共享平臺和視頻安全接入方案

畢節(jié)市公安局公安網(wǎng)邊界接入平臺（部門間信息共享平臺、視頻接入鏈路）建設(shè)方案上海辰銳信息科技公司2013年10月目錄1 建設(shè)背景 42 業(yè)務(wù)需求 62.1 項(xiàng)目現(xiàn)狀 62.2 共享平臺需求 62.2.1 功能需求分析 62.2.2 性能需求分析 72.2.3 安全需求分析 82.2.4 管理需求分析 92.2.5 擴(kuò)展需求分析 92.3 視頻接入需求 92.3.1 功能需求分析 92.3.2 性能需求分析 102.3.3 安全需求分析 102.3.4 管理需求分析 112.3.5 擴(kuò)展需求分析 113 總體設(shè)計(jì) 123.1 設(shè)計(jì)目標(biāo) 123.2 設(shè)計(jì)思想 123.3 設(shè)計(jì)依據(jù) 123.4 總體架構(gòu)設(shè)計(jì) 133.4.1 安全體系 133.4.2 體系結(jié)構(gòu) 143.5 監(jiān)測與管理區(qū)設(shè)計(jì) 183.5.1 探針及監(jiān)管功能設(shè)計(jì) 183.5.2 級聯(lián)監(jiān)控管理設(shè)計(jì) 194 總體方案 205 功能設(shè)計(jì) 225.1 共享平臺功能設(shè)計(jì) 225.1.1 查詢比對類 225.1.2 數(shù)據(jù)交換類 225.1.3 Web訪問類 245.2 視頻接入功能設(shè)計(jì) 246 安全設(shè)計(jì) 266.1 共享平臺安全設(shè)計(jì) 266.1.1 查詢比對類 266.1.2 數(shù)據(jù)交換類 276.1.3 Web訪問類 276.2 視頻接入安全設(shè)計(jì) 286.2.1 數(shù)據(jù)接收 286.2.2 數(shù)據(jù)檢查 296.2.3 數(shù)據(jù)傳輸 296.2.4 數(shù)據(jù)轉(zhuǎn)發(fā) 296.2.5 授權(quán)訪問 307 管理設(shè)計(jì) 317.1 監(jiān)管功能 317.2 級聯(lián)功能 338 設(shè)備介紹 348.1 可信邊界安全網(wǎng)關(guān) 348.2 網(wǎng)絡(luò)數(shù)據(jù)交換 358.3 視頻安全接入系統(tǒng) 358.4 集中監(jiān)控與審計(jì)系統(tǒng) 379 共享平臺功能 389.1 共享平臺架構(gòu) 389.2 內(nèi)、外網(wǎng)門戶網(wǎng)站 409.2.1 單點(diǎn)登陸 409.2.2 統(tǒng)一用戶管理 409.2.3 頁面定制 409.2.4 信息公告 419.2.5 應(yīng)用導(dǎo)航 419.2.6 應(yīng)用統(tǒng)計(jì) 419.3 內(nèi)、外網(wǎng)應(yīng)用服務(wù)系統(tǒng) 429.3.1 可視化業(yè)務(wù)配置器 429.3.2 標(biāo)準(zhǔn)的Web服務(wù)接口 429.3.3 信息查詢 429.3.4 數(shù)據(jù)核查 439.3.5 數(shù)據(jù)比對 439.3.6 數(shù)據(jù)上傳下載 439.3.7 共享痕跡留存 439.3.8 數(shù)據(jù)權(quán)限控制 449.3.9 服務(wù)門戶定制 449.3.10 監(jiān)控與管理 449.4 數(shù)據(jù)采集系統(tǒng) 459.5 數(shù)據(jù)集成系統(tǒng) 469.6 平臺管理監(jiān)控系統(tǒng) 489.6.1 注冊管理 489.6.2 用戶管理 489.6.3 監(jiān)控與審計(jì) 489.6.4 查詢統(tǒng)計(jì) 509.7 擴(kuò)展功能設(shè)計(jì) 5010 共享平臺數(shù)據(jù)處理設(shè)計(jì) 5210.1 數(shù)據(jù)庫設(shè)計(jì) 5210.2 數(shù)據(jù)標(biāo)準(zhǔn)管理 5210.3 數(shù)據(jù)處理過程 5310.4 數(shù)據(jù)采集 5410.4.1 數(shù)據(jù)采集方式 5410.4.2 數(shù)據(jù)采集流程 5510.5 數(shù)據(jù)信息整合 5510.6 數(shù)據(jù)信息共享 5611 共享平臺運(yùn)行環(huán)境 5711.1.1 軟件環(huán)境設(shè)計(jì) 5711.1.2 硬件環(huán)境設(shè)計(jì) 57建設(shè)背景隨著貴州省畢節(jié)市公安局公安信息化建設(shè)的不斷深入開展，公安機(jī)關(guān)對外交換和共享信息的接入業(yè)務(wù)需求日益強(qiáng)烈。結(jié)合自身公安信息化建設(shè)現(xiàn)狀和發(fā)展需要，減少重復(fù)投資，建設(shè)貴州省畢節(jié)市公安局部門間共享平臺（以下簡稱“共享平臺”），滿足公安機(jī)關(guān)通過公安信息通信網(wǎng)開展對外數(shù)據(jù)交換、查詢比對、Web訪問等工作需要。通過共享平臺的建設(shè)為部門間信息共享等業(yè)務(wù)提供集中的安全運(yùn)行基礎(chǔ)設(shè)施，實(shí)現(xiàn)對接入業(yè)務(wù)的注冊、監(jiān)控與審計(jì)等安全管理，保障共享平臺與公安信息通信網(wǎng)的安全。共享平臺是金盾工程二期重點(diǎn)建設(shè)的“三大平臺”之一，公安部《關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知》（公信通[2007]187號）及《關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見》（公科信[2012]19號）的要求，共享平臺的核心功能主要包括兩個方面：一是方便可靠地獲取外部信息，將其它政府部門、社會單位向公安機(jī)關(guān)提供的信息傳輸?shù)焦蚕砥脚_上，并根據(jù)公安業(yè)務(wù)應(yīng)用的需要將相關(guān)信息轉(zhuǎn)送到公安信息網(wǎng)內(nèi)加以綜合應(yīng)用；二是安全可控地對外提供信息服務(wù)，將需要對外共享的信息從公安信息網(wǎng)內(nèi)抽取同步到共享平臺上，以應(yīng)用接口、web訪問、數(shù)據(jù)交換等方式對外提供信息共享服務(wù)。共享平臺應(yīng)嚴(yán)格按照《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(試行)》的要求進(jìn)行網(wǎng)絡(luò)互連和安全運(yùn)行。同時畢節(jié)市公安機(jī)關(guān)可利用的視頻監(jiān)控資源越來越多，但出于安全和應(yīng)用方面的考慮，外網(wǎng)及社會專網(wǎng)視頻資源沒有接入公安內(nèi)網(wǎng)，由此造成使用上的不便和資源的浪費(fèi)。現(xiàn)在畢節(jié)市公安局為實(shí)現(xiàn)“資源共享、互聯(lián)互控”、“視頻監(jiān)管一網(wǎng)控”，需依據(jù)公安部《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）--視頻接入部分》建設(shè)視頻接入鏈路。通過該鏈路的建設(shè)滿足外部視頻資源與公安網(wǎng)視頻資源有機(jī)聯(lián)網(wǎng)、整合共享，并且有效管理、靈活調(diào)用，同時滿足下列需求：實(shí)時觀看外網(wǎng)視頻監(jiān)控探頭信息、實(shí)現(xiàn)對外網(wǎng)視頻監(jiān)控探頭的控制、對視頻接入業(yè)務(wù)進(jìn)行集中監(jiān)控、管理與審計(jì)。本方案中術(shù)語和定義與《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范》（簡稱《安全規(guī)范》）、《關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知》（公信通[2007]187號）、《關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見》（公科信[2012]19號）、《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）--視頻接入部分》一致。業(yè)務(wù)需求項(xiàng)目現(xiàn)狀為了滿足社會面與公安信息通信網(wǎng)進(jìn)行信息采集與交換的業(yè)務(wù)需求。貴州省畢節(jié)市公安局已經(jīng)建設(shè)了邊界接入平臺中的社會企事業(yè)接入鏈路、黨政軍機(jī)關(guān)接入鏈路、公安駐地外接入鏈路，該邊界接入平臺解決了公安邊界接入業(yè)務(wù)的部分業(yè)務(wù)需求，取得了良好效益，發(fā)揮了重要作用。隨著畢節(jié)市公安局信息化建設(shè)的發(fā)展，現(xiàn)需要建設(shè)貴州省畢節(jié)市公安局部門間共享平臺以及視頻接入鏈路，主要增加公安機(jī)關(guān)及直屬單位對外數(shù)據(jù)交換、查詢比對、Web訪問業(yè)務(wù)，以及外網(wǎng)視頻資源安全接入公安內(nèi)網(wǎng)，以滿足日益增長業(yè)務(wù)需求。共享平臺需求功能需求分析貴州省畢節(jié)市公安局共享平臺主要需要對黨政軍部門和經(jīng)批準(zhǔn)的黨政軍用戶等接入對象提供查詢比對、數(shù)據(jù)交換和Web訪問等功能。上述接入對象采用專線安全線路方式與貴州省畢節(jié)市公安局共享平臺進(jìn)行鏈接，在接入鏈路上不采用其他非安全的接入鏈路方式（如無線、互聯(lián)網(wǎng)鏈路等），從鏈路層面保障共享平臺的安全性。查詢比對功能通過數(shù)據(jù)交換方式實(shí)現(xiàn)其他部門、機(jī)構(gòu)等對共享平臺內(nèi)的公安信息資源進(jìn)行安全查詢及比對功能，及時返回查詢比對結(jié)果，并同時支持單條和批量的查詢比對業(yè)務(wù)。數(shù)據(jù)交換功能通過數(shù)據(jù)交換方式采集其他部門、機(jī)構(gòu)的批量數(shù)據(jù)；通過數(shù)據(jù)交換向其他部門、機(jī)構(gòu)提供批量數(shù)據(jù)。數(shù)據(jù)交換支持的數(shù)據(jù)類型包括：結(jié)構(gòu)化數(shù)據(jù)庫數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)（以文件型為主）等。Web訪問功能指的是經(jīng)批準(zhǔn)的黨政軍用戶通過政法數(shù)字證書，以授權(quán)訪問方式訪問共享平臺內(nèi)對外開放的Web網(wǎng)站（頁）等。性能需求分析畢節(jié)市公安局共享平臺性能需求主要體現(xiàn)在數(shù)據(jù)流量、關(guān)鍵設(shè)備性能和平臺整體性能等方面，在滿足性能要求的同時，具備一定的容量擴(kuò)展性。