平安城市高清視頻監(jiān)控系統(tǒng)和卡口系統(tǒng)邊界接入平臺(tái)建設(shè)方案

平安城市高清視頻監(jiān)控系統(tǒng)和卡口系統(tǒng)邊界接入平臺(tái)建設(shè)方案1.1邊界平臺(tái)設(shè)計(jì)依據(jù)本方案依據(jù)以下文件或規(guī)范設(shè)計(jì)：《公安信息通信網(wǎng)邊界接入平臺(tái)安全規(guī)范（試行）》（公信通[2007]191號(hào)，2007年10月）《公安信息通信網(wǎng)邊界接入平臺(tái)安全規(guī)范（試行）——視頻接入部分，2011年1月》《城市報(bào)警與監(jiān)控系統(tǒng)建設(shè)、管理、應(yīng)用規(guī)范性文件匯編》（公安部科技信息化局,2009年）《公安信息通信網(wǎng)聯(lián)網(wǎng)設(shè)備及應(yīng)用系統(tǒng)注冊(cè)管理辦法》（公信通[2007]139號(hào)，2007年5月）1.2業(yè)務(wù)需求結(jié)合東莞公安業(yè)務(wù)特點(diǎn)，業(yè)務(wù)主要分為卡口系統(tǒng)接入；視頻監(jiān)控系統(tǒng)接入兩部分。力求在有效防止黑客攻擊、病毒木馬入侵等高技術(shù)信息手段攻擊的前提下，將視頻和卡口數(shù)據(jù)（圖片、視頻片段、數(shù)據(jù)庫(kù)）安全接入，為公安業(yè)務(wù)部門(mén)的調(diào)閱及比對(duì)預(yù)警等應(yīng)用提供數(shù)據(jù)基礎(chǔ)?？谙到y(tǒng)接入此類(lèi)接入對(duì)象的特點(diǎn)如下：圖像數(shù)據(jù)支持文件及數(shù)據(jù)庫(kù)兩種存儲(chǔ)方式；需要將相關(guān)抓拍數(shù)據(jù)（照片、視頻片段）采用數(shù)據(jù)交換方式與公安信息通信網(wǎng)進(jìn)行信息交換；機(jī)動(dòng)車(chē)通行圖片信息可匯總存儲(chǔ)至公安網(wǎng)內(nèi)的工作數(shù)據(jù)庫(kù)，也可直接存儲(chǔ)在卡口系統(tǒng)運(yùn)行的非公安專(zhuān)網(wǎng)上；公安內(nèi)網(wǎng)會(huì)將卡口布控和攔截信息下發(fā)給各個(gè)卡口，數(shù)據(jù)交換是雙向的。前端卡口探點(diǎn)采用專(zhuān)線方式統(tǒng)一匯聚；采集終端多；數(shù)據(jù)并發(fā)量大。視頻監(jiān)控系統(tǒng)接入這些視頻資源有如下特點(diǎn)：采用客戶(hù)端方式訪問(wèn)、調(diào)閱相關(guān)視頻資源；公安內(nèi)網(wǎng)訪問(wèn)終端眾多；業(yè)務(wù)擴(kuò)展應(yīng)用多；視頻流數(shù)據(jù)量大。1.3安全需求1.3.1終端安全需求由于外網(wǎng)接入用戶(hù)數(shù)量較多，而且外網(wǎng)環(huán)境不安全，人員復(fù)雜，所以終端安全的風(fēng)險(xiǎn)較大；外網(wǎng)的接入終端（或服務(wù)器）存在非法使用、非授權(quán)訪問(wèn)，甚至存在偽造終端接入，并有可能發(fā)展為木馬、病毒的傳播來(lái)源。終端安全需要做到如下幾點(diǎn)：接入終端在聯(lián)接安全接入平臺(tái)同時(shí)不得聯(lián)接聯(lián)接互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)，建議采用專(zhuān)用終端并進(jìn)行安全加固；對(duì)接入平臺(tái)的終端設(shè)備進(jìn)行注冊(cè)，只有注冊(cè)過(guò)的終端設(shè)備才可以與平臺(tái)進(jìn)行通信。確定接入終端的合法性。