多功能视讯会议系统方案建议书

1、多功能视讯会议系统方案建议书目 录 TOC o 1-4 h z u HYPERLINK l _Toc62052398 第一章技术方案建议 PAGEREF _Toc62052398 h 7 HYPERLINK l _Toc62052399 1.1技术方案 PAGEREF _Toc62052399 h 7 HYPERLINK l _Toc62052400 1.1.1视频会议系统总体设计方案 PAGEREF _Toc62052400 h 7 HYPERLINK l _Toc62052401 项目概述 PAGEREF _Toc62052401 h 7 HYPERLINK l _Toc62052402

2、需求分析 PAGEREF _Toc62052402 h 7 HYPERLINK l _Toc62052403 建设内容 PAGEREF _Toc62052403 h 8 HYPERLINK l _Toc62052404 建设要求 PAGEREF _Toc62052404 h 8 HYPERLINK l _Toc62052405 系统方案架构设计 PAGEREF _Toc62052405 h 9 HYPERLINK l _Toc62052406 系统配置清单设计 PAGEREF _Toc62052406 h 10 HYPERLINK l _Toc62052407 视讯系统可靠性设计 PAGERE

3、F _Toc62052407 h 11 HYPERLINK l _Toc62052408 视讯系统安全性设计 PAGEREF _Toc62052408 h 17 HYPERLINK l _Toc62052409 系统主要功能特色 PAGEREF _Toc62052409 h 28 HYPERLINK l _Toc62052410 0主要设备介绍 PAGEREF _Toc62052410 h 64 HYPERLINK l _Toc62052411 1.1.2视频会议室总体设计方案 PAGEREF _Toc62052411 h 68 HYPERLINK l _Toc62052412 设计原则 PA

4、GEREF _Toc62052412 h 68 HYPERLINK l _Toc62052413 设计依据 PAGEREF _Toc62052413 h 69 HYPERLINK l _Toc62052414 设计范围 PAGEREF _Toc62052414 h 71 HYPERLINK l _Toc62052415 会议室现状 PAGEREF _Toc62052415 h 72 HYPERLINK l _Toc62052416 方案概述 PAGEREF _Toc62052416 h 74 HYPERLINK l _Toc62052417 EASE图分析说明 PAGEREF _Toc6205

5、2417 h 75 HYPERLINK l _Toc62052418 长安厅设计方案 PAGEREF _Toc62052418 h 101 HYPERLINK l _Toc62052419 光明厅设计方案 PAGEREF _Toc62052419 h 137 HYPERLINK l _Toc62052420 高峰厅设计方案 PAGEREF _Toc62052420 h 153 HYPERLINK l _Toc62052421 0语音转写 PAGEREF _Toc62052421 h 185 HYPERLINK l _Toc62052422 1.2实施方案 PAGEREF _Toc6205242

6、2 h 199 HYPERLINK l _Toc62052423 1.2.1实施进度计划 PAGEREF _Toc62052423 h 199 HYPERLINK l _Toc62052424 1.2.2实施目标 PAGEREF _Toc62052424 h 201 HYPERLINK l _Toc62052425 产品目标 PAGEREF _Toc62052425 h 201 HYPERLINK l _Toc62052426 服务目标 PAGEREF _Toc62052426 h 201 HYPERLINK l _Toc62052427 安装调试目标 PAGEREF _Toc62052427

7、 h 201 HYPERLINK l _Toc62052428 1.2.3项目组织 PAGEREF _Toc62052428 h 202 HYPERLINK l _Toc62052429 项目组织机构 PAGEREF _Toc62052429 h 202 HYPERLINK l _Toc62052430 拟投入本项目人员汇总表 PAGEREF _Toc62052430 h 208 HYPERLINK l _Toc62052431 拟投入本项目的项目经理简历表 PAGEREF _Toc62052431 h 210 HYPERLINK l _Toc62052432 1.2.4工程实施前准备 PAG

8、EREF _Toc62052432 h 211 HYPERLINK l _Toc62052433 工程实施前准备 PAGEREF _Toc62052433 h 211 HYPERLINK l _Toc62052434 施工材料准备 PAGEREF _Toc62052434 h 212 HYPERLINK l _Toc62052435 结构配件的加工准备 PAGEREF _Toc62052435 h 212 HYPERLINK l _Toc62052436 安装机具的准备 PAGEREF _Toc62052436 h 212 HYPERLINK l _Toc62052437 生产工艺设备的准备

9、PAGEREF _Toc62052437 h 212 HYPERLINK l _Toc62052438 技术交底 PAGEREF _Toc62052438 h 213 HYPERLINK l _Toc62052439 疫情防控准备 PAGEREF _Toc62052439 h 213 HYPERLINK l _Toc62052440 1.2.5设备到货安排 PAGEREF _Toc62052440 h 214 HYPERLINK l _Toc62052441 1.2.6核心平台实施 PAGEREF _Toc62052441 h 215 HYPERLINK l _Toc62052442 机房及网