數(shù)據(jù)流量：其中查詢比對類業(yè)務(wù)服務(wù)總流量要求為1000筆/秒，數(shù)據(jù)交換類業(yè)務(wù)預(yù)計(jì)業(yè)務(wù)流量為400Mbps，Web訪問類業(yè)務(wù)預(yù)計(jì)業(yè)務(wù)流量為400Mbps。關(guān)鍵設(shè)備性能：關(guān)鍵性安全設(shè)備在整個共享平臺中發(fā)揮著重要的安全重用，其中查詢比對類業(yè)務(wù)具有數(shù)據(jù)包小、并發(fā)大、延時低的特點(diǎn)，同時考慮突發(fā)大并發(fā)情況，關(guān)鍵安全設(shè)備的并發(fā)連接數(shù)應(yīng)達(dá)到40萬以上，最大并發(fā)連接數(shù)應(yīng)大于50萬。平臺整體性能需保障平臺基本性能及以后的擴(kuò)展性，平臺所有鏈路，尤其是數(shù)據(jù)交換鏈路需采用雙千兆帶寬，關(guān)鍵設(shè)備均采用千兆級以上設(shè)備。確保數(shù)據(jù)交換鏈路上的數(shù)據(jù)交換系統(tǒng)及網(wǎng)閘在不影響傳輸性能和數(shù)據(jù)傳輸質(zhì)量的前提下，在支持多個接入業(yè)務(wù)的同時進(jìn)行數(shù)據(jù)交換。畢節(jié)市公安局共享平臺在業(yè)務(wù)峰值時段，各設(shè)備的CPU、內(nèi)存利用率低于70%。共享平臺在滿足數(shù)據(jù)量、并發(fā)連接數(shù)和鏈路帶寬等要求的同時不影響平臺整體傳輸性能和數(shù)據(jù)傳輸質(zhì)量，并預(yù)留一定的擴(kuò)展性。同時，共享平臺需要確保接入業(yè)務(wù)的可靠性和穩(wěn)定性，在緊急狀態(tài)下，應(yīng)具備一定處突及部分應(yīng)用優(yōu)先處理的能力。安全需求分析安全需求主要體現(xiàn)在接入終端安全需求、服務(wù)器安全需求、網(wǎng)絡(luò)安全需求、應(yīng)用安全需求和數(shù)據(jù)安全需求等方面。接入終端安全：對查詢比對類、數(shù)據(jù)交換類業(yè)務(wù)的接入終端進(jìn)行備案登記，支持對接入終端進(jìn)行安全狀況檢測，防止安全不達(dá)標(biāo)的終端設(shè)備接入。在Web訪問類接入終端上安裝終端安全監(jiān)控和“一機(jī)兩用”客戶端，對接入終端的外設(shè)、進(jìn)程等加強(qiáng)安全管理以及對接入終端的違規(guī)外聯(lián)加強(qiáng)安全監(jiān)測。服務(wù)器安全：為確保共享平臺內(nèi)重要服務(wù)器自身的強(qiáng)壯性和安全性，對這些服務(wù)器都進(jìn)行必要的安全加固或安全加強(qiáng)。網(wǎng)絡(luò)安全：共享平臺在網(wǎng)絡(luò)層劃分不同的安全域，不同安全域間具有明顯的邊界，采用必要的安全隔離設(shè)備，對接入平臺與公安信息通信網(wǎng)之間進(jìn)行安全隔離。可采用VPN方式對數(shù)據(jù)或鏈路進(jìn)行加密以對信息安全有特殊需求的信息傳輸進(jìn)行安全保障。同時，共享平臺應(yīng)對平臺內(nèi)應(yīng)用服務(wù)進(jìn)行網(wǎng)絡(luò)級訪問控制，并對病毒木馬、黑客入侵、抗DDoS攻擊、漏洞掃描、異常流量等網(wǎng)絡(luò)安全威脅具有監(jiān)測和防護(hù)能力。管理需求分析貴州省畢節(jié)市公安局共享平臺是個復(fù)雜的安全系統(tǒng)，為了更好的發(fā)揮平臺作用，保護(hù)公安網(wǎng)內(nèi)資源安全，滿足對共享平臺的運(yùn)行維護(hù)，需對共享平臺進(jìn)行有效的管理。根據(jù)共享平臺運(yùn)行管理要求，依據(jù)“統(tǒng)一接入管理、統(tǒng)一運(yùn)行監(jiān)控、統(tǒng)一安全審計(jì)、統(tǒng)一策略部署”的原則。對共享平臺所有傳輸信息實(shí)現(xiàn)集中安全監(jiān)測和審計(jì)，對各類異常報(bào)警信息進(jìn)行分析。對共享平臺中的各類安全事件進(jìn)行及時發(fā)現(xiàn)和定位，控制并消除各類安全威脅和隱患。對共享平臺進(jìn)行集中監(jiān)控和審計(jì)管理，實(shí)現(xiàn)注冊審核、平臺運(yùn)行、設(shè)備維護(hù)、報(bào)警處置、審計(jì)分析、數(shù)據(jù)通報(bào)等一系列管理功能，提供監(jiān)控平臺整體運(yùn)行狀況服務(wù)。擴(kuò)展需求分析共享平臺是一個復(fù)雜的系統(tǒng)，接入業(yè)務(wù)是個逐步接入的過程。共享平臺方案需具備可擴(kuò)展性。在滿足基本要求的前提下，主要滿足平臺在性能、功能、業(yè)務(wù)數(shù)、應(yīng)用種類及存儲等方面的擴(kuò)展和延伸。視頻接入需求功能需求分析畢節(jié)市公安局公安信息通信網(wǎng)視頻接入業(yè)務(wù)主要是實(shí)現(xiàn)公安外網(wǎng)視頻資源經(jīng)視頻接入鏈路安全可靠接入公安內(nèi)網(wǎng)，實(shí)現(xiàn)從公安內(nèi)網(wǎng)授權(quán)訪問外網(wǎng)視頻資源。該類業(yè)務(wù)具有以下特點(diǎn)：實(shí)時監(jiān)控：公安內(nèi)網(wǎng)用戶實(shí)時瀏覽外部視頻信息；探頭控制：內(nèi)網(wǎng)終端可操控外部的探頭，使探頭上下左右移動，前后調(diào)節(jié)，以觀察不同范圍；視頻調(diào)閱：公安用戶調(diào)閱外部視頻服務(wù)器上的存儲的歷史視頻信息。性能需求分析視頻接入鏈路在性能上必須滿足畢節(jié)市公安局視頻接入業(yè)務(wù)的接入要求，主要體現(xiàn)在鏈路帶寬、同時在線的用戶數(shù)、業(yè)務(wù)數(shù)和網(wǎng)絡(luò)吞吐量等方面。安全需求分析視頻信息接入在外部與公安內(nèi)網(wǎng)進(jìn)行信息傳輸?shù)耐瑫r，將面臨許多安全問題，如原來利用外網(wǎng)發(fā)動攻擊的黑客也有可能通過偽裝視頻流方式傳輸蠕蟲、木馬等病毒，進(jìn)而攻擊內(nèi)網(wǎng)；一些用戶試圖通過接入通道訪問非授權(quán)資源；內(nèi)網(wǎng)中某些中病毒的計(jì)算機(jī)，可能將內(nèi)部人口及治安等重要且敏感信息泄露出去，進(jìn)而直接影響公安工作的正常開展。為此，視頻接入鏈路通過采用視頻安全接入系統(tǒng)，針對視頻碼流和視頻信令的不同特性，在安全性上采用不同的策略，實(shí)現(xiàn)視頻控制信令雙向傳輸，視頻數(shù)據(jù)單向傳輸，為視頻接入提供了一條安全、高效的接入通道，保證了視頻信息安全、可靠地傳輸。管理需求分析根據(jù)公安網(wǎng)視頻安全接入的運(yùn)行管理要求，提供對視頻接入應(yīng)用和運(yùn)行情況的監(jiān)測、審計(jì)和管理，實(shí)現(xiàn)外網(wǎng)視頻資源安全可靠的采集進(jìn)入公安內(nèi)網(wǎng)。擴(kuò)展需求分析視頻接入鏈路是個逐步接入的過程，需具備可擴(kuò)展性。主要需滿足鏈路在性能、功能、業(yè)務(wù)數(shù)、應(yīng)用種類等各方面的擴(kuò)展和延伸?？傮w設(shè)計(jì)設(shè)計(jì)目標(biāo)針對共享平臺各類業(yè)務(wù)與視頻接入需求，設(shè)計(jì)一個技術(shù)先進(jìn)、安全可靠、切實(shí)可行、管理方便的安全技術(shù)方案。建設(shè)貴州省畢節(jié)市公安局共享平臺與視頻接入鏈路，保障公安網(wǎng)的保密性、完整性和可用性，接入業(yè)務(wù)的可管理性、可控性；保障視頻資源的有機(jī)聯(lián)網(wǎng)、整合共享、有效管理、靈活調(diào)用；保障邊界接入公安網(wǎng)的安全，以及相關(guān)網(wǎng)絡(luò)和信息資源的安全；同時保障邊界接入工作的高效穩(wěn)定運(yùn)行，解決和提高公安業(yè)務(wù)工作、信息共享、服務(wù)的能力和水平。設(shè)計(jì)思想根據(jù)實(shí)際情況，充分認(rèn)識到安全在邊界接入中的重要性，正確處理發(fā)展與安全的關(guān)系，綜合平衡成本與效益，建立安全、可靠、實(shí)用的貴州省畢節(jié)市公安局部門間信息共享平臺和視頻安全接入鏈路。設(shè)計(jì)依據(jù)本方案依據(jù)以下文件或規(guī)范設(shè)計(jì)：《關(guān)于印發(fā)<公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）>的通知》（公信通[2007]191號）；《關(guān)于穩(wěn)步開展公安信息資源共享服務(wù)工作的通知》（公信通[2007]189號）；《關(guān)于做好社區(qū)和農(nóng)村警務(wù)室接入公安信息網(wǎng)安全工作的通知》（公信通[2007]15號）；《關(guān)于進(jìn)一步加強(qiáng)公安信息通信網(wǎng)日常安全管理工作機(jī)制建設(shè)的通知》（公信通傳發(fā)[2008]109號）；《關(guān)于公安信息通信網(wǎng)邊界接入平臺建設(shè)有關(guān)問題的通知》（公信通傳發(fā)[2008]296號）；《關(guān)于“部門間信息共享與服務(wù)平臺”建設(shè)應(yīng)用的指導(dǎo)意見》（公科信[2012]19號）；《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）--視頻接入部分》。總體架構(gòu)設(shè)計(jì)共享平臺與視頻接入鏈路依據(jù)《安全規(guī)范》，主要基于三重防護(hù)體系、兩個基礎(chǔ)設(shè)施的安全體系，構(gòu)建路由接入?yún)^(qū)、邊界保護(hù)區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五個不同的安全區(qū)域，構(gòu)成分區(qū)域、分層次的縱深安全防御體系。安全體系接入平臺安全體系設(shè)計(jì)由三重防護(hù)體系設(shè)計(jì)、兩個基礎(chǔ)設(shè)施設(shè)計(jì)構(gòu)成。圖STYLEREF1\s3SEQ圖\*ARABIC\s11接入平臺安全體系圖三重防護(hù)體系設(shè)計(jì)：即應(yīng)用環(huán)境安全設(shè)計(jì)、應(yīng)用區(qū)域邊界安全設(shè)計(jì)和網(wǎng)絡(luò)通信安全設(shè)計(jì)。應(yīng)用環(huán)境安全設(shè)計(jì)：即確保終端和用戶來源可信、可監(jiān)控設(shè)計(jì)，操作系統(tǒng)安全加固設(shè)計(jì)，關(guān)鍵應(yīng)用程序安全設(shè)計(jì)。應(yīng)用區(qū)域邊界安全設(shè)計(jì)：主要涉及網(wǎng)絡(luò)及應(yīng)用系統(tǒng)邊界安全方面，通過身份認(rèn)證、訪問控制技術(shù)，確保對應(yīng)用系統(tǒng)的訪問是通過細(xì)粒度控制下的合法訪問者。