公共安全視頻監(jiān)控網(wǎng)邊界接入平臺設計與應用

周俊鶴 張曉雙

摘 要：隨著宜興市公安局技防城建的不斷推進，加強與圖像專網(wǎng)各應用平臺的“資源共享、互聯(lián)互控”，并實現(xiàn)監(jiān)控資源“視頻監(jiān)管一網(wǎng)控”的建設也被提上日程。為了安全地將資源有機聯(lián)網(wǎng)、整合共享，本文在運營商專網(wǎng)和城管交通匯聚平臺和公安自建的圖像專網(wǎng)間進行數(shù)據(jù)安全接入平臺系統(tǒng)和視頻安全接入平臺系統(tǒng)的部署，從而實現(xiàn)宜興市公安局對運營商專網(wǎng)和城管交通匯聚平臺的數(shù)據(jù)資源調用和視頻實時錄像的查詢。

關鍵詞：公共安全視頻監(jiān)控；數(shù)據(jù)交換；視頻交換；安全隔離網(wǎng)閘

中圖分類號：TP399 文獻標識碼：A

1 引言（Introduction）

公共安全[1]視頻監(jiān)控[2，3]建設聯(lián)網(wǎng)應用，是新形勢下維護國家安全和社會穩(wěn)定、預防和打擊暴力恐怖犯罪的重要手段，對于提升城鄉(xiāng)管理水平、創(chuàng)新社會治理體制具有重要意義。近年來，各地大力推進視頻監(jiān)控系統(tǒng)建設，在打擊犯罪、治安防范、社會管理、服務民生等方面發(fā)揮了積極作用。但隨著視頻監(jiān)控建設應用不斷深入，現(xiàn)有法律法規(guī)不完善、統(tǒng)籌規(guī)劃不到位、聯(lián)網(wǎng)共享不規(guī)范、管理機制不健全等問題日益突出，嚴重制約了立體化社會治安防控體系建設發(fā)展。

為加強公共安全視頻監(jiān)控建設聯(lián)網(wǎng)應用工作，強化應用支撐、完善應用機制，統(tǒng)籌推進視頻圖像信息資源整合、安全共享和綜合應用。為到2020年，基本實現(xiàn)“全域覆蓋、全網(wǎng)共享、全時可用、全程可控”的公共安全視頻監(jiān)控建設聯(lián)網(wǎng)應用，并在加強治安防控、優(yōu)化交通出行、服務城市管理、創(chuàng)新社會治理等方面取得顯著成效。

宜興市公安局本次建設將嚴格按照公安部相關的規(guī)范標準和符合宜興市公安局建設的三網(wǎng)三平臺要求，將在運營商專網(wǎng)和城管交通匯聚平臺和公安自建的圖像專網(wǎng)間進行數(shù)據(jù)安全接入平臺系統(tǒng)和視頻安全接入平臺系統(tǒng)的部署，從而實現(xiàn)宜興市公安局對運營商專網(wǎng)和城管交通匯聚平臺的數(shù)據(jù)資源調用和視頻實時和錄像的查詢。

