胁。
1.2 内部人员的违规操作可能导致的安全性问题
若内部管理人员未按照《信息安全反违章》的要求对系统进行安全性设置或者将密码违规借给他人、泄露给他人使用,都会对遂昌电力局档案信息资源的安全性造成一定的影响。除此之外,内部人员将信息存取权提供给未经授权者或者未区分不同安全等级的信息资源,都会影响到系统的安全,从而有可能导致信息的泄露、篡改,甚至是丢失。
1.3 外部人员的非法入侵可能导致的安全性问题
外部人员的非法入侵是网络系统脆弱性的一个重要因素。据相关统计,外部人员入侵网络系统的案例之中,有将近25%是来自于系统实施方,因此外部人员的非法入侵与网络系统本身的脆弱性之间是密不可分的。然而无论如何防范,外部人员的入侵总是存在的。例如安全防范最为严密的美国五角大楼,受到的外部人员非法入侵数量也是逐年
增加。
2 遂昌电力局档案信息资源共享安全性提升的对策
2.1 提高信息安全的管理意识
在遂昌电力局档案信息资源共享存在的几项安全问题之中,都与自身的信息安全管理意识有着非常密切的关系。若不重视档案信息资源管理的安全意识,再精良的硬件、软件设备,再完善的网络防护手段,也无法杜绝信息资源的安全性问题的出现。因此,遂昌电力局尤其是档案数字化管理相关部门,首先要提高信息安全防范意识,转变落后的信息安全管理理念,加强与科技信息、安全保密等部门的联系,认真执行省公司有关保密和档案信息化管理的各项规章制度,加强档案系统的权限管理,保证档案在保管、利用等环节的安全,并且实时开展档案数据备份的工作,保障档案数据信息的安全。
2.2 加强档案信息资源共享的安全管理
信息安全管理是保障网络安全的核心。制定全面的网络安全管理制度和完善的网络安全体系,能有效地预防网络中出现的各种安全隐患。如果没有较好的管理制度,再多的实施方案都如形同虚设,得不到真正的应用。因此加强网络相关人员的培训,提高他们的素质,并且结合一个有效的管理制度,从素质上和制度上对网络安全进行双重保障。
档案信息资源共享系统建立完成之后,对于推动公司档案信息化建设工作的深入开展,保障公司系统各单位档案数字化工作的顺利进行起到了非常重要的作用。为了尽可能地提升遂昌电力局的档案信息资源共享安全管理能力,有必要设立一个专门的机构,统筹各个职能部门,建立起内部档案信息管理制度,将档案信息资源共享系统的安全性问题纳入到内部相关管理人员的绩效考核指标体系之中,使信息安全与内部管理人员的切身利益直接相关,从而提高其警惕性,加强对档案信息资源共享的安全管理。
此外,还需要制定有效的数据加密机制,数据加密可以保护数据的安全,保证数据、文件、口令等重要信息的真实性、完整性和可用性,能有效提高信息系统的安全性。完整的加密措施,可以有效防止黑客攻击,防止黑客利用系统中的漏洞获取账号、口令等重要信息,从而造成系统的破坏。常见的加密方式可分为链路加密方式、端点加密方式和节点加密方式三种,用户可结合本单位的实际情况选择合适加密方式。
2.3 强化系统实施方管理,减少外部入侵
在档案信息资源的共享系统建设过程之中,为了减少安全患,要与实施方签署《浙江省电力公司信息系统外来工作安全保密协议》,严禁将涉及国家机密和企业机密的计算机、存储设备连接到信息内外网或其他公共信息网络,在进行数据交换时必须使用公司专配的安全移动介质,以保护数据信息的真实性、完整性和可用性。一旦发现来自于实施方的外部入侵行为要严格追查,严格按照双方约定的协议追究其侵权责任或者违约责任。
3 结语
网络安全问题是当前网络环境下资源共享之中不可忽视的一个问题,文章研究了来自网络系统自身、内部人员以及外部入侵几个方面的安全性问题,并且提出了针对性的解决对策。希望文章的研究对于电力局档案信息资源共享更好地提升其安全防范能力能够有一定的参考和借鉴价值。
参考文献
[1] 马金玉.电子档案与纸质档案在档案管理与利用中的区别[J].兰台内外,2007,(6).
[2] 鄢淇.如何迎接电子档案的挑战[J].机电兵船档案,2007,(3).
[3] 项文新.构建基于信息安全风险评估的档案信息安全保障体系必要性研究[J].档案学通讯,2008,(1).
[4] 童云.关于电子档案风险防范与控制的思考[J].金陵科技学院学报(社会科学版),2008,(3).
电力系统网络安全解决方案篇5
[关键词]档案;管理;信息化
档案信息化,就是在国家档案行政管理部门的统一规划与组织下,在档案管理活动中全面应用现代信息技术,对档案信息资源进行处理、管理和提供利用服务。换言之,档案信息化是指档案管理模式从过去的以档案实体保管为重点向以档案实体这种主要形式向社会提供服务为重点的转变过程。
一、档案信息化的建设
(一)建立档案网络系统
档案网站是档案机构在互联网上建立的站点,是各类档案信息并提供档案利用服务,构成信息网络的一个节点,在档案系统内建设数字化综合应用平台。建立健全内部服务网和公众服务网,发挥网站的作用,使档案网站成为宣传档案工作、探讨档案业务交流、开展档案信息服务的窗口,这项工作,极大地促进了档案信息化的建设。在此基础上,根据系统建设需求,采购必要的硬件设备,为系统提供硬件基础。提高档案管理软件的技术和应用水平,为保证档案信息交换、实现档案信息资源共享创造条件。制定相应的策略、保障档案资源的原始性、安全性、可靠性。
(二)加强电子文件的管理
一是随着计算机信息管理网的建立与发展,越来越多的重要文件被传输上网。上网前,又按照信息管理部门的统一要求进行了文件格式的转换,在一定程度上保证了数据的可靠性和通用性。对那些未输送到计算机信息管理网上的具有保存价值的电子文档,应由电子文件形成部门编目整理,也利用网络技术向档案部门传输,也可以借助信息管理网络在各业务管理机构与档案部门之间开通电子文件归档专递网线,建立依附在信息管理网上的归档专用子系统。将上网与未上网的具有保存价值的电子文件通过此系统传输给档案部门。档案部门经与办公自动化和信息管理部门协商后,要对归档的电子文件提出格式要求。无论利用何种途径归档,必须由电子文件形成单位按统一格式编目整理后,传输给档案部门,不能由档案部门自行从网上下载,以保证电子文件形成部门对其数据的真实性、准确性。档案部门接收的电子文件一律存入光盘,最好不用磁盘存贮。
(三)强化档案队伍建设,提高业务素质
档案人员必须从杂业型转向专业型。保证档案系统现代化管理工作有序、正常、持续的发展,人的因素是主要的。档案管理领域缺乏懂软件开发又精通档案专业知识的复合型人才;提高整个档案队伍素质,创造条件有针对性适合不同的工作岗位。进行知识更新,适应对外指导工作和内部基础管理工作;建立竞争机制,克服人的惰性,充分发挥人的主观能动性,有他们的用武之地和舒展才能的场所;建立激励机制,合理设置岗位。工作科学量化,体现一个单位内工作量大与小不一样、专与不专不一样,有利于工作人员的积极性和创造性充分发挥。
二、网络环境下档案安全问题
(一)网络技术本身的安全隐患
网络本身就不是一种很安全的信息传输方式,网络上的任何信息都是经过重重网站分段传送至目的地。任何中介站点均可以拦截、读取甚至破坏信息。同时,网络与应用技术的发展很快,新的技术不断推动新的应用,而安全技术是一种在对抗中发展的技术,它总是滞后的,这样就导致了网络的脆弱性。目前,我国信息安全技术研究与应用起步很晚,技术防范能力不强,许多系统处于不设防状态中。
(二)电子文件的信息共享,带来了一些不安全因素
以计算机为载体的电子文件档案,不同于以纸质为载体的纸质档案,它可以不受时间、地点和人员的限制随意阅读,这种电子文件的共享性是其运作环境网络化决定的,是一种进步和发展。同时,也对电子文件带来不安全和泄密因素。如不采取措施,则可使网络的任何终端设备读取在网络上的文件,致使一些保密文件泄密。
