湛江市廉江区三方会审系统项目政法方案.docx-淘文阁

资源描述

《湛江市廉江区三方会审系统项目政法方案.docx》由会员分享，可在线阅读，更多相关《湛江市廉江区三方会审系统项目政法方案.docx（87页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、湛江廉江区三方会审system技术方案设计公司：天津天地伟业数码科技有限公司设计日期：2017-08-10进技术，可靠、灵活的应用，先进技术发展的趋势和良好的性能/价格比是设计解决方案的最基本依据。本解决方案在不失先进性、成熟性、可靠性、可扩展性的基础上,充分考虑用户的项目需求,照顾长远利益,最大限度地保护用户投资。(1)先进性原则图像监视system采用H. 265图像压缩处理先进技术，具有图像相关质量清晰，文件占用空间小，传输带宽小，速度快等特点；各子system紧密结合，提供强大的system集成功能；(2)安全性原则多种授权模式，可以通过IP授权访问、用户登陆权限限制、视频通道授

2、权等多种方式方式方法控制人员访问权限，保证高清庭审的安全性；(3)灵活性原则system支持基于WEB方式方式方法的视频网络浏览功能，可供用户方便使用；灵活进行system软件升级，避免对system产生过大的影响；(4)实时性原则基于带宽的优势，各类前端信号可做到实时的传输；同时可利用其他传输通道进行实时传输，如：ADSL. ISDN,专用网等；(5)稳定性原则具有独特的图像管控功能，严格控制丢帧现象；完善的视频流控制功能，保证网络传输的顺畅；管控、操作权限的分级实现，保障管控的统一、规范；应具有自我诊断、恢复功能；(6)完善性原则与数据采集监控system无缝地结合，实现报警信号的联动

3、，报警设备的自启动；当报警信号产生时，可实现多种可用通道的信息传输；(7)扩展性原则system预留相应的接口以便扩充之用;控制部件（软、硬件）采用模块式结构，可以方便灵活进行扩充，保证未来的适应性；（8）易用性原则基于优良的操作整体平台；采用模块化设计，操作简便；界面人性化；1.6设计依据system建设涉及的所有要求、施工、设备、材料和工艺均应符合相关的国家标准和信息产业部的规定，同时必须满足法院的有关要求。因此，整个system 建设遵循以下标准和规范：关于加强人民法院信息化建设决定最高人民法院关于人民法院计算机信息网络建设规划最高人民法院法院专网总体设计解决方案最高人民法院法院专

4、网应用system建设解决方案最高人民法院人民法院审判法庭信息化建设规范（试行）（法发200828号）人民法院审判法庭信息化基本要求（法办发2011 18号）关于在看守所建设远程视频讯问室的通知（法2012240号）关于庭审活动录音录像的若干规定2010年33号文件信息设备的安全GB 4943-2001以太网10BASE-T标准IEEE802. 3以太网100BASE-T标准IEEE802. 3U工业电视system设计规范GBJ115-87民用建筑电气设计规范JGJ/T16-92电气装置安装相关工程电缆线路施工及验收规范GB50168-92安全防范system验收规则GA308-2001视频

5、安防system先进技术要求GA / T 36720011安全防范先进技术规范GB50348-2004民用闭路电视system相关工程先进技术规范GB50198-94民用闭路监控电视system相关工程先进技术规范GB02198-94计算机软件开发规范GB8566-88电子计算机机房设计规范GB50174-93安全防范相关工程程序与要求GA/T75-94中华人民共和国公共安全行业标准GA38-92中国电气装置安装相关工程施工及验收规范GBJ232-90. 92音频、视频及类似电子设备安全要求GB 8898-2001厅堂扩声system设计规范GB 50371-2006公共广播system相关工

6、程先进技术规范GB 50526-2010扬声器主要性能测试方式方法GB/T9396 1996直接辐射式电动扬声器通用规范GB/T 9397-1996传声器测量方式方法GB/T 9401-1988传声器通用先进技术条件GB/T 14198-1993声频功率放大器通用先进技术条件SJ/T10406-1993数字电视液晶显示器通用规范SJ/T 11343-2006非广播用数字摄录一体机通用规范SJ/T 11415-2010广播调音台电性能运行先进技术指标测量方式方法GY 76-89标准清晰度数字电视编码器、解码器先进技术要求和测量方式方法GY/T212-2005第二早system整体设计2. 1 s

