公安视频安全接入系统解决方案文档格式.docx

1、第一道是城市外围防线，在出入城市主要道路上建立治安卡口，安装以高清摄像机为支撑的智能卡口识别比对系统，主要控制出入城市的车辆信息；第二道防线是城区交通路口防线，在城区主要交通路口安装智能卡口识别比对系统，监控抓拍路面车辆并识别车牌号，捕捉前排司乘人员面部特征，与出城卡口信息结合，关联与交通违法处理系统、交警车辆信息库、被盗抢车辆数据库，搭建以车辆轨迹侦控为核心的“视频侦查作战平台” 。另外，在主要道路边广场、大型商场周边等公共场所安装高速球形摄像机，做变化大场景监控，重点监控人流量大的公共复杂场所；第三道防线是易发案区域防线，在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机，监

2、控治安情况复杂的社会面。2、对于学校治安，对学校采取人防和技防相结合的安防措施，在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统，确保公安机关实时监控学校的安全状况。3、对于人防、城管监控应用，按人防、城管的要求，在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台，通过授权可查看与业务相关的监控点和监控范围。解决城市抢险救灾的效率，提升城市管理水平和服务效益。4、社会面治安监控点整合，社会面监控系统是较为庞大的监控资源，通过整合接入公安社会治安监控系统可以有效提高全市监控系统覆盖率，实现监控资源利用最大化。目前，社会面监控系统主要有各小区监控、银行监控、网吧

3、监控、酒店和企业监控等。对上述符合接入条件的社会面视频监控点，进行新系统接入，提高全市社会治安监控系统的覆盖率，提高治安防控能力，为有效的打击犯罪提供视频信息资源。在前端布点位置由辖区派出所、交警支队、刑警支队（大队）、治安支队（大队）共同协商确定，涉及到学校、人防、城管的监控点位置由对应的学校方、人防、城管协商确定，摄像机安装具体位置（点位、方位、角度、高度、照度等）要注重听取治安、刑侦部门意见。通过科学规划、合理部局，将我市社会治安监控系统构筑成一个覆盖城镇、功能完善、全市联网、资源共享的社会治安视频监控系统，实现公安业务与社会治安防控的有效链接，构建一张服务平安建设、服务社会管理、服务公

4、安工作、覆盖城市农村的安全防范天网，努力提升全社会整体防范水平，最大限度发挥社会治安视频监控系统的作用。1.2建设目标二是在监控中心建设视频监控安全交换平台，在社会面治安视频监控专网内设置监控网视频通信服务器，在我局公安信息通信网内设置公安网视频通信服务器，视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器，内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，从而实现通过公安信息网浏览、回放和控制社会面治安视频监控系统图像资源的功能。1.3建设总体要求遵循公安部最新发布的公安信息通信网边界接入平台安全规范（试

5、行）视频接入安全部分草案，遵循公安信息通信网边界接入平台安全规范（试行）规范，视频接入链路的体系架构必须符合公安信息通信网边界接入平台安全规范（试行）的3.2节的要求。在视频接入链路中，视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区，通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输，从而保证视频数据和视频控制信令安全地传输到公安信息通信网。其中视频数据为单向传输，视频控制信令为双向传输，如图1所示：1、视频接入对象认证，对视频接入业务所属的视频接入对象进行身份认证，即认证提供视频服务设备的合法性，禁止未经认证设备接入公安信息通信网，确保视频源的合法性。2、

6、视频接入对象的网络连接终止于视频接入链路内，严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。3、机密性与完整性遵循公安信息通信网边界接入平台安全规范（试行）的4.2.4.3节4、入侵防范遵循公安信息通信网边界接入平台安全规范（试行）的4.2.4.4节5、网络设备安全遵循公安信息通信网边界接入平台安全规范（试行）的4.2.4.5节6、可用性保障遵循公安信息通信网边界接入平台安全规范（试行）的4.2.4.6节7、主机安全遵循公安信息通信网边界接入平台安全规范（试行）的4.2.5节8、本系统的建设遵循公安部的有关规定，实现信息安全隔离。10、本系统将采用各种专用安全设备，以实现公安

7、业务及需求的身份认证和信息安全传输。11、平台建设在考虑安全设计的同时必须兼顾系统的流量与性能管理。系统必须具有开放性标准接口，系统必须支持主流视频厂商的视频接入。12、要求系统具备7*24小时持续稳定可靠运行，提供系统平台冗余方案和故障快速恢复能力。1.4遵循标准【1】公安部公安边界接入暂行规定等文件的相关规定；【2】遵循公安部最新发布的公安信息通信网边界接入平台安全规范（试行）视频接入安全部分草案【3】城市报警与监控系统建设、管理、应用规范性文件汇编（公安部科技信息化局, 2009年）【4】公安信息通信网联网设备及应用系统注册管理办法（公信通2007139号，2007年5月）【5】计算机信