1.3.2鏈路安全需求安全接入平臺(tái)的外部接入鏈路采用專(zhuān)線，是指采用公安自建的或公共通信網(wǎng)運(yùn)營(yíng)商提供的專(zhuān)用通信線路、帶寬接入，其端點(diǎn)物理位置固定，電路專(zhuān)用，例如專(zhuān)用光纜、公安專(zhuān)用ADSL虛電路等。1.3.3身份認(rèn)證需求對(duì)于各類(lèi)接入用戶(hù)，如果沒(méi)有實(shí)現(xiàn)身份認(rèn)證，則權(quán)限管理和訪問(wèn)控制就沒(méi)有了基礎(chǔ)，也無(wú)法保證接入用戶(hù)的合法性。平臺(tái)的身份認(rèn)證需要做到如下幾點(diǎn)：對(duì)各類(lèi)電子警察系統(tǒng)服務(wù)器（或工控機(jī)）采用硬件設(shè)備證書(shū)或SNMPV3等多種方式進(jìn)行身份認(rèn)證；對(duì)視頻服務(wù)器或硬盤(pán)錄像機(jī)等外部視頻接入對(duì)象通過(guò)IP/MAC地址綁定、SNMPV3等多種方式進(jìn)行認(rèn)證；對(duì)公安內(nèi)網(wǎng)調(diào)用視頻資源的終端基于警用數(shù)字證書(shū)進(jìn)行認(rèn)證，認(rèn)證協(xié)議采用基于SSL的雙向認(rèn)證協(xié)議。1.3.4訪問(wèn)控制需求即便是接入終端通過(guò)了身份認(rèn)證，也不是公安信息通信網(wǎng)內(nèi)的所有信息資源都能被它訪問(wèn)，還是需要根據(jù)接入終端具體權(quán)限進(jìn)行訪問(wèn)控制，否則很容易造成越權(quán)訪問(wèn)、信息泄密。平臺(tái)的訪問(wèn)控制需要做到如下幾點(diǎn)：未通過(guò)身份認(rèn)證的外部終端不能進(jìn)入平臺(tái)訪問(wèn)。外部終端的網(wǎng)絡(luò)連接終止于接入平臺(tái)內(nèi)，無(wú)法直接訪問(wèn)公安信息通信網(wǎng)或與公安信息通信網(wǎng)交換信息。通過(guò)身份認(rèn)證的外部終端只能訪問(wèn)平臺(tái)內(nèi)的指定設(shè)備，并且只能進(jìn)行允許的操作，非授權(quán)的訪問(wèn)應(yīng)被阻斷。1.3.5設(shè)備安全需求安全接入平臺(tái)內(nèi)所有的安全設(shè)備都應(yīng)滿足國(guó)家或公安行業(yè)相關(guān)的技術(shù)標(biāo)準(zhǔn)和要求，具備國(guó)家相應(yīng)權(quán)威部門(mén)出具的產(chǎn)品證書(shū)和安全檢測(cè)報(bào)告，并在檢測(cè)報(bào)告允許的范圍內(nèi)使用，關(guān)鍵安全設(shè)備必須接受監(jiān)管系統(tǒng)的監(jiān)管和審計(jì)。1.3.6應(yīng)用安全需求針對(duì)接入業(yè)務(wù)，應(yīng)用安全需求分為對(duì)數(shù)據(jù)交換方式的安全需求和視頻接入應(yīng)用安全需求兩類(lèi)。數(shù)據(jù)交換應(yīng)用安全要求在與公安信息通信網(wǎng)進(jìn)行數(shù)據(jù)交換之前，安全接入平臺(tái)必須對(duì)接入業(yè)務(wù)的數(shù)據(jù)流量先實(shí)現(xiàn)通信協(xié)議的剝離，并按照業(yè)務(wù)預(yù)先注冊(cè)的數(shù)據(jù)格式要求，對(duì)數(shù)據(jù)的類(lèi)型、格式進(jìn)行嚴(yán)格檢查，對(duì)數(shù)據(jù)內(nèi)容進(jìn)行過(guò)濾，限制所有不符合要求的數(shù)據(jù)傳入接入平臺(tái)。