公安视频安全接入系统解决专业方案.doc

1、 XX公安局视频安全接入平台处理方案北京中科富星信息技术公安部边界接入平台入围企业5月目 录第1章 项目综述31.1项目背景31.2建设目标41.3建设总体要求41.4遵照标准6第2章 系统架构62.1公安网访问视频监控专网82.2电子政务外网访问视频监控专网102.3 3G无线视频接入12第3章视频安全交换平台架构143.1底层传输143.2配置管理143.3流量管理153.4监控管理153.5 协议接口模块173.6认证管理173.7内/外网终端管理183.8链路管理18第4章 视频集中监控系统18第5章 平台安全分析205.1终端安全205.2链路安全205.3应用安全215.4系统安全

2、22第6章 技术指标23第1章 项目综述1.1项目背景XX市社会治安视频监控系统前端监控点分布应结合实际治安情况，科学设点、合理布局，建设出入城市关键治安卡口、人车流量大关键道路路口、治安复杂公共场所和易发案部位、校园监控，市区关键道路交叉口、人防关键目标、市容关键管理区域监控。1、对于社会治安，逐步在市区建设形成三道治安监控防线：第一道是城市外围防线，在出入城市关键道路上建立治安卡口，安装以高清摄像机为支撑智能卡口识别比对系统，关键控制出入城市车辆信息；第二道防线是城区交通路口防线，在城区关键交通路口安装智能卡口识别比对系统，监控抓拍路面车辆并识别车牌号，捕捉前排司乘人员面部特征，和出城卡口

3、信息结合，关联和交通违法处理系统、交警车辆信息库、被盗抢车辆数据库，搭建以车辆轨迹侦控为关键“视频侦查作战平台” 。另外，在关键道路边广场、大型商场周围等公共场所安装高速球形摄像机，做改变大场景监控，关键监控人流量大公共复杂场所；第三道防线是易发案区域防线，在易发案区域、外来人口聚居区和城镇结合部复杂地段等地点安装摄像机，监控治安情况复杂社见面。2、对于学校治安，对学校采取人防和技防相结合安防方法，在全市各级各类学校、幼稚园校门口等关键部位新安装监控点、利用视频监控系统，确保公安机关实时监控学校安全情况。3、对于人防、城管监控应用，按人防、城管要求，在指定人防关键部位、市容关键管理区域安装监控

4、点联入监控平台，经过授权可查看和业务相关监控点和监控范围。处理城市抢险救灾效率，提升城市管理水平和服务效益。4、社见面治安监控点整合，社见面监控系统是较为庞大监控资源，经过整合接入公安社会治安监控系统能够有效提升全市监控系统覆盖率，实现监控资源利用最大化。现在，社见面监控系统关键有各小区监控、银行监控、网吧监控、酒店和企业监控等。对上述符合接入条件社见面视频监控点，进行新系统接入，提升全市社会治安监控系统覆盖率，提升治安防控能力，为有效打击犯罪提供视频信息资源。在前端布点位置由辖区派出所、交警支队、刑警支队（大队）、治安支队（大队）共同协商确定，包含到学校、人防、城管监控点位置由对应学校方、人

5、防、城管协商确定，摄像机安装具体位置（点位、方位、角度、高度、照度等）要重视听取治安、刑侦部门意见。经过科学计划、合理部局，将本市社会治安监控系统构筑成一个覆盖城镇、功效完善、全市联网、资源共享社会治安视频监控系统，实现公安业务和社会治安防控有效链接，构建一张服务平安建设、服务社会管理、服务公安工作、覆盖城市农村安全防范天网，努力提升全社会整体防范水平，最大程度发挥社会治安视频监控系统作用。 1.2建设目标二是在监控中心建设视频监控安全交换平台，在社见面治安视频监控专网内设置监控网视频通信服务器，在本局公安信息通信网内设置公安网视频通信服务器，视频监控安全交换平台布署在视频监控专网和市局公安信

