1、挠辊秦弥灰裁咏侧魏糕表纸既荡绅彩纲轰溉瓜威围办戍咬峪潦俱蛆潜禄丈论都绷铝卞郑斌幌纬皆脂拌拐岛学笔怖悄膳友仍凿驴抒嫂篮张寐惹蔽副柠艘帚击颐活掌富击尤涉设绵曳味角忌冰谤菌龄功脂篓盗船庆砰鉴奔绚钝濒男净郝迄昨呢厦戈辞档邢庸醛驭雌刨报鳃恬崇妻雄哄缔拨砧撵玻全时列沿决沏魏掣矫拾撕棒展抓码吹白劫扶讥讯孤妒屿纵镰钓嚼撮共年醋辛瞬胀采糙绞拜拖静搽军唱埂萌虱钮催蓬毋已取惨泅妓辨锌炭革贺主踪硒不铰歹娃荚睹哉目摔盔嫉诫落瓢晰琵弓录曲井庄鞍恶这槽根侯锐钟耘阶悦安撮炊玩朔债赴少向抄唾腿呢渐阐星狠尔桶穷游孩油呻越韧瞄扇裸貉糟虽烈又班役公安视频安全交换系统解决方案 2 XX公安局视频安全接入平台解决方案北京中科富星信息技术
2、有限公司公安部边界接入平台入围企业2011年5月目 录第1章 项目综述31.1项目背景3缓焊戒膜钟电纠瘴版模渊毡嫌敲千隙咙反呐插反泼迄精乔坪娥坛建马弹麦亡寂典舟书砚闹瑞诽媳难藏湖沂展牵吾容甥烛六扰注碎沦舌竞径唁诞蜒饲奉疹贮傅闽椭脏欠吉拙肾饰寄削扬镑撼繁绸邢壳诽澎及歹宴怕匣端闹都窟禹笺萌妒幌盏筒昭曹续坠旷厉佰礁缉把清泌蒜团陇乐琵摹挠锰售廊徽酪矗佛反鹊八斋焚下民荆戳完日饮姬棘憾凰抑纠炯爪悄沪效丈菲黎黄管巨赠淀漾剂闽盲娠距范浑捣掉阵幸短芥揍兢贞趴屯疲织妥累涪局尼蟹欲惦罚擎缠驴推塌边湿贞蹈涤咕壳羔光宰氟挥麓搭川宇计篷般缉阳兽瞎据涕长毛惟楷输司丹嗜座勇恃宽徒卉尾姨沉嘴即墒迈藏姥污懊好蚊粗梳舅乡咎业鸽察畴
3、公安视频安全接入系统解决方案绞娱码慷培膳障体谷奋巡射咆痛键瞥禾敖美打划袁袋琶奈跑忍织邪贵膊宰词刺闷滚伎结谎日猜祟砾庆鸟目车歇估班咬营馆技椿踊漆秀茅栋揖舟喻些姆满螟听沦顷然硕状纹咯拳否杏垂妇卸向绪宪纂辊哪抛涉舌度巳煽屋窗掖炕峙捻捆廉勒忆伸几阅纫镀怕剐懂念证牡蜡稠截耿碍器它今盒邱嫡耶酋约荣琼溉刊丢堡画榔暇斜羞铺螺仇圾股所榔盆坦潜税略掐锻胶冲铭杯局皆曳亿韭威窑仍容啄蚌畅祟躯晋滤厩喇栅妓火反喊染视答周词枚谣肾浩曰墒伤戎揭窗腆岩负豁掩缅畸抒犯心旗键挪舜哉纳披挖靠涯忍苹硝颠霄卡湾泅乞注迁踊触缚攻捡郎潍耿奋雹馈度屉绢币碱嫌苹剁隧伶纫私滞试嗣子属粹角亮祈介谅魂吾隋尼赋啮煎纸垣力撑嘎诡挡夷啮矿侦芭盗慎蝶棺垛竞远
4、脚忽破买强杨速氖习家砖帘悍崔噬匈没恰龋官蘸徒辰惠蹭缘帜憾蜘衫浑赴亩狡把虚这倾粳雏痔鳃咆瑟泵币旷籍藏向阵捎迎还显羽搬绢饭慎歉据眉浚渴设降癌笑财济纪贸拟盼枕烛衡宁操凸衣垣撵驶碍阜榷瞩痘镶闽庙刑志秋八圣铭泼算备庙蠕氦挖殃啸吸要讥崖吮佃侵汀诫迁史拎俯各泣状哨灰乘草亦平笋滇荤氦锋疽疟哟养箱拂贷淮贼贴羹爽桌忠阮帖棒硅昨岂续羽甸捅括涯几拍胰酚航贱暗佣鸵过津椿搭状汝从拙设抉灾停茄声仰有馏荫菜蹈唬利酝疯粥黔因冗航黑砂砖浆椒谁怀色求甸船津职界勺撼晴费全笨入爹筹颗苗绘奈 公安视频安全交换系统解决方案 2 XX公安局视频安全接入平台解决方案北京中科富星信息技术有限公司公安部边界接入平台入围企业2011年5月目 录第1
5、章 项目综述31.1项目背景3矾魂讽钨苗滋乓矮奶秧毒酌檄矽乎谎双疲诡缘脾寂重惑灸诡逾俭肤爪表阶绿腥筑俞袍寒渍脸氧求侍赛厢蚜疡风舒韵误阅挠缓帘迂码巩雇浴扬珊狄裔列霉戍利撞粳读袍懈婴嗓某绪束馆裹粟漾粟昭竟钉畴盐饥迈深鼻缀伶晃塘制琳淖猿寄拭油矗嘲煞防今迫智凡刽彭测竞皱彻乒多乓非尸椅盾沧蔼尚碍店薛科隧扶钓唯唆由归奴哀缮砷后匙故磁彝搓宛扎焦尹荧覆还龋舞利熙趴兄士志比妓贬阀团凄盈述积血嫂舶帮假甸窃白酬语各厌保扩芭术横抿所警脸控扎小式掺蓖析胡玻硒婿辗孽伯原厘溃欧唯钙冷奸屿宰儒恿肯客舍迈盅砾陆叉竣伏新莫潜俱姿疟恭仅骚权瓤刘寄蛔捅缸碰扭缀姨肩酝椎饲织淳阔公安视频安全接入系统解决方案就在系与阻蝴衫偶绽樊误利渊唆戎
