公安视频安全接入系统与解决方案.docx
- 文档编号:30022264
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:14
- 大小:23.66KB
公安视频安全接入系统与解决方案.docx
《公安视频安全接入系统与解决方案.docx》由会员分享,可在线阅读,更多相关《公安视频安全接入系统与解决方案.docx(14页珍藏版)》请在冰豆网上搜索。
公安视频安全接入系统与解决方案
**公安局
视频平安接入平台解决案
中科富星信息技术**
公安部边界接入平台入围企业
2021年5月
第1章工程综述
1.1工程背景
**市社会治安视频监控系统前端监控点分布应结合实际治安状况,科学设点、合理布局,建立出入城市主要治安卡口、人车流量大的主要道路路口、治安复杂公共场所和易发案部位、校园监控,市区主要道路穿插口、人防重点目标、市容重点管理区域监控。
1、对于社会治安,逐步在市区建立形成三道治安监控防线:
第一道是城
市外围防线,在出入城市主要道路上建立治安卡口,安装以高清摄像机为支撑的智能卡口识别比对系统,主要控制出入城市的车辆信息;第二道防线是城区交通路口防线,在城区主要交通路口安装智能卡口识别比对系统,监控抓拍路面车辆并识别车牌号,捕捉前排司乘人员面部特征,与出城卡口信息结合,关联与交通处理系统、交警车辆信息库、被盗抢车辆数据库,搭建以车辆轨迹侦控为核心的“视频侦查作战平台〞。
另外,在主要道路边广场、大型商场边等公共场所安装高速球形摄像机,做变化大场景监控,重点监控人流量大的公共复杂场所;第三道防线是易发案区域防线,在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机,监控治安情况复杂的社会面。
2、对于学校治安,对学校采取人防和技防相结合的安防措施,在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统,确保公安机关实时监控学校的平安状况。
3、对于人防、城管监控应用,按人防、城管的要求,在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台,通过授权可查看与业务相关的监控点和监控围。
解决城市抢险救灾的效率,提升城市管理水平和效劳效益。
4、社会面治安监控点整合,社会面监控系统是较为庞大的监控资源,通过整合接入公安社会治安监控系统可以有效提高全市监控系统覆盖率,实现监控资源利用最大化。
目前,社会面监控系统主要有各小区监控、银行监控、网吧监控、酒店和企业监控……等。
对上述符合接入条件的社会面视频监控点,进展新系统接入,提高全市社会治安监控系统的覆盖率,提高治安防控能力,为有效的打击犯罪提供视频信息资源。
在前端布点位置由辖区派出所、交警支队、刑警支队〔大队〕、治安支队〔大队〕共同协商确定,涉及到学校、人防、城管的监控点位置由对应的学校、人防、城管协商确定,摄像机安装具体位置〔点位、位、角度、高度、照度等〕要注重听取治安、刑侦部门意见。
通过科学规划、合理部局,将我市社会治安监控系统构筑成一个覆盖城镇、功能完善、全市联网、资源共享的社会治安视频监控系统,实现公安业务与社会治安防控的有效,构建一效劳平安建立、效劳社会管理、效劳公安工作、覆盖城市农村的平安防天网,努力提升全社会整体防水平,最大限度发挥社会治安视频监控系统的作用。
1.2建立目标
二是在监控中心建立视频监控平安交换平台,在社会面治安视频监控专网设置监控网视频通信效劳器,在我局公安信息通信网设置公安网视频通信效劳器,视频监控平安交换平台部署在视频监控专网和市局公安信息通信网之间。
公安网的视频访问控制终端访问公安网的视频通信效劳器,网通信效劳器和监控专网通信效劳器通过视频平安交换平台建立连接和调用,从而实现通过公安信息网浏览、回放和控制社会面治安视频监控系统图像资源的功能。
1.3建立总体要求
遵循公安部最新发布的"公安信息通信网边界接入平台平安规〔试行〕——视频接入平安局部"草案,遵循"公安信息通信网边界接入平台平安规〔试行〕"规,视频接入链路的体系架构必须符合"公安信息通信网边界接入平台平安规〔试行〕"的3.2节的要求。
在视频接入链路中,视频数据和视频控制信令终止于应用效劳区。
在应用效劳区与平安隔离区,通过视频平安隔离与传输系统将视频数据和视频控制信令进展格别离和传输,从而保证视频数据和视频控制信令平安地传输到公安信息通信网。
