公安信息网视频监控安全接入解决方案

《公安信息网视频监控安全接入解决方案》由会员分享，可在线阅读，更多相关《公安信息网视频监控安全接入解决方案（30页珍藏版）》请在金锄头文库上搜索。

1、公安信息网视频监控安全接入解决方案2011年3月目录一、概述3二、视频监控业务及安全防御难点分析4视频监控业务分析4公安网视频监控应用的安全防御难点分析 5三、建设标准与目标5建设标准6建设目标6四、视频安全接入解决方案7整体架构设计7接入对象10接入链路11边界接入平台视频接入链路12公安信息通信网14平台安全防御体系设计14视频接入认证服务15网络隔离与访问操纵功能18反弹木马阻断功能20视频数据实时病毒检测与阻断21视频用户认证与授权功能23集中安全治理与日记审计24高性能设计27高靠得住性设计28五、要紧技术性能28安全功能285.2 技术性能30设备规格31、概述公安信息网（公安网）

2、目前是星型拓扑结构，由一、二、三级骨干网和接入网 组成。公安部至各省公安机关骨干网为一级网络，省级公安机关至所辖地市公安机 关的网络为二级网，地市级公安机关至所辖县区公安机关的网络为三级网络，基层 科、所、队到分局或市局的网络为接入网。公安网络系统的要紧功能是为各级公安业务部门提供语音、数据、图像等互换 和传输服务。公安数据业务包括人口、治安、交管、刑侦、预审、出入境治理等二 十多种业务的信息传输与查询；办公自动化、电子邮件等内部治理数据；公安内部 信息网站阅读等业务，文字、图表、动、静态图像等数据的传输和互换。在视频监控应用的接入进程中，公安信息通信网面临专门大风险。例如来自外 网的各类解决

3、、入侵、植入木马、探头（信息搜索代理Age nt）和病毒等要挟；各类 设备上的后门有可能受控启用，造成信息失控、设备故障；内外勾结造成的内部重 要信息通过视频应用通道泄漏；由于误操作、非授权访问等造成的信息丢失、失控 等问题。由于社会治安视频监控网络采纳的网络传输环境复杂，前端系统（视频监控点 覆盖面广且治理部门不统一，因此，公安部制定了公安信息通信网边界接入平台 安全规范，严格制定了公安网与外网间信息互换的标准、架构、安全等技术要求，各级公安机关都必需依照规范要求建设外网接入公安网的安全部系架构，治安视频监控网络也必需通过规范的安全隔离接入平台接入公安内网，本方案专门针对视频监控中的安全风险

4、设计知足治理、安全、性能需求的解决方案。二、视频监控业务及安全防御难点分析视频监控业务分析社会治安视频监控系统是防范、冲击违法犯法的重要技术手腕之一，目前，广 东省公安系统已经大体建设完成了覆盖全省的综合视频监控系统，而且取得了良好 的实际成效，有力地协助公安机关快速、准确冲击罪犯。社会治安视频监控系统不单单是由公安机关建设和治理的专用网络，而是集中 了全社会资源建设的视频综合数据传输网络，该网络包括三类视频监控点资源：一类为要紧干道、出入口、要害部位、人流密集地段和案件多发部位。二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区 重要企事业单位和金融珠宝网点等。三类为一样的

5、治安复杂点、街巷死角和部份社会单位如学校、幼儿园、医院及 新建商场、办公大楼外围。公安网视频监控应用的安全防御难点分析公安网视频监控应用的要紧安全防御难点表此刻：(1) 传输内容安全过滤困难。视频应用区别于WEB、数据库等其他应用的要紧特点 在于其传输的内容为二进制图像数据流，因此，如何有效避免违法的病毒、木马数 据嵌入视频应用中传输成为必需解决的问题。(2) 避免内网泄露机密信息困难。由于视频监控的访问具有双向性，即部份公安内 网视频监控需要对外向其他政法等单位提供，公安内网也需要访问大量一、二、三 类视频监控资源，如何有效避免木马程序利用视频通道泄露公安内网机密数据也必 需加以靠得住解决。

