《公安行业网络管理解决方案.docx》由会员分享,可在线阅读,更多相关《公安行业网络管理解决方案.docx(6页珍藏版)》请在金锄头文库上搜索。
1、 一、行业背景 随着科技的不断进步,基于网络的信息交互已经走进了我们的生活,人们在信息获取、交流和处理等方面发生巨大变化的同时也给一些不法分子利用网络技术进行犯罪和破坏活动增加了机会。这在现实社会中一定程度上加重了公安机关的执法业务量,提高了公安人员的执法难度。公安局为了顺应新时期的发展,需要建立计算机网络办公自动化系统以提高办公效率、信息管理水平,减轻工作人员的劳动强度,提高信息采集、处理的时效性、可用性和质量。对公安局相关业务进行电子化的先进管理能够快速地获取有效信息,帮助准确地提供打击违法犯罪活动的依据。实现全省、地市公安局及省际公安局之间的视频会议,通过视频会议系统直接传达会议精神,从
2、而提高信息传输的实时性,减少会议经费开支,提高办事效率;因此建立计算机网络办公自动化信息系统是每个公安局高层决策者和管理人员所迫切需要的,也是社会发展地必由之路。 面对如此迫切的需求及严峻的考验,国务院提出了科技强警的战略方针。 而以公安业务信息化为主要内容的金盾工程受到了各级领导的重视,正在全国范围内如火如荼的展开。 金盾工程的提出 金盾工程主要由公安信息网络平台和公安应用系统两部分组成,而支撑应用系统的网络平台显得尤为重要。公案信息网络平台需支撑人口管理信息系统、刑侦信息系统、出入境管理信息系统、监管人员信息系统、交通管理信息系统、办公厅管理信息系统、违法犯罪人员信息系统等各种信息系统,当
3、然该平台还应该提供VOIP,Video Conference等增值服务。 二、博达解决方案 IP协议是网络发展的一个重要推动力,随着Internet的爆炸性增长,IP协议得到了广泛的应用,越来越多的应用程序,例如万维网技术,电子邮件,文件传输等等都使用IP协议。所以,IP协议成为主导协议已经不可逆转,这是市场的选择,也是用户的选择。博达公司提出以IP技术为核心的公安信息网络平台解决方案,在这个网络平台上,将为基于数据、语音、视频业务的广泛应用提供坚实的基础。 博达公安行业解决方案拓扑图 1、数据骨干网建设 由于省厅骨干网络在整个体系中发挥着核心支配作用,因此,它对系统的可靠性与安全性要求最高。
4、同时也是话音业务、视像业务的承载通道。所以,在设备的选取上,除了在端口密度、处理能力等方面要满足业务的需求外,还应该具备完善的QOS服务质量体系,支持话音和视像业务的应用。 因此,可以根据各省的综合业务通信网的主要数据流向、地理分布情况以及可利用的广域网资源等因素,设计一套三级主干数据网络,即一级网为省公安厅到市公安局网络;二级网为市公安局到县公安局网络;三级网为县公安局到所辖派出所网点网络。这种新一代网络业务系统以省公安厅为网络中心,覆盖全省各市及县的所有分点。构建这种新一代网络业务系统,应始终贯穿先进性、安全性与高可靠性的原则。 为了满足业务的需求,在省厅和地市局之间的数据链路带宽应不低于
5、2Mbps,而地市局到县局之间的数据链路带宽应不低于128kbps。随着网络的发展,在有条件的地区或县局可以逐渐的增加带宽,所以,要求各级所选用的设备具有良好的扩展能力。 方案说明: 公安金盾网络是一个政府专网,其安全性、稳定性、可靠性要求很高,在这种要求及标准下,博达公司可针对性地提供相应的模块化路由器,在省厅推荐使用BDCOM3660,其高密度的端口配置能满足用户多种情况下的组合使用;在地市公安局可使用BDCOM2600系列路由器,根据应用场合及数据量的大小可选用2620、2630、2650中的一款设备,在县一级公安局的金盾网建设中可选用BDCOM1750路由器。博达所有的模块化路由器都支
6、持VPN技术,支持基于IEEE802.1Q的VLAN技术,对语音及视频业务可提供QOS保障,以及多种安全技术。 博达模块化路由器支持多种模块以及灵活的配置组合,其中E1模块既支持信道化E1又支持非信道化E1工作方式,与Cisco很好地实现互通,数据、语音集成,BDCOM 3660可同时支持4路E1、20路语音。 能提供双以太网模块、8/16路异步模块、E1模块等配置,支持用户的多种需求。 在实际的网络环境中,维护网络的正常稳定运作至关重要,博达系列路由器提供丰富的调试、网络诊断工具(ping、traceroute,debug、show、syslog等),便于检测和诊断各种网络问题,很好地帮助网
7、络故障的定位与排除。 支持网络地址翻译NAT技术,包括静态地址翻译、动态地址翻译、端口地址翻译。 支持Voice over IP、FAX over IP技术,支持G.729/G.729A、 G.723.1/G.723.1A、G.711等多种语音编码压缩标准,支持IP QoS从而保证IP电话、传真的质量。 2、IP语音网络设计 公安厅网络是一个先进、安全、可靠的广域网系统,在保证广域网先进性的前提下,为了延伸办公自动化等信息管理系统, 同时也为基于TCP/IP协议和WWW服务器的公安业务的发展做好准备,可以利用网络剩余带宽,采用VoIP技术,在同一网络平台上实现同时传输IP及语音数据,使全省公安
8、局实现数据业务与语音网的合并,实现从省公安厅到各地市公安局的语音及传真应用。当然,可在该网络上进行业务优先级的设定,可实现数据业务的数据流优先于语音数据流,当网络出现拥塞时,优先保证业务数据流的正常传输。 目前在省厅、地市局和几乎每个县局都设有PBX。在电话通信网的改造过程中,应该充分利用现有的设备,保留PBX,采用增设电话网关的方式来解决IP电话的接入。对于县市则可直接采用语音模块上的FXS口加载电话机。 解决特色: 博达路由器支持FXO、FXS和E&M语音接口,支持多种语音编码和压缩标准,音频标准有G.711、G.722、G.723.1、G.728、G.729a,呼叫信令协议与媒体流分组打
