共享平臺與視頻安全接入方案

1、畢節(jié)市公安局公安網(wǎng)邊界接入平臺部門間信息共享平臺、視頻接入鏈路）建設(shè)方案上海辰銳信息科技公司2013年10月 II III目錄TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 建設(shè)背景4 HYPERLINK l bookmark4 o Current Document 業(yè)務(wù)需求6 HYPERLINK l bookmark6 o Current Document 項目現(xiàn)狀6共享平臺需求6 HYPERLINK l bookmark8 o Current Document 功能需求分析6 HYPERLINK l bookmark10 o C

2、urrent Document 性能需求分析7 HYPERLINK l bookmark12 o Current Document 安全需求分析8 HYPERLINK l bookmark14 o Current Document 管理需求分析9 HYPERLINK l bookmark16 o Current Document 擴展需求分析9視頻接入需求9 HYPERLINK l bookmark18 o Current Document 功能需求分析9 HYPERLINK l bookmark20 o Current Document 性能需求分析10 HYPERLINK l bookma

3、rk22 o Current Document 安全需求分析10 HYPERLINK l bookmark24 o Current Document 管理需求分析11 HYPERLINK l bookmark26 o Current Document 擴展需求分析11 HYPERLINK l bookmark28 o Current Document 總體設(shè)計12 HYPERLINK l bookmark30 o Current Document 設(shè)計目標(biāo)12 HYPERLINK l bookmark32 o Current Document 設(shè)計思想12 HYPERLINK l bookma

4、rk34 o Current Document 設(shè)計依據(jù)12 HYPERLINK l bookmark36 o Current Document 總體架構(gòu)設(shè)計13安全體系13體系結(jié)構(gòu)14監(jiān)測與管理區(qū)設(shè)計18探針及監(jiān)管功能設(shè)計18 HYPERLINK l bookmark38 o Current Document 級聯(lián)監(jiān)控管理設(shè)計19 HYPERLINK l bookmark40 o Current Document 總體方案20 HYPERLINK l bookmark44 o Current Document 功能設(shè)計22共享平臺功能設(shè)計22 HYPERLINK l bookmark46 o

5、 Current Document 查詢比對類22 HYPERLINK l bookmark48 o Current Document 數(shù)據(jù)交換類22 HYPERLINK l bookmark50 o Current Document Web訪問類24 HYPERLINK l bookmark52 o Current Document 視頻接入功能設(shè)計24 HYPERLINK l bookmark54 o Current Document 安全設(shè)計26共享平臺安全設(shè)計26 HYPERLINK l bookmark56 o Current Document 查詢比對類26 HYPERLINK l

6、 bookmark58 o Current Document 數(shù)據(jù)交換類27 HYPERLINK l bookmark60 o Current Document Web訪問類27視頻接入安全設(shè)計28數(shù)據(jù)接收28數(shù)據(jù)檢查29數(shù)據(jù)傳輸29數(shù)據(jù)轉(zhuǎn)發(fā)29 HYPERLINK l bookmark62 o Current Document 授權(quán)訪問30 HYPERLINK l bookmark64 o Current Document 管理設(shè)計31 HYPERLINK l bookmark66 o Current Document 監(jiān)管功能31級聯(lián)功能33 HYPERLINK l bookmark68

7、o Current Document 設(shè)備介紹34 HYPERLINK l bookmark70 o Current Document 可信邊界安全網(wǎng)關(guān)34 HYPERLINK l bookmark72 o Current Document 網(wǎng)絡(luò)數(shù)據(jù)交換35 HYPERLINK l bookmark74 o Current Document 視頻安全接入系統(tǒng)35 HYPERLINK l bookmark76 o Current Document 集中監(jiān)控與審計系統(tǒng)37 HYPERLINK l bookmark78 o Current Document 共享平臺功能38 HYPERLINK l

8、bookmark80 o Current Document 共享平臺架構(gòu)38 HYPERLINK l bookmark82 o Current Document 內(nèi)、外網(wǎng)門戶網(wǎng)站40單點登陸40 HYPERLINK l bookmark84 o Current Document 統(tǒng)一用戶管理40頁面定制40信息公告41應(yīng)用導(dǎo)航41應(yīng)用統(tǒng)計41 HYPERLINK l bookmark86 o Current Document 內(nèi)、外網(wǎng)應(yīng)用服務(wù)系統(tǒng)42可視化業(yè)務(wù)配置器42 HYPERLINK l bookmark88 o Current Document 標(biāo)準(zhǔn)的Web服務(wù)接口42信息查詢42數(shù)據(jù)

9、核查43數(shù)據(jù)比對43 HYPERLINK l bookmark90 o Current Document 數(shù)據(jù)上傳下載43 HYPERLINK l bookmark92 o Current Document 共享痕跡留存43 HYPERLINK l bookmark94 o Current Document 數(shù)據(jù)權(quán)限控制44 HYPERLINK l bookmark96 o Current Document 服務(wù)門戶定制44監(jiān)控與管理44 HYPERLINK l bookmark98 o Current Document 9.4數(shù)據(jù)采集系統(tǒng)45 HYPERLINK l bookmark100

10、o Current Document 數(shù)據(jù)集成系統(tǒng)46 HYPERLINK l bookmark102 o Current Document 平臺管理監(jiān)控系統(tǒng)48注冊管理48用戶管理48 HYPERLINK l bookmark104 o Current Document 監(jiān)控與審計48查詢統(tǒng)計50 HYPERLINK l bookmark106 o Current Document 擴展功能設(shè)計50 HYPERLINK l bookmark108 o Current Document 共享平臺數(shù)據(jù)處理設(shè)計52 HYPERLINK l bookmark110 o Current Documen

11、t 數(shù)據(jù)庫設(shè)計52 HYPERLINK l bookmark112 o Current Document 數(shù)據(jù)標(biāo)準(zhǔn)管理52 HYPERLINK l bookmark114 o Current Document 數(shù)據(jù)處理過程53 HYPERLINK l bookmark116 o Current Document 數(shù)據(jù)采集54數(shù)據(jù)采集方式54 HYPERLINK l bookmark118 o Current Document 數(shù)據(jù)采集流程55 HYPERLINK l bookmark120 o Current Document 數(shù)據(jù)信息整合55 HYPERLINK l bookmark122

12、o Current Document 數(shù)據(jù)信息共享56 HYPERLINK l bookmark124 o Current Document 共享平臺運行環(huán)境5711.1.1軟件環(huán)境設(shè)計57硬件環(huán)境設(shè)計57 1建設(shè)背景隨著貴州省畢節(jié)市公安局公安信息化建設(shè)的不斷深入開展，公安機關(guān)對外交換和共享信息的接入業(yè)務(wù)需求日益強烈。結(jié)合自身公安信息化建設(shè)現(xiàn)狀和發(fā)展需要，減少重復(fù)投資，建設(shè)貴州省畢節(jié)市公安局部門間共享平臺（以下簡稱“共享平臺”），滿足公安機關(guān)通過公安信息通信網(wǎng)開展對外數(shù)據(jù)交換、查詢比對、Web訪問等工作需要。通過共享平臺的建設(shè)為部門間信息共享等業(yè)務(wù)提供集中的安全運行基礎(chǔ)設(shè)施，實現(xiàn)對接入業(yè)務(wù)的注

13、冊、監(jiān)控與審計等安全管理，保障共享平臺與公安信息通信網(wǎng)的安全。共享平臺是金盾工程二期重點建設(shè)的“三大平臺”之一，公安部關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知（公信通2007187號）及關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見（公科信201219號）的要求，共享平臺的核心功能主要包括兩個方面：一是方便可靠地獲取外部信息，將其它政府部門、社會單位向公安機關(guān)提供的信息傳輸?shù)焦蚕砥脚_上，并根據(jù)公安業(yè)務(wù)應(yīng)用的需要將相關(guān)信息轉(zhuǎn)送到公安信息網(wǎng)內(nèi)加以綜合應(yīng)用；二是安全可控地對外提供信息服務(wù)，將需要對外共享的信息從公安信息網(wǎng)內(nèi)抽取同步到共享平臺上，以應(yīng)用接口、web訪問、數(shù)據(jù)交換等方式對外提供信息