(三)组织管理的隐患
据有关资料显示,90%以上的档案管理人员没有受过正规的计算机安全培训,他们缺乏计算机与网络的相关知识,缺乏对档案信息网络的安全意识,致使网站遭到攻击。而从事信息产业的公司没有精力对网络安全进行人力和物力的投入,很多站点的管理人员都是新手,在操作中出现漏洞,使入侵者获得控制权。
三、网络环境下档案信息安全的对策
(一)管理方面的对策
1.加强电子档案信息基础设施配置的管理
在配置各种基础设施的过程(下转第33页)(上接第31页)中,要充分考虑硬件、软件性能参数,特别应当关注它们的稳定性、可靠性、安全性与数据恢复等功能。同时,对库房的选址,馆舍的建筑,温湿度的控制,防光防尘的要求都应按照有关规定,严格遵守。
2.设计可信的电子档案安全管理系统
由于电子档案对信息技术的依赖,安全、稳定的系统是防范风险发生的最有效的措施。因此就要求在设计系统之初,电子档案管理人员必须参与到开发设计的工作中去,根据前端控制思想和全程控制思想,设计出满足电子档案保存功能需求的系统,尤其要注重系统在权限限制、身份证、安全警告、全程监控、保存迁移档案、区分版本和自动保存日志等安全方面的功能。
3.选择可靠的信息保存载体,制定适合的管理制度和方案
载体性能的好坏直接关系到电子档案信息是否安全,这一点是无庸质疑的。在电子档案安全管理制度和方案的制定上,我们应该根据分级管理思想、风险管理思想以及危机管理思想进行综合考虑,其中尤其重要的是制定合适的电子档案备份方案和应急管理机制。
(二)技术方面的对策
实体安全防护和防电磁辐射技术。光盘作为目前网络环境下最基本的存储介质,它本身的质量也决定着档案的真实性、可靠性,购买时一定要符合国家档案管理标准的光盘。用来作为电子档案的光盘必须是只读,只能供使用者读出信息而不能追加或擦除信息,这种特性可以有效地防止用户更改电子档案内容,保持电子档案的原始性和真实性。
(三)硬件防护技术
1.数据备份系统
对电子档案载体进行有效的检测与维护,电子档案载体,极易受到环境的影响,因此,应当定期检测和拷贝,检测每年进行一次,采用等距抽样或随机抽样的方式进行,样品数量应不少于10%为宜;拷贝应每四年一次,要求多重备份,以防数据丢失,并且原载体继续保留的时间不少于四年。对于电子档案的检测和拷贝,必须建立相应的跟踪记录,避免发生人为的误操作。
电力系统网络安全解决方案篇6
关键词网络系统;信息安全;入侵检测
中图分类号tm7文献标识码a文章编号1674-6708(2011)43-0075-02
SomeSecurityproblemofthenetworkinformationSystemsofelectricitySystems
GUFei,ZHanGmin
ChuzhousuburbanelectricityCompanylimitedCoLtD,Chuzhou239000
abstractwiththediversityofinternetusersandinternethavebeensinkintoeveryarea.objectively,nooneinternetcanabstainboringofsafe.electricitySystemisaformwithsingleandlarge,butinnerinformationisalsohardtoavoidanyothersafetyissues.thisessaycarefullyanalysiseverysafetyaspectsofinternetcurrently,andsummarizewhichissuesshouldabbeyinelectricityinternet.
Keywordsnetworksystems;informationsecurity;intrusiondetection
社会在进步,各种技术发展突飞猛进,互联网亦然。一方面,随着全球各种人群的介入,网络黑客的各种手段攻击和入侵手段多样和密集;另一方面,各行各业与互联网的联系越来越密切,互联网信息成为关键的一环。网络安全以及网络数据信息的安全,正在成为与公司,政府,国防,以及个人的切身利益有重大关联的头等大事。没有任何一个网络能够免受安全的困扰,依据Financialtimes曾做过的统计,平均每20s就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
中国电力电网公司的行业特殊性导致电力系统分支庞大,很多分公司,供电所,电厂已经相配套的能源设施分布复杂,经常跨省跨地区,设置国外设置分公司,偏远山区的供电所,变电站多不胜数。电力公司总部,各公司各分支部门的业务网,信息网,收费服务网相互交叉,如何合理安排,如何合理连接,如何保证各部门高效安全进行信息交流和沟通是电力组网网络管理部门必须解决的头等大事。
省市一级的公司、总部规模一般都比较大,相应的业务组网都采用专用专线,通过租借网络运营商来连接总部,分部的业务信息等内网,在内部网络上进行内部的业务信息沟通,这种组网方式存在的问题在于组网贵,信息不安全,网络覆盖率差,很多偏远地方也没有能力让专线覆盖到,这些多公司的整体业务规划,运营模式都造成了很多反向影响。
网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以安全产品的选型事关重大,要提到国家战略的高度来衡量,否则一旦被黑客或者敌国攻入,其代价将是不能想象的。
网络与信息安全平台的任务就是创建一个完善的安全防护体系,对所有非法网络行为,如越权访问、病毒传播、恶意破坏等等,做到事前预防、事中报警并阻止,事后能有效的将系统恢复。著名的木桶原理(木桶的容量由其最短的木板决定)在网络安全里尤其适用。所以,我们的方案必须是一个完整的网络安全解决方案,对网络安全的每一个环节,都要有仔细的考虑。所以网络安全系统方案必须遵循如下原则:
全局考虑:遵循中心统一调配,各单位分类分别监察的原则,水总是从最矮的环节漏出,全局整体考虑,不遗漏。
综合协调:网络安全不单靠技术措施,必须结合管理,在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。
保持平衡:安全措施的实施必须以根据安全级别和经费限度统一考虑,保持协调。网络中相同安全级别的保密强度保持一致。
集中管理:所有的数据产品要求在数据中心进行集中管理,这样才能保证在中心服务器上可以掌握备份和处理全局敏感数据。
交叉控制:防火墙产品在管理上面不仅在数据中心可以完全控制外,在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。
综上所述,一个好的网络安全解决方案应该由如下几个部分组成:
1)防火墙
网络防火墙是保证网络数据和控制安全的重要防线,阻隔网络黑客的恶意攻击。其主要作用是根据网络访问数据的来源和目的对访问数据流识别,禁止非法访问,放行合法数据流。其最大的意义就是筑起一道防护墙,提供统一的安全策略。降低管理成本和内在风险。所以设置安全策略是非常重要的
2)入侵检测
检测入侵就是通过扫描访问数据流里的某些特征字段,或者探测网络本身系统的异常,例如主机病毒等来发觉某些系统攻击。察觉异样就报警并作出相应处理,或者根据预定的处理步骤作出反应,例如隔断该数据流的ip,或者不返回数据。从某种意义上说,入侵检测不能完全精确的发现所谓的攻击痕迹。Hacker可以讲一些常用的网络攻击交叉,并行组合成另外形式的攻击,而入侵预防系统不可能把所有的攻击形式或者相变异的形式都概括进来。所以不能在思想上确定入侵检测系统是万能的概念,随时做好预防补救措施。
