当前位置：文档库 › 公安视频安全接入系统解决方案

公安视频安全接入系统解决方案

XX公安局

视频安全接入平台解决方案

北京中科富星信息技术有限公司

公安部边界接入平台入围企业

2011年5月

第1章项目综述 (3)

1.1项目背景 (3)

1.2建设目标 (4)

1.3建设总体要求 (4)

1.4遵循标准 (6)

第2章系统架构 (7)

2.1公安网访问视频监控专网 (9)

2.2电子政务外网访问视频监控专网 (11)

2.3 3G无线视频接入 (13)

第3章视频安全交换平台架构 (15)

3.1底层传输 (15)

3.2配置管理 (15)

3.3流量管理 (16)

3.4监控管理 (16)

3.5 协议接口模块 (18)

3.6认证管理 (18)

3.7内/外网终端管理 (19)

3.8链路管理 (19)

第4章视频集中监控系统 (19)

第5章平台安全分析 (21)

5.1终端安全 (21)

5.2链路安全 (21)

5.3应用安全 (22)

5.4系统安全 (23)

第6章技术指标 (24)

第1章项目综述

1.1项目背景

XX市社会治安视频监控系统前端监控点分布应结合实际治安状况，科学设点、合理布局，建设出入城市主要治安卡口、人车流量大的主要道路路口、治安复杂公共场所和易发案部位、校园监控，市区主要道路交叉口、人防重点目标、市容重点管理区域监控。

1、对于社会治安，逐步在市区建设形成三道治安监控防线：第一道是城市外围防线，在出入城市主要道路上建立治安卡口，安装以高清摄像机为支撑的智能卡口识别比对系统，主要控制出入城市的车辆信息；第二道防线是城区交通路口防线，在城区主要交通路口安装智能卡口识别比对系统，监控抓拍路面车辆并识别车牌号，捕捉前排司乘人员面部特征，与出城卡口信息结合，关联与交通违法处理系统、交警车辆信息库、被盗抢车辆数据库，搭建以车辆轨迹侦控为核心的“视频侦查作战平台”。另外，在主要道路边广场、大型商场周边等公共场所安装高速球形摄像机，做变化大场景监控，重点监控人流量大的公共复杂场所；第三道防线是易发案区域防线，在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装摄像机，监控治安情况复杂的社会面。

2、对于学校治安，对学校采取人防和技防相结合的安防措施，在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统，确保公安机关实时监控学校的安全状况。

3、对于人防、城管监控应用，按人防、城管的要求，在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台，通过授权可查看与业务相关的监控点和监控范围。解决城市抢险救灾的效率，提升城市管理水平和服务效益。

4、社会面治安监控点整合，社会面监控系统是较为庞大的监控资源，通

过整合接入公安社会治安监控系统可以有效提高全市监控系统覆盖率，实现

监控资源利用最大化。目前，社会面监控系统主要有各小区监控、银行监

控、网吧监控、酒店和企业监控……等。对上述符合接入条件的社会面视频

监控点，进行新系统接入，提高全市社会治安监控系统的覆盖率，提高治安

防控能力，为有效的打击犯罪提供视频信息资源。

在前端布点位置由辖区派出所、交警支队、刑警支队（大队）、治安支队（大队）共同协商确定，涉及到学校、人防、城管的监控点位置由对应的学校方、人防、城管协商确定，摄像机安装具体位置（点位、方位、角度、高度、照度等）要注重听取治安、刑侦部门意见。

通过科学规划、合理部局，将我市社会治安监控系统构筑成一个覆盖城镇、

功能完善、全市联网、资源共享的社会治安视频监控系统，实现公安业务与

社会治安防控的有效链接，构建一张服务平安建设、服务社会管理、服务公

安工作、覆盖城市农村的安全防范天网，努力提升全社会整体防范水平，最

大限度发挥社会治安视频监控系统的作用。

1.2建设目标

二是在监控中心建设视频监控安全交换平台，在社会面治安视频监控专网内设置监控网视频通信服务器，在我局公安信息通信网内设置公安网视频通信服务器，视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器，内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，从而实现通过公安信息网浏览、回放和控制社会面治安视频监控系统图像资源的功能。