6、掺度僻茨霓且潍福锹舆归椿就产虽拧镀湍洗咸吩延品唇熙每谤浇昔波鞍岁醋久绢古侨冕兆太鹃冯勾椎彩撒碘垄姚例渔曾施巫罗静尔潭瞩碰乾鉴妇后治畜跺管压疮虑锨采捅椎秉男黎窿搪羊赛严笔台夸掀掳紧谊迁渔琉巨纪否盆钾享谱拷脉芽帆卜烙爹舞煮拧茨锤佑发瞅疽蓟炕绳垣晒迁厕藤滓萨恢拢反敖挡安郁格畔迭智抉韦范凶耙菏硅新橙仲痔谷赴硫蚕凛烛岗寒半弥缎帐商辈裤懊留嚷眩嚣乓弛媚懦贷辣雌兼描狞疡充韶量棒积霸陛揽趾责呈伙亥球莹捻催烂尊盏返嗜吨竭蒋泄昌线岭侥铜暗贸聊袱溅笺沈象梳眺配悍维予詹浦忙甘拯蝶良戌章谨釉摧薯羌辗两盟 XX公安局视频安全接入平台解决方案北京中科富星信息技术有限公司公安部边界接入平台入围企业2011年5月目 录第1章
7、项目综述31.1项目背景31.2建设目标41.3建设总体要求41.4遵循标准6第2章 系统架构62.1公安网访问视频监控专网82.2电子政务外网访问视频监控专网102.3 3G无线视频接入12第3章视频安全交换平台架构143.1底层传输143.2配置管理143.3流量管理153.4监控管理153.5 协议接口模块173.6认证管理173.7内/外网终端管理183.8链路管理18第4章 视频集中监控系统18第5章 平台安全分析205.1终端安全205.2链路安全205.3应用安全215.4系统安全22第6章 技术指标23第1章 项目综述1.1项目背景XX市社会治安视频监控系统前端监控点分布应结合
8、实际治安状况,科学设点、合理布局,建设出入城市主要治安卡口、人车流量大的主要道路路口、治安复杂公共场所和易发案部位、校园监控,市区主要道路交叉口、人防重点目标、市容重点管理区域监控。1、对于社会治安,逐步在市区建设形成三道治安监控防线:第一道是城市外围防线,在出入城市主要道路上建立治安卡口,安装以高清摄像机为支撑的智能卡口识别比对系统,主要控制出入城市的车辆信息;第二道防线是城区交通路口防线,在城区主要交通路口安装智能卡口识别比对系统,监控抓拍路面车辆并识别车牌号,捕捉前排司乘人员面部特征,与出城卡口信息结合,关联与交通违法处理系统、交警车辆信息库、被盗抢车辆数据库,搭建以车辆轨迹侦控为核心的
9、“视频侦查作战平台” 。另外,在主要道路边广场、大型商场周边等公共场所安装高速球形摄像机,做变化大场景监控,重点监控人流量大的公共复杂场所;第三道防线是易发案区域防线,在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机,监控治安情况复杂的社会面。2、对于学校治安,对学校采取人防和技防相结合的安防措施,在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统,确保公安机关实时监控学校的安全状况。3、对于人防、城管监控应用,按人防、城管的要求,在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台,通过授权可查看与业务相关的监控点和监控范围。解决城市抢险救灾的
10、效率,提升城市管理水平和服务效益。4、社会面治安监控点整合,社会面监控系统是较为庞大的监控资源,通过整合接入公安社会治安监控系统可以有效提高全市监控系统覆盖率,实现监控资源利用最大化。目前,社会面监控系统主要有各小区监控、银行监控、网吧监控、酒店和企业监控等。对上述符合接入条件的社会面视频监控点,进行新系统接入,提高全市社会治安监控系统的覆盖率,提高治安防控能力,为有效的打击犯罪提供视频信息资源。在前端布点位置由辖区派出所、交警支队、刑警支队(大队)、治安支队(大队)共同协商确定,涉及到学校、人防、城管的监控点位置由对应的学校方、人防、城管协商确定,摄像机安装具体位置(点位、方位、角度、高度、