鏈路與網(wǎng)絡(luò)通信安全設(shè)計(jì)：主要涉及鏈路及網(wǎng)絡(luò)安全方面，采用數(shù)據(jù)機(jī)密性與完整性保護(hù)技術(shù)，建立端到端傳輸?shù)陌踩珯C(jī)制。兩個基礎(chǔ)設(shè)施設(shè)計(jì)：即公安PKI/PMI基礎(chǔ)設(shè)施，安全監(jiān)測與管理基礎(chǔ)設(shè)施。公安PKI/PMI基礎(chǔ)設(shè)施設(shè)計(jì)：實(shí)施公安數(shù)字身份證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，是實(shí)現(xiàn)接入平臺身份認(rèn)證、授權(quán)管理、訪問控制策略等安全機(jī)制的基礎(chǔ)。安全監(jiān)測與管理基礎(chǔ)設(shè)施設(shè)計(jì)：實(shí)現(xiàn)整個平臺的安全監(jiān)測、管理與運(yùn)行維護(hù)。體系結(jié)構(gòu)共享平臺體系結(jié)構(gòu)根據(jù)需求分析及公安部相關(guān)規(guī)范的要求，貴州省畢節(jié)市公安局共享平臺在體系結(jié)構(gòu)設(shè)計(jì)上由路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五部分組成，如下圖：圖STYLEREF1\s3SEQ圖\*ARABIC\s12邊界接入平臺體系結(jié)構(gòu)圖路由接入?yún)^(qū)該區(qū)域?qū)崿F(xiàn)各個外部鏈路與接入平臺間連接。該區(qū)域主要安全功能為：實(shí)現(xiàn)路由訪問控制，將來自不同接入對象或不同外部鏈路的數(shù)據(jù)流按照接入平臺的安全策略加以區(qū)分。邊界保護(hù)區(qū)該區(qū)域主要實(shí)現(xiàn)對接入平臺的邊界保護(hù)。該區(qū)域主要安全功能為：實(shí)現(xiàn)網(wǎng)絡(luò)級身份認(rèn)證、訪問控制和權(quán)限管理，數(shù)據(jù)機(jī)密性和完整性保護(hù)，防御網(wǎng)絡(luò)攻擊和嗅探。應(yīng)用服務(wù)區(qū)該區(qū)域主要處理各類與應(yīng)用相關(guān)的操作，是公安網(wǎng)對外信息發(fā)布、信息采集、數(shù)據(jù)交換的中間區(qū)域。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點(diǎn)，實(shí)現(xiàn)應(yīng)用級身份認(rèn)證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對公安網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強(qiáng)對服務(wù)器等設(shè)備的安全保護(hù)，應(yīng)具有病毒、木馬防護(hù)功能，防止病毒傳播與非法控制。安全隔離區(qū)該區(qū)域?qū)崿F(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全隔離與信息交換。該區(qū)域主要安全功能為：實(shí)現(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全網(wǎng)絡(luò)隔離，根據(jù)安全策略，對出入公安網(wǎng)的數(shù)據(jù)分別進(jìn)行協(xié)議剝離、格式檢查和過濾，實(shí)現(xiàn)公安網(wǎng)和應(yīng)用服務(wù)區(qū)之間的安全數(shù)據(jù)交換，保障公安網(wǎng)的安全。安全監(jiān)測與管理區(qū)該區(qū)域?qū)崿F(xiàn)整個接入平臺的安全監(jiān)測、管理與維護(hù)。該區(qū)域主要安全功能為：對接入平臺運(yùn)行情況進(jìn)行安全監(jiān)測與審計(jì)，對接入平臺及業(yè)務(wù)信息進(jìn)行注冊管理、各種安全策略管理、流量監(jiān)測、統(tǒng)計(jì)分析、安全審計(jì)等；對接入平臺內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行配置管理及日常運(yùn)行維護(hù)，補(bǔ)丁升級、漏洞掃描與病毒防范。視頻接入體系結(jié)構(gòu)根據(jù)視頻安全接入的業(yè)務(wù)需求及公安部相關(guān)規(guī)范的要求，視頻安全接入鏈路在體系結(jié)構(gòu)上由路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)、安全監(jiān)測與管理區(qū)等五部分組成。如圖所示：圖STYLEREF1\s33視頻接入鏈路體系結(jié)構(gòu)圖路由接入?yún)^(qū)該區(qū)域?qū)崿F(xiàn)各個外部接入鏈路與視頻安全接入鏈路前端設(shè)備的連接。該區(qū)域主要安全功能為：實(shí)現(xiàn)路由訪問控制，將來自不同接入對象或不同外部鏈路的數(shù)據(jù)流按照相關(guān)安全策略加以區(qū)分。邊界保護(hù)區(qū)該區(qū)域主要實(shí)現(xiàn)對邊界接入平臺視頻安全接入鏈路的邊界保護(hù)。該區(qū)域主要安全功能為：實(shí)現(xiàn)網(wǎng)絡(luò)級身份認(rèn)證、訪問控制和權(quán)限管理，數(shù)據(jù)機(jī)密性和完整性保護(hù)，防御網(wǎng)絡(luò)攻擊和嗅探。應(yīng)用服務(wù)區(qū)該區(qū)域主要處理各類與應(yīng)用相關(guān)的操作，是公安信息通信網(wǎng)對外信息發(fā)布、信息采集、數(shù)據(jù)交換的中間區(qū)域。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點(diǎn)，實(shí)現(xiàn)應(yīng)用級身份認(rèn)證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能，防止對公安信息通信網(wǎng)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強(qiáng)對服務(wù)器等設(shè)備的安全保護(hù)，應(yīng)具有病毒、木馬防護(hù)功能，防止病毒傳播與非法控制。安全隔離區(qū)該區(qū)域?qū)崿F(xiàn)公安信息通信網(wǎng)與應(yīng)用服務(wù)區(qū)的安全隔離與信息交換。該區(qū)域主要安全功能為：實(shí)現(xiàn)公安信息通信網(wǎng)與應(yīng)用服務(wù)區(qū)的安全網(wǎng)絡(luò)隔離，根據(jù)安全策略，對出入公安信息通信網(wǎng)的數(shù)據(jù)分別進(jìn)行協(xié)議剝離、格式檢查和過濾，實(shí)現(xiàn)公安信息通信網(wǎng)和應(yīng)用服務(wù)區(qū)之間的安全數(shù)據(jù)交換，保障公安信息通信網(wǎng)的安全。安全監(jiān)測與管理區(qū)該區(qū)域?qū)崿F(xiàn)整個視頻安全接入鏈路的安全監(jiān)測、管理與維護(hù)。該區(qū)域主要安全功能為：對視頻接入鏈路的運(yùn)行情況進(jìn)行安全監(jiān)測與審計(jì)，對接入平臺及業(yè)務(wù)信息進(jìn)行注冊管理、各種安全策略管理、流量監(jiān)測、統(tǒng)計(jì)分析、安全審計(jì)等；對視頻接入鏈路內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行配置管理及日常運(yùn)行維護(hù)，補(bǔ)丁升級、漏洞掃描與病毒防范。該區(qū)域?qū)σ曨l安全接入鏈路運(yùn)行安全監(jiān)測與審計(jì)的功能統(tǒng)一由“集中監(jiān)”控管理與審計(jì)系統(tǒng)實(shí)現(xiàn)。監(jiān)測與管理區(qū)設(shè)計(jì)探針及監(jiān)管功能設(shè)計(jì)貴州省畢節(jié)市公安局共享平臺與視頻接入鏈路的監(jiān)測與管理區(qū)域主要實(shí)現(xiàn)對本級平臺整體運(yùn)行狀況的集中監(jiān)管、安全審計(jì)、注冊管理與級聯(lián)監(jiān)控等功能。級聯(lián)監(jiān)控管理設(shè)計(jì)按《安全規(guī)范》要求，需對共享平臺與視頻接入鏈路進(jìn)行級聯(lián)監(jiān)控。通過部、省、市三級平臺級聯(lián)監(jiān)控體系提供各邊界接入平臺的運(yùn)行維護(hù)情況、日常業(yè)務(wù)流量、安全狀況等動態(tài)信息，為深入分析接入平臺及業(yè)務(wù)運(yùn)行狀態(tài)與安全趨勢提供依據(jù)。依據(jù)級聯(lián)的統(tǒng)一規(guī)范和接口，在部、省、市三級邊界接入平臺間逐步開展和實(shí)現(xiàn)主動雙向式監(jiān)管。上級邊界接入平臺可通過監(jiān)控級聯(lián)接口，主動監(jiān)測下級邊界接入平臺中各關(guān)鍵節(jié)點(diǎn)的各種詳細(xì)基礎(chǔ)數(shù)據(jù)。同時，部、省、市三級單位關(guān)于接入平臺業(yè)務(wù)管理流程也通過此監(jiān)控接口來實(shí)現(xiàn)雙向的信息交互等?？傮w方案結(jié)合項(xiàng)目需求，本項(xiàng)目主要需建設(shè)畢節(jié)市公安局部門間信息共享平臺與視頻安全接入鏈路。其中部門間共享平臺建設(shè)在已經(jīng)建設(shè)的黨政軍機(jī)關(guān)接入鏈路上，實(shí)現(xiàn)黨政軍機(jī)關(guān)各部門與公安網(wǎng)的信息共享；視頻接入鏈路建設(shè)實(shí)現(xiàn)外網(wǎng)視頻資源安全可靠地采集進(jìn)入公安網(wǎng)。具體方案網(wǎng)絡(luò)拓?fù)鋱D如下：圖STYLEREF1\s4SEQ圖\*ARABIC\s11總體方案圖如圖4-1，從邏輯上，將邊界接入平臺劃分三大區(qū)域：終端接入?yún)^(qū)、邊界平臺區(qū)和公安網(wǎng)。其中邊界平臺區(qū)又劃分為路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離區(qū)和安全監(jiān)管區(qū)。社會企/事業(yè)單位終端采用VPDN鏈路，經(jīng)可信邊界安全網(wǎng)關(guān)(TBSG)，將數(shù)據(jù)報(bào)送給社會企/事業(yè)接入的前置服務(wù)器，然后經(jīng)數(shù)據(jù)交換系統(tǒng)將信息交換到公安網(wǎng)。需要對外發(fā)布數(shù)據(jù)通過數(shù)據(jù)交換系統(tǒng)交換到平臺區(qū)域，再通過TBSG交換到外網(wǎng)以提供外網(wǎng)服務(wù)。黨/政/軍機(jī)關(guān)終端通過專線經(jīng)TBSG、數(shù)據(jù)交換系統(tǒng)等安全設(shè)備與公安網(wǎng)實(shí)現(xiàn)授權(quán)訪問和數(shù)據(jù)交換業(yè)務(wù)。