公安信息网视频监控安全接入解决方案Word文档格式.docx

1、四、视频安全接入解决方案 . 错误! 总体架构设计 . 错误! 接入对象 . 错误! 接入链路 . 错误! 边界接入平台视频接入链路 . 错误! 公安信息通讯网 . 错误! 平台安全防御体系设计 . 错误!视频接入认证服务 . 错误!网络隔离与访问控制功能 . 错误! 反弹木马阻断功能 . 错误! 视频数据实时病毒检测与阻断 . 错误! 视频用户认证与授权功能 . 错误! 未定义书签。!错误. 集中安全管理与日志审计 高性能设计 . 错误! 高可靠性设计 . 错误!五、主要技术性能 . 错误! 安全功能 . 错误! 技术性能 . 错误! 设备规格 . 错误!一、概述 公安信息网（公安网）目前是

2、星型拓扑结构，由一、二、三级主干网和接入网组成。公安部至各省公安机关主干网为一级网络，省级公安机关至所辖地市公安机关的网络为二级网，地市级公安机关至所辖县区公安机关的网络为三级网络，基层科、所、队到分局或市局的网络为接入网。公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输服务。公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询；办公自动化、电子邮件等内部管理数据；公安内部信息网站浏览等业务，文字、图表、动、静态图像等数据的传输和交换。在视频监控应用的接入过程中，公安信息通信网面临很大风险。例如来自外网的各种攻击、入侵、植入木马、探头

3、（信息搜索代理Agent）和病毒等威胁；各类设备上的后门有可能受控启用，造成信息失控、设备故障；内外勾结造成的内部重要信息通过视频应用通道泄漏；由于误操作、非授权访问等造成的信息丢失、失控等问题。由于社会治安视频监控网络采用的网络传输环境复杂，前端系统公公安部制定了因此，覆盖面广且管理部门不统一，（视频监控点）安信息通信网边界接入平台安全规范，严格制定了公安网与外网间信息交换的标准、架构、安全等技术要求，各级公安机关都必须按照规范要求建设外网接入公安网的安全体系架构，治安视频监控网络也必须通过规范的安全隔离接入平台接入公安内网，本方案专门针对视频监控中的安全风险设计满足管理、安全、性能需求的解

4、决方案。二、视频监控业务及安全防御难点分析 视频监控业务分析 社会治安视频监控系统是防范、打击违法犯罪的重要技术手段之一，目前，广东省公安系统已经基本建设完成了覆盖全省的综合视频监控系统，并且取得了良好的实际效果，有力地协助公安机关快速、准确打击罪犯。社会治安视频监控系统不仅仅是由公安机关建设和管理的专用网络，而是集中了全社会资源建设的视频综合数据传输网络，该网络包含三类视频监控点资源：出入口、要害部位、人流密集地段和案件高发一类为主要干道、部位。二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位以及金融珠宝网点等。三类为一般的治安复杂点、街巷死角和部分社会单

5、位如学校、幼儿园、医院及新建商场、办公大楼外围。公安网视频监控应用的安全防御难点分析 公安网视频监控应用的主要安全防御难点表现在：（1）传输内容安全过滤困难。视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流，因此，如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。（2）防止内网泄露机密信息困难。由于视频监控的访问具有双向性，即部分公安内网视频监控需要对外向其他政法等单位提供，公安内网也需要访问大量一、二、三类视频监控资源，如何有效防止木马程序 利用视频通道泄露公安内网机密数据也必须加以可靠解决。（3）应用协议控制困难。由于行业特殊原因，视频

6、监控协议始终没有制定标准，导致各视频厂家协议差异较大，不兼容现象普遍，安全控制难度大。三、建设标准与目标 建设标准 本方案严格按照公安部相关视频接入安全标准及体系架构设计，满足各类公安网视频安全接入环境的要求，主要依据标准包括：未定编号 公安信息通信网边界接入平台安全规范 未定编号 公安信息通讯网边界接入平台安全规范（试 行）视频专网 GA/T367-2001 视频安全监控系统技术要求 GB/T 20279-2006 网络和终端设备隔离部件安全技术要求 GB17859-1999 计算机信息系统安全保护等级划分准则 城市监控报警联网系统通用技术要求GA/T669-2006 建设目标 依据依据公安