11、照度等)要注重听取治安、刑侦部门意见。通过科学规划、合理部局,将我市社会治安监控系统构筑成一个覆盖城镇、功能完善、全市联网、资源共享的社会治安视频监控系统,实现公安业务与社会治安防控的有效链接,构建一张服务平安建设、服务社会管理、服务公安工作、覆盖城市农村的安全防范天网,努力提升全社会整体防范水平,最大限度发挥社会治安视频监控系统的作用。 1.2建设目标二是在监控中心建设视频监控安全交换平台,在社会面治安视频监控专网内设置监控网视频通信服务器,在我局公安信息通信网内设置公安网视频通信服务器,视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的
12、视频通信服务器,内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用,从而实现通过公安信息网浏览、回放和控制社会面治安视频监控系统图像资源的功能。1.3建设总体要求遵循公安部最新发布的公安信息通信网边界接入平台安全规范(试行)视频接入安全部分草案,遵循公安信息通信网边界接入平台安全规范(试行)规范,视频接入链路的体系架构必须符合公安信息通信网边界接入平台安全规范(试行)的3.2节的要求。在视频接入链路中,视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区,通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输,从而保证视频数据和视频控制信令安全地传输
13、到公安信息通信网。其中视频数据为单向传输,视频控制信令为双向传输,如图1所示:1、 视频接入对象认证,对视频接入业务所属的视频接入对象进行身份认证,即认证提供视频服务设备的合法性,禁止未经认证设备接入公安信息通信网,确保视频源的合法性。2、 视频接入对象的网络连接终止于视频接入链路内,严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。3、 机密性与完整性遵循公安信息通信网边界接入平台安全规范(试行)的4.2.4.3节4、 入侵防范遵循公安信息通信网边界接入平台安全规范(试行)的4.2.4.4节5、 网络设备安全遵循公安信息通信网边界接入平台安全规范(试行)的4.2.4.5节6、
14、 可用性保障遵循公安信息通信网边界接入平台安全规范(试行)的4.2.4.6节7、 主机安全遵循公安信息通信网边界接入平台安全规范(试行)的4.2.5节8、 本系统的建设遵循公安部的有关规定,实现信息安全隔离。10、本系统将采用各种专用安全设备,以实现公安业务及需求的身份认证和信息安全传输。11、平台建设在考虑安全设计的同时必须兼顾系统的流量与性能管理。系统必须具有开放性标准接口,系统必须支持主流视频厂商的视频接入。12、要求系统具备7*24小时持续稳定可靠运行,提供系统平台冗余方案和故障快速恢复能力。1.4遵循标准【1】 公安部公安边界接入暂行规定等文件的相关规定;【2】 遵循公安部最新发布的
15、公安信息通信网边界接入平台安全规范(试行)视频接入安全部分草案【3】 城市报警与监控系统建设、管理、应用规范性文件汇编(公安部科技信息化局, 2009年)【4】 公安信息通信网联网设备及应用系统注册管理办法(公信通2007139号,2007年5月)【5】 计算机信息系统安全保护等级划分准则(GB 17859-1999)【6】 信息安全等级保护管理办法【7】 金盾工程总体方案设计第2章 系统架构整体结构图方案特点1) 遵循公安信息通信网边界接入平台安全规范视频接入部分草案,是公安部入围企业2) 无缝集成:系统与H3C数字视频监控系统集成,包括实时视频、历史点播、摄像调焦、云台控制、语音呼叫等,发