其中视频数据为单向传输,视频控制信令为双向传输,如图1所示:
1、视频接入对象认证,对视频接入业务所属的视频接入对象进展身份认证,即认证提供视频效劳设备的合法性,制止未经认证设备接入公安信息通信网,确保视频源的合法性。
2、视频接入对象的网络连接终止于视频接入链路,格制止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。
3、性与完整性
遵循"公安信息通信网边界接入平台平安规〔试行〕"的4.2.4.3节
4、入侵防
遵循"公安信息通信网边界接入平台平安规〔试行〕"的4.2.4.4节
5、网络设备平安
遵循"公安信息通信网边界接入平台平安规〔试行〕"的4.2.4.5节
6、可用性保障
遵循"公安信息通信网边界接入平台平安规〔试行〕"的节
7、主机平安
遵循"公安信息通信网边界接入平台平安规〔试行〕"的4.2.5节
8、本系统的建立遵循公安部的有关规定,实现信息平安隔离。
10、本系统将采用各种专用平安设备,以实现公安业务及需求的身份认证和信息平安传输。
11、平台建立在考虑平安设计的同时必须兼顾系统的流量与性能管理。
系统必须具有开放性标准接口,系统必须支持主流视频厂商的视频接入。
12、要求系统具备7*24小时持续稳定可靠运行,提供系统平台冗余案和故障快速恢复能力。
1.4遵循标准
【1】公安部"公安边界接入暂行规定"等文件的相关规定;
【2】遵循公安部最新发布的"公安信息通信网边界接入平台平安规〔试行〕——视频接入平安局部"草案
【3】"城市报警与监控系统建立、管理、应用规性文件汇编"〔公安部科技信息化局,2021年〕
【4】"公安信息通信网联网设备及应用系统注册管理方法"〔公信通[2007]139号,2007年5月〕
【5】"计算机信息系统平安保护等级划分准则(GB17859-1999)"
【6】"信息平安等级保护管理方法"
【7】"金盾工程总体案设计"
第2章系统架构
整体构造图
案特点
1)遵循"公安信息通信网边界接入平台平安规——视频接入局部"草案,是公安部入围企业
2)无缝集成:
系统与H3C数字视频监控系统集成,包括实时视频、历史点播、摄像调焦、云台控制、语音呼叫等,发生平安入侵行为可与H3C的报警系统联动
3)性能优越:
最高可达600路D1(2Mbps)传输
4)高平安性:
有效解决公安信息通信网与视频专网、公安信息通信网与3G无线网、电子政务网与视频专网视频交换的平安问题
5)集中监管:
完善的集中管理功能,对用户的访问行为、设备的运行状态等纳入统一管理。
2.1公安网访问视频监控专网
视频监控平安交换平台部署在视频监控专网和市局公安信息通信网之间。
公安网的视频访问控制终端访问公安网的视频通信效劳器,网通信效劳器和监控专网通信效劳器通过视频平安交换平台建立连接和调用,网闸只开放视频交换平台前后置效劳间的通讯端口。
视频访问控制命令通过视频平安交换平台的TCP/IP通道进展连接,视频流通过平台的UDP通道进展传输,平台对视频控制命令和视频进展格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。
该网络拓扑构造有如下特点:
1〕网络边界划清楚确,在每一个网络边界都提供良好的平安保障
2视频监控网运营商建立独立的视频专网。
3〕公安外网通过路由器和专线连接到当地运营商组建的独立视频专网。
4〕网用户访问外部视频监控专网时候,必须通过公安PKI/PMI认证系统认证,平台将终端的认证请求发给公安PKI/PMI系统,认证通过后终端的访问控制信令才允传输到视频监控网,没有经过身份认证的视频访问控制终端无法连接到视频专网,视频专网也无法通过反向访问公安信息通信网,。
5〕视频专网和公安信息网通过视频平安接入平台连接,保证公安信息网不受外部攻击,并对外网网络设备集中审计和监控。
6〕系统的平安性能主要靠身份认证系统、视频平安接入平台、集中监控与审计等设备的保护,符合公安部的指导思想。
7〕上级局、厅、部可通过访问控制终端访问下级视频专网,而对终端透明。
2.2电子政务外网访问视频监控专网
视频监控平安交换平台部署在视频监控专网和电子政务外网之间,电子政务外网的视频访问控制终端需要经过电子政务外网的认证效劳器认证才能访问电子政务外网的视频通信效劳器,电子政务外网通信效劳器和监控专网通信效劳器通过视频平安交换平台建立连接和调用,网闸只开放视频交换平台前后置效劳间的通讯端口。
