鐵路視頻監控體系化建設探討

李寶軍，李慶懷，陳曦宇，王二力

(1.中國鐵路哈爾濱局集團有限公司電務部，哈爾濱 150006；2.中國鐵路設計集團有限公司，天津 300450)

目前，中國鐵路哈爾濱局集團有限公司（以下簡稱哈爾濱局）視頻監控系統已將不同時期、不同工程建設的視頻監控平臺整合成一個視頻云平臺，并將視頻監控網、綜合計算機網和自建局域網所接入的攝像機全部割接到數據通信網上，并劃分為云平臺、云存儲、視頻終端和攝像機4個域，實現了視頻資源、網絡資源和網絡安全的統一管理。

按照“誰使用、誰管理、誰維護”的原則，哈爾濱局管控中心負責視頻監控系統運用質量考核和視頻終端賬號管理，電務部門負責視頻監控網絡管理，各站段負責攝像機、視頻終端和網絡安全維護管理，科研所負責視頻監控系統故障處理。由于視頻監控設備和網絡安全設備維護管理涉及多部門多層次，出現問題無從下手，難以定位。為解決上述問題，經過多年研究和實踐，視頻監控系統的發展要結合運用、維護和管理需要，將與視頻監控系統相關的各專業、各系統進行統一規劃和部署，構建多維立體的視頻監控運維管理體系。

1 視頻平臺建設

1）視頻云存儲建設。2018年哈爾濱局新建1處局級綜合視頻管理云平臺和5處段級綜合視頻管理云平臺，每個段級平臺對應一個云存儲。云架構初級階段的“多云”模式，其數據流傳輸方式如圖1所示。

圖1 “多云”模式下數據流傳輸方式Fig.1 Data flow transmission mode in“multi-cloud”mode

采用“多云”模式的不足：一是每個節點的平臺只能管理本區域前端設備，段級平臺相對獨立，資源共享困難；二是終端用戶訪問前端設備視頻流時需要多級轉發，降低了訪問效率；三是多平臺共存模式下，系統對前端資源無法做到統一運維。

2）視頻云平臺的建設。2020年哈爾濱局將“多云”模式進行整合，升級為云架構（云平臺+云存儲），實現“一朵云”模式，即視頻云平臺負責多域統一云管，各個節點域負責資源的接入、計算、存儲和分析，中心云管可以統一對全部資源進行訪問控制，所有業務的對外輸出由中心云負責，做到統一業務管理和資源管理。云平臺結構如圖2所示，數據流傳輸方式如圖3所示。

圖2 哈爾濱局視頻云平臺結構Fig.2 Video cloud platform structure of Harbin Bureau

圖3 “一朵云”模式下數據流傳輸方式Fig.3 Data flow transmission mode in“one cloud”mode

3）視頻監控體系建設。哈爾濱局視頻監控系統考核、維護管理和故障處理由多部門多層次交叉管理，需要各系統深度融合，實現統一管理，以厘清責任、定位障礙、避免互相扯皮。

a.智能化運維體系架構。為實現各系統間資源共享和聯動，新建了通信資源調度中心，通過資源調度中心分別與數據網網管、視頻云平臺、終端安全管理系統、網絡接入控制系統、數據庫審計系統、安全檢測平臺、運維審計系統、日志審計系統、Web視頻改密系統、態勢感知平臺等進行對接，各系統通過資源調度中心實現信息資源的調閱、刪除、修改和聯動。視頻監控體系組網如圖4所示。

圖4 視頻監控體系結構Fig.4 Video monitoring architecture

b. 各系統之間交互方式。通信資源調度中心相對各系統來說就是“客戶端”，提供數據服務的各系統平臺為“服務端”，“客戶端”無法要求不同的“服務端”提供統一的接口方式，只能根據“服務端”提供的接口來開發“客戶端”采集服務，因此，通信資源調度中心與各系統平臺選用了web交互方式。如：通信資源調度中心與數據網網管U2000，通過WebService方式來獲取網管系統中的網元信息；與安全檢測平臺通過Restful API方式來獲取相關信息；與視頻云平臺通過Restful API方式來新增、變更、刪除相關資源。

2 視頻監控網絡建設

數據通信網組網情況：一是哈爾濱局實現了以哈爾濱為中心，覆蓋全局的數據通信網絡，設有NE9000骨干路由器2臺，NE40E全業務路由器71臺，實現骨干路由器鏈路帶寬100 Gbit/s，其他支線路由器鏈路帶寬10 Gbit/s的承載能力；二是中間站設有S5700 673臺，S3700 889臺，形成一個綜合業務網（千兆交換機環網）和一個視頻業務網（萬兆交換機環網）；三是全局3等及以上車站設有OLT 222臺，ONU 2855臺，通過10 G上聯至就近車站接入路由器，實現本地全光接入；四是哈爾濱局綜合視頻監控系統全部承載在數據通信網上。哈佳鐵路數據通信網如圖5所示。