10、络需求 PAGEREF _Toc62052442 h 215 HYPERLINK l _Toc62052444 具体实施方案 PAGEREF _Toc62052444 h 217 HYPERLINK l _Toc62052445 1.2.7视频会议室实施 PAGEREF _Toc62052445 h 218 HYPERLINK l _Toc62052446 场地及环境需求 PAGEREF _Toc62052446 h 218 HYPERLINK l _Toc62052454 会议室实施范围 PAGEREF _Toc62052454 h 222 HYPERLINK l _Toc62052455

11、与项目各方沟通配合 PAGEREF _Toc62052455 h 222 HYPERLINK l _Toc62052456 现有装修保护措施 PAGEREF _Toc62052456 h 222 HYPERLINK l _Toc62052457 具体实施方案 PAGEREF _Toc62052457 h 223 HYPERLINK l _Toc62052458 1.2.8实施管理 PAGEREF _Toc62052458 h 225 HYPERLINK l _Toc62052459 施工管理目标 PAGEREF _Toc62052459 h 225 HYPERLINK l _Toc620524

12、60 施工管理范围 PAGEREF _Toc62052460 h 225 HYPERLINK l _Toc62052461 施工管理内容 PAGEREF _Toc62052461 h 225 HYPERLINK l _Toc62052462 系统实施流程管理 PAGEREF _Toc62052462 h 226 HYPERLINK l _Toc62052463 合理的并行施工安排 PAGEREF _Toc62052463 h 227 HYPERLINK l _Toc62052464 项目实施质量控制 PAGEREF _Toc62052464 h 228 HYPERLINK l _Toc6205

13、2465 施工管理工作制度 PAGEREF _Toc62052465 h 235 HYPERLINK l _Toc62052466 项目实施风险及应急方案 PAGEREF _Toc62052466 h 237 HYPERLINK l _Toc62052467 1.2.9质量保证体系及措施 PAGEREF _Toc62052467 h 240 HYPERLINK l _Toc62052469 质量保证计划 PAGEREF _Toc62052469 h 241 HYPERLINK l _Toc62052470 设备的质量保障措施 PAGEREF _Toc62052470 h 243 HYPERLI

14、NK l _Toc62052471 应急流程 PAGEREF _Toc62052471 h 243 HYPERLINK l _Toc62052472 质量控制体系 PAGEREF _Toc62052472 h 243 HYPERLINK l _Toc62052473 项目管理能力 PAGEREF _Toc62052473 h 244 HYPERLINK l _Toc62052474 项目管理方式 PAGEREF _Toc62052474 h 245 HYPERLINK l _Toc62052475 信息管理措施 PAGEREF _Toc62052475 h 248 HYPERLINK l _T

15、oc62052476 1.3调试与验收方案 PAGEREF _Toc62052476 h 250 HYPERLINK l _Toc62052477 1.3.1系统联调测试 PAGEREF _Toc62052477 h 250 HYPERLINK l _Toc62052478 1.3.2系统试运行 PAGEREF _Toc62052478 h 254 HYPERLINK l _Toc62052479 1.3.3验收 PAGEREF _Toc62052479 h 254 HYPERLINK l _Toc62052480 1.4技术培训方案 PAGEREF _Toc62052480 h 263 HY

16、PERLINK l _Toc62052481 1.4.1培训目标 PAGEREF _Toc62052481 h 263 HYPERLINK l _Toc62052482 1.4.2培训策略 PAGEREF _Toc62052482 h 264 HYPERLINK l _Toc62052483 培训总则 PAGEREF _Toc62052483 h 264 HYPERLINK l _Toc62052484 培训人数 PAGEREF _Toc62052484 h 264 HYPERLINK l _Toc62052485 现场培训 PAGEREF _Toc62052485 h 264 HYPERLI

17、NK l _Toc62052486 技术培训 PAGEREF _Toc62052486 h 265 HYPERLINK l _Toc62052487 1.4.3培训体系 PAGEREF _Toc62052487 h 267 HYPERLINK l _Toc62052488 1.4.4培训讲师 PAGEREF _Toc62052488 h 267 HYPERLINK l _Toc62052489 1.4.5培训方式 PAGEREF _Toc62052489 h 268 HYPERLINK l _Toc62052490 现场培训 PAGEREF _Toc62052490 h 268 HYPERLI

18、NK l _Toc62052491 远程培训 PAGEREF _Toc62052491 h 268 HYPERLINK l _Toc62052492 定制培训 PAGEREF _Toc62052492 h 270 HYPERLINK l _Toc62052493 第二章项目售后服务方案 PAGEREF _Toc62052493 h 272 HYPERLINK l _Toc62052494 2.1技术支持和售后服务方案 PAGEREF _Toc62052494 h 272 HYPERLINK l _Toc62052495 2.1.1免费保修服务 PAGEREF _Toc62052495 h 27