7、ystem设计思路科技法庭system是法院的审判业务system组成部分，将庭审的记录文件信息完全实现网络化信息共享应用，并成为司法审判数据案卷的一部分，充分发挥法庭数字化的真正作用。本设计以中心管控整体平台为核心，实现业务、数据综合管控应用，前端法庭安装高清视频设备、麦克风、录像合成和刻录设备实现对审判过程的全程同步录音录像功能，形成一套能够适应省高院统一指挥、调度、管控，同时又能够满足本院相对独立的审判办案systemo2. 2 system架构设计2. 2.1 system总体框架设计庭审主机庭审主机高院平台 -交换机中院平台基层院平台如上图所示，system采用的是分布式部

8、署、集中式管控的架构方式方式方法，通过科技法庭system管控整体平台的多级级联，可以实现高院、中院、基层院三级的大范围联网，统一调度，集中管控，既能够对法院法庭及办案区进行统一协调管控，又能够实现远程指挥、远程庭审、多方会审、远程点播等功能。县级基层法院通过科技法庭system整体平台实现对所有本县庭审设备的集中管控，市级中院通过科技法庭system整体平台可以管控本市的所有科技法庭 system和所辖区县级的基层法院的科技法庭system。省级高院同样通过科技法庭system整体平台管控所有市级中院及县级基层院科技法庭system。通过详尽的权限化分，可以让省级调阅各个下级庭审的

9、案卷信息和开庭过程，市级可以调阅各个县级的庭审案卷信息和庭审过程，市级之间通过赋予权限可以互相调阅信息材料。2. 2. 2 system详尽拓扑图物理隔离设备物理隔离设备直播点播如图所示，高清科技法庭system整体依托IP承载网络构建一个星型结构的数字化、网络化、智能数智化的高清庭审system。system通过网络将前端法庭庭审system、检察院会审system、看守所远程庭审system接入到后端综合指挥中心，实现后端通过指挥终端对前端的庭审过程实现管控和指导。数据经过system整体平台处理后，可通过内部网络及专网实现本级或上级远程庭审、庭审直播、庭审点播功能，同时科技法

10、庭system整体平台可将相关的案件庭审信息上传至法院的案件信息库内，实现与数字审委会system资源共享。另采用物理隔离的方式方式方法，将本地的视频和音频资料通过再次编码的方式方式方法，接入到公用网络，实现公众用户在外网实现远程直播、点播庭审过程的功能。本次建设的高清科技法庭system符合法院实际办案过程和办案程序，可实现全省法院业务统一协调和管控，立足于先进的数字处理先进技术，参考国内外专业法庭system的配置要求并结合法院科技强法的具体情况，达到科技法庭 system数字化、高清化、网络化、信息化、专业化、规范化，充分利用网络system 实现远程指挥、点播、直播要求。2

11、. 2. 3法庭设备布局设计科技法庭的信息设备布局可分为视频采集设备、音视频采集设备、法庭扩声设备、法庭显示设备、法庭集控设备、法庭示证设备六大部分。1）视频采集设备法庭上各个摄像机采集的视频信号通过庭审主机压缩加密之后发送到法庭局部网络上，工作人员可以通过庭审主机上的控制器来选择某路图像在庭内显示设备上显示。摄像机预置相应的机位，根据发言system选控信号或书记员操作工作台上按键/触摸屏，进行摄像头操控，使摄像机对准发言人。2）音频采集设备法庭发言依靠话筒进行音频信号的获取，通过配置一套具备声控功能的手拉手音频主机提供声音定位信息，将发言者的声音信号作为科技法庭system的激励

12、信号。3）法庭扩声设备依据法庭空间大小及声音效果安装调音控制台、反馈回声抑制器、功放等扩声设备，保证在法庭内能够清晰听到庭上人员的声音，并且不产生声音干扰。4）法庭显示设备显示屏幕位于法庭两侧，配置两套。使用时，一套用于切换显示不同的发言者图像，另一套用于证据展示的显示以及图文讨论图像的显示，还用于控辩双方自带计算机内说明文件及图片图像的显示。5）法庭集控设备集控system配置中控触摸屏，采用方便定义程序化配置，用于控制整个法庭的各个system,集中控制设备针对不同的应用要求进行编程控制，对来自人工按键和来自设备的状态进行多项程序控制，准确、高效。集中控制system依靠强电继

