1.ATM技术的特点?

2.网络安全的关键技术有哪些?

3.海康威视硬盘录像机录象效果说明

atm机的监控_8路atm监控主机

通过对ATM多业务承载网进行了以上研究以后,可以对ATM端局交换机下挂的F/R交换机提出如下要求:

1、物理端口接口功能

(1)E1接口(接头型号为RJ48)

物理特性满足G.703,帧结构满足G.704基本帧结构;E1帧中继接口支持信道化E1和非信道化E1;信道化E1支持N*64Kbps F/R端口,N小于等于30;非信道化E1支持F/R端口,支持G.704 TSO帧同步方式和非帧同步方式。

(2)以太网接口:1×10/100base-T以太网接口,接口类型为RJ45。

2、业务端口

(1)F/R业务端口

F/R业务处理能力参数符合X.144,X.145;支持U-NI-DTE(X.36)、UNI-DCE(X.36)和NNI(X.76)。

F/R端口支持LMI协议,DCE侧支持LMI协议自动识别功能,DTE侧需指定LMI协议,LMI协议支持Q.933 Annex.A、X.36、X.76。

F/R 端口拥塞告警管理:F/R端口只报告端口拥塞告警,考虑到CPU处理瓶颈,拥塞管理只对输入队列处理(包括F/R和ATM),所以只检查输入队列深度,根据两级门限判断拥塞和严重拥塞。拥塞时长统计分为两级,轻度拥塞时长和严重拥塞时长。拥塞时长只在一次统计数据报告时间段有效,单位为秒。

F/R 端口统计数据包括:F/R端口收到和发送的帧数、F/R端口收到和发送的字节数、F/R端口收到的帧数中太长和太短的数、F/R端口收到的帧数中DLCI无效的帧数、F/R端口收到的帧中被丢弃的帧数,指违反业务合同及拥塞管理丢失的帧、F/R端口轻度拥塞时长,F/R端口严重拥塞时长。

(2)PPP业务端口

可承载IP业务或桥业务;

支持安全认证处理;

支持PAP/CHAP,认证协议。二者的不同是:用PAP认证时,用户名和密码在链路上透明传输,而CHAP用双方都能识别的加密算法对用户名和密码进行了加密。

(3)HDLC业务端口

HDLC端口由E1端口或E1端口中的时隙构成,是一种逻辑端口。通过HDLC-F/R的连接,F/R网络可以透明承载HDLC用户业务。

3、连接特性

应该支持两种连接类型:F/R-to-F/R和F/R-to-HDLC。

(1)F/R-to-F/R Connection

基于F/R逻辑端口,实现帧中继交叉连接和统计复用功能。

(2)F/R-to-HDLC Connection

实现F/R连接透明承载E1接入业务,并且具有F/R交叉连接和统计复用的能力。该类连接一侧对应E1 HDLC的几个时隙(信道化)或整个E1 HDLC端口(非信道化),另一侧对应F/R逻辑端口的一个DLCI号。

4、应该具备的性能

(1)网同步方式的时钟应该不少于两种:C4等级的本振时钟和从1~8路E1接口提取恢复时钟。在时钟设置时,可同时选两路设置分别作为主时钟和副时钟。时钟选择的顺序是:首选从1~8路E1中提取恢复时钟,然后再选择本振时钟源。

(2)网管应有三种设备管理方式,提供包括设备、端口和业务级配置,警、性能、计费和安全管理操作,端口物理环控制和测试,支持本地升级和远程升级等四大方面的管理功能。控制方式上而言,支持三种管理方式:控制台管理、GHVIEW网管、iGHVIEW网管。

(3)提供良好的电信运营级QoS机制,支持按照DLCI、对应rt-VBR、nrt-VBR和UBR划分F/R业务优先级和优先等级。优先级、业务量参数按照F/R DLCI的CIR、Bc和Be参数之间的关系确定。

ATM技术的特点?

银行工作人员每天上午或者下午要清点ATM机,对账。多了钱,帐实不符,无法做账,她们在清点时都有监控的,核实后,会直接打到的账户。我在中行ATM机存1万元,遇到死机,全部被吞了。马上找工作人员,他们第二天清点后,发现多了,就直接把钱打到我的账户了。

网络安全的关键技术有哪些?

