公安視頻云數據中心安全技術方案

　V3.0 公安視頻云數據中心安全技術方案 1

　公安視頻云數據中心安全

　技術方案

　V3.0 公安視頻云數據中心安全技術方案 2

　 目 錄 第 1 章 項目綜述 ......................................................... 4 1.1 項目背景 .......................................................... 4 1.2 建設目標 .......................................................... 5 1.3 建設總體要求 ...................................................... 6 1.4 遵循標準 .......................................................... 8 第 2 章 系統架構 ......................................................... 9 2.1 公安網訪問視頻監控專網 ........................................... 12 2.2 電子政務外網訪問視頻監控專網 ..................................... 14 2.3 4G

　無線視頻接入 .................................................. 17 2.4 總體設計原則 .................................................... 19 2.5 方案建設思路 .................................................... 20 2.5.1 建設原則 ................................................... 20 2.5.2 基于“云計算”的公安數據中心設計 .......................... 23 2.5.3 方案建設的科學性、先進性與合理性 ........................... 29 2.6 智慧公安總體框架 ................................................ 32 2.6.1 總體結構圖 ................................................ 32 2.6.2 數據服務與整合層 .......................................... 34 2.6.3 GIS 運行數據中心 ........................................... 34 2.6.4 運行支撐平臺 .............................................. 34 2.6.5 服務與搭建平臺 ............................................ 35 2.6.6 服務組裝與發布應用層 ...................................... 35 2.6.7 智慧公安大數據云平臺與其他應用系統集成 .................... 36 2.6.8 智慧公安大數據云平臺在公安信息化中的定位 .................. 37

　V3.0 公安視頻云數據中心安全技術方案 3

　 2.7 遵循的標準規范 .................................................. 38 2.8 環境部署方案 .................................................... 41 2.8.1 硬件 / 網絡環境 .............................................. 41 2.8.2 軟件環境 ..................................................

　43 第 3 章視頻安全交換平臺架構 .............................................

　46

　3.1 底層傳輸 ......................................................... 46

　3.2 配置管理 ......................................................... 46

　3.3 流量管理 ......................................................... 48

　3.4 監控管理 ......................................................... 48

　3.5 協議接口模塊 .................................................... 50

　3.6 認證管理 ......................................................... 50

　3.7 內/ 外網終端管理 .................................................. 51

　3.8 鏈路管理 ......................................................... 51 第 4 章 視頻集中監控系統 ................................................ 51 第 5 章 平臺安全分析 .................................................... 54

　5.1 終端安全 ......................................................... 54

　5.2 鏈路安全 ......................................................... 54

　5.3 應用安全 ......................................................... 55

　5.4 系統安全 ......................................................... 56 第 6 章 技術指標 ........................................................ 58

　V3.0 公安視頻云數據中心安全技術方案 4

　 第 1 章 項目綜述

　1.1 項目背景 XX市社會治安視頻監控系統前端監控點分布應結合實際治安狀況，科學設點、合理布局，建設出入城市主要治安卡口、人車流 量大的主要道路路口、 治安復雜公共場所和易發案部位、 校園監控， 市區主要道路交叉口、人防重點目標、市容重點管理區域監控。

　1、對于社會治安， 逐步在市區建設形成三道治安監控防線：

　第一道是城市外圍防線，在出入城市主要道路上建立治安卡口，安裝 以高清攝像機為支撐的智能卡口識別比對系統，主要控制出入城市 的車輛信息；第二道防線是城區交通路口防線，在城區主要交通路

　口安裝智能卡口識別比對系統，監控抓拍路面車輛并識別車牌號，

　捕捉前排司乘人員面部特征，與出城卡口信息結合，關聯與交通違

　法處理系統、交警車輛信息庫、被盜搶車輛數據庫，搭建以車輛軌

　跡偵控為核心的“視頻偵查作戰平臺” 。另外，在主要道路邊廣場、 大型商場周邊等公共場所安裝高速球形攝像機， 做變化大場景監控， 重點監控人流量大的公共復雜場所； 第三道防線是易發案區域防線， 在易發案區域、外來人口聚居區和城鄉結合部復雜地段等地點安裝

　攝像機，監控治安情況復雜的社會面。

　2、對于學校治安，對學校采取人防和技防相結合的安防措施， 在全市各級各類學校、幼兒園的校門口等重點部位新安裝監控點、運用視頻監控系統，確保公安機關實時監控學校的安全狀況。

　3、對于人防、城管監控應用，按人防、城管的要求，在指定的人防重點部位、市容重點管理區域安裝監控點聯入監控平臺，通過授權可查看與業務相關的監控點和監控范圍。解決城市搶險救災的效率，提升城市管理水平和服務效益。