公安機(jī)關(guān)駐地外終端通過VPDN/專線經(jīng)TBSG與公安網(wǎng)進(jìn)行通信，實(shí)現(xiàn)授權(quán)訪問業(yè)務(wù)。外網(wǎng)視頻數(shù)據(jù)通過專線經(jīng)視頻安全接入系統(tǒng)單向傳輸進(jìn)入公安網(wǎng)，實(shí)現(xiàn)信令雙向傳輸，視頻單向傳輸。共享平臺建設(shè)在黨政軍機(jī)關(guān)接入鏈路上，提供查詢比對、數(shù)據(jù)交換和Web訪問三類業(yè)務(wù)應(yīng)用的安全支撐，每類業(yè)務(wù)根據(jù)不同的接入模式和安全需求提供不同安全防護(hù)措施。功能設(shè)計(jì)共享平臺功能設(shè)計(jì)查詢比對類通過查詢比對接入鏈路，向黨政軍用戶提供對共享平臺內(nèi)公安信息資源的安全查詢和比對功能，并及時返回查詢比對結(jié)果，支持單條和批量比對業(yè)務(wù)。查詢比對類接入鏈路系統(tǒng)功能如下：查詢比對的數(shù)據(jù)經(jīng)防火墻、可信邊界安全網(wǎng)關(guān)、交換機(jī)等到共享平臺區(qū)域，經(jīng)共享平臺內(nèi)的應(yīng)用服務(wù)處理后，將查詢比對結(jié)果交換、反饋給終端用戶；部署在共享平臺內(nèi)的防病毒服務(wù)器安裝網(wǎng)絡(luò)版防病毒軟件，對共享平臺內(nèi)的服務(wù)器和客戶端提供病毒查殺和防護(hù)等；接入鏈路的路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)及安全隔離區(qū)的運(yùn)行狀態(tài)、設(shè)備狀態(tài)、鏈路狀態(tài)、關(guān)鍵安全設(shè)備運(yùn)行信息等通過探針實(shí)現(xiàn)抓取，并報(bào)送給公安網(wǎng)中的集中監(jiān)控與審計(jì)系統(tǒng)。數(shù)據(jù)交換類數(shù)據(jù)交換類主要實(shí)現(xiàn)黨政軍用戶需要與共享平臺進(jìn)行雙向批量安全交換數(shù)據(jù)，數(shù)據(jù)類型支持結(jié)構(gòu)化數(shù)據(jù)庫數(shù)據(jù)和非結(jié)構(gòu)化的以文件型為主的數(shù)據(jù)，以支撐業(yè)務(wù)的開展。由于信息來源的多樣性，決定了采集來的信息的多樣性，即有數(shù)據(jù)庫記錄方式的，又有文件方式的。同時，目的端對數(shù)據(jù)的要求也是多樣的。因此實(shí)現(xiàn)數(shù)據(jù)交換的系統(tǒng)即要滿足簡單的數(shù)據(jù)庫和文件同步外，還需支撐較為復(fù)雜的數(shù)據(jù)交換功能。具備以下功能：支持多種數(shù)據(jù)庫交換模式，支持多數(shù)據(jù)庫同步方式選擇。包括全表同步、增量同步、列同步等；文件交換方式包括文件夾新增同步、文件夾鏡像同步、文件完全同步、文件同步后源端刪除、文件同步后源端備份、雙向文件同步等多種模式；數(shù)據(jù)同步過濾功能，數(shù)據(jù)庫雙向交換，源與目標(biāo)的同表雙向同步；支持?jǐn)?shù)據(jù)分發(fā)，支持源數(shù)據(jù)庫和源文件分發(fā)到不同的目標(biāo)數(shù)據(jù)庫或文件夾，支持文件與文件、文件與數(shù)據(jù)庫、數(shù)據(jù)庫之間的分發(fā)，并可設(shè)置分發(fā)條件；支持同構(gòu)數(shù)據(jù)庫同步交換，異構(gòu)數(shù)據(jù)庫同步交換；支持一對一、一對多、多對一等多種數(shù)據(jù)傳輸方式：如一份文本文件同時向文件服務(wù)器和數(shù)據(jù)庫服務(wù)器發(fā)送；實(shí)現(xiàn)數(shù)據(jù)交換業(yè)務(wù)的多種調(diào)度策略：支持交換業(yè)務(wù)多級優(yōu)先權(quán)調(diào)度；事件觸發(fā)、時間觸發(fā)、消息觸發(fā)；定時、實(shí)時、輪詢等；提供數(shù)據(jù)可靠傳輸機(jī)制：發(fā)生網(wǎng)絡(luò)阻塞，鏈路故障等時保障數(shù)據(jù)交換可靠傳輸；數(shù)據(jù)傳輸完整性保證：發(fā)生網(wǎng)絡(luò)阻塞/異常，鏈路故障等時保障交換數(shù)據(jù)的完整性；方便、直觀的管理、審計(jì)功能，支持故障報(bào)警和業(yè)務(wù)管控功能。Web訪問類該鏈路主要實(shí)現(xiàn)經(jīng)批準(zhǔn)的外部用戶安全接入到共享平臺，訪問相關(guān)資源的功能。其功能的實(shí)現(xiàn)步驟為：經(jīng)批準(zhǔn)的外部用戶使用其數(shù)字身份證書啟動TBSG客戶端，通過專線鏈路，經(jīng)防火墻訪問TBSG服務(wù)器；TBSG設(shè)備經(jīng)接入終端設(shè)備認(rèn)證、身份證書認(rèn)證、CRL列表驗(yàn)證成功后與TBSG服務(wù)器建立鏈路通道；鏈路建立后，TBSG對用戶訪問權(quán)限進(jìn)行驗(yàn)證，為用戶分配共享平臺資源訪問權(quán)限；經(jīng)批準(zhǔn)的外部用戶就可以在授權(quán)訪問內(nèi)進(jìn)行資源的訪問，如同在共享平臺訪問業(yè)務(wù)一樣的使用資源。視頻接入功能設(shè)計(jì)視頻安全接入鏈路拓?fù)淙缦拢簣D5SEQ圖\*ARABIC\s11視頻接入鏈路網(wǎng)絡(luò)拓?fù)鋱D視頻接入鏈路實(shí)現(xiàn)將外網(wǎng)視頻資源單向傳輸進(jìn)入公安網(wǎng)，在公安內(nèi)網(wǎng)訪問相關(guān)視頻資源的功能。其功能實(shí)現(xiàn)步驟如下：管理員將需要接入的視頻服務(wù)器設(shè)備注冊到接入平臺；管理員將需要訪問視頻資源的用戶注冊到接入平臺；公安干警使用其公安數(shù)字身份證書，視頻用戶認(rèn)證服務(wù)器對用戶身份證書認(rèn)證、CRL列表驗(yàn)證成功后，在客戶端和視頻用戶認(rèn)證服務(wù)器服務(wù)器之間建立通道；啟動視頻監(jiān)控客戶端，訪問視頻中心管理服務(wù)器；公安干警就可以訪問經(jīng)過視頻接入平臺授權(quán)的外部視頻資源，訪問方式就如同在公安網(wǎng)訪問視頻資源業(yè)務(wù)一樣的使用其他視頻資源。安全設(shè)計(jì)共享平臺安全設(shè)計(jì)查詢比對類查詢比對類接入鏈路的安全隔離區(qū)采用專用安全數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)安全交換功能。該系統(tǒng)采用安全加固操作系統(tǒng)保障本身系統(tǒng)的安全性，同時，安全數(shù)據(jù)交換系統(tǒng)外側(cè)的數(shù)據(jù)交換服務(wù)器進(jìn)行安全加固進(jìn)一步加強(qiáng)其系統(tǒng)及應(yīng)用環(huán)境安全；安全數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)安全同步、格式過濾、內(nèi)容過濾和審計(jì)、流量管理及鏈路區(qū)分等功能。該鏈路的防火墻除了進(jìn)行網(wǎng)絡(luò)級防護(hù)外，對外部接入終端進(jìn)行備案登記，終端MAC地址與IP綁定，并對終端的運(yùn)行狀況進(jìn)行檢測，以避免不安全的設(shè)備接入。該鏈路上入侵防御系統(tǒng)（IPS）對外部終端可能存在的入侵行為進(jìn)行檢測、攔截，主動抵制入侵行為，同時通過安全數(shù)據(jù)交換系統(tǒng)的隔離交換功能（經(jīng)網(wǎng)閘進(jìn)行擺渡式交互），確保公安信息通信網(wǎng)在該鏈路上不存在非法入侵點(diǎn)，并實(shí)現(xiàn)公安信息通信網(wǎng)與其他非信任網(wǎng)絡(luò)的安全隔離。接入終端安全：接入終端用戶采用專線或VPDN方式接入到平臺邊界點(diǎn)，在物理上與其他網(wǎng)絡(luò)進(jìn)行隔離，在物理通道上保障信息傳輸?shù)母綦x性和安全性。并通過防火墻實(shí)現(xiàn)終端備案登記、MAC與IP綁定，并對接入終端安全狀況進(jìn)行檢查，使不達(dá)標(biāo)的設(shè)備無法接入。網(wǎng)絡(luò)安全：在該鏈路上部署抗DDOS、防火墻、IPS等安全設(shè)備，對病毒木馬、黑客入侵、DDOS攻擊、異常流量等安全威脅進(jìn)行監(jiān)測和防護(hù)，實(shí)現(xiàn)對應(yīng)用服務(wù)的網(wǎng)絡(luò)層訪問控制。采用安全隔離設(shè)備（安全數(shù)據(jù)交換系統(tǒng)間部署的隔離設(shè)備），實(shí)現(xiàn)接入平臺與公安信息通信網(wǎng)之間的安全隔離。應(yīng)用安全：專用安全設(shè)備安全數(shù)據(jù)交換系統(tǒng)通過配置接入IP、賬號/用戶名、密碼等，實(shí)現(xiàn)應(yīng)用級訪問的控制，與鏈路其他安全設(shè)備一同形成立體的系統(tǒng)防護(hù)體系，防止非授權(quán)訪問。數(shù)據(jù)安全：通過加密傳輸（需要共享平臺應(yīng)用系統(tǒng)支持）、病毒防護(hù)、數(shù)據(jù)格式檢查、內(nèi)容過濾等方式保障該鏈路數(shù)據(jù)傳輸過程中的安全性。共享平臺與公安信息通網(wǎng)間的數(shù)據(jù)傳輸通過安全數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)，保障數(shù)據(jù)安全，并通過平臺的監(jiān)測和審計(jì)系統(tǒng)，防止平臺重要數(shù)據(jù)被泄露。數(shù)據(jù)交換類數(shù)據(jù)交換類接入鏈路采用和查詢比對類接入鏈路基本相同的安全防范措施。Web訪問類Web訪問類的接入用戶通過硬件身份證書，在終端啟動可信邊界安全網(wǎng)關(guān)（TBSG）客戶端與TBSG服務(wù)端建立基于SSL/TLS的加密傳輸信道，保障信息在終端與邊界間傳輸?shù)陌踩裕唤?jīng)過TBSG服務(wù)端的數(shù)據(jù)經(jīng)防毒墻訪問共享平臺內(nèi)的應(yīng)用系統(tǒng)，防毒墻實(shí)時在線查殺病毒，保障數(shù)據(jù)傳輸安全和共享平臺安全?？尚胚吔绨踩W(wǎng)關(guān)采用單向主動服務(wù)方式，確保符合安全要求的外網(wǎng)訪問終端可訪問共享平臺已授權(quán)服務(wù)，而共享平臺不可訪問外部應(yīng)用，實(shí)現(xiàn)應(yīng)用層面的共享平臺與其他非信任網(wǎng)絡(luò)的安全隔離，確保共享平臺內(nèi)部重要信息系統(tǒng)不會出現(xiàn)數(shù)據(jù)泄露，防止該鏈路邊界接入點(diǎn)的非法入侵行為。接入終端安全：接入終端用戶采用專線方式接入到平臺邊界點(diǎn)，在物理上與其他網(wǎng)絡(luò)進(jìn)行隔離，在物理通道上保障信息傳輸?shù)母綦x性和安全性。并通過防火墻實(shí)現(xiàn)終端備案登記、MAC與IP綁定，并對接入終端安全狀況進(jìn)行檢查，使不達(dá)標(biāo)的設(shè)備無法接入。