雪亮城市安全運維及備份平臺建設(shè)方案

1、智慧城市公共安全視頻監(jiān)控安全運維及備份平臺建設(shè)方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc24407898 1、 項目概述 PAGEREF _Toc24407898 h 1 HYPERLINK l _Toc24407899 1.1 項目背景 PAGEREF _Toc24407899 h 1 HYPERLINK l _Toc24407900 2、 總體設(shè)計方案 PAGEREF _Toc24407900 h 2 HYPERLINK l _Toc24407901 2.1 整體架構(gòu) PAGEREF _Toc24407901 h 2 HYPERLINK l _Toc2440

2、7902 2.1.1 一個平臺 PAGEREF _Toc24407902 h 3 HYPERLINK l _Toc24407903 2.1.2 兩個中心 PAGEREF _Toc24407903 h 4 HYPERLINK l _Toc24407904 2.1.3 三張網(wǎng)絡(luò) PAGEREF _Toc24407904 h 4 HYPERLINK l _Toc24407905 2.1.4 四類場景 PAGEREF _Toc24407905 h 6 HYPERLINK l _Toc24407906 3、 安全系統(tǒng)設(shè)計方案 PAGEREF _Toc24407906 h 8 HYPERLINK l _T

3、oc24407907 3.1 安全審計建設(shè)要求 PAGEREF _Toc24407907 h 8 HYPERLINK l _Toc24407908 3.2 物理安全設(shè)計 PAGEREF _Toc24407908 h 8 HYPERLINK l _Toc24407909 3.2.1 前端監(jiān)控點物理安全 PAGEREF _Toc24407909 h 8 HYPERLINK l _Toc24407910 3.2.2 設(shè)備機房物理安全 PAGEREF _Toc24407910 h 8 HYPERLINK l _Toc24407911 3.3 網(wǎng)絡(luò)安全設(shè)計 PAGEREF _Toc24407911 h

4、9 HYPERLINK l _Toc24407912 3.3.1 政府單位接入公共安全視頻專網(wǎng) PAGEREF _Toc24407912 h 9 HYPERLINK l _Toc24407913 3.3.2 社會資源接入公共安全視頻專網(wǎng) PAGEREF _Toc24407913 h 10 HYPERLINK l _Toc24407914 3.4 終端安全設(shè)計 PAGEREF _Toc24407914 h 10 HYPERLINK l _Toc24407915 3.5 應(yīng)用安全設(shè)計 PAGEREF _Toc24407915 h 11 HYPERLINK l _Toc24407916 3.5.1

5、業(yè)務(wù)訪問控制 PAGEREF _Toc24407916 h 11 HYPERLINK l _Toc24407917 3.5.2 數(shù)據(jù)存儲保護 PAGEREF _Toc24407917 h 13 HYPERLINK l _Toc24407918 3.5.3 數(shù)據(jù)完整性保護 PAGEREF _Toc24407918 h 14 HYPERLINK l _Toc24407919 3.6 信息安全基礎(chǔ)設(shè)施 PAGEREF _Toc24407919 h 14 HYPERLINK l _Toc24407920 4、 備份系統(tǒng)設(shè)計方案 PAGEREF _Toc24407920 h 15 HYPERLINK l

6、 _Toc24407921 4.1 平臺系統(tǒng)熱備設(shè)計 PAGEREF _Toc24407921 h 15 HYPERLINK l _Toc24407922 4.2 網(wǎng)絡(luò)傳輸備份設(shè)計 PAGEREF _Toc24407922 h 16 HYPERLINK l _Toc24407923 4.3 存儲設(shè)備備份設(shè)計 PAGEREF _Toc24407923 h 16 HYPERLINK l _Toc24407924 4.4 數(shù)據(jù)庫容災(zāi)備份設(shè)計 PAGEREF _Toc24407924 h 17 HYPERLINK l _Toc24407925 4.5 系統(tǒng)備份機制設(shè)計 PAGEREF _Toc2440

7、7925 h 18 HYPERLINK l _Toc24407926 5、 運行維護系統(tǒng)設(shè)計方案 PAGEREF _Toc24407926 h 20 HYPERLINK l _Toc24407927 5.1 視頻監(jiān)控運維管理系統(tǒng)方案 PAGEREF _Toc24407927 h 20 HYPERLINK l _Toc24407928 5.1.1 設(shè)計思路及原則 PAGEREF _Toc24407928 h 20 HYPERLINK l _Toc24407929 5.1.2 架構(gòu)設(shè)計 PAGEREF _Toc24407929 h 21 HYPERLINK l _Toc24407930 5.1.3

8、 視頻運維系統(tǒng)功能要求 PAGEREF _Toc24407930 h 23 HYPERLINK l _Toc24407931 5.2 IT運維管理系統(tǒng)方案 PAGEREF _Toc24407931 h 53項目概述項目背景黨的十八大以來，黨中央、國務(wù)院和中央領(lǐng)導(dǎo)對社會治安綜合治理和平安建設(shè)信息化工作高度重視，習(xí)近平總書記提出，要“依靠更多更好的科技創(chuàng)新保障國家安全”，“提高社會治安防控體系建設(shè)法治化、社會化、信息化水平”。公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用，是新形勢下維護國家安全和社會穩(wěn)定、預(yù)防和打擊暴力恐怖犯罪的重要手段，是動態(tài)化、信息化條件下完善社會治安防控體系、深化平安中國建設(shè)的重要基礎(chǔ)性工程

9、，對于提升城鄉(xiāng)管理水平、創(chuàng)新社會治理體制具有重要意義。2015年，習(xí)近平總書記就公共安全工作曾多次做出重要批示，其中明確指出“當前，公共安全事件易發(fā)多發(fā)，維護公共安全任務(wù)繁重。政法綜治戰(zhàn)線要主動適應(yīng)新形勢，堅持科技引領(lǐng)、法治保障、文化支撐，創(chuàng)新理念思路、體制機制、方法手段，不斷提高維護公共安全能力水平，有效防范、化解、管控各類風(fēng)險，努力建設(shè)平安中國。”“要構(gòu)建公共安全人防、物防、技防網(wǎng)絡(luò)，實現(xiàn)人員素質(zhì)、設(shè)施保障、技術(shù)應(yīng)用的整體協(xié)調(diào)。”由此可見，以政法綜治戰(zhàn)線為牽頭主導(dǎo)單位，整合社會各方力量，堅持群防群治策略，充分運用大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、決策科學(xué)、安全平臺和應(yīng)急技術(shù)裝備等現(xiàn)代科學(xué)技術(shù)手段，基

10、于公共安全視頻圖像信息聯(lián)網(wǎng)整合，是健全公共安全體系，全面提升公共安全保障能力，構(gòu)建安全保障型社會的重要保障和手段。2015年5月，為進一步加強公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作，國家發(fā)展改革委、中央綜治辦、公安部等九部委聯(lián)合下發(fā)了關(guān)于加強公共安全監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見（發(fā)改高技2015996號）。2016年5月，中央綜治辦、國家發(fā)展改革委、公安部啟動組織開展全國公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工程示范城市（區(qū)）項目建設(shè)。2016年6月，中央綜治辦在全國組織了50個城市申報2016年度公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用示范城市，并多次組織各申報城市對申報材料進行評審。同時，在公安十三五規(guī)劃期間，中央

11、每年會審批50個城市為當年示范城市。由此可見，中央高層已經(jīng)把公共安全視頻監(jiān)控提到國家安全領(lǐng)域的戰(zhàn)略高度，除了國家示范城市，每個省也會下發(fā)公共安全視頻聯(lián)網(wǎng)建設(shè)規(guī)劃和任務(wù)。總體設(shè)計方案圍繞公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用”十三五”規(guī)劃方案中的總體架構(gòu)和一總兩分結(jié)構(gòu)要求的基礎(chǔ)上，項目將以“加強社會公共安全管理，提高城市應(yīng)急指揮能力，創(chuàng)建公共安全視頻聯(lián)網(wǎng)資源池和智能應(yīng)用平臺”為總體目標，構(gòu)建服務(wù)于公共安全管理、社會綜合治理、反恐維穩(wěn)、治安防控、偵查破案、各委辦局視頻服務(wù)應(yīng)用和便民信息共享等工作的公共安全視頻聯(lián)網(wǎng)應(yīng)用體系建設(shè)。重點將“打造一個視頻共享云平臺，構(gòu)筑兩個視頻分中心，整合匯聚三網(wǎng)視頻資源，適配四類

