XX省公安视侦实战平台系统建设技术建议书
据流按照接入平台的安全策略加以区分。
边界保护区:实现网络级身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。
应用服务区:作为外部终端网络连接的终点,实现应用级身份认证、访问控制、应用代理、数据暂存等功能,防止对公安信息通信网的非法访问和信息泄露。对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马防护功能,防止病毒传播与非法控制。
安全隔离区:实现公安信息网与应用服务区的安全网络隔离,根据安全策略,对出入公安信息网的数据分别进行协议剥离、格式检查和过滤,实现公安信息通信网和应用服务区之间的安全数据交换,保障公安信息通信网的安全。
安全监测与管理区:对数据交换系统运行情况进行安全监测与审计,对系统及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等。数据交换系统内网络设备、安全设备的配置管理及日常运行维护。补丁升级、漏洞扫描与病毒防范。
2.2.5.2.2.2 功能要求
针对视频专网与公安信息网的数据交换业务必须采用安全数据交换系统完成,并实现以下应用功能:
数据库同步交换:数据库同步模块,支持六种同步方式:触发、奉献、全表同步、断点续传、快照日志和同表双向。
文件同步交换:文件同步模块,系统支持文件夹的新增同步、文件夹的镜像同步、文件完全同步、文件同步后源端删除、双向文件同步等同步模式。
异构数据交换:支持多种数据库类型异构数据库之间的交换;支持文件到数据库、数据库到文件等多种数据格式的转换;支持异构表、异构字段名、异构字段类型;支持异构的字符类型、异构的数据库字符集;支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构;支持通过公用函数实现字段值转化,异构转换支持表/字段级的规则设置;允许用户对数据字段进行转换,如类型转换、对应关系转换、代码/字典转换等;支持逻辑运算、数学运算、日期运算处理、数据合并、数据分离等多种内容转换方式。
支持调度:支持实时调度和定时调度。实时调度是指每间隔多少时间同步一
26 / 93
XX省公安视侦实战平台系统建设技术建议书
次;定时调度是指每天的什么时间同步一次。
支持数据分发:系统支持将源数据库中的记录分发到不同的目标库,针对每个分发目标库都可以设置分发的条件。
支持按需交换:系统支持按需交换,源数据可以按照某一特定条件进行同步。 提供可靠传输机制:系统通过底层消息队列提供数据可靠传输机制,当发生网络阻塞,链路故障等时保障数据交换可靠性。
提供数据完整性保证:系统通过底层消息队列提供数据传输完整性保证,当发生网络阻塞/异常,链路故障等时保障交换数据的完整性。
支持断点续传:系统支持将一个大的消息切分成多个小块发送,在目的节点重新组合成完整的消息。因为在传输时实现了消息切分,所以系统能够支持断点续传。
支持数据压缩:方便用户在收发消息时对消息进行压缩和解压缩,以提高消息传输效率。
支持用户设置消息优先级:根据消息优先级的高低安排消息的发送次序。 方便的管理功能: 所有业务都集中在管理界面上运维管理,系统界面友好,操作方便;系统上的业务配置全部在内网进行,管理者可以通过本地浏览器远程起停所有业务;能够实现单个业务起停,其他业务不受任何影响;使用丰富的系统日志,可以及时定位故障,并实施远程维护。
2.2.5.3 信息安全设计
公安视频图像信息联网与实战应用系统不仅对系统内的视频、音频、报警等各种信息资源进行集成和处理,同时还提供与GIS系统、警综系统、机动车稽查布控系统等系统的接口,以实现不同系统间的信息资源共享。由此可见,管理平台是一个规模庞大、结构复杂的应用系统。
由于涉及到诸多不同的应用系统和不同的软件供应商,每个应用系统都有独立的用户信息管理功能,用户信息的命名、格式、组织方式也多种多样,当用户需要使用多个应用系统时,就会带来用户信息同步问题。用户信息同步会增加系统的复杂性和管理成本;
如果不能解决好多个应用系统并存、用户跨级访问等实际问题,则会给视频专网的安全带来安全风险,造成非法访问、越权访问、信息泄露等安全隐患。
27 / 93
XX省公安视侦实战平台系统建设技术建议书
遵照公安部的《城市报警监控联网系统技术标准——安全技术要求》,系统安全应当建立统一身份认证和权限管理系统,实现统一身份认证、统一权限管理和统一访问控制,在全网内实现“单点登录、全网漫游”功能。另外还需要部署安全审计系统,对用户的业务访问行为进行审计。