　V3.0 公安視頻云數據中心安全技術方案 5

　 4、社會面治安監控點整合， 社會面監控系統是較為龐大的監控資源，通過整合接入公安社會治安監控系統可以有效提高全市監控 系統覆蓋率，實現監控資源利用最大化。目前，社會面監控系統主 要有各小區監控、銀行監控、網吧監控、酒店和企業監控 等 。

　對上述符合接入條件的社會面視頻監控點，進行新系統接入，提高 全市社會治安監控系統的覆蓋率，提高治安防控能力，為有效的打 擊犯罪提供視頻信息資源。

　在前端布點位置由轄區派出所、 交警支隊、刑警支隊（大隊）、治安支隊（大隊）共同協商確定，涉及到學校、人防、城管的監控 點位置由對應的學校方、人防、城管協商確定，攝像機安裝具體位 置（點位、方位、角度、高度、照度等）要注重聽取治安、刑偵部門意見。

　通過科學規劃、合理部局，將我市社會治安監控系統構筑成一個覆

　蓋城鎮、功能完善、全市聯網、資源共享的社會治安視頻監控系統， 實現公安業務與社會治安防控的有效鏈接， 構建一張服務平安建設、服務社會管理、服務公安工作、覆蓋城市農村的安全防范天網，努

　力提升全社會整體防范水平，最大限度發揮社會治安視頻監控系統

　的作用。

　1.2 建設目標

　二是在監控中心建設視頻監控安全交換平臺， 在社會面治安視頻監控專網內設置監控網視頻通信服務器， 在我局公安信息通信網內設置公安網視頻通信服務器， 視頻監控安全交換平臺部署在視頻監控專網和市局公安信息通信網之間。

　公安內網的視頻訪問控制終端訪問公

　V3.0 公安視頻云數據中心安全技術方案 6

　 安內網的視頻通信服務器， 內網通信服務器和監控專網通信服務器通

　7 V3.0 公安視頻云數據中心安全技術方案

　過視頻安全交換平臺建立連接和調用， 從而實現通過公安信息網瀏覽、回放和控制社會面治安視頻監控系統圖像資源的功能。

　1.3 建設總體要求 遵循公安部最新發布的 《公安信息通信網邊界接入平臺安全規范 （試行）——視頻接入安全部分》草案，遵循《公安信息通信網邊界 接入平臺安全規范（試行）