ATM技术的特点:

1、ATM用了分组交换中统计复用、动态按需分配带宽的技术。

2、ATM将信息分成固定长度的交换单元――信元。

信元长度为53个字节,其中5个字节用来标识虚通道(VPI)和虚通路(VCI)、检测信元正确性、标识信元的负载类型。由于用短固定长度的信元,可用硬件逻辑完成对信元的接收、识别、分类和交换,保证155Mbps-622Mbps的高速通信。

3、ATM网内不处理纠错重发、流量控制等一系列复杂的协议。减少网络开销,提高网络利用率。

4、在ATM网中可承载不类同型的业务,如话音、数据、图象和等,这在其他的网络中是不可能实现的。

5、ATM提供适配层(AAL)的功能。不通类型的业务在该层被转换成标准信元。

6、ATM是面向连接的。

7、ATM是目前唯一具有QOS(服务质量)特性的技术。

8、ATM 在专网、公网和LAN 上都可以使用。

扩展资料:

组成结构

ATM机安全防护设备主要是指ATM防护罩、ATM防护亭、ATM防护舱等ATM机配置。作为高端ATM防护产品的独立自助银亭在渐渐受到市场的重视。

银亭独立运作的特性也使得其可以进入小区、学校、广场等人口密集场所,给人们的生产和生活带来了诸多的便捷。

设备种类

ATM机根据安装位置可分为户外ATM机、户内ATM机及独立ATM机三种。

户内:根据ATM机的使用方式,户内的ATM机又可分为大堂式和穿墙式两种。

户外:根据安全性能要求,户外的ATM机有半封闭式和全封闭式ATM防护亭,全封闭式按外观形状可再分为方形和圆形,方形通称为户外ATM防护亭,圆形通称为ATM防护舱。

建设要求

1、新建或改建的自动柜员机须符合国家安全行业标准及技术规范要求,安装电子摄像监控、防撬窃报警和联网报警等安全防范设施。

2、离行式自动柜员机应按照国家有关标准实现联网报警,与自动柜员机所在单位签订合作协议,约定双方责任义务,协同做好自动柜员机安全防范。

3、自动柜员机管辖机构要加强自动柜员机安全防范,互相配合,发现隐患,及时整改。

4、发生自动柜员机风险及案件,应立即上报,迅速查明原因,及时处理解决。

百度百科-ATM

海康威视硬盘录像机录象效果说明

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:

执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。

但是,用基于MAC的VLAN划分将面临冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.

防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.

虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染的软件或文件,以及无法防范数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层取相应的防范措施.

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止与黑客侵入等方向发展.

1、使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。

例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。

策略执行

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。

2、 设置Firewall的要素

网络策略

影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略

服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。

Firewall设计策略

Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:

允许任何服务除非被明确禁止;

禁止任何服务除非被明确允许。

通常用第二种类型的设计策略。

3、 Firewall的基本分类

包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.

但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Ja小程序以及电子邮件中附带的.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.

网络地址转换(NAT)

是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.

代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

监测型监测型

防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

4、 建设Firewall的原则

分析安全和服务需求

以下问题有助于分析安全和服务需求:

√ 使用哪些Internet服务(如,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。

√ 增加的需要,如加密或拔号接入支持。

√ 提供以上服务和访问的风险。

√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。

策略的灵活性

Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:

√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。

√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。

远程用户认证策略

√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。

√ PPP/SLIP连接必须通过Firewall认证。

√ 对远程用户进行认证方法培训。

拨入/拨出策略

√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。

√ 外部拨入用户必须通过Firewall的认证。

Information Server策略

√ 公共信息服务器的安全必须集成到Firewall中。

√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。

√ 为Information server定义折中的安全策略允许提供公共服务。

√ 对公共信息服务和商业信息(如email)讲行安全策略区分。

Firewall系统的基本特征

√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。

√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。

√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。

√ Firewall必须支持增强的认证机制。

√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。

√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。

√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,等)也必须通过代理服务器。

√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。

√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。

√ Firewall可支持对拨号接入的集中管理和过滤。

√ Firewall应支持对交通、可疑活动的日志记录。

√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。

√ Firewall的设计应该是可理解和管理的。

√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。

5、选择防火墙的要点

(1) 安全性:即是否通过了严格的入侵测试。

(2) 抗攻击能力:对典型攻击的防御能力

(3) 性能:是否能够提供足够的网络吞吐能力

(4) 自我完备能力:自身的安全性,Fail-close

(5) 可管理能力:是否支持SNMP网管

(6) ***支持

(7) 认证和加密特性

(8) 服务的类型和原理

(9)网络地址转换能力

三.防护技术

历来是信息系统安全的主要问题之一。由于网络的广泛互联,的传播途径和速度大大加快。

我们将的途径分为:

(1 ) 通过FTP,电子邮件传播。

(2) 通过软盘、光盘、磁带传播。

(3) 通过Web游览传播,主要是恶意的Ja控件网站。

(4) 通过群件系统传播。

防护的主要技术如下:

(1) 阻止的传播。

在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装过滤软件。在桌面PC安装监控软件。

(2) 检查和清除。

使用防软件检查和清除。

(3) 数据库的升级。

数据库应不断更新,并下发到桌面系统。

(4) 在防火墙、代理服务器及PC上安装Ja及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:

(1) 入侵者可寻找防火墙背后可能敞开的后门。

(2) 入侵者可能就在防火墙内。

(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类:

√ 基于主机

√ 基于网络

基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。

基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:

上述模型由四个部分组成:

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点:

(1) 精确,可以精确地判断入侵。

(2) 高级,可以判断应用层的入侵。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵。

基于网络的安全监控系统具备如下特点:

(1) 能够监视经过本网段的任何活动。

(2) 实时网络监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式:

(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。

(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。

选择入侵监视系统的要点是:

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度,防欺骗能力。

(5) 模式更新速度。

五.安全扫描技术

网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:

(1) 速度。在网络内进行安全扫描非常耗时。

(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。

(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业网络中的以下方面:

(1) 路由器认证,路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) ***网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于:

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。

DVR即是Digital Video Recorder(也叫: Personal video recorder 即PVR)——数字录像机或数字硬盘录像机,我们习惯上称为硬盘录像机。

它是一套进行图像存储处理的计算机系统,具有对图像/语音进行长时间录像、录音、远程监视和控制的功能,DVR集合了录像机、画面分割器、云台镜头控制、报警控制、网络传输等五种功能于一身,用一台设备就能取代模拟监控系统一大堆设备的功能,而且在价格上也逐渐占有优势。

DVR用的是数字记录技术,在图像处理、图像储存、检索、备份、以及网络传递、远程控制等方面也远远优于模拟监控设备,DVR代表了电视监控系统的发展方向,是目前市面上电视监控系统的首选产品。

市面上流行的产品有PC平台DVR和嵌入式DVR,嵌入式DVR在稳定性、可靠性、易用性等方面有“专业化”的优势,嵌入式DVR会逐步侵占PC平台DVR的市场。PC平台DVR在通用性、可扩张性方面占有优势,在网络监控系统中仍可负担管理主机的角色,仍然有其自身的市场份额。

由于价格、性能等原因,在国内市场上的DVR产品主要是包括台湾在内的大中华地区及韩国的产品占主导地位,大陆地区企业具有“中国制造”的优势,但在技术上几乎完全依赖国外的技术发展,没有掌握核心芯片和嵌入式主板开发的关键技术,企业的技术创新能力较差,台湾和邻国韩国在这方面强于大陆地区企业。

目前国外已有很多公司投入资金开发多路的MPEG-II、MPEG-4压缩芯片,和小波的图像压缩芯片,新型压缩芯片的出现和应用,将使数字化网络监控迈向新的时代。

同时随着存储设备容量的不断增大,价格不断地降低,新的存储技术的发展,摄像机的全数字、晰度不断完善,高画质图像标准的产品将投入市场,成为数字化网络监控的新宠。

另外,企业在开发新产品过程中还应该注意通过行业协会建立统一标准,使不同企业的产品能够通过网络真正实现数据共享,并且应尽可能与楼宇智能系统中其它各子系统实现无缝连接,实现楼宇系统的统一管理和控制。

DVR系统的硬件主要由CPU,内存,主板,显卡,集卡,机箱,电源,硬盘,连接线缆等构成,让我们从系统学的观点出发,来分析这些部件的稳定性和可靠性。

一、如何选择适用的dvr?