同時TBSG客戶端與TBSG服務(wù)器配合可實(shí)現(xiàn)終端設(shè)備認(rèn)證、進(jìn)程控制、多網(wǎng)阻斷等安全功能，保障終端環(huán)境安全。網(wǎng)絡(luò)安全：在該鏈路上部署防火墻、可信邊界安全網(wǎng)關(guān)、防毒墻、IPS等安全設(shè)備，對病毒木馬、黑客入侵、異常流量等安全威脅進(jìn)行監(jiān)測和防護(hù)，實(shí)現(xiàn)對應(yīng)用服務(wù)的網(wǎng)絡(luò)層訪問控制。接入終端與邊界間數(shù)據(jù)傳輸采用基于SSL/TLS協(xié)議傳輸，對鏈路進(jìn)行加密。應(yīng)用安全：可信邊界安全網(wǎng)關(guān)提供基于證書的應(yīng)用級授權(quán)訪問控制，防止非法訪問。可依據(jù)用戶類別和應(yīng)用（資源）進(jìn)行基于角色－權(quán)限－資源的嚴(yán)格控制。視頻接入安全設(shè)計(jì)數(shù)據(jù)接收在保障視頻數(shù)據(jù)接收應(yīng)用正常運(yùn)行的前提下，數(shù)據(jù)接收需實(shí)現(xiàn)以下安全功能，以實(shí)現(xiàn)接入設(shè)備可靠、信息來源可信：主動訪問：由視頻接入認(rèn)證服務(wù)器主動訪問視頻源，關(guān)閉視頻接入認(rèn)證服務(wù)器對外所有的服務(wù)端口，屏蔽外網(wǎng)網(wǎng)絡(luò)層面的各類攻擊。設(shè)備認(rèn)證：所有的接入設(shè)備需進(jìn)行設(shè)備注冊，確認(rèn)接入設(shè)備的合法性，屏蔽對未注冊的、非法設(shè)備數(shù)據(jù)的接收。數(shù)據(jù)檢查數(shù)據(jù)安全檢查在功能上實(shí)現(xiàn)對接入的視頻數(shù)據(jù)進(jìn)行嚴(yán)格的安全檢查，因此需實(shí)現(xiàn)以下功能：數(shù)據(jù)源檢查：保證數(shù)據(jù)源的合法性，防止非法數(shù)據(jù)進(jìn)來；格式檢查：以保障視頻數(shù)據(jù)格式的正確，去除無用的“臟數(shù)據(jù)”；協(xié)議檢查：保證視頻應(yīng)用協(xié)議的合法性；木馬/病毒防護(hù)：保障視頻數(shù)據(jù)中不含非法的木馬/病毒，保障平臺與內(nèi)網(wǎng)安全。數(shù)據(jù)傳輸數(shù)據(jù)傳輸除了在功能上實(shí)現(xiàn)視頻信息傳輸外，在安全上需實(shí)現(xiàn)以下功能：數(shù)據(jù)的格式檢查，以保障視頻數(shù)據(jù)格式的正確；木馬/病毒防護(hù)，保障視頻數(shù)據(jù)中不含非法的木馬/病毒，保障平臺與內(nèi)網(wǎng)安全。數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)源檢查，保證數(shù)據(jù)源的合法性，防止非法數(shù)據(jù)進(jìn)來；格式檢查，以保障視頻數(shù)據(jù)格式的正確，去除無用的“臟數(shù)據(jù)”；協(xié)議檢查，保證應(yīng)用協(xié)議數(shù)據(jù)包的合法性；敏感信息檢查，防止內(nèi)外敏感數(shù)據(jù)外泄。授權(quán)訪問為了保障公安網(wǎng)內(nèi)資源的安全，確保接入設(shè)備的合法性，保證視頻數(shù)據(jù)到公安網(wǎng)信息傳輸?shù)陌踩?，授?quán)訪問類應(yīng)用在安全上需要實(shí)現(xiàn)以下功能。設(shè)備認(rèn)證：所有授權(quán)訪問類的接入設(shè)備必需進(jìn)行設(shè)備注冊，只有通過注冊通過后的合法設(shè)備才能與視頻接入平臺建立鏈接，保證接入設(shè)備的合法性；證書認(rèn)證：所有授權(quán)訪問的訪問用戶和設(shè)備需持合法身份才能與視頻用戶認(rèn)證服務(wù)器建立鏈接，通過采用數(shù)字身份證書確定訪問用戶的身份，保證用戶身份的合法性和可追溯性；資源的訪問控制：通過用戶（數(shù)字證書）、角色，控制用戶的授權(quán)訪問，只有合法設(shè)備/用戶才能訪問其有權(quán)訪問的資源，限制用戶的使用權(quán)限；告警管理，及時通知各種告警，讓用戶了解系統(tǒng)狀況；用戶行為審計(jì)：對所有授權(quán)訪問類用戶/設(shè)備的行為進(jìn)行審計(jì)，保障用戶已發(fā)生行為的可追溯性。管理設(shè)計(jì)集中監(jiān)控與審計(jì)系統(tǒng)分為安全監(jiān)控系統(tǒng)和級聯(lián)上報(bào)系統(tǒng)。通過安全監(jiān)控系統(tǒng)集中體現(xiàn)接入平臺整體運(yùn)行情況，展示所有設(shè)備的運(yùn)行狀態(tài)，警并對故障點(diǎn)和性能瓶頸點(diǎn)進(jìn)行報(bào)，并通過短信/郵件等方式通知相關(guān)管理員。通過級聯(lián)上報(bào)系統(tǒng)實(shí)現(xiàn)部/省/市三級監(jiān)管體系。監(jiān)管功能接入平臺安全監(jiān)控能實(shí)現(xiàn)對整個接入平臺進(jìn)行安全監(jiān)控、管理與維護(hù)，統(tǒng)計(jì)與分析。其實(shí)現(xiàn)的監(jiān)控功能如下：注冊管理服務(wù)：實(shí)現(xiàn)平臺和公安業(yè)務(wù)信息的標(biāo)準(zhǔn)注冊流程；監(jiān)控管理服務(wù)：對接入平臺運(yùn)行狀況進(jìn)行實(shí)時監(jiān)控；審計(jì)管理服務(wù)：對平臺運(yùn)行信息進(jìn)行安全審計(jì)和異常行為的責(zé)任認(rèn)定；1、注冊服務(wù)，提供以下功能：■平臺信息注冊：登記接入平臺的地域信息、建設(shè)信息、運(yùn)維信息、審批信息、接入平臺鏈路信息和設(shè)備信息；■業(yè)務(wù)信息注冊：登記業(yè)務(wù)的主管部門信息、審批信息、應(yīng)用系統(tǒng)信息、業(yè)務(wù)擴(kuò)展信息；■使用單位信息注冊：登記使用單位的名稱、物理位置、負(fù)責(zé)人等信息；■設(shè)備信息注冊：登記平臺內(nèi)關(guān)鍵設(shè)備終端和使用單位終端的網(wǎng)絡(luò)信息、屬性信息、安全信息；■接口信息注冊：登記業(yè)務(wù)數(shù)據(jù)格式接口信息。數(shù)據(jù)格式接口信息用于描述業(yè)務(wù)應(yīng)用系統(tǒng)需要交互的數(shù)據(jù)格式。2、監(jiān)控服務(wù)，提供以下功能：■平臺監(jiān)控：監(jiān)控平臺當(dāng)前運(yùn)行總體情況；■流量監(jiān)測：能夠監(jiān)測整個接入平臺以及平臺內(nèi)部各個鏈路和業(yè)務(wù)的流量信息；■異常報(bào)警：能夠按照接入平臺安全策略監(jiān)控接入平臺內(nèi)部的異常信息并報(bào)警；■在線用戶：能夠列舉接入平臺在線用戶的個人信息和使用信息；■統(tǒng)計(jì)分析：提供對各類信息的統(tǒng)計(jì)分析功能；■安全處置：能實(shí)現(xiàn)TBSG與集中監(jiān)控與審計(jì)系統(tǒng)等設(shè)備聯(lián)動，對異常用戶的處置。3、審計(jì)服務(wù)，提供以下功能：■平臺審計(jì)：審計(jì)平臺總體歷史運(yùn)行情況；■用戶行為審計(jì)：對用戶訪問時間、行為和個人信息進(jìn)行審計(jì)；■業(yè)務(wù)應(yīng)用審計(jì)：對業(yè)務(wù)應(yīng)用交換的數(shù)據(jù)格式進(jìn)行審計(jì)；■設(shè)備安全審計(jì)：對用接入平臺內(nèi)部的關(guān)鍵設(shè)備運(yùn)行狀態(tài)進(jìn)行審計(jì)；■異常行為審計(jì)：對接入平臺內(nèi)部異常行為的網(wǎng)絡(luò)信息進(jìn)行審計(jì)，并聯(lián)系用戶行為信息幫助實(shí)現(xiàn)責(zé)任認(rèn)定。級聯(lián)功能通過級聯(lián)服務(wù)實(shí)現(xiàn)對本級平臺向部平臺報(bào)送信息，支持部/省/市三級監(jiān)管體系。功能描述如下：■平臺建設(shè)信息上報(bào)：將接入平臺建設(shè)信息上報(bào)給上級平臺，主要包括地域信息、運(yùn)維信息、審批信息、平臺鏈路信息和設(shè)備信息；■平臺運(yùn)行信息上報(bào)：將本平臺的運(yùn)行信息上報(bào)給上級平臺，主要包括接入平臺運(yùn)行狀態(tài)、業(yè)務(wù)信息、使用單位信息以及接入平臺業(yè)務(wù)流量、訪問量、交換記錄數(shù)目信息；■上報(bào)任務(wù)管理：實(shí)現(xiàn)高可靠的自動化的數(shù)據(jù)上報(bào)任務(wù)，并能定期或即時的執(zhí)行數(shù)據(jù)上傳任務(wù)。提供靈活簡便的上報(bào)任務(wù)管理；■為上級平臺提供即時瀏覽、綜合查詢及統(tǒng)計(jì)分析功能；■本級監(jiān)管系統(tǒng)負(fù)責(zé)對本地鏈路進(jìn)行監(jiān)控，監(jiān)控信息通過級聯(lián)系統(tǒng)上報(bào)到公安部監(jiān)管系統(tǒng)。架構(gòu)如下圖：設(shè)備介紹對于共享平臺與視頻接入鏈路來說，其關(guān)鍵性產(chǎn)品包括邊界接入安全網(wǎng)關(guān)產(chǎn)品、數(shù)據(jù)交換產(chǎn)品、視頻接入產(chǎn)品和監(jiān)管產(chǎn)品等。分別對應(yīng)用于可信邊界安全網(wǎng)關(guān)、網(wǎng)絡(luò)數(shù)據(jù)交換系統(tǒng)、視頻安全接入系統(tǒng)和集中監(jiān)控與審計(jì)系統(tǒng)（安全監(jiān)管系統(tǒng)和級聯(lián)上報(bào)系統(tǒng)）?？尚胚吔绨踩W(wǎng)關(guān)TBSG部署在邊界保護(hù)區(qū)，對接入的終端進(jìn)行基于硬件特征的設(shè)備認(rèn)證以及基于數(shù)字證書的高強(qiáng)度用戶身份認(rèn)證，保證接入終端和用戶的合法性有效性，同時為內(nèi)部網(wǎng)絡(luò)應(yīng)用提供高強(qiáng)度數(shù)據(jù)鏈路加密服務(wù)及數(shù)字簽名及驗(yàn)證服務(wù)，可以有效保護(hù)網(wǎng)絡(luò)資源的安全訪問。對于可信邊界接入安全網(wǎng)關(guān)，從以下幾個方面對產(chǎn)品進(jìn)行設(shè)計(jì)：在安全上采用終端設(shè)備認(rèn)證、用戶身份認(rèn)證、數(shù)據(jù)加密傳輸和授權(quán)訪問等技術(shù)保障其安全；在功能設(shè)計(jì)上支持B/S應(yīng)用和C/S應(yīng)用，且與具體應(yīng)用無關(guān)來支持邊界接入業(yè)務(wù)中各類應(yīng)用；在性能上選用高穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分高、中、低三個檔次，以滿足用戶根據(jù)不同應(yīng)用負(fù)荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴(yán)格選型、測試和長期使用外，在功能設(shè)計(jì)上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機(jī)熱備等來保障設(shè)備的穩(wěn)定性。