共享平台与视频安全接入方案.docx
《共享平台与视频安全接入方案.docx》由会员分享,可在线阅读,更多相关《共享平台与视频安全接入方案.docx(61页珍藏版)》请在冰豆网上搜索。
毕节市公安局
公安网边界接入平台
(部门间信息共享平台、视频接入链路)
建
设
方
案
上海辰锐信息科技公司
2013年10月
目录
1 建设背景 4
2 业务需求 6
2.1 项目现状 6
2.2 共享平台需求 6
2.2.1 功能需求分析 6
2.2.2 性能需求分析 7
2.2.3 安全需求分析 8
2.2.4 管理需求分析 9
2.2.5 扩展需求分析 9
2.3 视频接入需求 9
2.3.1 功能需求分析 9
2.3.2 性能需求分析 10
2.3.3 安全需求分析 10
2.3.4 管理需求分析 11
2.3.5 扩展需求分析 11
3 总体设计 12
3.1 设计目标 12
3.2 设计思想 12
3.3 设计依据 12
3.4 总体架构设计 13
3.4.1 安全体系 13
3.4.2 体系结构 14
3.5 监测与管理区设计 18
3.5.1 探针及监管功能设计 18
3.5.2 级联监控管理设计 19
4 总体方案 20
5 功能设计 22
5.1 共享平台功能设计 22
5.1.1 查询比对类 22
5.1.2 数据交换类 22
5.1.3 Web访问类 24
5.2 视频接入功能设计 24
6 安全设计 26
6.1 共享平台安全设计 26
6.1.1 查询比对类 26
6.1.2 数据交换类 27
6.1.3 Web访问类 27
6.2 视频接入安全设计 28
6.2.1 数据接收 28
6.2.2 数据检查 29
6.2.3 数据传输 29
6.2.4 数据转发 29
6.2.5 授权访问 30
7 管理设计 31
7.1 监管功能 31
7.2 级联功能 33
8 设备介绍 34
8.1 可信边界安全网关 34
8.2 网络数据交换 35
8.3 视频安全接入系统 35
8.4 集中监控与审计系统 37
9 共享平台功能 38
9.1 共享平台架构 38
9.2 内、外网门户网站 40
9.2.1 单点登陆 40
9.2.2 统一用户管理 40
9.2.3 页面定制 40
9.2.4 信息公告 41
9.2.5 应用导航 41
9.2.6 应用统计 41
9.3 内、外网应用服务系统 42
9.3.1 可视化业务配置器 42
9.3.2 标准的Web服务接口 42
9.3.3 信息查询 42
9.3.4 数据核查 43
9.3.5 数据比对 43
9.3.6 数据上传下载 43
9.3.7 共享痕迹留存 43
9.3.8 数据权限控制 44
9.3.9 服务门户定制 44
9.3.10 监控与管理 44
9.4 数据采集系统 45
9.5 数据集成系统 46
9.6 平台管理监控系统 48
9.6.1 注册管理 48
9.6.2 用户管理 48
9.6.3 监控与审计 48
9.6.4 查询统计 50
9.7 扩展功能设计 50
10 共享平台数据处理设计 52
10.1 数据库设计 52
10.2 数据标准管理 52
10.3 数据处理过程 53
10.4 数据采集 54
10.4.1 数据采集方式 54
10.4.2 数据采集流程 55
10.5 数据信息整合 55
10.6 数据信息共享 56
11 共享平台运行环境 57
11.1.1 软件环境设计 57
11.1.2 硬件环境设计 57
III
1建设背景
随着贵州省毕节市公安局公安信息化建设的不断深入开展,公安机关对外交换和共享信息的接入业务需求日益强烈。
结合自身公安信息化建设现状和发展需要,减少重复投资,建设贵州省毕节市公安局部门间共享平台(以下简称“共享平台”),满足公安机关通过公安信息通信网开展对外数据交换、查询比对、Web访问等工作需要。
通过共享平台的建设为部门间信息共享等业务提供集中的安全运行基础设施,实现对接入业务的注册、监控与审计等安全管理,保障共享平台与公安信息通信网的安全。