12、用戶場景，創(chuàng)新六大實戰(zhàn)應(yīng)用，落實四全建設(shè)保障”，推動形成中央所要求1+2+N的視頻共享和應(yīng)用格局。一個平臺：公共安全視頻圖像信息共享云平臺-即全城全網(wǎng)大視頻服務(wù)平臺；兩個中心：綜治視頻分中心、公安視頻分中心-面向公安和綜治的視頻共享分平臺及視頻應(yīng)用；三張網(wǎng)絡(luò)：公共安全視頻專網(wǎng)、公安視頻專網(wǎng)（行業(yè)視頻專網(wǎng)）、互聯(lián)網(wǎng)-重點解決互聯(lián)網(wǎng)環(huán)境下的海量社會面監(jiān)控視頻快速匯聚；四類場景：綜治、公安、政府職能部門、企業(yè)公眾等視頻應(yīng)用；創(chuàng)新應(yīng)用：人像比對、指揮調(diào)度、社情分析、群防群治、一鍵報警、平安鄉(xiāng)村、平安社區(qū)&出租屋管控、信息發(fā)布、APP應(yīng)用等-公共安全視頻應(yīng)用助力社會治安綜合治理工作;四全保障：全域覆蓋、

13、全網(wǎng)共享、全時可用、全程可控通過以上的端到端視頻系統(tǒng)和業(yè)務(wù)應(yīng)用設(shè)計以及有效運維系統(tǒng)和安全手段，落實四全保障要求和目標。整體架構(gòu)本方案的設(shè)計，遵循國家標準公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求GB/T28181-2016開展跨域聯(lián)網(wǎng)，其聯(lián)網(wǎng)架構(gòu)如下圖所示：圖 “聯(lián)、管、用”三位一體-雪亮工程系統(tǒng)架構(gòu)設(shè)計一個平臺一個公共安全視頻圖像信息共享云平臺：建設(shè)公共安全視頻圖像信息共享云平臺，整合公安一二類視頻資源、政府部門視頻資源、行業(yè)視頻資源、社會面視頻資源等，形成全域覆蓋的城市級政府視頻聯(lián)網(wǎng)共享平臺，并充分其包含以下核心功能：（1）視頻云平臺設(shè)備接入、平臺接入、視頻云存儲、云解碼/轉(zhuǎn)碼、

14、集群流媒體轉(zhuǎn)發(fā)等基礎(chǔ)流媒體服務(wù)，統(tǒng)一的視頻云分布式架構(gòu)，支撐百萬路視頻聯(lián)網(wǎng)應(yīng)用。（2）視頻云解析基于GPU+CPU混合架構(gòu)，構(gòu)筑高效、標準、彈性的視頻智能分析解析中心，對涉及綜治業(yè)務(wù)、公安治安、公共安全重點場所、城市管理應(yīng)用的視頻進行實時和錄像智能解析，提取視頻場景行為事件、人臉和人體特征、車輛特征、完成對視頻的粗加工。（3）大數(shù)據(jù)、物聯(lián)網(wǎng)解析后視頻內(nèi)容信息流的匯聚以及視頻大數(shù)據(jù)服務(wù)，可支持RFID、MAC等公安/政府物聯(lián)網(wǎng)設(shè)備產(chǎn)生的數(shù)據(jù)接入和融合碰撞。（4）視頻基礎(chǔ)應(yīng)用公共安全視頻共享交換云平臺提供點播、地圖、錄像、輪詢等基礎(chǔ)視頻業(yè)務(wù)，提供對公安、綜治、以及其他行業(yè)平臺的視頻共享服務(wù)支撐，提

15、供城市級視頻應(yīng)急指揮應(yīng)用，提供視頻互聯(lián)網(wǎng)發(fā)布、信息發(fā)布和視頻惠民應(yīng)用。（5）視頻深度應(yīng)用提供視頻增強處理編輯、視頻場景中對象布控預(yù)警、人像分析比對、車輛分析比對、多維視頻特征碰撞比對和統(tǒng)一視頻檢索等高級應(yīng)用功能。（6）視頻運維管理實現(xiàn)視頻運維管理中心、可對全區(qū)視頻在線情況和視頻質(zhì)量情況進行智能運維；“一機一檔”管理庫對視頻監(jiān)控資源信息實現(xiàn)分級分類的詳細戶籍化信息管理，通過建檔有效統(tǒng)籌后續(xù)全大市統(tǒng)一的管理、規(guī)劃和建設(shè)；安全認證，對全網(wǎng)用戶的身份認證、授權(quán)管理、行為審計等安全管理，并保障系統(tǒng)和平臺的運行安全。兩個中心（1）綜治視頻分中心：依托公共安全視頻共享交換云平臺，在綜治分中心搭建視頻分平臺，

16、平臺直接調(diào)取公共安全匯聚平臺的實時視頻和歷史錄像資源，基于分平臺進行開發(fā)可實現(xiàn)基于綜治監(jiān)控地圖應(yīng)用，實現(xiàn)一鍵報警、群防群治、重點人員管控、APP問題上報、機頂盒應(yīng)用、視頻聯(lián)動、網(wǎng)格化聯(lián)動等綜治應(yīng)用。通過視頻平臺進一步和綜治網(wǎng)內(nèi)的網(wǎng)格化平臺、視聯(lián)網(wǎng)平臺、大聯(lián)動業(yè)務(wù)系統(tǒng)的融合對接，推動實現(xiàn)社會治安綜治治理的統(tǒng)一視頻聯(lián)動和全程可視化。綜治視頻分中心可依托于各級的綜治中心進行統(tǒng)籌建設(shè)。（2）公安視頻分中心在公安視頻專網(wǎng)內(nèi)建設(shè)公安分中心視頻平臺，平臺可以在已有公安視頻共享平臺上進行擴展。構(gòu)筑視頻圖像核心應(yīng)用包括：公安圖像綜合應(yīng)用平臺以及相關(guān)的車輛大數(shù)據(jù)應(yīng)用、人像等大數(shù)據(jù)應(yīng)用、公安指揮調(diào)度應(yīng)用、圖偵實戰(zhàn)應(yīng)

17、用等。三張網(wǎng)絡(luò)實現(xiàn)三張網(wǎng)絡(luò)互聯(lián)網(wǎng)、公共安全視頻專網(wǎng)、公安視頻專網(wǎng)（行業(yè)視頻）的視頻資源聯(lián)網(wǎng)匯聚和共享發(fā)布?；ヂ?lián)網(wǎng)實現(xiàn)了互聯(lián)網(wǎng)環(huán)境下的社會面視頻整合，公共安全視頻專網(wǎng)實現(xiàn)了對視頻資源的匯聚和共享，公安視頻專網(wǎng)（行業(yè)視頻）實現(xiàn)對匯聚資源的行業(yè)深度應(yīng)用。對于現(xiàn)在分散在互聯(lián)網(wǎng)環(huán)境下的社會面視頻整合和信息發(fā)布問題，主要通過以下方式解決：（1）方式1綜治云眼：雪亮工程社會面最后1公里視頻快速接入基于大華視頻公有云平臺技術(shù)，通過互聯(lián)網(wǎng)+雪亮工程模式，在政務(wù)云互聯(lián)網(wǎng)區(qū)部署綜治眼平臺，解決互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全問題，并實現(xiàn)了百萬級視頻資源接入的整合，解決視頻聯(lián)網(wǎng)的最后一公里問題，打破了社會面視頻整合通過專線建設(shè)成本高