13、电器、调光器等对设备电源开关、灯光调整进行控制，通过触摸屏，对需要人工干预的事情进行干预。6）法庭示证设备法官、书记员、原被告及其辩护律师的计算机和实物展台的图像显示信号接入庭审主机，法官可以通过庭审主机来控制选择某路具体物证信息在庭内显示设备上的显示。2. 3 system组成设计3.1法院庭审system信息化审判法庭具备的功能：能记录整个法庭庭审过程的音视频信息；能进行电子证据、实物证据、音视频证据和远程质证展示和庭审显示；能进行法庭庭审信息记录，并实现校对。能进行庭审现场的音视频管控，支持法庭画面输出切换，输出到包括法庭内的显示设备和法庭外的显示设备上；支持音量显示；支

14、持音视频编解码；支持音响控制；支持多画面合成。能进行庭审管控，包括提供案件基本信息（案号、案由、当事人、承办人、合议庭成员等）和庭审排期信息的维护管控；能提供权限划分、身份识别和日志；能对本地庭审画面和远程质证画面的显示和输出进行管控；能对庭审中产生的笔录信息、质证信息和音视频信息进行管控，并输出到案件信息管控systemo 能进行远程传输功能；能进行庭审直播、点播功能。能进行庭审过程控制，实现庭审设备的控制、庭审录像和直播控制。能对庭审现场的灯光进行分区控制；视频图像带音频音量显示功能，权限仅提供给书记员、控制室和机房电全景摄像机视机辩护人席公诉人席摄像机OCD法官席电

15、视机标准功能型（刑庭）C 书当贝席Q Q一公诉人席na口 nnn 口a旁听席法官席摄像机n an aa a标准功能型法庭标准功能型刑庭设备包括：刑事审判庭配置SDI摄像机6台，用于法官席、公诉席、辩护席、被告席、旁听席和全景的拍摄；刑事审判庭在法官席配置3支、公诉席、辩护席各配置1支、书记员席配置1支、证人席配置1支桌面电容传声器（话筒），被告人席配置立式支架传声器1支；配置功率放大器和音箱，用于庭审现场扩声；可配置调音台、多段均衡器、反馈抑制器、压限器等设备，改善法庭音响相关质量；配置庭审主机一台，用于音视频管控、庭审管控（包括庭审信息和庭审过程控制）、远程传输和灯光控制

16、；配置电脑、音视频设备（包括录音机、录像机、VCD/DVD）、视频展示台、庭审现场显示设备（包括LED屏/背投/电视/电子白板/投影仪）、法官或书记员席位显示屏，用于证据展示；配置电脑（或速录机）、打印机用于记录庭审笔录；在法官席预留局域网接口，在书记员席预留局域网接口、VGA接口。2. 3. 2检察院会审system检察院远程视提讯室应具备的功能：能够显示检察院合议庭成员全景或特写视频；能够显示看守所远程视频讯问室当事人视频；能够进行本地证据展示、笔录显示；能够进行本地合议庭成员音视频采集；能够远程控制远程摄像机；能够支持远程笔录打印、传输功能检察院信息化会审法庭具备的

17、功能：能记录整个庭审过程的音视频信息；能进行证据展示和庭审显示；能进行法庭庭审信息记录，并实现校对；能进行庭审管控，包括提供案件基本信息（案号、案由、当事人、承办人、合议庭成员等）和庭审排期信息的维护管控；能进行远程传输功能；能进行庭审过程控制；庭中主机COC会审席电视机电视机全景摄像机检察院会审室检察院会审室检察院会审设备包括:第一章相关本次项目综述1.1 相关本次项目背景11.2 项目需求分析11.3 建设意义1.4 建设目标1.5 设计原则1.6 设计依据7第二章SYSTEM整体设计2.1 system 设计思路92. 2 system 架构设计9system 总体框架设计