目前市场上出现的dvr品牌及种类可说是五花八门、琳琅满目,标榜录像速度快、储存容量大、压缩比大、图像清晰度高的产品比比皆是,面对令人眼花撩乱的功能,我们应该如何辨其优劣、如何选择适合自己的产品呢? 要区分数字录像机(dvr)的优劣,可以从录像速率、储存容量、画面清晰度、操作使用方式等重要性能来做判断。但在这几点的比较上,市场上却存在许多误解。很多用户一味地追求速率快、容量大、清晰度高,却不知实际上这三项指标是互相制约的,不可能要求三种都达到最好;而操作使用是否简便,也常被大多数工程公司的设备选用人员忽略,直到安装过程中才发现,徒然浪费了许多时间。

区分dvr优劣的指标

1. 录像速度 对录像速率而言,其实所有的dvr在实时状态下都是30画面 / 秒或60图场 / 秒(ntsc格式),凡是超过此指标的广告宣传都是不切实际的。如果同时记录16路图像,每路的速率只有每秒30/16张或每秒60/16图场,多路录像时,某些dvr用先进的影像位移检测的方式大幅度提高录像速率,活动图像的记录速度实际上几乎达到实时,比没有影像位移检测功能的录像机快出许多倍。但要注意影像位移检测录像是指全画面压缩记录有影像位移的摄影机全画面,而不是只压缩记录每路摄影机图像中有影像位移活动的部分,后者虽也可以提升录像速率,但在欧美的法律中,这种图像将不能作为呈堂证供。

2. 储存容量及备份 录像容量也是越大越好,但最重要的是要有接口连接外部数字储存设备,进行图象数据的备份,只有经常进行备份,才能保证有价值的图象能够被安全地保存下来,并方便进行传输。把几个月的图像都存在机器内置硬盘上是很不明智的,一旦机器损毁,所有资料都将完全丢失。

3. 图像清晰度 图像清晰度的高低直接反映了dvr的品质,但是从技术原理上来说,清晰度越高,占用的储存容量就越大,所以让用户根据实际情况去调节清晰度的高低,才是最好的设计,这一点几乎各厂牌的产品都已经做到了。

4.操作简便与否 操作使用是否简便最终决定产品在实际应用中的适应性,越来越多的用户希望自己使用的设备最好按一个键就能完成所有功能,很多厂家忽略了用户使用电器设备的整体质素,把产品设计得功能繁多,操作过于复杂,结果难以得到推广。为了改善这个缺失,现今很多厂家在不断地改进自己的产品,例如用人性化的键盘,简化日常的操作使用,或者增加计算机网络接口功能,及顺应网络发展潮流等,以扩大在国际市场的占有率。 选择最适合您的dvr 用户在选用dvr的时候,应该避免陷入上述的一些误解,而忽略了产品真正的优缺点;且应根据自己工程实际应用的需要选择最适合的产品,不盲目追求各种高技术指标,毕竟不是功能愈多、技术性便愈高,就都适合每一使用者。

