公安网与高速公路跨网访问的安全性

目标：安全、隔离
  1.公安专网可以通过计算机任意观看到高速公路监控网的每一幅图像。
  2.公安专网与高速公路监控网之间的联系必需是安全可靠的，做到完全的隔离。
产生背景
  主要有以下原因：安全性、低延迟、构建简单性。下面对这几点进行详细阐述。

  一、安全性
　1.公安网架构及现状
    公安信息网络分层的多元化广域网络，与公安系统的组织结构相对应，公安部至省厅为一级网；省厅至所辖各设区市公安局的网络为二级网；各设区市公安局至所辖分、县级公安局的网络为三级网；分、县级公安局至公安基层科所队为四级网（接入网）。每一层由同级公安相关部门局域网互联形成公安本地城域网，同时各层还要完成与行业公安网络、电子政务网络、社会网络等多种内、外部网络的不同程度的互联互通。由于公安网络必须保证绝对可靠的安全性和保密性，所以公安网络的建设是一项非常复杂的工程，必须仔细规划。
    就当今互联网发展状况而言，随着网络的迅速发展，网络的安全性显得非常重要，这是因为怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络非法进入远程主机，获取储存在主机上的机密信息，或占用网络资源，阻止其他用户使用等。然而，网络作为开放的信息系统必然存在众多潜在的安全隐患，因此，网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。一般来说，计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。
  2. 网络攻击及其防护技术
    计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因遭到破坏、泄露，能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。
    网络的安全主要来自黑客和病毒攻击，各类攻击给网络造成的损失已越来越大了，有的损失对一些企业已是致命的，侥幸心里已经被提高防御取代，下面就攻击和防御作简要介绍。
  2.1常见的攻击有以下几类：
  2.1.1 入侵系统攻击
    此类攻击如果成功，将使你的系统上的资源被对方一览无遗，对方可以直接控制你的机器。2.1.2 缓冲区溢出攻击
    程序员在编程时会用到一些不进行有效位检查的函数，可能导致黑客利用自编写程序来进一步打开安全豁口然后以root权限控制了系统，这样系统的控制权就会被夺取。
  2.1.3 欺骗类攻击
    网络协议本身的一些缺陷可以被利用，使黑客可以对网络进行攻击，主要方式有：IP欺骗；ARP欺骗；DNS欺骗；Web欺骗；电子邮件欺骗；源路由欺骗；地址欺骗等。
  2.1.4 拒绝服务攻击
    通过网络，也可使正在使用的计算机出现无响应、死机的现象，这就是拒绝服务攻击，简称DoS（Denial of Service）。分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪，简称DDoS（Distributed Denial of Service）。
  2.1.5 对防火墙的攻击
    防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺陷，对防火墙的攻击方法也是多种多样的，如探测攻击技术、认证的攻击技术等。
  2.1.6 利用病毒攻击
    病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。
  2.1.7 木马程序攻击
    特洛伊木马是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

  2.1.8 网络侦听
    网络侦听为主机工作模式，主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具，就可以轻易地截取所在网段的所有用户口令和帐号等有用的信息资料。

    现在的网络攻击手段可以说日新月异，随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进，操作系统对本身漏洞的更新补救越来越及时。现在企业更加注意企业内部网的安全，个人越来越注意自己计算机的安全。可以说：只要有计算机和网络的地方肯定是把网络安全放到第一位。
    网络结构分析在系统可行性分析阶段就应进行了。因为在这阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。
  2.2 防御措施主要有以下几种
  2.2.1 防火墙
    防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。
  2.2.2 虚拟专用网
  2.2.3 虚拟局域网
  2.2.4 漏洞检测
  2.2.5 入侵检测
  2.2.6 密码保护
  2.2.7 安全策略
  3. 结论
    总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。目前互联网安全技术主要分为三类:传输加密、入侵检测（主动和被动）、QoS。通常在一个健壮的网络安全体系下，三者分工明确，又互相协作，已经成为但当代网络安全技术的核心。
    但是这样的安全是用牺牲了很大一部分的网络传输效率的代价换取的，即使这样，随着黑客攻击的手段越来越隐蔽，病毒生及换代周期越来越短，使我们的网络安全技术始终处于被动地位，所谓治标不治本。
    归根到底，网络的一切弊病都是缘于我们的环联网internet技术的设计缺陷造成的，我们当今的互联网的传输协议采用的tcp/ip协议，以上的攻击技术其实归根到底也都是根据此协议的漏洞而设计的。
    因此，采用RS232串口及相关协议取代以太网传输，能从根本上隔离以上所有不安全因素，是根本的，有效的。
 

二、低延迟性
    众所周知，以太网因为路由协议的和IP协议的先天性原因，延迟是以太网一直无法解决的问题，而采用RS232串口及相关协议，这个问题可以迎刃而解，因为RS232协议采用的简单的硬件传输协议，其协议指令简单高效、作为简单的点对点跨网环境，传输控制指令，是最佳选择。
 

三、简单性
    采用RS232作为跨网的主要技术接口，可以施工联网节约很多成本，因为其只要将连接链路接通即可，不用作以太网那样的烦琐配置（路由配置、VLAN）
解决方案
    1.两个网络里设立两个独立的CCS视频服务器, 每台服务器安装两个232串口。公安网的用户首先登陆到本网的视频服务器2。图像控制、切换及报警信号全部通过232串口进行交互通讯，决定监控网的解码器解前端哪一路的图像，从而间接完成公安网的用户可以实时浏览监控网的每一幅图像。
    2.公安专网的图像浏览，控制通过二次编解码的方式。即网络之间不是直接调用高速公路监控网的数字视频流，而是模拟视频信号。客户可在公安网的任意一台授权计算机上浏览所有图像。
    高速公路监控网：摄像机     编码器    交换机    解码器     视频光端机/T
    公安网：视频光端机/R     编码器    交换机    视频工作站
    通过以上两种方式，既可以达到两网之间资源共享，同时又最大限度保证了网络安全。
    
 
说明：
    1、构架“背靠背”的CCS服务器，每台服务器安装两个RS232串口，实现双向交互透传。
    2、在视频网内独立配置10路解码输出，作为公安专网的视频源，通过“背靠背”CCS服务器，将其配置成一个可控，可切换，可轮训、报警上传、DO联动的虚拟矩阵，并配置其相应的用户即可跨网实时切换调用视频资源
    3、10路解码输出通过视频光端机，将视频传到公安专网的编码器/电视墙上。
    4、公安网内部用户，使用合法权限的用户登录到本地的CCS服务器，获取到实时视频资源，并可实时控制，实时接收报警信号等联动信息，因为所有的控制，报警信号都是通过两台“背靠背”CCS服务器的232串口时间，增加了安全性，也减少了传输延迟。