14、共享服務(wù)。共享平臺應(yīng)嚴格按照公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的要求進行網(wǎng)絡(luò)互連和安全運行。同時畢節(jié)市公安機關(guān)可利用的視頻監(jiān)控資源越來越多，但出于安全和應(yīng)用方面的考慮，外網(wǎng)及社會專網(wǎng)視頻資源沒有接入公安內(nèi)網(wǎng)，由此造成使用上的不便和資源的浪費。現(xiàn)在畢節(jié)市公安局為實現(xiàn)“資源共享、互聯(lián)互控”、“視頻監(jiān)管一網(wǎng)控”，需依據(jù)公安部公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）-視頻接入部分建設(shè)視頻接入鏈路。通過該鏈路的建設(shè)滿足外部視頻資源與公安網(wǎng)視頻資源有機聯(lián)網(wǎng)、整合共享，并且有效管理、靈活調(diào)用，同時滿足下列需求：實時觀看外網(wǎng)視頻監(jiān)控探頭信息、實現(xiàn)對外網(wǎng)視頻監(jiān)控探頭的控制、對視頻接入業(yè)務(wù)進行集中監(jiān)控、

15、管理與審計。本方案中術(shù)語和定義與公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（簡稱安全規(guī)范）、關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知（公信通2007187號）、關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見（公科信201219號）、公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）-視頻接入部分一致。2業(yè)務(wù)需求項目現(xiàn)狀為了滿足社會面與公安信息通信網(wǎng)進行信息采集與交換的業(yè)務(wù)需求。貴州省畢節(jié)市公安局已經(jīng)建設(shè)了邊界接入平臺中的社會企事業(yè)接入鏈路、黨政軍機關(guān)接入鏈路、公安駐地外接入鏈路，該邊界接入平臺解決了公安邊界接入業(yè)務(wù)的部分業(yè)務(wù)需求，取得了良好效益，發(fā)揮了重要作用。隨著畢節(jié)市公安局信息化建設(shè)的發(fā)展，現(xiàn)需要建

16、設(shè)貴州省畢節(jié)市公安局部門間共享平臺以及視頻接入鏈路，主要增加公安機關(guān)及直屬單位對外數(shù)據(jù)交換、查詢比對、Web訪問業(yè)務(wù)，以及外網(wǎng)視頻資源安全接入公安內(nèi)網(wǎng)，以滿足日益增長業(yè)務(wù)需求。共享平臺需求功能需求分析貴州省畢節(jié)市公安局共享平臺主要需要對黨政軍部門和經(jīng)批準(zhǔn)的黨政軍用戶等接入對象提供查詢比對、數(shù)據(jù)交換和Web訪問等功能。上述接入對象采用專線安全線路方式與貴州省畢節(jié)市公安局共享平臺進行鏈接，在接入鏈路上不采用其他非安全的接入鏈路方式（如無線、互聯(lián)網(wǎng)鏈路等），從鏈路層面保障共享平臺的安全性。查詢比對功能通過數(shù)據(jù)交換方式實現(xiàn)其他部門、機構(gòu)等對共享平臺內(nèi)的公安信息資源進行安全查詢及比對功能，及時返回查詢比

17、對結(jié)果，并同時支持單條和批量的查詢比對業(yè)務(wù)。數(shù)據(jù)交換功能通過數(shù)據(jù)交換方式采集其他部門、機構(gòu)的批量數(shù)據(jù)；通過數(shù)據(jù)交換向其他部門、機構(gòu)提供批量數(shù)據(jù)。數(shù)據(jù)交換支持的數(shù)據(jù)類型包括：結(jié)構(gòu)化數(shù)據(jù)庫數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)（以文件型為主）等。Web訪問功能指的是經(jīng)批準(zhǔn)的黨政軍用戶通過政法數(shù)字證書，以授權(quán)訪問方式訪問共享平臺內(nèi)對外開放的Web網(wǎng)站（頁）等。性能需求分析畢節(jié)市公安局共享平臺性能需求主要體現(xiàn)在數(shù)據(jù)流量、關(guān)鍵設(shè)備性能和平臺整體性能等方面，在滿足性能要求的同時，具備一定的容量擴展性。數(shù)據(jù)流量：其中查詢比對類業(yè)務(wù)服務(wù)總流量要求為1000筆/秒，數(shù)據(jù)交換類業(yè)務(wù)預(yù)計業(yè)務(wù)流量為400Mbps,Web訪問類業(yè)務(wù)預(yù)計業(yè)

18、務(wù)流量為400Mbps。關(guān)鍵設(shè)備性能：關(guān)鍵性安全設(shè)備在整個共享平臺中發(fā)揮著重要的安全重用,其中查詢比對類業(yè)務(wù)具有數(shù)據(jù)包小、并發(fā)大、延時低的特點,同時考慮突發(fā)大并發(fā)情況,關(guān)鍵安全設(shè)備的并發(fā)連接數(shù)應(yīng)達到40萬以上,最大并發(fā)連接數(shù)應(yīng)大于50萬。平臺整體性能需保障平臺基本性能及以后的擴展性,平臺所有鏈路,尤其是數(shù)據(jù)交換鏈路需采用雙千兆帶寬,關(guān)鍵設(shè)備均采用千兆級以上設(shè)備。確保數(shù)據(jù)交換鏈路上的數(shù)據(jù)交換系統(tǒng)及網(wǎng)閘在不影響傳輸性能和數(shù)據(jù)傳輸質(zhì)量的前提下,在支持多個接入業(yè)務(wù)的同時進行數(shù)據(jù)交換。畢節(jié)市公安局共享平臺在業(yè)務(wù)峰值時段，各設(shè)備的CPU、內(nèi)存利用率低于70%。共享平臺在滿足數(shù)據(jù)量、并發(fā)連接數(shù)和鏈路帶寬等要

19、求的同時不影響平臺整體傳輸性能和數(shù)據(jù)傳輸質(zhì)量，并預(yù)留一定的擴展性。同時，共享平臺需要確保接入業(yè)務(wù)的可靠性和穩(wěn)定性，在緊急狀態(tài)下，應(yīng)具備一定處突及部分應(yīng)用優(yōu)先處理的能力。安全需求分析安全需求主要體現(xiàn)在接入終端安全需求、服務(wù)器安全需求、網(wǎng)絡(luò)安全需求、應(yīng)用安全需求和數(shù)據(jù)安全需求等方面。接入終端安全：對查詢比對類、數(shù)據(jù)交換類業(yè)務(wù)的接入終端進行備案登記，支持對接入終端進行安全狀況檢測，防止安全不達標(biāo)的終端設(shè)備接入。在Web訪問類接入終端上安裝終端安全監(jiān)控和“一機兩用”客戶端，對接入終端的外設(shè)、進程等加強安全管理以及對接入終端的違規(guī)外聯(lián)加強安全監(jiān)測。服務(wù)器安全：為確保共享平臺內(nèi)重要服務(wù)器自身的強壯性和安全

20、性，對這些服務(wù)器都進行必要的安全加固或安全加強。網(wǎng)絡(luò)安全：共享平臺在網(wǎng)絡(luò)層劃分不同的安全域，不同安全域間具有明顯的邊界，采用必要的安全隔離設(shè)備，對接入平臺與公安信息通信網(wǎng)之間進行安全隔離。可采用VPN方式對數(shù)據(jù)或鏈路進行加密以對信息安全有特殊需求的信息傳輸進行安全保障。同時，共享平臺應(yīng)對平臺內(nèi)應(yīng)用服務(wù)進行網(wǎng)絡(luò)級訪問控制，并對病毒木馬、黑客入侵、抗DDoS攻擊、漏洞掃描、異常流量等網(wǎng)絡(luò)安全威脅具有監(jiān)測和防護能力。管理需求分析貴州省畢節(jié)市公安局共享平臺是個復(fù)雜的安全系統(tǒng)，為了更好的發(fā)揮平臺作用，保護公安網(wǎng)內(nèi)資源安全，滿足對共享平臺的運行維護，需對共享平臺進行有效的管理。根據(jù)共享平臺運行管理要求，依

