《平安城市高清视频监控系统和卡口系统边界接入平台建设方案.docx》由会员分享,可在线阅读,更多相关《平安城市高清视频监控系统和卡口系统边界接入平台建设方案.docx(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、平安城市高清视频监控系统和卡口系统边界接入平台建设方案1.1 边界平台设计依据本方案依据以下文件或规范设计: 公安信息通信网边界接入平台安全规范(试行)(公 信通2007 191 号,2007 年 10 月) 公安信息通信网边界接入平台安全规范(试行)一 一视频接入部分,2011年1月 城市报警与监控系统建设、管理、应用规范性文件 汇编(公安部科技信息化局,2009年) 公安信息通信网联网设备及应用系统注册管理办 法(公信通2007139号,2007年5月)1.2 业务需求结合东莞公安业务特点,业务主要分为卡口系统接入; 视频监控系统接入两部分。力求在有效防止黑客攻击、病毒 木马入侵等高技术信
2、息手段攻击的前提下,将视频和卡口数 据(图片、视频片段、数据库)安全接入,为公安业务部门 的调阅及比对预警等应用提供数据基础。卡口系统接入此类接入对象的特点如下:1. 5. 4应用服务区主机安全加强根据前置机所安装的操作系统不同分别进行处理。目 前,主要的操作系统有两类:Linux和Windows系统。在实 施的过程中,实施人员需根据不同情况分别对系统进行安全 加固。主要措施如下。尽可能采用经过国家权威部门检测认可的安全操作系 统(如红旗LINUX等)屏蔽超级用户、guest用户等,加强登录用户的密码强度关闭所有不安全的远程控制端口屏蔽所有不用的低端端口 安装防病毒软件安装防火墙软件 应用软件
3、最小安装原则1. 5. 5安全隔离区该区域主要实现公安信息通信网与应用服务区网络隔 离和数据的安全交换,它通过高可信的方式,实现异构系统、 数据源之间安全、灵活、有效、快速的数据交换。该区域主要实现以下安全功能:网络隔离:切断外网与公安信息通信网的网络连接,剥离所有通过本系统交换的通信协议,保证在内外网之间只能 通过裸数据进行有限交换。格式过滤:数据交换系统可根据用户自定义的源数据规 则对经数据交换系统交换的数据进行深度格式过滤,与源数 据格式不匹配的数据过滤掉,只交换与源数据格式匹配的数 据。内容检查:数据交换系统可根据用户自定义的源数据规 则对经数据交换系统交换的数据进行深度内容检查,与源
4、数 据内容不匹配的数据过滤掉,只交换与源数据内容匹配的数 据。单道访问:数据交换系统对前置机/后置机采用单道访问 设计,数据交换系统主动从前置机获取数据,不接受前置机 主动向数据交换系统发送数据。安全审计:对经数据交换系统进行交换的所有行为安全 审计,保证数据交换行为事后可追溯。该区域的主要设备包括:网闸、安全数据交换系统。网闸通过网闸切断所有基于网络协议的连接,使外部终端无 法直接访问公安信息通信网,确保公安信息通信网与外部网 络隔离。该设备采用了三部件架构,采用专用的硬件和安全 芯片,采用专用通信协议进行数据摆渡。并且保证对所有过 往的流量都剥离了通信协议,保证所有协议剥离和再生过程 都接
5、受安全审计,并且具有防范各种网络协议攻击的能力 (如DDOS、LAND、滴泪攻击等)。安全数据交换系统安全数据交换系统由两台专用的数据交换服务器组成,系统硬件内部采用高可靠性设计,硬件设备内部采用特殊的 认证机制,保证基于硬件的可信任计算体系。安全数据交换 系统根据业务配置建立业务数据通道,并对业务数据通道上 传输的数据进行过滤和审计。只允许符合安全策略的业务数 据进行交换,不允许任何其它的数据传输。安全数据交换系统具备如下安全功能:系统能够实现对数据交换对象的身份认证系统能够保证数据交换内容的机密性和完整性系统能够区分连接内外网链路的接口系统根据安全策略主动获取来自前置机群的数据 系统能够验