18、的技術(shù)瓶頸，實現(xiàn)了公共視頻的全覆蓋無死角聯(lián)網(wǎng)監(jiān)控。綜治云眼平臺將家庭、商鋪、酒店等社會分散監(jiān)控資源通過互聯(lián)網(wǎng)接入綜治云眼平臺實現(xiàn)分散社會監(jiān)控資源快速整合。圖 綜治云眼平臺（2）方式2：萬能社會面接入網(wǎng)關(guān)：10分鐘完成社會面視頻接入改造對于已建的社會面視頻資源可通過萬能社會面視頻接入網(wǎng)關(guān)采用旁路方式進行無縫接入整合,盒子可自動發(fā)現(xiàn)局域網(wǎng)里的攝像頭、NVR、DVR設(shè)備，實現(xiàn)了社會面視頻的無縫快速聯(lián)網(wǎng)，并且可保障互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全問題，解決了公安視頻聯(lián)網(wǎng)“全域覆蓋”的問題。社會面視頻網(wǎng)關(guān)通過軟件定義網(wǎng)絡(luò)的概念，打破了復(fù)雜的網(wǎng)絡(luò)屏障，解決了聯(lián)網(wǎng)成本高的問題，實現(xiàn)了互聯(lián)網(wǎng)環(huán)境下的社會面視頻快速整合接入。圖

19、 萬能社會面視頻網(wǎng)關(guān)四類場景實現(xiàn)面向綜治、公安、政府職能部門、企業(yè)公眾等四大視頻應(yīng)用場景。（1）綜治場景綜治中心應(yīng)用，通過對接公共安全聯(lián)網(wǎng)平臺獲取基礎(chǔ)視頻管理部分的視頻資源與鑒權(quán)等管理能力，調(diào)取公共安全匯聚平臺的實時視頻和歷史錄像資源，實現(xiàn)統(tǒng)一聯(lián)動、共建共享的綜治視頻應(yīng)用和可視網(wǎng)格化應(yīng)用，并可提供城市管理、群防群治、指揮調(diào)度、視頻會議等業(yè)務(wù)功能。（2）公安場景公共安全視頻聯(lián)網(wǎng)應(yīng)用平臺是提高公安指揮決策、偵查破案、治安防控和執(zhí)法監(jiān)督能力的重要技術(shù)平臺。通過整合各類圖像信息資源，具有信息共享、存儲查詢、智能識別、軌跡分析、信息管理等多項功能。平臺集成了聯(lián)網(wǎng)共享、存儲查詢以及視頻偵查、人臉識別、車輛

20、大數(shù)據(jù)、移動通信大數(shù)據(jù)應(yīng)用、移動警務(wù)、多維數(shù)據(jù)碰撞等功能。（3）政府職能部門：政府各部門根據(jù)業(yè)務(wù)需求和權(quán)限等級，公共安全平臺提供不同的視頻數(shù)據(jù)資源服務(wù)、視頻處理支撐能力服務(wù)。（4）企業(yè)和民眾：公共安全視頻惠民應(yīng)用有主要兩種途徑：方式1：公有云視頻發(fā)布：視頻直播應(yīng)用依托互聯(lián)網(wǎng)上的大型公有云（樂橙云）等基礎(chǔ)設(shè)施，建設(shè)視頻惠民發(fā)布平臺，發(fā)布平臺提供面向公眾和企業(yè)的視頻惠民開放服務(wù)，支持電腦客戶端和手機APP支撐瀏覽；進一步打通和視頻公有云（樂橙云），利用公有云實現(xiàn)大并發(fā)的視頻發(fā)布和訪問、實現(xiàn)視頻廣場功能，并被第三方手機APP快速集成（如微信）。圖 公有云視頻發(fā)布和點播應(yīng)用方式2：背街小巷與鄉(xiāng)村：智能

21、云一體機智能云一體機作為信息發(fā)布的創(chuàng)新型終端，集成了背街小巷社會面視頻接入、存儲、預(yù)覽以及信息發(fā)布等功能，支持視頻、圖片、文字等多媒體信息發(fā)布，支持1080P高清視頻接入和存儲，具備本地預(yù)覽、視頻多畫面分割顯示、錄像文件的本地實時存儲功能，支持網(wǎng)絡(luò)路由功能，支持wifi熱點上網(wǎng)， 4G無線傳輸。圖 智能云一體機安全系統(tǒng)設(shè)計方案安全系統(tǒng)保障平臺的各系統(tǒng)安全運行，需與業(yè)務(wù)架構(gòu)、應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)緊密結(jié)合，滿足平臺上各類的業(yè)務(wù)應(yīng)用、數(shù)據(jù)整合標準及規(guī)范的同時，從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、管理方面對關(guān)鍵的安全子要素進行防護。在技術(shù)層面上，從物理與環(huán)境安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和數(shù)據(jù)與應(yīng)用安全四個方向建

22、立全面的安全防護體系。并針對公共安全平臺各層架構(gòu)上的安全隱患分別實施相應(yīng)的措施。 安全審計建設(shè)要求實現(xiàn)對全網(wǎng)用戶的身份認證、授權(quán)管理、行為審計等安全管理和相關(guān)審計數(shù)據(jù)的沉淀，同時本系統(tǒng)能夠被也被上級平臺的管理系統(tǒng)進行集中統(tǒng)一管理，真正實現(xiàn)分級分域的分層部署和集中管理。物理安全設(shè)計公共安全聯(lián)網(wǎng)監(jiān)控系統(tǒng)的物理安全主要涉及兩個方面：前端監(jiān)控點的物理安全和設(shè)備機房的物理安全。前端監(jiān)控點物理安全前端攝像頭、視頻服務(wù)器及各類電源設(shè)備采用防雷防護確保安全。每個前端攝像頭均配備防水箱保護各類電源、設(shè)備不受水浸的威脅，防水箱加裝安全鎖。一體化攝像機、高清攝像機配置高強度護罩，槍機配置金屬外殼及護罩。前端設(shè)備的插

23、接全部采用專用螺絲，防止惡意拆卸。攝像機具備自我檢測及報警功能，可以感應(yīng)外界的干擾和變動。設(shè)備機房物理安全設(shè)備機房的物理安全主要涉及以下幾個方面：電源安全，環(huán)境安全和設(shè)備安全、備份與故障恢復(fù)、物理訪問控制、防盜竊和防破壞、防靜電、電磁保護。1、電源安全主要是保證綜合管理應(yīng)用平臺內(nèi)設(shè)備的配電安全，主要包括供電容量、供電電壓、雙路供電、不間斷供電等要求。供電容量：應(yīng)滿足中心機房所有設(shè)備的供電，且有20%-50%的余量。供電電壓：220V，50Hz不間斷供電：配電中心應(yīng)配備備用電源，備用電源應(yīng)保證對設(shè)備機房內(nèi)關(guān)鍵設(shè)備延長供電不小于4小時。2、環(huán)境安全主要指場地的選擇、機房內(nèi)部的防火、防潮、防水、溫度

24、控制、防靜電、防雷電、防電磁輻射等。設(shè)備應(yīng)能可靠運行，不會因為外部環(huán)境的變化使設(shè)備運行不穩(wěn)定或損壞。3、設(shè)備安全中心機房需要滿足設(shè)備不間斷運行：提供可靠的運行支持，并通過容錯和故障恢復(fù)等措施，支持信息系統(tǒng)實現(xiàn)不間斷運行。按要求來設(shè)計和實現(xiàn)設(shè)備的可用程度。4、備份與故障恢復(fù)本系統(tǒng)應(yīng)支持對重要的數(shù)據(jù)（如配置信息、用戶信息、日志、報警記錄等）進行定期備份；關(guān)鍵設(shè)備的易損部件應(yīng)建立滿足系統(tǒng)運維的備品備件庫；對重要的設(shè)備進行冗余設(shè)置，實現(xiàn)雙機熱備或冷備。5、物理訪問控制機房出入口應(yīng)有專人值守，鑒別進入的人員身份并登記在案；應(yīng)批準進入機房的來訪人員，限制和監(jiān)控其活動范圍；應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)