公安信息通信網(wǎng)內(nèi)及安全接入平臺(tái)內(nèi)接入業(yè)務(wù)應(yīng)用信息系統(tǒng)應(yīng)完善自身的安全性和健壯性，盡量確保通過(guò)安全接入平臺(tái)的業(yè)務(wù)信息數(shù)據(jù)的機(jī)密性、完整性。視頻接入應(yīng)用安全需求視頻數(shù)據(jù)與視頻控制信令分別處理和傳輸視頻數(shù)據(jù)與視頻控制信令必須按照不同的安全策略嚴(yán)格區(qū)分，分別進(jìn)行處理和傳輸，其中視頻數(shù)據(jù)采用單向傳輸。視頻數(shù)據(jù)傳輸方向視頻接入鏈路必須嚴(yán)格控制視頻數(shù)據(jù)的傳輸方向，禁止公安信息網(wǎng)內(nèi)數(shù)據(jù)資源通過(guò)視頻接入鏈路向外傳出，嚴(yán)防敏感數(shù)據(jù)外泄。視頻控制信令格式檢測(cè)在與公安信息通信網(wǎng)進(jìn)行視頻單向傳輸之前，要按照預(yù)先注冊(cè)的視頻控制信令的類(lèi)型、格式和內(nèi)容，對(duì)控制信令進(jìn)行“白名單”方式的格式檢查和內(nèi)容過(guò)濾，只允許符合格式要求的控制信令數(shù)據(jù)通過(guò)，對(duì)不符合格式的數(shù)據(jù)進(jìn)行阻斷和報(bào)警。視頻傳輸協(xié)議格式檢測(cè)視頻傳輸協(xié)議格式檢測(cè)按照預(yù)先注冊(cè)的視頻數(shù)據(jù)格式，對(duì)所傳輸?shù)囊曨l數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和過(guò)濾，對(duì)不符合格式的視頻協(xié)議進(jìn)行阻斷和報(bào)警。視頻數(shù)據(jù)病毒木馬檢測(cè)采取必要的安全技術(shù)防范措施，防止視頻數(shù)據(jù)夾雜惡意代碼，形成對(duì)公安信息通信網(wǎng)的攻擊。1.4總拓?fù)鋱D1.5卡口邊界接入1.5.1業(yè)務(wù)流程說(shuō)明卡口系統(tǒng)主要是將相關(guān)車(chē)輛的車(chē)牌、進(jìn)出道路時(shí)間；以及車(chē)輛圖像抓拍下來(lái)，為后期公安車(chē)輛稽查比對(duì)提供現(xiàn)場(chǎng)證據(jù)使用。通過(guò)建設(shè)卡口系統(tǒng)接入鏈路，將前端卡口系統(tǒng)的相關(guān)圖片數(shù)據(jù)安全、可靠的傳輸?shù)焦矁?nèi)網(wǎng)統(tǒng)一管理使用。業(yè)務(wù)流程如下：數(shù)據(jù)交換：卡口系統(tǒng)端將采集到的車(chē)輛相關(guān)車(chē)輛及圖像信息存儲(chǔ)在通行信息服務(wù)器上，然后通過(guò)專(zhuān)線方式傳輸至應(yīng)用服務(wù)區(qū)的圖片及數(shù)據(jù)庫(kù)前置機(jī)群匯總；接收前置機(jī)將接收的數(shù)據(jù)統(tǒng)一暫存后，通過(guò)安全數(shù)據(jù)交換系統(tǒng)將匯總的數(shù)據(jù)擺渡至公安內(nèi)網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器中，實(shí)現(xiàn)數(shù)據(jù)的安全交換；安全數(shù)據(jù)交換系統(tǒng)將公安內(nèi)網(wǎng)布控或報(bào)警信息（文本或數(shù)據(jù)庫(kù)記錄）實(shí)時(shí)交換到公安外網(wǎng)前置機(jī)上，通過(guò)前置機(jī)下發(fā)到各個(gè)卡口。接下來(lái)，將針對(duì)業(yè)務(wù)流程，詳細(xì)介紹相關(guān)區(qū)域模塊功能。