以下提出三个选择观点,供各位工程商和最终使用者做参考。

1. 性能满足项目要求 选择dvr时,首先应确定设备要用在哪里?是保安监控项目(如楼宇、机场、博物馆等),还是对录像速度要求较高的银行柜员项目? 用于保安监控项目的产品,其特点是功能齐全、具有良好的网络传输功能、录像速度较慢,但透过与传感器、移动侦测的联动,也能使录像分配到最需要的地方。而用于银行柜员监控项目中的产品,其特点是录像速度高,每路均可达到20帧以上,要具备实时录像、多路视音频及音像同步的功能,但因在图像处理的工作量非常大,故其网络等其它功能相对较弱。在不同类型的监控项目中应使用不同类型的dvr,以免造成成本的浪费及运行效果不彰。举例来说,在银行柜员项目中若不当规划了适用于保安监控项目的设备,其录像速度将无法满足用户的需求。而由于银行柜员项目对计算机的配置和硬盘容量要求较高,因此成本也相对提升。换个方式说,如果在规划保安监控项目时用适用于银行柜员项目的产品,则成本上会有所浪费,且保安监控项目往往有传输和分控的要求,而这正是银行柜员项目系统的弱项。同时,有必要提醒大家的是,dvr是「一机多能」的设备,而不是「一机全能」的设备。常会有用户希望一台设备能解决全部的问题,但事实上,目前计算机软硬件技术水平基本上仍无法完全满足用户的要求。因为计算机的总线传输速度、cpu处理速度和硬盘的刻录速度是有限制的,除非使用超级计算机,否则无法同时传输、处理和刻录那么多的资料,然而如此一来,所花费的价格相当高,用户是无法接受的。

2. 经过稳定性验证 若dvr的稳定性不够,在重要时刻未能录下影像,将会导致许多严重的问题。而dvr的稳定主要可从硬件结构及软件程序两方面来考量。鉴于目前市面上dvr的种类以pc-based为多,因此以下仅就pc-based的机种举例说明:

1. 硬件结构: dvr均为多路输入,硬件可用多卡或单卡方式。有时为了提高产品性能,如增加录像速度,会用多卡方式,但如此一来很容易造成硬件间的冲突,像前述的银行柜员项目设备就常会有这样的问题。一般来说,使用的集卡越少越好,因单卡方式集成度高,稳定性也优于多卡方式。 此外,设备的散热问题也是需要考量的因素。

2. 软件程序: 软件程序编写得好坏必须透过长时间的运行和操作来验证才能得知,尤其应特别注意硬盘的循环使用是否稳定的问题。dvr的关键优点之一是无须不断更换存储介质,它会不断刷新硬盘,将过期资料清除,而将最新资料保存下来,然而,有些dvr在进行这项处理时却常发生问题,而这往往是工程商和用户最容易忽略的。因此,选择已广泛投入使用、且用户反映良好的产品可能是最简捷的办法。

3. 追加硬盘的可行性及追加成本 一般来说,dvr的自带硬盘其容量是不敷使用的。例如,用于银行柜员监控的dvr要求要保存30天的图象,录像长度至少200小时,如果使用八路实时dvr,即使将每帧图象数据量压缩至 2k,需要的硬盘容量也至少为300gb,而且将图象数据量压缩至2k,图象质量是否可接受还很难说。因此是否能追加硬盘以扩大储存容量,就成了很重要的问题。此外,由于硬盘成本目前仍高,因此后续须追加的成本是否能堪负荷也须一并考量进去。 结 论 综上所述,工程公司和用户在选择dvr时,要充分考虑设备性能是否正好满足需要,不能强求所有的功能都很强大;对设备的稳定性要进行多方面考察,避免在使用时出现问题;且为保证图象保存时间达到要求,应事先考虑追加硬盘的可行性和方便性,以及追加成本;最后,要知道计算机软硬件技术发展水平对硬盘录象机性能的限制,才能清楚且正确地判断产品的功能是否被夸大,此外基于「眼见为实」的道理,建议买主要多看产品在图象、传输上的表现,才能在众多产品中选择出最适合自己的产品。

二、数字硬盘录像机的分类及选用

硬盘录像机的广泛应用,对监控行业来说,是从传统行业转入新兴的it行业。it行业的特点,从此将在监控行业中逐步体现:产品不断被更新发展、市场生命周期缩短、产品使用寿命加长、维护成本下降、产品价格也不断下降等。目前安防行业市场上已出现了上百种品牌的dvr产品,这些产品组成多种多样,性能也有些相似。本文偿试从产品选用的角度来对dvr产品进行分类、比较。 数字图像产品在安防领域的飞速发展,在技术方面主要基于以下几点。首先,单个硬盘容量每年番一番,而价格下降一半;第二,芯片技术飞速发展,数字图像产品将逐步进入各个领域,随着市场的扩大,研发的投入将加大;第三,宽带技术的发展,带来新的联网需求。另外从市场方面来看,银行及其它安防系统对高性能监控产品的需求在增加,入关后银行进一步减员增效,与其管理相适应的产品需求也会进一步加大,有需求就会有产品竞争,有竞争就会有发展。