25、域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過度區(qū)域；應(yīng)對重要區(qū)域配置電子門禁系統(tǒng)，鑒別和記錄進入的人員身份并監(jiān)控其活動。6、防盜竊和放破壞應(yīng)將主要設(shè)備放置在物理受限的范圍內(nèi)；應(yīng)對設(shè)備或主要部件進行固定，并設(shè)置明顯的無法除去的標記；應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；應(yīng)對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境時，應(yīng)受到監(jiān)控和內(nèi)容加密；應(yīng)利用光、電等技術(shù)設(shè)置機房的防盜報警系統(tǒng)，以防進入機房的盜竊和破壞行為；應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。7、防靜電應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。8、電磁防護應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干

26、擾；電源線和通信線纜應(yīng)隔離，避免互相干擾；對重要設(shè)備和磁介質(zhì)實施電磁屏蔽。網(wǎng)絡(luò)安全設(shè)計政府單位接入公共安全視頻專網(wǎng)公安、城管、市政、交通等政府部門，需要對公共安全視頻專網(wǎng)內(nèi)部資源授權(quán)訪問或向公共安全視頻專網(wǎng)提供信息資源。通過在中心機房部署的安全防范系統(tǒng)，對公安視頻專網(wǎng)與各政府部門提供的信息交換進行精細的訪問控制。各單位為保證內(nèi)部系統(tǒng)安全，自行在外聯(lián)鏈路側(cè)部署防火墻類設(shè)備進行安全訪問控制。社會資源接入公共安全視頻專網(wǎng)社會資源通過運營商進行匯聚，再接入公共安全視頻專網(wǎng)，為了保證系統(tǒng)的安全性，通過部署在中心機房的安全防范系統(tǒng)對接入系統(tǒng)的網(wǎng)絡(luò)信息進行安全訪問控制，以保證系統(tǒng)避免遭受惡意攻擊和信息竊取。

27、終端安全設(shè)計終端安全設(shè)計主要體現(xiàn)在如下幾個方面：主機安全設(shè)計、數(shù)據(jù)邊界鏈路終端安全設(shè)計和視頻邊界鏈路終端安全設(shè)計綜合管理應(yīng)用平臺系統(tǒng)內(nèi)的主機眾多，既包括各種應(yīng)用服務(wù)器主機，也包括用戶終端主機。主機系統(tǒng)安全主要從主機安全加強、病毒防護、主機安全監(jiān)控采取措施，保障接入視頻專網(wǎng)的主機安全。建立全方位病毒防護體系，對病毒庫及時升級，避免主機系統(tǒng)遭到病毒威脅和破壞；建立統(tǒng)一的主機監(jiān)控系統(tǒng)，提高準入門檻，加強網(wǎng)絡(luò)準入機制，嚴格規(guī)范主機接入視頻專網(wǎng)，強化IP地址的分配與管理，同時，加強對主機系統(tǒng)軟硬件配置的實時監(jiān)控，出現(xiàn)私自卸載立即報警。此外，對終端及移動設(shè)備的安全操作和規(guī)范使用也要有嚴格要求。主機安全加強

28、根據(jù)前置機所安裝的操作系統(tǒng)不同分別進行處理。目前，主要的操作系統(tǒng)有兩類：Linux和Windows系統(tǒng)。在實施的過程中，實施人員需根據(jù)不同情況分別對系統(tǒng)進行安全加固。主要措施如下：盡可能采用經(jīng)過國家權(quán)威部門檢測認可的安全操作系統(tǒng)（如紅旗LINUX等）屏蔽超級用戶、guest用戶等，加強登錄用戶的密碼強度關(guān)閉所有不安全的遠程控制端口屏蔽所有不用的低端端口安裝防病毒軟件安裝防火墻軟件應(yīng)用軟件最小安裝原則主機防病毒方案病毒是系統(tǒng)中最常見、威脅最大的安全隱患，建立一個全方位的病毒防范系統(tǒng)是安全防護體系建設(shè)的重要任務(wù)。針對視頻監(jiān)控專網(wǎng)的具體應(yīng)用，采用邊界防護與內(nèi)部防護相結(jié)合的方式。邊界防護分為兩種情況：

29、第一，與公安信息交互，根據(jù)公安部相關(guān)要求，在該邊界采用公安專用的邊界接入平臺；第二，與政府業(yè)務(wù)部門間信息交互，在該邊界部署安全防范系統(tǒng)進行安全防護。通過在邊界部署邊界接入平臺、防火墻等安全設(shè)備，有效阻止外來病毒的入侵，同時，控制每一個安全域內(nèi)的病毒向外蔓延，避免影響整個公共安全視頻聯(lián)網(wǎng)監(jiān)控系統(tǒng)的安全。內(nèi)部防護采用網(wǎng)絡(luò)防病毒系統(tǒng)，在綜合管理應(yīng)用平臺內(nèi)部署主機防病毒系統(tǒng)中心，在內(nèi)部用戶主機與服務(wù)器主機分別部署主機版網(wǎng)絡(luò)防病毒軟件與服務(wù)器版網(wǎng)絡(luò)防病毒軟件。同過網(wǎng)絡(luò)版防病毒系統(tǒng)的部署，完成如下安全防護功能： （1）采用網(wǎng)絡(luò)版防病毒系統(tǒng)，在綜合管理應(yīng)用平臺部署管理中心，實現(xiàn)全網(wǎng)計算機系統(tǒng)健康狀態(tài)的統(tǒng)一監(jiān)

30、控和病毒庫的統(tǒng)一升級。（2）通過管理中心實現(xiàn)全網(wǎng)終端的安全管理。網(wǎng)絡(luò)版防病毒能夠隨時啟動對全網(wǎng)的統(tǒng)一查殺毒，最大程度的減小了病毒傳播的可能。（3）網(wǎng)絡(luò)安全管理員可對全網(wǎng)或某個分組設(shè)置統(tǒng)一的防毒策略，也可對特定的客戶端設(shè)置防毒策略。管理員可以根據(jù)實際情況鎖定某些關(guān)鍵的選項，使客戶端無法修改，以保證防病毒策略的有效實施。（4）防病毒系統(tǒng)能夠提供病毒日志統(tǒng)計與分析功能，能夠統(tǒng)計病毒發(fā)作次數(shù)最多排行榜、病毒爆發(fā)最多主機排行榜、某客戶端在一段時間范圍內(nèi)的病毒發(fā)作趨勢、某病毒在一段時間范圍內(nèi)的發(fā)作趨勢、組/中心間的病毒發(fā)作趨勢比較等諸多病毒日志分析數(shù)據(jù)和圖表，便于網(wǎng)絡(luò)安全管理員直觀地掌握網(wǎng)絡(luò)內(nèi)病毒感染情況

31、和發(fā)作趨勢。（5）防病毒系統(tǒng)中心應(yīng)記錄整個網(wǎng)絡(luò)中任意服務(wù)器端/客戶端計算機上發(fā)現(xiàn)的病毒信息和異常事件，以便管理員能及時發(fā)現(xiàn)染毒的計算機和系統(tǒng)運行的異常事件并做出及時反應(yīng)。（6）能夠采用通用或?qū)Ｓ脗鬏斀涌谏蠄蟛《臼录畔⒅辆W(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。此外，主機防病毒系統(tǒng)還應(yīng)當能與主機安全監(jiān)控系統(tǒng)聯(lián)動。應(yīng)用安全設(shè)計系統(tǒng)安全包含內(nèi)部網(wǎng)絡(luò)安全、數(shù)據(jù)安全和防病毒。按照GB/T20271中安全探測機制的要求，設(shè)置探測器，實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，監(jiān)視和記錄內(nèi)、外部用戶出入網(wǎng)絡(luò)的相關(guān)操作。在網(wǎng)絡(luò)上使用防火墻、入侵檢測系統(tǒng)、漏洞掃描工具來保障網(wǎng)絡(luò)通信的安全。云計算系統(tǒng)中使用了大量的通訊信息，所以，信息保護是最大的安全問題。由