18、97.7.1 system 详尽拓扑图10法庭设备布局设计112. 3 system 组成设计13法院庭审 system13232检察院会审system15看守所远程庭审system162.3.3 图像控制中心172. 4 system 存储设计18241存储解决解决方案18242存储容量计算182.5关键应用先进技术182.5.1 S+265编码先进技术19 会审庭配置SDI摄像机1台，用于整个法庭庭审过程的视频采集；会审庭在法官配置2个拾音器，用于采集相关人员声音信息；配置功率放大器和音箱，用于庭审现场扩声；配置便庭审主机一台，用于音视频管控、庭审管控、远程传输、光盘刻录等功能。2

19、. 3. 3看守所远程庭审system看守所远程视频讯问室应具备的功能：能够显示人民法院合议庭成员全景或特写视频；能够切换显示人民法院合议庭进行的证据展示笔录能够进行本地当事人音视频采集；特殊情况下，可增配同声传译人员。能够支持本地笔录打印、传输庭审主机庭审主机2. 3. 3.1看守所讯问室全景摄像机电视机嫌疑人座席特写摄像机看守所讯问室看守所远程视频讯问室硬件设备包括：配置摄像机两台，用于记录当事人特写视频信息和看守所全景视频; 配置全指向性传声器（话筒）或桌面电容传声器（话筒）两支，用于记录庭审音频信息；配置网络打印传真一体机，用于人民法院远程笔录打印、传输。配置远程视频庭审

20、主机一台，用于本地音视频采集、传输，远程视频解码、本地输出显示。配置高清晰监视设备一台，用于视频显示。配置功率放大器和音箱，用于庭审现场扩声;2. 3.4图像控制中心825mm 本次相关本次项目设置集中监控图像控制中心，实时监控各个科技法庭的庭审情况，将某一法庭的图像及声音通过大屏幕播放，并能够根据需要，通过网络远程控制某个科技法庭的集控设备进行远程操控。监控图像中心system主要由一个大显示屏（投影机、拼接显示屏、大尺寸等离子显示屏等）和多个小显示屏构成，在资金情况许可的情况下，可配置背投拼接电视墙显示system,通过控制设备分别在各显示屏上显示各法庭的庭审情况。科技法庭的

21、庭审图像选择控制通过计算机控制的方式方式方法进行，只需一台电脑就可控制各科技法庭的选送信号。控制配置台式电脑和呼叫终端，相关工作人员可通过该电脑登陆业务客户端, 依据权限分配能够适时的看到法庭内（不接入声音）、走廊、卫生间灯地点的视频信号，能够及时的了解现场的异常状况，保证庭审过程安全进行。在控制中心可以选择配备不间断电源UPS,根据指挥中心设备功耗的情况，根据配置电池不同，可以持续1-4小时对指挥中心设备进行供电。2. 4 system存储设计存储解决解决方案根据高清数字化庭审的实际情况及庭审项目需求，每个法庭配置一台庭审主机，用于存储在庭审过程中产生的一切音频、视频及图像等证据资料

22、。在指挥中心配置媒体服务器，用于集中存储每个法庭的音频、视频及图像等证据资料，周边走廊、卫生间、楼道的视频采用嵌入式NVR方式方式方法进行存储，充分做到将珍贵的庭审资料及证据进行安全的备份和保存，真正做到证据和资料的合法性、合理性、可追溯性及安全性。2. 4. 2存储容量计算数字化庭审system记录的庭审实况，根据法庭空间及案件重要程度，需要记录15路音视频信息，包括显示在庭审设备接入的音视频信号，本次相关本次项目前端视频设备均达到1080P效果，按照平均每天8小时录像计算存储容量。计算公式每间法庭1个视频录像点位存储1天的计算公式： (GB)=码流大小(Mbps) 8X3600

23、秒X8 小时XI 天+ 1024。高清 1080P(1920*1080P)格式H. 264方式方式方法：按5Mbps标准码流计算，存放1天的数据总量5Mbps 8 X 3600秒又8小时义(1天)+1024心18GB30 天需要的容量 (GB)=18GBX30 天= 480GB仁0. 5TB1 年需要的容量X (GB)=18GBX365 天=7665GB仁6. 6TBH. 265方式方式方法：按2Mbps标准码流计算，存放1天的数据总量2Mbps 8 X 3600 秒 X 8 小时又(1 天)+1024弋7GB30 天需要的容量X (GB) =7GBX30 天= 210GB-0. 2TB1