3)安全考核管理
该系统必须时刻检测网络中和主机系统,客户交换系统中各类与安全息息相关的事件,比如资料复制,资料外泄,文件删除、破坏,非法登录等,将这些情况真实记录,并能对重大违规行为及时中断。所有的这些手段就好像让罪犯留下证据,在后期处理时能够提供宝贵的侦破和取证数据,并防止被销毁和篡改。其后续步骤应该是根据证据和数据,跟踪下次违规行为并提前做出防范措施。经过多次学习剔除等,系统考虑做出记录什么样的数据已经在什么条件下记录等。
4)防病毒以及特洛伊木马
计算机病毒的危害不言而喻,计算机病毒发展到今天,已经和特洛伊木马结合起来,成为黑客的又一利器。微软的原码失窃案,就是一黑客使用特洛伊木马所为。
5)做好安全保密教育工作
网络安全的宣传普及,相关的防泄密保安全的措施的严格执行是保证公司内部安全的重要保障。做好重要文件和数据的隔段备份,也是信息安全的重要后补措施,防止恶意攻击和意外灾害带来的无可挽回性损失。
我们假设某电力系统整体结构是―通过wan连接的二级网络,整个网络分为内网和外网两个网,内外网之间物理隔离。网络中心与下属7个分单位通过网络进行数据传输,在网络每一级的节点上具有一个局域网,在二级网络上运行着电力业务系统、办公自动化服务等,该网由网络中心和7个分单位组成。在给各局域网出入口安装防火墙。在关键部位安放入侵检测系统,而且所有的服务器和普通pC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行管理和审计。对重要的数据和文件做好隔期备份,切实做好网络安全是高效完成经营业务的有效保证。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3).
[2]赵聪锐.数字图书馆的网络安全与防范对策[J].科技情报开发与经济,2007(13).
[3]马莉.基于防火墙病毒防护的计算机网络安全[J].科技资讯,2010(2).
[4]赵建平.信息安全风险及对策研究[J].科技情报开发与经济,2004(5).
[5]丁振波.浅论医院信息系统的安全管理[J].今日科苑,2009(6).
[6]白海涛,马惠铖.小型局域网安全策略研究[J].科技资讯,2009(33).
电力系统网络安全解决方案篇7
艾默生推出的“新一代数据中心网络能源柔性整体解决方案”是一个典型的“一体化”网络能源解决方案,大大提高了整个iDC机房的可用性和安全性。
当越来越多的东西被放到一个“篮子”里,一旦这个“篮子”倾覆,巨大的损失将难以估量。
这个悬念就是“数据大集中”留给人们的副产品。经过几年的发展,我国的很多行业已经由“数据大集中”进入了“后数据大集中”时代。在这个过程中,企业的核心竞争力得到了巨大的提升,但集中的数据安全风险也在悄然降临。人们不禁开始思考,我们拿什么来保护数据中心这个“装满数据的篮子”?
“后数据大集中”时代到来
进入21世纪初期,银行、保险、邮政、税务等已基本完成了“数据大集中”或进入了最后的扫尾阶段,开始步入“后数据大集中”时代。这个时代的典型特点是:基础网络已经基本到位,基本的业务已经在基础网络上承载运行。与此同时,为了适应竞争的需要,企业还要对原有业务基础网络进行进一步的优化和改造,使之更加适应业务的发展和管理的优化。“后数据大集中”时代的信息化建设重点是“多业务整合”,即通过采用新的技术来整合分散的业务系统,再造业务流程,使之更加符合客户的个性化需求。
与此同时,数据中心机房的网络能源系统建设势必面临着一系列转变:从分散供电向集中供电转变;从非在线不间断供电向纯在线不间断供电转变;从关注供电保障向关注数据安全保障转变;从关注单个设备的高可靠性向关注整个系统的高可靠、高可用性转变。这样一来,建立一个“一体化”的网络能源系统已经成为大势所趋。
刚柔并济
艾默生推出的“新一代数据中心网络能源柔性整体解决方案”就是一个典型的“一体化”网络能源解决方案。这个方案实现了iDC机房各网络能源子系统之间的充分兼容和配合,具备了从系统组件到系统之间的有机在线冗余,消除了从组件到系统的单点故障,大大提高了整个iDC机房的可用性和安全性。
艾默生解决方案中的“柔性”是指,不管行业如何革新,客户需求如何改变,艾默生都能拿出最适合客户的解决方案与产品――不仅能够支持iDC机房系统的“向上扩容”,适应数据中心的快速发展,而且能够进行“重新配置”,适应数据中心不同发展阶段的不同需求。
“我们将产品设计成不同的模块化单元,并对这些模块化单元进行标准化操作,再依据客户的应用场合进行有针对性的客户化设计,这就是‘柔性’。我们的直流供电方案、交流供电方案、机房恒温恒湿方案、监控方案、室内和室外的供电方案都体现了‘柔性’的概念。”艾默生网络能源副总裁丁麒钢先生这样解析艾默生的“柔性”理念。
电力系统网络安全解决方案篇8
在2012年CCBn展会上,深圳市同洲电子股份有限公司以“打造全业务平台,发展多业务终端”为主题精彩亮相,在推出以智能机顶盒、智能一体电视机为代表的多业务终端系列新品的同时,全面展出了支持三网融合的全业务平台方案、创新人机交互技术以及丰富、新颖的增值业务。
其中,以n9008C合家欢机顶盒、n9201增强型高清机顶盒为代表的机顶盒新品以及搭载安卓智能操作系统的4G智能一体电视机新品,融合了多领域技术,可在支持传统视音频业务基础上,实现网络接入并支持语音及数据业务的运营。而同洲电子与其子公司深圳市龙视传媒有限公司共同展出的云媒体SDp平台解决方案,则让参观者对创新的人机交互技术以及丰富的增值业务有了切身了解。此外,同洲公司还在本次展会期间成功举办了“三网融合技术创新论坛”。
长虹:大力推广“智能3D·创新融合”产品及方案
在CCBn展会上,长虹公司以“智能3D·创新融合”为主题,展示了智能终端系列产品、增强型高清双向机顶盒产品、双向网改解决方案及直播星系统服务方案。
其中,长虹智能终端产品主要功能包括:支持DVB-C的数字电视以及录制,支持多屏互动;支持基于DLna协议支持内容分享;支持本地多媒体播放及3D视频;支持ipC监控以及录制、部分支持HtmL5,浏览器访问互联网,支持web视频及各种智能应用。
双向网改epon+eoC及DCoSiS产品主要包含如下几个产品类别:oLt产品方面的em3000的低密度产品系列;在onU产品方面,标准的4Fe接口的onU产品,以及满足FttH方案的4Fe接口+2个Voip接口+1个CatV接口的产品;在eoC方案中则主要展出了低频的HomeplugaV方案和高频的moCa方案。
永新视博:推出手机飞视棒
在CCBn展会中,永新视博以一款灵活好用并可畅享数字电视多屏互动的新产品吸引住了观众的眼球。这款以手机为娱乐中心的产品,以通过云端架构的“多屏互动”方案,可实现手机、paD、电脑和电视之间的互联互通和云端共享,让普通电视变身为智能电视。
诚毅:全业务运营支撑解决方案精彩亮相
针对全国各地省网整合基本结束的市场新形势,诚毅软件为省级网络运营商提供了全新的全业务运营支撑解决方案——下一代BoSSnine*,全新升级的绿色服务支持体系,以及专为移动多媒体运营商提供“CmmB前端系统ip网多业务承载解决方案”。
浪潮:打造端到端云电视解决方案
在CCBn展会上,浪潮以“智在云端创想世界大不同”为参展主题,携浪潮领先的智能云电视整体解决方案精彩亮相。该方案采用自主创新的开放智能机顶盒软件平台,可实现与国内多数主流广电运营商的无缝对接,同时支持国际领先标准技术的应用开发服务与多屏互动。该方案除可支持高清视频点播、时移电视和互联网电视等基础服务外,还开拓了电视支付、互动游戏、应用商城、多屏互动和视频通信等三网融合新业务,形成了下一代广播电视网络(nGB)整体解决方案。此外,在浪潮媒体云的的支撑下,云计算架构还为该方案提供了持续不断的服务及业务扩展能力。