網(wǎng)絡(luò)數(shù)據(jù)交換網(wǎng)絡(luò)數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)內(nèi)外網(wǎng)之間各系統(tǒng)、數(shù)據(jù)源以及文件的傳輸和交換；實(shí)現(xiàn)同屬于內(nèi)網(wǎng)的各系統(tǒng)、數(shù)據(jù)源以及文件的傳輸和交換；實(shí)現(xiàn)同構(gòu)數(shù)據(jù)源、文件的雙向同步傳輸；可實(shí)現(xiàn)異構(gòu)數(shù)據(jù)源、文件之間的的雙向交換和各種內(nèi)容、格式的轉(zhuǎn)換；實(shí)現(xiàn)文件和數(shù)據(jù)庫之間的雙向交換和各種內(nèi)容、格式的轉(zhuǎn)換；實(shí)現(xiàn)各種基于內(nèi)容和格式的條件過濾。對于數(shù)據(jù)交換產(chǎn)品，從以下幾個方面對產(chǎn)品進(jìn)行設(shè)計(jì)：在安全上通過采用協(xié)議剝離、格式檢查、內(nèi)容過濾等技術(shù)保障交換數(shù)據(jù)的合法性；在功能設(shè)計(jì)上支持同構(gòu)/異構(gòu)數(shù)據(jù)庫之間、相同/不同類型文件之間及數(shù)據(jù)庫和文件之間的數(shù)據(jù)交換來支持?jǐn)?shù)據(jù)交換中的復(fù)雜應(yīng)用；通過設(shè)計(jì)不同適配器模塊以支撐數(shù)據(jù)交換中源端和目的端對各種不同的數(shù)據(jù)類型，做到應(yīng)用無關(guān)性與零代碼開發(fā)；在性能上選用高穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分高、中、低三個檔次，以滿足用戶根據(jù)不同應(yīng)用負(fù)荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴(yán)格選型、測試和長期使用外，在功能設(shè)計(jì)上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機(jī)熱備等來保障設(shè)備的穩(wěn)定性。視頻安全接入系統(tǒng)視頻安全接入系統(tǒng)架構(gòu)上主要包括視頻接入認(rèn)證服務(wù)器，視頻隔離網(wǎng)閘和視頻用戶認(rèn)證服務(wù)器三部分組成。對于視頻接入認(rèn)證服務(wù)器，從以下幾個方面對產(chǎn)品進(jìn)行設(shè)計(jì)：在安全上采用主動訪問可信設(shè)備、設(shè)備認(rèn)證、數(shù)據(jù)安全檢查等技術(shù)保障其安全；在性能上選用高穩(wěn)定的硬件產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴(yán)格選型、測試和長期使用外，在功能設(shè)計(jì)上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機(jī)熱備等來保障設(shè)備的穩(wěn)定性。對于視頻隔離網(wǎng)閘，從以下幾個方面對產(chǎn)品進(jìn)行設(shè)計(jì)：在安全上通過采用協(xié)議剝離、格式檢查、內(nèi)容過濾等技術(shù)保障視頻數(shù)據(jù)的合法性；在功能設(shè)計(jì)上支持視頻數(shù)據(jù)各種復(fù)雜應(yīng)用；在性能上選用高穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分高、中兩個檔次，以滿足用戶根據(jù)不同應(yīng)用負(fù)荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴(yán)格選型、測試和長期使用外，在功能設(shè)計(jì)上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機(jī)熱備等來保障設(shè)備的穩(wěn)定性。對于視頻用戶認(rèn)證服務(wù)器，從以下幾個方面對產(chǎn)品進(jìn)行設(shè)計(jì)：在安全上采用用戶認(rèn)證、權(quán)限管理、證書認(rèn)證、數(shù)據(jù)安全檢查，敏感信息掃描等技術(shù)保障其安全；在功能設(shè)計(jì)上支持B/S應(yīng)用和C/S應(yīng)用，且與具體應(yīng)用無關(guān)來支持視頻接入業(yè)務(wù)中各類應(yīng)用；在性能上選用高穩(wěn)定的硬件產(chǎn)品，整個產(chǎn)品主要分高、中兩個檔次，以滿足用戶根據(jù)不同應(yīng)用負(fù)荷來選擇合適的產(chǎn)品；在穩(wěn)定性上，除了對硬件產(chǎn)品的嚴(yán)格選型、測試和長期使用外，在功能設(shè)計(jì)上通過采用穩(wěn)定成熟的技術(shù)和架構(gòu)及支持雙機(jī)熱備等來保障設(shè)備的穩(wěn)定性。集中監(jiān)控與審計(jì)系統(tǒng)集中監(jiān)控與審計(jì)系統(tǒng)分為安全監(jiān)控系統(tǒng)和級聯(lián)上報(bào)系統(tǒng)。通過安全監(jiān)控系統(tǒng)集中體現(xiàn)接入平臺整體運(yùn)行情況，展示所有設(shè)備的運(yùn)行狀態(tài)，并對故障點(diǎn)和性能瓶頸點(diǎn)進(jìn)行報(bào)警，并通過短信/郵件等方式通知相關(guān)管理員。安全監(jiān)控系統(tǒng)主要實(shí)現(xiàn)對平臺業(yè)務(wù)的注冊、監(jiān)控和審計(jì)等功能；級聯(lián)上報(bào)主要實(shí)現(xiàn)向上級平臺報(bào)送本級平臺的運(yùn)維情況，以支撐部/省/市安全架構(gòu)體系。共享平臺功能共享平臺架構(gòu)依據(jù)系統(tǒng)架構(gòu)，部門間信息共享與服務(wù)平臺主要由數(shù)據(jù)采集、數(shù)據(jù)集成、內(nèi)外網(wǎng)共享數(shù)據(jù)庫、內(nèi)外網(wǎng)共享平臺門戶、內(nèi)外網(wǎng)應(yīng)用服務(wù)以及平臺管理監(jiān)控等系統(tǒng)組成，如下圖所示：圖9SEQ圖\*ARABIC\s11共享平臺架構(gòu)圖應(yīng)用服務(wù)區(qū)：共享平臺在應(yīng)用服務(wù)區(qū)部署了數(shù)據(jù)采集系統(tǒng)、數(shù)據(jù)集成系統(tǒng)、共享數(shù)據(jù)庫、共享平臺門戶、應(yīng)用服務(wù)系統(tǒng)、平臺監(jiān)控管理系統(tǒng)。數(shù)據(jù)采集系統(tǒng)配合數(shù)據(jù)采集前置機(jī)實(shí)現(xiàn)社會數(shù)據(jù)的采集匯聚；數(shù)據(jù)集成系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)清洗、轉(zhuǎn)換、整合等處理；共享數(shù)據(jù)庫實(shí)現(xiàn)社會數(shù)據(jù)的存儲管理；由門戶對外提供統(tǒng)一的Web入口；應(yīng)用服務(wù)系統(tǒng)提供對外的數(shù)據(jù)共享服務(wù)；平臺監(jiān)控管理系統(tǒng)實(shí)現(xiàn)統(tǒng)一的安全監(jiān)控管理。公安信息通信網(wǎng)：在內(nèi)網(wǎng)部署內(nèi)網(wǎng)門戶、內(nèi)外數(shù)據(jù)庫、內(nèi)網(wǎng)應(yīng)用服務(wù)系統(tǒng)，內(nèi)網(wǎng)門戶提供統(tǒng)一的入口，應(yīng)用服務(wù)系統(tǒng)提供具體的數(shù)據(jù)共享服務(wù)，內(nèi)網(wǎng)數(shù)據(jù)庫實(shí)現(xiàn)數(shù)據(jù)的存儲管理。內(nèi)外網(wǎng)共享數(shù)據(jù)庫通過邊界接入平臺的安全數(shù)據(jù)交換實(shí)現(xiàn)數(shù)據(jù)傳輸與同步。其中，內(nèi)網(wǎng)應(yīng)用服務(wù)系統(tǒng)可與請求服務(wù)平臺對接，結(jié)合應(yīng)用服務(wù)區(qū)的應(yīng)用服務(wù)系統(tǒng)，將公安內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)安全可控地對外提供授權(quán)服務(wù)。外部門接入：外部門根據(jù)實(shí)際情況采用黨政軍鏈路。采用數(shù)據(jù)交換或文件交換方式的外部門，需部署數(shù)據(jù)采集前置機(jī)，配合數(shù)據(jù)采集系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)的雙向交換；對于不能直接提供的敏感數(shù)據(jù)，可在外部門部署外網(wǎng)應(yīng)用服務(wù)子系統(tǒng)，實(shí)現(xiàn)公安對外部門業(yè)務(wù)數(shù)據(jù)的按需調(diào)用。外部門也可同時部署數(shù)據(jù)采集前置機(jī)和應(yīng)用服務(wù)子系統(tǒng)，一方面實(shí)現(xiàn)公安對敏感數(shù)據(jù)的按需調(diào)用，另一方面提供數(shù)據(jù)的雙向或者單向交換。除了數(shù)據(jù)交換共享之外，平臺還提供應(yīng)用交互、服務(wù)接口等共享方式。應(yīng)用交互方式：外部門用戶通過外網(wǎng)門戶獲取Web服務(wù)，如數(shù)據(jù)查詢、核查、比對等。服務(wù)接口共享方式：應(yīng)用服務(wù)區(qū)的應(yīng)用服務(wù)系統(tǒng)提供標(biāo)準(zhǔn)的服務(wù)接口，為外部門應(yīng)用系統(tǒng)提供數(shù)據(jù)共享服務(wù)。內(nèi)、外網(wǎng)門戶網(wǎng)站平臺門戶網(wǎng)站整合了平臺服務(wù)功能和管理監(jiān)控功能，以單點(diǎn)登錄、權(quán)限控制、資源集中展現(xiàn)和管理的方式，為內(nèi)、外網(wǎng)用戶提供統(tǒng)一服務(wù)入口。共享平臺門戶網(wǎng)站主要提供信息查詢、核查比對、應(yīng)用導(dǎo)航、信息公告、應(yīng)用統(tǒng)計(jì)等服務(wù)。其中，信息查詢、比對等功能主要依托應(yīng)用服務(wù)系統(tǒng)提供的服務(wù)接口實(shí)現(xiàn)。單點(diǎn)登陸系統(tǒng)支持單點(diǎn)登陸，注冊用戶一次登錄即可使用權(quán)限范圍內(nèi)的所有平臺功能。