19、2 HYPERLINK l _Toc62052496 2.1.2专业人员服务 PAGEREF _Toc62052496 h 272 HYPERLINK l _Toc62052497 2.1.37*24小时响应 PAGEREF _Toc62052497 h 272 HYPERLINK l _Toc62052498 2.1.4质保期后的服务 PAGEREF _Toc62052498 h 272 HYPERLINK l _Toc62052499 2.1.5软件升级服务 PAGEREF _Toc62052499 h 273 HYPERLINK l _Toc62052500 2.1.6故障恢复服务 PA

20、GEREF _Toc62052500 h 273 HYPERLINK l _Toc62052501 2.1.7建档服务 PAGEREF _Toc62052501 h 273 HYPERLINK l _Toc62052502 2.1.8远程技术支持 PAGEREF _Toc62052502 h 274 HYPERLINK l _Toc62052503 2.1.9现场维护服务 PAGEREF _Toc62052503 h 274 HYPERLINK l _Toc62052504 2.1.10定期巡检及用户回访 PAGEREF _Toc62052504 h 275 HYPERLINK l _Toc6

21、2052505 2.1.11重要会议保障服务 PAGEREF _Toc62052505 h 275 HYPERLINK l _Toc62052506 2.1.12定期服务 PAGEREF _Toc62052506 h 275 HYPERLINK l _Toc62052507 2.1.13预防性维护服务 PAGEREF _Toc62052507 h 276 HYPERLINK l _Toc62052508 2.1.14系统评估及优化服务 PAGEREF _Toc62052508 h 276 HYPERLINK l _Toc62052509 2.1.15日常操作管理服务 PAGEREF _Toc6

22、2052509 h 276 HYPERLINK l _Toc62052510 2.1.16培训服务 PAGEREF _Toc62052510 h 276 HYPERLINK l _Toc62052511 2.2日常维护和使用管理方案 PAGEREF _Toc62052511 h 278 HYPERLINK l _Toc62052512 2.2.1日常维护流程 PAGEREF _Toc62052512 h 278 HYPERLINK l _Toc62052513 2.2.2现场服务规范 PAGEREF _Toc62052513 h 279 HYPERLINK l _Toc62052514 2.2

23、.3问题记录规范 PAGEREF _Toc62052514 h 280 HYPERLINK l _Toc62052515 2.2.4事件管理规范 PAGEREF _Toc62052515 h 281 HYPERLINK l _Toc62052516 2.2.5管理规范性 PAGEREF _Toc62052516 h 281 HYPERLINK l _Toc62052517 2.2.6整体质量和风险管控 PAGEREF _Toc62052517 h 284 HYPERLINK l _Toc62052518 2.2.7信息安全防控 PAGEREF _Toc62052518 h 287 HYPERL

24、INK l _Toc62052519 2.2.8维护支持资料 PAGEREF _Toc62052519 h 287 HYPERLINK l _Toc62052520 2.2.9系统设备日常维护 PAGEREF _Toc62052520 h 288 HYPERLINK l _Toc62052521 2.2.10原厂商本地化支持 PAGEREF _Toc62052521 h 289 HYPERLINK l _Toc62052522 2.2.11系统升级 PAGEREF _Toc62052522 h 289 HYPERLINK l _Toc62052523 2.2.12系统扩容 PAGEREF _T

25、oc62052523 h 289 HYPERLINK l _Toc62052524 2.3服务承诺 PAGEREF _Toc62052524 h 291技术方案建议技术方案视频会议系统总体设计方案项目概述本项目将对贵方集团公司视频会议系统及视频会议室内的音视频设备、线路等相关设备进行改造升级，将模拟信号设备和线路升级改造为数字信号设备和线路，从根本上解决设备老化、模拟信号易受干扰易衰减导致的视频卡顿中断等会议效果不佳的情况，同时新增安全保密电子记事本系统以及语音识别转写系统，提高办公会议的信息化水平。本次改造后视频流及内容流显示将由原模拟VGA显示变为1080P数字高清显示，实现双流全高清传输

26、，视频会议视频效果将显著提升，满足贵方集团公司视频办公会议需求。需求分析本次系统改造后需满足以下要求：所有输入信号源、线路、中间信号处理设备剔除模拟设备，实现全数字化，显示支持全高清标准（1080P）；视频信号具备兼容性，保证双流模拟VGA视频信号接入；音频设备升级使音频传输播放流畅清晰，会议扩声系统升级参照GB50371厅堂扩声系统设计规范中会议类扩声系统声学指标一级标准；集中控制系统各种接口设置合理优化，稳定高效；高峰厅增加安全保密电子记事本系统，方便参会领导审阅会议文件；增加语音识别转写系统一套，可以灵活接入各视频会议室（通过音频线缆）。建设内容本项目建设内容主要包括： 1、视频会议系统