2 現(xiàn)狀分析（Situation analysis）

在數(shù)據(jù)交換平臺方面。宜興市在運營商專網(wǎng)和城管交通匯聚平臺中已經(jīng)建設完備了視頻信息平臺和數(shù)據(jù)信息平臺，但是隨著公安應用的推進，以及跨部門間協(xié)作的需要，視頻專網(wǎng)需要與運營商專網(wǎng)和城管交通匯聚平臺中的數(shù)據(jù)平臺進行數(shù)據(jù)交換[4]以完成對數(shù)據(jù)的分析和監(jiān)控。同時，城管交通等部門在外部網(wǎng)絡搭建了視頻數(shù)據(jù)匯聚平臺，廣泛采集社會面的視頻數(shù)據(jù)信息，這些資源都有與公安視頻專網(wǎng)進行交互和共享的需要。但是由于數(shù)據(jù)交換對象面向整個運營商專網(wǎng)和城管交通匯聚平臺，這些資源大部分來源于互聯(lián)網(wǎng)和社會面，數(shù)據(jù)交換量巨大，實時性要求又高，種類較為復雜，如果采用傳統(tǒng)的光盤刻錄、移動介質拷貝等人工操作手段，或既無法保證信息時效性、數(shù)據(jù)安全性和數(shù)據(jù)完整性，又耗時耗力需要大量的人力成本。而采用傳統(tǒng)的網(wǎng)閘和防火墻設備雖然在一定程度上實現(xiàn)了數(shù)據(jù)交換功能，但是無法保證視頻專網(wǎng)的高度安全性，以及與運營商專網(wǎng)和城管交通匯聚平臺和城管交通匯聚平臺交換數(shù)據(jù)的實時性要求。而由于直接與運營商專網(wǎng)和城管交通匯聚平臺進行物理連接，視頻專網(wǎng)更容易遭受到來自公網(wǎng)的攻擊。因此，亟須在運營商專網(wǎng)和城管交通匯聚平臺與視頻專網(wǎng)之間建設一套視頻專網(wǎng)數(shù)據(jù)交換平臺和一套城管交通數(shù)據(jù)交換平臺。為實現(xiàn)多個業(yè)務與視頻專網(wǎng)進行數(shù)據(jù)交換的要求，并使用安全隔離網(wǎng)閘實現(xiàn)邊界安全防護。

在視頻交換平臺方面。隨著視頻監(jiān)控與智能化城市建設，宜興市在運營商專網(wǎng)和城管交通匯聚平臺上已經(jīng)建設有視頻資源平臺，然而僅僅在運營商專網(wǎng)和城管交通匯聚平臺建設了完備的視頻資源平臺，仍然無法達到與視頻專網(wǎng)安全高效交換視頻信息的目的。因此，宜興市仍然需要建設視頻交換平臺以實現(xiàn)視頻交換的目的。按照統(tǒng)一接入管理、統(tǒng)一應用審計、統(tǒng)一運行監(jiān)控、統(tǒng)一策略部署的要求，視頻資源的接入與交換需要納入已建邊界接入平臺的集中監(jiān)控和審計系統(tǒng)，進行統(tǒng)一管理和監(jiān)控，并實現(xiàn)級聯(lián)上報。

3 安全需求分析（Analysis of security requirements）

應九部委公共安全視頻聯(lián)網(wǎng)應用要求。依托部署在公安信息通信網(wǎng)上的視頻圖像信息聯(lián)網(wǎng)平臺和部署在視頻圖像信息傳輸專網(wǎng)上的視頻圖像信息共享平臺，按照統(tǒng)一標準、分級分類、安全可控的原則，開展一、二、三類視頻監(jiān)控點的整合與共享。對一類視頻監(jiān)控點和公安機關自建的其他視頻監(jiān)控系統(tǒng)，原則上要全部聯(lián)網(wǎng)整合并通過授權實現(xiàn)共享。對二類視頻監(jiān)控點和確有必要聯(lián)網(wǎng)接入的三類視頻監(jiān)控點，要嚴格遵循《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）—視頻接入部分》等技術規(guī)范，在確保安全的條件下接入和共享[5]。鼓勵視頻圖像綜合運營服務等企業(yè)以社會化、市場化方式對三類視頻監(jiān)控點進行整合。因此，公安視頻專網(wǎng)邊界建設非常重要。