21、據(jù)“統(tǒng)一接入管理、統(tǒng)一運行監(jiān)控、統(tǒng)一安全審計、統(tǒng)一策略部署”的原則。對共享平臺所有傳輸信息實現(xiàn)集中安全監(jiān)測和審計，對各類異常報警信息進行分析。對共享平臺中的各類安全事件進行及時發(fā)現(xiàn)和定位，控制并消除各類安全威脅和隱患。對共享平臺進行集中監(jiān)控和審計管理，實現(xiàn)注冊審核、平臺運行、設(shè)備維護、報警處置、審計分析、數(shù)據(jù)通報等一系列管理功能，提供監(jiān)控平臺整體運行狀況服務(wù)。擴展需求分析共享平臺是一個復(fù)雜的系統(tǒng)，接入業(yè)務(wù)是個逐步接入的過程。共享平臺方案需具備可擴展性。在滿足基本要求的前提下，主要滿足平臺在性能、功能、業(yè)務(wù)數(shù)、應(yīng)用種類及存儲等方面的擴展和延伸。視頻接入需求功能需求分析畢節(jié)市公安局公安信息通信網(wǎng)視

22、頻接入業(yè)務(wù)主要是實現(xiàn)公安外網(wǎng)視頻資源經(jīng)視頻接入鏈路安全可靠接入公安內(nèi)網(wǎng)，實現(xiàn)從公安內(nèi)網(wǎng)授權(quán)訪問外網(wǎng)視頻資源。該類業(yè)務(wù)具有以下特點：實時監(jiān)控：公安內(nèi)網(wǎng)用戶實時瀏覽外部視頻信息；A探頭控制：內(nèi)網(wǎng)終端可操控外部的探頭，使探頭上下左右移動，前后調(diào)節(jié)，以觀察不同范圍；視頻調(diào)閱：公安用戶調(diào)閱外部視頻服務(wù)器上的存儲的歷史視頻信息。性能需求分析視頻接入鏈路在性能上必須滿足畢節(jié)市公安局視頻接入業(yè)務(wù)的接入要求，主要體現(xiàn)在鏈路帶寬、同時在線的用戶數(shù)、業(yè)務(wù)數(shù)和網(wǎng)絡(luò)吞吐量等方面。安全需求分析視頻信息接入在外部與公安內(nèi)網(wǎng)進行信息傳輸?shù)耐瑫r，將面臨許多安全問題，如原來利用外網(wǎng)發(fā)動攻擊的黑客也有可能通過偽裝視頻流方式傳輸蠕蟲

23、、木馬等病毒，進而攻擊內(nèi)網(wǎng)；一些用戶試圖通過接入通道訪問非授權(quán)資源；內(nèi)網(wǎng)中某些中病毒的計算機，可能將內(nèi)部人口及治安等重要且敏感信息泄露出去，進而直接影響公安工作的正常開展。為此，視頻接入鏈路通過采用視頻安全接入系統(tǒng)，針對視頻碼流和視頻信令的不同特性，在安全性上采用不同的策略，實現(xiàn)視頻控制信令雙向傳輸，視頻數(shù)據(jù)單向傳輸，為視頻接入提供了一條安全、高效的接入通道，保證了視頻信息安全、可靠地傳輸。管理需求分析根據(jù)公安網(wǎng)視頻安全接入的運行管理要求，提供對視頻接入應(yīng)用和運行情況的監(jiān)測、審計和管理，實現(xiàn)外網(wǎng)視頻資源安全可靠的采集進入公安內(nèi)網(wǎng)。擴展需求分析視頻接入鏈路是個逐步接入的過程，需具備可擴展性。主要

24、需滿足鏈路在性能、功能、業(yè)務(wù)數(shù)、應(yīng)用種類等各方面的擴展和延伸。3總體設(shè)計設(shè)計目標(biāo)針對共享平臺各類業(yè)務(wù)與視頻接入需求，設(shè)計一個技術(shù)先進、安全可靠、切實可行、管理方便的安全技術(shù)方案。建設(shè)貴州省畢節(jié)市公安局共享平臺與視頻接入鏈路，保障公安網(wǎng)的保密性、完整性和可用性，接入業(yè)務(wù)的可管理性、可控性；保障視頻資源的有機聯(lián)網(wǎng)、整合共享、有效管理、靈活調(diào)用；保障邊界接入公安網(wǎng)的安全，以及相關(guān)網(wǎng)絡(luò)和信息資源的安全；同時保障邊界接入工作的高效穩(wěn)定運行，解決和提高公安業(yè)務(wù)工作、信息共享、服務(wù)的能力和水平。設(shè)計思想根據(jù)實際情況，充分認識到安全在邊界接入中的重要性，正確處理發(fā)展與安全的關(guān)系，綜合平衡成本與效益，建立安全、

25、可靠、實用的貴州省畢節(jié)市公安局部門間信息共享平臺和視頻安全接入鏈路。設(shè)計依據(jù)本方案依據(jù)以下文件或規(guī)范設(shè)計：關(guān)于印發(fā)公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的通知（公信通2007191號）；關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知（公信通2007189號）；關(guān)于做好社區(qū)和農(nóng)村警務(wù)室接入公安信息網(wǎng)安全工作的通知（公信通200715號）；關(guān)于進一步加強公安信息通信網(wǎng)日常安全管理工作機制建設(shè)的通知（公信通傳發(fā)2008109號）；關(guān)于公安信息通信網(wǎng)邊界接入平臺建設(shè)有關(guān)問題的通知（公信通傳發(fā)2008296號）；關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見（公科信201219號）；公安信息通信網(wǎng)邊

26、界接入平臺安全規(guī)范（試行）-視頻接入部分。總體架構(gòu)設(shè)計共享平臺與視頻接入鏈路依據(jù)安全規(guī)范，主要基于三重防護體系、兩個基礎(chǔ)設(shè)施的安全體系，構(gòu)建路由接入?yún)^(qū)、邊界保護區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五個不同的安全區(qū)域，構(gòu)成分區(qū)域、分層次的縱深安全防御體系。3.4.1安全體系接入平臺安全體系設(shè)計由三重防護體系設(shè)計、兩個基礎(chǔ)設(shè)施設(shè)計構(gòu)成。應(yīng)用環(huán)境安全應(yīng)用區(qū)域邊界安全鏈路與網(wǎng)絡(luò)通信安全公安PKI/PMI基礎(chǔ)設(shè)施安全監(jiān)測與管理基礎(chǔ)設(shè)施圖3-1接入平臺安全體系圖三重防護體系設(shè)計：即應(yīng)用環(huán)境安全設(shè)計、應(yīng)用區(qū)域邊界安全設(shè)計和網(wǎng)絡(luò)通信安全設(shè)計。應(yīng)用環(huán)境安全設(shè)計：即確保終端和用戶來源可信、可監(jiān)控設(shè)計，操作系統(tǒng)安全加

27、固設(shè)計，關(guān)鍵應(yīng)用程序安全設(shè)計。應(yīng)用區(qū)域邊界安全設(shè)計：主要涉及網(wǎng)絡(luò)及應(yīng)用系統(tǒng)邊界安全方面，通過身份認證、訪問控制技術(shù)，確保對應(yīng)用系統(tǒng)的訪問是通過細粒度控制下的合法訪問者。鏈路與網(wǎng)絡(luò)通信安全設(shè)計：主要涉及鏈路及網(wǎng)絡(luò)安全方面，采用數(shù)據(jù)機密性與完整性保護技術(shù)，建立端到端傳輸?shù)陌踩珯C制。兩個基礎(chǔ)設(shè)施設(shè)計：即公安PKI/PMI基礎(chǔ)設(shè)施，安全監(jiān)測與管理基礎(chǔ)設(shè)施。公安PKI/PMI基礎(chǔ)設(shè)施設(shè)計：實施公安數(shù)字身份證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，是實現(xiàn)接入平臺身份認證、授權(quán)管理、訪問控制策略等安全機制的基礎(chǔ)。安全監(jiān)測與管理基礎(chǔ)設(shè)施設(shè)計：實現(xiàn)整個平臺的安全監(jiān)測、管理與運行維護。3.4.2體系結(jié)構(gòu)3.4.2

28、.1共享平臺體系結(jié)構(gòu)根據(jù)需求分析及公安部相關(guān)規(guī)范的要求，貴州省畢節(jié)市公安局共享平臺在體系結(jié)構(gòu)設(shè)計上由路由接入?yún)^(qū)、邊界保護區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五部分組成，如下圖：接入平臺邊界保護IX燼I接入K圖3-2邊界接入平臺體系結(jié)構(gòu)圖34211路由接入?yún)^(qū)該區(qū)域?qū)崿F(xiàn)各個外部鏈路與接入平臺間連接。該區(qū)域主要安全功能為：實現(xiàn)路由訪問控制，將來自不同接入對象或不同外部鏈路的數(shù)據(jù)流按照接入平臺的安全策略加以區(qū)分。3.4.2.1.2邊界保護區(qū)該區(qū)域主要實現(xiàn)對接入平臺的邊界保護。該區(qū)域主要安全功能為：實現(xiàn)網(wǎng)絡(luò)級身份認證、訪問控制和權(quán)限管理，數(shù)據(jù)機密性和完整性保護，防御網(wǎng)絡(luò)攻擊和嗅探。3.4.2.