24、年需要的容量X (GB) =7GBX365 天=2555GBp2. 6TB2. 5关键应用先进技术system关键先进技术的选择对信息整体平台建设成功有关键作用，经过认真分析，结合人民法院专业先进技术特点，主要采用了 S+265编码先进技术、云存储先进技术、无缝拼接先进技术、数据处理先进技术、中间件先进技术、构架/构件先进技术、XML及WebService先进技术等。2. 5.1 S+265编码先进技术本system从前端采集摄像机到庭审主机，再到解码矩阵全系采用业内最先进的S+265算法先进技术，以改善码流、编码相关质量、延时和算法复杂度之间的关系，达到最优化设置。S+265算法是继

25、H.264、H.265之后的升级版视频编码算法，他大幅降低传输带宽，使得存储时间更长。宽带使用率极大的节约了硬盘存储和光盘刻录的成本:*码一张DVDS+265编码仅需2张DVD庭审12小时，高清1080P视频刻录光盘2. 5. 2云存储先进技术system采用先进的云存储先进技术作为云整体平台大数据存储的核心支撑, 云存储指的是通过集群应用、网络先进技术或者分布式文件system等功能，将网络中大量各种不同类型的存储设备通过应用软件结合起来协同工作，共同对外提供数据存储和业务访问功能的一个systemo天地伟业海量云存储system是由云存储主机和云存储管控system组成，云存储管控

26、system通过对底层云存储主机的虚拟化，对外提供统一命名的数据访问服务。云存储system具备海量存储、高可靠、易扩展、强运维等特点，支持 IP/IB网络，具备高IOPS的聚合能力体系，完全满足视频监控领域海量存储的项目需求，并在IT行业、云计算、大数据等领域广泛应用。云存储先进技术采用分层结构设计，整个system从逻辑上分为五层，分别为设备层、存储层、管控层、接口层、应用层。应用层行业平台智能平台运维平台接口层Web Service接口录像计划存储资源Web Service接口录像计划存储资源API 接口数据管理资源管理Mibs 接口设备监控服务管理存储层视频存储图片存储附属流存储

27、流式数据结构设备层IP-SAN存储设备FC-SAN存储设备云存储逻辑架构图1）设备层设备层是云存储最基础、最底层的部分，该层由标准的物理设备组成，支持标准的IP-SAN、FC-SAN存储设备。在system组成中，存储设备可以是 SAN架构下的FC光纤通道存储设备或iSCSI协议下的IP存储设备。2）存储层在存储层上部署云存储流数据system,通过调用云存储流数据system,实现存储传输协议和标准存储设备之间的逻辑卷或磁盘阵列的映射，实现数据（视频、图片、附属流）和设备层存储设备之间的通信连接，完成数据的高效的写入、读取和调用等服务。3）管控层在管控层，融合了索引管控、计划管控、调度

28、管控、资源管控、集群管控、设备管控等多种核心的管控功能。可以实现存储设备的逻辑虚拟化管控、多链路冗余管控、录像计划的主动下发，以及硬件设备的状态监控和故障维护等；实现整个存储system的虚拟化的统一管控，实现上层服务（视频录像、回放、查询、智能数智分析数据请求等）的响应。4）接口层应用接口层是云存储最灵活多变的部分，接口层面向用户应用提供完善以及统一的访问接口，接口类型可分为Web Service接口、API接口、Mibs接口，可以根据实际业务类型，开发不同的应用服务接口，提供不同的应用服务。实现和行业专属整体平台、运维整体平台的对接；实现和智能数智分析处理system之间的

29、对接；实现视频数据的存储、检索、回放、浏览转发等操作；实现关键视频数据的远程容灾；实现设备以及服务的监控和运维等。5）应用层从逻辑上划分，除了应用层外，剩下的四层都属于通常云存储的范畴，但是在天地伟业海量云存储system中，为了与视频监控system的建设和应用更加紧密的结合，更加符合用户的业务项目需求，将应用层纳入了整个system架构中，从根本上提高天地伟业海量云存储的针对性。可将行业视频监管整体平台、运维整体平台、智能数智分析整体平台等通过相应的接口与云存储system 对接，实现与云存储system之间的数据以及信令的交互。行业视频监控整体平台可与云存储system进行配