三、各类产品适用的场所

pc型dvr 适用于对系统功能要求较多,需要其它系统作进一步的集成的应用,这种应用环境最好有人值守,安装比较集中,单个系统用量不易过大。pc型的dvr产品会长期的存在下去,特别是在一些新的应用领域或需用新的图像技术时。

嵌入式及硬件式dvr 特别适用于大批量成体系的应用,无论从使用维护、修理、价格等各个方面来分析,嵌入式系统均将成为dvr产品的主流,不过嵌入式dvr的广泛利用还需要有一个过程。 各类图像压缩方法的dvr 1. mpeg1、mpeg2 适用于有音频及每秒25帧需求的长时间录像,mpeg1为352 x 288格式,mpeg2可有576 x 352、704 x 576等,从vcd到超级vcd到dvd的不同格式的区别;mpeg1的数据量较小,mpeg2数据量较大。mpeg2作为长时间录像应用时,硬盘开支过大,但清晰度较高。适用于有音频及每秒25帧需求的长时间录像,mpeg1为352 x 288格式,mpeg2可有576 x 352、704 x 576等,从vcd到超级vcd到dvd的不同格式的区别;mpeg1的数据量较小,mpeg2数据量较大。mpeg2作为长时间录像应用时,硬盘开支过大,但清晰度较高。 2.jpeg及m-jpeg dvr 可应用于每秒钟只需记录、几帧的场所,例如交通安保监控等。 3.h.261、h.263 适用于电视会议,及中等以下品质的图像传送。 4. 小波方式 可在一些独立的安保系统中应用,其它方面性能均比以往产品有改进,但由于不是国际标准,建议不要大范围应用。 5.mpeg4 特别是一些号称mpeg4的产品,有些产品在应用中确实能节省硬盘,可以在一些独立的系统中应用,但对于银行柜员这样成体系的选用时应谨慎,如此类产品的压缩方法不能真正与国防标准兼容,未来一定会面临快速淘汰。特别是一些号称mpeg4的产品,有些产品在应用中确实能节省硬盘,可以在一些独立的系统中应用,但对于银行柜员这样成体系的选用时应谨慎,如此类产品的压缩方法不能真正与国防标准兼容,未来一定会面临快速淘汰。

四、硬盘录像机的选用原则

最终用户

1. 用户选用产品时应逐步建立一个成熟的消费心态,在当今技术发展非常迅速的环境下,应抛弃追求完美产品的心态,而建立追求完美应用的心态。完美的应用包括:产品对用户需求的满足,无需支付额外的管理费用、维护费用,产品可以长时间的使用,产品的可靠性高,长期保修有保障而且低成本。

2. 用户首先要明确自己的需求,不应过多的考虑暂时尚没有需求的功能,只要产品具备扩展功能就行,这样可以获得一个好的产品性价比,同时面对未来的发展又不会因为以前配备的功能无法跟上新技术的发展而浪费。 在大批量、成体系的选用产品时(如银行柜员、atm等),一定要选用规范化的产品及用国际标准图像压缩方法的产品,否则无法建立统一的图像交换平台,无法对各级的监控系统进行联网管理。此类标准包括jpeg、h.263、h.261、mpeg1、mpeg2等。在银行柜员系统中,建议选用mpeg1或mpeg2,谨慎选用mpeg4(最好在2003年下半年)。