29、1.3應(yīng)用服務(wù)區(qū)該區(qū)域主要處理各類與應(yīng)用相關(guān)的操作，是公安網(wǎng)對外信息發(fā)布、信息采集、數(shù)據(jù)交換的中間區(qū)域。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點，實現(xiàn)應(yīng)用級身份認證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對公安網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強對服務(wù)器等設(shè)備的安全保護，應(yīng)具有病毒、木馬防護功能，防止病毒傳播與非法控制。3.4.2.1.4安全隔離區(qū)該區(qū)域?qū)崿F(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全隔離與信息交換。該區(qū)域主要安全功能為：實現(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全網(wǎng)絡(luò)隔離，根據(jù)安全策略，對出入公安網(wǎng)的數(shù)據(jù)分別進行協(xié)議剝離、格式檢查和過濾，實現(xiàn)公安網(wǎng)和應(yīng)用服務(wù)區(qū)之間的安全數(shù)據(jù)交換，保障公安網(wǎng)的安全。

30、3.4.2.1.5安全監(jiān)測與管理區(qū)該區(qū)域?qū)崿F(xiàn)整個接入平臺的安全監(jiān)測、管理與維護。該區(qū)域主要安全功能為：對接入平臺運行情況進行安全監(jiān)測與審計，對接入平臺及業(yè)務(wù)信息進行注冊管理、各種安全策略管理、流量監(jiān)測、統(tǒng)計分析、安全審計等；對接入平臺內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行配置管理及日常運行維護，補丁升級、漏洞掃描與病毒防范。3.4.2.2視頻接入體系結(jié)構(gòu)根據(jù)視頻安全接入的業(yè)務(wù)需求及公安部相關(guān)規(guī)范的要求，視頻安全接入鏈路在體系結(jié)構(gòu)上由路由接入?yún)^(qū)、邊界保護區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五部分組成。如圖所示：邊界接入平臺視頻接入鏈路外部接入鏈路接入對象公安信息通信網(wǎng)視頻數(shù)據(jù)!視頻控制.-信令設(shè)安全

31、隔離區(qū)應(yīng)用服務(wù)區(qū)視頻控制安全離:備邊界保護區(qū)路由接入?yún)^(qū)視頻控制視頻控制信令和數(shù)糊頻接信令和數(shù)據(jù)信令和數(shù)據(jù)入認證服務(wù)器安全監(jiān)測與管理區(qū)視頻控制言令和數(shù)據(jù)專線視頻監(jiān)控系統(tǒng)圖3-3視頻接入鏈路體系結(jié)構(gòu)圖3.4.2.2.1路由接入?yún)^(qū)該區(qū)域?qū)崿F(xiàn)各個外部接入鏈路與視頻安全接入鏈路前端設(shè)備的連接。該區(qū)域主要安全功能為：實現(xiàn)路由訪問控制，將來自不同接入對象或不同外部鏈路的數(shù)據(jù)流按照相關(guān)安全策略加以區(qū)分。3.4.2.2.2邊界保護區(qū)該區(qū)域主要實現(xiàn)對邊界接入平臺視頻安全接入鏈路的邊界保護。該區(qū)域主要安全功能為：實現(xiàn)網(wǎng)絡(luò)級身份認證、訪問控制和權(quán)限管理，數(shù)據(jù)機密性和完整性保護，防御網(wǎng)絡(luò)攻擊和嗅探。3.4.2.2.3應(yīng)

32、用服務(wù)區(qū)該區(qū)域主要處理各類與應(yīng)用相關(guān)的操作，是公安信息通信網(wǎng)對外信息發(fā)布、信息采集、數(shù)據(jù)交換的中間區(qū)域。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點，實現(xiàn)應(yīng)用級身份認證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對公安信息通信網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強對服務(wù)器等設(shè)備的安全保護，應(yīng)具有病毒、木馬防護功能，防止病毒傳播與非法控制。3.4.2.2.4安全隔離區(qū)該區(qū)域?qū)崿F(xiàn)公安信息通信網(wǎng)與應(yīng)用服務(wù)區(qū)的安全隔離與信息交換。該區(qū)域主要安全功能為：實現(xiàn)公安信息通信網(wǎng)與應(yīng)用服務(wù)區(qū)的安全網(wǎng)絡(luò)隔離，根據(jù)安全策略，對出入公安信息通信網(wǎng)的數(shù)據(jù)分別進行協(xié)議剝離、格式檢查和過濾，實現(xiàn)公安信息通信網(wǎng)和應(yīng)用服務(wù)

33、區(qū)之間的安全數(shù)據(jù)交換，保障公安信息通信網(wǎng)的安全。3.4.2.2.5安全監(jiān)測與管理區(qū)該區(qū)域?qū)崿F(xiàn)整個視頻安全接入鏈路的安全監(jiān)測、管理與維護。該區(qū)域主要安全功能為：對視頻接入鏈路的運行情況進行安全監(jiān)測與審計，對接入平臺及業(yè)務(wù)信息進行注冊管理、各種安全策略管理、流量監(jiān)測、統(tǒng)計分析、安全審計等；對視頻接入鏈路內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行配置管理及日常運行維護，補丁升級、漏洞掃描與病毒防范。該區(qū)域?qū)σ曨l安全接入鏈路運行安全監(jiān)測與審計的功能統(tǒng)一由“集中監(jiān)”控管理與審計系統(tǒng)實現(xiàn)。監(jiān)測與管理區(qū)設(shè)計3.5.1探針及監(jiān)管功能設(shè)計貴州省畢節(jié)市公安局共享平臺與視頻接入鏈路的監(jiān)測與管理區(qū)域主要實現(xiàn)對本級平臺整體運行狀況的集中

34、監(jiān)管、安全審計、注冊管理與級聯(lián)監(jiān)控等功能。級聯(lián)監(jiān)控管理設(shè)計按安全規(guī)范要求，需對共享平臺與視頻接入鏈路進行級聯(lián)監(jiān)控。通過部、省、市三級平臺級聯(lián)監(jiān)控體系提供各邊界接入平臺的運行維護情況、日常業(yè)務(wù)流量、安全狀況等動態(tài)信息，為深入分析接入平臺及業(yè)務(wù)運行狀態(tài)與安全趨勢提供依據(jù)。依據(jù)級聯(lián)的統(tǒng)一規(guī)范和接口，在部、省、市三級邊界接入平臺間逐步開展和實現(xiàn)主動雙向式監(jiān)管。上級邊界接入平臺可通過監(jiān)控級聯(lián)接口，主動監(jiān)測下級邊界接入平臺中各關(guān)鍵節(jié)點的各種詳細基礎(chǔ)數(shù)據(jù)。同時，部、省、市三級單位關(guān)于接入平臺業(yè)務(wù)管理流程也通過此監(jiān)控接口來實現(xiàn)雙向的信息交互等。4總體方案結(jié)合項目需求，本項目主要需建設(shè)畢節(jié)市公安局部門間信息共享