27、改造将替换现有旧MCU设备，并确保兼容一段时间的旧宝利通视频终端（HDX8000），以便各企业会场进行新终端更换。2、集团总部长安厅、高峰厅和光明厅3个会议室的音视频设备进行升级改造；3、新增安全保密电子记事本系统，主要用于高峰厅会议材料的阅读、记录，支持手写笔迹等功能；4、新增语音识别转写系统，是软硬件一体的设备，用于对普通话连续语音的实时转写及相关辅助转写功能，如自动分段、关键词优化、语气词过滤等能帮助会议记录人员进行会议纪要整理、提升出稿效率；5、编制修订集团视频会议系统会议室建设规范及视频会议系统管理要求；6、项目建设依据相关标准规范，确保完成后能协助招标人通过应用系统安全测评。建设要

28、求根据此次改造升级的总体要求，鉴于视频会议的发展趋势，我方的建设遵循以下原则和要求： 配备设备既考虑先进性也要实用性，注重系统配置经济效益，达到综合平衡；主要设备支持高带宽；设备具有较强的扩展性； 人机界面应友好，易操作和易控制，减轻控制人员的操作强度，减少误操作，提高会议效率；故障提示清晰明确、可读性好，系统易维修维护；系统整体兼容性强，可兼容设备需求的音视频格式、压缩格式和通讯协议；设备对工作环境和条件要求较低，能长期稳定工作，具备7*24小时待机能力；系统启动快，系统掉电后再通电或网络中断后再恢复正常，系统恢复迅速；系统故障率低，维护维修方便；综合考虑系统性能和价格，性价比在同类系统和条

29、件下最优，经济性应包括以下内容：系统本身的价格（包括系统、技术服务和培训）、系统的易扩展性升级、对实施现场的特殊要求所需的费用；根据以上的建设原则和要求，该系统应建成一个技术先进、可靠、管用方便、性能优秀、灵活扩展、标准开放的视频会议系统，并能够综合考虑到系统的中长期发展，在系统结构、系统应用、系统管理、系统性能等各方面适应未来视频会议和多媒体融合通讯技术应用的发展，方便的扩容，灵活增加会议点，最大程度保护招标人的投资，关键设备（MCU、矩阵等）优选国产优质产品。系统方案架构设计系统方案组网说明：在贵方机房部署SMC2.0实现系统统一管理运维、License统一管理、动态资源分配；在贵方机房部

30、署VP9660MCU用于多点会议召开，单台设备最大支持硬件能力同时接入256路1080P/30，本次配置45路H.265协议1080P30fps终端接入以及15路H.264协议1080P30fps终端接入支持全适配会议、支持端口资源动态适配，支持分布式部署、多级多通道级联；在贵方总部会场分别采用分体式会议终端Box600进行双机热备部署,配套高清会议摄像机CloudLink Camera 200和全向麦克风500用于会场音视频画面的采集，同时Box600终端结合现场显示系统、音频系统实现远端音视频画面的融合应用。系统配置清单设计配置项型号数量备注说明视讯业务管理系统SMC2.01软件安装包及服

31、务器多点控制单元VP96601MCU配置45路H.265协议1080P30fps终端接入以及15路H.264协议1080P30fps终端接入分体式会议终端CloudLink Box6006高清会议室终端CloudLink Camera 2006高清会议摄像头CloudLinkMic 5006全向麦克风原厂触控平板6原厂触控平板视讯系统可靠性设计平台本地双机备份SMC2.0、SC支持双机部署，实现会议的高可靠性。SMC2.0本地双机热备SMC2.0双机系统支持手动切换和自动切换，当主用服务器出现故障时，业务自动切换到备用服务器上，保证视讯系统的稳定。SC本地双机热备SC双机系统支持手动切换和自动

32、切换，在其中一个SC出现网络故障时，能实现业务平滑切换不中断，保障正常通信，提高可靠性。MCU硬件备份VP9660系列MCU的专有硬件采用了完备的多层级可靠性设计，根据各类故障提供多重备份机制，充分保证视频会议稳定进行。业务板备份VP9660拥有多个业务板槽位，可同时配置多块业务板，实现信令、媒体备份倒换。系统启动后会选择其中一块业务板作为H.323信令处理板，如果当前的呼叫信令板出现异常，MCU会自动将信令处理切换到另一块业务板上；拔出当前有业务运行的媒体板时，MCU系统会自动将业务切换到其他可用媒体板上运行。网口备份VP9660GE0网口和GE1网口可以互通备份。当工作网口的线路由于网络设