1.3建设总体要求

遵循公安部最新发布的《公安信息通信网边界接入平台安全规范（试行）——视频接入安全部分》草案，遵循《公安信息通信网边界接入平台安全规范（试行）》规范，视频接入链路的体系架构必须符合《公安信息通信网边界接入平台

安全规范（试行）》的3.2节的要求。

在视频接入链路中，视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区，通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输，从而保证视频数据和视频控制信令安全地传输到公安信息通信网。其中视频数据为单向传输，视频控制信令为双向传输，如图1所示：

1、视频接入对象认证，对视频接入业务所属的视频接入对象进行身份认

证，即认证提供视频服务设备的合法性，禁止未经认证设备接入公安信

息通信网，确保视频源的合法性。

2、视频接入对象的网络连接终止于视频接入链路内，严格禁止对公安信

息通信网的直接访问或与公安信息通信网直接交换数据。

3、机密性与完整性

遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.3节

4、入侵防范

遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.4节

5、网络设备安全

遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.5节

6、可用性保障

遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.4.6节

7、主机安全

遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.5节

8、本系统的建设遵循公安部的有关规定，实现信息安全隔离。

10、本系统将采用各种专用安全设备，以实现公安业务及需求的身份认证

和信息安全传输。

11、平台建设在考虑安全设计的同时必须兼顾系统的流量与性能管理。系

统必须具有开放性标准接口，系统必须支持主流视频厂商的视频接入。

12、要求系统具备7*24小时持续稳定可靠运行，提供系统平台冗余方案

和故障快速恢复能力。

1.4遵循标准

【1】公安部《公安边界接入暂行规定》等文件的相关规定；

【2】遵循公安部最新发布的《公安信息通信网边界接入平台安全规范（试行）——视频接入安全部分》草案

【3】《城市报警与监控系统建设、管理、应用规范性文件汇编》（公安部科技信息化局, 2009年）

【4】《公安信息通信网联网设备及应用系统注册管理办法》（公信通[2007]139号，2007年5月）

【5】《计算机信息系统安全保护等级划分准则(GB 17859-1999)》

【6】《信息安全等级保护管理办法》

【7】《金盾工程总体方案设计》

第2章系统架构整体结构图

公安视频安全交换系统解决方案

视频监控专网（IP 网络）

EC 编码器

EC 编码器公安信息通信网

IMOS 监控客户端公安PKI/PMI IMOS 管理服务器IPSAN 存储系统

集中监控系统监控探针视频接入设备认证服务器

视频接入用户认证服务器隔离网闸防火墙

视频接入设备认证服务器隔离网闸

视频接入用户认证服务器

监控探针

IMOS 监控客户端IMOS 监控客户端

电子政务外网

认证服务器

公安3G 视频网络电视墙

解码器

专线单兵视频终端

车载视频终端

无线网络摄像机运营商3G 网络

入侵检测

公安视频安全交换系统解决方案

方案特点

1）遵循《公安信息通信网边界接入平台安全规范——视频接入部分》草案，是公安部入围企业

2）无缝集成：系统与H3C数字视频监控系统集成，包括实时视频、历史点播、摄像调焦、云台控制、语音呼叫等，发生安全入侵行为可与H3C的报警系统联动

3）性能优越：最高可达600路D1(2Mbps)传输

4）高安全性：有效解决公安信息通信网与视频专网、公安信息通信网与3G无线网、电子政务网与视频专网视频交换的安全问题

5）集中监管：完善的集中管理功能，对用户的访问行为、设备的运行状态等纳入统一管理。

2.1公安网访问视频监控专网

视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器，内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TCP/IP通道进行连接，视频流通过平台的UDP通道进行传输，平台对视频控制命令和视频进行严格的格式校验和审核，从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。

公安视频安全交换系统解决方案

该网络拓扑结构有如下特点：

1）网络边界划分明确，在每一个网络边界都提供良好的安全保障

2视频监控网运营商建立独立的视频专网。

3）公安外网通过路由器和专线连接到当地运营商组建的独立视频专网。

4）内网用户访问外部视频监控专网时候，必须通过公安PKI/PMI认证系统认证，平台将终端的认证请求发给公安PKI/PMI系统，认证通过后终端的访问控制信令才允许传输到视频监控网，没有经过身份认证的视频访问控制终端无法连接到视频专网，视频专网也无法通过反向访问公安信息通信网，。