　》規范，視頻接入鏈路的體系架構必須符合《公安信息通信網邊界接入平臺安全規范（試行）

　》的 3.2 節的要求。

　在視頻接入鏈路中， 視頻數據和視頻控制信令終止于應用服務區。在應用服務區與安全隔離區， 通過視頻安全隔離與傳輸系統將視頻數據和視頻控制信令進行嚴格分離和傳輸，

　從而保證視頻數據和視頻控制信令安全地傳輸到公安信息通信網。

　其中視頻數據為單向傳輸， 視頻控制信令為雙向傳輸，如圖 1 所示：

　8 V3.0 公安視頻云數據中心安全技術方案

　 1、 視頻接入對象認證， 對視頻接入業務所屬的視頻接入對象進行身份認證，即認證提供視頻服務設備的合法性，禁止未經認證設備接入公安信息通信網，確保視頻源的合法性。

　2、 視頻接入對象的網絡連接終止于視頻接入鏈路內， 嚴格禁止對公安信息通信網的直接訪問或與公安信息通信網直接交

　換數據。

　3、 機密性與完整性

　遵循《公安信息通信網邊界接入平臺安全規范（試行）》的

　4.2.4.3 節

　4、 入侵防范

　遵循《公安信息通信網邊界接入平臺安全規范（試行）》的

　4.2.4.4 節

　5、 網絡設備安全

　遵循《公安信息通信網邊界接入平臺安全規范（試行）》的

　4.2.4.5 節

　6、 可用性保障

　遵循《公安信息通信網邊界接入平臺安全規范（試行）》的

　4.2.4.6 節

　7、 主機安全

　9 V3.0 公安視頻云數據中心安全技術方案

　 遵循《公安信息通信網邊界接入平臺安全規范（試行）》的

　4.2.5 節

　8、 本系統的建設遵循公安部的有關規定， 實現信息安全隔離。

　10、本系統將采用各種專用安全設備，以實現公安業務及需求的身份認證和信息安全傳輸。

　11、平臺建設在考慮安全設計的同時必須兼顧系統的流量與性能管理。系統必須具有開放性標準接口，系統必須支持主流視頻廠商的視頻接入。

　12、要求系統具備 7*24 小時持續穩定可靠運行，提供系統平臺冗余方案和故障快速恢復能力。

　1.4 遵循標準 【1】公安部《公安邊界接入暫行規定》等文件的相關規定；

　【2】遵循公安部最新發布的《公安信息通信網邊界接入平臺安全規范（試行）——視頻接入安全部分》草案 【3】《城市報警與監控系統建設、 管理、應用規范性文件匯編》

?。ü膊靠萍夹畔⒒?, 2009 年）

　【4】《公安信息通信網聯網設備及應用系統注冊管理辦法》 （公信通[2007]139 號， 2007 年 5 月）

　【5】《 計 算 機 信 息 系 統 安 全 保 護 等 級 劃 分 準 則 (GB

　17859-1999) 》

　1V3.0 公安視頻云數據中心安全技術方案

　 【6】《信息安全等級保護管理辦法》

　【7】《金盾工程總體方案設計》第2章 系統架構 整體結構圖

　公安視頻云數據中心安全技術方案 V3.0

　 公安 3G視頻網絡 公安信息通信網 IMOS監控客戶端

　 IPSAN存儲系統 電子政務外網

　 無線網絡攝像機

　車載視頻終端

　運營商 3G網絡

　 集中監控系統

　IMOS管理服務器

　 公安 PKI/PMI

　電視墻

　 解碼器 IMOS監控客戶端 IMOS監控客戶端

　視頻接入用戶認證服務器 入侵檢測

　單兵視頻終端

　 隔離網閘

　監控探針

　入侵檢測 認證服務器

　 視頻接入設備認證服務器 監控探針

　 視頻接入用戶認證服務器

　專線 防火墻

　隔離網閘

　視頻監控專網（ IP 網絡）

　 EC編碼器

　EC編碼器 視頻接入設備認證服務器

　 10

　V3.0 公安視頻云數據中心安全技術方案 11

　 方案特點

　1）

　遵循《公安信息通信網邊界接入平臺安全規范——視頻接入部分》草案，是公安部入圍企業 2）

　無縫集成：系統與 H3C數字視頻監控系統集成，包括實時視頻、歷史點播、攝像調焦、云臺控制、語音呼叫等，發生安全入侵行為可與H3C的報警系統聯動 3）

　性能優越：最高可達 600 路 D1(2Mbps)傳輸

　4）

　高安全性：有效解決公安信息通信網與視頻專網、公安信息通信網與 4G無線網、電子政務網與視頻專網視頻交換的安全問題 5）

　集中監管：完善的集中管理功能，對用戶的訪問行為、設備的運行狀態等納入統一管理。

　V3.0 公安視頻云數據中心安全技術方案 12

　 2.1 公安網訪問視頻監控專網

　視頻監控安全交換平臺部署在視頻監控專網和市局公安信息通信網之間。公安內網的視頻訪問控制終端訪問公安內網的視頻通信服務器，內網通信服務器和監控專網通信服務器通過視頻安全交換平臺建立連接和調用，網閘只開放視頻交換平臺前后置服務間的 通訊端口。視頻訪問控制命令通過視頻安全交換平臺的 TCP/IP 通道

　進行連接，視頻流通過平臺的 UDP通道進行傳輸，平臺對視頻控制命令和視頻進行嚴格的格式校驗和審核，從而實現通過公安信息網 瀏覽、回放和控制社會治安視頻監控系統圖像資源的功能。

　公安視頻云數據中心安全技術方案 V3.0

　 13

　公安視頻安全交換系統解決方案

　該網絡拓撲結構有如下特點：

　 1）網絡邊界劃分明確，在每一個網絡邊界都提供良好的安全保障 2 視頻監控網運營商建立獨立的視頻專網。

　3）

　公安外網通過路由器和專線連接到當地運營商組建的獨立視頻專網。

　4）

　內網用戶訪問外部視頻監控專網時候， 必須通過公安 PKI/PMI 認證系統認證，平臺將終端的認證請求發給公安 PKI/PMI 系統， 認證通過后終端的訪問控制信令才允許傳輸到視頻監控網，

　沒有經過身份認證的視頻訪問控制終端無法連接到視頻專網， 視頻專網也無法通過反向訪問公安信息通信網，。

　5）視頻專網和公安信息網通過視頻安全接入平臺連接，保證公 安信息網不受外部攻擊，并對外網網絡設備集中審計和監控。

　6）系統的安全性能主要靠身份認證系統、視頻安全接入平臺、集中監控與審計等設備的保護，符合公安部的指導思想。

　7）上級局、廳、部可通過訪問控制終端訪問下級視頻專網，而對終端透明。

　 2.2 電子政務外網訪問視頻監控專網

　 14

　公安視頻安全交換系統解決方案

　 15

　V3.0 公安視頻云數據中心安全技術方案 16

　 視頻監控安全交換平臺部署在視頻監控專網和電子政務外網之間，電子政務外網的視頻訪問控制終端需要經過電子政務外網的認證服務器認證才能訪問電子政務外網的視頻通信服務器，電子政務外網通信服務器和監控專網通信服務器通過視頻安全交換平臺建立連接和調用，網閘只開放視頻交換平臺前后置服務間的通訊端口。