算通:服务创新互动体验三网共赢
在CCBn展会上,算通科技展示了数字电视6大软件产品:Cti-CaS4.0、VoD、SVC、pUSHVoD、广告业务播出系统及节目导航系统。其中,高安全条件接收系统Cti-CaS4.0与高安全解扰芯片相结合,可以有效地杜绝非法共享,可支持多种付费方式、发送广播信息、机卡配对、智能卡漫游控制、区域准禁播、子母卡控制、强制跳转、成熟率控制、时段控制、指纹显示、卡批号控制、双向交互、数字电视短信预付费、多级Ca系统控制和管理、空中升级和密钥更新、预加密等多种功能;集标准化、开放式、易扩展、部署灵活等特点于一体的交互电视解决方案,集合了节目收录、转码、节目管理、内容保护、网页制作、视频点播和计费统计的流水线功能特点,可为运营商高效、快速、经济、灵活地部署营利性点播业务提供坚实的后盾保障;SVC可伸缩编码技术、HeVC高效率编码技术及三屏合一点播方案,可实现多屏多终端同时点播,并全面兼容互联网电视、pC、android、iphone/ipad等终端。
nDS:技术提升内容价值
在CCBn展会上,nDS公司展示了多种为中国市场提供的高品质、适合本地的解决方案,以满足中国市场对互联网电视、网络整合及三网融合等方面的需求。主要包括下一代数字家庭网络、多屏收视、互联网电视、云媒体平台解决方案等。其中,采用增强型用户界面——Snowflaketm的安全多平台解决方案,不但可将内容传输到多种设备,还可将互联网电视的内容交付到家庭多种移动设备中,使运营商在不同设备上为用户提供无与伦比的收视体验,同时保持用户界面的一致性和简单易用。
St:助推中国电视数字化
意法半导体展示了新一代家庭网络平台——StiH416及一系列可支持更多网络娱乐功能的机顶盒新芯片。其中,StiH416具备极强的数字娱乐体验的支持能力,可支持电视广播和overthetop、多屏幕多媒体串流、3D游戏和3D电视、社交视频电话,以及其他家电与传感器连接的家庭自动化应用。主推的芯片包括:StiH207解码器。可用于ip机顶盒、单向机顶盒和个人数字录像机机顶盒;StiH237。集成一个DVB-S2解调器,适用于单向卫星机顶盒;StiH239集成了两个DVB-S2解调器,适用于卫星个人录像机和双模高清画中画机顶盒;StiH273/StiH223。集成了DVB-t和DVB-Cannexa/B/C解调器;StiH207解码器。支持1080p60解码、双高清画中画和3DtVmVC。其中,StiH207、StiH237、StiH239和StiH273采用27x27mmBGa封装。
Broadcom:全力推进高清市场发展
Broadcom(博通)公司在CCnB期间宣布,推出新的40nm高清有线电视机顶盒单芯片系统解决方案——BCm7581和BCm7582,以满足全球对入门级高清机顶盒平台日益增长的需求。其性能主要包括:具有浮点单元的高性能CpU和2DGpU支持所有流行的中间件和用户界面解决方案;1GHzDVB-C高频头采用了先进的RF接收器技术,以支持全球各地各种不同的有线电视系统;采用独特的FastRtV快速频道转换技术,以缩短频道转换时间,提高客户满意度;支持所有高级音频格式及Broadcom自动音量技术;全面集成的以太网端口支持互动式有线电视业务;支持高清显示器的HDmi1.4a和分量输出及先进的付费电视安全功能。
moto:多屏时代解决方案
为了满足用户在任何时间、任意地点及任一设备上完成对于移动信息、家庭管理、网络服务的需求,摩托罗拉公司推出了两款全新产品及解决方案,其中4HomeConnectedHomeGateway平台能让智能家居生活变得更加简单。用户只需要进行简单的连接,它就会自动将所有的家庭遥控设备与家庭网络进行连接;而基于云计算的medios服务管理软件则可让服务商能够为用户提供真正的融合体验,包括在住宅内外都能实现电视屏幕和配套设备、或直播及点播电视内容並与其他终端的互联互通。
杜比:众多高清内容提供商支持杜比数字+
杜比实验室在CCnB期间宣布,包括上海文广互动、天华世纪传媒、华诚、多可视和优点互动在内的多家国内领先的高清内容提供商均已或计划支持杜比数字+,让有线电视运营商能够有丰富的环绕声内容资源来提供优质音频节目。
marvell:展示前瞻平台家庭多媒体创新应用
首次亮相CCBn展会的marvell公司展示了其基于新一代前瞻平台的家庭多媒体创新应用。包括智能电视、新一代机顶盒的多种方案,三屏融合演示及基于web的开发应用,并展示了其aRmaDa1500芯片。这款芯片主频高达1.2GHz,且拥有双核CpU,不但可支持多种输入方式,还可支持数字电视、蓝光、机顶盒及数字媒体适配器应用中的所有连接。基于该芯片可以开发出iptV机顶盒、嵌入式机顶盒、互联网机顶盒或otttV,其超强的计算性能,可为用户带来耳目一新的应用体验。此外,marvell中国区销售副总裁梁宜先生表示,非常开看好安卓4.0系统在智能电视市场的应用前景。
高通创锐讯:推出全新时分多址(tDma)软件
高通创锐讯公司在CCBn展会期间宣布,为同轴电缆以太网(eoC)应用推出优化的最新时分多址(tDma)软件,同时推出高通创锐讯第一款入门级eoC解决方案–QCa6411。其中,优化的tDma软件为基于HomeplugaV/ieee1901的eoC解决方案而开发,提供了一系列新功能,包括对运营商而言至关重要的端到端网络管理和带宽分配功能等;而QCa6411芯片则可为有线双向机顶盒提供基于eoC的回传解决方案。最重要的是,这两款产品均是为基于HomeplugaV/ieee1901的eoC技术而提供。
汤姆逊逊视频网络:展示多款视频产品及解决方案
在CCBn展会上,汤姆逊视频网络展示了其新内容上载平台、多频电视和ott交付解决方案以及整套ip视频前端设备等多款产品及解决方案。其中,ViBe内容上载平台,具有前所未有的1RU机箱、8个高清频道配置以及业界领先的性能;ViBeVS7000视频系统是一套针对web电视、机顶盒服务交付、传统iptV和ip有线交付等融合应用的全新“全格式转换”转码平台;而通过ViBeem4000多通道高清编码器、标清ViBeem2000和em1000以及新款amethystiiiip交换机等组件作为紧密集成的系统,则可为广播公司提供一个高效、全ip前端架构。
aRRiS:加大中国区拓展力度
在CCBn展会上,aRRiS重点展示了以下产品及方案:广告解决方案;Servassure方案套件;端到端的三网融合服务投放平台;革新性的互动演示系统;未来家庭宽带系统的展台设计理念及专为有线和电信市场打造的可扩展的、多功能的视频解决方案。全面覆盖三网融合结构中的所有产品线:从BigBand的产品BmR,到aRRiS的发送平台,再到CmtS、光站放大器,其中可实现网络实时监控的管理平台软件产品可在简化网络管理的基础上,大大降低运营商的运营成本。此外,为了更好支持中国市场的发展,aRRiS在扩大北京办公室规模的同时,用于支持三网融合产品演示的实验室也于近日正式开幕。截至目前,aRRiS在中国已经有6个办公地点:深圳的研发中心及位于上海,北京,南京,广州和香港的销售办事处。
大洋:隆重参展CCBn2012
大洋精心打造的“浩瀚”云媒资、novelworks新媒体工厂等产品在CCBn期间闪耀登场,此外大洋同台展示D3net3.0新一代高清新闻制作网、D3-edit高清非编、“睿逸”播出系统、Dauric演播室图文包装系统等新品。