對于數(shù)據(jù)交換平臺，按照信息系統(tǒng)安全等級保護第三級要求[6]，從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面考察系統(tǒng)的安全需求。其中，網(wǎng)絡安全風險包括入侵者通過滲透到視頻專網(wǎng)上進行攻擊、竊取或其他破壞，攻擊者還有可能在傳輸線路上進行竊聽，竊取在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，或通過包重組技術讀出數(shù)據(jù)信息，造成泄密[7]或者通過重放攻擊破壞數(shù)據(jù)的完整性；這些都對網(wǎng)絡構成嚴重的安全威脅。由于視頻專網(wǎng)內部有大量的敏感數(shù)據(jù)信息，如在數(shù)據(jù)交換和傳輸過程中對數(shù)據(jù)內容不實施嚴格的審核策略，可能導致視頻專網(wǎng)數(shù)據(jù)失密。按照等級保護的要求，在網(wǎng)絡安全、應用安全、數(shù)據(jù)安全等方面都需要加強審計。

對于視頻交換平臺，根據(jù)宜興市運營商專網(wǎng)和城管交通匯聚平臺視頻資源平臺和運營商專網(wǎng)和城管交通匯聚平臺視頻資源終端的現(xiàn)狀分析，宜興市視頻資源平臺用戶數(shù)量較多，因此在同一時間有可能會有上千甚至上萬個視頻資源請求，這些數(shù)量龐大的資源請求會導致在視頻交換平臺上傳輸?shù)囊曨l流量變得巨大。視頻圖像資源大多數(shù)情況下只在本區(qū)域調用和查看，宜興市的視頻圖像現(xiàn)在需要在整個視頻專網(wǎng)上被多個部門調用，相應的基礎設施與鏈路建設尚未完備，而且視頻圖像可用性要求高。遵照公安部于2011年1月下發(fā)了《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范——視頻接入部分》需要明確外部視頻接入的業(yè)務需求和安全需求。對于安全需求[8]。采用必要的安全隔離設備，對進入公安視頻專網(wǎng)的數(shù)據(jù)進行協(xié)議剝離。視頻數(shù)據(jù)和控制信令采用數(shù)據(jù)“擺渡”的方式傳輸，實現(xiàn)內外網(wǎng)之間的安全數(shù)據(jù)交換，隔離設備內部采用非通用協(xié)議進行數(shù)據(jù)交換，具有不可編程的硬件隔離系統(tǒng)，斷開內外網(wǎng)TCP/IP連接。視頻數(shù)據(jù)和控制信令采取不同的傳輸方式，信令采用雙向傳輸，視頻流采用單向傳輸。既確保數(shù)據(jù)安全傳輸，也能確保視頻服務質量；視頻數(shù)據(jù)和控制信令應以不同的通道進行傳輸。視頻數(shù)據(jù)要實現(xiàn)單向傳輸，確保內網(wǎng)無信息泄密的可能，對所有視頻監(jiān)控交互指令進行嚴格的安全過濾，阻斷非法數(shù)據(jù)傳輸和網(wǎng)絡攻擊；安全視頻交換系統(tǒng)只在內網(wǎng)開放視頻和管理服務端口，除此之外的內外網(wǎng)所有服務端口均關閉，安全視頻交換系統(tǒng)對視頻監(jiān)控客戶端經(jīng)過用戶認證、權限分配之后，動態(tài)開放客戶端與視頻資源之間的網(wǎng)絡連接，客戶端使用結束后，該連接應立即關閉。

4 社會視頻接入總體建設方案（General construction

scheme of social video access）

本次整合的社會資源通過在社會資源網(wǎng)上建設社會管理平臺，社會管理平臺自身符合新國標標準。通過社會管理平臺對各種資源進行整合，包括社會面各部門的資源和公安自建的治安圖像資源，其中的形式大致包括平臺類設備對接，NVR/DVR設備對接，以及出入口車輛抓拍系統(tǒng)和停車場車輛抓拍系統(tǒng)對接幾種情況。