33、备等各种原因出现通信中断的时候，系统会自动把通信线路从主用网口线路切换到备用网口线路。电源模块备份VP9660可配置两组电源模块，分担设备整机电力负荷的同时，每一组电源模块均可为整机满负荷配置提供充足功耗，实现电源模块的双备份。芯片备份VP9660单板里面的音视频媒体处理芯片具有备份，当一个芯片出现故障无法工作的时候，系统会自动调用空闲的芯片来完成工作，对音视频效果完全没有影响，使得音视频会议得到了芯片级的保障。资源池会议备份随着云计算技术的逐渐发展，视讯系统组网逐渐走向云化，基于云计算架构的新型视讯组网和应用将成为未来视讯系统的发展方向。云计算技术应用在视讯行业组网中即是将视讯系统中最重要的

34、音视频交换处理平台MCU进行云化、端口化，使多台MCU设备之间组成MCU“资源池”，实现在会议组建中不用去考虑使用哪个MCU的端口资源，系统通过智能的资源调度和端口分配原则满足每次会议的正常使用。华为视讯依托于SMC2.0管理平台提供的对音视频媒体处理与交换资源统一管理与智能分配的虚拟化技术，通过划分合理的服务区，将VP9800系列MCU、ClouodMCU与传统VP9600系列MCU组成混合“资源池”，统一为全网接入终端提供基础音视频媒体处理资源，从而实现负载均衡、负荷分担、智能备份等最优资源自动配置策略。资源调配原理资源池管理系统根据用户请求的会议参数，与会会场，按照资源调配策略为会场确定

35、接入MCU以及MCU之间的级联关系，这个过程可称之为资源调配过程。资源池管理系统以服务区方式对MCU资源进行管理。服务区是资源池管理系统为会场分配MCU资源的管理概念, 会场和MCU之间通过服务区进行关联。每个会场只可归属一个服务区，每个服务区可包括多台MCU，实际应用上，每个服务区可对应于系统的一个MCU资源池。服务区确定策略由于级联会议一方面可对分布式的会议进行就近收敛，降低对主MCU的带宽占用，另一方面会对MCU端口产生浪费（会场越少越明显），并增加系统时延。系统采用两级MCU组网，当下级参会会场较少时，应当避免级联，直接使用总部MCU资源。分配MCU资源按照资源最优、负载均衡原则分配M

36、CU资源。主从服务区确定完之后，当某个服务区内存在多台MCU满足该服务区的会场接入需求时，系统会按照资源最优的原则选择剩余资源最充足的MCU进行会场接入。当该服务区内MCU资源不足时， 如果该服务区存在备份服务区，则可以使用备份服务区的MCU资源。资源池备份触发条件（1）会议预约时本服务区MCU资源不足（2）会议过程中本服务区MCU发生故障时产生非级联会议的备份按照备份资源池定义顺序依次选择，直到找到可用的备份资源池为止，系统找到可用的备份资源池后， 将原有MCU上的会议整体备份到备份资源池的MCU上。以北京冀北天津河北的备份顺序为例，如下：级联会议的备份当会议存在级联的情况时, 分为两种情况

37、（1）主MCU故障（2）从MCU故障。所有该MCU上的接入会场和级联会场都会整体切换到备份资源池的MCU上，会议中的其它MCU会与备份资源池的MCU建立新的级联关系。资源池备份对会议的影响MCU切换到备份资源池的MCU时，因为会场的信令和媒体流都经过MCU，发生故障的MCU上所接入的会场会产生短时间的图像和声音中断。备份时，资源池管理系统会将该MCU上的会议信息、会场接入信息、会议广播状态发送到备份MCU上进行恢复。备份MCU会依据这些信息重新呼叫各会场入会，并设置会议状态。根据会议的不同参会会场数目，会议一般会在15分钟内进行恢复。IP会场备份通过IP会场备份，可以实现部分重要会场及IP线路

38、的1+1备份，在提高该会场参与会议的可靠性的同时，不增加用户的MCU端口投资。SMC2.0支持对可管理会场和不可管理添加备份会场，在主会场入会失败或活动会议中异常离线时，SMC2.0会对主会场重新呼叫，如果重呼后主会场仍然不能入会，则SMC2.0会结束对主会场的呼叫，自动开始呼叫备份会场，保证会议继续进行。支持使用IP音频会场或标清会场备份高清会场，使客户升级换代的旧设备能够有效利用，降低用户在备份会场的投资。异地容灾华为高清视频会议解决方案支持异地容灾，在不同物理地域各部署一套系统，当其中一个地域系统出现异常时，例如自然灾害引起整系统无法使用时，另一个地域的全套系统可以接管所有业务。华为高清