35、平臺與視頻安全接入鏈路。其中部門間共享平臺建設(shè)在已經(jīng)建設(shè)的黨政軍機關(guān)接入鏈路上，實現(xiàn)黨政軍機關(guān)各部門與公安網(wǎng)的信息共享；視頻接入鏈路建設(shè)實現(xiàn)外網(wǎng)視頻資源安全可靠地采集進入公安網(wǎng)。具體方案網(wǎng)絡(luò)拓撲圖如下：畢節(jié)市局邊界接入平臺與部門間信息共享平臺總體方案圖路由接入?yún)^(qū)邊界保護區(qū)應(yīng)用接入?yún)^(qū)安全隔離區(qū)公安內(nèi)網(wǎng)VPDN/專線探針公安內(nèi)網(wǎng)0專線IPS防毒墻抗；DDOS；防火墻TBSG-GA數(shù)據(jù)交換業(yè)務(wù)WEB訪問業(yè)務(wù)VPDN/專線視頻安全接入系統(tǒng)0防火墻探針公安駐地外接入終端業(yè)務(wù)前置機外網(wǎng)視頻管理平臺視頻用戶認證服務(wù)器公安內(nèi)網(wǎng)門戶服務(wù)器社會企/事業(yè)接入終端集中監(jiān)控與審計系統(tǒng)-級聯(lián)子系統(tǒng)公安內(nèi)網(wǎng)數(shù)據(jù)庫視頻接入認

36、證服務(wù)器集中監(jiān)控與審計系統(tǒng)監(jiān)管子系統(tǒng)禪證與隔離系備：Ljth：1防火墻TBSG-TH1數(shù)據(jù)交換系統(tǒng)査詢比對業(yè)務(wù)探針防火墻TBSG-GA業(yè)務(wù)前置機數(shù)據(jù)交換系統(tǒng)公安內(nèi)網(wǎng)應(yīng)用服務(wù)器共享平臺應(yīng)用服數(shù)據(jù)采集數(shù)據(jù)集成門戶服務(wù)器務(wù)器.系統(tǒng)系統(tǒng)-共享信息.服務(wù)器服病器平鑒理公安網(wǎng)客戶端.砒內(nèi)網(wǎng)視頻管理平臺圖4-1總體方案圖如圖4-1，從邏輯上，將邊界接入平臺劃分三大區(qū)域：終端接入?yún)^(qū)、邊界平臺區(qū)和公安網(wǎng)。其中邊界平臺區(qū)又劃分為路由接入?yún)^(qū)、邊界保護區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)和安全監(jiān)管區(qū)。社會企/事業(yè)單位終端采用VPDN鏈路，經(jīng)可信邊界安全網(wǎng)關(guān)(TBSG)，將數(shù)據(jù)報送給社會企/事業(yè)接入的前置服務(wù)器，然后經(jīng)數(shù)據(jù)交換系

37、統(tǒng)將信息交換到公安網(wǎng)。需要對外發(fā)布數(shù)據(jù)通過數(shù)據(jù)交換系統(tǒng)交換到平臺區(qū)域，再通過TBSG交換到外網(wǎng)以提供外網(wǎng)服務(wù)。黨/政/軍機關(guān)終端通過專線經(jīng)TBSG、數(shù)據(jù)交換系統(tǒng)等安全設(shè)備與公安網(wǎng)實現(xiàn)授權(quán)訪問和數(shù)據(jù)交換業(yè)務(wù)。公安機關(guān)駐地外終端通過VPDN/專線經(jīng)TBSG與公安網(wǎng)進行通信，實現(xiàn)授權(quán)訪問業(yè)務(wù)。外網(wǎng)視頻數(shù)據(jù)通過專線經(jīng)視頻安全接入系統(tǒng)單向傳輸進入公安網(wǎng)，實現(xiàn)信令雙向傳輸，視頻單向傳輸。共享平臺建設(shè)在黨政軍機關(guān)接入鏈路上，提供查詢比對、數(shù)據(jù)交換和Web訪問三類業(yè)務(wù)應(yīng)用的安全支撐，每類業(yè)務(wù)根據(jù)不同的接入模式和安全需求提供不同安全防護措施。功能設(shè)計共享平臺功能設(shè)計查詢比對類通過查詢比對接入鏈路，向黨政軍用戶提

38、供對共享平臺內(nèi)公安信息資源的安全查詢和比對功能，并及時返回查詢比對結(jié)果，支持單條和批量比對業(yè)務(wù)。查詢比對類接入鏈路系統(tǒng)功能如下：查詢比對的數(shù)據(jù)經(jīng)防火墻、可信邊界安全網(wǎng)關(guān)、交換機等到共享平臺區(qū)域，經(jīng)共享平臺內(nèi)的應(yīng)用服務(wù)處理后，將查詢比對結(jié)果交換、反饋給終端用戶；部署在共享平臺內(nèi)的防病毒服務(wù)器安裝網(wǎng)絡(luò)版防病毒軟件，對共享平臺內(nèi)的服務(wù)器和客戶端提供病毒查殺和防護等；接入鏈路的路由接入?yún)^(qū)、邊界保護區(qū)、應(yīng)用服務(wù)區(qū)及安全隔離區(qū)的運行狀態(tài)、設(shè)備狀態(tài)、鏈路狀態(tài)、關(guān)鍵安全設(shè)備運行信息等通過探針實現(xiàn)抓取，并報送給公安網(wǎng)中的集中監(jiān)控與審計系統(tǒng)。數(shù)據(jù)交換類數(shù)據(jù)交換類主要實現(xiàn)黨政軍用戶需要與共享平臺進行雙向批量安全交換

39、數(shù)據(jù)，數(shù)據(jù)類型支持結(jié)構(gòu)化數(shù)據(jù)庫數(shù)據(jù)和非結(jié)構(gòu)化的以文件型為主的數(shù)據(jù)，以支撐業(yè)務(wù)的開展。由于信息來源的多樣性，決定了采集來的信息的多樣性，即有數(shù)據(jù)庫記錄方式的，又有文件方式的。同時，目的端對數(shù)據(jù)的要求也是多樣的。因此實現(xiàn)數(shù)據(jù)交換的系統(tǒng)即要滿足簡單的數(shù)據(jù)庫和文件同步外，還需支撐較為復(fù)雜的數(shù)據(jù)交換功能。具備以下功能：支持多種數(shù)據(jù)庫交換模式，支持多數(shù)據(jù)庫同步方式選擇。包括全表同步、增量同步、列同步等；文件交換方式包括文件夾新增同步、文件夾鏡像同步、文件完全同步、文件同步后源端刪除、文件同步后源端備份、雙向文件同步等多種模式；數(shù)據(jù)同步過濾功能，數(shù)據(jù)庫雙向交換，源與目標(biāo)的同表雙向同步；支持數(shù)據(jù)分發(fā)，支持源數(shù)

40、據(jù)庫和源文件分發(fā)到不同的目標(biāo)數(shù)據(jù)庫或文件夾，支持文件與文件、文件與數(shù)據(jù)庫、數(shù)據(jù)庫之間的分發(fā)，并可設(shè)置分發(fā)條件；支持同構(gòu)數(shù)據(jù)庫同步交換，異構(gòu)數(shù)據(jù)庫同步交換；A支持一對一、一對多、多對一等多種數(shù)據(jù)傳輸方式：如一份文本文件同時向文件服務(wù)器和數(shù)據(jù)庫服務(wù)器發(fā)送；A實現(xiàn)數(shù)據(jù)交換業(yè)務(wù)的多種調(diào)度策略：支持交換業(yè)務(wù)多級優(yōu)先權(quán)調(diào)度；事件觸發(fā)、時間觸發(fā)、消息觸發(fā)；定時、實時、輪詢等；提供數(shù)據(jù)可靠傳輸機制：發(fā)生網(wǎng)絡(luò)阻塞，鏈路故障等時保障數(shù)據(jù)交換可靠傳輸；數(shù)據(jù)傳輸完整性保證：發(fā)生網(wǎng)絡(luò)阻塞/異常，鏈路故障等時保障交換數(shù)據(jù)的完整性；方便、直觀的管理、審計功能，支持故障報警和業(yè)務(wù)管控功能。Web訪問類該鏈路主要實現(xiàn)經(jīng)批準(zhǔn)的外