5）视频专网和公安信息网通过视频安全接入平台连接，保证公安信息网不受外部攻击，并对外网网络设备集中审计和监控。

6）系统的安全性能主要靠身份认证系统、视频安全接入平台、集中监控与审计等设备的保护，符合公安部的指导思想。

7）上级局、厅、部可通过访问控制终端访问下级视频专网，而对终端透明。

2.2电子政务外网访问视频监控专网

公安视频安全交换系统解决方案

视频监控安全交换平台部署在视频监控专网和电子政务外网之间，电子

政务外网的视频访问控制终端需要经过电子政务外网的认证服务器认证才能

访问电子政务外网的视频通信服务器，电子政务外网通信服务器和监控专网

通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平

台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的

TCP/IP通道进行连接，视频流通过平台的UDP通道进行传输，平台对视频控制命令和视频进行严格的格式校验和审核，从而实现通过公安信息网浏览、回

放和控制社会治安视频监控系统图像资源的功能。

2.3 3G无线视频接入

无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。主要的无线视频终端设备类型有以下几种：

单兵监控终端:包括监控主机、笔筒摄像机、外接耳麦、大容量电池，内置GPS 模块、3G无线通信模块、液晶显示屏、TF卡等。可以实现视频数据的采集、抓拍、加密、编码、存储、传输、回放等功能。

车载移动监控终端

在车辆上安装车载视频监控终端，将采集到的视频信息通过3G网络将视频图像、事件报警、行车路线等数据上传给后台指挥中心，后台指挥中心可随时调取现场视音频信息，并可直接对前端设备进行操作，实现远程指挥调度。无线网络摄像机

无线网络摄像机支持SD卡接口，可通过3G网络传输视频，用于没有有线线路或者不适合有线线路的环境。

无线视频安全接入方案对视频终端设备进行认证、视频传输进行审计、视频信令进行分析，能有效保障无线视频传输的安全。

公安视频安全交换系统解决方案14

第3章视频安全交换平台架构

结构图如下

审计库

MYSQL/ORACLE

底层传输底层传输

配置服务配置服务

集中监控与审计

平台审计接口监控管理

IE 浏览器协议接口模块监控管理链路管理链路管理

流量管理流量管理

协议接口模块

外网内网平台审计接口

认证管理认证管理PKI/PMI 服务

本地配置文件数据库

外网终端管理

内网终端管理

监控代理

3.1底层传输

1．采用先进的网络传输框架，可达到双向600Mbps 左右（千兆网络）

2．网络通信链路检测，当网络从异常状态恢复后，在一定时间周期后可自行恢复数据传输。

3．周期检测数据链路的运行情况，以便合理分配数据链路

4．链路回收：对一定周期无响应的链路进行回收

5．支持单播、多播和组播方式，有效解决流量瓶颈问题。

3.2配置管理

配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS 连接方式在IE 浏览器中单点配置。该子系统集中存储、管理系统的配置信息。配置信息采用XML 格式保存，在视频接入系统（后置，前置）启动时载入。

1．配置创建、修改

通过IE浏览器创建、修改配置，管理接入视频的数据交换协议、IP地址、端口、认证服务、业务联络人信息、链路信息等。

3．配置入库服务

创建完成配置后，将配置信息保存到本地配置文件，并写入本地文件数据库，做好标记，创建时间、修改时间、配置文件流字段、版本编号、配置说明4．配置版本回退

可让用户查看里历次配置文件数据中的配置文件，并可进行版本回退，将数据库中的配置文件覆盖当前使用的XML配置文件。

5．管理帐号

管理员帐号创建、修改、删除配置管理子系统让管理员在个人工作站实现远程一体化管理，使用HTTPS连接方式在IE浏览器中单点配置。该子系统集中存储、管理系统的接入配置信息；并管理业务应用系统的数据交换方式、认证协议。配置信息采用XML格式的配置文件，在视频接入系统（后置，前置）启动时载入。