39、视频会议解决方案采用网元级倒换策略。在主备容灾的部署模式下，又分为手动（Manual）和自动（Auto）两种运行模式，从而使得在主备容灾部署模式下，能够提供手动倒换、自动倒换和手动倒回能力。SMC2.0采用单机主备模式，主备SMC2.0之间建立心跳和数据同步，正常情况下只有主用SMC2.0提供会议管理以及设备管理的功能。当主用SMC2.0故障时由备用SMC2.0接管业务。SC采用单机主备模式，主备SC之间建立心跳和数据同步，正常情况下只有主用SC提供放号功能、终端注册以及路由转发功能。当主用SC故障时由备用SC接管业务。主备SC分别有不同的IP地址，网元通过IP地址对接主SC。终端则通过域名访

40、问主备SC。USM-EUA采用单机主备模式。由于USM-EUA只能跟SC合设，它跟随SC主备倒换而倒换。正常情况下只有主用USM-EUA提供企业通讯录业务，当主用USM-EUA故障时由备用USM-EUA接管业务。主备USM-EUA分别有不同的IP地址，终端、网元通过IP地址访问主USM-EUA。终端或网元SMC2.0、SC和USM-EUA的主备模式，首选主用网元进行访问，不通时自动倒换访问。在使用备用网元过程中，遇到不通，同样自动切回。终端双归属于主备SMC2.0、主备SC和主备USM-EUA。MCU双归属于主备SMC2.0、主备SC。MCU是资源型网元，自身没有容灾的概念，由SMC2.0和S

41、C进行调度和使用，两套SMC2.0和SC共用一份资源型网元。视讯系统安全性设计为保证视频会议系统解决方案的安全性，华为研究了许多国际主流的安全标准，并借助在运营商成功运作的网络和设备的安全运营经验，针对视频会议解决方案分层提供了安全解决方案。安全威胁视讯解决方案结合当前通信网络面临的安全威胁，旨在帮助从多个层次构建一个开放、透明、可视的安全解决方案。管理层安全威胁缺乏安全管理规章制度，或者没有严格执行安全管理规章制度。人员安全意识不足。没有及时进行系统及应用安全补丁的安装，导致系统存在不安全因素。多人共用帐号，责任无法追溯。安全资料不全，无法有效指导安全生产。应用层安全威胁输入验证：缓冲区溢出

42、，跨站点脚本编写，SQL注入。身份验证：网络窃听，暴力破解，词典攻击，重放Cookie，盗窃凭据。授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。配置管理：未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据，缺乏个人可记帐性，越权进程和服务帐户。敏感数据：访问存储器中的敏感数据，窃听网络，篡改数据。会话管理：会话劫持，会话重放，中间人攻击。加密技术：密钥生成或密钥管理差，脆弱的或者自定义的加密术。参数操作：查询字符串操作，窗体字段操作，Cookie操作，HTTP标头操作。异常处理：信息泄漏，拒绝服务。安全审计：用户拒绝执行某项操作，攻击者利用没有跟踪记录的应用程序，攻击者掩饰他或

43、者她的跟踪记录。系统层安全威胁病毒、特洛伊木马和蠕虫：病毒就是一种设计的程序，它进行恶意的行为，并破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中外，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运行。足迹：足迹的示例有端口扫描、ping扫描以及NetBIOS枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操

44、作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。破解口令：如果攻击者不能够与服务器建立匿名连接，攻击者将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端，攻击者只需要破解帐户的口令即可，使用空白或者脆弱的口令可以使攻击者的工作更为轻松。拒绝服务：可以通过多种方法实现拒绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力攻击应用程序而破坏服务，或者攻击者知道应用程序所在服务、运行服务器的操作系统中存在的缺陷。任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者就会损害服务器资源，或进

45、一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷：允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。网络层安全威胁信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，攻击者最初是扫描端口。识别出开放端口后，利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。嗅探：嗅探查或者窃听就是监视网络上数据（例如明文密码或者配置信

46、息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。探查数据包需要在服务器或客户端通信的通道中安装数据包探测器。欺骗：欺骗是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表。会话劫持：也称为中间人攻击，会话劫持欺骗服务器或者客户端认为攻击者的主机就是合法主机。拒绝服务（DoS/DDoS）：拒绝服务就是拒绝合法用户访问服务器或者服务。物理层安全威胁机房安全：

47、非法进入、火灾、水灾、潮湿、雷电、静电等。设备安全：盗窃、毁坏等。线路安全：盗窃、窃听、干扰等。介质安全：盗窃、潮湿、毁坏等。安全策略为保护视讯系统中的操作系统、数据库与网络设备，引入了安全策略，这些安全策略中，大部分规则都可应用于操作系统、数据库与应用程序。视讯产品使用的安全策略包括但不限于以下内容：密码管理使用强密码策略与密码修改策略，如长度限制、字符组合及弱密码检测等，用于防止密码攻击。强密码策略包括：口令长度至少6个字符；口令必须包含如下至少两种字符的组合:至少一个小写字母。至少一个大写字母。至少一个数字。至少一个特殊字符：!#$%&*()-_=+|;:,/?和空格。口令不能和帐号一样