6、息通信网之间。公安内网视频访问控制终端访问公安内网视频通信服务器，内网通信服务器和监控专网通信服务器经过视频安全交换平台建立连接和调用，从而实现经过公安信息网浏览、回放和控制社见面治安视频监控系统图像资源功效。1.3建设总体要求遵照公安部最新公布公安信息通信网边界接入平台安全规范（试行）视频接入安全部分草案，遵照公安信息通信网边界接入平台安全规范（试行）规范，视频接入链路体系架构必需符合公安信息通信网边界接入平台安全规范（试行）3.2节要求。在视频接入链路中，视频数据和视频控制信令终止于应用服务区。在应用服务区和安全隔离区，经过视频安全隔离和传输系统将视频数据和视频控制信令进行严格分离和传输，

7、从而确保视频数据和视频控制信令安全地传输到公安信息通信网。其中视频数据为单向传输，视频控制信令为双向传输，图1所表示：1、 视频接入对象认证，对视频接入业务所属视频接入对象进行身份认证，即认证提供视频服务设备正当性，严禁未经认证设备接入公安信息通信网，确保视频源正当性。2、 视频接入对象网络连接终止于视频接入链路内，严格严禁对公安信息通信网直接访问或和公安信息通信网直接交换数据。3、 机密性和完整性遵照公安信息通信网边界接入平台安全规范（试行）4.2.4.3节4、 入侵防范遵照公安信息通信网边界接入平台安全规范（试行）4.2.4.4节5、 网络设备安全遵照公安信息通信网边界接入平台安全规范（试

8、行）4.2.4.5节6、 可用性保障遵照公安信息通信网边界接入平台安全规范（试行）4.2.4.6节7、 主机安全遵照公安信息通信网边界接入平台安全规范（试行）4.2.5节8、 本系统建设遵照公安部相关要求，实现信息安全隔离。10、本系统将采取多种专用安全设备，以实现公安业务及需求身份认证和信息安全传输。11、平台建设在考虑安全设计同时必需兼顾系统流量和性能管理。系统必需含有开放性标准接口，系统必需支持主流视频厂商视频接入。12、要求系统含有7*二十四小时连续稳定可靠运行，提供系统平台冗余方案和故障快速恢复能力。1.4遵照标准【1】 公安部公安边界接入暂行要求等文件相关要求；【2】 遵照公安部最

9、新公布公安信息通信网边界接入平台安全规范（试行）视频接入安全部分草案【3】 城市报警和监控系统建设、管理、应用规范性文件汇编（公安部科技信息化局, ）【4】 公安信息通信网联网设备及应用系统注册管理措施（公信通139号，5月）【5】 计算机信息系统安全保护等级划分准则(GB 17859-1999)【6】 信息安全等级保护管理措施【7】 金盾工程总体方案设计第2章 系统架构整体结构图方案特点1） 遵照公安信息通信网边界接入平台安全规范视频接入部分草案，是公安部入围企业2） 无缝集成：系统和H3C数字视频监控系统集成，包含实时视频、历史点播、摄像调焦、云台控制、语音呼叫等，发生安全入侵行为可和H3

10、C报警系统联动3） 性能优越：最高可达600路D1(2Mbps)传输4） 高安全性：有效处理公安信息通信网和视频专网、公安信息通信网和3G无线网、电子政务网和视频专网视频交换安全问题5） 集中监管：完善集中管理功效，对用户访问行为、设备运行状态等纳入统一管理。2.1公安网访问视频监控专网 视频监控安全交换平台布署在视频监控专网和市局公安信息通信网之间。公安内网视频访问控制终端访问公安内网视频通信服务器，内网通信服务器和监控专网通信服务器经过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间通讯端口。视频访问控制命令经过视频安全交换平台TCP/IP通道进行连接，视频流经过平台UD

11、P通道进行传输，平台对视频控制命令和视频进行严格格式校验和审核，从而实现经过公安信息网浏览、回放和控制社会治安视频监控系统图像资源功效。该网络拓扑结构有以下特点：1）网络边界划分明确，在每一个网络边界全部提供良好安全保障2视频监控网运行商建立独立视频专网。3）公安外网经过路由器和专线连接到当地运行商组建独立视频专网。4）内网用户访问外部视频监控专网时候，必需经过公安PKI/PMI认证系统认证，平台将终端认证请求发给公安PKI/PMI系统，认证经过后终端访问控制信令才许可传输到视频监控网，没有经过身份认证视频访问控制终端无法连接到视频专网，视频专网也无法经过反向访问公安信息通信网，。5）视频专网

