PDT数字集群网接入公安信息通信网方案.docx

PDT数字集群网接入公安信息通信网方案.docx

《PDT数字集群网接入公安信息通信网方案.docx》由会员分享，可在线阅读，更多相关《PDT数字集群网接入公安信息通信网方案.docx（8页珍藏版）》请在冰豆网上搜索。

PDT数字集群网接入公安信息通信网方案

数字集群网接入公安信息通信网

建设方案

1.项目背景

公安无线通信是公安机关开展日常勤务、参与大型安保活动、处置紧急突发事件的一种重要移动通信指挥手段，是基层公安机关在街道、社区、农村接警处警中上传下达警务指令的基本工具，是各警种特别是一线民警应用最广泛、最基础的信息通信工具，在治安巡逻、交通管理、预防防控、边境管理、消防警卫等各项公安业务中发挥着不可替代的作用。

近年来，公安无线通信网络通信技术逐渐由模拟移动通信系统向数字移动通信系统过渡，公安部在2013年正式印发了《警用数字集群（PDT）通信系统总体技术规范》（GA/T1056-2013），各地开始加快数字集群系统建设，在原有模拟集群系统基础设施基础上，有效提高了频率利用率，增加了系统联网、身份识别、位置管理、数据业务等方面的新功能。

数字集群通信系统的建设，为公安信息通信网和无线集群网络的业务数据互通提供了可能，但由于公安信息通信网的对安全方面的要求，需要严格依照《公安信息通信网边界接入平台安全规范（试行）》的要求，对接入对象和接入方式进行严格要求，采用相应的安全防护设备，在实现网络间互联互通的功能要求下，保障公安信息通信网的安全。

2.需求概述

为了统一指挥调度的需要，各地公安机关在指挥中心内部署了无线通信系统调度台，通过调度台能够实现对辖区警力的双向语音呼叫、短信/彩信下发、位置信息获取等功能，同时为了满足对公安信息通信网内部警用应用系统的使用需求，调度台需要部署在公安信息通信网上。

这就要求在实现以上业务需求的前提下，参照相关安全规范，保证公安信息通信网的安全。

⏹业务需求

语音互通

指挥中心调度台能够实现对警用手台的1对1、1对多的主动语音呼叫，同时能够接收警用手台对指挥中心调度台的主动呼叫，从而建立跨越无线数字集群网络和公安信息通信网的双向语音通信功能。

数据互通

指挥中心调度台能够对辖区内警用手台下发文本或彩信信息，同时可以接收手台向调度台发送的文本或彩信信息。

指挥中心调度台能够主动或被动接收警用手台的地理位置信息，结合公安信息通信网的PGIS系统，能够直观展示辖区警力动态分布。

⏹安全需求

物理安全

数字集群通信系统平台部署的机房应防止XX的人员进入操作，避免接入区或公安信息网内应用系统被误操作或数据被窃取。

网络安全

数字集群网和公安信息通信网边界通过内部专用线路连接，由于数字集群网与公安信息通信网均为公安机关内部管理的网络，通过专用线路连接保证安全。

参考公安信息通信网相关安全规范，需要将数字集群网和公安信息通信网进行安全隔离，两个网络不能直接进行互联互通。

主机安全

数字集群网和公安信息通信网内涉及进行跨网数据交换的终端和服务器，均须进行注册和认证，不允许非法设备进行数据发送或获取。

数据安全

由于数字集群网和公安信息通信网进行互通的数据内容和格式是已知的，需要对数据操作行为进行严格限定，阻断非法数据的传输。

3.总体设计

⏹设计依据

●公安信息通信网边界接入平台安全规范（试行）；

●《公安数字集群移动通信系统总体技术规范（GA-T444-2003）》；

●公信通[2007]191号《关于印发<公安信息通信网边界接入平台安全规范（试行）>》的通知；

●《公安信息通信网边界接入平台安全规范（试行）--视频接入部分》；

●《关于印发<公安信息通信网边界接入平台安全规范（试行）>的通知》（公信通[2007]191号）；

●GB/T28181-2011安全防范视频监控联网系统信息传输、交换、控制技术要求。

⏹设计原则

PDT系统与公安信息网边界接入平台是根据《公安信息通信网边界接入平台安全规范》和参考PDT系统的特点设计的，作为PDT系统与公安信息内网接入统一的出入口，应当在保证接入业务可管理性、可控性的同时，满足对公安信息网和接入平台信息保密性、完整性和可用性的要素。