1、统一身份认证和权限管理系统功能 (1)统一用户管理
以用户ID为主体进行管理,多个应用系统的用户管理只有一个管理入口,而一个管理入口背后有一个核心用户数据源支持;在理想情况下,所有应用系统的访问主体皆为统一认证授权管理下的用户;应用系统不保留任何主体信息,只保留应用数据。在需要相关信息时,从认证授权平台获取。
(2)统一认证
统一认证是指各应用系统只有一个权威的认证中心来对应用系统访问主体进行鉴别;在统一用户管理的基础上,对用户身份进行确认。
(3)统一授权
各应用系统只有一个权威的访问控制中心来进行权限的分配和鉴别;在统一用户管理、统一认证的基础上,对用户访问的资源进行控制。统一认证授权平台以角色为基本单位进行管理,使角色与用户之间建立关联,这样角色是独立于系统存在,可以跨系统实现管理。
(4)全网漫游
用户对资源访问与其登陆位置无关,也就是用户可以在全网任何一级平台进行登录,在其权限范围内对资源进行访问。
(5)支持较强的兼容性和扩展性
业务系统可以运行在不同操作系统平台、不同硬件平台,业务系统可以是B/S架构也可以是C/S架构;支持业务系统无缝接入,最小化改动业务系统现有的应用模式及用户使用习惯。
(6)提供基本的安全防护和安全审计功能。
安全防护和审计主要是指可以精确记录用户的完整访问过程,可按日期、用户、资源、IP等信息对日志进行查询,方便事后对用户的操作行为追溯。
2、基于角色的权限管理模型
28 / 93
XX省公安视侦实战平台系统建设技术建议书
基于角色的访问控制(RBAC,Role-Based Access Control),其实质是在用户和权限之间建立一种机制,以角色为单元来分配系统的权限,用户拥有了一定数量的合适的角色,也就获得了其访问权限。
2.2.6 系统特色
2.2.6.1 先进的技术架构
系统平台采用最先进的构建大型网络系统的J2EE平台架构,采用易于业务整合的SOA面向服务的系统框架,采用模块化、框架化设计,采用中间件、工作流及WebService等先进技术,大大增强了系统的灵活性和可重用性,方便各应用系统间的集成,同时,先进的技术架构带来系统良好的健壮性、扩展性及安全性,保证系统具备支撑海量接入和大并发量访问的能力。
2.2.6.2 可靠的系统设计
系统主要服务器支持双机热备,大容量业务访问时可支持集群部署,确保系统平台的可靠性与稳定性。
存储服务器支持N+1备份,当一台存储服务器出现故障时,备机可以接替故障机的录像计划,流媒体服务器支持负载均衡,将流媒体分发请求动态均衡负载到各个流媒体服务器上。存储服务器能够主动将设备故障消息上报给平台网管。
2.2.6.3 强大的实战应用功能
平台以公安业务需求为导向,以城市综合管理为业务设计目标,以提升公安执法人员监管、接处警、案事件侦察效能为立足点,实现视频流、信息流和工作流的紧密结合,案事件、资源、人、任务的有效整合,构建大安防体系架构,能够综合治安监控、卡口电警业务、GIS/GPS系统、人脸识别技术、身份信息采集技术、智能检索技术等,大大提高视频业务给公安执法、城市综合业务管理的作用。
2.2.6.4 快速的业务融合能力
系统基于工作流引擎的开发模式,提供应用快速交付能力,可以根据用户不同阶段的应用需求与特殊使用需求,快速融入新的业务应用功能,而无需更改平台原有架构,能够根据用户个性化的需求而进行快速的业务开发及业务功能调整
29 / 93
XX省公安视侦实战平台系统建设技术建议书
工作。平台定义标准接口,支持多层次的集成,数据集成、能力集成与应用集成,将原本独立运行、信息屏蔽的诸多子系统进行横向协同,实现安防子系统集成业务的综合应用,包括智能化联动和应急指挥,统计分析和辅助决策等,平台强大的应用集成能力使应用平台更富有生命力。
2.2.6.5 完善的运维管理功能
平台拥有完善的运维管理功能,系统管理人员能够实时了解系统中核心设备的运行状况,及时发现设备及网络故障信息,能够提供对系统内设备的自动巡检功能,对巡检情况做统计分析,还可通过采用轮巡的方式,执行对前端视频图像的质量诊断,使系统维护人员能够快速了解异常情况,及时排除设备故障,有效预防因图像质量问题带来的损失和影响。同时,该功能也可以为后期的运维工作提供依据,通过对系统内设备的连续跟踪,大体可以推算出设备的MTPF(平均无故障时间),为备品备件的储备提供科学的依据,降低运维成本,提高运维效率。
30 / 93