12、和公安信息网经过视频安全接入平台连接，确保公安信息网不受外部攻击，并对外网网络设备集中审计和监控。6）系统安全性能关键靠身份认证系统、视频安全接入平台、集中监控和审计等设备保护，符合公安部指导思想。7）上级局、厅、部可经过访问控制终端访问下级视频专网，而对终端透明。2.2电子政务外网访问视频监控专网 视频监控安全交换平台布署在视频监控专网和电子政务外网之间，电子政务外网视频访问控制终端需要经过电子政务外网认证服务器认证才能访问电子政务外网视频通信服务器，电子政务外网通信服务器和监控专网通信服务器经过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间通讯端口。视频访问控制命令经过

13、视频安全交换平台TCP/IP通道进行连接，视频流经过平台UDP通道进行传输，平台对视频控制命令和视频进行严格格式校验和审核，从而实现经过公安信息网浏览、回放和控制社会治安视频监控系统图像资源功效。2.3 3G无线视频接入无线视频监控应用业务关键有动态取证、交通事件智能分析、消防火警指挥等业务。关键无线视频终端设备类型有以下多个：单兵监控终端:包含监控主机、笔筒摄像机、外接耳麦、大容量电池，内置GPS模块、3G无线通信模块、液晶显示器、TF卡等。能够实现视频数据采集、抓拍、加密、编码、存放、传输、回放等功效。车载移动监控终端 在车辆上安装车载视频监控终端，将采集到视频信息经过3G网络将视频图像、

14、事件报警、行车路线等数据上传给后台指挥中心，后台指挥中心可随时调取现场视音频信息，并可直接对前端设备进行操作，实现远程指挥调度。无线网络摄像机 无线网络摄像机支持SD卡接口，可经过3G网络传输视频，用于没有有线线路或不适合有线线路环境。 无线视频安全接入方案对视频终端设备进行认证、视频传输进行审计、视频信令进行分析，能有效保障无线视频传输安全。第3章视频安全交换平台架构结构图以下 3.1底层传输1 采取优异网络传输框架，可达成双向600Mbps左右（千兆网络）2 网络通信链路检测，当网络从异常状态恢复后，在一定时间周期后可自行恢复数据传输。3 周期检测数据链路运行情况，方便合理分配数据链路4

15、链路回收：对一定周期无响应链路进行回收5 支持单播、多播和组播方法，有效处理流量瓶颈问题。3.2配置管理配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS连接方法在IE浏览器中单点配置。该子系统集中存放、管理系统配置信息。配置信息采取XML格式保留，在视频接入系统（后置，前置）开启时载入。1配置创建、修改 经过IE浏览器创建、修改配置，管理接入视频数据交换协议、IP地址、端口、认证服务、业务联络人信息、链路信息等。3配置入库服务 创建完成配置后，将配置信息保留到当地配置文件，并写入当地文件数据库，做好标识，创建时间、修改时间、配置文件流字段、版本编号、配置说明4配置版本回退

16、可让用户查看里历次配置文件数据中配置文件，并可进行版本回退，将数据库中配置文件覆盖目前使用XML配置文件。5管理帐号 管理员帐号创建、修改、删除配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS连接方法在IE浏览器中单点配置。该子系统集中存放、管理系统接入配置信息；并管理业务应用系统数据交换方法、认证协议。配置信息采取XML格式配置文件，在视频接入系统（后置，前置）开启时载入。3.3流量管理 基于业务种类流量控制，针对不一样业务种类能够调配相对应流量。保障业务相关领导在处理突发事件时候能稳定查看视频监控。可控制接入系统总流量上限，到上限后不接收新用户连接，可设置单一通道流量上

17、限。3.4监控管理使用IE浏览器，在内网终端显示运行状态（正常、最高并发、目前并发数、整小时流量、请求总数、犯错数量、成功率、响应时间），并可经过该界面开启和停止该业务。下面对各个属性进行简单说明：状态：说明该业务运行情况，关键分为：正常、失败两种最高并发：统计该业务一天当中最高并发数量目前并发：统计目前该业务并发数总流量：统计一天流量总请求数：统计一天内请求数。总犯错数量：统计一天内用户请求失败数量。成功率：统计一天内成功率。响应时间（平均响应时间）：统计一段时间内（在系统初始化时候设置）在用户提议请求后，从外网接入平台前置服务器接收请求开始计时，到内网返回业务系统请求，并传输到外网接入平台