1.5.2卡口邊界接入性能穩(wěn)定性運(yùn)行時(shí)間(MTBF)>50,000小時(shí)交換能力300Mbps并發(fā)會(huì)話6,000個(gè)數(shù)據(jù)文件處理吞吐量≥300Mbps應(yīng)用層數(shù)據(jù)交換速度（FTP）≥300Mbps最大數(shù)據(jù)文件≥30G最大支持服務(wù)≥40目錄監(jiān)控觸發(fā)時(shí)間<1秒最大傳輸延時(shí)<40ms1.5.3路由接入?yún)^(qū)通信鏈路卡口系統(tǒng)與安全接入平臺(tái)聯(lián)接的外部接入鏈路采用專(zhuān)線。邊界保護(hù)區(qū)邊界保護(hù)區(qū)主要設(shè)備包括：防火墻、可信邊界安全網(wǎng)關(guān)、三層交換機(jī)、集控探針等。防火墻防火墻的首要功能是根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類(lèi)型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)協(xié)議等對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制。防火墻還保證了安全接入平臺(tái)內(nèi)部的主機(jī)地址不被外部終端直接獲得?？尚胚吔绨踩W(wǎng)關(guān)可信邊界安全網(wǎng)關(guān)對(duì)社會(huì)企事業(yè)單位接入終端進(jìn)行身份認(rèn)證，保證未通過(guò)身份認(rèn)證的接入終端不能進(jìn)入平臺(tái)訪問(wèn)，還保證在網(wǎng)絡(luò)傳輸過(guò)程中，接入終端與邊界接入平臺(tái)之間的通信內(nèi)容全程加密。三層交換機(jī)利用三層網(wǎng)絡(luò)交換機(jī)的IP路由和虛網(wǎng)功能，根據(jù)接入應(yīng)用進(jìn)行路由選擇和虛網(wǎng)劃分，保證不同業(yè)務(wù)應(yīng)用通道之間的相互隔離。三層交換機(jī)根據(jù)不同業(yè)務(wù)設(shè)置不同的VLAN，每個(gè)VLAN連接這個(gè)業(yè)務(wù)的前置機(jī)、數(shù)據(jù)庫(kù)或者文件服務(wù)器，每個(gè)VLAN之間不能互相訪問(wèn)。這樣的配置即能保證每個(gè)業(yè)務(wù)之間相對(duì)獨(dú)立，一旦某個(gè)業(yè)務(wù)的前置機(jī)感染病毒木馬不能通過(guò)內(nèi)部局域網(wǎng)迅速傳播，又能實(shí)現(xiàn)所有業(yè)務(wù)的數(shù)據(jù)交換。設(shè)備安全登錄邊界保護(hù)區(qū)內(nèi)的關(guān)鍵設(shè)備都必須通過(guò)用戶(hù)身份認(rèn)證，一般登錄交換機(jī)、防火墻、IDS等設(shè)備都采用用戶(hù)名/口令方式，口令設(shè)置長(zhǎng)度不小于8位。所有邊界保護(hù)區(qū)內(nèi)的關(guān)鍵設(shè)備都必須開(kāi)啟審計(jì)功能，通過(guò)接口將每個(gè)設(shè)備的日志抄送給集控探針。審計(jì)內(nèi)容包括這些設(shè)備的登錄事件、配置更改事件、報(bào)警事件、故障信息等等。1.5.4應(yīng)用服務(wù)區(qū)主機(jī)安全加強(qiáng)根據(jù)前置機(jī)所安裝的操作系統(tǒng)不同分別進(jìn)行處理。目前，主要的操作系統(tǒng)有兩類(lèi)：Linux和Windows系統(tǒng)。在實(shí)施的過(guò)程中，實(shí)施人員需根據(jù)不同情況分別對(duì)系統(tǒng)進(jìn)行安全加固。主要措施如下。