第三届CCBn创意设计大赛圆满落幕
2012年3月22日,由CCBn组委会主办的第三届“CCBn创意设计大赛”颁奖活动在中国国际展览中心一号馆门口隆重举行。多家广电研究机构及制作单位的领导出席了颁奖仪式。浪潮等多个企业获得殊荣。
思亚诺:与行业畅谈车载CmmB未来发展
CCBn期间,思亚诺公司亚洲商务拓展副总裁兼中国区总经理王渭先生发表精彩演讲,介绍了车载移动数字电视的市场概况及定义、现阶段面临的技术挑战等,并介绍了思亚诺公司为汽车市场提供的CmmB接收芯片——SmS1180。该芯片为满足汽车市场的要求提供最优化的解决方案,具有低成本、高性能的特点,是目前汽车oem厂商采用最多的CmmB芯片。
晶晨:为智能云终端提供可靠之芯
晶晨公司宣布推出一款新一代超性价比的amL8726-mX芯片。这是一颗面向平板电脑,ott/ip机顶盒的“aaa”云终端芯片(armDualCortex-a9,安卓4.0iCS以及amLmesoneXtra),集成了强大的多核CpU和多核GpU、2D/3D图像子系统、视频解码引擎及完备的外设接口,是一颗具有极大性价比的多媒体云端片上系统芯片。
华为:CCBn展示媒体云解决方案
2012年CCBn展会上,华为展出了面向广电的媒体云解决方案,覆盖媒体内容制作、消费和传播的全生命周期。媒体云解决方案包括针对电视台的新媒体内容中心解决方案,以及针对广电网络的媒体汇聚平台和高效分发网络SmartCDn和Cache。该方案能够帮助运营商进行内容经营和管道经营,将广泛的内容汇聚到广电网络中,经过全媒体生命周期的各项加工处理,增强内容资产附加值和广告潜在价值。同时,华为媒体云解决方案还能够通过CDn高效低成本进行内容分发、通过Cache技术节省网间流量并提高用户体验,还能够通过感知用户的特性对管道进行商业增值,帮助运营商高效、智能化地经营管道。
思科:Videoscape平台亮相
在2012年CCBn展会期间,思科以“融通云端视联天下”(enablingCloud-basedVideoexperiences)为主题,向业界展示了云、网络和客户端无缝整合的一体化解决方案。其中重点介绍了基于Videoscape平台的多款产品与解决方案以及“云视频”应用与服务。Videoscape平台由思科精心设计而成,为迁移到全ip视频基础设施提供了一条出色的途径,可将云、网络和客户端组件无缝整合在一起,支持视频传输与录制、暂停视频播放和恢复播放等功能。在思科Videoscape平台架构下推出的多款全新产品,可以为消费者带来出色的“云视频”体验。
uwand:展出面向智能电视的全新遥控技术
飞利浦旗下专注于遥控技术领域的uwand公司亮相2012年CCBn,并在本次展会上展出了uwand遥控技术,该技术是一项具备3D功能的直接定点遥控技术,通过与电视进行整合,用户可以更为精确地定位电视屏幕上的物体,以便选择节目并执行指令。用户通过uwand可直接与多种设备进行互动(只需定位并点击),如电视机、机顶盒、DVD机、个人电脑、硬盘录像机、数码相框及游戏操纵板。在全球各地,uwand既可作为独立遥控器也可嵌入其他遥控器。
nagravision:重点推广DLK以及面向ott的技术方案
在2012年CCBn展会上,nagravision公司展示了其naGRamediaaccessDLK条件接收系统,该系统专门为那些在广播环境中以较低aRpU提供低价值内容的服务提供商所设计。它能够提供适当水平的安全级别,但减去了智能卡的成本以及相应的物流成本。同时,其还推出了面向ott(互联网电视)的内容安全解决方案,该方案能够基于软件提供非常安全的内容保护和内容传输,支持运营商的多屏播放的诉求。此外,该公司还了新推出的智能广告系统。
电力系统网络安全解决方案篇9
关键字:网络安全;通信技术;信息安全技术
1网络安全现状
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。
面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。
2网络安全分析
1.物理安全分析:网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要注意这些安全隐患,同时还要尽量避免网络的物理安全风险。
2.网络结构分析:网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上internet/intranet的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(weB、DnS、emaiL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
3.系统的安全分析:所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择,无论是microsoft的windowsnt或者其它任何商用UniX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
4.应用系统分析:应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
5.管理风险分析:管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
3网络安全解决方案
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。
3.1安全技术手段
物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UpS)等措施。
访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等等。
数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
网络隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
3.2安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
主机安全检查:要保证网络安全,进行网络安全建设,第一步首先要全面了解系统,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具,彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性,一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。
主机物理安全:服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素,因为在选择iDC时你自己会作出决策。
在这里着重强调的是,有些机房提供专门的机柜存放服务器,而有些机房只提供机架。所谓机柜,就是类似于家里的橱柜那样的铁柜子,前后有门,里面有放服务器的拖架和电源、风扇等,服务器放进去后即把门锁上,只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子,开放式的,服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别,显而易见,放在机柜里的服务器要安全得多。
参考文献
[1]张曾科,计算机网络.清华大学出版社.2004.