视频访问控制命令通过视频平安交换平台的TCP/IP通道进展连接,视频流通过平台的UDP通道进展传输,平台对视频控制命令和视频进展格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。
2.33G无线视频接入
无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。
主要的无线视频终端设备类型有以下几种:
单兵监控终端:
包括监控主机、笔筒摄像机、外接耳麦、大容量电池,置GPS模块、3G无线通信模块、液晶显示屏、TF卡等。
可以实现视频数据的采集、抓拍、加密、编码、存储、传输、回放等功能。
车载移动监控终端
在车辆上安装车载视频监控终端,将采集到的视频信息通过3G网络将视频图像、事件报警、行车路线等数据上传给后台指挥中心,后台指挥中心可随时调取现场视音频信息,并可直接对前端设备进展操作,实现远程指挥调度。
无线网络摄像机
无线网络摄像机支持SD卡接口,可通过3G网络传输视频,用于没有有线线路或者不适合有线线路的环境。
无线视频平安接入案对视频终端设备进展认证、视频传输进展审计、视频信令进展分析,能有效保障无线视频传输的平安。
第3章视频平安交换平台架构
构造图如下
3.1底层传输
1.采用先进的网络传输框架,可到达双向600Mbps左右〔千兆网络〕
2.网络通信链路检测,当网络从异常状态恢复后,在一定时间期后可自行恢复数据传输。
3.期检测数据链路的运行情况,以便合理分配数据链路
4.链路回收:
对一定期无响应的链路进展回收
5.支持单播、多播和组播式,有效解决流量瓶颈问题。
3.2配置管理
配置管理子系统让管理员在个人工作站实现远程一体化管理,使用HTTPS连接式在IE浏览器中单点配置。
该子系统集中存储、管理系统的配置信息。
配置信息采用*ML格式保存,在视频接入系统〔后置,前置〕启动时载入。
1.配置创立、修改
通过IE浏览器创立、修改配置,管理接入视频的数据交换协议、IP地址、端口、认证效劳、业务联络人信息、链路信息等。
3.配置入库效劳
创立完成配置后,将配置信息保存到本地配置文件,并写入本地文件数据库,做好标记,创立时间、修改时间、配置文件流字段、版本编号、配置说明
4.配置版本回退
可让用户查看里历次配置文件数据中的配置文件,并可进展版本回退,将数据库中的配置文件覆盖当前使用的*ML配置文件。
5.管理**
管理员**创立、修改、删除配置管理子系统让管理员在个人工作站实现远程一体化管理,使用HTTPS连接式在IE浏览器中单点配置。
该子系统集中存储、管理系统的接入配置信息;并管理业务应用系统的数据交换式、认证协议。
配置信息采用*ML格式的配置文件,在视频接入系统〔后置,前置〕启动时载入。
3.3流量管理
基于业务种类的流量控制,针对不同业务种类可以调配相对应的流量。
保障业务相关领导在处理突发事件时候能稳定的查看视频监控。
可控制接入系统的总流量上限,到上限后不承受新用户的连接,可设置单一通道的流量上限。
3.4监控管理
使用IE浏览器,在网终端显示运行状态〔正常、最高并发、当前并发数、整小时流量、请求总数、出错数量、成功率、响应时间〕,并可通过该界面启动和停顿该业务。
下面对各个属性进展简单说明:
状态:
说明该业务的运行情况,主要分为:
正常、失败两种
最高并发:
记录该业务一天当中最高并发数量
当前并发:
统计当前该业务的并发数
总流量:
统计一天的流量
总请求数:
统计一天的请求数。
总出错数量:
统计一天用户请求的失败数量。
成功率:
统计一天的成功率。
响应时间〔平均响应时间〕:
统计一段时间〔在系统初始化时候设置〕在用户发起请求后,从外网接入平台前置效劳器接收请求开场计时,到网返回业务系统的请求,并传输到外网接入平台终止,统计响应时间。
启动:
启动该效劳
停顿:
停顿该效劳
接入平台一
监控平台
终端一IE
终端一IE
终端NIE
接入平台二
接入平台N
监控平台连接接入平台监控接口,接口使用SOCKET协议。
各终端使用IE浏览器查看监控信息。
监控平台使用多线程连接多个接入平台的对应接口。
且监控平台能支持多个IE终端访问监控平台,监控平台应该向每个终端IE上派发一样的数据。
接入平台主动推数据给监控平台。
SOCKET连接要求有自动检测连接异常的能力,且能在连接异常断开后尝试重新建立连接。
1.监控平台配置
配置需要监控的平台,配置信息为:
接入平台IP、审计端口、应用监控端口、标识、接入平台**、密码审计端口、应用监控端口.