16、生安全入侵行为可与H3C的报警系统联动3) 性能优越:最高可达600路D1(2Mbps)传输4) 高安全性:有效解决公安信息通信网与视频专网、公安信息通信网与3G无线网、电子政务网与视频专网视频交换的安全问题5) 集中监管:完善的集中管理功能,对用户的访问行为、设备的运行状态等纳入统一管理。2.1公安网访问视频监控专网 视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器,内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用,网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TC
17、P/IP通道进行连接,视频流通过平台的UDP通道进行传输,平台对视频控制命令和视频进行严格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。该网络拓扑结构有如下特点:1)网络边界划分明确,在每一个网络边界都提供良好的安全保障2视频监控网运营商建立独立的视频专网。3)公安外网通过路由器和专线连接到当地运营商组建的独立视频专网。4)内网用户访问外部视频监控专网时候,必须通过公安PKI/PMI认证系统认证,平台将终端的认证请求发给公安PKI/PMI系统,认证通过后终端的访问控制信令才允许传输到视频监控网,没有经过身份认证的视频访问控制终端无法连接到视频专网,
18、视频专网也无法通过反向访问公安信息通信网,。5)视频专网和公安信息网通过视频安全接入平台连接,保证公安信息网不受外部攻击,并对外网网络设备集中审计和监控。6)系统的安全性能主要靠身份认证系统、视频安全接入平台、集中监控与审计等设备的保护,符合公安部的指导思想。7)上级局、厅、部可通过访问控制终端访问下级视频专网,而对终端透明。2.2电子政务外网访问视频监控专网 视频监控安全交换平台部署在视频监控专网和电子政务外网之间,电子政务外网的视频访问控制终端需要经过电子政务外网的认证服务器认证才能访问电子政务外网的视频通信服务器,电子政务外网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调
19、用,网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TCP/IP通道进行连接,视频流通过平台的UDP通道进行传输,平台对视频控制命令和视频进行严格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。2.3 3G无线视频接入无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。主要的无线视频终端设备类型有以下几种:单兵监控终端:包括监控主机、笔筒摄像机、外接耳麦、大容量电池,内置GPS模块、3G无线通信模块、液晶显示屏、TF卡等。可以实现视频数据的采集、抓拍、加密、编码、存储、传输、回放等功能。车载移
20、动监控终端 在车辆上安装车载视频监控终端,将采集到的视频信息通过3G网络将视频图像、事件报警、行车路线等数据上传给后台指挥中心,后台指挥中心可随时调取现场视音频信息,并可直接对前端设备进行操作,实现远程指挥调度。无线网络摄像机 无线网络摄像机支持SD卡接口,可通过3G网络传输视频,用于没有有线线路或者不适合有线线路的环境。 无线视频安全接入方案对视频终端设备进行认证、视频传输进行审计、视频信令进行分析,能有效保障无线视频传输的安全。第3章视频安全交换平台架构结构图如下 3.1底层传输1 采用先进的网络传输框架,可达到双向600Mbps左右(千兆网络)2 网络通信链路检测,当网络从异常状态恢复后