32、于系統(tǒng)一般在專網(wǎng)運行，且設(shè)備采用專網(wǎng)系統(tǒng)已有設(shè)備，所以，安全性很大程度決定于維護所采用的安全措施。數(shù)據(jù)中心網(wǎng)絡(luò)對外通過萬兆防火墻進行業(yè)務(wù)數(shù)據(jù)流的監(jiān)測和安全審。保障數(shù)據(jù)中心主要業(yè)務(wù)模塊的安全。業(yè)務(wù)訪問控制系統(tǒng)按照GB/T20271的要求，對網(wǎng)絡(luò)訪問審計功能的開啟和關(guān)閉、身份鑒別事件、系統(tǒng)管理員/安全員/審計員/操作員所實施的操作、其它與系統(tǒng)安全相關(guān)的事件做審計，并做好相應(yīng)的審計響應(yīng)，例如實時報警、違例進程終止、服務(wù)取消等措施。系統(tǒng)對需要接入到平臺的前端設(shè)備進行設(shè)備的認證，相關(guān)的設(shè)備只有通過了平臺的認證之后，才能正常接入到系統(tǒng)內(nèi)部并提供相關(guān)服務(wù)。此外，系統(tǒng)提供嚴格的安全登陸機制，任何用戶只有通過系

33、統(tǒng)管理員的相關(guān)授權(quán)，才能登陸本系統(tǒng)，再需要輸入系統(tǒng)管理員分配的用戶名和密碼，通過客戶端接入認證服務(wù)器的認證，才可登陸本系統(tǒng)進行操作、監(jiān)視和控制?，F(xiàn)就各項控制措施分述如下：身份鑒別和訪問控制采用專用的登錄控制模塊及UBSKey對登錄用戶進行身份標識和鑒別；具有用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；登錄失敗采取結(jié)束會話方式，限制非法登錄次數(shù)為6次，當網(wǎng)絡(luò)登錄連接超時自動退出等； 具有自主訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；由主機配置訪問控制策略，并禁止默認帳戶的訪問。 密碼安全措施所有后臺管理系統(tǒng)使用程序

34、強制要求用戶密碼滿足相應(yīng)的用戶密碼復(fù)雜度策略。密碼超過40天沒有修改就自動凍結(jié)帳戶，登陸時強制用戶修改密碼，并不能和上次密碼一樣。密碼連續(xù)三次輸入錯誤就凍結(jié)帳戶十分鐘，同時記錄登陸IP。用戶登陸成功時提示上次登陸IP和登陸時間，如果上次登陸IP和本次登陸IP不同則提示用戶。有密碼輸入錯誤記錄， 用戶登陸成功后提示用戶上次密碼輸入錯誤時間和連續(xù)輸入錯誤次數(shù)及嘗試用錯誤密碼登陸的IP。程序失敗了保證程序正常終止，在出錯提示中不包含任何系統(tǒng)信息，配置信息等錯誤信息。全部給出“服務(wù)器忙請稍候再試”的統(tǒng)一錯誤信息。登陸錯誤提示信息全部一樣，不顯示“不存在該用戶”或“密碼不對”這樣的提示，防止利用錯誤提示

35、獲取用戶名列表。統(tǒng)一給出“用戶名或密碼錯誤”的錯誤提示。設(shè)計統(tǒng)一的Apache或者IIS的錯誤頁面，來替換現(xiàn)在的401 403 404 500等Apache或IIS自帶的錯誤頁面，讓所有的錯誤返回的信息都完全一樣，提交頁面返回的錯誤信息可以給入侵者提供豐富的信息，例如探測后臺管理目錄時，如果返回的是403錯誤，就說明該目錄存在。 安全審計采用網(wǎng)絡(luò)安全審計系統(tǒng)，覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；用戶無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；審計記錄數(shù)據(jù)具有統(tǒng)計、查詢、分析及生成審計報表的功能

36、；通信完整性和保密性采用密碼機或者VPN保證通信過程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)利用密碼機技術(shù)進行會話初始化驗證；對通信過程中的整個報文或會話過程進行加密。也可以使用javascript加密編碼： 用戶請求登陸頁面,返回的登陸頁面中調(diào)用一個javascript文件timestamp.js，該javascript里面包含服務(wù)器上的時間戳,每五分鐘自動發(fā)布一次timestamp.js，也就是每五分鐘更新一次js文件中的時間戳。用戶在登陸頁面中手工輸入用戶名和密碼，單擊“登陸”的時候，利用javascript將網(wǎng)頁用戶輸入的Password結(jié)合時間戳timestamp進行hash

37、運算。設(shè)hash運算后密碼為passwd1 passwd1=calcSHA1(timestamp + password) 然后連同加密的密碼和明文時間戳與明文用戶名一起提交給login程序。Login程序接到用戶輸入后，首先比較當前時間和用戶提交的時間戳timestamp是否超過一小時，如果超過一小時就返回“登陸超時，請重新登陸”的錯誤信息。 使用用戶登陸策略判斷登陸請求是否合法。 然后通過用戶輸入的用戶名找到數(shù)據(jù)庫中的密碼，使用用戶提交時間戳timestamp和數(shù)據(jù)庫中的密碼進行運算，運算出的密碼設(shè)為passwd2。Passwd2=calcSHA1(timestamp + passwordD

38、B) 判斷用戶提交的Passwd1 和運算出來的 Passwd2 是否相等，如果相等，就認為登陸成功抗抵賴在請求的情況下保留USBKey數(shù)據(jù)原發(fā)者原發(fā)證據(jù)信息；在請求的情況下保留USBKey數(shù)據(jù)接收者接收證據(jù)信息。USBKey內(nèi)存有加密證書和簽名證書，對應(yīng)于加密密鑰對和簽名密鑰對。加密密鑰對在密鑰管理中心產(chǎn)生，由密鑰管理中心負責(zé)密鑰的生成、存儲、備份、恢復(fù)等密鑰管理工作，簽名密鑰對在USBKey硬件設(shè)備內(nèi)產(chǎn)生，私鑰不會讀出硬件，私鑰通常是以加密文件的方式存在，文件加密的標準采用PKCS5等規(guī)范，CA中心不會有用戶的私鑰，因此能夠?qū)崿F(xiàn)抗抵賴性資源控制當系統(tǒng)中的通信雙方中的一方在5分鐘未作任何響應(yīng)

39、，另一方自動結(jié)束會話；對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制，可以手工參數(shù)配置；禁止單個帳戶的多重并發(fā)會話。數(shù)據(jù)存儲保護數(shù)據(jù)存儲的保護包括存儲介質(zhì)與存儲內(nèi)容的保護。一方面，應(yīng)避免由于數(shù)據(jù)存儲介質(zhì)的問題而造成數(shù)據(jù)的丟失、泄漏等安全事件，另一方面，采用加密等手段對存儲的數(shù)據(jù)進行保護。同時對于不同用戶的數(shù)據(jù)要求實現(xiàn)隔離，實現(xiàn)用戶數(shù)據(jù)的隱私性保護。1、存儲介質(zhì)保護1)、存有涉密信息的存儲介質(zhì)不得接入或安裝在非涉密計算機上，不得轉(zhuǎn)借他人，不得帶出辦公場所。因工作需要必須攜帶出辦公場所的，需履行相應(yīng)的審批和登記手續(xù)。2)、涉密存儲介質(zhì)的維修應(yīng)保證信息不被泄露，需外送維修的，對涉密信息應(yīng)采取涉密信息轉(zhuǎn)存、刪除、

40、異地轉(zhuǎn)移存儲媒體等安全保密措施。安全保密人員和該涉密存儲介質(zhì)管理人員必須在維修現(xiàn)場，對維修人員、維修對象、維修內(nèi)容、維修前后狀況進行監(jiān)督并做詳細記錄。3)、存儲介質(zhì)的供電需專門設(shè)計，存儲介質(zhì)應(yīng)采用冗余設(shè)計避免單盤失效后整個分卷丟失。2、存儲內(nèi)容保護1)、通過不同的用戶分級，實現(xiàn)相互隔離的不同用戶的環(huán)境；2)、配合系統(tǒng)的ACL訪問控制列表或簽名機制來避免非授權(quán)用戶的訪問；3)、存儲內(nèi)容采用離散HASH算法分片存儲至不同的機框，無法通過其中一個分片逆向推演出其余分片，從而避免數(shù)據(jù)被竊取、重組；4)、對被徹底刪除的文件，不可被其它用戶以任何方式恢復(fù)。數(shù)據(jù)完整性保護云存儲系統(tǒng)在運行時采用針對不同的數(shù)據(jù)