48、。若设置的口令不符合上述规则，进行警告。密码修改策略包括：用户（包括管理员）修改自身口令前需再次验证旧口令，验证通过才能修改。普通用户仅可以修改自身帐号的口令。管理员可以重置其他用户的口令，无需验证旧口令。系统内置帐号的初始密码可配置为必须修改才可登录系统。口令加密保存，不允许明文保存或显示，只有管理员可以访问口令密文文件，普通用户不能读取或拷贝加密的内容。在公共网络上进行口令的传输时，使用安全传输通道或者加密后传输。认证与会话控制设备外部可见的能对系统进行管理的物理接口均有接入认证机制（必须输入正确的用户名和口令才能登录系统）。所有能对系统进行管理的通信端口及协议都有接入认证机制（必须输入正

49、确的用户名和口令才能登录系统）。当用户登录时连续多次输入错误密码后此用户名被锁定，锁定状态的用户无法登录系统。当用户帐号被锁定后，系统自动在一段时间之后解锁，解锁时长可配置。当用户帐号被锁定后，系统管理员可为该用户解锁。加密算法使用标准的加密算法和密钥协商机制，不使用私有算法。使用高安全等级加密算法（如AES128），降低敏感信息被破解的风险。在口令不需要还原的场景，如用户登录设备的密码，使用安全的不可逆的HASH算法（如PBKDF2）对密码进行加密后存储，防止密码泄露后被解密。安全协议支持使用高级别安全协议（如SSHv2/TLS1.2/IPSec/FTPS/LDAPS/SNMPv3）对设备进

50、行维护管理。基于SIP的会议支持TLS和SRTP安全协议。对不安全协议，支持关闭，缺省关闭FTP、Telnet和SSHv1.x。最小授权规则系统中新建的用户，默认只有最小的权限。可为帐号分配不同的角色，一种角色只能拥有必需的权限。文件权限管理系统文件非授权用户不能访问。安全日志管理面所有的用户活动和操作指令均记录日志。日志内容能支撑事后的审计。日志有访问控制，只有管理员才能有访问权限。系统加固OS安全加固、DB安全加固、安全补丁机制。IP防攻击、防信令DoS/DDoS攻击、防信令畸形报文攻击。SIP业务逻辑安全、RTP报文过滤机制、防信令风暴等。应用层安全华为高清视讯解决方案在应用层提供的安全

51、方案包括：认证、口令策略、访问控制与授权、加密、会话管理、日志、数据保护、运行安全等。安全技术说明访问控制产品所有的人机接口登录帐号和口令通过文档向客户公开，帐号可管理（启用/禁用/删除），口令可修改。产品所有的命令行及参数通过文档向客户公开（命令行手册文档）。产品所有的通信端口及协议通过文档向客户公开（通信矩阵文档）。不存在可绕过系统安全机制（认证、权限控制、日志记录）对系统或数据进行访问的功能。业务安全SMC2.0、MCU、RSE录播服务器、会议终端、智真中控设备均有内置Web服务器，用于设备的维护管理，用户可选择安全的HTTPS通信方式登录设备，确保用户登录的帐号和口令，以及敏感的参数信

52、息不会被窃取。基于H.323协议召开会议时，支持启用H.235安全协议，并支持启用SRTP（安全实时传输协议）对媒体流进行加密，保证会议的信息安全。基于SIP协议召开会议时，支持启用TLS协议对信令进行加密，并支持启用SRTP（安全实时传输协议）对媒体流进行加密，保证会议的信息安全。主叫呼集功能允许某个用户通过会议终端主动向SC发起召集会议请求，并在会议终端上配置会议的相关参数（如会场名、会议接入密码、付费帐号及密码等），其中包含了敏感信息，为保障敏感信息的安全传输，主叫呼集功能支持使用安全的HTTPS通道进行数据传输，即终端作为HTTPS客户端向HTTPS服务端（SC）发起主叫呼集请求。产品

53、在执行任何操作前，先对登录用户的权限进行判断，防止用户进行越权访问。对来自其它系统的任何请求均进行参数合法性检查，防止受到畸形报文攻击。支持会议接入密码、会议控制密码，防止非法用户接入会议或控制会议。敏感数据保护产品的日志、诊断调试信息、告警信息中不包含敏感数据信息。产品在传输敏感数据时，使用安全传输通道，或者对数据进行加密后再传输。在保存敏感数据时，对数据加密后再保存。用户登录设备的口令，使用安全不可逆哈希算法加密后保存在设备的存储器中。采用标准的加密算法和密钥协商机制，不使用私有算法。安全日志与审计用户登录和注销有日志记录。增加、删除用户和用户属性（帐号、口令等）的变更有日志记录。用户的锁

