公安信息网视频监控安全接入的解决方案.doc

公安信息网视频监控安全接入解决

方案

2011年3月

目录

一、概述 (4)

二、视频监控业务及安全防御难点分析 (5)

2.1视频监控业务分析 (5)

2.2公安网视频监控应用的安全防御难点分析 (6)

三、建设标准与目标 (7)

3.1 建设标准 (7)

3.2 建设目标 (8)

四、视频安全接入解决方案 (9)

4.1 总体架构设计 (9)

4.1.1 接入对象 (12)

4.1.2 接入链路 (13)

4.1.3 边界接入平台视频接入链路 (14)

4.1.4 公安信息通讯网 (16)

4.2 平台安全防御体系设计 (16)

4.2.1视频接入认证服务 (17)

4.2.2网络隔离与访问控制功能 (20)

4.2.3 反弹木马阻断功能 (22)

4.2.4 视频数据实时病毒检测与阻断 (23)

4.2.5 视频用户认证与授权功能 (25)

4.3 集中安全管理与日志审计 (26)

4.4 高性能设计 (29)

4.5 高可靠性设计 (30)

五、主要技术性能 (30)

5.1 安全功能 (30)

5.2 技术性能 (32)

5.3 设备规格 (33)

一、概述

公安信息网（公安网）目前是星型拓扑结构，由一、二、三级主干网和接入网组成。公安部至各省公安机关主干网为一级网络，省级公安机关至所辖地市公安机关的网络为二级网，地市级公安机关至所辖县区公安机关的网络为三级网络，基层科、所、队到分局或市局的网络为接入网。

公安网络系统的主要功能是为各级公安业务部门提供语音、数据、图像等交换和传输服务。公安数据业务包括人口、治安、交管、刑侦、预审、出入境管理等二十多种业务的信息传输与查询；办公自动化、电子邮件等内部管理数据；公安内部信息网站浏览等业务，文字、图表、动、静态图像等数据的传输和交换。

在视频监控应用的接入过程中，公安信息通信网面临很大风险。

例如来自外网的各种攻击、入侵、植入木马、探头（信息搜索代理Agent）和病毒等威胁；各类设备上的后门有可能受控启用，造成信息失控、设备故障；内外勾结造成的内部重要信息通过视频应用通道泄漏；由于误操作、非授权访问等造成的信息丢失、失控等问题。

由于社会治安视频监控网络采用的网络传输环境复杂，前端系统（视频监控点）覆盖面广且管理部门不统一，因此，公安部制定了《公安信息通信网边界接入平台安全规范》，严格制定了公安网与外网间信息交换的标准、架构、安全等技术要求，各级公安机关都必须按照规范要求建设外网接入公安网的安全体系架构，治安视频监控网络也必须通过规范的安全隔离接入平台接入公安内网，本方案专门针对视频监控中的安全风险设计满足管理、安全、性能需求的解决方案。

二、视频监控业务及安全防御难点分析

2.1视频监控业务分析

社会治安视频监控系统是防范、打击违法犯罪的重要技术手段之一，目前，广东省公安系统已经基本建设完成了覆盖全省的综合视频

监控系统，并且取得了良好的实际效果，有力地协助公安机关快速、准确打击罪犯。

社会治安视频监控系统不仅仅是由公安机关建设和管理的专用网络，而是集中了全社会资源建设的视频综合数据传输网络，该网络包含三类视频监控点资源：

一类为主要干道、出入口、要害部位、人流密集地段和案件高发部位。

二类为治安复杂地段、人员聚集点、娱乐场所、商业街区、大中型居民住宅区、重要企事业单位以及金融珠宝网点等。

三类为一般的治安复杂点、街巷死角和部分社会单位如学校、幼儿园、医院及新建商场、办公大楼外围。

2.2公安网视频监控应用的安全防御难点分析

公安网视频监控应用的主要安全防御难点表现在：

（1）传输内容安全过滤困难。视频应用区别于WEB、数据库等其他应用的主要特点在于其传输的内容为二进制图像数据流，因此，如何有效防止违法的病毒、木马数据嵌入视频应用中传输成为必须解决的问题。

（2）防止内网泄露机密信息困难。由于视频监控的访问具有双向性，即部分公安内网视频监控需要对外向其他政法等单位提供，公安内网也需要访问大量一、二、三类视频监控资源，如何有效防止木马程序利用视频通道泄露公安内网机密数据也必须加以可靠解决。

（3）应用协议控制困难。由于行业特殊原因，视频监控协议始终没有制定标准，导致各视频厂家协议差异较大，不兼容现象普遍，安全控制难度大。

三、建设标准与目标

3.1 建设标准

本方案严格按照公安部相关视频接入安全标准及体系架构设计，

满足各类公安网视频安全接入环境的要求，主要依据标准包括：

未定编号公安信息通信网边界接入平台安全规范

未定编号公安信息通讯网边界接入平台安全规范（试

行）视频专网

GA/T367-2001 视频安全监控系统技术要求

GB/T 20279-2006 网络和终端设备隔离部件安全技术要求

GB17859-1999 计算机信息系统安全保护等级划分准则

GA/T669-2006 城市监控报警联网系统通用技术要求

3.2 建设目标

依据公安部相关规定和公安信息通信网现有安全基础设施、依据公安网边界安全隔离接入平台规范要求，建设具备安全性、可管理性、高性能、高可靠性的社会监控视频接入平台，实现公安内网安全、视频接入区域边界安全、通讯内容安全、访问权限安全等。包括：

安全性：确保内外网在访问视频数据时防止携带病毒、木马等

程序进入公安内网，防止可能存在的木马利用视频接入通讯通

道泄露公安机密信息；

●完整性：确保视频数据在传输中不被恶意篡改；

●可用性：确保视频接入业务能够满足性能需求，安全正常运行；

●可审计性：能够有效监控和审计视频接入业务的运行情况。当

发生违规或异常情况时，能够及时发现、报警并处理；

●可管理性：对于专用视频接入隔离设备运行过程能够管理和监

控，具有规范合理的接入业务流程，纳入日常维护管理；

●可扩展性和高可靠性：视频接入平台应具有可扩展的，能够根

据视频访问业务的扩展不断扩充接入流量，同时，具备硬件冗

余容错能力。

●可集成性：提供必要的日志和管理接口，能够与公安部隔离接

入平台紧密集成，将监控视频接入纳入到统一的公安信息通信

网隔离接入平台管理体系中。

四、视频安全接入解决方案

4.1 总体架构设计

视频接入公安网应用属于公安信息通信网边界接入平台的一种