　視頻訪問控制命令通過視頻安全交換平臺的 TCP/IP 通道進行連接，

　視頻流通過平臺的 UDP通道進行傳輸，平臺對視頻控制命令和視頻進行嚴格的格式校驗和審核，從而實現通過公安信息網瀏覽、回放和控制社會治安視頻監控系統圖像資源的功能。

　V3.0 公安視頻云數據中心安全技術方案 17

　 2.3 4G 無線視頻接入

　無線視頻監控應用業務主要有動態取證、交通事件智能分析、消防火警指揮等業務。主要的無線視頻終端設備類型有以下幾種：

　單兵監控終端 : 包括監控主機、筆筒攝像機、外接耳麥、大容量電池， 內置 GPS模塊、4G無線通信模塊、液晶顯示屏、 TF卡等?？梢詫崿F視頻數據的采集、抓拍、加密、編碼、存儲、傳輸、回放等功能。

　車載移動監控終端

　在車輛上安裝車載視頻監控終端， 將采集到的視頻信息通過4G網絡將視頻圖像、事件報警、行車路線等數據上傳給后臺指揮中 心，后臺指揮中心可隨時調取現場視音頻信息，并可直接對前端設 備進行操作，實現遠程指揮調度。

　無線網絡攝像機

　無線網絡攝像機支持 SD卡接口，可通過 4G網絡傳輸視頻， 用于沒有有線線路或者不適合有線線路的環境。

　無線視頻安全接入方案對視頻終端設備進行認證、 視頻傳輸進行審計、視頻信令進行分析，能有效保障無線視頻傳輸的安全。

　公安視頻云數據中心安全技術方案 V3.0

　18

　V3.0 公安視頻云數據中心安全技術方案 19

　2.4 總體設計原則

　為了大數據云平臺建設能夠更加科學合理，系統必須安全、可靠、穩定，具備很強的綜合服務能力，在建設系統時，應遵 循以下系統設計原則：

　1. 以數據為基礎。數據主要包括：基礎電子地圖數據、業務數據。業務數據從業務系統中獲得，完成業務數據與電子地圖數據的結合，通過電子地圖展現業務，并以此為基礎開展應用。

　2. 以信息應用為核心。智慧公安大數據云平臺與公安業務相結合，滿足實戰需要，服務業務工作。

　3. 總體規劃，分步實施，小步快跑。智慧公安大數據云平臺是一個復雜、龐大的工程，首先要進行合理的總體規劃，為了保證工程的進度需要進行分布實施，快速完成業務系統的應用。

　V3.0 公安視頻云數據中心安全技術方案 20

　2.5 方案建設思路

　2.5.1 建設原則

　2.5.1.1 快速響應、高效實現報警定位 實現針對 110 報警服務臺受理的報警案情實時、快速定位， GIS 系統與公安

　110 指揮協同作戰平臺的“三臺合一”接處警等應用系統無縫銜接，完成各種報警方式的采集、應用與表現。

　在保證系統安全性與可靠性的基礎上，充分設計服務于公安行業報警定位系統的建設規范與總體架構，設計適應多種定位模式的業務流程；以充分保證滿足大數據量的定位要求、滿足各級別指揮中心的報警定位要求及基于報警位置的報警電話自動路由等要求；同時具有識別運營商號碼、定位數據誤差分析、模糊定位、地址匹配等功能。

　實現報警定位信息分析統計；實現報警定位子系統用戶管理、數據管理、運維管理；支持系統穩定運行的網絡監控服 務。

　2.5.1.2 基于 SOA和數據服務技術實現業務數據的整合應用 通過數據服務技術，將公安業務數據庫及其他辦公業務數 據庫內各項可用于地圖展示的數據抽取出來，形成獨立的 GIS 業務數據庫，并將增量更新數據實時導入庫，實現警務信息的地圖可視化及關聯分析。

　V3.0 公安視頻云數據中心安全技術方案 21

　 通過 SOA實現公安地理信息系統與警務其他系統互相調用， 實現與固定電話報警定位、手機信號定位、 GPS、視頻監控等多種業務和技術系統整合應用。

　以服務為導向的 SOA架構體系通過各警種、各部門的公安業務來驅動，通過各項業務來驅動各類服務，再通過服務來驅 動技術。

　把大數據云平臺業務應用的基本功能組件建成一個可以在網絡上調用的服務，在此之上對應公安業務流程，建成一個一 個組合復合應用的概念，不同業務流程可以直接從底層調用和 重復使用這些服務，來搭建適合自己部門需要的業務應用子系 統。通過運用先進的 SOA技術，開發一些基礎、通用性的地理服務接口，使系統采用接口服務模式提供地理信息服務，在其 他業務應用系統需要 GIS 服務時，可以不用再購置 GIS 軟件，通過直接調用接口，將

