公共安全視頻監控網邊界接入平臺設計與應用

周俊鶴 張曉雙

摘 要：隨著宜興市公安局技防城建的不斷推進，加強與圖像專網各應用平臺的“資源共享、互聯互控”，并實現監控資源“視頻監管一網控”的建設也被提上日程。為了安全地將資源有機聯網、整合共享，本文在運營商專網和城管交通匯聚平臺和公安自建的圖像專網間進行數據安全接入平臺系統和視頻安全接入平臺系統的部署，從而實現宜興市公安局對運營商專網和城管交通匯聚平臺的數據資源調用和視頻實時錄像的查詢。

關鍵詞：公共安全視頻監控；數據交換；視頻交換；安全隔離網閘

中圖分類號：TP399 文獻標識碼：A

1 引言（Introduction）

公共安全[1]視頻監控[2，3]建設聯網應用，是新形勢下維護國家安全和社會穩定、預防和打擊暴力恐怖犯罪的重要手段，對于提升城鄉管理水平、創新社會治理體制具有重要意義。近年來，各地大力推進視頻監控系統建設，在打擊犯罪、治安防范、社會管理、服務民生等方面發揮了積極作用。但隨著視頻監控建設應用不斷深入，現有法律法規不完善、統籌規劃不到位、聯網共享不規范、管理機制不健全等問題日益突出，嚴重制約了立體化社會治安防控體系建設發展。

為加強公共安全視頻監控建設聯網應用工作，強化應用支撐、完善應用機制，統籌推進視頻圖像信息資源整合、安全共享和綜合應用。為到2020年，基本實現“全域覆蓋、全網共享、全時可用、全程可控”的公共安全視頻監控建設聯網應用，并在加強治安防控、優化交通出行、服務城市管理、創新社會治理等方面取得顯著成效。

宜興市公安局本次建設將嚴格按照公安部相關的規范標準和符合宜興市公安局建設的三網三平臺要求，將在運營商專網和城管交通匯聚平臺和公安自建的圖像專網間進行數據安全接入平臺系統和視頻安全接入平臺系統的部署，從而實現宜興市公安局對運營商專網和城管交通匯聚平臺的數據資源調用和視頻實時和錄像的查詢。

2 現狀分析（Situation analysis）

在數據交換平臺方面。宜興市在運營商專網和城管交通匯聚平臺中已經建設完備了視頻信息平臺和數據信息平臺，但是隨著公安應用的推進，以及跨部門間協作的需要，視頻專網需要與運營商專網和城管交通匯聚平臺中的數據平臺進行數據交換[4]以完成對數據的分析和監控。同時，城管交通等部門在外部網絡搭建了視頻數據匯聚平臺，廣泛采集社會面的視頻數據信息，這些資源都有與公安視頻專網進行交互和共享的需要。但是由于數據交換對象面向整個運營商專網和城管交通匯聚平臺，這些資源大部分來源于互聯網和社會面，數據交換量巨大，實時性要求又高，種類較為復雜，如果采用傳統的光盤刻錄、移動介質拷貝等人工操作手段，或既無法保證信息時效性、數據安全性和數據完整性，又耗時耗力需要大量的人力成本。而采用傳統的網閘和防火墻設備雖然在一定程度上實現了數據交換功能，但是無法保證視頻專網的高度安全性，以及與運營商專網和城管交通匯聚平臺和城管交通匯聚平臺交換數據的實時性要求。而由于直接與運營商專網和城管交通匯聚平臺進行物理連接，視頻專網更容易遭受到來自公網的攻擊。因此，亟須在運營商專網和城管交通匯聚平臺與視頻專網之間建設一套視頻專網數據交換平臺和一套城管交通數據交換平臺。為實現多個業務與視頻專網進行數據交換的要求，并使用安全隔離網閘實現邊界安全防護。

在視頻交換平臺方面。隨著視頻監控與智能化城市建設，宜興市在運營商專網和城管交通匯聚平臺上已經建設有視頻資源平臺，然而僅僅在運營商專網和城管交通匯聚平臺建設了完備的視頻資源平臺，仍然無法達到與視頻專網安全高效交換視頻信息的目的。因此，宜興市仍然需要建設視頻交換平臺以實現視頻交換的目的。按照統一接入管理、統一應用審計、統一運行監控、統一策略部署的要求，視頻資源的接入與交換需要納入已建邊界接入平臺的集中監控和審計系統，進行統一管理和監控，并實現級聯上報。

3 安全需求分析（Analysis of security requirements）

應九部委公共安全視頻聯網應用要求。依托部署在公安信息通信網上的視頻圖像信息聯網平臺和部署在視頻圖像信息傳輸專網上的視頻圖像信息共享平臺，按照統一標準、分級分類、安全可控的原則，開展一、二、三類視頻監控點的整合與共享。對一類視頻監控點和公安機關自建的其他視頻監控系統，原則上要全部聯網整合并通過授權實現共享。對二類視頻監控點和確有必要聯網接入的三類視頻監控點，要嚴格遵循《公安信息通信網邊界接入平臺安全規范（試行）—視頻接入部分》等技術規范，在確保安全的條件下接入和共享[5]。鼓勵視頻圖像綜合運營服務等企業以社會化、市場化方式對三類視頻監控點進行整合。因此，公安視頻專網邊界建設非常重要。