30、置录像计划、配置存储策略、检索视频资源、重要录像的备份存储等指令的交互，辅助流数据、视频数据、图片数据的存取。2. 5.3中间件先进技术在中心整体平台的集成中，要实现不同操作system、不同数据库之间的跨整体平台的分布式应用。采用中间件先进技术，可以在不改变原有system的前提下，实现已有system的信息整合。构造完整的、健全的信息集成system,可以很好地把不同部门的多种软件及信息数据结合为一个有机的协作整体。在中心整体平台的建设中，中间件先进技术将起到关键的作用，是数据处理system、信息发布system的实施基础。中心整体平台的基础中间件将充分考虑信息整体平台的实

31、际需要和特点（如：多源异构数据整合等），并选用成熟的、符合国际标准的中间件（如J2EE等）。2. 5. 4构架和构件先进技术基于构架和构建的软件体系结构能够通过对system构造的理解来提高有关软件工作人员的system设计和system分析能力体系，从而在system组织、结构重用、运行模式、system分析和system维护等方面降低软件设计和开发的成本，促进软件system生产的处理效率提高。采用基于构件的先进技术和UML建模语言来进行system的设计，实施迭代式的设计开发。统一建模语言（UML）具有直观化，确定化特点，是构建和文档化软件system产物的通用可视化建模语言

32、。UML可以与所有的开发方式方法、生命阶段、应用领域和媒介一同使用。2. 5. 5 XML 和 Web Services 先进技术中心整体平台当中的数据具有多源异构的特点，对于此类数据的处理首先要求对数据的描述要有简单易行的一套标准。XML是现在流行的数据交换标准，特别适合表述和交换复杂的数据对象和类型。在信息整体平台的建设过程中，数据采集及数据处理system把XML作为数据格式描述的统一标准，并纳入数据规范的制定当中。同时，在数据分析中，也便于采用数据挖掘、OLAP （联机事务分析）等先进技术的应用。另外Web Services先进技术支持XML, SOAP, WSDL, UD

33、DI等开放标准，可以通过HTTP协议实现穿越防火墙的软件互操作和数据交换，实现跨越各种先进技术的软件集成。2. 6信息安全性设计2. 6.1网络安全设计出于涉密网和非涉密网信息安全性的考虑，system采用边界网络先进技术，设置不同层面的安全关卡，建立控制缓冲区，在区域内架设安全监控体系，对于进入网络的每个单元进行跟踪，实现跨网络数据传输安全保密。2. 6. L1设计原则先进技术和管控相结合原则坚持先进技术和管控相结合，不仅设计完善的安全先进技术措施，同时也应配套相应的管控制度，并且安全先进技术措施要方便管控，使整个边界接入整体平台置于统一的管控和控制之下。统一规划和建设、分步实施原

34、则边界接入整体平台的建设是一个复杂的system相关工程，需统一规划。根据业务工作的实际需要来决定当前建设的重点，分期分批地实施，使整个边界接入整体平台的建设成为一个模块化、持续发展的过程。实用性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，往往导致安全策略难以贯彻执行，本身就降低了安全性。其次，采用的措施不能影响system 正常运行。可扩展性原则system设计应考虑一定的灵活性和可扩展性，安全措施必须能随着安全项目需求、先进技术发展的变化而能够平滑扩展和升级，system性能能根据业务量的252云存储先进技术202.5.1 中间件先进技术23构架和构件先进技术242

35、.5.4 XML 和 Web Services 先进技术242.6信息安全性设计25网络安全设计25262权限安全设计39网络环境设计432.6.3 网络传输设计472 . 7 system 稳定性设计48第三章SYSTEM功能设计503 . 1 system 整体平台概述504 .2整体平台设计原则515 .3整体平台结构设计523. 4 system 先进技术特点55开放式架构55先进软件架构55343高安全性架构563. 5 system 特色功能56351多种刻录方式方式方法56电子笔录功能56353双向定位功能57联合开庭功能58355全自动化刻录功能583. 6 system 业务

36、功能设计59 不断增加而平滑升级，同时能保护已有的设备投资。同时system设计还包括分域/分级保护和责任确定原则、易操作性、适度安全原则，确保system设计的合理性。2. 6. 1.2详尽设计2.6.1.2.1数据接入链路设计2. 链路设计为了在外部接入链路上屏蔽不必要的风险，数据接入统一采用专线方式方式方法。专线方式方式方法指的是法院自建或公共通信网运营商提供的专用通信线路/带宽，其特点为端点物理位置固定，电路专用。例如专用光缆、DDN或法院专用ADSL虚电路等。2.1.1. 功能设计1 .应用功能信息来源是多样的：由于边界接入业务种类多、应用广，源端采集过来的数据即有文件形式