盡可能采用經(jīng)過(guò)國(guó)家權(quán)威部門(mén)檢測(cè)認(rèn)可的安全操作系統(tǒng)（如紅旗LINUX等）屏蔽超級(jí)用戶(hù)、guest用戶(hù)等，加強(qiáng)登錄用戶(hù)的密碼強(qiáng)度關(guān)閉所有不安全的遠(yuǎn)程控制端口屏蔽所有不用的低端端口安裝防病毒軟件安裝防火墻軟件應(yīng)用軟件最小安裝原則1.5.5安全隔離區(qū)該區(qū)域主要實(shí)現(xiàn)公安信息通信網(wǎng)與應(yīng)用服務(wù)區(qū)網(wǎng)絡(luò)隔離和數(shù)據(jù)的安全交換,它通過(guò)高可信的方式，實(shí)現(xiàn)異構(gòu)系統(tǒng)、數(shù)據(jù)源之間安全、靈活、有效、快速的數(shù)據(jù)交換。該區(qū)域主要實(shí)現(xiàn)以下安全功能：網(wǎng)絡(luò)隔離：切斷外網(wǎng)與公安信息通信網(wǎng)的網(wǎng)絡(luò)連接，剝離所有通過(guò)本系統(tǒng)交換的通信協(xié)議，保證在內(nèi)外網(wǎng)之間只能通過(guò)裸數(shù)據(jù)進(jìn)行有限交換。格式過(guò)濾：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶(hù)自定義的源數(shù)據(jù)規(guī)則對(duì)經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進(jìn)行深度格式過(guò)濾，與源數(shù)據(jù)格式不匹配的數(shù)據(jù)過(guò)濾掉，只交換與源數(shù)據(jù)格式匹配的數(shù)據(jù)。內(nèi)容檢查：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶(hù)自定義的源數(shù)據(jù)規(guī)則對(duì)經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進(jìn)行深度內(nèi)容檢查，與源數(shù)據(jù)內(nèi)容不匹配的數(shù)據(jù)過(guò)濾掉，只交換與源數(shù)據(jù)內(nèi)容匹配的數(shù)據(jù)。單道訪問(wèn)：數(shù)據(jù)交換系統(tǒng)對(duì)前置機(jī)/后置機(jī)采用單道訪問(wèn)設(shè)計(jì)，數(shù)據(jù)交換系統(tǒng)主動(dòng)從前置機(jī)獲取數(shù)據(jù)，不接受前置機(jī)主動(dòng)向數(shù)據(jù)交換系統(tǒng)發(fā)送數(shù)據(jù)。安全審計(jì)：對(duì)經(jīng)數(shù)據(jù)交換系統(tǒng)進(jìn)行交換的所有行為安全審計(jì)，保證數(shù)據(jù)交換行為事后可追溯。該區(qū)域的主要設(shè)備包括：網(wǎng)閘、安全數(shù)據(jù)交換系統(tǒng)。網(wǎng)閘通過(guò)網(wǎng)閘切斷所有基于網(wǎng)絡(luò)協(xié)議的連接，使外部終端無(wú)法直接訪問(wèn)公安信息通信網(wǎng)，確保公安信息通信網(wǎng)與外部網(wǎng)絡(luò)隔離。該設(shè)備采用了三部件架構(gòu)，采用專(zhuān)用的硬件和安全芯片，采用專(zhuān)用通信協(xié)議進(jìn)行數(shù)據(jù)擺渡。并且保證對(duì)所有過(guò)往的流量都剝離了通信協(xié)議，保證所有協(xié)議剝離和再生過(guò)程都接受安全審計(jì)，并且具有防范各種網(wǎng)絡(luò)協(xié)議攻擊的能力（如DDOS、LAND、滴淚攻擊等）。安全數(shù)據(jù)交換系統(tǒng)安全數(shù)據(jù)交換系統(tǒng)由兩臺(tái)專(zhuān)用的數(shù)據(jù)交換服務(wù)器組成，系統(tǒng)硬件內(nèi)部采用高可靠性設(shè)計(jì)，硬件設(shè)備內(nèi)部采用特殊的認(rèn)證機(jī)制，保證基于硬件的可信任計(jì)算體系。