54、定和解锁，禁用和恢复有日志记录。角色权限变更有日志记录。系统相关安全配置（如安全日志内容配置）的变更有日志记录。重要资源的变更，如某个重要文件的删除、修改等有日志记录。对系统配置参数的修改有日志记录。对系统进行启动、关闭、重启、暂停、恢复、倒换有日志记录。对业务的加载、卸载有日志记录。软件的升级操作，包括远程升级和本地升级有日志记录。所有帐户的非查询类命令行操作命令有日志记录。日志有访问控制，只有管理员才能有访问权限。安全日志可用于审计。安全通信协议支持通过安全的HTTPS协议远程登录设备内置Web服务器进行维护管理，即HTTP下加入SSL层，视讯产品支持TLS1.1及以上版本，SSL协议提供

55、的服务主要有：通过证书认证用户和服务器，确保数据发送到正确的客户机和服务器。加密数据以防止数据中途被窃取。维护数据的完整性，确保数据在传输过程中不被改变。支持通过安全的SSHv2协议远程登录设备进行维护管理。从客户端来看，SSH提供两种级别的安全验证。第一种级别（基于口令的安全验证）客户端通过自己的帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证正在连接的服务器是需要连接的服务器，可能存在“中间人”攻击。第二种级别（基于密匙的安全验证）客户端为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果要连接到SSH服务器，客户端软件就会向服务器发出请求，服务器收到请求之

56、后，先在服务器上寻找此客户端的公用密匙，然后与客户端发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后用私人密匙解密再把它发送给服务器。使用这种认证方式，不仅加密所有传送的数据，而且防止“中间人”攻击。支持通过安全的LDAPS协议进行网络地址本的上传和下载操作。支持通过安全的SNMPv3协议与网管系统通信，与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，用户安全模块提供身份验证和数据保密服务。身份验证是指代理（管理

57、站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。加密指以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。支持H.235安全协议，H.235是H.323系统有关安全方面的一种标准，H.235 主要为H.323体系提供了身份认证、信令和媒体流加密、数据完整性功能。基于SIP协议召开会议时，视讯产品支持通过TLS协议对信令进行加密，并且支持SRTP（安全实时传输协议）对媒体流进行加密。系统层安全华为视讯解决方案提供系统层操作系统、通用数据库的安全加固策略，保障操作系统、数据库正常运行，

58、支撑应用层各应用软件的运行。安全技术说明操作系统安全产品软件包发布前，经过至少两款主流的防病毒软件扫描，保证产品软件包本身不包含恶意程序或病毒。基于通用操作系统的软件，提供数字签名和验证工具，在软件安装或升级过程中可对软件进行完整性验证，防止软件被篡改。对操作系统进行加固，实现操作系统安全，遵循CIS（Center of Internet Security）的加固策略。数据库安全SMC 2.0默认使用独立的数据库帐号进行数据库连接，且该帐号的访问权限为SMC 2.0需要的最低权限。不使用sa帐号进行数据访问，避免帐号泄露对数据库造成影响。SMC 2.0对数据库帐号和密码进行加密后存放，避免连接

59、数据库使用的帐号和密码泄露后被解密。Web服务安全对Web容器进行安全配置加固和最新补丁来保证Web服务安全。用户可以启用HTTPS安全协议与Web服务器通信，确保数据传输的安全。Web登录的密码在系统中加密存储，使用不可逆算法，防止泄露后被解密。网络层安全划分安全区域，通过防火墙进行隔离。华为视讯解决方案根据安全域划分为3个区域。Untrust区域主要指外部的Internet。在视讯解决方案中，此区域进入的用户请求都是不受信任的，需要经过外网防火墙隔离。DMZ区域是企业Untrust区域与企业内部业务系统的隔离区域。外网用户的TE Desktop、TE Mobile等终端访问DMZ区域的SC

60、，并通过此区域的服务器与核心区服务器交互。Trust区域该区域与DMZ区域、Untrust区域的服务器隔离，外部用户不能直接访问。主要部署企业员工的办公机器和会议室等，视讯解决方案提供的TE Desktop&TE Mobile、固定电话、智真、终端、SMC2.0、MCU等均部署在此区域。管理层安全通过完好的规定、策略、定义好的过程、操作指引以避免系统弱点被攻击。组织与过程建立安全管理规章制度，并严格执行安全管理规章制度。对相关人员进行安全意识培训，以避免因安全意识淡薄带来安全风险。建立安全规范，并对操作人员进行足够的培训，以使安全措施能以得到有效的执行。定期对安全日志进行检查，及时发现与处理安