工程商

1. 工程商对数字图像产品应有一个客观的认识,切可不随意夸大数字化产品的性能。

2. 要认真分析用户的需求,保证达到最基本用户需求,对一些可有可无,或今后需要的功能,应尽可能取消,但保留扩展的接口。

3. 必须认真考虑对最终用户的维修服务体系,切不可将维修的风险都压在了自己身上。

五、选用dvr的关键要项

清晰度 在用模拟技术的图像设备中,对于图像的评价通常是以清晰度来表示,其度量标准只有一个即电视线,线数越高,图像越清晰,(比如400线是dvd的清晰度、300线是s-vcd的清晰度、250线是vcd的清晰度)。 而在用数字化技术对图像进行压缩和解压处理后,对图像评价则全然不同了,它的度量标准主要为二方面:一方面,图像格式它是指一幅图像由多少个像素所组成,国际标准是按水平和垂直的像素点的乘积来计算的,最常见的图像格式有:176 x 144(qcif)、352 x 288(cif)、352 x 576、704 x 576(fcif)三种,我们家庭所用的vcd即是用352 x 288(cif)图像格式进行数字化处理和压缩。 另一方面,同样的图像格式,因为用数字压缩标准不同或压缩数据量大小不同,通过肉眼观察到的图像效果也有区别,这也就是我们常说的画质,在同样的图像格式下,压缩比较小,数据量越大,数据量越大图像越清晰,“马赛克”现象越少,反之图像越差“马赛克”现象越多。但目前国际上尚未有统一的标准可以简单明了的说明这不同画质的区别,对于专业人员来说,可以根据产品所应用的不同国际数字压缩标准和实际压缩数据流等指标来判断,例如vcd的图像对于专业人员来评价,这是用了mpeg1压缩方式,在352*288(cif)格式情况下,以1.15mbps数据流(每秒钟1.15m位的数据)的图像。 我们还可以从另一方面来理解格式及画质,在模拟图像测试中测出静止图像的清晰度(如330线、480线等)就等同测出了运动图像的清晰度,而在数字图像中格式只能代表静止图像的清晰度,而画质(等同于压缩比及图像数据量)代表了对运动图像评测依据。举例来说,在某种的图像格式和画质下,静止图像可以达到250线,但对于运动图像,由于码率(每秒钟的数据量)太低,只能达到100线。 在产品选用中首先选择图像格式,本质上格式越高,图像数据量越大,需占用的硬盘越大,使用成本也就越高,就目前硬盘的情况来看352*288(cif)这种格式(vcd的格式)的图像会在今后的应用中占优势。这种格式下的静止图像清晰度为220~250线,与传统录像机相当,画质为标准的vcd,参照码率为1.15m/s(每秒钟1.15m位的数据量)相当于每帧图像5.7k,几乎所有应用在银行柜员的dvr产品,均是在此画质和格式基础上变化、改进而来的。 总之,在用人眼观察判别图像的清晰度时,首先应确定格式及码率;其次一定要在图像满屏显示的方式下进行分析比较。