41、部用戶安全接入到共享平臺，訪問相關(guān)資源的功能。其功能的實現(xiàn)步驟為：經(jīng)批準(zhǔn)的外部用戶使用其數(shù)字身份證書啟動TBSG客戶端，通過專線鏈路，經(jīng)防火墻訪問TBSG服務(wù)器；TBSG設(shè)備經(jīng)接入終端設(shè)備認證、身份證書認證、CRL列表驗證成功后與TBSG服務(wù)器建立鏈路通道；鏈路建立后，TBSG對用戶訪問權(quán)限進行驗證，為用戶分配共享平臺資源訪問權(quán)限；經(jīng)批準(zhǔn)的外部用戶就可以在授權(quán)訪問內(nèi)進行資源的訪問，如同在共享平臺訪問業(yè)務(wù)一樣的使用資源。視頻接入功能設(shè)計視頻安全接入鏈路拓撲如下：路由接入?yún)^(qū)外網(wǎng)視頻管理平臺邊界保護區(qū)應(yīng)用接入?yún)^(qū)安全隔離區(qū)公安內(nèi)網(wǎng)公安網(wǎng)客戶端防火墻-0探針視頻接入認證服務(wù)器視頻用戶認證服務(wù)器內(nèi)網(wǎng)視頻管

42、理平臺集中監(jiān)控與審計系心監(jiān)管子系統(tǒng)1i集中監(jiān)控與審計系統(tǒng).-級聯(lián)子系統(tǒng)：圖5-1視頻接入鏈路網(wǎng)絡(luò)拓撲圖視頻接入鏈路實現(xiàn)將外網(wǎng)視頻資源單向傳輸進入公安網(wǎng)，在公安內(nèi)網(wǎng)訪問相關(guān)視頻資源的功能。其功能實現(xiàn)步驟如下:管理員將需要接入的視頻服務(wù)器設(shè)備注冊到接入平臺;管理員將需要訪問視頻資源的用戶注冊到接入平臺；公安干警使用其公安數(shù)字身份證書，視頻用戶認證服務(wù)器對用戶身份證書認證、CRL列表驗證成功后，在客戶端和視頻用戶認證服務(wù)器服務(wù)器之間建立通道；啟動視頻監(jiān)控客戶端，訪問視頻中心管理服務(wù)器；公安干警就可以訪問經(jīng)過視頻接入平臺授權(quán)的外部視頻資源，訪問方式就如同在公安網(wǎng)訪問視頻資源業(yè)務(wù)一樣的使用其他視頻資源。

43、安全設(shè)計共享平臺安全設(shè)計查詢比對類查詢比對類接入鏈路的安全隔離區(qū)采用專用安全數(shù)據(jù)交換系統(tǒng)實現(xiàn)數(shù)據(jù)安全交換功能。該系統(tǒng)采用安全加固操作系統(tǒng)保障本身系統(tǒng)的安全性，同時，安全數(shù)據(jù)交換系統(tǒng)外側(cè)的數(shù)據(jù)交換服務(wù)器進行安全加固進一步加強其系統(tǒng)及應(yīng)用環(huán)境安全；安全數(shù)據(jù)交換系統(tǒng)實現(xiàn)數(shù)據(jù)安全同步、格式過濾、內(nèi)容過濾和審計、流量管理及鏈路區(qū)分等功能。該鏈路的防火墻除了進行網(wǎng)絡(luò)級防護外，對外部接入終端進行備案登記，終端MAC地址與IP綁定，并對終端的運行狀況進行檢測，以避免不安全的設(shè)備接入。該鏈路上入侵防御系統(tǒng)（IPS）對外部終端可能存在的入侵行為進行檢測、攔截，主動抵制入侵行為，同時通過安全數(shù)據(jù)交換系統(tǒng)的隔離交換功

44、能（經(jīng)網(wǎng)閘進行擺渡式交互），確保公安信息通信網(wǎng)在該鏈路上不存在非法入侵點，并實現(xiàn)公安信息通信網(wǎng)與其他非信任網(wǎng)絡(luò)的安全隔離。接入終端安全：接入終端用戶采用專線或VPDN方式接入到平臺邊界點，在物理上與其他網(wǎng)絡(luò)進行隔離，在物理通道上保障信息傳輸?shù)母綦x性和安全性。并通過防火墻實現(xiàn)終端備案登記、MAC與IP綁定，并對接入終端安全狀況進行檢查，使不達標(biāo)的設(shè)備無法接入。網(wǎng)絡(luò)安全：在該鏈路上部署抗DDOS、防火墻、IPS等安全設(shè)備，對病毒木馬、黑客入侵、DDOS攻擊、異常流量等安全威脅進行監(jiān)測和防護，實現(xiàn)對應(yīng)用服務(wù)的網(wǎng)絡(luò)層訪問控制。采用安全隔離設(shè)備（安全數(shù)據(jù)交換系統(tǒng)間部署的隔離設(shè)備），實現(xiàn)接入平臺與公安信息

45、通信網(wǎng)之間的安全隔離。應(yīng)用安全：專用安全設(shè)備安全數(shù)據(jù)交換系統(tǒng)通過配置接入IP、賬號/用戶名、密碼等，實現(xiàn)應(yīng)用級訪問的控制，與鏈路其他安全設(shè)備一同形成立體的系統(tǒng)防護體系，防止非授權(quán)訪問。數(shù)據(jù)安全：通過加密傳輸（需要共享平臺應(yīng)用系統(tǒng)支持）、病毒防護、數(shù)據(jù)格式檢查、內(nèi)容過濾等方式保障該鏈路數(shù)據(jù)傳輸過程中的安全性。共享平臺與公安信息通網(wǎng)間的數(shù)據(jù)傳輸通過安全數(shù)據(jù)交換系統(tǒng)實現(xiàn)，保障數(shù)據(jù)安全，并通過平臺的監(jiān)測和審計系統(tǒng)，防止平臺重要數(shù)據(jù)被泄露。數(shù)據(jù)交換類數(shù)據(jù)交換類接入鏈路采用和查詢比對類接入鏈路基本相同的安全防范措施。Web訪問類Web訪問類的接入用戶通過硬件身份證書，在終端啟動可信邊界安全網(wǎng)關(guān)（TBSG）

46、客戶端與TBSG服務(wù)端建立基于SSL/TLS的加密傳輸信道，保障信息在終端與邊界間傳輸?shù)陌踩?；?jīng)過TBSG服務(wù)端的數(shù)據(jù)經(jīng)防毒墻訪問共享平臺內(nèi)的應(yīng)用系統(tǒng)，防毒墻實時在線查殺病毒，保障數(shù)據(jù)傳輸安全和共享平臺安全?？尚胚吔绨踩W(wǎng)關(guān)采用單向主動服務(wù)方式，確保符合安全要求的外網(wǎng)訪問終端可訪問共享平臺已授權(quán)服務(wù)，而共享平臺不可訪問外部應(yīng)用，實現(xiàn)應(yīng)用層面的共享平臺與其他非信任網(wǎng)絡(luò)的安全隔離，確保共享平臺內(nèi)部重要信息系統(tǒng)不會出現(xiàn)數(shù)據(jù)泄露，防止該鏈路邊界接入點的非法入侵行為。接入終端安全：接入終端用戶采用專線方式接入到平臺邊界點，在物理上與其他網(wǎng)絡(luò)進行隔離，在物理通道上保障信息傳輸?shù)母綦x性和安全性。并通過防火

47、墻實現(xiàn)終端備案登記、MAC與IP綁定，并對接入終端安全狀況進行檢查，使不達標(biāo)的設(shè)備無法接入。同時TBSG客戶端與TBSG服務(wù)器配合可實現(xiàn)終端設(shè)備認證、進程控制、多網(wǎng)阻斷等安全功能，保障終端環(huán)境安全。網(wǎng)絡(luò)安全：在該鏈路上部署防火墻、可信邊界安全網(wǎng)關(guān)、防毒墻、IPS等安全設(shè)備，對病毒木馬、黑客入侵、異常流量等安全威脅進行監(jiān)測和防護，實現(xiàn)對應(yīng)用服務(wù)的網(wǎng)絡(luò)層訪問控制。接入終端與邊界間數(shù)據(jù)傳輸采用基于SSL/TLS協(xié)議傳輸，對鏈路進行加密。應(yīng)用安全：可信邊界安全網(wǎng)關(guān)提供基于證書的應(yīng)用級授權(quán)訪問控制，防止非法訪問?？梢罁?jù)用戶類別和應(yīng)用（資源）進行基于角色權(quán)限資源的嚴格控制。視頻接入安全設(shè)計6.2.1數(shù)據(jù)接