圖5 數據通信網結構Fig.5 Data communication network structure

數據通信網承載能力：哈爾濱局管內車間、班組和公安所隊接入帶寬為1 00 Mbit/s，站段接入帶寬為1 000 Mbit/s，較大車站接入帶寬為10 Gbit/s，樞紐地區接入帶寬為100 Gbit/s。

視頻監控IP地址規劃原則：哈爾濱局按照1中心4域（平臺域、存儲域、終端域和采集域，其中存儲域有6個）規劃建設視頻監控網。

網絡資源的統一管理：視頻監控網所有網絡設備全部納入數據網網管管理和公用。每臺視頻監控設備在路由器上都能查到MAC地址和在線/離線時間，通過資源調度中心就能實時監測設備的運用狀態和下發指令控制IP地址的禁用和啟用。

3 視頻監控網絡安全建設

將需要信息共享和聯動的網絡安全設備與通信資源調度中心對接，實現網絡、安全和監控三者之間的信息相互傳遞和聯動。

1）視頻監控網絡安全架構。由于1個視頻云平臺和6個存儲域，因此，網絡安全設備相對集中，管理難度較小、建設成本低。如：防止PC機利用攝像機地址訪問視頻云平臺，在防火墻只簡單配置102.0.0.0禁止訪問10.0.0.0即可。視頻監控網絡安全架構如圖6所示。

圖6 視頻監控網絡安全結構Fig.6 Security structure of video monitoring network

2）各系統平臺聯動。由于各系統平臺與通信資源調度中心對接，因此，各系統平臺可實現信息相互傳遞和聯動。如：入侵檢測系統（IPS），在網絡中發生視頻終端有入侵行為，IPS將入侵日志發送給通信資源調度中心，通信資源調度中心將停用命令發給路由器，停用該IP地址。同時IPS將入侵行為日志發送給終端準入系統，終端準入系統將通知和告警反饋給視頻終端，并禁止該終端訪問視頻平臺，直到檢測不到入侵行為為止。實現入侵行為的高效、精準管控。

3）信息資源共享。各系統平臺與通信資源調度中心對接，實現信息資源共享和聯動。如：視頻云平臺將合法終端賬號推送給通信資源調度中心，通信資源調度中心將賬號推送終端準入系統，由終端準入系統攔截非法視頻終端訪問視頻云平臺，終端準入系統將終端認證、安全檢查、漏洞、補丁、違規外聯和U盤管理等信息推送給通信資源調度中心。

4 智能化運維

通過通信資源調度中心將各系統平臺的資源進行整合共享，按照各自需求進行資源的自動分析和判斷，減少人為參與，提高智能化運維水平。具體實例如下。

1）自動診斷由于配置錯誤造成的攝像機離線。通信資源調度中心將視頻VPN能查到MAC的IP地址推送至安全檢測平臺，安全檢測平臺按照推送的IP地址自動檢測設備操作系統、資產類型、廠商、設備型號和軟件版本，將檢測結果與視頻云平臺攝像機的參數對比。如果不對，自動判斷故障原因為配置錯誤。

2）自動診斷攝像機在線但未接入云平臺。通信資源調度中心將視頻VPN能查到MAC的IP地址推送安全檢測平臺，安全檢測平臺按照推送的IP地址自動檢測設備操作系統、資產類型、廠商、設備型號和軟件版本。如果是攝像機，再將檢測結果與視頻云平臺進行對比。如果平臺沒有該IP地址，自動判斷故障原因是攝像機未接入云平臺。

3）攝像機離線的自動派單。通信資源調度中心自動派單→局科研所（在業務地址管理模塊“近端”能ping通攝像機），局科研所（填寫故障原因為通信網絡故障）→通信車間（填寫故障原因及預計完成時間）→攝像機“在線”→自動結單；通信資源調度中心自動派單→局科研所（在業務地址管理模塊“終點網絡設備在線”）→科研所（填寫故障原因及預計完成時間）→攝像機“在線”→自動結單。

4）攝像機定期修改密碼。首先在web視頻改密系統，利用selenium錄制和整理python改密腳本，按照廠家、型號人工制定改密方案和改密計劃；通信資源調度中心定期將要改密的攝像機IP地址和計劃推送給web視頻改密系統，視頻改密系統按照推送計劃隨機生產密碼后執行對攝像機的密碼操作，同時將修改的密碼推送到通信資源調度中心，資源調度中心將攝像機新密碼推送給視頻云平臺和堡壘機，并執行改密。維護人員不知道攝像機密碼，只能通過堡壘機登錄攝像機。

5 總結

哈爾濱局綜合視頻監控體系按照統一規劃和統一實施的原則，各系統建設齊頭并進，實現了網絡、安全和監控的整合和集中，視頻監控系統與數據通信網實現了融合，與部分網絡安全設備實現了平臺對接。未來視頻監控體系建設的重點是將網絡管理、安全管理、資源管理和智能化運維進行深度融合，形成一個信息資源共享、互聯互控的智能化運維體系，并將深度融合后的各平臺部署到虛擬機，并按災備遷移部署，進一步提高運維效率、提升網絡安全防護能力。