2.报警配置
3.**管理
用户名、密码,要现新增、修改、删除
4.监控
存、CPU监控、应用状态、应用审计监控。
3.5协议接口模块
1.支持标准SIP协议,对于视频厂商实现了标准SIP协议的直接转发。
2.支持标准TCP/UDP数据传输。
对视频厂商实现了TCP/UDP代理协议转发。
3.支持标准视频点播协议〔H.323协议簇、H.264、H.263、RTSP〕,并可对协议进展分析和审核。
4.支持调焦、摄像头角度移动等命令。
3.6认证管理
1.视频系统启动时,前置与后置要进展基硬件的平安认证,以确保系统是合法的。
2.流媒体数据格式验证,以确保通过视频接入系统的视频是合法。
3.可使用IP地址管理白、黑策略,简单控制哪些用户允访问,哪些用户不允访问。
3.7/外网终端管理
在公安信息通信网的终端、外网设备或者其他非公安访问视频的终端只有通过检验的终端才能访问视频或者传输流媒体。
同时制定相应的终端策略对终端行为进展控制,如控制终端路由,只能连接到平台;控制效劳和进程,关闭无关程序。
通过这些手段保证终端平安、用户操作行为可控。
以此实现四个指定——指定用户,通过指定设备,运行指定程序,访问指定业务,将终端带来的平安风险降到最低。
3.8链路管理
1.根据用户等级合理调度数据链路。
2.期检测数据链路的运行情况,以便合理分配数据链路。
第4章视频集中监控系统
集中监控与审计系统是整个系统的平安管理中心,从部署构造上看由集中监控探针〔MC)、监控效劳端(CMS)、监控数据库三局部组成。
4.1监控探针
1、自动扫描网络拓扑或者手动添加,使用Telnet/Ping式检测设备是否可用
2、承受各网络设备的SYSLOG日志(路由器、防火墙、VPN、平安网关、网闸、
IDS),并完成过滤。
要求支持主要厂商设备。
3、使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、平安网关、网闸、
IDS)的运行状态。
要求支持主要厂商设备。
4、发送日志及网络设备运行状态信息到监控效劳端,并维护与监控效劳端的网
络连接状态。
4.2监控管理系统(CMS)
1、连接效劳:
维护与监控代理的连接效劳,断开连接时候进展报警
2、入库:
对承受得到的SYSLOG日志及SNMP信息进展入库
3、报警:
对设备故障、网络异常、入侵行为等进展报警
4、业务管理:
对视频交换、数据交换等业务的监视、起动、停顿等
5、导出/迁移:
对审计数据进展导出或迁移到其他备份表等
6、统计报表:
对设备日志、设备故障、报警等进展统计,并以报表展现,可让用户对统计项进展参数设置,并进展分析。
7、设备管理:
对代理发现的设备进展注册管理、配置等。
并可展现设备当前的运行状态,如:
存、CPU、硬盘、流量、在线连接数等使用状况。
8、级联上报:
对本级平台的根本信息、建立信息、运维信息上报到上级平台。
9、权限管理:
按照用户、角色、权限式进展授权管理
10、业务管理:
可对数据交换业务注册管理、业务监管绑定、业务设备绑定。
11、配置管理:
对网络设备、监控系统、探针进展配置。
第5章平台平安分析
目前在视频监控接入公安信息通信网面,没有提出合理、平安的解决案。
而我们的解决案很好的解决视频监控接入公安信息通信网的平安,主要如下:
5.1终端平安
在公安信息通信网的终端、外网设备或者其他非公安访问视频的终端只有通过检验的终端才能访问视频或者传输流媒体。
5.2链路平安
在平台边界与运营商网络之间以专线式连接,链路设备之间进展相互认证。
平台部链路格专用,不用于其它用途。
通过VLAN划分、应用端口隔离、业务通道式区分不同的业务应用,防止业务穿插和跳板攻击。
接入平台部系统设计谨,无任未经格平安防的旁路。
对于边界保护区链路:
⏹防火墙设置访问控制策略,格过滤进出平台系统的数据报文请求;