6、(3) 应用协议操纵困难。由于行业特殊缘故，视频监控协议始终没有制定标准，致 使各视频厂家协议不同较大，不兼容现象普遍，安全操纵难度大。三、建设标准与目标建设标准本方案严格依照公安部相关视频接入安全标准及体系架构设计，知足各类公安网视频安全接入环境的要求，要紧依据标准包括：未定编号公安信息通信网边界接入平台安全规范未定编号公安信息通信网边界接入平台安全规范（试行）视频专网GA/T367-2001视频安全监控系统技术要求GB/T 20279-2006网络和终端设备隔离部件安全技术要求GB17859-1999运算机信息系统安全爱惜品级划分准则GA/T669-2006城市监控报警联网系统通用技术要求

7、建设目标依据公安部相关规定和公安信息通信网现有安全基础设施、依据公安网边界安 全隔离接入平台规范要求，建设具有安全性、可治理性、高性能、高靠得住性的社 会监控视频接入平台，实现公安内网安全、视频接入区域边界安全、通信内容安全 访问权限安全等。包括：安全性：确保内外网在访问视频数据时避免携带病毒、木马等程序进入公安内网，避免可能存在的木马利用视频接入通信通道泄露公安机密信息；完整性：确保视频数据在传输中不被歹意窜改；可用性：确保视频接入业务能够知足性能需求，安全正常运行； 可审计性：能够有效监控和审计视频接入业务的运行情形。当发生违规或异 样情形时，能够及时发觉、报警并处置； 可治理性：关于专用

8、视频接入隔离设备运行进程能够治理和监控，具有规范 合理的接入业务流程，纳入日常保护治理； 可扩展性和高靠得住性：视频接入平台应具有可扩展的，能够依照视频访问 业务的扩展不断扩充接入流量，同时，具有硬件冗余容错能力。 可集成性：提供必要的日记和治理接口，能够与公安部隔离接入平台紧密集 成，将监控视频接入纳入到统一的公安信息通信网隔离接入平台治理体系中四、视频安全接入解决方案整体架构设计视频接入公安网应用属于公安信息通信网边界接入平台的一种特殊应用类型存 在，伟思公司依照公安部相关技术要求设计了一套符合公安安全接入规范技术要求 的系统。如下图所示，视频接入公安网要紧由四部份组成：接入对象、外部接入

9、链 路、边界接入平台视频链路接入区和公安信息通信网（公安内网）。边界视频接入 认证服务百专线接入应用服务区安全监测与管理区接入对象接入对象要紧指各类视频监控系统，视频监控系统要紧由前端 设备、存储设备、视频治理平台服务器、视频转发服务器等设备组成。 目前，要紧的视频监控系统按接入链路划分要紧可分为;（1）公安自建视频监控系统这种视频系统要紧包括交警、消防和公安成立的各类直属公安管 辖的监控点，这种监控点要紧包括了城区要紧干道、治安卡口、社区 广场等。这种视频监控系统一样采纳专线方式组网并通过专线接入公 安网。（2）各党政机关视频监控系统这种视频监控系统要紧包括交通、环卫等单位成立的监控系统，

10、这种系统一样能够通过政务专网接入公安网。（3）社会视频监控资源这种视频监控系统要紧由社会各单位自主成立，包括网吧、酒店、 公司等单位，这些视频监控系统一样由电信运营商在公网上成立视频 虚拟专网，通过专线方式可接入公安网。通过彼此物理隔离的接入链路接入公安边界接入平台视频接入链路。接入链路接入链路是指由视频监控系统接入公安边界接入平台的链路方 式。依照公安部的相关要求，本方案设计要求所有接入链路均为专线 方式接入，由视频监控系统的核心互换机接入公安边界接入平台。若 是视频监控系统的核心互换机与公安网边界接入平台处于同一机房 内，可通过核心互换机直接连接公安边界接入平台的接入路由器或防 火墙。若是