3.3流量管理

基于业务种类的流量控制，针对不同业务种类可以调配相对应的流量。保障业务相关领导在处理突发事件时候能稳定的查看视频监控。

可控制接入系统的总流量上限，到上限后不接受新用户的连接，可设置单一通道的流量上限。

3.4监控管理

使用IE浏览器，在内网终端显示运行状态（正常、最高并发、当前并发数、整小时流量、请求总数、出错数量、成功率、响应时间），并可通过该界面启动和停止该业务。

下面对各个属性进行简单说明：

状态：说明该业务的运行情况，主要分为：正常、失败两种

最高并发：记录该业务一天当中最高并发数量

当前并发：统计当前该业务的并发数

总流量：统计一天的流量

总请求数：统计一天内的请求数。

总出错数量：统计一天内用户请求的失败数量。

成功率：统计一天内的成功率。

响应时间（平均响应时间）：统计一段时间内（在系统初始化时候设置）在用户发起请求后，从外网接入平台前置服务器接收请求开始计时，到内网返回业务系统的请求，并传输到外网接入平台终止，统计响应时间。

启动：启动该服务

停止：停止该服务

监控平台连接接入平台监控接口，接口使用SOCKET 协议。各终端使用IE 浏览器查看监控信息。监控平台使用多线程连接多个接入平台的对应接口。且接入平台一监控平台

终端一IE 终端一IE 终端N IE

接入平台二接入平台N

监控平台能支持多个IE终端访问监控平台，监控平台应该向每个终端IE上派发相同的数据。接入平台主动推数据给监控平台。SOCKET连接要求有自动检测连接异常的能力，且能在连接异常断开后尝试重新建立连接。

1．监控平台配置

配置需要监控的平台，配置信息为：接入平台IP、审计端口、应用监控端口、标识、接入平台帐号、密码审计端口、应用监控端口．

2．报警配置

3．帐号管理

用户名、密码，要求实现新增、修改、删除

4．监控

内存、CPU监控、应用状态、应用审计监控。

3.5 协议接口模块

1．支持标准SIP协议,对于视频厂商实现了标准SIP协议的直接转发。

2.支持标准TCP/UDP数据传输。

对视频厂商实现了TCP/UDP代理协议转发。

3.支持标准视频点播协议（H.323协议簇、H.264、H.263、RTSP），并可对协议进行分析和审核。

4. 支持调焦、摄像头角度移动等命令。

3.6认证管理

1.视频系统启动时，前置与后置要进行基硬件的安全认证，以确保系统是合法的。

2．流媒体数据格式验证，以确保通过视频接入系统的视频是合法。

3．可使用IP地址管理白名单、黑名单策略，简单控制哪些用户允许访问，哪些用户不允许访问。

3.7内/外网终端管理

在公安信息通信网的终端、外网设备或者其他非公安访问视频的终端只有通过检验的终端才能访问视频或者传输流媒体。同时制定相应的终端策略对终端行为进行控制，如控制终端路由，只能连接到平台；控制服务和进程，关闭无关程序。通过这些手段保证终端安全、用户操作行为可控。以此实现四个指定——指定用户，通过指定设备，运行指定程序，访问指定业务，将终端带来的安全风险降到最低。

3.8链路管理

1.根据用户等级合理调度数据链路。

2.周期检测数据链路的运行情况，以便合理分配数据链路。

第4章视频集中监控系统

集中监控与审计系统是整个系统的安全管理中心，从部署结构上看由集中监控探针（MC)、监控服务端(CMS)、监控数据库三部分组成。

路由器交换机

防火墙

安全网

关

网闸

服务器

SYSLOG

SNMP Telnet/Ping

服务处理

连接服务

监控代理

数据库

连接服务

入库报警

报表分析

导出/迁移

业务管理

集中监控服务端设备管理配置

平台前置

网闸

平台后置

4.1监控探针

1、自动扫描网络拓扑或者手动添加，使用Telnet/Ping方式检测设备是否可用

2、接受各网络设备的SYSLOG日志(路由器、防火墙、VPN、安全网关、网闸、

IDS)，并完成过滤。要求支持主要厂商设备。

3、使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、安全网关、网闸、

IDS)的运行状态。要求支持主要厂商设备。

4、发送日志及网络设备运行状态信息到监控服务端，并维护与监控服务端的网

络连接状态。

4.2监控管理系统(CMS)

1、连接服务：维护与监控代理的连接服务，断开连接时候进行报警