[2]陈三堰,网络攻防技术与实践.科学出版社.2006.
[3]李昭智,数据通信与计算机网络.电子工业出版社.2002.
电力系统网络安全解决方案篇10
监所作为关押犯罪嫌疑人和服刑人员的场所,由于其功能的特殊性,因而对安全防范系统有其特殊要求。根据《全国监狱信息化建设规划》要求,到“十一五”末,我国监狱要构建覆盖全国的网络互联互通、信息资源共享、标准规范统一、应用功能完备的信息化体系。而据相关信息统计,目前国内60%的监所尚未全面开展信息化工作,远远低于“十一五”规划设立的目标。“十二五”期间,全国各地监所系统将在“十一五”建设的基础上继续加大安防的建设,完善信息化体系,提高信息化水平。本文将围绕国家对监所安防信息化建设的要求,针对当前比较普遍存在的“信息孤岛”和“缺乏预警”等重点问题,提出一套“高清化”、“集成化”、“数字化”、“网络化”的智慧监所安防信息化综合管理解决方案。
关键词:监所、安防信息化
中图分类号:C931.6文献标识码:a
1监所安防信息化建设现状和存在的问题
所谓监所信息化,就是建设完善基础网络,实现信息传输网络化;建设完善基础信息资源库,实现信息处理数字化;建设完善安全防范系统,实现安全防范智能化;建设完善监管和执法管理系统,实现监所管理、执法规范化;建设完善标准规范,实现技术应用标准化。
监所信息化建设最主要的两个方面就是监所管理信息化和安全防范信息化。本文重点围绕监所安防信息化建设现状中所存在的主要问题提出解决方案。
从近年来看,虽然监所安防系统在智能化方面取得了一定的进展,但由于多方面的原因,仍存在急待改进的问题,主要表现为存在信息孤岛现象和缺乏预警机制。
1.1信息孤岛
首先,由于监狱本身的特殊性,监狱安防系统涉及的领域非常广泛,通常包括:视频监控、紧急报警、周界报警系统、高压电网系统、门禁管理系统、电子巡更系统、对讲系统等多个子系统。从近年来看,虽然监所安防系统在智能化方面取得了一定的进展,但由于多方面原因,上述各个子系统都是独立运行的,视频图像和其他安防资源基本没有共享,相互之间没有关联,形成了信息孤岛。这样当监所内出现紧急突发状况时,管理人员就不能利用系统间的联动做出快速、有效的应急处置措施,更发挥不出预警和防范的作用。信息孤岛的存在,一方面造成人力、物力的浪费,另一方面造成了管理效率的低下。
1.2缺乏预警机制
目前,国内监所的视频监控系统虽然已经在从模拟系统向数字化系统升级,但仍普遍采用通过电视墙监视前端监控画面,采用硬盘录像机(DVR或nVR等)进行录像和回放等的监控管理模式。
此种模式是将“人”作为监控者自身,因而存在监控工作量大、效率低、反应速度慢等问题,而且这种传统、被动的视频监控管理模式,在大多数时候只能用于事后取证,无法起到有效的预警和防范的作用。
2智慧监所安防信息化综合管理解决方案
为了解决上述问题,同时满足监所安防信息化更高的要求,笔者提出如下智慧监所安防信息化综合管理解决方案的构建思路:
首先,笔者认为要解决信息孤岛问题,必须构建一个监所综合安防集成管理平台,将监所内的各安防系统有机地结合在一起,以达到即可实现单系统实施功能的运行,也能实现多系统整合集成与联动的目的。
安防多系统整合集成与统一管理已成为新一代监所安防的共识,其核心就是通过多个安防系统的集成,实现两个方面的目的:一方面实现多个安防系统的全面整合与统一管理,简化管理流程,提升管理效率;另一方面通过视频监控与各安防子系统的联动整合,提升整体的综合防范能力。
而针对缺乏预警机制,笔者认为,应适当增加智能视频监控技术的应用,如智能视频分析、应急指挥预案、专家决策分析等。智能视频分析主要是指:“自动地提取视频源中的关键信息进行智能化分析,并通过设置一定的条件和规则对其进行判断。”智能视频监控技术实现了监控方式由被动到主动的转变,能够实现全天候不间断地对视频进行检测,自动发现监控画面中的异常情况,从而能够更加有效的协助安全人员处理危机,并最大限度地降低误报和漏报现象,能够满足监所安防系统更高的要求。
因此,智慧监所安防信息化综合管理解决方案应由综合管理平台、综合管理客户端以及视频监控系统、紧急报警系统、周界报警系统、高压电网报警系统、门禁管理系统、电子巡更系统、在押人员报告系统、会见管理系统、电化教育系统、提审呼叫系统、违禁物品检测系统、武警执勤管理系统、智能视频分析系统等组成。综合管理平台是系统的核心,负责所有安防子系统的统一接入与集中管理,并实现视频监控与其他安防业务的整合联动。综合管理客户端为用户提供统一的登录、操作以及管理界面。
解决方案以监控图像资源为核心,实现了多系统资源的整合与集成,并通过上层综合管理系统的统一协调,实现各子系统间的资源共享与信息互通,从而达到管理便捷性、数据直观性、系统智能安全性等目的。
2.1综合管理解决方案的总体架构
在前述构想的基础上,笔者提出的智慧监所安防信息化综合管理解决方案总体架构如下:
由上图可以看出:智慧监所安防信息化综合管理解决方案由一个核心平台,和13个安防子系统等组成,并且具有三级架构。
监所综合安防管理平台是智慧监所安防信息化综合管理解决方案的核心,该平台通过整合视频监控、紧急报警、周界报警系统、高压电网系统、门禁管理系统、电子巡更系统、对讲系统等安防子系统,实现各系统间相互关联、报警联动、统一管理、统一界面,提高了监所管理部门对整个监所各安防系统的利用效率和应急处理能力。整个管理平台设计上主要包括各安防系统的接入设计要求、功能设计要求,以及基于综合安防管理平台基础上的全省(市)联网设计要求。
综合安防管理平台提供统一的登录、管理以及业务浏览界面,实现了多级平台级联,多系统统一管理。用户仅需通过综合安防管理客户端登录集成管理平台即可统一管理和集中查看已整合的所有安防资源,从而大大提升管理集中性、便捷性以及管理效率。