7、部相关规定和公安信息通信网现有安全基础设施、 可管理性、公安网边界安全隔离接入平台规范要求，建设具备安全性、高性能、高可靠性的社会监控视频接入平台，实现公安内网安全、视 频接入区域边界安全、通讯内容安全、访问权限安全等。包括：木马等 安全性：确保内外网在访问视频数据时防止携带病毒、防止可能存在的木马利用视频接入通讯通程序进入公安内网， 道泄露公安机密信息； 完整性：确保视频数据在传输中不被恶意篡改； 可用性：确保视频接入业务能够满足性能需求，安全正常运行；当 可审计性：能够有效监控和审计视频接入业务的运行情况。 发生违规或异常情况时，能够及时发现、报警并处理；对于专用视频接入隔离设备运行过程能

8、够管理和监 可管理性： 控，具有规范合理的接入业务流程，纳入日常维护管理； 可扩展性和高可靠性：视频接入平台应具有可扩展的，能够根具备硬件冗同时，据视频访问业务的扩展不断扩充接入流量， 余容错能力。 可集成性：提供必要的日志和管理接口，能够与公安部隔离接入平台紧密集成，将监控视频接入纳入到统一的公安信息通信网隔离接入平台管理体系中。四、视频安全接入解决方案 总体架构设计 视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存在，伟思公司根据公安部相关技术要求设计了一套符合公安安全接入规范技术要求的系统。如下图所示，视频接入公安网主要由四部分构成：接入对象、外部接入链路、边界接入平

9、台视频链路接入区和公安信息通信网（公安内网）。 接入对象 接入对象主要指各类视频监控系统，视频监控系统主要由前端设备、存储设备、视频管理平台服务器、视频转发服务器等设备组成。目前，主要的视频监控系统按接入链路划分主要可分为;（1）公安自建视频监控系统 这类视频系统主要包括交警、消防和公安建立的各类直属公安管辖的监控点，这类监控点主要包括了城区主要干道、治安卡口、社区广场等。这类视频监控系统一般采用专线方式组网并通过专线接入公安网。（2）各党政机关视频监控系统 这类视频监控系统主要包括交通、环卫等单位建立的监控系统，这类系统一般可以通过政务专网接入公安网。（3）社会视频监控资源 这类视频监控系统

10、主要由社会各单位自主建立，包括网吧、酒店、公司等单位，这些视频监控系统一般由电信运营商在公网上建立视频虚拟专网，通过专线方式可接入公安网。必须因此，这三类接入对象由于所采用组网方式的安全性不同， 通过相互物理隔离的接入链路接入公安边界接入平台视频接入链路。 接入链路 接入链路是指由视频监控系统接入公安边界接入平台的链路方式。根据公安部的相关要求，本方案设计要求所有接入链路均为专线方式接入，由视频监控系统的核心交换机接入公安边界接入平台。如果视频监控系统的核心交换机与公安网边界接入平台处于同一机房内，可通过核心交换机直接连接公安边界接入平台的接入路由器或防火墙。如果视频监控系统的核心交换机与公安

11、网边界接入平台物理距离较远，则可租用电信专线将核心交换机与公安边界接入平台的接入路由器或防火墙相连。 根据节说明，不同类型的视频监控系统应采用物理独立的线路接入防火墙，如下图所示： 边界接入平台视频接入链路 该区域是视频监控系统接入公安网的核心区域。其主要结构与公安部颁发的公安信息通信网边界接入平台安全规范基本相同，包括路由接入区、边界保护区、应用服务区、安全隔离区与安全监测与管理区五部分。作为边界接入平台的特殊应用类型，视频接入也纳入接入平台的管理，作为其中的一条视频专用的接入链路，因此，已经建立了边界接入平台的各级公安机关可以依托现有的边界接入平台及其设备（如边界接入管理平台、防火墙、ID

12、S等），再根据视频接入规范增添视频专用隔离设备（视频专用隔离网闸）、视频接入认证服务器、视频用户认证服务器即可。对于没有建立公安边界安全接入平台的公安机关，按照公安部的接入规范要求，则需要完整的建设包括边界接入管理平台、防火墙、IDS入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频用户认证服务器等在内的整套边界接入平台。由于视频占用带宽资源非常大，一路D1质量的视频监控画面通常达到的带宽，因此，公安网现有基于数据交换的边界接入平台中的设备性能往往无法满足视频接入要求，在这种情况下，可以考虑在各个下级单位建立视频边界接入平台如下图所示，或在本单位升级现有边界接入平台中的设备。边界接入平台视频接入链路具有针对视频应用的专用安全功能，经过设备身份认证后的视频接入设备，通过专线方式接入