　GIS

　功能嵌入到業務系統，實現其他系統與 GIS 應用的有機結合。

　2.5.1.3 重視基層應用，滿足實戰需求 根據《城市警用地理信息數據分層及命名規則》 將公安地理信息按圖層劃分為：基礎圖層、公安公共圖層和業務專用圖層，

　各單位在基礎圖層基礎上，實現與其業務系統的融合，滿足實 戰需要，服務公安工作，尤其要著重考慮基層單位 （如：分局、派出所等）的應用，以服務實戰為核心。

　V3.0 公安視頻云數據中心安全技術方案 22

　 2.5.1.4 與智能檢索集成 實現業務數據多角度搜索與展示 提供強大的信息綜合與分類檢索能力，能夠對公安業務中涉及的案件、人員、線索等 信息進行相同和相似檢索，是情報研判、案件串并、執法考評 檢索等系統的支持平臺。

　2.5.1.5 應用詞虎，實現業務、地理名詞地圖顯示 “詞虎”軟件實現了文字與圖形、文字與文本、文字與文件的智能連通，用戶可以在任何電子辦公文字文檔資料中，自 動從公安地理信息系統空間庫、 GIS 業務庫中獲得與地名、單位相關的地圖、影像和文檔。

　用戶可以從公安網站和辦公信息系統中方便地通過詞虎提供的服務調用地圖，從而使公安地理信息系統更靈活得與其他系統、網站、文檔等信息資源集成應用，使得地圖資源能夠得到更充分、更廣泛的利用。

　2.5.1.6 與 BI 集成，實現深層次數據分析與空間展示 通過 BI 的情報信息多維分析，找尋案件發生的時空規律， 發布預警信息，結合旅館等社會信息，自動報警，緝捕在逃人 員、案件的嫌疑人員及各種布控對象。信息通過 Web 門戶展示， 其含有地址屬性的信息通過 SOA調用，在 GIS 平臺上將分析的結果展現于地圖上。

　23 V3.0 公安視頻云數據中心安全技術方案

　將 GIS 作為情報體系系統信息分析的入口，在地圖上自定義選擇區域，設定好空間維度，與情報體系中再設定好時間及其他維度要素綜合統計分析，其結果含有地理要素的內容亦可以通過 WebGIS展現。

　2.5.2 基于“云計算”的公安數據中心設計

　2.5.2.1 建設思路 云管理平臺建設：將建設目標和需求都圍繞云計算的集中

　管理，共享服務，易擴展等特性，采用 IBM云計算管理平臺解決方案，來集中管理所有的計算資源，集中管理，動態調配，

　滿足所有應用和用戶的需求。

　云計算服務建設：綜合考慮平臺需要推出的云計算服務， 需要采用相應的硬件、軟件資源，通過服務將硬件、軟件資源定制成基礎架構服務、平臺服務和應用軟件服務。

　2.5.2.2 建設宗旨 公安數據中心的建設宗旨 1. 應用為先：根據調研結果，并根據應用的需求來選擇最合適的軟硬件平臺。由應用決定平臺，而不是由平臺限制應 用；

　24 V3.0 公安視頻云數據中心安全技術方案

　2. 創新為體：計算機技術發展日新月異，在架構設計時， 應充分考慮技術發展趨勢，采用先進的產品和創新的思路，最大化利用現有投入，并考慮到今后擴展的需求； 3. 效率為要：充分考慮總體架構的合理性和資源管理等要 素，實現一個高效率計算（ High Productivity Computing ）的平臺。

　云計算平臺的建立不是一個現成的軟件或者硬件產品，也 不是拿來安裝上就可以使用的。每個數據中心的 IT 架構和環境都是不盡相同的，使用的服務器、存儲、網絡、操作系統和軟 件等各有差異，另外不同部門的 IT 管理流程也是不一樣的，針 對這種需求各異的情況，一個現成的產品是無法滿足所有用戶 的要求的。因此云計算平臺建立必須是一個完整的方案，需要 充分了解當前的 IT 環境，理解管理流程，根據實際需求將應用系統及基礎架構優化平臺所需的各種組件有機的組織連接在一 起，只有這樣才能真正搭建出一個滿足業務動態需求的資源池 平臺。

　通過對數據中心的資源進行整合，通過虛擬化技術和自動化技術，實現硬件資源和軟件資源的統一管理、統一分配、統一部署、統一監控和統一備份，打破單個業務應用對資源的獨占，從而幫助中心建設統一虛擬資源池管理平臺。