8、息系统安全保护等级划分准则（GB 17859-1999）【6】信息安全等级保护管理办法【7】金盾工程总体方案设计第2章 系统架构整体结构图方案特点1）遵循公安信息通信网边界接入平台安全规范视频接入部分草案，是公安部入围企业2）无缝集成：系统与H3C数字视频监控系统集成，包括实时视频、历史点播、摄像调焦、云台控制、语音呼叫等，发生安全入侵行为可与H3C的报警系统联动3）性能优越：最高可达600路D1（2Mbps）传输4）高安全性：有效解决公安信息通信网与视频专网、公安信息通信网与3G无线网、电子政务网与视频专网视频交换的安全问题5）集中监管：完善的集中管理功能，对用户的访问行为、设备的运行状态等

9、纳入统一管理。2.1公安网访问视频监控专网 视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器，内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TCP/IP通道进行连接，视频流通过平台的UDP通道进行传输，平台对视频控制命令和视频进行严格的格式校验和审核，从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。该网络拓扑结构有如下特点：1）网络边界划分明确，在每一个网络边界都提供良好的安全保障2视频监控网

10、运营商建立独立的视频专网。3）公安外网通过路由器和专线连接到当地运营商组建的独立视频专网。4）内网用户访问外部视频监控专网时候，必须通过公安PKI/PMI认证系统认证，平台将终端的认证请求发给公安PKI/PMI系统，认证通过后终端的访问控制信令才允许传输到视频监控网，没有经过身份认证的视频访问控制终端无法连接到视频专网，视频专网也无法通过反向访问公安信息通信网，。5）视频专网和公安信息网通过视频安全接入平台连接，保证公安信息网不受外部攻击，并对外网网络设备集中审计和监控。6）系统的安全性能主要靠身份认证系统、视频安全接入平台、集中监控与审计等设备的保护，符合公安部的指导思想。7）上级局、厅、部

11、可通过访问控制终端访问下级视频专网，而对终端透明。2.2电子政务外网访问视频监控专网 视频监控安全交换平台部署在视频监控专网和电子政务外网之间，电子政务外网的视频访问控制终端需要经过电子政务外网的认证服务器认证才能访问电子政务外网的视频通信服务器，电子政务外网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间的通讯端口。2.3 3G无线视频接入无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。主要的无线视频终端设备类型有以下几种：单兵监控终端:包括监控主机、笔筒摄像机、外接耳麦、大容量电池，内置GPS模块、3G无线通信模

12、块、液晶显示屏、TF卡等。可以实现视频数据的采集、抓拍、加密、编码、存储、传输、回放等功能。车载移动监控终端 在车辆上安装车载视频监控终端，将采集到的视频信息通过3G网络将视频图像、事件报警、行车路线等数据上传给后台指挥中心，后台指挥中心可随时调取现场视音频信息，并可直接对前端设备进行操作，实现远程指挥调度。无线网络摄像机 无线网络摄像机支持SD卡接口，可通过3G网络传输视频，用于没有有线线路或者不适合有线线路的环境。 无线视频安全接入方案对视频终端设备进行认证、视频传输进行审计、视频信令进行分析，能有效保障无线视频传输的安全。第3章视频安全交换平台架构结构图如下3.1底层传输1采用先进的网络

13、传输框架，可达到双向600Mbps左右（千兆网络）2网络通信链路检测，当网络从异常状态恢复后，在一定时间周期后可自行恢复数据传输。3周期检测数据链路的运行情况，以便合理分配数据链路4链路回收：对一定周期无响应的链路进行回收5支持单播、多播和组播方式，有效解决流量瓶颈问题。3.2配置管理配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS连接方式在IE浏览器中单点配置。该子系统集中存储、管理系统的配置信息。配置信息采用XML格式保存，在视频接入系统（后置，前置）启动时载入。1配置创建、修改 通过IE浏览器创建、修改配置，管理接入视频的数据交换协议、IP地址、端口、认证服务、业务联

14、络人信息、链路信息等。3配置入库服务 创建完成配置后，将配置信息保存到本地配置文件，并写入本地文件数据库，做好标记，创建时间、修改时间、配置文件流字段、版本编号、配置说明4配置版本回退 可让用户查看里历次配置文件数据中的配置文件，并可进行版本回退，将数据库中的配置文件覆盖当前使用的XML配置文件。5管理帐号 管理员帐号创建、修改、删除配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS连接方式在IE浏览器中单点配置。该子系统集中存储、管理系统的接入配置信息；并管理业务应用系统的数据交换方式、认证协议。配置信息采用XML格式的配置文件，在视频接入系统（后置，前置）启动时载入。3.3流量管理 基于业务种类的流量控制，针对不同业务种类可以调配相对应的流量。保障业务相关领导在处理突发事件时候能稳定的查看视频监控。可控制接入系统的总流量上限，到上限后不接受新用户的连接，可设置单一通道的流量上限。3.4监控管理使用IE浏览器，在内网终端显示运行状态（正常、最高并发、当前并发数、整小时流量、请求总数、出错数量、成功率、响应时间），并可通过该界面启动和停止该业务。下面对各个属性进行简