根據(jù)運營商專網(wǎng)和城管交通匯聚平臺數(shù)據(jù)交換和視頻專網(wǎng)視頻交換的需求，并結合規(guī)劃的技術指導及相關政策規(guī)范的要求，設計兩條鏈路，如圖2所示。安全數(shù)據(jù)交換平臺作為安全隔離區(qū)的重要組成部分，是連接視頻專網(wǎng)和外網(wǎng)的惟一通道，應當在保證接入業(yè)務可管理性和可控性的同時，滿足對信息保密性、完整性和可用性的要求。公安視頻專網(wǎng)邊界接入的統(tǒng)一平臺體系，應保證公安視頻專網(wǎng)的保密性、完整性和可用性，以及邊界接入業(yè)務的可管理性、可控性。保障公安視頻專網(wǎng)的安全，以及相關網(wǎng)絡和信息資源的安全，同時保證邊界接入工作的高效穩(wěn)定運行，解決和提高公安業(yè)務工作、信息共享、服務群眾的能力和水平。

綜合邊界接入鏈路，即在運營商專網(wǎng)進入數(shù)據(jù)交換平臺鏈路前架設防火墻設備，對運營商專網(wǎng)進入視頻專網(wǎng)的數(shù)據(jù)進行安全控制和策略過濾。在三層交換機上旁路掛載探針設備，對整個接入鏈路進行實時監(jiān)控和全面審計。

（1）建設數(shù)據(jù)交換平臺

在運營商專網(wǎng)和視頻專網(wǎng)之間建設“數(shù)據(jù)交換平臺”，它們嚴格參照規(guī)范的技術設計構建，確保運營商專網(wǎng)和視頻專網(wǎng)之間數(shù)據(jù)交換的高效性和安全性。

（2）建設視頻交換平臺

在運營商專網(wǎng)和視頻專網(wǎng)之間建設“視頻交換平臺”。通過使用安全視頻交換系統(tǒng)將公安視頻專網(wǎng)的視頻資源與外部視頻服務器進行交換，具體流程如下：

在視頻交換平臺的視頻用戶認證服務器（TMS）上配置，允許外部視頻服務器訪問公安視頻專網(wǎng)的內部視頻資源。

視頻客戶端連接視頻用戶認證服務器（TMS），進行身份認證，同時視頻用戶認證服務器（TMS）將用戶請求轉發(fā)到內網(wǎng)的視頻接入認證服務器（UMS）。

視頻接入認證服務器（UMS）首先對內部視頻資源進行認證，然后獲取相應的視頻圖像并轉發(fā)回視頻服務器客戶端。

安全視頻交換系統(tǒng)對控制信令進行過濾、控制、管理、審計等操作，實現(xiàn)內網(wǎng)視頻資源與外網(wǎng)視頻資源的交換。

匯聚平臺綜合邊界接入鏈路，即建設視頻接入平臺與視頻共享平臺和數(shù)據(jù)交換鏈路。治安視頻采用單向接入的方式，通過在治安視頻進入接入鏈路前架設防火墻設備，對治安視頻進入視頻專網(wǎng)的視頻信息進行安全控制和策略過濾。然后接入?yún)R聚平臺接入鏈路的三層交換機上，通過匯聚平臺接入鏈路的視頻交換平臺進行治安視頻的單向傳輸。

綜合邊界接入鏈路與匯聚平臺綜合邊界接入鏈路都包含數(shù)據(jù)交換平臺鏈路和視頻交換平臺鏈路。

（1）數(shù)據(jù)交換平臺鏈路。在數(shù)據(jù)采集進入視頻專網(wǎng)，或者視頻專網(wǎng)的數(shù)據(jù)傳輸至運營商專網(wǎng)和城管交通匯聚平臺時，通過安全隔離網(wǎng)閘將數(shù)據(jù)單向擺渡至另一側，完成在物理隔離基礎上的數(shù)據(jù)交換。安全隔離網(wǎng)閘兩側分別部署非信任網(wǎng)絡數(shù)據(jù)交換服務器（UAS）和信任網(wǎng)絡數(shù)據(jù)交換服務器（TAS）。安全隔離網(wǎng)閘設備從UAS主動獲取數(shù)據(jù)，靜態(tài)擺渡至TAS上。安全隔離網(wǎng)閘設備利用獨有的TIT隔離硬件，保證數(shù)據(jù)在同一時間內無法雙向傳輸。