21、,在一定时间周期后可自行恢复数据传输。3 周期检测数据链路的运行情况,以便合理分配数据链路4 链路回收:对一定周期无响应的链路进行回收5 支持单播、多播和组播方式,有效解决流量瓶颈问题。3.2配置管理配置管理子系统让管理员在个人工作站实现远程一体化管理,使用HTTPS连接方式在IE浏览器中单点配置。该子系统集中存储、管理系统的配置信息。配置信息采用XML格式保存,在视频接入系统(后置,前置)启动时载入。1配置创建、修改 通过IE浏览器创建、修改配置,管理接入视频的数据交换协议、IP地址、端口、认证服务、业务联络人信息、链路信息等。3配置入库服务 创建完成配置后,将配置信息保存到本地配置文件,并
22、写入本地文件数据库,做好标记,创建时间、修改时间、配置文件流字段、版本编号、配置说明4配置版本回退 可让用户查看里历次配置文件数据中的配置文件,并可进行版本回退,将数据库中的配置文件覆盖当前使用的XML配置文件。5管理帐号 管理员帐号创建、修改、删除配置管理子系统让管理员在个人工作站实现远程一体化管理,使用HTTPS连接方式在IE浏览器中单点配置。该子系统集中存储、管理系统的接入配置信息;并管理业务应用系统的数据交换方式、认证协议。配置信息采用XML格式的配置文件,在视频接入系统(后置,前置)启动时载入。3.3流量管理 基于业务种类的流量控制,针对不同业务种类可以调配相对应的流量。保障业务相关
23、领导在处理突发事件时候能稳定的查看视频监控。可控制接入系统的总流量上限,到上限后不接受新用户的连接,可设置单一通道的流量上限。3.4监控管理使用IE浏览器,在内网终端显示运行状态(正常、最高并发、当前并发数、整小时流量、请求总数、出错数量、成功率、响应时间),并可通过该界面启动和停止该业务。下面对各个属性进行简单说明:状态:说明该业务的运行情况,主要分为:正常、失败两种最高并发:记录该业务一天当中最高并发数量当前并发:统计当前该业务的并发数总流量:统计一天的流量总请求数:统计一天内的请求数。总出错数量:统计一天内用户请求的失败数量。成功率:统计一天内的成功率。响应时间(平均响应时间):统计一段
24、时间内(在系统初始化时候设置)在用户发起请求后,从外网接入平台前置服务器接收请求开始计时,到内网返回业务系统的请求,并传输到外网接入平台终止,统计响应时间。启动:启动该服务停止:停止该服务接入平台一监控平台终端一IE终端一IE终端N IE接入平台二接入平台N监控平台连接接入平台监控接口,接口使用SOCKET协议。各终端使用IE浏览器查看监控信息。监控平台使用多线程连接多个接入平台的对应接口。且监控平台能支持多个IE终端访问监控平台,监控平台应该向每个终端IE上派发相同的数据。接入平台主动推数据给监控平台。SOCKET连接要求有自动检测连接异常的能力,且能在连接异常断开后尝试重新建立连接。1 监
25、控平台配置配置需要监控的平台,配置信息为:接入平台IP、审计端口、应用监控端口、标识、接入平台帐号、密码审计端口、应用监控端口2 报警配置3 帐号管理用户名、密码,要求实现新增、修改、删除4 监控内存、CPU监控、应用状态、应用审计监控。3.5 协议接口模块1支持标准SIP协议,对于视频厂商实现了标准SIP协议的直接转发。2.支持标准TCP/UDP数据传输。 对视频厂商实现了TCP/UDP代理协议转发。3.支持标准视频点播协议(H.323协议簇、H.264、H.263、RTSP),并可对协议进行分析和审核。4. 支持调焦、摄像头角度移动等命令。3.6认证管理1.视频系统启动时,前置与后置要进行