　公安數據中心的軟硬件資源分配

　25 V3.0 公安視頻云數據中心安全技術方案

　硬件包括 x86 或 Unix 的機器、存儲服務器、交換機和路由器等網絡設備。軟件可以包括各種操作系統、中間件、數據庫

　及應用，如 Aix 、Linux 、DB2、WebSphere、Lotus 、Rational 等。

　IBM“云”管理軟件。“云”管理軟件由 IBM云計算中心開發，專門用于提供云計算服務。

　IBM“云”咨詢服務、部署服務及客戶化服務。“云”解決方案可以按照客戶的特定需求和應用場景進行二次開發，使云計算管理平臺與客戶已有軟件硬件進行整合。

　基于云計算的數據中心可以自動管理和動態分配、部署、配置、重新配置以及回收資源，也可以自動安裝軟件和應用。“云”可以向用戶提供虛擬基礎架構。用戶可以自己定義虛擬基礎架構的構成，如服務器配置、數量，存儲類型和大小，網絡配置等等。用戶通過自服務界面提交請求，每個請求的生命周期由平臺維護。

　基于云計算虛擬化資源池管理平臺的優勢 1. 靈活的 IT 基礎架構

　云計算平臺可以要做到資源的隨時隨地按需分配。云計算平臺所管理的資源由共享的服務器、共享的存儲系統、網絡組成。這些資源可以被統一管理、動態調度。資源可以根據用戶

　26 V3.0 公安視頻云數據中心安全技術方案

　 需求迅速進行組合和配置，在很短時間內形成可以使用的系統提供給用戶。用戶使用結束后，這些資源會立即釋放，供其他用戶使用。

　資源的供應方式由傳統的“ Just in

　case”的豎井式模式轉化 “ Just in time ”的彈性模式。

　2. 自動化資源部署

　" 云計算 " 的核心功能是自動為用戶提供 IT 服務能力。用戶、管理員和其他人員能通過界面對云計算平臺進行管理和監控。

　完全自動化的部署流程不僅符合安全要求，而且能自動適應用 戶的需求，而令其價值倍增的因素還包括：引入技術和創新的 時間縮短，設計、采購和構建硬件和軟件平臺的人力成本降低， 以及通過提高現有資源的利用率和復用率節省成本。

　3. 端到端服務請求管理

　云計算平臺不僅提供了對數據中心進行運維管理的能力， 還提供了針對業務的端到端流程管理。該流程管理可以提供對服務請求的全周期管理，包括訂單處理，系統開通、服務計費等等。

　2.5.2.3 方案設計 1. 云計算資源

　27 V3.0 公安視頻云數據中心安全技術方案

　 搭建云計算數據中心的所有計算資源組成，包含服務器、存儲、網絡設備，所有的計算資源按照數據中心最終將提供的基礎架構服務、平臺服務和應用服務的需求來進行設計，同時在資源的選擇上，滿足云計算要求的易擴展、高可用、穩定的特性。云計算資源的具體介紹將在硬件方案設計中進行具體闡述。

　2. 云計算管理平臺

　所有的計算資源通過云計算管理平臺來實現集中管理、資源調度、并根據需要定義服務、提供服務管理等。在本次方案中，將采用 IBM 云計算管理平臺來實現對所有計算資源的集中管理、監控和調度，同時云計算管理平臺提供完整的用戶計算資源申請、審批、調配的服務流程管理。云計算管理平臺的內容會在云計算管理平臺章節進行詳細的闡述。

　通過搭建云計算管理平臺，可以實現如下的計算資源使用模式：

　3. 基礎設施服務

　通過云計算管理平臺對所有的計算資源進行管理之后，將可以直接提供基礎設施服務，將硬件資源組成計算資源池，根 據計算資源中有的計算資源，分別提供虛擬小型機、虛擬 X86 服務器、虛擬存儲和虛擬網絡的服務?；A設施服務的內容取

　28 V3.0 公安視頻云數據中心安全技術方案

　 決于組成計算資源的硬件設備的虛擬化功能，具體介紹將在硬件方案設計中結合各個子資源池的功能進行具體闡述。

　4. 應用服務

　云計算數據中心搭建完成之后，可以根據用戶的應用，搭

　建應用服務層，在本次方案中將中地 GIS 應用做為服務進行提供，后面會對中地 GIS 服務進行詳細闡述，用戶可以隨著數據中心的發展，不斷擴充應用服務內容。

　5. 服務門戶

　云計算中心搭建完成之后，將提供一個集中的服務門戶， 提供給最終用戶一個友好、便利的服務門戶，通過此服務門戶， 數據中心管理員可以將所有的服務內容進行展示，最終用戶可 以在門戶上選擇自己的服務請求。

　云計算是一種計算模式，在這種模式中，應用、數據和 IT 資源以服務的方式通過網絡提供給用戶使用。它也是一種基礎 架構管理的方法論，大量的計算資源組成 IT 資源池，用于動態創建高度虛擬化的資源提供用戶使用。