共享平台是金盾工程二期重点建设的“三大平台”之一,公安部《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]187号)及《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号)的要求,共享平台的核心功能主要包括两个方面:
一是方便可靠地获取外部信息,将其它政府部门、社会单位向公安机关提供的信息传输到共享平台上,并根据公安业务应用的需要将相关信息转送到公安信息网内加以综合应用;二是安全可控地对外提供信息服务,将需要对外共享的信息从公安信息网内抽取同步到共享平台上,以应用接口、web访问、数据交换等方式对外提供信息共享服务。
共享平台应严格按照《公安信息通信网边界接入平台安全规范(试行)》的要求进行网络互连和安全运行。
同时毕节市公安机关可利用的视频监控资源越来越多,但出于安全和应用方面的考虑,外网及社会专网视频资源没有接入公安内网,由此造成使用上的不便和资源的浪费。
现在毕节市公安局为实现“资源共享、互联互控”、“视频监管一网控”,需依据公安部《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》建设视频接入链路。
通过该链路的建设满足外部视频资源与公安网视频资源有机联网、整合共享,并且有效管理、灵活调用,同时满足下列需求:
实时观看外网视频监控探头信息、实现对外网视频监控探头的控制、对视频接入业务进行集中监控、管理与审计。
本方案中术语和定义与《公安信息通信网边界接入平台安全规范》(简称《安全规范》)、《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]187号)、《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号)、《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》一致。
2业务需求
2.1项目现状
为了满足社会面与公安信息通信网进行信息采集与交换的业务需求。
贵州省毕节市公安局已经建设了边界接入平台中的社会企事业接入链路、党政军机关接入链路、公安驻地外接入链路,该边界接入平台解决了公安边界接入业务的部分业务需求,取得了良好效益,发挥了重要作用。
随着毕节市公安局信息化建设的发展,现需要建设贵州省毕节市公安局部门间共享平台以及视频接入链路,主要增加公安机关及直属单位对外数据交换、查询比对、Web访问业务,以及外网视频资源安全接入公安内网,以满足日益增长业务需求。
2.2共享平台需求
2.2.1功能需求分析
贵州省毕节市公安局共享平台主要需要对党政军部门和经批准的党政军用户等接入对象提供查询比对、数据交换和Web访问等功能。
上述接入对象采用专线安全线路方式与贵州省毕节市公安局共享平台进行链接,在接入链路上不采用其他非安全的接入链路方式(如无线、互联网链路等),从链路层面保障共享平台的安全性。
查询比对功能通过数据交换方式实现其他部门、机构等对共享平台内的公安信息资源进行安全查询及比对功能,及时返回查询比对结果,并同时支持单条和批量的查询比对业务。
数据交换功能通过数据交换方式采集其他部门、机构的批量数据;通过数据交换向其他部门、机构提供批量数据。
数据交换支持的数据类型包括:
结构化数据库数据、非结构化数据(以文件型为主)等。
Web访问功能指的是经批准的党政军用户通过政法数字证书,以授权访问方式访问共享平台内对外开放的Web网站(页)等。
2.2.2性能需求分析
毕节市公安局共享平台性能需求主要体现在数据流量、关键设备性能和平台整体性能等方面,在满足性能要求的同时,具备一定的容量扩展性。
数据流量:
其中查询比对类业务服务总流量要求为1000笔/秒,数据交换类业务预计业务流量为400Mbps,Web访问类业务预计业务流量为400Mbps。