6、证数据源和数据完整性系统能够根据业务规则检查数据类型、格式、内容,过 滤不符合安全策略的数据。系统能够保证非法数据交换行为可追溯具体描述如下:身份认证系统内部通过硬件数字证书进行双向身份认证,如果一 旦系统内部的硬件数字证书被拔走,则数据交换过程马上终 止。如果外网端其他服务器冒用地址向内网发送数据交换请 求,则直接会被系统拒绝。数据加密系统根据认证产生的会话密钥对传输数据进行加密。区分内外网链路系统能够自动区分连接内外网链路的不同接口,外网接 口保证数据源的合法性和数据的完整性,内网接口对数据进 行检查、过滤、审计和分发等处理。单向通道主动获取数据安全数据交换系统采用了特有的单向通道技术,确
7、保除 了所配置的接入业务以外,没有任何其它软件能够利用数据 通道传输数据,也没有任何其它软件能够自行建立数据传输 通道。系统主动获取前置机上数据,所有数据请求都由内网交 换服务器主动发起,根据用户事先定义的业务调度策略进行 调度,每个业务在配置完成后即形成该业务的隧道,系统不 接受前置机向系统发起的主动数据提交请求。验证数据源系统支持对前置机硬件设备证书双向认证。系统可以兼 容各种证书体系所颁发的标准X.509证书。数据过滤系统能够根据用户事先定义业务规则对数据进行全面 过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细 化到每个字段,包括类型、范围、长度、枚举、缺省值、特 殊字段、字符编码
8、、图像字段许可等等。系统集成了世界上首屈一指的流杀毒引擎,可以节省您 在防病毒、木马上的投资。系统能够识别数据交换内容中 SQL语句,能够有效防范所有SQL提交攻击,保护用户内 网的数据库和业务应用系统,保证不泄露内网数据结构。系 统能够根据用户事先设置的黑名单过滤所有交换的数据,如 果出现黑名单中的内容则阻断数据交换行为并报警通知用 户。审计与行为追溯系统提供对整个数据交换行为的完整审计,包括数据来 源、交换发生时间、数据交换的目标、数据交换的内容、是 否得到了授权、是否遵守交换规则、交换行为是否成功、交 换结束时间等等。系统能够提供应用级日志,并且支持日志服务器功能, 将日志信息以标准格式
9、(SYSLOG格式)导出给集控系统或其 他第三方存储备份,并结合集控系统对系统日志进行分析。 1. 5. 6安全监测与管理区安全监测与管理区为公安内网区。1.6视频边界接入1. 6.1业务流程描述依据公安信息通信网边界接入平台安全规范(试行)视频接入安全部分的要求,视频接入链路架构如下:公安信息通信网外部接入及态接入对鞋公安祖姆般般m u将,总,用户 iki 圈务 tt安全陶 离区公决 PKI/FHJ晶线应用取 务区,4PMi信今 )(:谈:当边界柴 护区边界接入平台视频接入55路路由接入区XJL安全监测与管理区r LiftMX专线视频监控系统视频接入链路基本架构拓扑视频安全接入系统将外部视频
10、监控系统通过专线方式 与公安网实现联接。视频安全接入系统在保证网络隔离的前 提下,通过对视频接入对象的身份认证、对视频通信协议的 认证和对调用视频客户端的身份认证的“三重认证”基础上, 将外部视频监控系统的图像信息安全的接入到公安信息通 信网,供信息通信网内的终端和服务器调用视频图像信息。 1. 6. 2视频边界接入性能传输延时二20nls数据吞吐量2600Mbps并发用户数240数据包丢失率0. 1%。L6.3路由接入区 外部通信链路基于光纤专线,该专线是不通互联网的。用户只是通过 该专线访问到视频监控系统(视频服务器或硬盘录像机等)。 终端安全终端安全主要体现在如下几个方面:终端用户身份识