　利用“云計算”能提高 IT 資源利用率和促進空間網格計算能力，降低動態基礎架構的總體建設成本。

　29 V3.0 公安視頻云數據中心安全技術方案

　 2.5.2.4 靈活的系統應用框架搭建 公安地理信息系統是一個面向多部門、多警種應用且與多種應用和技術平臺集成的基礎應用平臺，不同用戶的需求和應用范疇決定了系統要求有靈活的應用框架結構，可以根據用戶需求的變更、新業務定制做出快速搭建。用戶的管理，包括角色的批量分配，用戶添加、刪除、變更等方面都要做到靈活、快速實現。

　2.5.2.5 與公安業務子系統高效集成應用 使地理信息系統更好地與公安業務子系統進行集成，達到“同一平臺、可視化應用”的目標。地理信息系統將以地理空間數據庫為基礎，采用多種地理模型分析方法，結合公安行業應用，適時提供各種報警類型的空間定位和動態的地理信息， 把地理位置和相關警情信息有機的結合起來，根據實際需要準確真實、圖文并茂地將加工、提煉過的各類信息輸出給各級用戶使用；借助其獨有的空間分析功能和可視化表達，輔助各級公安機關進行決策和實時調度。

　2.5.3 方案建設的科學性、先進性與合理性 根據該方案建設原則與設計思想來構建大數據云平臺，使得平臺建設能夠更加合理、科學，系統必須安全、可靠、穩定， 具備很強的綜合服務能力。

　30 V3.0 公安視頻云數據中心安全技術方案

　 2.5.3.1 先進性和實用性 在系統的設計過程中，大數據云平臺將在滿足基層警務工作需要的基礎上兼顧系統建設中所使用的各項技術，充分做到實用性和先進性的緊密結合，最終使系統達到預期的滿意效 果。

　2.5.3.2 一致性和可管理性 方案設計的一致性與可管理性主要體現在數據采集平臺能 保持通過數據導入，數據轉換， PDA采集等方式進行數據更新， 審核數據的一致性和準確性后，及時更新到服務器，很好的維 護和管理公安數據。

　2.5.3.3 高可靠性和穩定性 方案設計的高可靠性與穩定性主要體現在平臺架構設計穩定，功能分配合理，極大的提高了采集平臺的可靠性與穩定 性。

　2.5.3.4 擴展性和開放性 大數據云平臺是一個面向多部門、多警種應用且與多種應用和技術平臺集成的基礎應用平臺，該平臺可以根據用戶需求的變更、新業務應用定制做出快速搭建新的業務系統，具有靈活、可擴展性的應用框架結構。該平臺還可以與其它在用和在建系統保持順暢的應用和數據接口，還將建設所使用的技術與

　31 V3.0 公安視頻云數據中心安全技術方案

　 GIS 整體技術發展的潮流相吻合，從而保證平臺的開放性和技術延伸性。

　2.5.3.5 安全性和保密性 大數據云平臺對所存儲的重要數據做有備份和恢復的機制， 用戶訪問系統時也設有權限管理，確保公安數據的安全性。

　2.5.3.6 標準性和易維護性 大數據云平臺建設過程中是嚴格以國家、部所制定的相關標準和規范為依據，建設公安地理信息數據庫，使全局地理信息系統應用建設走向規范化、標準化，確保信息資源共享。

　32 V3.0 公安視頻云數據中心安全技術方案

　2.6 智慧公安總體框架

　2.6.1 總體結構圖 智慧公安大數據云平臺采用開放式的體系結構，不僅使本 系統可以與其它在用和在建系統保持順暢的應用和數據接口， 還將建設所使用的技術與 GIS 整體技術發展的潮流相吻合，從而保證系統的開放性和技術延伸性，方便今后的各項應用和推 廣工作。

　為配合智慧公安大數據云平臺工程建設，與 110 接處警平臺、平安城市，數字警務社區集成應用和現有業務系統的綜合 應用，我們將對平臺的建設做了以下設計，其總體結構如圖 2-1 ：

　33 V3.0 公安視頻云數據中心安全技術方案

　圖 2-11. 智慧公安大數據云平臺總體結構圖

　智慧公安大數據云平臺是在公安信息通訊網絡和硬件資源的基礎上，在政策法規和和各項安全保障體系的支持下，注重實用性與先進性的信息系統。系統的總體技術架構分為五層， 從下到上依次為：

　1、數據服務與整合層， 2、GIS 運行數據中心， 3、運行支撐平臺，

　4、服務與運用搭建平臺， 5、服務組裝和發 布應用層。在其基礎之上實現信息的定制，包括權限管理和角

　34 V3.0 公安視頻云數據中心安全技術方案

　 色分配，各基層所隊和局領導用戶通過統一的應用門戶訪問系統。下面將詳細介紹各個層主要功能和實現思想。

　2.6.2 數據服務與整合層 公安信息資源中的警務綜合庫、八大資源庫、社會信息庫 及其他資源庫通過數據服務平臺，使用 EAI（企業應用集成）技術，實現各類信息整合，將與 GIS 有關的信息，能夠通過地圖來展示的業務信息裝載入 GIS 業務庫當中，形成可用于地圖可視化及可基于空間分析的業務數據資源庫。