关键设备性能:
关键性安全设备在整个共享平台中发挥着重要的安全重用,其中查询比对类业务具有数据包小、并发大、延时低的特点,同时考虑突发大并发情况,关键安全设备的并发连接数应达到40万以上,最大并发连接数应大于50万。
平台整体性能需保障平台基本性能及以后的扩展性,平台所有链路,尤其是数据交换链路需采用双千兆带宽,关键设备均采用千兆级以上设备。
确保数据交换链路上的数据交换系统及网闸在不影响传输性能和数据传输质量的前提下,在支持多个接入业务的同时进行数据交换。
毕节市公安局共享平台在业务峰值时段,各设备的CPU、内存利用率低于70%。
共享平台在满足数据量、并发连接数和链路带宽等要求的同时不影响平台整体传输性能和数据传输质量,并预留一定的扩展性。
同时,共享平台需要确保接入业务的可靠性和稳定性,在紧急状态下,应具备一定处突及部分应用优先处理的能力。
2.2.3安全需求分析
安全需求主要体现在接入终端安全需求、服务器安全需求、网络安全需求、应用安全需求和数据安全需求等方面。
接入终端安全:
对查询比对类、数据交换类业务的接入终端进行备案登记,支持对接入终端进行安全状况检测,防止安全不达标的终端设备接入。
在Web访问类接入终端上安装终端安全监控和“一机两用”客户端,对接入终端的外设、进程等加强安全管理以及对接入终端的违规外联加强安全监测。
服务器安全:
为确保共享平台内重要服务器自身的强壮性和安全性,对这些服务器都进行必要的安全加固或安全加强。
网络安全:
共享平台在网络层划分不同的安全域,不同安全域间具有明显的边界,采用必要的安全隔离设备,对接入平台与公安信息通信网之间进行安全隔离。
可采用VPN方式对数据或链路进行加密以对信息安全有特殊需求的信息传输进行安全保障。
同时,共享平台应对平台内应用服务进行网络级访问控制,并对病毒木马、黑客入侵、抗DDoS攻击、漏洞扫描、异常流量等网络安全威胁具有监测和防护能力。
2.2.4管理需求分析
贵州省毕节市公安局共享平台是个复杂的安全系统,为了更好的发挥平台作用,保护公安网内资源安全,满足对共享平台的运行维护,需对共享平台进行有效的管理。
根据共享平台运行管理要求,依据“统一接入管理、统一运行监控、统一安全审计、统一策略部署”的原则。
对共享平台所有传输信息实现集中安全监测和审计,对各类异常报警信息进行分析。
对共享平台中的各类安全事件进行及时发现和定位,控制并消除各类安全威胁和隐患。
对共享平台进行集中监控和审计管理,实现注册审核、平台运行、设备维护、报警处置、审计分析、数据通报等一系列管理功能,提供监控平台整体运行状况服务。
2.2.5扩展需求分析
共享平台是一个复杂的系统,接入业务是个逐步接入的过程。
共享平台方案需具备可扩展性。
在满足基本要求的前提下,主要满足平台在性能、功能、业务数、应用种类及存储等方面的扩展和延伸。
2.3视频接入需求
2.3.1功能需求分析
毕节市公安局公安信息通信网视频接入业务主要是实现公安外网视频资源经视频接入链路安全可靠接入公安内网,实现从公安内网授权访问外网视频资源。
该类业务具有以下特点:
Ø实时监控:
公安内网用户实时浏览外部视频信息;
Ø探头控制:
内网终端可操控外部的探头,使探头上下左右移动,前后调节,以观察不同范围;
Ø视频调阅:
公安用户调阅外部视频服务器上的存储的历史视频信息。
2.3.2性能需求分析
视频接入链路在性能上必须满足毕节市公安局视频接入业务的接入要求,主要体现在链路带宽、同时在线的用户数、业务数和网络吞吐量等方面。
2.3.3安全需求分析
视频信息接入在外部与公安内网进行信息传输的同时,将面临许多安全问题,如原来利用外网发动攻击的黑客也有可能通过伪装视频流方式传输蠕虫、木马等病毒,进而攻击内网;一些用户试图通过接入通道访问非授权资源;内网中某些中病毒的计算机,可能将内部人口及治安等重要且敏感信息泄露出去,进而直接影响公安工作的正常开展。
为此,视频接入链路通过采用视频
升级会员 