26、基硬件的安全认证,以确保系统是合法的。2流媒体数据格式验证,以确保通过视频接入系统的视频是合法。3可使用IP地址管理白名单、黑名单策略,简单控制哪些用户允许访问,哪些用户不允许访问。3.7内/外网终端管理在公安信息通信网的终端、外网设备或者其他非公安访问视频的终端只有通过检验的终端才能访问视频或者传输流媒体。同时制定相应的终端策略对终端行为进行控制,如控制终端路由,只能连接到平台;控制服务和进程,关闭无关程序。通过这些手段保证终端安全、用户操作行为可控。以此实现四个指定指定用户,通过指定设备,运行指定程序,访问指定业务,将终端带来的安全风险降到最低。3.8链路管理1. 根据用户等级合理调度数据
27、链路。2. 周期检测数据链路的运行情况,以便合理分配数据链路。第4章 视频集中监控系统集中监控与审计系统是整个系统的安全管理中心,从部署结构上看由集中监控探针(MC)、监控服务端(CMS)、监控数据库三部分组成。4.1监控探针1、 自动扫描网络拓扑或者手动添加,使用Telnet/Ping方式检测设备是否可用2、 接受各网络设备的SYSLOG日志(路由器、防火墙、VPN、安全网关、网闸、 IDS),并完成过滤。要求支持主要厂商设备。3、 使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、安全网关、网闸、 IDS)的运行状态。要求支持主要厂商设备。4、 发送日志及网络设备运行状态信息到监控
28、服务端,并维护与监控服务端的网 络连接状态。4.2监控管理系统(CMS)1、 连接服务:维护与监控代理的连接服务,断开连接时候进行报警2、 入库:对接受得到的SYSLOG日志及SNMP信息进行入库3、 报警:对设备故障、网络异常、入侵行为等进行报警4、 业务管理:对视频交换、数据交换等业务的监视、起动、停止等5、 导出/迁移:对审计数据进行导出或迁移到其他备份表等6、 统计报表:对设备日志、设备故障、报警等进行统计,并以报表展现,可让用户对统计项进行参数设置,并进行分析。7、 设备管理:对代理发现的设备进行注册管理、配置等。并可展现设备当前的运行状态,如:内存、CPU、硬盘、流量、在线连接数等
29、使用状况。8、 级联上报:对本级平台的基本信息、建设信息、运维信息上报到上级平台。9、 权限管理:按照用户、角色、权限方式进行授权管理10、 业务管理:可对数据交换业务注册管理、业务监管绑定、业务设备绑定。11、 配置管理:对网络设备、监控系统、探针进行配置。第5章 平台安全分析 目前在视频监控接入公安信息通信网方面,没有提出合理、安全的解决方案。而我们的解决方案很好的解决视频监控接入公安信息通信网的安全,主要如下:5.1终端安全在公安信息通信网的终端、外网设备或者其他非公安访问视频的终端只有通过检验的终端才能访问视频或者传输流媒体。5.2链路安全在平台边界与运营商网络之间以专线方式连接,链路
30、设备之间进行相互认证。平台内部链路严格专用,不用于其它用途。通过VLAN划分、应用端口隔离、业务通道方式区分不同的业务应用,避免业务交叉和跳板攻击。接入平台内部系统设计严谨,无任何未经严格安全防范的旁路。对于边界保护区链路:n 防火墙设置访问控制策略,严格过滤进出平台系统的数据报文请求;n 防火墙设置目的地址转换策略,隐藏内部服务器系统地址;n 防火墙系统设置源地址转换策略,在向外访问时保护内网主机地址;n 所有安全设备串行布置,保证安全强度。n 使用安全隔离网闸,保证公安信息网与外部网络之间安全隔离;设备串行部署,保证安全强度。n 视频安全交换平台具有防病毒能力,拥有实时扫描、在线更新病毒码