48、收在保障視頻數(shù)據(jù)接收應(yīng)用正常運行的前提下，數(shù)據(jù)接收需實現(xiàn)以下安全功能，以實現(xiàn)接入設(shè)備可靠、信息來源可信：主動訪問：由視頻接入認證服務(wù)器主動訪問視頻源，關(guān)閉視頻接入認證服務(wù)器對外所有的服務(wù)端口，屏蔽外網(wǎng)網(wǎng)絡(luò)層面的各類攻擊。設(shè)備認證：所有的接入設(shè)備需進行設(shè)備注冊，確認接入設(shè)備的合法性，屏蔽對未注冊的、非法設(shè)備數(shù)據(jù)的接收。6.2.2數(shù)據(jù)檢查數(shù)據(jù)安全檢查在功能上實現(xiàn)對接入的視頻數(shù)據(jù)進行嚴格的安全檢查，因此需實現(xiàn)以下功能：數(shù)據(jù)源檢查：保證數(shù)據(jù)源的合法性，防止非法數(shù)據(jù)進來；格式檢查：以保障視頻數(shù)據(jù)格式的正確，去除無用的“臟數(shù)據(jù)”協(xié)議檢查：保證視頻應(yīng)用協(xié)議的合法性；木馬/病毒防護：保障視頻數(shù)據(jù)中不含非法的木

49、馬/病毒，保障平臺與內(nèi)網(wǎng)安全。6.2.3數(shù)據(jù)傳輸數(shù)據(jù)傳輸除了在功能上實現(xiàn)視頻信息傳輸外，在安全上需實現(xiàn)以下功能：數(shù)據(jù)的格式檢查，以保障視頻數(shù)據(jù)格式的正確；木馬/病毒防護，保障視頻數(shù)據(jù)中不含非法的木馬/病毒，保障平臺與內(nèi)網(wǎng)安全。6.2.4數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)源檢查，保證數(shù)據(jù)源的合法性，防止非法數(shù)據(jù)進來；格式檢查，以保障視頻數(shù)據(jù)格式的正確，去除無用的“臟數(shù)據(jù)”協(xié)議檢查，保證應(yīng)用協(xié)議數(shù)據(jù)包的合法性；敏感信息檢查，防止內(nèi)外敏感數(shù)據(jù)外泄。授權(quán)訪問為了保障公安網(wǎng)內(nèi)資源的安全，確保接入設(shè)備的合法性，保證視頻數(shù)據(jù)到公安網(wǎng)信息傳輸?shù)陌踩?，授?quán)訪問類應(yīng)用在安全上需要實現(xiàn)以下功能。設(shè)備認證：所有授權(quán)訪問類的接入設(shè)備必需進行

50、設(shè)備注冊，只有通過注冊通過后的合法設(shè)備才能與視頻接入平臺建立鏈接，保證接入設(shè)備的合法性；證書認證：所有授權(quán)訪問的訪問用戶和設(shè)備需持合法身份才能與視頻用戶認證服務(wù)器建立鏈接，通過采用數(shù)字身份證書確定訪問用戶的身份，保證用戶身份的合法性和可追溯性；資源的訪問控制：通過用戶（數(shù)字證書）、角色，控制用戶的授權(quán)訪問，只有合法設(shè)備/用戶才能訪問其有權(quán)訪問的資源，限制用戶的使用權(quán)限；告警管理，及時通知各種告警，讓用戶了解系統(tǒng)狀況；用戶行為審計：對所有授權(quán)訪問類用戶/設(shè)備的行為進行審計，保障用戶已發(fā)生行為的可追溯性。管理設(shè)計集中監(jiān)控與審計系統(tǒng)分為安全監(jiān)控系統(tǒng)和級聯(lián)上報系統(tǒng)。通過安全監(jiān)控系統(tǒng)集中體現(xiàn)接入平臺整體

51、運行情況，展示所有設(shè)備的運行狀態(tài)，警并對故障點和性能瓶頸點進行報，并通過短信/郵件等方式通知相關(guān)管理員。通過級聯(lián)上報系統(tǒng)實現(xiàn)部/省/市三級監(jiān)管體系。監(jiān)管功能接入平臺安全監(jiān)控能實現(xiàn)對整個接入平臺進行安全監(jiān)控、管理與維護，統(tǒng)計與分析。其實現(xiàn)的監(jiān)控功能如下：注冊管理服務(wù)：實現(xiàn)平臺和公安業(yè)務(wù)信息的標(biāo)準(zhǔn)注冊流程；監(jiān)控管理服務(wù)：對接入平臺運行狀況進行實時監(jiān)控；審計管理服務(wù)：對平臺運行信息進行安全審計和異常行為的責(zé)任認定；1、注冊服務(wù)，提供以下功能：平臺信息注冊：登記接入平臺的地域信息、建設(shè)信息、運維信息、審批信息、接入平臺鏈路信息和設(shè)備信息；業(yè)務(wù)信息注冊：登記業(yè)務(wù)的主管部門信息、審批信息、應(yīng)用系統(tǒng)信息、業(yè)

52、務(wù)擴展信息；使用單位信息注冊：登記使用單位的名稱、物理位置、負責(zé)人等信息；設(shè)備信息注冊：登記平臺內(nèi)關(guān)鍵設(shè)備終端和使用單位終端的網(wǎng)絡(luò)信息、屬性信息、安全信息；接口信息注冊：登記業(yè)務(wù)數(shù)據(jù)格式接口信息。數(shù)據(jù)格式接口信息用于描述業(yè)務(wù)應(yīng)用系統(tǒng)需要交互的數(shù)據(jù)格式。2、監(jiān)控服務(wù)，提供以下功能：平臺監(jiān)控：監(jiān)控平臺當(dāng)前運行總體情況；流量監(jiān)測：能夠監(jiān)測整個接入平臺以及平臺內(nèi)部各個鏈路和業(yè)務(wù)的流量信息；異常報警：能夠按照接入平臺安全策略監(jiān)控接入平臺內(nèi)部的異常信息并報警；在線用戶：能夠列舉接入平臺在線用戶的個人信息和使用信息；統(tǒng)計分析：提供對各類信息的統(tǒng)計分析功能；安全處置：能實現(xiàn)TBSG與集中監(jiān)控與審計系統(tǒng)等設(shè)備聯(lián)

53、動,對異常用戶的處置。3、審計服務(wù),提供以下功能：平臺審計：審計平臺總體歷史運行情況；用戶行為審計：對用戶訪問時間、行為和個人信息進行審計業(yè)務(wù)應(yīng)用審計：對業(yè)務(wù)應(yīng)用交換的數(shù)據(jù)格式進行審計；設(shè)備安全審計：對用接入平臺內(nèi)部的關(guān)鍵設(shè)備運行狀態(tài)進行審計；異常行為審計：對接入平臺內(nèi)部異常行為的網(wǎng)絡(luò)信息進行審計,并聯(lián)系用戶行為信息幫助實現(xiàn)責(zé)任認定。7.2級聯(lián)功能通過級聯(lián)服務(wù)實現(xiàn)對本級平臺向部平臺報送信息，支持部/省/市三級監(jiān)管體系。功能描述如下：平臺建設(shè)信息上報：將接入平臺建設(shè)信息上報給上級平臺，主要包括地域信息、運維信息、審批信息、平臺鏈路信息和設(shè)備信息；平臺運行信息上報：將本平臺的運行信息上報給上級平臺