（2）視頻交換平臺鏈路。安全視頻交換系統(tǒng)支持視頻流、音頻流等多媒體數(shù)據(jù)的單向傳輸，并支持主流視頻流、音頻流格式，如H264、MJPEG、AVI、MOV、WMA、RMVB等。MTP可以實現(xiàn)控制信令的雙向傳輸，并支持SIP、RTSP、RTCP等主流媒體協(xié)議，同時支持壓縮模式信令。MTP也提供API二次開發(fā)接口，實現(xiàn)對新視頻廠商的快速接入。安全視頻交換系統(tǒng)可以對用戶、IP、視頻資源進行流量的統(tǒng)計和查詢。安全視頻交換系統(tǒng)提供系統(tǒng)配置、狀態(tài)監(jiān)控、系統(tǒng)備份/還原等管理。系統(tǒng)配置包括系統(tǒng)基本信息、網(wǎng)絡信息、系統(tǒng)運行，可對信息進行編輯、修改，以方便用戶日常的維護工作。為了避免系統(tǒng)重要數(shù)據(jù)丟失，可對系統(tǒng)進行備份及還原。狀態(tài)監(jiān)控主要對視頻接入認證服務器（UMS）和視頻用戶認證服務器（TMS）硬件資源的監(jiān)控，方便實時監(jiān)測硬件狀態(tài)，及時發(fā)現(xiàn)故障并維護。系統(tǒng)具備“一鍵檢測”功能，在信令失效或視頻點播失敗時，可通過此功能定位鏈路出現(xiàn)異常的位置，進行故障排查。

6 結論（Conclusion）

本文嚴格按照公安部相關的規(guī)范標準和符合宜興市公安局建設的三網(wǎng)三平臺要求，在運營商專網(wǎng)和城管交通匯聚平臺和公安自建的圖像專網(wǎng)間進行數(shù)據(jù)安全接入平臺系統(tǒng)和視頻安全接入平臺系統(tǒng)的部署，從而實現(xiàn)我宜興市公安局對運營商專網(wǎng)和城管交通匯聚平臺的數(shù)據(jù)資源調用和視頻實時和錄像的查詢。

參考文獻（References）

[1] Baranyi S，Sainsiné Y.The development of the National Police， public security and the rule of law in Haiti[J]. Powder Technology，2014，256（2）：361-366.

[2] Kumar N，Lee J H，Rodrigues J J P C.Intelligent Mobile Video Surveillance System as a Bayesian Coalition Game in Vehicular Sensor Networks：Learning Automata Approach[J].IEEE Transactions on Intelligent Transportation

Systems，2015，16（3）：1148-1161.

[3] Lee S C，Nevatia R.Hierarchical Abnormal Event Detection by Real Time and Semi-Real Time Multi-Tasking Video Surveillance System[J].Machine Vision & Applications，2014，25（1）：133-143.

[4] 陳嘉懿，鄭巧英，李鮑.RFID通用數(shù)據(jù)交換平臺建設研究[J].圖書情報工作，2014，58（23）：97-101.

[5] 任杰.公安信息網(wǎng)邊界接入平臺的設計與實現(xiàn)[D].中山大學， 2011.

[6] 魏啟超.信息系統(tǒng)安全等級保護[C].全國信息安全等級保護技術大會會議，2013.

[7] 王其祥.公安信息通信網(wǎng)邊界接入平臺的設計與實現(xiàn)[D].廈門大學，2014.

[8] 鄧潔霖.政務信息資源交換體系技術概述[J].信息技術與標準化，2005（11）：28-32.

作者簡介：

周俊鶴（1971-），男，碩士，工程師.研究領域：計算機應用及

網(wǎng)絡安全，視頻監(jiān)控應用技術研究.

張曉雙（1991-），女，研究生.研究領域：社交網(wǎng)絡.