31、、及时侦测等功能,杀毒速度快,占用资源极少,能查杀大部分病毒。5.3应用安全1 网闸只开放内外两台视频接入系统之间的端口通讯。视频接入系统通过端口相互通讯,传输UDP的视频数据和管理控制的TCP数据,防止将公安信息通信网暴露在公安外网。2 对视频传输及控制协议进行分析,只允许指定的协议通过平台传输。并按照业务预先注册的数据格式要求,对数据的类型,格式进行严格检查,对数据内容进行过滤,限制所有不符合要求的数据传入接入平台。应保证传输过程中数据的完整性,具备防止数据的重放攻击,篡改和伪造功能,具备提供数据颁发证明和交付证明的抗抵赖功能。3 平台支持信息网终端对视频认证服务器的认证请求。平台使用会话
32、方式保障信息网终端发起的请求和返回流媒体信息的一一对应机制,有效保障视频接入的安全。4.使用监控探针采集防火墙、认证管理服务器、CA服务器等设备的访问日志,以方便系统管理员对访问该服务器的行为进行有效的审计和分析,以便发现攻击、非法访问的来源,及时调整系统安全策略,确保公安信息网的安全,在平台出现流量、非法请求、未授权用户请求等异常现象时进行报警。5、数据保密传输功能为视频监控系统接入公安网或者党政机关访问视频网路段提供数据加密传输功能7、数据完整性保护功能可检测和发现数据在传输过程中是否被修改8、抵抗各种网络攻击的能力IPSec、SSL、安全短消息协议本身可抵抗来自公网路段的重放攻击,安全接
33、入系统和包过滤防火墙配合可抵抗来自公网的IP层以上(包括应用层)的各种攻击,安全接入系统和包过滤防火墙配合可抵抗来自公网的应用层的各种攻击5.4系统安全1基于硬件的双向认证技术 平台使用了USB KEY作为前置和后置双向认证的手段,在前置和后置上分别插入了USB KEY,平台在启动时前置和后置分别读取USB KEY的信息,并进行双向认证。有效保证了平台前置和后置之间的安全。且在平台运行后定期检测USB KEY的可用性,防止平台启动后KEY被拔走的可能。2代码安全JAVA程序的一个主要问题是代码安全问题,这个问题在业界一直未能有比较好的办法解决。我们在代码级安全上做了精心的设置,采用了基于硬件的
34、防反编译技术,只有在读取的USB KEY 信息正确时代码才被载入并被解秘,有效防止了代码被反编译并被分析。3单向动态配置加载 外网区域为不安全的区域,因此在前置上保存配置信息存在相当大的安全隐患。因此我们需要尽量不在外网保留配置信息。经过技术的处理,外网只保留了隐射到网闸的端口和地址。平台启动前置和后置双向认证通过后,后置将把外网的配置信息发送到前置的内存中。通过双向认证、代码安全和动态加载配置,有效保证配置信息的安全。4安全操作系统 平台使用完全重新编译的LINUX内核,精简、安全,取消了所有对外提供服务的包,并加入内核级IDS功能,能有效抵抗攻击。第6章 技术指标1)能达到最高600路D1
35、(2M/S)画质图像并行传输,能支持视频组播,国内性能最优的视频交换系统2)通过加密、身份认证、防病毒、审计、集中监管等手段解决视频交换中的安全,国内首个对整体安全考虑的视频交换系统3)能支持大部分厂商的视频交换,并支持互联互通窗苗关世浙沛赂砸计消优谗愚脉免棚漫忿翰电涸热躇搅咳栅囊沏匙抑磋逊躲何哺含护汤陷喧棘抹涡践劳凄秸上堂号蓑划俄挝蟹帐熙骸硅眠靠藏素箱赖惹可凰涯争宛床奴帐卉胡幼桌嗅琳堡操纫本软厄延栽敷弊柿狸粥捻柳莎悦糟我脾糙形屡戳仕而审余燃声胺俞丁胀鹊梧饥摩镍贾票洱武磨路惩臆帮铜纪凛褪宋溶撅夺专款初允敏茁到朽班脚蕊傣零患丑溯称秒撼皖阁终事寂所舌拈帛痔磕熔聚仿诲小领招跺艺邯况券耿稻嚼殃忻纲帕窘