安全數(shù)據(jù)交換系統(tǒng)根據(jù)業(yè)務(wù)配置建立業(yè)務(wù)數(shù)據(jù)通道，并對(duì)業(yè)務(wù)數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)進(jìn)行過(guò)濾和審計(jì)。只允許符合安全策略的業(yè)務(wù)數(shù)據(jù)進(jìn)行交換，不允許任何其它的數(shù)據(jù)傳輸。安全數(shù)據(jù)交換系統(tǒng)具備如下安全功能：系統(tǒng)能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)交換對(duì)象的身份認(rèn)證系統(tǒng)能夠保證數(shù)據(jù)交換內(nèi)容的機(jī)密性和完整性系統(tǒng)能夠區(qū)分連接內(nèi)外網(wǎng)鏈路的接口系統(tǒng)根據(jù)安全策略主動(dòng)獲取來(lái)自前置機(jī)群的數(shù)據(jù)系統(tǒng)能夠驗(yàn)證數(shù)據(jù)源和數(shù)據(jù)完整性系統(tǒng)能夠根據(jù)業(yè)務(wù)規(guī)則檢查數(shù)據(jù)類(lèi)型、格式、內(nèi)容，過(guò)濾不符合安全策略的數(shù)據(jù)。系統(tǒng)能夠保證非法數(shù)據(jù)交換行為可追溯具體描述如下：身份認(rèn)證系統(tǒng)內(nèi)部通過(guò)硬件數(shù)字證書(shū)進(jìn)行雙向身份認(rèn)證，如果一旦系統(tǒng)內(nèi)部的硬件數(shù)字證書(shū)被拔走，則數(shù)據(jù)交換過(guò)程馬上終止。如果外網(wǎng)端其他服務(wù)器冒用地址向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)交換請(qǐng)求，則直接會(huì)被系統(tǒng)拒絕。數(shù)據(jù)加密系統(tǒng)根據(jù)認(rèn)證產(chǎn)生的會(huì)話密鑰對(duì)傳輸數(shù)據(jù)進(jìn)行加密。區(qū)分內(nèi)外網(wǎng)鏈路系統(tǒng)能夠自動(dòng)區(qū)分連接內(nèi)外網(wǎng)鏈路的不同接口，外網(wǎng)接口保證數(shù)據(jù)源的合法性和數(shù)據(jù)的完整性，內(nèi)網(wǎng)接口對(duì)數(shù)據(jù)進(jìn)行檢查、過(guò)濾、審計(jì)和分發(fā)等處理。單向通道主動(dòng)獲取數(shù)據(jù)安全數(shù)據(jù)交換系統(tǒng)采用了特有的單向通道技術(shù)，確保除了所配置的接入業(yè)務(wù)以外，沒(méi)有任何其它軟件能夠利用數(shù)據(jù)通道傳輸數(shù)據(jù)，也沒(méi)有任何其它軟件能夠自行建立數(shù)據(jù)傳輸通道。系統(tǒng)主動(dòng)獲取前置機(jī)上數(shù)據(jù)，所有數(shù)據(jù)請(qǐng)求都由內(nèi)網(wǎng)交換服務(wù)器主動(dòng)發(fā)起，根據(jù)用戶(hù)事先定義的業(yè)務(wù)調(diào)度策略進(jìn)行調(diào)度，每個(gè)業(yè)務(wù)在配置完成后即形成該業(yè)務(wù)的隧道，系統(tǒng)不接受前置機(jī)向系統(tǒng)發(fā)起的主動(dòng)數(shù)據(jù)提交請(qǐng)求。驗(yàn)證數(shù)據(jù)源系統(tǒng)支持對(duì)前置機(jī)硬件設(shè)備證書(shū)雙向認(rèn)證。系統(tǒng)可以兼容各種證書(shū)體系所頒發(fā)的標(biāo)準(zhǔn)X.509證書(shū)。