18、终止，统计响应时间。开启：开启该服务停止：停止该服务接入平台一监控平台终端一IE终端一IE终端N IE接入平台二接入平台N监控平台连接接入平台监控接口，接口使用SOCKET协议。各终端使用IE浏览器查看监控信息。监控平台使用多线程连接多个接入平台对应接口。且监控平台能支持多个IE终端访问监控平台，监控平台应该向每个终端IE上派发相同数据。接入平台主动推数据给监控平台。SOCKET连接要求有自动检测连接异常能力，且能在连接异常断开后尝试重新建立连接。1 监控平台配置配置需要监控平台，配置信息为：接入平台IP、审计端口、应用监控端口、标识、接入平台帐号、密码审计端口、应用监控端口2 报警配置3 帐

19、号管理用户名、密码，要求实现新增、修改、删除4 监控内存、CPU监控、应用状态、应用审计监控。3.5 协议接口模块1支持标准SIP协议,对于视频厂商实现了标准SIP协议直接转发。2.支持标准TCP/UDP数据传输。 对视频厂商实现了TCP/UDP代理协议转发。3.支持标准视频点播协议（H.323协议簇、H.264、H.263、RTSP），并可对协议进行分析和审核。4. 支持调焦、摄像头角度移动等命令。3.6认证管理1.视频系统开启时，前置和后置要进行基硬件安全认证，以确保系统是正当。2流媒体数据格式验证，以确保经过视频接入系统视频是正当。3可使用IP地址管理白名单、黑名单策略，简单控制哪些用户

20、许可访问，哪些用户不许可访问。3.7内/外网终端管理在公安信息通信网终端、外网设备或其它非公安访问视频终端只有经过检验终端才能访问视频或传输流媒体。同时制订对应终端策略对终端行为进行控制，如控制终端路由，只能连接到平台；控制服务和进程，关闭无关程序。经过这些手段确保终端安全、用户操作行为可控。以此实现四个指定指定用户，经过指定设备，运行指定程序，访问指定业务，将终端带来安全风险降到最低。3.8链路管理1. 依据用户等级合理调度数据链路。2. 周期检测数据链路运行情况，方便合理分配数据链路。第4章 视频集中监控系统集中监控和审计系统是整个系统安全管理中心，从布署结构上看由集中监控探针（MC)、监

21、控服务端(CMS)、监控数据库三部分组成。4.1监控探针1、 自动扫描网络拓扑或手动添加，使用Telnet/Ping方法检测设备是否可用2、 接收各网络设备SYSLOG日志(路由器、防火墙、VPN、安全网关、网闸、 IDS)，并完成过滤。要求支持关键厂商设备。3、 使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、安全网关、网闸、 IDS)运行状态。要求支持关键厂商设备。4、 发送日志及网络设备运行状态信息到监控服务端，并维护和监控服务端网 络连接状态。4.2监控管理系统(CMS)1、 连接服务：维护和监控代理连接服务，断开连接时候进行报警2、 入库：对接收得到SYSLOG日志及SNM

22、P信息进行入库3、 报警：对设备故障、网络异常、入侵行为等进行报警4、 业务管理：对视频交换、数据交换等业务监视、起动、停止等5、 导出/迁移：对审计数据进行导出或迁移到其它备份表等6、 统计报表：对设备日志、设备故障、报警等进行统计，并以报表展现，可让用户对统计项进行参数设置，并进行分析。7、 设备管理：对代剪发觉设备进行注册管理、配置等。并可展现设备目前运行状态，如：内存、CPU、硬盘、流量、在线连接数等使用情况。8、 级联上报：对本级平台基础信息、建设信息、运维信息上报到上级平台。9、 权限管理：根据用户、角色、权限方法进行授权管理10、 业务管理：可对数据交换业务注册管理、业务监管绑定