37、的又有数据库记录形式存在的；对于同一种形式的数据，又存在多种不同的格式：如各类不同的数据库类型：Oracle MS SQL Server Sybase ASE Sybase ASIQ、Sybase ASA 和 DB2 等；各种不同的文件格式：XML、EXCEL TXT、二进制文件等。由于信息来源和种类的多样性，因此，数据采集在应用功能上需支持这种多样性。即功能实现上应与具体应用无关：既可以支持B/S应用，又可支持C/S应用。2 .安全功能在保障各类数据采集应用正常运行的前提下，数据采集需实现以下安全功能, 以实现接入终端/人员可靠、信息来源可信：终端认证：所有的接入终端需进行终端设备认证

38、（通过终端设备的硬件特征信息、system信息等），确认接入终端的合法性；身份认证：采用相应的身份认证手段（如数字身份证书方式方式方法或用户名/密码方式方式方法等）对所有的接入人员进行身份认证，以确认接入用户身份的合法性；访问控制：通过访问控制限定合法的终端/用户有权访问供其访问的资源, 保障敏感信息的安全；加密传输：在接入终端与数据采集边界之间传送的信息需采用SSL/TLS协议进行，以防止网络窃听、篡改，保障信息传输的完整性和用户行为不可抵赖性。3 .数据交换数据交换主要功能是将采集到接入整体平台的数据安全、稳定、可靠地交换到目标区域，以支撑业务的开展。由于信息来源的多样性，决定了采

39、集来的信息的多样性，即有数据库记录方式方式方法的，又有文件方式方式方法的。同时，目标方向端对数据的要求也是多样的。因此实现数据交换的system即要满足简单的数据库和文件同步外，还需支撑较为复杂的数据交换功能。必须具备以下功能：同构数据库同步交换；异构数据库同步交换；文件同步交换；文件到数据库交换；数据库到文件交换；支持一对一、一对多、多对一等多种数据传输方式方式方法：如一份文本文件同时向文件服务器和数据库服务器发送；实现数据交换业务的多种调度策略：事件触发、时间触发、消息触发；定时、实时、轮询等；提供数据可靠传输机制：发生网络阻塞，链路故障等时保障数据交换可靠传输；数据传输完整性

40、保证：发生网络阻塞/异常，链路故障等时保障交换数据的完整性；方便的管控功能。管控设计边界接入整体平台安全监管功能设计包括以下几个部分：注册信息管控、运行监控管控和安全审计管控。1 .注册信息管控注册信息管控部分提供边界接入不同层次（接入终端、整体平台、链路、业务、使用单位等）的信息注册和管控功能。包括对接入终端信息、接入整体平台信息、链路信息、业务信息、使用单位信息、整体平台运行信息等进行注册管控，以及根据实际应用项目需求从不同层次配置的安全策略管控。2 .运行监控管控运行监控管控部分主要根据边界接入整体平台以及业务注册过程中配置的安全策略提供安全管控功能。主要包括实时监控接入终端的

41、安全状况、网络连接情况、system和业务应用的运行情况；实时监控接入整体平台的运行状况，并实现对监测信息、报警信息、安全事件信息等数据的查询和统计，监控接入整体平台当前运行总体情况；用户监控，即登录状态、操作行为、访问资源等；异常监控，包括异常用户、流量、设备等信息；按时间段、应用system、用户单位分析统计用户信息、流量信息、异常信息；及时生成网络流量信息的报表。3 .安全审计管控安全审计管控部分提供针对用户、业务应用system设备等的安全审计功能, 以及对异常事件的追踪。主要包括：用户行为审计，即用户信息、访问的资源、访问的时间等；业务应用system审计，即应用syst