11、 别、终端设备认证、终端访问控制、传输保护。 终端身份识别视频监控系统接入链路的终端是指公安内网调用外网 视频监控系统资源的计算机终端,这些终端的身份识别必须 采用公安机关颁发的警用硬件数字证书,只有通过身份认证 的用户才能与平台连接,保证接入用户身份的合法性。 终端设备识别由于视频监控系统接入链路的终端多、分布广,为了确 认终端的合法性,对所有的终端进行设备注册。只有在安全 接入平台内进行了注册,并审批通过的合法终端才能与平台 实现互连。终端设备注册的目的就是确认终端设备的合法性。注册 的信息包含终端设备的硬件特征信息及软件信息,以确定终 端设备的唯一性。 终端访问控制在终端与平台完成连接认
12、证时,通过设置细粒度访问控 制策略,确保非法用户不能访问,合法用户不能越权访问。1.64边界保护区边界保护区的主要设备包括:防火墙等。防火墙防火墙的首要功能是根据数据包的源地址、目标地址、 协议类型、源端口、目标端口以及网络协议等对数据包进行 访问控制。防火墙还保证了边界接入平台内部的主机地址不 被外部终端直接获得。1. 6. 5应用服务和安全隔离区在视频接入链路中,视频数据和视频控制信令终止于应 用服务区。在应用服务区与安全隔离区,通过视频安全接入 系统将视频数据和视频控制信令进行严格分离和传输,从而 保证视频数据和视频控制信令安全地传输到公安信息通信 网。视频安全接入系统视频认证服务器视频
13、认证服务器分为视频接入认证服务器和视频用户 认证服务器两类。用以下安全功能:视频接入认证服务器对接入对象(终端、视频服务器等) 进行设备认证并与之交互,获取视频。视频用户认证服务器 对公安信息通信网上使用视频资源的终端用户进行统一注 册、身份认证和访问控制,并提供视频服务。对视频数据与控制信令严格区分,分别处理后进行传 输。支持视频数据的单向传输模式和控制信令双向传输模 式。对视频信令格式检查及内容过滤:能够识别视频控制信 令、视频传输协议,阻断未注册的协议和数据格式。对视频接入设备进行身份认证,禁止未认证设备连接视 频接入链路。对公安信息通信网内的用户进行身份认证和访问控制, 保证仅允许认证
14、通过的用户才能访问已授权的视频资源。对视频数据实时检测,能够有效阻断夹杂恶意代码的视 频数据。支持集中监管,实时上报设备运行状态、数据流量、设 备报警等信息。视频安全隔离设备本设备实现以下基本功能:网络隔离:实现视频专网与公安信息通信网的网络隔 离,切断所有基于网络协议的连接,使外部终端无法直接访 问公安信息通信网,确保公安信息通信网的安全。单向传输:系统严格区分视频数据流和控制信令流,并 严格控制视频流传输的方向,视频数据流必须采用单向传输 方式,确保没有反向的视频流从公安网内流出。访问控制:系统能够对接入的视频数据的源地址及端口 进行访问控制,以保证数据源的合法性,防止非法数据进来。内容检
15、查:系统能够进行视频传输协议格式检测,即使 对所传输的视频流实时进行分析和过滤,并对非法的视频流 进行阻断和报警,从而保证视频接入业务只传制定格式的视 频流而不传输其他任何非视频信息。防病毒:为了保证公安信息通信网内的终端用户在接收 视频数据时不被木马、病毒感染,系统采用视频协议过滤等 技术手段实现视频信息防木马和病毒。数据加密:系统能够保证对敏感的视频信息传输进行通 信机密性保护,防止公安信息通信网敏感数据外泄。行为审计:系统提供完整的客户端行为审计保证用户终端的各种行为事后可以追溯。安全监管:在公安内网用户终端访问视频安全接入链路过程中,整条链路上的安全设备都会向集控系统报送接入对 象的访