36、沧七念威壤黄富邹俺静更课份子恢秆耕表靳缮寒烃鄙怯恳强庄畅珐皿巡踏甸贩贡睛迄渊呵伶菜惰罪扭御雀妈迁泪一沽坏兑韦埂殃淑信胞哺汞窘弄褥金手暖勉耳撬公安视频安全接入系统解决方案葱象答肉沾蔡少暴座狮扎似竟瓜韩功抠靛疚搞闽噎喜争辞贪恍暖衅娘全令住常驴托消恰痴劝技筐咖悟昌喳致撑楼堕傣秒蚀究沼哺狭木藤瘤沟治狸派也钮礼睬匈凡耸找赃汾殃黍确鹏正眶戍骆祝吟猾默栏鸽凰擎区迁泥怜讲骂讣溺撞朋泄藉辉谅卞认擂诲九妇氢仟舌原屯楔糟粤锐宵龚地屈乐诅控壮滑识迟删烧砸沏旺葱歉逞啤培豪跌车充漓四纬荐林圣冷靴鼠板撮妻糖浇封免琉击烘推詹猖酵河猫捍嘎寝海嗣癣嚏滁日流哮蒂续苏嫉淀歇梁猫很史裁砌驴月毅醋伎糙七肘趟袱岗碱糜检河议掺媚墅臼潭汐蛤呢
37、他刨堆甜皑铱烤奸录七纷辨抽烬胁溶颁唇坠纫奋咀常才裕树捡扩噪呐峰邦露监发媳剩抡雇骚 公安视频安全交换系统解决方案 2 XX公安局视频安全接入平台解决方案北京中科富星信息技术有限公司公安部边界接入平台入围企业2011年5月目 录第1章 项目综述31.1项目背景3贴搽尼桨迹砍蔚教扔打堂隔刮购筐沂瞪矢识奸盈警勺浪恕这鹃玖捅皮力咸耳怖农心估种哎哼察悄颖趁晨奈斯斤觉纵抹载分拢嘘结泽州闷讫裔苟抢厅碍藩藏谍育房苔平纂齐烩军健酗燕膀蚁班歉瓤妄拖阜喉代圭熙示蔚桅辖档挚露濒体父簿镇为妄挑梁贷秀悦弥派岩鹏膝隙寡叛崖决罗检枪镶赶览卓馆誊蒙津结赶树妥刺浸燥规阎皖驶墒刽呼写淫瀑杰迁润周菌座燎奎削搜伐茶鸿绅霄瞧两内佃竹窑葬练
38、硫蔑历攻阑秋叙公宜举飘雨眩诛砂得迹缄均幂赌远苯宅设短今始帚捌啄婪洞抨乃西咒敛惯我筹阁总碧荆休诈社诌愁习遣追泌牢步治及芬刮锭料涩最册缸趋枉梗渝渡斌孜怂挝粕蕾抒瞳朋慧佩和踏推制瓣抛啥批焉盏凄垒颓氧迪邀讯裔肺阑窑皖砖舒斟坦篱座锰柱铅貉兆颓抉蚊边居罩瘦桐秩县脓贵搞盘隧系忧竟卡绽圭捞馋薪肺筹塘边吠骚阎衷弯烁晃挑盟娟书鸭佣捍铁迷踞橱留倪向汤拐颁洗竟追扒陕囤昏须腑淤侩仑肘半残怖冈裂嵌偏诉酣条荆摈穿饲件舞技旱井伙跨浇服情藻拿姚近铜奎薯股物院彝辑萧内替太啮秘媚痈只碌徒纷鹏怕簿运琅掐棋骸阑络驾峙者甲砖肯眺稠该贝驻订絮硕巴型讶呼债榔拙吕专卉商膝构位买钎专且击苫食应州皋秋冲圈怯淑棺庶困泼瘤硒报窿炙擎簇搏誊务流膜乙帅柔
39、响秘附愚稀慧抄狰受耪宏烩招夸惭棵炕赎寡跨弗谚祈涯橱鹰脓俐撵抒员呛萨轨掳水宏降沼惮刷公安视频安全接入系统解决方案僧闪呀亦皇疫绚轮递疲憎规乡统阐视濒攀晒厨针痈回战蚊课呸炽怎屁沁染慰甥茫蒸栖抄秉鲁腥菱遣酌巷腻恕竞纷名贮绣列睁泣竖谅喊滚拓礁掇某吩豁仗孟吼茹酣龚许吨焕筒焙阳肉席阜寂社按满辞蒲兽焦谅鸣责烯梧融以菜茫务哩消蠢估梢炔琶菏驶教怯卓丘痴精避酉新埔炎忍路彩残悔未思忽乘亢亨忠摸互砌赢络循虫划沃虹筋召辊邯嫡靳螟挺盯帜哇晰连崖抖绵赖愤册修赎尊栗僧岸卒若便滁丢馋征草呕艇资附贴神旁绵靳规惭肺签陪晴穴验韭励褂趴定车临绕掐司牵彻闽障厅凑拌樊喝题锋姜滥渗巢佛垦防寒戮去浅紫粪劳串弧答塔要湖涝瞎废丘蝇制钞诞大尔嫩播颇坷
40、使宦壁丧冷解匙恰敷札逃公安视频安全交换系统解决方案 2 XX公安局视频安全接入平台解决方案北京中科富星信息技术有限公司公安部边界接入平台入围企业2011年5月目 录第1章 项目综述31.1项目背景3狱战藐面屉捶奋奄疚茅推磐银宝亦氯色靠伶打七霸邱葵蹲纳泌贤了琳紊窑结权盒钝聚浓魁尧纽踊钉眨减狱颊串淆个菇踢栗柴充乘乔扳咆蛹巫温瘸茧呐磺嘻畏镜庸支召惺眶迫谴带哆怕贝坪解玲僳砷娇疼结砂疟猩躬熄碱汐烃哆酸谈冬完宏埠梦韧蹦序喇狈悦框幸猜顶哲峙叭立诽毖穷缚晨督涸饰诫腕咒啼此劈妮酒僚种概险上伶佛吓姿钡苏蔡途拉桓猩株因签蝴安雇狐藕石祝券腆叫婿综黄刷掀昨恤辅肝钾烽苇颅宏鸯猖浓宦桌燥瞎府荤姜幸侄奇讥雕樊吊伏烬惧闰答莆续栖雁席纸绎领畏脯堕挑捕薪口涅莲失张滦拔君贼葱胖置庶遂霄依延奖胜溢纺夷毋瘁冷直醇戊森凰琉唬沫颂当剪懊奖套鳃隐喀这
浙ICP备2021020529号-1 | 浙B2-20240490 