1、在保密性方面，保证信息在边界接入过程中不被非法获取。

公安信息网与PDT网络交换的数据信息需要严格保密。

2、在完整性方面，保证信息在边界接入过程中不被篡改。

如果提交的数据出现丢失或者被恶意篡改，将给公安部门带来损失，同时还会带来负面影响。

因此，保证业务数据的完整性是必要也是必须的。

3、在安全性方面，保证公安信息网的安全。

在公安信息网内部运行着许多重要的信息系统，需要极高的安全性，一旦出现数据泄露或者被入侵，后果将不堪设想。

4、在可用性方面，保证接入业务在边界接入过程中公安信息通信网及接入平台的安全正常运行，并提供相对应的性能支持。

5、在可控性方面，能够监控和审计接入平台及接入业务运行情况。

当发生违规或异常情况时，能够及时发现、报警并处理。

6、在可管理性方面，对接入平台的方案设计、建设、运行整个过程能够管理和监控，具有规范合理的接入业务流程，纳入信息中心日常运行管理。

7、此外，在接入平台设计和建设过程中，考虑接入平台的可扩展性和可维护性。

随着平台建成后运行时间的推移，业务应用不断增加，将达到平台容量的上限，平台的容量应可随需求而平滑扩展。

⏹建设目的

PDT集群网接入平台系统应达到如下目标：

●保证公安信息网安全的前提下，实现PDT专网与公安信息通信网之间音视频、图像、数据传输的综合管理；

●系统可对不同厂商基于SIP的控制信令进行解析识别，实现对传输控制信令协议的内容识别及过滤；

●系统性能和方案设计能够满足现阶段实战需要以及未来技术扩展支持第三章建设方案。

4.建设方案

⏹方案拓扑

边界接入平台系统采用一级管理模式，即在公安机关信息中心建设边界接入平台系统，方案的拓扑结构如下图所示：

参考《公安信息通信网边界接入平台安全规范（试行）——视频接入部分》，通过在数字集群网络和公安信息通信网之间建设边界接入平台，构建边界防护区、安全隔离区和集中监测与管理区，在这些区域部署应用服务器、网络防护设备、安全隔离设备等，实现数字集群网和公安信息通信网的跨网数据交互。

⏹方案描述

接入终端和基站区

接入终端和基站区独立成网，在该区域内终端之间可实现语音、文本、地理信息的互通和共享。

该区域由PDT行业厂商的设备组成，包含警用手台、车载电台、基站、基站服务器（网关服务器、地理信息服务器等）。

边界防护区

该区域主要实现对接入平台的边界保护。

该区域主要安全功能为：

实现网络身份认证；访问控制和权限管理；数据机密性和完整性保护；防御网络攻击和嗅探。

安全隔离区

该区域实现公安信息通信网的安全隔离与信息交换。

该区域主要安全功能为：

实现公安信息通信网的安全网络隔离；根据实际业务需求，部署了音视频安全交换系统作为调度台客户端网络连接的终点，提供给内网客户语音及数据传输功能服务。

UMS对接入对象（集群通信网关服务器等）进行设备认证并与之交互，获取音视频流。

TMS对公安信息通信网内的指挥调度台进行注册和认证，提供调度访问服务。

安全监测与管理区

该区域实现整个接入平台的安全监测，管理与维护。

该区域主要安全功能为：

对接入平台运行情况进行安全监测与审计；对接入平台及业务信息进行注册管理，各种安全策略管理，流量监测，统计分析，安全审计等；接入平台内网络设备，安全设备的配置管理及日常运行维护；补丁升级，漏洞扫描与病毒防范。

语音业务

语音业务使用的信令通道为18765，信令格式为sip，下面详细说明一下各种语音业务的基本流程。

1、调度台主动呼叫

调度台发送INVITE请求至网闸信任端TMS，网闸设备接收请求后根据关键字匹配，替换掉内网的IP信息并记录，然后将信令请求转发至网闸非信任端UMS，非信任端UMS再将信令发送至外网服务器。

外网服务器处理请求后返回处理结果，正常返回的信息中带有服务器的IP和端口，该请求由外网服务器发送至防火墙，然后防火墙根据规则将信令转发至网闸非信任端UMS，然后转发至网闸信任端TMS，网闸信任端TMS将相应的IP和端口信息进行替换，并根据该信息启动音频通道。

音频通道启动后，由调度台首先通过音频通道发送信息至服务器，然后双方可以进行语音通话。

2、服务器主动呼叫

服务器首先发送ack请求至防火墙，防火墙根据规则将信令转发至网闸非信任端UMS，然后转发至网闸信任端TMS，网闸信任端TMS将将信息转发至调度台。

调度台接受ack请求后发送INVITE请求至网闸设备信任端TMS，网闸设备接收请求后根据关键字匹配，替换掉内网的IP信息并记录，然后将信令请求转发至网闸非信任端UMS，非信任端UMS再将信令发送至外网服务器。

外网服务器处理请求后返回处理结果，正常返回的信息中带有服务器的IP和端口，该请求由外网服务器发送至防火墙，然后防火墙根据规则将信令转发至网闸非信任端UMS，然后转发至网闸信任端TMS，网闸信任端TMS将相应的IP和端口信息进行替换，并根据该信息启动音频通道。

音频通道启动后，由调度台首先通过音频通道发送信息至服务器，然后双方可以进行语音通话。

3、监听功能

调度台发送监听请求至网闸设备信任端TMS，网闸设备接收请求后将信令请求转发至网闸非信任端UMS，非信任端UMS再将信令发送至外网服务器。

外网服务器处理请求后返回call-info信息，正常返回的信息中带有相应的IP和端口，该请求由外网服务器发送至防火墙，然后防火墙根据规则将信令转发至网闸非信任端UMS，然后转发至网闸信任端TMS，网闸信任端TMS将相应的IP和端口信息进行替换，并根据该信息启动监听通道。

音频通道启动后，由网闸向服务器发送空包，然后监听的音频信息发送至内网调度台。

短信业务

短信业务不涉及到信令匹配及信令处理，网闸开通相应的通道后，短信业务即可用。

GPS业务

GPS业务同短信业务，开通10086通道后即可用。

⏹平台可靠性设计

边界接入平台系统作为PDT系统与公安信息网数据交换的唯一通道，承载公安资源库对外数据信息服务。

因此，针对公安信息网边界接入平台系统，方案设计各个环节加以考虑系统冗余，设计链路双机热备份，设备出现故障都可由后备设备实时替换接管运行，保证系统运行的高可靠性。

包括：

1、提供业务通道，支持业务逻辑隔离，互不干扰；

2、实时设备监控，及早发现设备异常征兆，防范于未然；

3、可对异常情况快速定位、及时告警，实现快速响应；

4、支持报警快速处置，将异常导致的损失降到最低；

5、音视频安全交换系统（包括前置TMS服务器、后置UMS服务器、安全隔离网闸）可提供双系统热备份运行，并负责监听前后链路情况；

6、所有网络设备可通过带外管理，专线专用，避免占用正常业务通信带宽。