42、em信息，数据传输流量、传输时间、传输单位等；设备运行审计；异常行为审计等；按时间段、应用system. 用户单位分析统计用户行为、业务应用system数据传输、异常行为。安全设计1 .终端设备注册边界接入业务的终端类型多、地域分布广，为了确认接入终端的合法性，对所有的接入终端进行设备注册。只有在整体平台进行了注册，并审批通过的合法终端才能与整体平台实现互连。终端设备注册的目标方向就是确认接入终端设备的合法性。注册的信息包含终端设备的硬件特征信息及软件信息，以确定终端设备的唯一性。2 .用户身份认证通过对边界接入用户的身份进行认证，确定接入用户身份的合法性。根据接入业务类型的不同，采用

43、不同的用户身份识别先进技术。3 .网络安全区域边界接入整体平台作为检察院涉密专网对外的统一出入口，其面临外部各种复杂的网络环境，在网络级别将受到各类攻击。在网络安全设计上，除了采用专门的安全接入设备作为整个整体平台边界设备外，在其外部还增设防火墙以保护边界接入整体平台边界的网络安全。4 .访问控制访问控制设计的目标方向是为了保障非法用户和终端不能访问接入整体平台、合法用户和终端不能越权访问接入整体平台、特定资源仅对特定授权用户和授权终端提供访问。未通过身份认证的接入终端应无法进入接入整体平台访问。通过身份认证的接入终端只能访问接入整体平台内的指定设备，并且只能进行允许的操作，非授权

44、的访问应被阻断。5 .应用安全在与检察院涉密专网进行数据交换之前，接入整体平台必须对接入业务的数据流量先实现通信协议的剥离，并按照业务预先注册的数据格式要求，对数据的类型、格式进行严格检查，对数据相关合适的内容进行过滤，限制所有不符合要求的数据传入接入整体平台。检察院涉密专网内及接入整体平台内接入业务应用信息system应完善自身的安全性和健壮性，尽量确保通过接入整体平台的业务信息数据的机密性、完整性。必须实现应用级日志记录，并报送集中监控system。6 .数据安全检察院涉密专网内及接入整体平台内的重要数据应遵照检察院相关规定提供保护和备份措施。应对传输过程中的数据进行机密性保护

45、。应保证传输过程中数据的完整性。应具备防止数据的重放攻击、篡改和伪造等功能，具备提供数据原发证明和交付证明的抗抵赖功能。7 .主机安全主机主要指接入整体平台内提供各类型应用服务及数据存储的服务器或管控终端。主机操作system应选择具有长期补丁更新支持的正版软件，应遵循最小安装的原则，即仅安装需要的组件和应用程序，并保持system补丁及时得到更新。应安装经国家有关部门认证、许可的正版防病毒软件，并通过在接入整体平台内设置防病毒服务器或手动下载来及时更新防病毒软件版本和病毒库。应对登录system的用户进行身份认证，身份认证方式方式方法（如口令）应有足够强度。应禁止远程登录，启用登录

46、失败处理功能。应严格限制帐户的访问权限。应开启system安全审计功能，安全审计的相关合适的内容应记录system内重要的安全相关事件，包括重要用户行为、system资源的异常使用和重要system 命令的使用等。8 .病毒/木马防护针对不同的应用类型采取不同的病毒/木马防护先进技术。针对数据交换类应用，由于数据在整体平台内必需暂存后才进行交换。因此，在数据落地后进行病毒/木马的查杀是最有效的，且对数据交换性能的影响最小。此项措施可通过在暂存数据的前置机上安装杀毒软件来实现。另外，在数据交换的设备上增加病毒/木马防杀措施以进一步加强对病毒/木马的防护，可根据具体情况灵活搭配使用。2

47、. 6.1.2,1. 5性能设计作为检察院涉密专网与外部业务接入的边界接入整体平台，在性能上需满足目前的业务项目需求外，还需对将来的业务扩展留下充足的空间。在性能设计上主要体现在整体平台链路带宽、在线/并发用户数和网络吞吐量等方面。2.6. L 2. L 6扩展设计整个解决方案在设计时考虑将来的扩展，主要体现在业务扩展和性能扩展上。对于业务扩展，增加业务的方式方式方法主要有两种：第一种方式方式方法是在原有硬件的基础上增加新的应用服务；第二种方式方式方法是增设新的应用服务器以支撑新的应用。对于第一种方式方式方法，对边界接入整体平台现有架构或硬件设备无任何更改，只需在原有的硬件上增加相应的

展开阅读全文