XX 市互联网-公安视频传输网
边界接入链路建设方案
目 录
1 概述 ........................................................................................................................................................................1
2 视频专网接入链路设计 ........................................................................................................................................1
2.1 建设目标 ........................................................................................................................................................1
2.2 建设依据 ........................................................................................................................................................2
2.3 设计原则 ........................................................................................................................................................2
2.4 安全、稳靠性设计 ........................................................................................................................................3
3 视频专网接入链路方案 ........................................................................................................................................4
3.1 链路拓扑图....................................................................................................................................................4
3.2 链路功能描述 ................................................................................................................................................5
3.3 主要设备功能描述 ........................................................................................................................................5
防火墙....................................................................................................................................................5
入侵防御 ................................................................................................................................................5
三层交换机............................................................................................................................................5
单向光闸 ................................................................................................................................................6
安全视频交换系统 ................................................................................................................................6
集中监控与管理系统............................................................................................................................7
4 售后服务 ................................................................................................................................................................7
4.1 售后服务目标 ................................................................................................................................................7
4.2 服务保障方案 ................................................................................................................................................7
免费保修期服务....................................................................................................................................7
5 公司简介 ................................................................................................................................................................9
6 设备参数 ..............................................................................................................................................................10
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
4.2.1
1 概述
目前全国各地公安均展开了社会治安视频监控系统建设,在视频专网(非公安网)上建设
了大量视频监控系统。同时,一些其他专网上也存在着大量社会面视频监控系统资源,如互联
网网中建设的视频监控系统以及数据采集系统等。为落实“资源共享、互联互控”,实现“视
频监管一网控”,各地公安机关需要将这些资源有机联网、整合共享,并且有效管理、灵活调
用,与公安视频专网信息系统进行挂接、关联、比对和研判,实现对紧急事件的快速反应、科
学决策和集中处警。
本方案参考公安部信息通信局组织编制的《公安信息通信网边界接入平台安全规范(试行)
——视频接入安全部分》以及《视频传输网络建设指导意见》并结合前期建设情况设计规划了
XX市互联网接入公安视频专网的边界建设方案,为视频专网的资源调用与共享提供安全可靠的
链路支撑。
2 视频专网接入链路设计
2.1 建设目标
针对 XX 市互联网与公安视频传输网之间进行安全的视频传输的需求,设计一个技术先进、
安全可靠、切实可行、管理方便的安全技术方案。符合公安边界接入相关规范的统一平台体系,
保证视频专网的保密性、完整性和可用性,以及边界接入业务的可管理性、可控性。保障相关
网络和信息资源的安全,同时保证边界接入工作的高效稳定运行,解决和提高公安业务工作、
信息共享、服务群众的能力和水平。
视频接入链路应达到如下目标:
保证安全的前提下,实现互联网视频平台与视频专网视频平台的国标上下级级联对接。
系统可对不同厂商基于 SIP 的控制信令进行解析识别,实现对视频传输控制信令协议
的内容识别及过滤;
支持常见的多种视频编码格式图像传输,如 M-JEPG,MPEG4、H.264、H.263 等视频
1
编码格式;
系统具备用户管理功能,提供用户注册、修改、删除等功能,注册的用户可通过用户
代理功能转换为视频监控平台的帐号进行访问;
系统提供详细的访问日志,记录用户所访问的网络资源情况;提供实时流量信息,可
在集控系统实时展现当前网络上的用户情况、视频流情况、网络带宽情况等;
2.2 建设依据
《公安信息通信网边界接入平台安全规范(试行)》;
《视频传输网络建设指导意见》;
《公安信息通信网边界接入平台安全规范(试行)——视频接入安全部分》;
《通过公安部组织测试的接入平台厂商名单》;
《通过公安部组织测试的接入平台安全产品名单》。
2.3 设计原则
一、视频监控业务应采用能够对视频监控信令、通讯协议和通讯流特征进行识别、安全控
制和管理功能的视频专用传输设备进行网络隔离保护,安全功能集中在视频传输以及隔离网闸
设备上统一运行和配置,公安内网客户端不安装任何附属客户端软件。视频流只允许单向流入,
信令流可在平台内部双向传输。
二、统一访问原则。由于不同视频监控设备采用各异的控制和传输协议,考虑到安全性,
对所有视频设备的访问统一由视频管理服务器代理完成,视频监控终端只与视频监控管理服务
器之间进行控制协议的交互。
三、不可旁路性要求。视频监控业务必须通过视频安全接入平台统一接入,不允许并联接
入不具备安全规范的线路,视频监控接入平台设备上的安全功能不允许关闭,如果安全功能关
闭则网络通讯必须随之完全关闭。视频传输设备不允许内置任何视频监控业务以外的其他协议
通讯模块(如 http、FTP、文件同步等)。
四、明确数据交换方式。政务外网与视频专网之间的数据交换类业务,只能采用文件或数
据库摆渡的方式进行,且数据在落地中转服务器上即传即删,不长期保留业务数据,不允许使
2
用代理、映射、授权访问等方式。
2.4 安全、稳靠性设计
从以下几点对边界接入平台安全性、稳定性进行设计。
2. 接入平台设计选用成熟的专用以及通用网络设备,设备经过长期测试,稳定性强。
3.接入平台使用的关键设备如防火墙、入侵防御、安全视频交换系统、单向光闸采用可
靠、稳定性设计,均支持双机热备,对当前系统参数备份设计等保障整个接入平台的稳定性。
3
3 视频专网接入链路方案
3.1 链路拓扑图
4
3.2 链路功能描述
链路支持互联网与视频专网视频平台以上下级国标级联的方式进行对接,实现在视频专网
对互联网视频平台的视频浏览调用。
3.3 主要设备功能描述
3.3.1 防火墙
防火墙可根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议等
对数据包进行访问控制,可实现基于策略的 HTTP、FTP、TELNET、SMTP、POP3 等透明代理和深
度过滤,能确保终端用户合法有效地使用各种网络资源。
利用 NAT,防火墙还可保证平台内的应用系统主机的地址不被外部终端获得,以保证系统
安全。
3.3.2 入侵防御
入侵防御系统(IPS)是实时的网络违规自动识别和响应系统。它运行于边界保护区内,
通过实时监听网络数据流,识别,记录入侵和破坏性代码流,寻找网络违规模式和未授权的网
络访问尝试。该系统安装于防火墙后,可以对攻击防火墙本身的数据流进行响应,同时可以对
穿透防火墙进行攻击的数据流进行响应。
3.3.3 三层交换机
利用三层网络交换机可根据接入应用进行路由选择和虚拟专网的划分,保证不同业务应用
通道之间的相互隔离。一般根据不同业务划分不同的 VLAN,每个 VLAN 分别连接相关的业务前
置机(一般为数据库或者文件服务器),各业务之间不能互相访问。
5
3.3.4 单向光闸
单向隔离光闸是一款基于光的单向性和可复制性,以满足不同安全域之间数据单向传输的
设备。单向隔离光闸由内网单元、外网单元、分光器三部分组成,其中内网单元与数据源端网
络相连,外网单元与数据目的端网络相连。分管器是内、外网单元之间唯一且安全的数据传输
通道,在保证内、外网单向隔离前提下,实现数据单向传输。单向隔离光闸实现数据的物理单
向传输,保障数据的完整性。
3.3.5 安全视频交换系统
天行网安安全视频交换系统(TMS/UMS)采用经过裁剪的 Linux 系统方式对前置机操作系
统进行安全加固,卸载所有不必要的应用程序和服务,关闭所有非必要开放的对外端口,增强
其自身安全性。前后置 TMS/UMS 之间通过安全隔离区实现视频流媒体数据的安全传输。
TMS/UMS 对视频数据与视频控制信令严格区分,分别处理后进行传输。支持视频数据的单
向传输模式和视频控制信令双向传输模式。
TMS/UMS 支持视频信令格式检查及内容过滤:能够识别符合公安行业标准的视频控制信令、
视频传输协议,过滤掉非标协议和非标数据格式。
TMS/UMS 对视频数据实时检测,实现视频数据的防病毒、木马功能。
TMS/UMS 提供对外部视频用户的身份认证功能,身份认证采用用户名口令方式,在身份认
证的基础上实现媒体访问授权。
TMS/UMS 可实现不同厂商的视频协议代理功能,提供安全、高效、稳定的运行环境。通过
TMS/UMS,视频客户端能够通过视频接入平台点播对端网络同一厂商或不同厂商的视频监控图
像信号;控制协议支持多种控制协议,并可对摄像头进行控制。同时支持录像回放、音频播放
功能。
TMS/UMS 提供媒体复制分发功能,具备将同一图像源的视频流信息发送到不同的视频浏览
客户端,节约网络带宽资源,提高传输效率。
TMS/UMS 可管理每个用户客户端(基于 IP、MAC、用户名)可浏览的图像路数、网络带宽、
访问视频资源的时间段;提供详细的访问日志,记录用户所访问的网络资源情况;提供实时流
量信息,可在视频管理客户端实时展现当前网络上的用户情况、视频流情况、网络带宽情况等;
6