《透明厨房系统互联及系统安全设计》由会员分享,可在线阅读,更多相关《透明厨房系统互联及系统安全设计(7页珍藏版)》请在金锄头文库上搜索。
1、透明厨房系统互联及系统安全设计透明厨房监管平台具有极强的兼容性,能完成相关软硬件标准对接。即可实现第三方平台或硬件的接入,又能作为下级平台对接上级第三方平台。1) 平台遵循国标GB/T28181,与第三方平台厂家通过国标进行互联互通2) 平台支持ONVIF标准协议,支持ONVIF标准的IPC通过ONVIF协议接入平台3) 平台提供完善的SDK接口协议,提供给第三方平台做集成应用开发。4) 平台支持主流厂家的IPC、NVR、DVR等第三方编码设备通过SDK接入平台。5) 支持H.265解码,数字矩阵支持8路H.265 主码流(分辨率为1080P)同时上墙显示。6) 平台支持主流第三方视频设备(海
2、康、大华、汉邦、高新兴)、主流第三方报警设备(霍尼韦尔、博世、艾礼富、广拓)、支持门禁系统(披克)、海湾消防系统接入。针对以上的对接方式,透明厨房监管平台可提供SDK接口协议供教育局或食药监局第三方平台做集成应用开发,或者通过国标GB/T28181协议与第三方系统进行互联互通。系统安全设计去年深圳19路摄像机被境外黑客攻击全程直播、今年初的“黑天鹅”事件。卡巴斯基实验室在检查一套城市食品监控系统的安全性时,发现视频监控系统也可能会遭受攻击。而通过利用系统配置中的漏洞,不法分子就可以滥用这种原本设计用以保护人们避免罪犯和恐怖分子危害的网络系统。由于互联网的用户如家长,需要通过透明厨房监管系统客户
3、端来观察孩子在校的用餐环境、用餐情况等。这样透明厨房监管系统难免会遭受到不法分子的入侵,如何保障透明厨房系统安全。在透明厨房监管系统中引入一套多功能安全认证子系统即能实现网络保护的功能,即可保证远程用户接入是可信赖的、传输内容是安全的、传输过程不被窃听、传输过程不被篡改和具有可扩展性,Internet所到之处,都可以安全互联等功能。1.1 系统架构透明厨房安全认证系统采用兼容B/S和C/S的分布式系统架构,整体架构包含PC、智能手机客户端和安全认证服务器端。1.2 系统描述透明厨房安全认证系统采用基于SSL VPN技术的认证设备,接口丰富、配置灵活,并集安全、路由、交换于一体。可以为用户提供完
4、整的端到端解决方案,是网络出口和不同策略区域之间安全互联的理想选择。透明厨房安全认证系统面向法规和人本,基于“人本网络”,实现“智能感知”。能实现基于用户、资源、应用的访问控制。系统实现基于用户、资源、应用的访问控制,实现一体化策略配置,可视化安全管理更加快捷高效。支持防攻击、防病毒、IPS、流控、Web过滤的高性能处理。支持DoS/DDoS攻击防护,支持MAC和IP绑定功能,支持智能防范蠕虫病毒技术、ARP攻击防护、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等网络攻击防护。支持双机状态热备功能,实现负载分担和业务备份。同时支持全方位的安全防护功能,提供各种日志功能、流量统计和分
5、析功能、各种事件监控和统计功能、邮件告警功能,配合日志管理系统可以完成日志的记录、查询和分析。系统服务器采用专用的硬件VPN模块,支持GRE、L2TP、IPSec、SSL VPN等多种VPN业务模式,支持多种平台移动终端VPN接入。通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行安全传输,从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接,或者提供移动用户安全的通过公共网络平台接入透明厨房监管平台。1.3 系统功能1.3.1 用户身份认证用户认证信息采用64位的DES加密或1024位RSA加密处理,由中心管理服务器的认证模块对其进行验证身份认证和实体鉴别是指通过对操作者
6、、收发双方实体的身份认证和鉴别,保证合法实体(操作者、通信双方)的真实性,防止非授权或冒充身份的操作访问。1.3.2 访问权限控制采用基于角色(岗位)的访问控制与授权策略的目的是:为应用系统提供一种安全、灵活的用户权限控制管理机制。系统的授权是面向角色(岗位)(人与权限属性的集合体)的,而不是面向用户的,这样系统的授权和用户的定义可以分离,方便了管理;在用户变换了岗位之后,其职责也发生了变化,相应的权限也发生了变化。这时,系统只需赋予用户新的角色即可完成用户授权的改变,而无需在很细的授权粒度改变用户的授权,从而使系统具有了很强的灵活性。通过显示用户登录有效日期,进行灵活的用户访问限制手段。1.
7、3.3 用户权限管理系统采用分级权限、安全加密认证等多种手段确保网络视频监控系统安全。对编码的视音频数据采用加密技术,防止人为删改。平台提供多级用户管理架构,每级用户具有不同的管理权限,根据所赋予的权限可以进行相应的系统访问和监控操作,以防止非法登录和越权操作。通过设定不同的管理员权限,来保证网管系统的数据安全性。网管人员分超级用户和普通用户,超级用户可以执行网管系统的全部功能操作;而普通用户只能看到一般的信息显示,不能修改。而且,对不同的普通用户,还可以定义不同的网管人员视图,使不同的网管人员只能存取适当的信息。系统支持用户、用户组、部门管理,组内用户可具备相同部分的权限,用户对部门或主机的
8、权限可向下继承。用户访问权限可以根据要求设置跨部门访问。系统能对所有操作键盘和用户进行管理,能设置不同的权限。不同的权限对不同的资源有不同的监控级别,系统管理员可以将用户级别及用户对设备的权限自由设置以方便管理。用户权限管理满足集中统一管理的需要,以业务流程为纵向主线,以行政管理体系为横向主线,无论是上级业务管理部门、主管领导或其它管理单位,均可根据系统授予的权限察看所需要的图像和相关信息。用户可分成多个不同的级别。不同级别用户可以同时浏览任意的同一个前端图像,但控制权需按用户级别获取。级别较高的用户有优先控制权,高级别用户释放控制权以后低级别用户才能继续控制;相同级别的用户抢占相同控制权时,
9、按照先来先服务的原则取得控制权。用户对系统资源的控制能力仅仅受限于其权限和优先级,与资源所处的地域无关。我们将结合相关协议的自主开发来实现权限管理,这里仍将用到上面讲到的用户表,通过它,此系统将具备完善的权限管理功能。对系统的权限管理通过下述几个方面来进行:l 基于用户的权限管理l 基于用户组的权限管理l 基于访问时间的权限管理l 对以上几类访问的组合l 在系统中对各种操作功能的权限进行详细的划分,在系统中设置如下的功能执行权限:l 告警处理的权限:告警取消、告警确认、告警预处理的权限;l 数据管理的权限:数据查询、增加、修改、删除的权限;l 监控调度的权限:发送控制指令、调度信息的权限;l 用户资料管理的权限:用户资料查询、增加用户、修改用户资料、删除l 系统每一个用户综合上述的类别和功能级别进行设定,规定其授权、时间限制、制定授权范围;