对于统一规划监所安防系统建设的省(市),基本都会要求全省(市)监所联网,即在省(市)级部署一套完整的安防监控管理平台、实现对下属监所图像调度、录像回放、报警处理等。因此,综合安防管理平台具有三层架构:省(市)级监控及安防联动、区域级监控及安防联动、监所级监控及安防联动。
智慧监所安防信息化综合管理解决方案具有两个支撑基础,即统一的信息数据库和高速的通信网络系统。
统一的信息数据库要求所有被集成的安防子系统必须使用统一的数据库进行数据存储、共享和交换,而不是使用各自的原始数据库。统一的信息数据库,包括所有犯人信息数据库、所有干警等管理人员数据库、所有智能化设备信息库以及监狱固定资产管理数据库等内容。
另一个支撑基础就是高速的通信网络系统。全省(市)监控联网包括各种安防设备的网络接入、监控的网络级联、视频的远程查看与管理等必须借助于网络的应用。要使不同的系统共同使用统一的数据库并保证相互之间信息交换的时效性,就必须使各系统运行在同一个高速网络平台上,并尽量使用统一的、基于ip的数据交换接口。
智慧监所安防信息化综合管理解决方案的系统网络架构如下:
2.2综合管理解决方案的各系统应用
本方案最主要的特点,首先是实现了各安防子系统的统一管理;其次是实现了各安防子系统的整合联动。
2.2.1各安防子系统的统一管理
智慧监所安防信息化综合管理解决方案由13个安防子系统组成:视频监控系统、紧急报警系统、周界报警系统、高压电网报警系统、门禁管理系统、电子巡更系统、在押人员报告系统、会见管理系统、电化教育系统、提审呼叫系统、违禁物品检测系统、武警执勤管理系统、智能视频分析系统。这13个安防子系统涵盖了安防领域的各方面的需求,可以根据实际监所项目应用需求进行组合,为监所提供全面的保障。实现集成后,所有安防子系统都可以通过一个统一的入口进行配置和管理,无需单独登录不同的子系统。
(1)视频监控系统
用于对在押人员行为实施视、听监控。包括各监区(监舍、走廊、盥洗室)、食堂、礼堂、出入口、禁闭室、审讯室、武器库等场所。特定场所如监舍等还要考虑到监控摄像头的隐蔽性。摄像头的安装要根据需要合理布置,不能留有监控死角。各监区监控点通过网络线缆将视频图像传送到网络交换机,交换机通过专网将数据流上传至监所管理中心。
监所管理中心负责本监所监控系统设备、用户、网络的统一配置、维护、管理。通过管理平台可调阅整个监所任意监舍或其它各建筑体的监控图像与录像,对监所内所有服刑人员的日常状况全面了解;还可随时抽查看守人员工作情况。发生突发事件时能第一时间查询相关录像文件了解原因并启动应急预案。
(2)紧急报警系统
用于在押人员发生重大突发事件时发出警报。包括监舍内设立的限高报警、声控报警、对讲呼叫报警,放风场设立的红外报警以及监区公共通道处设立的紧急按钮报警等。紧急报警系统通过各类探测器的应用,以电子值守代替人工值守,大大减轻管理人员的工作负担,有效防止由于人工值守造成的漏报警,及时发现和阻止突发事件的发生。
(3)周界报警系统
在监所周界围墙安装报警装置,用于发现、制止在押人员的向外脱逃或外部入侵。周界报警装置有主动红外探测器、室外探头等,新型的包括电子围栏、泄漏电缆等。其中,主动红外探测器比较经济,应用范围最广;电子围栏与围墙顶部的高压电网功能有所重叠,价格偏高;而泄漏电缆必须埋地安装,受到埋地深度、与围墙距离、作用范围等诸多因素的限制。周界报警系统还应与周界围墙处的摄像机相互配合,报警时提供声光警号提醒,并联动视频监控系统显示实时图像,护卫整个周界的安全。
(4)高压电网报警系统
在监所四周高墙上安装高压电网系统,主要由系统主机、高压分机、电网及周界附件等设备组成。系统可对高压电网的剪断、接触各种警情进行报警,并快速显示电网的电压、电流、警情种类、发生地点等数据,管理人员可根据情况对电网打击力度进行调整,对警情信息进行快速传递和处理。
(5)门禁管理系统
用于对监区各出入口、通道门、监房门等实施电子控制。门禁管理系统针对监所项目应注意几个问题:采用双向门禁,安全性能更高;不建议使用一体化门禁,一旦门禁被破坏,门将自动开启,而建议使用门禁控制器和固化读头配合使用的方式;需注意一些小配件的选择,如电子门锁、闭门器等,它们的性能很可能影响到门禁系统的功能实现。另外就是建议只监控监房门的开关状态,而不对监房门开关作控制,监房门的开关有看守人员负责管理。
(6)电子巡更系统
巡更系统用于记录民警监区值班巡逻的相关信息,包括巡更路线、时间、人员等,一般还用作考勤记录,主要提供给监所内部管理使用。监所巡更系统通常采用在线式巡更系统,与门禁管理系统、考勤系统和消费系统等共同组成监所一卡通系统。
(7)在押人员报告系统
系统主要有对讲主机、对讲分机、连接线路等组成。系统功能包括在押人员医疗、求助、咨询的日常生活请求,以及出现突发事件时监区民警与值班室的双向对讲通道。对讲总机设置在值班室,在押人员的对讲分机安装在监舍内,对讲分机采用防暴设计,如嵌入式安装或面板采用铝合金材料等。
(8)会见管理系统
会见管理系统采用电话对讲方式,对讲电话安装在会见大厅隔离屏障两侧,会见管理系统和控制主机安装在值班室,由值班民警进行合法监听,并设定通话时间、插话、强插和录音等控制。该系统涉及律师会见与家属会见两方面内容,主要对会见过程进行监控和管理,防止通风报信和违禁物品传递等意外事件发生。
(9)电化教育系统
一般由有线电视与广播融合组成,形成一套完整的视、听、讲功能俱全的系统,通过播放法律教育节目或指定节目,对在押人员进行教育。有线电视通过分支分配网络覆盖到每个监房,由监所管理中心统一播放节目,节目源可以是电视节目、科教光碟、现场演讲的音像资料等。广播系统不仅要求覆盖到每个监房,还应在监区通道和围墙周界安装号角,用于监房日常性广播播报和突发事件时警示的传达。