⏹防火墙设置目的地址转换策略,隐藏部效劳器系统地址;
⏹防火墙系统设置源地址转换策略,在向外访问时保护网主机地址;
⏹所有平安设备串行布置,保证平安强度。
⏹使用平安隔离网闸,保证公安信息网与外部网络之间平安隔离;设备串行部署,保证平安强度。
⏹视频平安交换平台具有防病毒能力,拥有实时扫描、在线更新病毒码、及时侦测等功能,杀毒速度快,占用资源极少,能查杀大局部病毒。
5.3应用平安
1.网闸只开放外两台视频接入系统之间的端口通讯。
视频接入系统通过端口相互通讯,传输UDP的视频数据和管理控制的TCP数据,防止将公安信息通信网暴露在公安外网。
2.对视频传输及控制协议进展分析,只允指定的协议通过平台传输。
并按照业务预先注册的数据格式要求,对数据的类型,格式进展格检查,对数据容进展过滤,限制所有不符合要求的数据传入接入平台。
应保证传输过程中数据的完整性,具备防止数据的重放攻击,篡改和伪造功能,具备提供数据颁发证明和交付证明的抗抵赖功能。
3.平台支持信息网终端对视频认证效劳器的认证请求。
平台使用会话式保障信息网终端发起的请求和返回流媒体信息的一一对应机制,有效保障视频接入的平安。
4.使用监控探针采集防火墙、认证管理效劳器、CA效劳器等设备的访问日志,以便系统管理员对访问该效劳器的行为进展有效的审计和分析,以便发现攻击、非法访问的来源,及时调整系统平安策略,确保公安信息网的平安,在平台出现流量、非法请求、未授权用户请求等异常现象时进展报警。
5、数据传输功能
为视频监控系统接入公安网或者党政机关访问视频网路段提供数据加密传输功能
7、数据完整性保护功能
可检测和发现数据在传输过程中是否被修改
8、抵抗各种网络攻击的能力
IPSec、SSL、平安短消息协议本身可抵抗来自公网路段的重放攻击,平安接入系统和包过滤防火墙配合可抵抗来自公网的IP层以上〔包括应用层〕的各种攻击,平安接入系统和包过滤防火墙配合可抵抗来自公网的应用层的各种攻击
5.4系统平安
1.基于硬件的双向认证技术
平台使用了USBKEY作为前置和后置双向认证的手段,在前置和后置上分别插入了USBKEY,平台在启动时前置和后置分别读取USBKEY的信息,并进展双向认证。
有效保证了平台前置和后置之间的平安。
且在平台运行后定期检测USBKEY的可用性,防止平台启动后KEY被拔走的可能。
2.代码平安
JAVA程序的一个主要问题是代码平安问题,这个问题在业界一直未能有比拟好的方法解决。
我们在代码级平安上做了精心的设置,采用了基于硬件的防反编译技术,只有在读取的USBKEY信息正确时代码才被载入并被解秘,有效防止了代码被反编译并被分析。
3.单向动态配置加载
外网区域为不平安的区域,因此在前置上保存配置信息存在相当大的平安隐患。
因此我们需要尽量不在外网保存配置信息。
经过技术的处理,外网只保存了隐射到网闸的端口和地址。
平台启动前置和后置双向认证通过后,后置将把外网的配置信息发送到前置的存中。
通过双向认证、代码平安和动态加载配置,有效保证配置信息的平安。
4.平安操作系统
平台使用完全重新编译的LINU*核,精简、平安,取消了所有对外提供效劳的包,并参加核级IDS功能,能有效抵抗攻击。
第6章技术指标
1)能到达最高600路D1〔2M/S〕画质图像并行传输,能支持视频组播,国性能最优的视频交换系统
2)通过加密、身份认证、防病毒、审计、集中监管等手段解决视频交换中的平安,国首个对整体平安考虑的视频交换系统
3〕能支持大局部厂商的视频交换,并支持互联互通
教育之通病是教用脑的人不用手,不教用手的人用脑,所以一无所能。
教育革命的对策是手脑联盟,结果是手与脑的力量都可以大到不可思议。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安 视频 安全 接入 系统 解决方案