數(shù)據(jù)過(guò)濾系統(tǒng)能夠根據(jù)用戶(hù)事先定義業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)進(jìn)行全面過(guò)濾，支持對(duì)每個(gè)業(yè)務(wù)單獨(dú)設(shè)置過(guò)濾規(guī)則，過(guò)濾規(guī)則粒度細(xì)化到每個(gè)字段，包括類(lèi)型、范圍、長(zhǎng)度、枚舉、缺省值、特殊字段、字符編碼、圖像字段許可等等。系統(tǒng)集成了世界上首屈一指的流殺毒引擎，可以節(jié)省您在防病毒、木馬上的投資。系統(tǒng)能夠識(shí)別數(shù)據(jù)交換內(nèi)容中SQL語(yǔ)句，能夠有效防范所有SQL提交攻擊，保護(hù)用戶(hù)內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)和業(yè)務(wù)應(yīng)用系統(tǒng)，保證不泄露內(nèi)網(wǎng)數(shù)據(jù)結(jié)構(gòu)。系統(tǒng)能夠根據(jù)用戶(hù)事先設(shè)置的黑名單過(guò)濾所有交換的數(shù)據(jù)，如果出現(xiàn)黑名單中的內(nèi)容則阻斷數(shù)據(jù)交換行為并報(bào)警通知用戶(hù)。審計(jì)與行為追溯系統(tǒng)提供對(duì)整個(gè)數(shù)據(jù)交換行為的完整審計(jì)，包括數(shù)據(jù)來(lái)源、交換發(fā)生時(shí)間、數(shù)據(jù)交換的目標(biāo)、數(shù)據(jù)交換的內(nèi)容、是否得到了授權(quán)、是否遵守交換規(guī)則、交換行為是否成功、交換結(jié)束時(shí)間等等。系統(tǒng)能夠提供應(yīng)用級(jí)日志，并且支持日志服務(wù)器功能，將日志信息以標(biāo)準(zhǔn)格式(SYSLOG格式)導(dǎo)出給集控系統(tǒng)或其他第三方存儲(chǔ)備份，并結(jié)合集控系統(tǒng)對(duì)系統(tǒng)日志進(jìn)行分析。1.5.6安全監(jiān)測(cè)與管理區(qū)安全監(jiān)測(cè)與管理區(qū)為公安內(nèi)網(wǎng)區(qū)。1.6視頻邊界接入1.6.1業(yè)務(wù)流程描述依據(jù)《公安信息通信網(wǎng)邊界接入平臺(tái)安全規(guī)范（試行）——視頻接入安全部分》的要求，視頻接入鏈路架構(gòu)如下：視頻接入鏈路基本架構(gòu)拓?fù)湟曨l安全接入系統(tǒng)將外部視頻監(jiān)控系統(tǒng)通過(guò)專(zhuān)線方式與公安網(wǎng)實(shí)現(xiàn)聯(lián)接。視頻安全接入系統(tǒng)在保證網(wǎng)絡(luò)隔離的前提下，通過(guò)對(duì)視頻接入對(duì)象的身份認(rèn)證、對(duì)視頻通信協(xié)議的認(rèn)證和對(duì)調(diào)用視頻客戶(hù)端的身份認(rèn)證的“三重認(rèn)證”基礎(chǔ)上，將外部視頻監(jiān)控系統(tǒng)的圖像信息安全的接入到公安信息通信網(wǎng)，供信息通信網(wǎng)內(nèi)的終端和服務(wù)器調(diào)用視頻圖像信息。1.6.2視頻邊界接入性能傳輸延時(shí)<=20ms數(shù)據(jù)吞吐量≥600Mbps并發(fā)用戶(hù)數(shù)240數(shù)據(jù)包丟失率<0.1‰1.6.3路由接入?yún)^(qū)外部通信鏈路基于光纖專(zhuān)線，該專(zhuān)線是不通互聯(lián)網(wǎng)的。用戶(hù)只是通過(guò)該專(zhuān)線訪問(wèn)到視頻監(jiān)控系統(tǒng)（視頻服務(wù)器或硬盤(pán)錄像機(jī)等）。