9、包、同步标准H.225.0,控制标准H.245,数据会议标准T.120等,接口功能丰富,与现有的电话机、按键系统和程控交换机(PBX)配合使用,允许在数据网络线路上传输语音及传真信号从而减少长距离通讯费用。BDCOM3660、2630系列适合于大中型的语音应用环境,BDCOM 3660可以支持多达20路语音,BDCOM 2630、2650支持12路语音;BDCOM 2620、1750可分别支持6、4路语音,适合于中小型的语音应用环境。 博达模块化路由器支持队列调度算法(FIFO、PQ、CQ、WFQ)、拥塞避免策略(RED、WRED)、流整形技术(RTS)、资源预留协议(RSVP)等,PQ、CQ
10、、WFQ可以为不同的应用数据流定义不同的优先级、分配不同的带宽。在数据传输期间,高优先级的重要的通信总会比低优先级的通信提前得到服务。在网络发生拥塞时,根据RED、WRED拥塞避免策略不重要的数据信息包将被丢弃,直到拥塞解决为止。 RSVP与WFQ或RED相协调一起工作。RSVP可以按不同应用分配带宽,能有效地减少多媒体应用中的传输迟滞和时延抖动,保证音频、视频等信息的实时传输。 3、视频会议系统方案 在省厅中心设置一台多点控制器MCU,负责全省电视会议的调度和控制。在省厅和各地市局、县局等需要使用会议电视的地方设置一台会议电视终端,在MCU的统一调度下,进行全省的电视会议。 由于一般在地市局
11、和县局之间的链路速率在128K左右,而会议电视系统对于链路速率的要求比较高(最好在384Kbps以上)。所以,在会议电视的建设过程中,可以采用分步实施的方式。首先开通省厅到地市局之间的会议电视系统,然后再根据实际情况逐步开通县局的会议电视系统。 方案特点: 该系统安全、可靠,投入运行后系统具有以下特点: 1、实用性和先进性:采用先进的网络技术以适应更高的数据、多媒体信息的传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来公安业务电子化的发展和技术升级的需要。 2、安全可靠性:对网络结构、网络设备、服务器设备等各个方面进行可靠性设计和建设,在采用硬件备份、冗余等可
12、靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施。 3、灵活性与可扩展性:能够根据公安机关通信业务不断发展的需要,方便地扩展网络覆盖范围,扩大网络容量,提高网络各节点的功能。博达路由器具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。 4、开放性与互连性:具备与多种协议计算机通信网络互连互通的特性,在结构上真正实现开放;基于国际开放式标准,包括各种广域网、局域网、计算机及数据库协议;坚持全国统一规划的原则,为未来的业务发展奠定基础。 5、经济性/投资保护:以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽
13、可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。 6、可管理性:通过先进的管理策略、管理工具提高网络的运行性能和可靠性,简化网络的维护工作,为公安事务提供更有力的保障。 三、博达公安行业解决方案的整体特征 1、安全性保障 金盾网络是公安系统的业务网络,其安全性关系到社会的治安、国家的稳定,所以金盾网络安全性重要程度不言而喻,博达公司可以采用以下几个方面来保证网络的安全。 (1) VPN的安全保护 VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。公安局必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。在
14、骨干数据网中,使用ATM PVC等技术,可以保证通常应用数据的安全。在安全性要求很高的场合可以应用加密隧道,进一步保护数据的私有性、完整性,使数据在网上传送而不被非法窥视与篡改。例如VPN中的用户需要有很重要的数据通过VPN网络发送,可以通过IPSEC配置加密隧道选择性传送,加密隧道可以在用户路由器CE设备及其以下设备上配置。 (2) 访问Internet的安全防范 1、 地址转换 发地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络不可能穿过地址代理来直接访问内部网络。 支持带访问控制列表的地址转换。通过配置,用户可以指定能够通过地址
15、转换的主机,以有效地控制内部网络对外部网络的访问。 结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。 2、 包过滤技术 IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。包过滤通常用到IP报文的以下属性: IP的源、目的地址及协议域; TCP或UDP的源、目的端口; ICMP码、ICMP的类型域; TCP的标志域 表示请求连接的单独的SYN 表示连接确认的SYN/ACK 表示正在使用的一个会话连接 表示连接终断的FIN (3) 防火墙的安全保护 可以在骨干数据网上加载防火墙,进一步加强网络的安全性。防火墙是保护一个网络免受不信任的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接