54、，主要包括接入平臺運行狀態(tài)、業(yè)務(wù)信息、使用單位信息以及接入平臺業(yè)務(wù)流量、訪問量、交換記錄數(shù)目信息；上報任務(wù)管理：實現(xiàn)高可靠的自動化的數(shù)據(jù)上報任務(wù)，并能定期或即時的執(zhí)行數(shù)據(jù)上傳任務(wù)。提供靈活簡便的上報任務(wù)管理；為上級平臺提供即時瀏覽、綜合查詢及統(tǒng)計分析功能；本級監(jiān)管系統(tǒng)負責(zé)對本地鏈路進行監(jiān)控，監(jiān)控信息通過級聯(lián)系統(tǒng)上報到公安部監(jiān)管系統(tǒng)。架構(gòu)如下圖：部級平臺畢節(jié)市局平臺（共享平臺與視頻接入鏈路）1I級聯(lián)上報III設(shè)備介紹對于共享平臺與視頻接入鏈路來說，其關(guān)鍵性產(chǎn)品包括邊界接入安全網(wǎng)關(guān)產(chǎn)品、數(shù)據(jù)交換產(chǎn)品、視頻接入產(chǎn)品和監(jiān)管產(chǎn)品等。分別對應(yīng)用于可信邊界安全網(wǎng)關(guān)、網(wǎng)絡(luò)數(shù)據(jù)交換系統(tǒng)、視頻安全接入系統(tǒng)和集中監(jiān)

55、控與審計系統(tǒng)（安全監(jiān)管系統(tǒng)和級聯(lián)上報系統(tǒng)）?？尚胚吔绨踩W(wǎng)關(guān)TBSG部署在邊界保護區(qū)，對接入的終端進行基于硬件特征的設(shè)備認證以及基于數(shù)字證書的高強度用戶身份認證，保證接入終端和用戶的合法性有效性，同時為內(nèi)部網(wǎng)絡(luò)應(yīng)用提供高強度數(shù)據(jù)鏈路加密服務(wù)及數(shù)字簽名及驗證服務(wù)，可以有效保護網(wǎng)絡(luò)資源的安全訪問。對于可信邊界接入安全網(wǎng)關(guān)，從以下幾個方面對產(chǎn)品進行設(shè)計：在安全上采用終端設(shè)備認證、用戶身份認證、數(shù)據(jù)加密傳輸和授權(quán)訪問等技術(shù)保障其安全；在功能設(shè)計上支持B/S應(yīng)用和C/S應(yīng)用，且與具體應(yīng)用無關(guān)來支持邊界接入業(yè)務(wù)中各類應(yīng)用；在性能上選用髙穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分髙、中、低三個檔次，以滿足用戶根據(jù)不同應(yīng)

56、用負荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴格選型、測試和長期使用外，在功能設(shè)計上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機熱備等來保障設(shè)備的穩(wěn)定性。網(wǎng)絡(luò)數(shù)據(jù)交換網(wǎng)絡(luò)數(shù)據(jù)交換系統(tǒng)實現(xiàn)內(nèi)外網(wǎng)之間各系統(tǒng)、數(shù)據(jù)源以及文件的傳輸和交換；實現(xiàn)同屬于內(nèi)網(wǎng)的各系統(tǒng)、數(shù)據(jù)源以及文件的傳輸和交換；實現(xiàn)同構(gòu)數(shù)據(jù)源、文件的雙向同步傳輸；可實現(xiàn)異構(gòu)數(shù)據(jù)源、文件之間的的雙向交換和各種內(nèi)容、格式的轉(zhuǎn)換；實現(xiàn)文件和數(shù)據(jù)庫之間的雙向交換和各種內(nèi)容、格式的轉(zhuǎn)換；實現(xiàn)各種基于內(nèi)容和格式的條件過濾。對于數(shù)據(jù)交換產(chǎn)品，從以下幾個方面對產(chǎn)品進行設(shè)計：A在安全上通過采用協(xié)議剝離、格式檢查、內(nèi)容過濾等技術(shù)保障交換數(shù)據(jù)的合法性；在功能

57、設(shè)計上支持同構(gòu)/異構(gòu)數(shù)據(jù)庫之間、相同/不同類型文件之間及數(shù)據(jù)庫和文件之間的數(shù)據(jù)交換來支持數(shù)據(jù)交換中的復(fù)雜應(yīng)用；通過設(shè)計不同適配器模塊以支撐數(shù)據(jù)交換中源端和目的端對各種不同的數(shù)據(jù)類型，做到應(yīng)用無關(guān)性與零代碼開發(fā)；在性能上選用髙穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分髙、中、低三個檔次，以滿足用戶根據(jù)不同應(yīng)用負荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴格選型、測試和長期使用外，在功能設(shè)計上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機熱備等來保障設(shè)備的穩(wěn)定性。視頻安全接入系統(tǒng)視頻安全接入系統(tǒng)架構(gòu)上主要包括視頻接入認證服務(wù)器，視頻隔離網(wǎng)閘和視頻用戶認證服務(wù)器三部分組成。對于視頻接入認證服務(wù)器，從以下幾個方面對

58、產(chǎn)品進行設(shè)計：在安全上采用主動訪問可信設(shè)備、設(shè)備認證、數(shù)據(jù)安全檢查等技術(shù)保障其安全；在性能上選用髙穩(wěn)定的硬件產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴格選型、測試和長期使用外，在功能設(shè)計上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機熱備等來保障設(shè)備的穩(wěn)定性。對于視頻隔離網(wǎng)閘，從以下幾個方面對產(chǎn)品進行設(shè)計：A在安全上通過采用協(xié)議剝離、格式檢查、內(nèi)容過濾等技術(shù)保障視頻數(shù)據(jù)的合法性；在功能設(shè)計上支持視頻數(shù)據(jù)各種復(fù)雜應(yīng)用；在性能上選用髙穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分髙、中兩個檔次，以滿足用戶根據(jù)不同應(yīng)用負荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴格選型、測試和長期使用外，在功能設(shè)計上通過采用穩(wěn)定成熟的技術(shù)

59、和架構(gòu)及支持雙機熱備等來保障設(shè)備的穩(wěn)定性。對于視頻用戶認證服務(wù)器，從以下幾個方面對產(chǎn)品進行設(shè)計：在安全上采用用戶認證、權(quán)限管理、證書認證、數(shù)據(jù)安全檢查，敏感信息掃描等技術(shù)保障其安全；在功能設(shè)計上支持B/S應(yīng)用和C/S應(yīng)用，且與具體應(yīng)用無關(guān)來支持視頻接入業(yè)務(wù)中各類應(yīng)用；在性能上選用髙穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分髙、中兩個檔次，以滿足用戶根據(jù)不同應(yīng)用負荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴格選型、測試和長期使用外，在功能設(shè)計上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機熱備等來保障設(shè)備的穩(wěn)定性。8.4集中監(jiān)控與審計系統(tǒng)集中監(jiān)控與審計系統(tǒng)分為安全監(jiān)控系統(tǒng)和級聯(lián)上報系統(tǒng)。通過安全監(jiān)控系統(tǒng)集中體

60、現(xiàn)接入平臺整體運行情況，展示所有設(shè)備的運行狀態(tài)，并對故障點和性能瓶頸點進行報警，并通過短信/郵件等方式通知相關(guān)管理員。安全監(jiān)控系統(tǒng)主要實現(xiàn)對平臺業(yè)務(wù)的注冊、監(jiān)控和審計等功能；級聯(lián)上報主要實現(xiàn)向上級平臺報送本級平臺的運維情況，以支撐部/省/市安全架構(gòu)體系。9共享平臺功能9.1共享平臺架構(gòu)依據(jù)系統(tǒng)架構(gòu)，部門間信息共享與服務(wù)平臺主要由數(shù)據(jù)采集、數(shù)據(jù)集成、內(nèi)外網(wǎng)共享數(shù)據(jù)庫、內(nèi)外網(wǎng)共享平臺門戶、內(nèi)外網(wǎng)應(yīng)用服務(wù)以及平臺管理監(jiān)控等系統(tǒng)組成，如下圖所示：外部門藪據(jù)妥換前査機外部門用戶線端外部門應(yīng)用服哥拱口外網(wǎng)應(yīng)用服接口邊界按入平臺血用服務(wù)底肪光堵=IDS.可潔屈關(guān)等安全數(shù)據(jù)交挾網(wǎng)閘支全數(shù)據(jù)交換內(nèi)嗣貝它藪據(jù)庫內(nèi)