4 总体方案 结合项目需求,本项目主要需建设毕节市公安局部门间信息共享平台与视频安全接入链路。其中部门间共享平台建设在已经建设的党政军机关接入链路上,实现党政军机关各部门与公安网的信息共享;视频接入链路建设实现外网视频资源安全可靠地采集进入公安网。具体方案网络拓扑图如下: 毕节市局边界接入平台与部门间信息共享平台总体方案图终端接入区路由接入区边界保护区应用接入区业务前置机安全隔离区公安内网认证与隔离系统VPDN/专线社会企/事业接入终端防火墙TBSG-TH探针数据交换系统公安内网数据库IDS业务前置机查询比对业务公安内网应用服务系统认证与隔离系统专线公安内网门户服务器数据交换业务抗DDOS防火墙TBSG-GAIPS防毒墙部门间信息共享平台探针共享平台应用服数据采集数据集成门户服务器务器系统系统数据交换系统公安内网应用服务器WEB访问业务CA防病毒平台管理共享信息数据库服务器服务器系统IPS公安网客户端认证与隔离系统VPDN/专线公安驻地外接入终端防火墙TBSG-GA集中监控与审计内网视频管理平台集中监控与审计系统-监管子系统视频安全接入系统外网视频管理平台防火墙探针视频接入认证服务器视频用户认证服务器集中监控与审计系统-级联子系统图4-1总体方案图 20 如图4-1,从逻辑上,将边界接入平台划分三大区域:终端接入区、边界平台区和公安网。其中边界平台区又划分为路由接入区、边界保护区、应用服务区、安全隔离区和安全监管区。
社会企/事业单位终端采用VPDN链路,经可信边界安全网关(TBSG),将数据报送给社会企/事业接入的前臵服务器,然后经数据交换系统将信息交换到公安网。需要对外发布数据通过数据交换系统交换到平台区域,再通过TBSG交换到外网以提供外网服务。
党/政/军机关终端通过专线经TBSG、数据交换系统等安全设备与公安网实现授权访问和数据交换业务。
公安机关驻地外终端通过VPDN/专线经TBSG与公安网进行通信,实现授权访问业务。
外网视频数据通过专线经视频安全接入系统单向传输进入公安网,实现信令双向传输,视频单向传输。
共享平台建设在党政军机关接入链路上,提供查询比对、数据交换和Web访问三类业务应用的安全支撑,每类业务根据不同的接入模式和安全需求提供不同安全防护措施。
21
5 功能设计
5.1 共享平台功能设计
5.1.1 查询比对类
通过查询比对接入链路,向党政军用户提供对共享平台内公安信息资源的安全查询和比对功能,并及时返回查询比对结果,支持单条和批量比对业务。
查询比对类接入链路系统功能如下:
? 查询比对的数据经防火墙、可信边界安全网关、交换机等到共享平台区域,经共享平台内的应用服务处理后,将查询比对结果交换、反馈给终端用户;
? 部署在共享平台内的防病毒服务器安装网络版防病毒软件,对共享平台内的服务器和客户端提供病毒查杀和防护等; ? 接入链路的路由接入区、边界保护区、应用服务区及安全隔离区的运行状态、设备状态、链路状态、关键安全设备运行信息等通过探针实现抓取,并报送给公安网中的集中监控与审计系统。
5.1.2 数据交换类
数据交换类主要实现党政军用户需要与共享平台进行双向批量安全交换数据,数据类型支持结构化数据库数据和非结构化的以文件型为主的数据,以支撑业务的开展。
22
由于信息来源的多样性,决定了采集来的信息的多样性,即有数据库记录方式的,又有文件方式的。同时,目的端对数据的要求也是多样的。因此实现数据交换的系统即要满足简单的数据库和文件同步外,还需支撑较为复杂的数据交换功能。具备以下功能:
? 支持多种数据库交换模式,支持多数据库同步方式选择。包括全表同步、增量同步、列同步等;
? 文件交换方式包括文件夹新增同步、文件夹镜像同步、文件完全同步、文件同步后源端删除、文件同步后源端备份、双向文件同步等多种模式;
? 数据同步过滤功能,数据库双向交换,源与目标的同表双向同步;
? 支持数据分发,支持源数据库和源文件分发到不同的目标数据库或文件夹,支持文件与文件、文件与数据库、数据库之间的分发,并可设臵分发条件;
? 支持同构数据库同步交换,异构数据库同步交换; ? 支持一对一、一对多、多对一等多种数据传输方式:如一份文本文件同时向文件服务器和数据库服务器发送; ? 实现数据交换业务的多种调度策略:支持交换业务多级优先权调度;事件触发、时间触发、消息触发;定时、实时、轮询等;
? 提供数据可靠传输机制:发生网络阻塞,链路故障等时保障数据交换可靠传输;
23
? 数据传输完整性保证:发生网络阻塞/异常,链路故障等时保障交换数据的完整性;
? 方便、直观的管理、审计功能,支持故障报警和业务管控功能。
5.1.3 Web访问类
该链路主要实现经批准的外部用户安全接入到共享平台,访问相关资源的功能。其功能的实现步骤为:
? 经批准的外部用户使用其数字身份证书启动TBSG客户端,通过专线链路,经防火墙访问TBSG服务器;
? TBSG设备经接入终端设备认证、身份证书认证、CRL列表验证成功后与TBSG服务器建立链路通道;
? 链路建立后,TBSG对用户访问权限进行验证,为用户分配共享平台资源访问权限;
? 经批准的外部用户就可以在授权访问内进行资源的访问,如同在共享平台访问业务一样的使用资源。
5.2 视频接入功能设计
视频安全接入链路拓扑如下:
24