41、類型，采用不同的備份機制，全面保證數(shù)據(jù)的完整性與高可用性，避免數(shù)據(jù)出現(xiàn)意外情況。本系統(tǒng)參照等保三級的要求，要求數(shù)據(jù)完整性達到如下技術(shù)性能：應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施；應(yīng)能夠檢測到重要程序的完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。信息安全基礎(chǔ)設(shè)施單點登陸管理實現(xiàn)用戶跨越多個站點或安全域的登錄。統(tǒng)一用戶管理統(tǒng)一用戶管理可根據(jù)用戶的權(quán)限，對用戶的主賬號（代表用戶身份的唯一帳號）和從賬號

42、（不同應(yīng)用系統(tǒng)中的用戶帳號）的對應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實現(xiàn)用戶整個生命周期管理。統(tǒng)一身份統(tǒng)一身份認證完成用戶與客戶端認證設(shè)備之間的認證。用戶權(quán)限規(guī)劃用戶的具體訪問行為是否非法和越權(quán)，由各個應(yīng)用系統(tǒng)或建立的統(tǒng)一授權(quán)體系進行判定。用戶的信息訪問授權(quán)應(yīng)遵循“最小權(quán)限原則”和“特權(quán)分散原則”。備份系統(tǒng)設(shè)計方案平臺涉及社會公共安全，對數(shù)據(jù)的一致性、安全性和可靠性和系統(tǒng)的穩(wěn)定性要求非常高，數(shù)據(jù)遭到破壞，有可能是人為的因素，也可能是由于各種不可預(yù)測的因素，主要包括以下幾個方面：1、硬件故障：硬件是整個系統(tǒng)的基礎(chǔ)，由于使用不當或者產(chǎn)品配件老化等原因，硬件可能被損壞而不能使用，例如硬盤、主板損壞。2、

43、軟件故障：由于用戶使用不當或者系統(tǒng)的可靠性不穩(wěn)定等原因，軟件系統(tǒng)有可能癱瘓，造成數(shù)據(jù)錯亂或者丟失，無法使用。3、傳輸故障：光纜線路發(fā)生全阻斷故障或部分纖芯阻斷時，是很難確保通信安全和通信暢通的。4、人為誤操作：這是人為的事故，不可能完全避免。5、自然災(zāi)害：例如大火、洪水、地震等不可抗因素造成的災(zāi)難。為了避免上述情況造成數(shù)據(jù)丟失，保護視頻監(jiān)控的數(shù)據(jù)安全，需要對重要的設(shè)備和業(yè)務(wù)進行備份。本次方案中，主要考慮對平臺系統(tǒng)、網(wǎng)絡(luò)、關(guān)鍵存儲及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份。平臺系統(tǒng)熱備設(shè)計雙機熱備將采用專業(yè)HA雙機軟件，需支持windows、linux等多種操作系統(tǒng)。兩套相同應(yīng)用的服務(wù)器采用主/備機模式，主備機采用心

44、跳線連接，備機會監(jiān)測主機的運行狀態(tài)，如果主機出現(xiàn)故障，備機可以自動接管主機的應(yīng)用繼續(xù)服務(wù)，保證業(yè)務(wù)的連續(xù)性。雙機熱備的方案建議采用存儲設(shè)備，數(shù)據(jù)全部存放在存儲設(shè)備中，保證數(shù)據(jù)的一致性，可以讓備機順利接管主機應(yīng)用。也可以選擇不帶存儲來實現(xiàn)雙機。需要軟件支持，相當于兩臺服務(wù)器做鏡像的模式。 圖：雙機熱備網(wǎng)絡(luò)傳輸備份設(shè)計對于基礎(chǔ)網(wǎng)絡(luò)的架構(gòu)上，形成雙鏈路的備份，采用環(huán)形組網(wǎng)方式，保證在異常情況下能有備用路由進行正常傳輸。為了確保傳輸網(wǎng)絡(luò)的安全，特別是在傳輸網(wǎng)絡(luò)中處于核心層、匯聚層節(jié)點，需要采取積極有效的措施來減少光纜阻斷后故障歷時和減小光纜割接時對通信的影響。在眾多方法中，光纜物理雙路由對傳輸網(wǎng)絡(luò)進行

45、互保是最有效的解決辦法之一。同時改造時間短，難度小，可大大提高整個網(wǎng)絡(luò)的安全性。無論是公安政務(wù)網(wǎng)還是視頻專網(wǎng)，無疑核心層承擔(dān)的角色最為重要，而核心層節(jié)點能用可靠的物理光纜雙路由進行保護，不管是突發(fā)性的光纜線路阻斷還是光纖鏈路阻斷，或是進行光纜割接，都能保證通信不會有明顯的中斷，或者僅有瞬間的中斷，而不會造成嚴重的影響，所以對于核心層的節(jié)點進行物理光纜雙路由的改造對于整個網(wǎng)絡(luò)的安全有著重要的意義。下面就核心層數(shù)據(jù)機房的物理光纜雙路由的改造進行詳細闡述。1、中繼光纜的雙路由原則工程勘察設(shè)計數(shù)據(jù)機房時，應(yīng)選擇進出局光纜不同路由，且光纜芯數(shù)不低于48芯；另數(shù)據(jù)機房必須設(shè)置兩個獨立的進線室，且不同方向；

46、根據(jù)進線室的位置，進局管道設(shè)置必須為雙路由進出數(shù)據(jù)機房。新數(shù)據(jù)機房與原數(shù)據(jù)機房聯(lián)接時必須雙光纜路由連接。2、數(shù)據(jù)機房內(nèi)尾纖布放原則為減少維護中單路由隱患，加強光傳輸穩(wěn)定性和可靠性，要求從不同方向上進局的線路側(cè)ODF架到單端傳輸設(shè)備的尾纖在機房內(nèi)應(yīng)設(shè)置成雙路由。存儲設(shè)備備份設(shè)計存儲設(shè)備備份系統(tǒng)主要包括元數(shù)據(jù)服務(wù)集群負載均衡模塊、數(shù)據(jù)節(jié)點內(nèi)磁盤負載均衡模塊、高可靠數(shù)據(jù)分布策略管理模塊、數(shù)據(jù)節(jié)點的磁盤管理模塊、智能恢復(fù)模塊、一致性保護模塊、用戶配額模塊、系統(tǒng)安全管理模塊等構(gòu)成。元數(shù)據(jù)服務(wù)集群負載均衡元數(shù)據(jù)服務(wù)器會針對集群中的所有節(jié)點的匯報的實時負載壓力（cpu，內(nèi)存，網(wǎng)絡(luò)流量，磁盤IO）進行匯聚，收

47、集到集群負載均衡模塊內(nèi)，做統(tǒng)一的調(diào)度，優(yōu)化節(jié)點的間的負載，讓所有節(jié)點均衡均攤系統(tǒng)壓力，提升系統(tǒng)的整體讀寫性能，最終也均衡掉各個節(jié)點的容量，使得系統(tǒng)能夠支持異構(gòu)容量和性能的數(shù)據(jù)節(jié)點。集群負載均衡模塊可以為文件寫入分布隨機節(jié)點，滿足N+M的節(jié)點級容錯。數(shù)據(jù)節(jié)點內(nèi)磁盤級負載均衡磁盤級負載均衡通過實時收集磁盤的負載，磁盤空間使用情況，調(diào)度寫入到該節(jié)點內(nèi)的數(shù)據(jù)流均衡的分布各個低負載，高可用容量的磁盤，讓寫入更加平滑，最大粒度的發(fā)揮磁盤的順序?qū)懭氲哪芰?，并在長期負載下能使得各個磁盤的容量能最終均衡，實現(xiàn)系統(tǒng)容忍異構(gòu)的磁盤。高可靠數(shù)據(jù)分布策略管理高可靠數(shù)據(jù)分布策略管理模塊根據(jù)數(shù)據(jù)分布算法能支持將數(shù)據(jù)塊分布在