11、视频监控系统的核心互换机与公安网边界接入平台物理距 离较远，则可租用电信专线将核心互换机与公安边界接入平台的接入 路由器或防火墙相连。依照节说明，不同类型的视频监控系统应采纳物理独立的线路 接入防火墙，如下图所示：路由器或防火墙接入链路专鳗接入对象公妥自建监控系统党政机关监控系统专线社会资源监控系统边界接入平台视频接入链路该区域是视频监控系统接入公安网的核心区域。其要紧结构与公安部颁发的公安信息通信网边界接入平台安全规范大体相同，包 括路由接入区、边界爱惜区、应用服务区、安全隔离区与安全监测与 治理区五部份。作为边界接入平台的特殊应用类型，视频接入也纳入 接入平台的治理，作为其中的一条视频专用

12、的接入链路，因此，已经 成立了边界接入平台的各级公安机关能够依托现有的边界接入平台及其设备（如边界接入治理平台、防火墙、IDS等），再依照视频接入规范增添视频专用隔离设备（视频专用隔离网闸）、视频接入认证服务器、视频用户认证服务器即可。关于没有成立公安边界安全接入平台的公安机关，依照公安部的 接入规范要求，则需要完整的建设包括边界接入治理平台、防火墙、 IDS 入侵检测系统、视频专用隔离设备、视频接入认证服务器、视频 用户认证服务器等在内的整套边界接入平台。由于视频占用带宽资源超级大，一路 D1 质量的视频监控画面通 常达到的带宽，因此，公安网现有基于数据互换的边界接入平台中的 设备性能往往无

13、法知足视频接入要求，在这种情形下，能够考虑在各 个下级单位成立视频边界接入平台如下图所示，或在本单位升级现有 边界接入平台中的设备。专线接入下级 公安机关 边界接入平台公安机关共享视频监控系统公安信息通信网下级 公安机关 边界接入平台公安机关 边界接入平台专线接入視频监控系统Z专线接入 O边界接入平台视频接入链路具有针对视频应用的专用安全功能， 通过设备身份认证后的视频接入设备，通过专线方式接入到视频接入 链路，在视频接入链路中，视频操纵信令和数据的会话终止于应用服 务区，在应用服务区，视频接入认证服务器对接入对象进行设备认证， 并对视频信令格式进行检查及内容过滤，只许诺合法的协议和数据通 过

14、，在安全隔离区，安全隔离设备将视频操纵信令和数据进行别离处 置和传输，其中视频数据为单向传输，视频操纵信令为双向传输，视 频用户认证服务器对公安信息通信网上利用视频资源的用户进行统 一注册，身份认证及权限治理，仅许诺认证通过的用户访问已授权的 视频资源。公安信息通信网公安信息通信网边界接入平台与公安信息通信网核心互换机相 连，实现公安信息通信网内各视频终端对视频监控系统（视频专网） 的实时访问。平台安全防御体系设计伟思视频专用安全隔离与信息互换系统由三大安全功能单元组元和视频用户认证服务器安全功能单元。视频接入认证服务伟思视频专用安全隔离与信息互换系统的视频接入认证服务器 安全功能单元具有壮大

15、的视频接入认证功能，能够对视频专网内向公 安信息通信网提供视频信息服务的硬件设备进行身份确认禁止未通 过认证的设备接入公安信息通信网。视频接入认证服务器安全功能单元采纳设备指纹+IP&MAC绑定 的多因素强认证机制对视频硬件设备进行认证，设备通信协议指纹认 证方式是利用视频设备的二次开发接口对视频设备进行扫描，通过设 备的反馈信息的指纹特点来验证视频设备是不是为已注册的合法设 备，指纹取样包括：设备序列号、设备反馈信息的关键特点HASH值和 设备IP、MAC地址等信息形成该设备特有的指纹，就像每一个人不同 的指纹一样，没有在接入认证服务单元上注册的设备将被阻止接入公 安网。能够注册/认证的视频设备包括： DVR视频治理服务器 视频转发服务器 视频编解码服务器流媒体服务器视频模拟/数字矩阵 存储设备视频接入认证安全功能单元还具有视频信令协议分析和内容过 滤功能，能够针对不同的视频厂商的视频监控协议，别离进行协议分 析和内容过滤。