(10)提审呼叫系统
通过询问室、预审室、律师会议室内的对讲呼叫按钮来提醒询问或提审完毕,并由专人(狱警)带出相应房间。
(11)违禁物品检测系统
违禁物品检测系统,就是对出入监所的在押人员、外来人员携带的物品进行检查。该系统主要采用手持金属探测器、安检门、X光物体探测器等设备,最常用的是前两款设备,一般安装在嫌疑人入所登记处、家属会见室、律师接见室等。
(12)武警执勤管理系统
在武警中队值班室安装一台调度键盘,在各岗哨分别安装哨位控制台,武警中队值班室与各哨位实现语音监听、对讲和广播功能。哨兵可以解脱双手无阻碍通话,提高哨兵处置情况的能力。哨位控制台集成了手动报警、有线电话、子弹安全箱、指纹加拍照查勤、周边警戒区域监控显示、扩音喊话、警示语和空包弹等功能。
(13)智能视频分析系统
智能视频分析主要应用于监舍内以及监区室外周界。对监舍内的在押人员的行为识别,要求支持“限高报警”、“斗殴识别”、“起身报警”等智能分析功能。而对监区周界的监控,要求支持“跨线报警”、“徘徊识别”等智能分析功能,提高周界防范能力。
作为全新的监所安防信息化建设技术手段,智能视频分析系统变被动为主动,可自动识别上述多种异常行为,自动上传报警,从而达到节省警力、提升监管效率的目的。
2.2.2各安防子系统的整合联动
通过监所综合安防管理平台,以上各安防子系统既可以独立工作,又能综合布控,形成一个防范大网。视频监控系统是全网的建设基础,其余安防子系统可通过多种触发方式启动视频,特殊情况还可以联动广播和发送报警信息,达到广播、视频、对讲互动的效果,为迅速解决现场事件提供有力工具,提高监所的综合防范能力。
(1)报警与视频监控的联动
监所内一旦发生报警,视频监控子系统自动发出声光电警示、切换报警点图像上墙、进行图像抓拍、启动录像存储,同时弹出预先编辑好的告警处置预案,提示民警下一步处理流程。
(2)高压电网与视频监控的联动
当有人触碰电网时,就会产生告警,自动触发监控中心弹出报警点图像,启动录像存储,联动广播系统进行最高级别的语音告警提示,探照灯指向报警区域。同时综合管理客户端弹出告警处理预案,值班干警可按照预案进行应急处理。
(3)门禁与视频监控的联动
人员进出门禁,将自动抓拍现场图像,启动录像存储,及时记录人员进出的信息,抓拍的刷卡人员照片会与监所管理信息系统中的合法人员信息进行比对,确认其合法性。对于非法入侵事件,还可通过门禁系统发出的报警信息触发监控系统的一系列告警联动操作。
(4)巡更与视频监控的联动
如在规定时间内未有巡更记录,则可以通过巡更系统的报警信息触发监控系统的一系列联动操作。
(5)对讲与视频监控的联动
犯人要与干警对讲时,一旦取机,监控子系统就自动切换监房图像上墙、启动录像存储等,记录对讲时监房的现场视频信息。
(6)公共广播与视频监控的联动
当视频监控系统或报警系统检测到意外情况发生时,如斗殴、骚乱等,综合管理平台客户端会自动弹出相应预案,根据预案自动或手动将预录的一段文字输出到公共广播系统进行播放,实现通知、喊话和吓阻作用。
(7)智能分析与视频监控的联动
监所内犯人一旦出现爬高、穿越警戒线、夜间异常起身、打架等异常行为,系统将自动识别并报警,联动电视墙显示、自动抓拍现场图片、启动录像存储、记录报警信息。
(9)电子地图(3D)
电子地图在监所中应用非常广泛,监控、门禁、报警都可以通过电子地图实现直观的信息点定位、查询和管理。综合安防管理平台支持多图层电子地图的集成,可正确显示安防设备的位置和实时状态以及各区域的人员分布,报警时联动电子地图自动定位报警点,并闪烁提示。
(10)与监所管理信息系统的对接
监所管理信息系统集中记录了监所羁押人犯、在职干警、合法出入人员、监房情况等众多信息,便于日常资料查询和管理。综合安防管理平台通过开放的接口,与监所管理信息系统实现对接,在统一的管理平台下调取相关信息数据。如:当查看相关监房图像时可联动显示此监房在押人员数据信息,方便查询比对;在人员进出监区门禁时可自动弹出对应人员照片、所属单位等信息,防止各类非法进出,有效保障监所管理安全,提升工作效率。
2.2综合管理解决方案的特点
综上所述,本方案具有如下特点:
(1)数字化集成
采用一体化的管理平台,将监控、报警、周界、巡更、门禁、对讲、电网等系统整合在一起,实现“数字化集成”,由统一的管理平台软件来管理,同时实现各个系统之间的联动。
由于各安防子系统并非全部数字化和网络化,因此可以将这些子系统先实现在硬件上的集成,然后再通过数字化与其他系统进行集成。这样每个子系统都可以各自独立运行,也可以通过数字化集成实现各系统统一管理与多系统联动,整个管理平台稳定性高,维护方便,不受到网络制约。
(2)网络化
网络化是监所安防信息化建设不可缺少的功能。监所综合安防管理平台具备多级联网的功能,即在省级管理中心――区域级管理中心――监所级总控中心――各分控中心等各级之间实现联网;同时管理平台可以与用户的业务系统扩展整合,实现完善的监所安全集成管理模式。
(3)智能化
智慧监所安防信息化综合管理解决方案的智能化体现在智能视频分析预警、应急指挥预案、专家决策等方面。
智能视频分析是根据用户设置的报警规则,对视频图像加以分析,识别可疑行为,并在可能的威胁发生时,主动发出警示,做到防患于未然。
应急指挥预案专门应对突发的、紧急的重大事件,力求在短时间内执行应急预案,实现现场指挥人员以及后方指挥人员随时对现场情况的掌握。
专家决策是监所安防信息化较新的一个领域和方向,它通过资深专家和警员分析多起违规事件产生的前因后果,总结出监狱违规行为的经验,设立事件分析模型。通过运行事件分析模型,将监测系统中持续产生的事件、报警和各类业务运行信息,不断地与系统中已有的信息模块进行匹配,若匹配则马上提醒相关人员进行检查或制止,提前预防违规行为的发生。
3总结