? 实时监控:公安内网用户实时浏览外部视频信息; ? 探头控制:内网终端可操控外部的探头,使探头上下左右移动,前后调节,以观察不同范围;
? 视频调阅:公安用户调阅外部视频服务器上的存储的历史视频信息。
2.3.2 性能需求分析
视频接入链路在性能上必须满足毕节市公安局视频接入业务的接入要求,主要体现在链路带宽、同时在线的用户数、业务数和网络吞吐量等方面。
2.3.3 安全需求分析
视频信息接入在外部与公安内网进行信息传输的同时,将面临许多安全问题,如原来利用外网发动攻击的黑客也有可能通过伪装视频流方式传输蠕虫、木马等病毒,进而攻击内网;一些用户试图通过接入通道访问非授权资源;内网中某些中病毒的计算机,可能将内部人口及治安等重要且敏感信息泄露出去,进而直接影响公安工作的正常开展。
为此,视频接入链路通过采用视频安全接入系统,针对视频码流和视频信令的不同特性,在安全性上采用不同的策略,实现视频控制信令双向传输,视频数据单向传输,为视频接入提供了一条安全、高效的接入通道,保证了视频信息安全、可靠地传输。
10
2.3.4 管理需求分析
根据公安网视频安全接入的运行管理要求,提供对视频接入应用和运行情况的监测、审计和管理,实现外网视频资源安全可靠的采集进入公安内网。
2.3.5 扩展需求分析
视频接入链路是个逐步接入的过程,需具备可扩展性。主要需满足链路在性能、功能、业务数、应用种类等各方面的扩展和延伸。
11
3 总体设计
3.1 设计目标
针对共享平台各类业务与视频接入需求,设计一个技术先进、安全可靠、切实可行、管理方便的安全技术方案。建设贵州省毕节市公安局共享平台与视频接入链路,保障公安网的保密性、完整性和可用性,接入业务的可管理性、可控性;保障视频资源的有机联网、整合共享、有效管理、灵活调用;保障边界接入公安网的安全,以及相关网络和信息资源的安全;同时保障边界接入工作的高效稳定运行,解决和提高公安业务工作、信息共享、服务的能力和水平。
3.2 设计思想
根据实际情况,充分认识到安全在边界接入中的重要性,正确处理发展与安全的关系,综合平衡成本与效益,建立安全、可靠、实用的贵州省毕节市公安局部门间信息共享平台和视频安全接入链路。
3.3 设计依据
本方案依据以下文件或规范设计:
? 《关于印发<公安信息通信网边界接入平台安全规范(试行)>的通知》(公信通[2007]191号);
? 《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]189号);
? 《关于做好社区和农村警务室接入公安信息网安全工作的通知》(公信通[2007]15号);
12
? 《关于进一步加强公安信息通信网日常安全管理工作机制建设的通知》(公信通传发[2008]109号);
? 《关于公安信息通信网边界接入平台建设有关问题的通知》(公信通传发[2008]296号);
? 《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号);
? 《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》。
3.4 总体架构设计
共享平台与视频接入链路依据《安全规范》,主要基于三重防护体系、两个基础设施的安全体系,构建路由接入区、边界保护区、安全隔离区、安全监测与管理区等五个不同的安全区域,构成分区域、分层次的纵深安全防御体系。
3.4.1 安全体系
接入平台安全体系设计由三重防护体系设计、两个基础设施设计构成。
应用环境安全应用区域边界安全链路与网络通信安全公安PKI/PMI基础设施13
安全监测与管理基础设施 图3-1接入平台安全体系图
三重防护体系设计:即应用环境安全设计、应用区域边界安全设计和网络通信安全设计。
应用环境安全设计:即确保终端和用户来源可信、可监控设计,操作系统安全加固设计,关键应用程序安全设计。
应用区域边界安全设计:主要涉及网络及应用系统边界安全方面,通过身份认证、访问控制技术,确保对应用系统的访问是通过细粒度控制下的合法访问者。
链路与网络通信安全设计:主要涉及链路及网络安全方面,采用数据机密性与完整性保护技术,建立端到端传输的安全机制。
两个基础设施设计:即公安PKI/PMI基础设施,安全监测与管理基础设施。
公安PKI/PMI基础设施设计:实施公安数字身份证书的产生、管理、存储、分发和撤销等功能,是实现接入平台身份认证、授权管理、访问控制策略等安全机制的基础。
安全监测与管理基础设施设计:实现整个平台的安全监测、管理与运行维护。
3.4.2 体系结构
3.4.2.1 共享平台体系结构
根据需求分析及公安部相关规范的要求,贵州省毕节市公安局共享平台在体系结构设计上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成,如下图:
14