共享平台与视频安全接入方案(7)

6.2.5 授权访问

为了保障公安网内资源的安全，确保接入设备的合法性，保证视频数据到公安网信息传输的安全，授权访问类应用在安全上需要实现以下功能。

设备认证：所有授权访问类的接入设备必需进行设备注册，只有通过注册通过后的合法设备才能与视频接入平台建立链接，保证接入设备的合法性；

证书认证：所有授权访问的访问用户和设备需持合法身份才能与视频用户认证服务器建立链接，通过采用数字身份证书确定访问用户的身份，保证用户身份的合法性和可追溯性；

资源的访问控制：通过用户（数字证书）、角色，控制用户的授权访问，只有合法设备/用户才能访问其有权访问的资源，限制用户的使用权限；

告警管理，及时通知各种告警，让用户了解系统状况； 用户行为审计：对所有授权访问类用户/设备的行为进行审计，保障用户已发生行为的可追溯性。

30

7 管理设计

集中监控与审计系统分为安全监控系统和级联上报系统。通过安全监控系统集中体现接入平台整体运行情况，展示所有设备的运行状态，警并对故障点和性能瓶颈点进行报，并通过短信/邮件等方式通知相关管理员。通过级联上报系统实现部/省/市三级监管体系。

7.1 监管功能

接入平台安全监控能实现对整个接入平台进行安全监控、管理与维护，统计与分析。其实现的监控功能如下：

? 注册管理服务：实现平台和公安业务信息的标准注册流程； ? 监控管理服务：对接入平台运行状况进行实时监控； ? 审计管理服务：对平台运行信息进行安全审计和异常行为的责任认定；

1、注册服务，提供以下功能：

■平台信息注册：登记接入平台的地域信息、建设信息、运维信息、审批信息、接入平台链路信息和设备信息；

■业务信息注册：登记业务的主管部门信息、审批信息、应用系统信息 、业务扩展信息；

■使用单位信息注册：登记使用单位的名称、物理位臵、负责人等信息；

■设备信息注册：登记平台内关键设备终端和使用单位终端的网络信息、属性信息、安全信息；

31

■接口信息注册：登记业务数据格式接口信息。数据格式接口信息用于描述业务应用系统需要交互的数据格式。 2、监控服务，提供以下功能：

■平台监控：监控平台当前运行总体情况；

■流量监测：能够监测整个接入平台以及平台内部各个链路和业务的流量信息；

■异常报警：能够按照接入平台安全策略监控接入平台内部的异常信息并报警；

■在线用户：能够列举接入平台在线用户的个人信息和使用信息；

■统计分析：提供对各类信息的统计分析功能；

■安全处臵：能实现TBSG与集中监控与审计系统等设备联动，对异常用户的处臵。

3、审计服务，提供以下功能：

■平台审计：审计平台总体历史运行情况；

■用户行为审计：对用户访问时间、行为和个人信息进行审计； ■业务应用审计：对业务应用交换的数据格式进行审计； ■设备安全审计：对用接入平台内部的关键设备运行状态进行审计；

■异常行为审计：对接入平台内部异常行为的网络信息进行审计，并联系用户行为信息帮助实现责任认定。

32

7.2 级联功能

通过级联服务实现对本级平台向部平台报送信息，支持部/省/市三级监管体系。

功能描述如下：

■平台建设信息上报：将接入平台建设信息上报给上级平台，主要包括地域信息、运维信息 、审批信息、平台链路信息和设备信息；

■平台运行信息上报：将本平台的运行信息上报给上级平台，主要包括接入平台运行状态、业务信息、使用单位信息以及接入平台业务流量、访问量、交换记录数目信息；

■上报任务管理：实现高可靠的自动化的数据上报任务，并能定期或即时的执行数据上传任务。提供灵活简便的上报任务管理；

■为上级平台提供即时浏览、综合查询及统计分析功能； ■本级监管系统负责对本地链路进行监控，监控信息通过级联系统上报到公安部监管系统。架构如下图：

部级平台监控系统级联上报毕节市局平台（共享平台与视频接入链路） 监控系统

33

8 设备介绍

对于共享平台与视频接入链路来说，其关键性产品包括边界接入安全网关产品、数据交换产品、视频接入产品和监管产品等。分别对应用于可信边界安全网关、网络数据交换系统、视频安全接入系统和集中监控与审计系统（安全监管系统和级联上报系统）。

8.1 可信边界安全网关

TBSG部署在边界保护区，对接入的终端进行基于硬件特征的设备认证以及基于数字证书的高强度用户身份认证，保证接入终端和用户的合法性有效性，同时为内部网络应用提供高强度数据链路加密服务及数字签名及验证服务，可以有效保护网络资源的安全访问。

对于可信边界接入安全网关，从以下几个方面对产品进行设计： ? 在安全上采用终端设备认证、用户身份认证、数据加密传输和授权访问等技术保障其安全；

? 在功能设计上支持B/S应用和C/S应用，且与具体应用无关来支持边界接入业务中各类应用；

? 在性能上选用高稳定的硬件产品，整个产品主要分高、中、低三个档次，以满足用户根据不同应用负荷来选择合适的产品；

? 在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。

34