16、问日志,同时视频数据交换所产生的流量信息也都会 被有效的收集,集控系统会对这些日志和流量信息进行分析 统计,从而对链路进行安全监管。1. 6. 6安全监测与管理区安全监测与管理区为公安内网区。图像数据支持文件及数据库两种存储方式;需要将相关抓拍数据(照片、视频片段)采用数据交换 方式与公安信息通信网进行信息交换;机动车通行图片信息可汇总存储至公安网内的工作数 据库,也可直接存储在卡口系统运行的非公安专网上;公安内网会将卡口布控和拦截信息下发给各个卡口,数 据交换是双向的。前端卡口探点采用专线方式统一汇聚;采集终端多;数据并发量大。视频监控系统接入这些视频资源有如下特点:采用客户端方式访问、调阅
17、相关视频资源;公安内网访问终端众多;业务扩展应用多;视频流数据量大。1.3安全需求1. 3.1终端安全需求由于外网接入用户数量较多,而且外网环境不安全,人 员复杂,所以终端安全的风险较大;外网的接入终端(或服 务器)存在非法使用、非授权访问,甚至存在伪造终端接入, 并有可能发展为木马、病毒的传播来源。终端安全需要做到如下几点:接入终端在联接安全接入平台同时不得联接联接互联 网或其他网络,建议采用专用终端并进行安全加固;对接入平台的终端设备进行注册,只有注册过的终端设 备才可以与平台进行通信。确定接入终端的合法性。1. 3. 2链路安全需求安全接入平台的外部接入链路采用专线,是指采用公安 自建的
18、或公共通信网运营商提供的专用通信线路、带宽接 入,其端点物理位置固定,电路专用,例如专用光缆、公安 专用ADSL虚电路等。1. 3. 3身份认证需求对于各类接入用户,如果没有实现身份认证,则权限管 理和访问控制就没有了基础,也无法保证接入用户的合法 性。平台的身份认证需要做到如下几点:对各类电子警察系统服务器(或工控机)采用硬件设备 证书或SNMP V3等多种方式进行身份认证;对视频服务器或硬盘录像机等外部视频接入对象通过 IP/MAC地址绑定、SNMP V3等多种方式进行认证;对公安内网调用视频资源的终端基于警用数字证书进行认证,认证协议采用基于SSL的双向认证协议。访问控制需求即便是接入终
19、端通过了身份认证,也不是公安信息通信 网内的所有信息资源都能被它访问,还是需要根据接入终端 具体权限进行访问控制,否则很容易造成越权访问、信息泄 宓 LU O平台的访问控制需要做到如下几点:未通过身份认证的外部终端不能进入平台访问。外部终端的网络连接终止于接入平台内,无法直接访问 公安信息通信网或与公安信息通信网交换信息。通过身份认证的外部终端只能访问平台内的指定设备, 并且只能进行允许的操作,非授权的访问应被阻断。1. 3. 5设备安全需求安全接入平台内所有的安全设备都应满足国家或公安 行业相关的技术标准和要求,具备国家相应权威部门出具的 产品证书和安全检测报告,并在检测报告允许的范围内使
20、用,关键安全设备必须接受监管系统的监管和审计。应用安全需求针对接入业务,应用安全需求分为对数据交换方式的安全需求和视频接入应用安全需求两类。数据交换应用安全要求在与公安信息通信网进行数据交换之前,安全接入平台必须对接入业务的数据流量先实现通信协议的剥离,并按照 业务预先注册的数据格式要求,对数据的类型、格式进行严 格检查,对数据内容进行过滤,限制所有不符合要求的数据 传入接入平台。公安信息通信网内及安全接入平台内接入业务应用信 息系统应完善自身的安全性和健壮性,尽量确保通过安全接 入平台的业务信息数据的机密性、完整性。视频接入应用安全需求视频数据与视频控制信令分别处理和传输视频数据与视频控制信