平臺支持用戶名密碼登陸和數(shù)字證書登陸兩種方式，通過平臺本身的權(quán)限管理，結(jié)合公安PKI/PMI認(rèn)證，保障平臺和應(yīng)用系統(tǒng)的安全。統(tǒng)一用戶管理平臺采用“統(tǒng)一存儲、分布授權(quán)”的方式對注冊用戶進(jìn)行管理，即建立統(tǒng)一的用戶管理系統(tǒng)，用于統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶信息，應(yīng)用系統(tǒng)對用戶的相關(guān)操作全部通過統(tǒng)一用戶管理系統(tǒng)完成，而授權(quán)等操作則由各子系統(tǒng)完成。頁面定制門戶展現(xiàn)是門戶的重要組成部分，它將用戶所關(guān)注的各方面信息以直觀、集中的方式展現(xiàn)在門戶上。系統(tǒng)可支持頁面定制，可按需定制終端用戶的門戶內(nèi)容，包括信息和應(yīng)用服務(wù)內(nèi)容，外觀及版式等定制功能。信息公告信息公告是用來起草、發(fā)布以及管理各類部門信息、通知通報(bào)的網(wǎng)上信息管理，具有信息公告的新建、編輯、刪除、查找、審核、發(fā)布等功能。應(yīng)用導(dǎo)航門戶提供了應(yīng)用導(dǎo)航，用于各子系統(tǒng)的快速鏈接。顯示的應(yīng)用導(dǎo)航受用戶權(quán)限的控制，即只顯示當(dāng)前用戶權(quán)限范圍內(nèi)的應(yīng)用導(dǎo)航。應(yīng)用統(tǒng)計(jì)門戶網(wǎng)站的應(yīng)用統(tǒng)計(jì)應(yīng)能直觀反映部門間信息共享服務(wù)的實(shí)際工作進(jìn)展，并靈活運(yùn)用各類圖表展現(xiàn)統(tǒng)計(jì)數(shù)據(jù)。主要包括：數(shù)據(jù)量統(tǒng)計(jì)：實(shí)現(xiàn)各部門單位、各類業(yè)務(wù)數(shù)據(jù)按照數(shù)據(jù)總量、更新情況等指標(biāo)的定時統(tǒng)計(jì)，可自動生成報(bào)表;數(shù)據(jù)質(zhì)量統(tǒng)計(jì)：對各單位、各類型數(shù)據(jù)質(zhì)量情況的統(tǒng)計(jì)，可自動進(jìn)行排名;數(shù)據(jù)應(yīng)用成效統(tǒng)計(jì)：實(shí)現(xiàn)數(shù)據(jù)應(yīng)用服務(wù)中各功能成效情況的自動統(tǒng)計(jì)功能，為進(jìn)一步提升現(xiàn)有數(shù)據(jù)應(yīng)用服務(wù)水平，探索新的數(shù)據(jù)應(yīng)用服務(wù)方式提供分析數(shù)據(jù)。主要統(tǒng)計(jì)各類數(shù)據(jù)資源的采集情況、共享應(yīng)用情況等。內(nèi)、外網(wǎng)應(yīng)用服務(wù)系統(tǒng)外網(wǎng)應(yīng)用服務(wù)系統(tǒng)主要為外單位用戶及業(yè)務(wù)系統(tǒng)提供共享服務(wù)，包括數(shù)據(jù)查詢、核查比對、數(shù)據(jù)上傳下載、共享痕跡留存和服務(wù)接口等。內(nèi)網(wǎng)應(yīng)用服務(wù)系統(tǒng)是為公安內(nèi)網(wǎng)提供服務(wù)，包括數(shù)據(jù)查詢比對、接口調(diào)用等。可視化業(yè)務(wù)配置器具有圖形化的業(yè)務(wù)配置器（共享流程設(shè)計(jì)器），滿足公安與其他部門不同共享邏輯的調(diào)用需求（如簡項(xiàng)查詢、要素查詢、核查比對、數(shù)據(jù)采集等），并能夠根據(jù)后續(xù)的共享需求，靈活快速地調(diào)整變化的共享流程。主要包括：數(shù)據(jù)資源配置、數(shù)據(jù)權(quán)限配置、數(shù)據(jù)查詢配置、核查比對配置、數(shù)據(jù)采集配置。標(biāo)準(zhǔn)的Web服務(wù)接口應(yīng)用服務(wù)系統(tǒng)可將信息查詢、核查比對包裝成通用的WEB服務(wù)接口，供門戶網(wǎng)站、其他部門業(yè)務(wù)系統(tǒng)直接調(diào)用。應(yīng)用服務(wù)系統(tǒng)可實(shí)現(xiàn)部門單位和公安內(nèi)網(wǎng)應(yīng)用系統(tǒng)間的雙向服務(wù)調(diào)用。通過簡單的配置，即可快速生成標(biāo)準(zhǔn)的WebService服務(wù)。信息查詢外網(wǎng)查詢服務(wù)用于為有關(guān)部門提供同步的信息查詢，包括對人員、車輛等公安對外共享信息的簡項(xiàng)查詢，以及其他授權(quán)范圍內(nèi)的數(shù)據(jù)查詢（如已授權(quán)的其他外單位數(shù)據(jù)查詢）。系統(tǒng)可與請求服務(wù)平臺進(jìn)行對接，安全可控地對外提供公安內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)共享服務(wù)。內(nèi)網(wǎng)查詢是對部門間信息共享數(shù)據(jù)庫進(jìn)行查詢，包括各單位提供的共享數(shù)據(jù)以及整合后的綜合數(shù)據(jù)，支持簡項(xiàng)查詢、要素查詢和關(guān)聯(lián)查詢。簡項(xiàng)查詢用于已知數(shù)據(jù)來源的情況，要素查詢用于不能準(zhǔn)確獲知數(shù)據(jù)來源的情況，關(guān)聯(lián)查詢用于查詢多來源的關(guān)聯(lián)數(shù)據(jù)。所有的查詢都受用戶權(quán)限控制，用戶只能查詢自己權(quán)限范圍內(nèi)的數(shù)據(jù)。數(shù)據(jù)核查核查服務(wù)用于提供同步的信息真?zhèn)涡ｒ?yàn)，核查結(jié)果只返回有無滿足條件結(jié)果,即是、否、真、假，從而提高核查時效性、準(zhǔn)確性、廣泛性。系統(tǒng)對外主要提供對人員、機(jī)動車等基本信息的實(shí)時核實(shí)功能。數(shù)據(jù)比對比對服務(wù)用于提供異步的批量信息真?zhèn)涡ｒ?yàn)。系統(tǒng)支持在線批量比對和比對模板，用戶可下載模板并填寫數(shù)據(jù)后上傳至系統(tǒng)，實(shí)現(xiàn)與目標(biāo)數(shù)據(jù)的比對碰撞功能，并將比對結(jié)果返回給用戶。數(shù)據(jù)上傳下載有權(quán)限的用戶可以進(jìn)行在線的數(shù)據(jù)上傳及下載，支持?jǐn)?shù)據(jù)庫數(shù)據(jù)和文件數(shù)據(jù)的上傳，包括TXT、dmp、sql、excel格式文件，并能將上傳的文件裝載到指定數(shù)據(jù)庫中。共享痕跡留存共享服務(wù)痕跡本身對公安來說也是重要的情報(bào)信息，如汽修業(yè)所采集的車輛信息，可作為被盜搶機(jī)動車的比對源使用。系統(tǒng)對外網(wǎng)用戶的查詢、核查、比對及應(yīng)用系統(tǒng)調(diào)用痕跡進(jìn)行詳細(xì)記錄，包括輸入的查詢（或核查、比對）內(nèi)容、核查人、所在單位、聯(lián)系方式、核查時間等，并交換至公安內(nèi)網(wǎng)，作為采集的一部分內(nèi)容，供公安內(nèi)部系統(tǒng)使用。數(shù)據(jù)權(quán)限控制系統(tǒng)提供細(xì)粒度的數(shù)據(jù)權(quán)限控制功能，資源提供者可以對數(shù)據(jù)進(jìn)行嚴(yán)格的分級授權(quán)設(shè)置，包括數(shù)據(jù)共享的范圍和方式。管理員還可通過用戶授權(quán)管理模塊可對信息來源、操作權(quán)限、數(shù)據(jù)處理流程進(jìn)行授權(quán)管理。兩部分相結(jié)合，可獲得更加細(xì)粒度的授權(quán)控制，數(shù)據(jù)資源的共享范圍可精確到特點(diǎn)資源的表級、字段級，共享范圍可精確到特定單位的角色、用戶，操作范圍可精確到具體功能操作。服務(wù)門戶定制以智能化定制方式，按需生成獨(dú)立的服務(wù)門戶，滿足不同部門信息查詢、核查比對、數(shù)據(jù)提交的應(yīng)用需要。監(jiān)控與管理應(yīng)用服務(wù)系統(tǒng)自帶監(jiān)控管理功能，基于瀏覽器方式的管理控制臺對應(yīng)用服務(wù)系統(tǒng)本身、應(yīng)用服務(wù)、組件及業(yè)務(wù)流程進(jìn)行狀態(tài)查詢和監(jiān)控管理，支持補(bǔ)丁升級、漏洞掃描與病毒防范。數(shù)據(jù)采集系統(tǒng)數(shù)據(jù)采集系統(tǒng)是一套易用、易管、高效的數(shù)據(jù)交換系統(tǒng)，主要實(shí)現(xiàn)不同數(shù)據(jù)庫、應(yīng)用系統(tǒng)、操作系統(tǒng)之間的數(shù)據(jù)交換，滿足分布在不同操作系統(tǒng)環(huán)境中的各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫之間數(shù)據(jù)交換共享的需要。主要功能包括：支持主流硬件平臺和操作平臺，如Windows、AIX、UNIX、Linux等；支持異構(gòu)多數(shù)據(jù)源和目標(biāo)數(shù)據(jù)庫：如Oracle,DB2,MicrosoftSQLServer,Informix,Sybase,MySql、達(dá)夢等；支持上傳文件：DMP、SQL、TXT、Excel、CSV、ACCESS、XML，以及對應(yīng)ZIP文件;采用圖形化配置方式實(shí)現(xiàn)所有交換業(yè)務(wù)，實(shí)現(xiàn)零代碼開發(fā)；實(shí)現(xiàn)跨網(wǎng)絡(luò)數(shù)據(jù)同步和交換；實(shí)現(xiàn)數(shù)據(jù)庫到文件、文件到數(shù)據(jù)庫、數(shù)據(jù)庫到數(shù)據(jù)庫、文件到文件的交換；實(shí)現(xiàn)內(nèi)網(wǎng)不同類型數(shù)據(jù)庫間的數(shù)據(jù)同步和交換；實(shí)現(xiàn)不同格式的文件之間的數(shù)據(jù)交換；實(shí)現(xiàn)一份源數(shù)據(jù)向多個要求各異的目標(biāo)交換數(shù)據(jù)，如共享平臺向多個部門單位發(fā)生數(shù)據(jù)；實(shí)現(xiàn)對被交換數(shù)據(jù)內(nèi)容、格式、類型的轉(zhuǎn)換；實(shí)現(xiàn)對被交換數(shù)據(jù)的協(xié)議剝離、格式檢查和過濾；實(shí)現(xiàn)對被交換數(shù)據(jù)的抽取、解析和聚合；實(shí)現(xiàn)的業(yè)務(wù)調(diào)度策略有：事件觸發(fā)、時間觸發(fā)、消息觸發(fā)；定時、實(shí)時、輪詢；全量、增量等；實(shí)現(xiàn)實(shí)時病毒與木馬過濾;提供詳細(xì)數(shù)據(jù)交換日志、報(bào)表功能，對數(shù)據(jù)交換成功記錄和失敗記錄進(jìn)行詳細(xì)記錄，包括業(yè)務(wù)名，條數(shù)、操作、時間、庫名、表名、失敗原因、操作次數(shù)、恢復(fù)次數(shù)、時間、庫名、表名等信息；提供數(shù)據(jù)可靠傳輸機(jī)制：發(fā)生網(wǎng)絡(luò)阻塞，鏈路故障等時保障數(shù)據(jù)交換可靠傳輸;數(shù)據(jù)傳輸完整性保證：發(fā)生網(wǎng)絡(luò)阻塞/異常，鏈路故障等時保障交換數(shù)據(jù)的完整性;所有的業(yè)務(wù)流程支持優(yōu)先級管理，確保高優(yōu)先級的核心業(yè)務(wù)的運(yùn)行；支持負(fù)載均衡功能，可以支持多組集群的負(fù)載均衡。