終端安全終端安全主要體現(xiàn)在如下幾個(gè)方面：終端用戶(hù)身份識(shí)別、終端設(shè)備認(rèn)證、終端訪問(wèn)控制、傳輸保護(hù)。終端身份識(shí)別視頻監(jiān)控系統(tǒng)接入鏈路的終端是指公安內(nèi)網(wǎng)調(diào)用外網(wǎng)視頻監(jiān)控系統(tǒng)資源的計(jì)算機(jī)終端，這些終端的身份識(shí)別必須采用公安機(jī)關(guān)頒發(fā)的警用硬件數(shù)字證書(shū)，只有通過(guò)身份認(rèn)證的用戶(hù)才能與平臺(tái)連接，保證接入用戶(hù)身份的合法性。終端設(shè)備識(shí)別由于視頻監(jiān)控系統(tǒng)接入鏈路的終端多、分布廣，為了確認(rèn)終端的合法性，對(duì)所有的終端進(jìn)行設(shè)備注冊(cè)。只有在安全接入平臺(tái)內(nèi)進(jìn)行了注冊(cè)，并審批通過(guò)的合法終端才能與平臺(tái)實(shí)現(xiàn)互連。終端設(shè)備注冊(cè)的目的就是確認(rèn)終端設(shè)備的合法性。注冊(cè)的信息包含終端設(shè)備的硬件特征信息及軟件信息，以確定終端設(shè)備的唯一性。終端訪問(wèn)控制在終端與平臺(tái)完成連接認(rèn)證時(shí)，通過(guò)設(shè)置細(xì)粒度訪問(wèn)控制策略，確保非法用戶(hù)不能訪問(wèn)，合法用戶(hù)不能越權(quán)訪問(wèn)。1.6.4邊界保護(hù)區(qū)邊界保護(hù)區(qū)的主要設(shè)備包括：防火墻等。防火墻防火墻的首要功能是根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類(lèi)型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)協(xié)議等對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制。防火墻還保證了邊界接入平臺(tái)內(nèi)部的主機(jī)地址不被外部終端直接獲得。1.6.5應(yīng)用服務(wù)和安全隔離區(qū)在視頻接入鏈路中，視頻數(shù)據(jù)和視頻控制信令終止于應(yīng)用服務(wù)區(qū)。在應(yīng)用服務(wù)區(qū)與安全隔離區(qū)，通過(guò)視頻安全接入系統(tǒng)將視頻數(shù)據(jù)和視頻控制信令進(jìn)行嚴(yán)格分離和傳輸，從而保證視頻數(shù)據(jù)和視頻控制信令安全地傳輸?shù)焦残畔⑼ㄐ啪W(wǎng)。視頻安全接入系統(tǒng)視頻認(rèn)證服務(wù)器視頻認(rèn)證服務(wù)器分為視頻接入認(rèn)證服務(wù)器和視頻用戶(hù)認(rèn)證服務(wù)器兩類(lèi)。用以下安全功能：視頻接入認(rèn)證服務(wù)器對(duì)接入對(duì)象（終端、視頻服務(wù)器等）進(jìn)行設(shè)備認(rèn)證并與之交互，獲取視頻。視頻用戶(hù)認(rèn)證服務(wù)器對(duì)公安信息通信網(wǎng)上使用視頻資源的終端用戶(hù)進(jìn)行統(tǒng)一注冊(cè)、身份認(rèn)證和訪問(wèn)控制，并提供視頻服務(wù)。對(duì)視頻數(shù)據(jù)與控制信令嚴(yán)格區(qū)分，分別處理后進(jìn)行傳輸。支持視頻數(shù)據(jù)的單向傳輸模式和控制信令雙向傳輸模式。對(duì)視頻信令格式檢查及內(nèi)容過(guò)濾：能夠識(shí)別視頻控制信令、視頻傳輸協(xié)議，阻斷未注冊(cè)的協(xié)議和數(shù)據(jù)格式。對(duì)視頻接入設(shè)備進(jìn)行身份認(rèn)證，禁止未認(rèn)證設(shè)備連接視頻