48、滿足節(jié)點級容錯以及硬盤級容錯，即支持N+M:B。通過在集群負載均衡模塊之上接入數(shù)據(jù)分布策略管理模塊，可以讓系統(tǒng)在負載均衡模塊更加優(yōu)秀的選擇出更加分布合理的數(shù)據(jù)節(jié)點。 數(shù)據(jù)分布策略管理模塊讓系統(tǒng)可以支持多種N+M：B的策略，另外當系統(tǒng)規(guī)模小不滿足節(jié)點容錯的時候也可以通過N+M：0讓數(shù)據(jù)分布降級為支持磁盤級容錯，讓系統(tǒng)逐步擴容不用修改任何配置，后續(xù)所有新寫入的數(shù)據(jù)可以自動提升為最優(yōu)的容錯數(shù)據(jù)分布，讓數(shù)據(jù)分布從磁盤級容錯提升節(jié)點級容錯（節(jié)點級容錯可以自動提升直至到最高的冗余數(shù)所相對應(yīng)的節(jié)點數(shù)）。對于小規(guī)模，不支持節(jié)點容錯，還可以通過動態(tài)配置支持所有數(shù)據(jù)塊分布至一臺節(jié)點。減少磁盤故障時跨網(wǎng)絡(luò)恢復(fù)的開銷

49、，充分發(fā)揮節(jié)點內(nèi)的數(shù)據(jù)恢復(fù)性能。存儲節(jié)點的磁盤管理智能磁盤管理模塊可以直接管理數(shù)據(jù)節(jié)點內(nèi)的磁盤，為每個磁盤抽象成一個磁盤對象，并將磁盤對象交由磁盤管理模塊統(tǒng)一管理，形成數(shù)據(jù)節(jié)點內(nèi)部的存儲層，為數(shù)據(jù)塊在節(jié)點的統(tǒng)一存儲和管理提供便利，所有磁盤相關(guān)的管理操作可以對外無感知。磁盤管理模塊可以感知磁盤的熱插拔事件，磁盤異常損壞，磁盤變慢盤，觸發(fā)磁盤自動上下線，對于新盤可以自動感知格式化，對于同一集群磁盤可以自動上線，加載磁盤內(nèi)的數(shù)據(jù)索引。針對熱插拔可以在節(jié)點出現(xiàn)異常通過磁盤飄逸實現(xiàn)數(shù)據(jù)快速恢復(fù)，也可以根據(jù)該特性實現(xiàn)新擴容之后，節(jié)點容量快速均衡。針對磁盤故障感知到異常損壞或者慢盤，會提前觸發(fā)系統(tǒng)進行恢復(fù)，

50、讓用戶真正實現(xiàn)免維護。系統(tǒng)智能恢復(fù)及備份機制智能恢復(fù)模塊會實時感知文件在云存儲中出現(xiàn)的異常塊，針對出現(xiàn)異常塊的文件按照調(diào)優(yōu)過適合安防行業(yè)特點的恢復(fù)策略進行恢復(fù)，盡量讓時間最近，文件損壞更嚴重的優(yōu)先恢復(fù)。并針對冗余度高，可靠性高的文件，在出現(xiàn)可容忍的少量數(shù)據(jù)塊損壞時，可以減少恢復(fù)(如12+3壞了一個冗余塊，由于本身已經(jīng)很可靠，可以不進行恢復(fù))。同時為了支持更加緊急的數(shù)據(jù)文件，在自動恢復(fù)策略之上引入優(yōu)先恢復(fù)隊列，用于在技術(shù)人員判斷某天的數(shù)據(jù)需要優(yōu)先恢復(fù)。優(yōu)先恢復(fù)會打斷自動恢復(fù)優(yōu)先完成指定的某一天內(nèi)的數(shù)據(jù)文件。智能恢復(fù)模塊，還會根據(jù)當前系統(tǒng)過的負載壓力，實時調(diào)整恢復(fù)速度，在保證讀寫不受影響的情況下，

51、高速完成異常文件的快速恢復(fù)。數(shù)據(jù)庫容災(zāi)備份設(shè)計本項目系統(tǒng)需能夠?qū)崿F(xiàn)雙數(shù)據(jù)庫的實時同步，能夠保證雙份數(shù)據(jù)庫的實時一致性，如果主數(shù)據(jù)庫失敗，備數(shù)據(jù)庫庫服務(wù)器隨時可啟用為主數(shù)據(jù)庫服務(wù)器，不再需要介質(zhì)恢復(fù)的過程。多節(jié)點存儲冗余體系 熱備方案要求最少有雙份數(shù)據(jù)庫，不擔(dān)心系統(tǒng)數(shù)據(jù)庫崩潰，磁盤硬件崩潰，而造成數(shù)據(jù)庫不可用問題。多份數(shù)據(jù)源才是真正的冗余體系，真正消除了數(shù)據(jù)庫系統(tǒng)管理人員為存儲單點故障的后顧之憂。不存在物理介質(zhì)恢復(fù)時間問題 因為雙數(shù)據(jù)庫的實時同步，保證雙份數(shù)據(jù)庫的一致性，如果主數(shù)據(jù)庫失敗，備數(shù)據(jù)庫庫服務(wù)器隨時可啟用為主數(shù)據(jù)庫服務(wù)器。不存在介質(zhì)恢復(fù)時間。這與雙機熱備比較，完全消除掉備份恢復(fù)這一個過

52、程。同步時間完全實時 主數(shù)據(jù)庫與從數(shù)據(jù)庫可以做到實時同步，消除了備份軟件中的間隔備份丟失數(shù)問題。同時提供了完全不丟失數(shù)據(jù)模式和丟失秒內(nèi)業(yè)務(wù)數(shù)據(jù)校正方式。解決了數(shù)據(jù)誤刪除恢復(fù)問題 與HA,CDP軟件比較，當數(shù)據(jù)庫管理人員遇到意外誤刪除求助，熱備系統(tǒng)可以提供事務(wù)級別的按步數(shù)或者時間點的回退動作，確定記錄，恢復(fù)記錄，不需要像傳統(tǒng)備份軟件為了一個記錄而恢復(fù)整個數(shù)據(jù)庫。數(shù)據(jù)庫異地容災(zāi)問題 完全支持異地數(shù)據(jù)同步，支持斷點續(xù)傳，數(shù)據(jù)一致性校驗。系統(tǒng)備份機制設(shè)計要在本項目建立一個好的備份系統(tǒng)，除了需要配備有好的軟硬件產(chǎn)品之外，更需要有良好的備份策略和管理規(guī)劃來進行保證。備份策略的選擇，要統(tǒng)籌考慮需備份的總數(shù)據(jù)

53、量，線路帶寬、數(shù)據(jù)吞吐量、時間窗口以及對恢復(fù)時間的要求等因素。目前的備份策略主要有完整備份、增量備份和差異備份。完整備份所需時間最長，但恢復(fù)時間最短，操作最方便，當系統(tǒng)中數(shù)據(jù)量不大時，采用全備份最可靠。增量備份和差異備份所需的備份介質(zhì)和備份時間都較全備份少，但是數(shù)據(jù)恢復(fù)麻煩。根據(jù)不同業(yè)務(wù)對數(shù)據(jù)備份的時間窗口和災(zāi)難恢復(fù)的要求，可以選擇不同的備份方式，亦可以將這幾種備份方式進行組合應(yīng)用，以得到更好的備份效果。完整備份(Full Backup)所謂完整備份，就是對整個系統(tǒng)包括系統(tǒng)文件和應(yīng)用數(shù)據(jù)進行的完全備份。這種備份方式的優(yōu)點是數(shù)據(jù)恢復(fù)所需時間短。缺點是備份數(shù)據(jù)中有大量內(nèi)容是重復(fù)的，這些重復(fù)的數(shù)據(jù)浪