硬盘的寿命 硬盘有三个可靠性指标在dvr的应用中要特别注意:第一是mtbf(平均无故障时间),厂家给出指标为30~50万小时,也就说硬盘工作寿命为30年以上;第二是年度不良率(arr),厂家给出的指标一般为低于1~2%,这个指标说明可能每年有1~2%的硬盘需维修;第三是启动/停止周期,厂家指出一般最低值为3~5万次,也就说硬盘只能启动工作3~5万次,如果每天启动一次,硬盘的寿命是4~7年。厂家及工程公司在设置dvr时就充分研究这三点。另外用户选用硬盘时应尽可能选用主流,低转速的硬盘,同时应选用正规渠道全国联保,三年保修的硬盘。 全双工(过录、边放) 在银行柜员系统选用硬盘录像时,一定要选用可以在整个存贮图像的硬盘空间范围内,各种不同的清晰度(不同的格式及码率)下均可实现全双工的产品。原因有两点:第一,可以在整个硬盘范围内全双工,是dvr产品进行联网的一个基础,只有具备了全硬盘空间的全双功功能,才能在不影响前端正常录像的前提下,任意查看以往已记录在硬盘中的图像。第二,有些用mpeg2方式的dvr只能在低清晰度下全双工(边录、边放),在晰度下边录、边放的是慢动作图像,目前考虑硬盘成本,只能选用低清晰度的。但硬盘的容量每年翻一翻,价格随之下降一半,今后可以通过更换扩充硬盘改用更高的清晰度,而此类产品就不能保证在晰度下全双工只能停留在低清晰度上录像及联网。 多路及单路 在银行柜员制应用中,大多选用mpeg压缩方式的带有同步音频产品,此类产品中pc型有4路、8路、16路等多种。多路pc型产品从外表上看集成度高安装,调试、使用方便,但实际上存在着可靠性差,维护风险大的问题。多路配量需要更多的硬盘,更大的电源,更高的板卡,集中在一台机箱内,有任何本个部分(特别是硬盘)故障就会造成整个机器停止工作。这必将加大银行的风险,同时加大工程公司的维护成本及风险。 嵌入式产品大多是单路一对一方式的产品,另外有两种4路的产品,第一种实质上是1台单路的dvr,内置一台4画面分割器,此种产品可录取及显示单路或4路图像,但只有两路音频,这种产品存在的问题是单路数字化记录图像的最晰度小于400线(一般为350线),如果以四画面分割的方式记录,每幅图像的清晰度在200线以下(一般为180线),这种清晰度无法满足柜员制监控的要求。全国首个数字硬盘录像机标准,已在上海市正式推行(强制执行标准)要求单路的清晰度要大于等于220线,因此此类四路嵌入式硬盘录像机,将很快被淘汰。 另一种是用四个独立信道记录图像的嵌入式录像,其等同于四台单路机,同时又集成了四画面分割显示及单路显示,每路回放的清晰度均为220线以上。四路图像并行处理,如机内某一器件或某个硬盘发生故障时,其它三路仍能正常工作。

dvr的联网 dvr产品联网应用,是dvr产品发展的一个方向,目前阶段只能说是一个酝酿阶段。 1. 以联网的通讯方式来看 有电话线拨号、专线、isdn、e1、adsl、有线通、专业宽带网等方式,在选用前首先要确定用户对清晰度、帧数的需求,必须要有一定的前瞻,因为宽带网的发展非常迅速,选用不当就会造成浪费。其次要尽可能选用包月租收费的通讯方式,这样才能保证系统在各种情况下正常运行,如选用拨号方式,每次通讯均计费,使用成本无法控制,由于图像数据量一般较大,另外根据市场及技术的发展趋势,建议选用宽带方式进行联网(哪怕要推迟半年,一年实施)。如adsl、有线通、专业宽带网,只有这样才能为系统未来的发展留下空间。 2. 由产品类型来看 pc型产品一般均可以十分方便的进行联网,在许多独立应用场合,及对传输图像要求不高的场合均可选用。嵌入式产品的联网组成方式有两种,第一种是外配式联网,许多嵌入式dvr产品本身不带有联网接口,联网将dvr模拟输出分配出一路输入到一台专用联网设备(简称网关),网关将模拟再次压缩转化为数字图像,然后再通过网络传送出去,用这种方式图像的清晰度会大幅度下降(因为经过两次模拟至数字的转化),同时因为有两套图像压缩装置,成本较高,有些产品将外置网关安装在一个机箱内,选用时应了解清楚。第二种方式,网关可以是外置也可能是内置,与第一种方式不同的是,此类网关是将dvr硬盘中的图像数据,接收过来直接从网络上传送出去,因此其清晰度与dvd原有的清晰度相同。由于网关只作传送,所以成本较低。

移动侦测 1. 移动侦测是dvd产品中的一个非常好的功能,可以免除安装报警器,可以节省硬盘,但有些应用要注意效果。 2. 夜间应用时一定要有灯光配合。 银行柜员监控不宜用移动侦测节省硬盘,工作时间段内的图像不应缺帧(不论有人无人)。 3. atm自动存取款机监控时,如用移动侦测录像,会引起大量的误录,这不仅浪费硬盘,而且在发生案件时,保卫人员不得不化大量的时间去查看误录的无用图像。 从经济角度看,任何一种产品的使用都应从二方面来考虑,第一方面是先期投入和长期使用的成本如何?第二方面是售后服务的维护费用如何?