對于數據交換平臺，按照信息系統安全等級保護第三級要求[6]，從物理安全、網絡安全、主機安全、應用安全、數據安全五個方面考察系統的安全需求。其中，網絡安全風險包括入侵者通過滲透到視頻專網上進行攻擊、竊取或其他破壞，攻擊者還有可能在傳輸線路上進行竊聽，竊取在網上傳輸的重要數據，或通過包重組技術讀出數據信息，造成泄密[7]或者通過重放攻擊破壞數據的完整性；這些都對網絡構成嚴重的安全威脅。由于視頻專網內部有大量的敏感數據信息，如在數據交換和傳輸過程中對數據內容不實施嚴格的審核策略，可能導致視頻專網數據失密。按照等級保護的要求，在網絡安全、應用安全、數據安全等方面都需要加強審計。

對于視頻交換平臺，根據宜興市運營商專網和城管交通匯聚平臺視頻資源平臺和運營商專網和城管交通匯聚平臺視頻資源終端的現狀分析，宜興市視頻資源平臺用戶數量較多，因此在同一時間有可能會有上千甚至上萬個視頻資源請求，這些數量龐大的資源請求會導致在視頻交換平臺上傳輸的視頻流量變得巨大。視頻圖像資源大多數情況下只在本區域調用和查看，宜興市的視頻圖像現在需要在整個視頻專網上被多個部門調用，相應的基礎設施與鏈路建設尚未完備，而且視頻圖像可用性要求高。遵照公安部于2011年1月下發了《公安信息通信網邊界接入平臺安全規范——視頻接入部分》需要明確外部視頻接入的業務需求和安全需求。對于安全需求[8]。采用必要的安全隔離設備，對進入公安視頻專網的數據進行協議剝離。視頻數據和控制信令采用數據“擺渡”的方式傳輸，實現內外網之間的安全數據交換，隔離設備內部采用非通用協議進行數據交換，具有不可編程的硬件隔離系統，斷開內外網TCP/IP連接。視頻數據和控制信令采取不同的傳輸方式，信令采用雙向傳輸，視頻流采用單向傳輸。既確保數據安全傳輸，也能確保視頻服務質量；視頻數據和控制信令應以不同的通道進行傳輸。視頻數據要實現單向傳輸，確保內網無信息泄密的可能，對所有視頻監控交互指令進行嚴格的安全過濾，阻斷非法數據傳輸和網絡攻擊；安全視頻交換系統只在內網開放視頻和管理服務端口，除此之外的內外網所有服務端口均關閉，安全視頻交換系統對視頻監控客戶端經過用戶認證、權限分配之后，動態開放客戶端與視頻資源之間的網絡連接，客戶端使用結束后，該連接應立即關閉。

4 社會視頻接入總體建設方案（General construction

scheme of social video access）

本次整合的社會資源通過在社會資源網上建設社會管理平臺，社會管理平臺自身符合新國標標準。通過社會管理平臺對各種資源進行整合，包括社會面各部門的資源和公安自建的治安圖像資源，其中的形式大致包括平臺類設備對接，NVR/DVR設備對接，以及出入口車輛抓拍系統和停車場車輛抓拍系統對接幾種情況。

根據運營商專網和城管交通匯聚平臺數據交換和視頻專網視頻交換的需求，并結合規劃的技術指導及相關政策規范的要求，設計兩條鏈路，如圖2所示。安全數據交換平臺作為安全隔離區的重要組成部分，是連接視頻專網和外網的惟一通道，應當在保證接入業務可管理性和可控性的同時，滿足對信息保密性、完整性和可用性的要求。公安視頻專網邊界接入的統一平臺體系，應保證公安視頻專網的保密性、完整性和可用性，以及邊界接入業務的可管理性、可控性。保障公安視頻專網的安全，以及相關網絡和信息資源的安全，同時保證邊界接入工作的高效穩定運行，解決和提高公安業務工作、信息共享、服務群眾的能力和水平。

綜合邊界接入鏈路，即在運營商專網進入數據交換平臺鏈路前架設防火墻設備，對運營商專網進入視頻專網的數據進行安全控制和策略過濾。在三層交換機上旁路掛載探針設備，對整個接入鏈路進行實時監控和全面審計。