54、費了大量的磁帶空間，無形中增加了數(shù)據(jù)備份的成本；再者，由于需要備份的數(shù)據(jù)量相當大，因此備份所需時間相對較長。增量備份 (Incremental Backup) 增量備份指每次備份的數(shù)據(jù)只是相當于上一次備份后增加的和修改過的數(shù)據(jù)。這種備份的優(yōu)點很明顯：沒有重復(fù)的備份數(shù)據(jù)，節(jié)省磁帶空間，又縮短了備份時間。但它的缺點在于當發(fā)生災(zāi)難時，恢復(fù)數(shù)據(jù)比較麻煩，需進行多次數(shù)據(jù)恢復(fù)才能恢復(fù)至最新的數(shù)據(jù)狀態(tài)。差異備份 (Differential Backup) 差異備份就是每次備份的數(shù)據(jù)是相對于上一次完整備份之后新增加的和修改過的數(shù)據(jù)。差異備份無需每次都做系統(tǒng)完全備份，因此備份所需時間短，并節(jié)省磁帶空間；另外，差

55、異備份的災(zāi)難恢復(fù)也很方便，系統(tǒng)管理員只需兩次備份數(shù)據(jù)，即完整備份的數(shù)據(jù)與發(fā)生災(zāi)難前一天的備份數(shù)據(jù)，就可以將系統(tǒng)完全恢復(fù)。隨著數(shù)據(jù)量的增加，做完整備份所需要的時間將不斷延長，因此需要制定一個基于未來大數(shù)據(jù)量的備份策略。備份策略包括兩個部分，一、操作系統(tǒng)和應(yīng)用程序代碼的備份策略，二、業(yè)務(wù)數(shù)據(jù)的備份策略。操作系統(tǒng)和應(yīng)用程序代碼的備份策略比較簡單，一般可先對所有系統(tǒng)做一次全備份，然后每周對關(guān)鍵系統(tǒng)做一次全備份；此外，每臺機器做過軟件安裝或系統(tǒng)升級后，應(yīng)立刻做一次完整備份。當操作系統(tǒng)和應(yīng)用程序代碼出現(xiàn)故障時，將完整備份的數(shù)據(jù)按照相應(yīng)的辦法恢復(fù)即可。業(yè)務(wù)數(shù)據(jù)的日常備份策略可按如下制訂：每周在訪問量比較小的

56、時候做一次完整備份；每天對業(yè)務(wù)數(shù)據(jù)做一次差異備份或增量備份；每次業(yè)務(wù)數(shù)據(jù)做大調(diào)整后應(yīng)立即做一次完整備份。運行維護系統(tǒng)設(shè)計方案公共安全平臺通過對全市一類、二類和三類點位的聯(lián)網(wǎng)匯聚，整個平臺管理的前端點位數(shù)量規(guī)模巨大，以及對應(yīng)的存儲、服務(wù)器等核心設(shè)備，整個平臺的設(shè)備運維保障工作日趨繁雜。同時在2015年公安部就發(fā)布了公通字20154 COMMENTS * MERGEFORMAT COMMENTS * MERGEFORMAT 號文件，關(guān)于關(guān)于進一步加強公安機關(guān)視頻圖像信息應(yīng)用工作的意見的通知，其中分析了公安機關(guān)視頻圖像信息應(yīng)用的突出問題，其中就包含缺少視頻監(jiān)控建設(shè)管理專業(yè)隊伍，基礎(chǔ)工作薄弱，不同程度

57、存在布點不科學(xué)、維護不到位、基礎(chǔ)資料掌握不清等問題。其中強調(diào)了：到2020年底，監(jiān)控設(shè)備“一機一檔”的基礎(chǔ)信息建檔率及點位地理信息標注率達到100%；要強化各類視頻圖像信息資源的整合與共享，按照統(tǒng)一標準、分級分類、安全可控的原則，開展一、二、三類視頻監(jiān)控點的整合與共享?！敖橛?，用為戰(zhàn)”，為保障平臺對政府業(yè)務(wù)部門的服務(wù)質(zhì)量，提高運行維護水平，規(guī)范業(yè)務(wù)流程，檢測平臺的安全可用和穩(wěn)定性，以及符合上級平臺考核數(shù)據(jù)要求，平臺建設(shè)視頻監(jiān)控運維管理系統(tǒng)和IT運維管理系統(tǒng)。視頻監(jiān)控運維管理系統(tǒng)方案設(shè)計思路及原則設(shè)計思路視頻監(jiān)控建設(shè)的過程中，前端的監(jiān)控點數(shù)量，從幾百個、幾千個到上萬個，對運維系統(tǒng)的要求也不斷的

58、提高，現(xiàn)有的運行維護方式，無法滿足不斷增長的設(shè)備維護需求。未引進視頻質(zhì)量診斷系統(tǒng)實現(xiàn)系統(tǒng)內(nèi)監(jiān)控點圖像的自動檢測和提示報警，導(dǎo)致在視頻監(jiān)控系統(tǒng)中，無法確保維護的及時性和有效性，往往一個故障點需要多日才能解決故障問題，這對于需要實時無間斷監(jiān)控錄像的視頻監(jiān)控系統(tǒng)來說是致命的。需要從視頻聯(lián)網(wǎng)建設(shè)入手到加強圖像信息資源的綜合開發(fā)利用和維護管理，開展視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)建設(shè)、系統(tǒng)視頻圖像故障診斷技術(shù)、視頻圖像信息整合與共享技術(shù)，在保障視頻圖像優(yōu)質(zhì)有效監(jiān)控管理的同時，有效保障視頻圖像的管理與維護，實現(xiàn)圖像故障自動報警和一般性故障自我修復(fù)功能，使視頻監(jiān)控系統(tǒng)像各種查詢系統(tǒng)一樣成為全警使用的系統(tǒng)，將視頻監(jiān)控技術(shù)打造

59、成為各部門、警種使用的重要技術(shù)支撐，全面服務(wù)于各項業(yè)務(wù)。要求各安防企業(yè)具有開放心態(tài)，為視頻聯(lián)網(wǎng)、警務(wù)應(yīng)用、公安業(yè)務(wù)信息化設(shè)計出符合標準要求及實際項目需求的產(chǎn)品或解決方案，提供自動化巡檢，故障自動報警、資產(chǎn)管理等功能，有效實現(xiàn)視頻資源的整合與加強功能性利用，實現(xiàn)視頻監(jiān)控系統(tǒng)和相關(guān)業(yè)務(wù)系統(tǒng)自動運維功能。設(shè)計原則1.先進性系統(tǒng)的架構(gòu)和技術(shù)均要符合高新技術(shù)的發(fā)展趨勢，在滿足功能的前提下，能夠在今后三年時間內(nèi)保持一定的先進性。2.可靠性采用優(yōu)化的、成熟的硬件結(jié)構(gòu)，配備冗余網(wǎng)絡(luò)I/O接口；在軟件應(yīng)用上，保證穩(wěn)定性，在關(guān)鍵應(yīng)用出現(xiàn)服務(wù)異常時，自動進行功能恢復(fù)。3.安全性系統(tǒng)具有防計算機病毒的能力，有較強的抗

60、干擾能力，具有密碼、角色控制級別，避免出現(xiàn)遭到惡意攻擊和數(shù)據(jù)被非法提取使用的現(xiàn)象，保障系統(tǒng)網(wǎng)絡(luò)的安全。4.可擴展性由于技術(shù)和需求在不斷地發(fā)展，對系統(tǒng)功能和建設(shè)規(guī)模、建設(shè)質(zhì)量的要求也將不斷增多。在設(shè)計上，采用具備良好擴展性的系統(tǒng)接口和模塊化設(shè)計，當設(shè)備需要升級時，系統(tǒng)能實現(xiàn)平滑過渡，方便兼容舊系統(tǒng)。5.標準性系統(tǒng)的標準化程度越高、開放性越好，則系統(tǒng)的生命周期越長?？刂茀f(xié)議、傳輸協(xié)議、接口協(xié)議、視音頻編解碼、視音頻文件格式等均符合相應(yīng)國家標準或行業(yè)標準的規(guī)定。6.易維護性系統(tǒng)在設(shè)計時充分考慮其易維護性，以確保系統(tǒng)在使用過程中出現(xiàn)故障時能在最短時間內(nèi)恢復(fù)運行。系統(tǒng)具備設(shè)備日志記錄、遠程維護與管理、故