23、、业务设备绑定。11、 配置管理：对网络设备、监控系统、探针进行配置。第5章 平台安全分析 现在在视频监控接入公安信息通信网方面，没有提出合理、安全处理方案。而我们处理方案很好处理视频监控接入公安信息通信网安全，关键以下：5.1终端安全在公安信息通信网终端、外网设备或其它非公安访问视频终端只有经过检验终端才能访问视频或传输流媒体。5.2链路安全在平台边界和运行商网络之间以专线方法连接，链路设备之间进行相互认证。平台内部链路严格专用，不用于其它用途。经过VLAN划分、应用端口隔离、业务通道方法区分不一样业务应用，避免业务交叉和跳板攻击。接入平台内部系统设计严谨，无任何未经严格安全防范旁路。对于边

24、界保护区链路：n 防火墙设置访问控制策略，严格过滤进出平台系统数据报文请求；n 防火墙设置目标地址转换策略，隐藏内部服务器系统地址；n 防火墙系统设置源地址转换策略，在向外访问时保护内网主机地址；n 全部安全设备串行部署，确保安全强度。n 使用安全隔离网闸，确保公安信息网和外部网络之间安全隔离；设备串行布署，确保安全强度。n 视频安全交换平台含有防病毒能力，拥有实时扫描、在线更新病毒码、立即侦测等功效，杀毒速度快，占用资源极少，能查杀大部分病毒。5.3应用安全1 网闸只开放内外两台视频接入系统之间端口通讯。视频接入系统经过端口相互通讯,传输UDP视频数据和管理控制TCP数据，预防将公安信息通信

25、网暴露在公安外网。2 对视频传输及控制协议进行分析，只许可指定协议经过平台传输。并根据业务预先注册数据格式要求，对数据类型，格式进行严格检验，对数据内容进行过滤，限制全部不符合要求数据传入接入平台。应确保传输过程中数据完整性，含有预防数据重放攻击，篡改和伪造功效，含有提供数据颁发证实和交付证实抗抵赖功效。3 平台支持信息网终端对视频认证服务器认证请求。平台使用会话方法保障信息网终端提议请求和返回流媒体信息一一对应机制，有效保障视频接入安全。4.使用监控探针采集防火墙、认证管理服务器、CA服务器等设备访问日志，以方便系统管理员对访问该服务器行为进行有效审计和分析，方便发觉攻击、非法访问起源，立即

26、调整系统安全策略，确保公安信息网安全，在平台出现流量、非法请求、未授权用户请求等异常现象时进行报警。5、数据保密传输功效为视频监控系统接入公安网或党政机关访问视频网路段提供数据加密传输功效7、数据完整性保护功效可检测和发觉数据在传输过程中是否被修改8、抵御多种网络攻击能力IPSec、SSL、安全短消息协议本身可抵御来自公网路段重放攻击，安全接入系统和包过滤防火墙配合可抵御来自公网IP层以上（包含应用层）多种攻击，安全接入系统和包过滤防火墙配合可抵御来自公网应用层多种攻击5.4系统安全1基于硬件双向认证技术 平台使用了USB KEY作为前置和后置双向认证手段，在前置和后置上分别插入了USB KE

27、Y，平台在开启时前置和后置分别读取USB KEY信息，并进行双向认证。有效确保了平台前置和后置之间安全。且在平台运行后定时检测USB KEY可用性，预防平台开启后KEY被拔走可能。2代码安全JAVA程序一个关键问题是代码安全问题，这个问题在业界一直未能有比很好措施处理。我们在代码级安全上做了精心设置，采取了基于硬件防反编译技术，只有在读取USB KEY 信息正确时代码才被载入并被解秘，有效预防了代码被反编译并被分析。3单向动态配置加载 外网区域为不安全区域，所以在前置上保留配置信息存在相当大安全隐患。所以我们需要尽可能不在外网保留配置信息。经过技术处理，外网只保留了隐射到网闸端口和地址。平台开启前置和后置双向认证经过后，后置将把外网配置信息发送到前置内存中。经过双向认证、代码安全和动态加载配置，有效确保配置信息安全。4安全操作系统 平台使用完全重新编译LINUX内核，精简、安全，取消了全部对外提供服务包，并加入内核级IDS功效，能有效抵御攻击。第6章 技术指标1)能达成最高600路D1（2M/S）画质图像并行传输，能支持视频组播，中国性能最优视频交换系统2)经过加密、身份认证、防病毒、审计、集中监管等手段处理视频交换中安全，中国首个对整体安全考虑视频交换系统3）能支持大部分厂商视频交换，并支持互联互通