數(shù)據(jù)集成系統(tǒng)數(shù)據(jù)集成系統(tǒng)的主要功能是用于數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)質(zhì)量審核，按照設(shè)置的規(guī)則，對預(yù)處理數(shù)據(jù)進(jìn)行清洗轉(zhuǎn)換，并將標(biāo)準(zhǔn)化后的數(shù)據(jù)裝載到信息共享數(shù)據(jù)庫。數(shù)據(jù)集成系統(tǒng)包括社會信息和公安對外共享信息兩類數(shù)據(jù)的處理，具體指對社會信息的標(biāo)準(zhǔn)化處理、對公安對外共享信息的標(biāo)準(zhǔn)化處理，以及對以上兩種數(shù)據(jù)的關(guān)聯(lián)整合處理。經(jīng)數(shù)據(jù)集成系統(tǒng)處理后的信息數(shù)據(jù)，可在平臺中平滑地流動與共享。主要功能包括：采用配置方式實(shí)現(xiàn)所有集成業(yè)務(wù)；支持主流硬件平臺和操作平臺，如Windows、AIX、UNIX、Linux等；支持異構(gòu)多數(shù)據(jù)源和目標(biāo)數(shù)據(jù)庫：如Oracle,DB2,MicrosoftSQLServer,Informix,Sybase,MySql等；ETL流程具備模塊化、靈活性以及可擴(kuò)展性；定制數(shù)據(jù)清洗規(guī)則，按照清洗規(guī)則和字典代碼進(jìn)行數(shù)據(jù)清洗及標(biāo)準(zhǔn)化，支持分層數(shù)據(jù)清洗，支持去除重復(fù)記錄；支持多種字符集（GBK、Unicode、UTF-8）數(shù)據(jù)源的轉(zhuǎn)換；對抽取到的數(shù)據(jù)能進(jìn)行靈活的計(jì)算、合并、拆分等轉(zhuǎn)換操作；支持各種數(shù)據(jù)類型、格式轉(zhuǎn)換，支持字段名轉(zhuǎn)換、字典代碼轉(zhuǎn)換、空值轉(zhuǎn)換；支持自定義插件數(shù)據(jù)轉(zhuǎn)換加工，在轉(zhuǎn)換過程中支持?jǐn)?shù)據(jù)比較的功能；可定時統(tǒng)一調(diào)度作業(yè)，ETL作業(yè)能夠并行執(zhí)行；具備異常處理機(jī)制，在ETL過程中，生成異常數(shù)據(jù)報(bào)告；所有的業(yè)務(wù)流程支持優(yōu)先級管理，確保高優(yōu)先級的核心業(yè)務(wù)的運(yùn)行；實(shí)現(xiàn)對被交換數(shù)據(jù)的協(xié)議剝離、格式檢查和過濾、實(shí)現(xiàn)實(shí)時病毒與木馬過濾；提供數(shù)據(jù)處理詳細(xì)日志及查詢統(tǒng)計(jì)功能；支持負(fù)載均衡功能，可以支持多組集群的負(fù)載均衡。平臺管理監(jiān)控系統(tǒng)平臺管理監(jiān)控系統(tǒng)對整個共享平臺進(jìn)行統(tǒng)一監(jiān)管審計(jì)，實(shí)現(xiàn)注冊管理、用戶管理、監(jiān)控與審計(jì)、統(tǒng)計(jì)查詢等功能。根據(jù)公安部對部門間信息共享與服務(wù)平臺建設(shè)的指導(dǎo)意見，共享平臺軟硬件運(yùn)行管理方面的數(shù)據(jù)應(yīng)通過邊界接入平臺的安全隔離區(qū)實(shí)現(xiàn)與“運(yùn)行維護(hù)管理平臺”的信息匯聚。同時，邊界接入平臺應(yīng)對共享平臺內(nèi)設(shè)備及業(yè)務(wù)信息實(shí)現(xiàn)統(tǒng)一的注冊管理，對系統(tǒng)日志、設(shè)備狀態(tài)、安全日志等安全輔助類運(yùn)維信息實(shí)現(xiàn)集中監(jiān)控和安全審計(jì)。注冊管理對共享平臺提供的所有應(yīng)用服務(wù)及設(shè)備進(jìn)行注冊管理，包括服務(wù)單位信息、服務(wù)管理單位信息、數(shù)據(jù)源信息、業(yè)務(wù)系統(tǒng)信息、應(yīng)用接口管理、系統(tǒng)設(shè)施等注冊管理。用戶管理對用戶進(jìn)行分類管理，提供對用戶信息進(jìn)行分組查詢、增減和統(tǒng)計(jì)等操作功能，并對特定用戶的訪問情況進(jìn)行詳細(xì)審計(jì)記錄，包括用戶行為、訪問資源、訪問時間等信息。監(jiān)控與審計(jì)實(shí)時查看現(xiàn)有應(yīng)用服務(wù)及系統(tǒng)設(shè)施的運(yùn)行狀態(tài)、應(yīng)用流量，統(tǒng)計(jì)應(yīng)用服務(wù)在任意時間段的使用情況、啟停狀態(tài)、服務(wù)流量、用戶人數(shù)、審計(jì)次數(shù)、報(bào)警次數(shù)等數(shù)據(jù)。同時，對訪問用戶行為進(jìn)行監(jiān)控，對用戶的登錄狀態(tài)、操作行為、訪問資源等情況進(jìn)行監(jiān)控審計(jì)服務(wù)。運(yùn)行監(jiān)控運(yùn)行監(jiān)控用于實(shí)時監(jiān)控接入平臺的運(yùn)行狀況，包括平臺的各子系統(tǒng)、重要設(shè)備、服務(wù)器、數(shù)據(jù)庫、數(shù)據(jù)庫性能、數(shù)據(jù)處理過程等。針對異常情況，系統(tǒng)提供實(shí)時告警機(jī)制，管理員可對告警進(jìn)行自定義配置。用戶行為監(jiān)控對訪問用戶行為進(jìn)行監(jiān)控，對用戶的登錄狀態(tài)、操作行為、訪問資源等情況進(jìn)行監(jiān)控，并提供查詢統(tǒng)計(jì)服務(wù)。系統(tǒng)審計(jì)系統(tǒng)審計(jì)包括應(yīng)用審計(jì)、設(shè)備審計(jì)和異常行為審計(jì)，可對異常事件進(jìn)行追蹤。應(yīng)用審計(jì)功能：包括應(yīng)用服務(wù)信息、傳輸流量、傳輸時間、傳輸內(nèi)容等應(yīng)用痕跡信息；設(shè)備審計(jì)功能：包括設(shè)備啟停時間、次數(shù)和設(shè)備資源使用狀況等；異常行為審計(jì)功能：包括異常發(fā)生時間、異常具體內(nèi)容等；平臺可按時間段、用戶單位等因素分析統(tǒng)計(jì)用戶行為、業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)傳輸、異常行為等信息。日志管理與查詢?nèi)罩竟芾硎菍Ω鞣N日志的集中管理，包括系統(tǒng)日志、數(shù)據(jù)交換日志、用戶操作日志、明細(xì)日志、失敗記錄、數(shù)據(jù)抽取記錄、數(shù)據(jù)加載記錄等。支持日志查詢統(tǒng)計(jì)功能，分別從時間和業(yè)務(wù)等多個角度展示平臺記錄的詳細(xì)日志信息。查詢統(tǒng)計(jì)用于查詢統(tǒng)計(jì)應(yīng)用服務(wù)在任意時間段的使用情況、啟停狀態(tài)、服務(wù)流量、用戶人數(shù)、審計(jì)次數(shù)、報(bào)警次數(shù)等數(shù)據(jù)。擴(kuò)展功能設(shè)計(jì)根據(jù)我公司對公安業(yè)務(wù)的理解，公安內(nèi)網(wǎng)除了提供全面的社會信息查詢、比對等基礎(chǔ)服務(wù)之外，還可有針對性地增加以下參考功能：1、人員綜合信息卡充分利用關(guān)聯(lián)整合后的綜合信息，將人員基本信息、家庭成員信息、房屋信息、教育情況、工作情況、銀行賬戶、社保信息、通訊信息、會員卡信息等整合成人員綜合信息表，提供給公安用戶查詢下載。2、單位綜合信息卡針對各企業(yè)單位，整合單位相關(guān)信息，形成全面的單位綜合信息卡，包括單位基本信息、法人基本信息、員工基本情況、社保繳納情況、稅務(wù)繳納情況、財(cái)務(wù)審計(jì)情況等。3、人員活動軌跡分析建立軌跡分析模型，結(jié)合交通、民航、刷卡消費(fèi)、旅店住宿、通訊等數(shù)據(jù)，分析獲取其中的人員活動軌跡，為開展情報(bào)研判提供增值應(yīng)用服務(wù)。4、車輛活動軌跡分析建立軌跡分析模型，分析獲取其中的車輛活動軌跡，可與人員活動軌跡進(jìn)行比對，為開展情報(bào)研判提供服務(wù)。5、消費(fèi)軌跡分析建立軌跡分析模型，結(jié)合銀行、網(wǎng)銀、大型購物中心等數(shù)據(jù)，針對人員消費(fèi)情況進(jìn)行挖掘分析。6、人員社交分析建立分析模型，對人員社交圈進(jìn)行挖掘分析，包括家人親友、同學(xué)、同事、客戶、網(wǎng)友等。7、共享痕跡分析平臺的共享痕跡也是重要的情報(bào)信息來源，應(yīng)該采集傳輸?shù)焦矁?nèi)網(wǎng)，作為比對源與在逃人員、重點(diǎn)人員、被盜搶機(jī)動車等信息進(jìn)行碰撞比對，獲取相關(guān)情報(bào)信息。8、可視化關(guān)聯(lián)分析管理對業(yè)務(wù)數(shù)據(jù)的關(guān)聯(lián)關(guān)系進(jìn)行分析建模，提供圖形化的關(guān)聯(lián)配置，方便公安用戶使用，同時將優(yōu)秀使用案例存入系統(tǒng)，方便用戶參考學(xué)習(xí)。共享平臺數(shù)據(jù)處理設(shè)計(jì)數(shù)據(jù)庫設(shè)計(jì)本次數(shù)據(jù)庫的建設(shè)主要包括位于應(yīng)用服務(wù)區(qū)的共享信息數(shù)據(jù)庫、公安內(nèi)網(wǎng)的綜合資源庫和公安對外共享數(shù)據(jù)緩存庫。共享信息數(shù)據(jù)庫存儲了對內(nèi)、對外服務(wù)的各類數(shù)據(jù)資源，包括各部門單位提供的原始數(shù)據(jù)、經(jīng)過標(biāo)準(zhǔn)化處理后的標(biāo)準(zhǔn)數(shù)據(jù)，公安對外提供共享的標(biāo)準(zhǔn)數(shù)據(jù)以及匯聚整合有關(guān)部門數(shù)據(jù)資源的綜合共享數(shù)據(jù)。公安內(nèi)網(wǎng)綜合資源庫與共享數(shù)據(jù)庫通過安全隔離區(qū)的數(shù)據(jù)交換系統(tǒng)保持?jǐn)?shù)據(jù)的同步一致；公安對外共享數(shù)據(jù)緩存庫僅用于公安對外共享原始數(shù)據(jù)的臨時存放。平臺保留了部門單位提供的原始數(shù)據(jù)，以便及時有效地追蹤數(shù)據(jù)源頭。數(shù)據(jù)標(biāo)準(zhǔn)管理數(shù)據(jù)處理首先要解決的就是數(shù)據(jù)標(biāo)準(zhǔn)問題。系統(tǒng)建設(shè)時，