21、令必须按照不同的安全策略严 格区分,分别进行处理和传输,其中视频数据采用单向传输。视频数据传输方向视频接入链路必须严格控制视频数据的传输方向,禁止 公安信息网内数据资源通过视频接入链路向外传出,严防敏 感数据外泄。视频控制信令格式检测在与公安信息通信网进行视频单向传输之前,要按照预 先注册的视频控制信令的类型、格式和内容,对控制信令进 行“白名单”方式的格式检查和内容过滤,只允许符合格式 要求的控制信令数据通过,对不符合格式的数据进行阻断和 报警。视频传输协议格式检测视频传输协议格式检测按照预先注册的视频数据格式, 对所传输的视频数据进行实时分析和过滤,对不符合格式的 视频协议进行阻断和报警。
22、视频数据病毒木马检测采取必要的安全技术防范措施,防止视频数据夹杂恶意 代码,形成对公安信息通信网的攻击。1.4总拓扑图L5卡口边界接入1. 5.1业务流程说明卡口系统主要是将相关车辆的车牌、进出道路时间;以 及车辆图像抓拍下来,为后期公安车辆稽查比对提供现场证 据使用。通过建设卡口系统接入链路,将前端卡口系统的相 关图片数据安全、可靠的传输到公安内网统一管理使用。业卡口系统端将采集到的车辆相关车辆及图像信息存储在通行信息服务器上,然后通过专线方式传输至应用服务区的图片及数据库前置机群汇总; 接收前置机将接收的数据统一暂存后,通过安全数据交换系统将汇总的数据摆渡至公安内网数据库服务器中,实现数据
23、的安全交换;安全数据交换系统将公安内网布控或报警信息(文本或数据库记录)实时交换到公安外网前置机上,通过前置机下发到各个卡口。接下来,将针对业务流程,详细介绍相关区域模块功能。L5.2卡口边界接入性能稳定性运行时间(MTBF) 50,000小时交换能力300Mbps并发会话6,000个数据文件处理吞吐量N300Mbps应用层数据交换速度(FTP) 2300Mbps最大数据文件230G最大支持服务240目录监控触发时间1秒最大传输延时40msL5.3路由接入区 通信链路卡口系统与安全接入平台联接的外部接入链路采用专 线。 边界保护区边界保护区主要设备包括:防火墙、可信边界安全网关、 三层交换机、
24、集控探针等。 防火墙防火墙的首要功能是根据数据包的源地址、目标地址、 协议类型、源端口、目标端口以及网络协议等对数据包进行 访问控制。防火墙还保证了安全接入平台内部的主机地址不 被外部终端直接获得。 可信边界安全网关可信边界安全网关对社会企事业单位接入终端进行身 份认证,保证未通过身份认证的接入终端不能进入平台访 问,还保证在网络传输过程中,接入终端与边界接入平台之 间的通信内容全程加密。 三层交换机利用三层网络交换机的IP路由和虚网功能,根据接入应 用进行路由选择和虚网划分,保证不同业务应用通道之间的 相互隔离。三层交换机根据不同业务设置不同的VLAN,每 个VLAN连接这个业务的前置机、数据库或者文件服务器, 每个VLAN之间不能互相访问。这样的配置即能保证每个业 务之间相对独立,一旦某个业务的前置机感染病毒木马不能 通过内部局域网迅速传播,又能实现所有业务的数据交换。 设备安全登录边界保护区内的关键设备都必须通过用户身份认 证,一般登录交换机、防火墙、IDS等设备都采用用户名/ 口令方式,口令设置长度不小于8位。所有边界保护区内的 关键设备都必须开启审计功能,通过接口将每个设备的日志 抄送给集控探针。审计内容包括这些设备的登录事件、配置 更改事件、报警事件、故障信息等等。