（1）建設數據交換平臺

在運營商專網和視頻專網之間建設“數據交換平臺”，它們嚴格參照規范的技術設計構建，確保運營商專網和視頻專網之間數據交換的高效性和安全性。

（2）建設視頻交換平臺

在運營商專網和視頻專網之間建設“視頻交換平臺”。通過使用安全視頻交換系統將公安視頻專網的視頻資源與外部視頻服務器進行交換，具體流程如下：

在視頻交換平臺的視頻用戶認證服務器（TMS）上配置，允許外部視頻服務器訪問公安視頻專網的內部視頻資源。

視頻客戶端連接視頻用戶認證服務器（TMS），進行身份認證，同時視頻用戶認證服務器（TMS）將用戶請求轉發到內網的視頻接入認證服務器（UMS）。

視頻接入認證服務器（UMS）首先對內部視頻資源進行認證，然后獲取相應的視頻圖像并轉發回視頻服務器客戶端。

安全視頻交換系統對控制信令進行過濾、控制、管理、審計等操作，實現內網視頻資源與外網視頻資源的交換。

匯聚平臺綜合邊界接入鏈路，即建設視頻接入平臺與視頻共享平臺和數據交換鏈路。治安視頻采用單向接入的方式，通過在治安視頻進入接入鏈路前架設防火墻設備，對治安視頻進入視頻專網的視頻信息進行安全控制和策略過濾。然后接入匯聚平臺接入鏈路的三層交換機上，通過匯聚平臺接入鏈路的視頻交換平臺進行治安視頻的單向傳輸。

綜合邊界接入鏈路與匯聚平臺綜合邊界接入鏈路都包含數據交換平臺鏈路和視頻交換平臺鏈路。

（1）數據交換平臺鏈路。在數據采集進入視頻專網，或者視頻專網的數據傳輸至運營商專網和城管交通匯聚平臺時，通過安全隔離網閘將數據單向擺渡至另一側，完成在物理隔離基礎上的數據交換。安全隔離網閘兩側分別部署非信任網絡數據交換服務器（UAS）和信任網絡數據交換服務器（TAS）。安全隔離網閘設備從UAS主動獲取數據，靜態擺渡至TAS上。安全隔離網閘設備利用獨有的TIT隔離硬件，保證數據在同一時間內無法雙向傳輸。

（2）視頻交換平臺鏈路。安全視頻交換系統支持視頻流、音頻流等多媒體數據的單向傳輸，并支持主流視頻流、音頻流格式，如H264、MJPEG、AVI、MOV、WMA、RMVB等。MTP可以實現控制信令的雙向傳輸，并支持SIP、RTSP、RTCP等主流媒體協議，同時支持壓縮模式信令。MTP也提供API二次開發接口，實現對新視頻廠商的快速接入。安全視頻交換系統可以對用戶、IP、視頻資源進行流量的統計和查詢。安全視頻交換系統提供系統配置、狀態監控、系統備份/還原等管理。系統配置包括系統基本信息、網絡信息、系統運行，可對信息進行編輯、修改，以方便用戶日常的維護工作。為了避免系統重要數據丟失，可對系統進行備份及還原。狀態監控主要對視頻接入認證服務器（UMS）和視頻用戶認證服務器（TMS）硬件資源的監控，方便實時監測硬件狀態，及時發現故障并維護。系統具備“一鍵檢測”功能，在信令失效或視頻點播失敗時，可通過此功能定位鏈路出現異常的位置，進行故障排查。

6 結論（Conclusion）

本文嚴格按照公安部相關的規范標準和符合宜興市公安局建設的三網三平臺要求，在運營商專網和城管交通匯聚平臺和公安自建的圖像專網間進行數據安全接入平臺系統和視頻安全接入平臺系統的部署，從而實現我宜興市公安局對運營商專網和城管交通匯聚平臺的數據資源調用和視頻實時和錄像的查詢。

參考文獻（References）

[1] Baranyi S，Sainsiné Y.The development of the National Police， public security and the rule of law in Haiti[J]. Powder Technology，2014，256（2）：361-366.

[2] Kumar N，Lee J H，Rodrigues J J P C.Intelligent Mobile Video Surveillance System as a Bayesian Coalition Game in Vehicular Sensor Networks：Learning Automata Approach[J].IEEE Transactions on Intelligent Transportation

Systems，2015，16（3）：1148-1161.

[3] Lee S C，Nevatia R.Hierarchical Abnormal Event Detection by Real Time and Semi-Real Time Multi-Tasking Video Surveillance System[J].Machine Vision & Applications，2014，25（1）：133-143.

[4] 陳嘉懿，鄭巧英，李鮑.RFID通用數據交換平臺建設研究[J].圖書情報工作，2014，58（23）：97-101.

[5] 任杰.公安信息網邊界接入平臺的設計與實現[D].中山大學， 2011.

[6] 魏啟超.信息系統安全等級保護[C].全國信息安全等級保護技術大會會議，2013.

[7] 王其祥.公安信息通信網邊界接入平臺的設計與實現[D].廈門大學，2014.

[8] 鄧潔霖.政務信息資源交換體系技術概述[J].信息技術與標準化，2005（11）：28-32.

作者簡介：

周俊鶴（1971-），男，碩士，工程師.研究領域：計算機應用及

網絡安全，視頻監控應用技術研究.

張曉雙（1991-），女，研究生.研究領域：社交網絡.