　2.6.3 GIS 運行數據中心 數據層主要包括智慧公安大數據云平臺所需要支持和展示 的數據資源，包括空間數據庫、 GIS 業務庫、路燈桿信息庫、固定電話庫、手機信息庫、視頻信息庫等?？臻g數據庫與

　GIS 業務庫通過地址庫實現圖層信息與業務屬性信息的關聯應用，地 址庫中存有所有業務信息與空間信息關聯地址匹配內容。全文

　庫為地理信息系統的案 （事）

　件、地址信息的非結構化內容，為地圖化智能檢索提供了數據支持，通過智能檢索服務實現公安 GIS 與智能檢索平臺的互聯互通。

　2.6.4 運行支撐平臺 運行支撐平臺提供了智慧公安大數據云平臺能夠正常運行 的軟件支持環境，在內容管理平臺、信息管理平臺、 BPM平臺、安全認證平臺的基礎上應用的 GIS 軟件開發開發平臺，包括有

　35 V3.0 公安視頻云數據中心安全技術方案

　 空間數據處理與維護平臺、 WebGIS開發與發布軟件平臺、用于情報信息分析的 BI 平臺、其他業務系統及網頁、文檔調用地圖服務的詞虎、用于移動 GIS的嵌入式 GIS平臺，用于三維景觀顯示的三維景觀平臺、用于圖形化智能檢索的智能檢索平臺，用 于監測控制警車的車載 GPS平臺等。

　2.6.5 服務與搭建平臺 服務與搭建平臺應用 SOA流程管理和軟件治理方法，實現搭建各類應用的各類服務模型。在運行支撐平臺基礎提供的基 礎服務之上，開發各類服務組件，再進一步開發出服務模型。

　通過服務注冊、服務裝載等對各類服務的進行管理，以便 GIS 系統各類應用的組裝及提供與外部系統服務調用。

　該層提供的服務模型有路燈桿定位服務、人口管理服務、案件管理服務、手機定位服務、地圖訪問服務、查詢定位服務、 GPS 服務、 BI 服務、詞虎服務、智能檢索服務、地址匹配服務、 視頻監控服務、方預案管理服務。這一層通過 SOA技術實現 GIS 與其他業務系統之間的應用集成，包括 GIS

　為其他應用系統及網頁、文檔等提供詞虎與地圖訪問報務。各類服務通過 Web發布或其他方式為各 GIS 各子系統的集成應用提供支持。

　2.6.6 服務組裝與發布應用層 該層將服務與搭建平臺開發出的各類服務模型根據公安局各業務部門、各警種實際需求搭建各類應用子系統，并根據日

　36 V3.0 公安視頻云數據中心安全技術方案

　 后業務需求的更改自由調用、重組服務模型進行系統功能重組。本層為智慧公安大數據云平臺直接面向用戶的各項功能應用， 包括有路燈桿定位、手機移動定位、固定電話定位、 BI 警情分析、 GPS車輛監控、視頻監控、方預案管理、興趣點管理、路燈桿管理、重點防范區管理等等。

　根據用戶不同警種、不同部門根據各自業務需求通過信息定制層實現權限管理、角色分配等。

　2.6.7 智慧公安大數據云平臺與其他應用系統集成 智慧公安大數據云平臺作為各類業務和技術系統提示空間展示平臺，考慮到能夠與以前系統、在建系統和以后需要建設的系統實現良好的對接，系統在應用接口方面根據不同時期， 不同軟件的技術架構特點設置靈活的接入方式，方便調用地圖服務，實現多類信息地圖可視化。

　公安 GIS 將以前公安系統分為可改造和不可改造兩部分， 分別通過詞虎服務和地圖插件實現公安信息的地圖可視化以及基于地圖的統計與分析。

　對于現在在建的系統，通過對在建系統改造，利用 SOA思想，互相調用服務模刑，進而實現互相關聯應用。

　對將來建設的系統，智慧公安大數據云平臺為它提供開放的各類模塊模型，供其他系統調用與接入，實現無縫對接。

　37 V3.0 公安視頻云數據中心安全技術方案

　 圖 2-2 公安 GIS 在公安信息化中的定位 2.6.8 智慧公安大數據云平臺在公安信息化中的定位 智慧公安大數據云平臺在整個公安信息化體系中處于相當 重要的位置。根據公安地理信息的特性，其提供了基于空間信 息的業務系統整合、 110 報警信息的定位、業務數據的可視化展 現、以空間為基礎的門戶訪問，并且為情報系統提供時空分析 的基礎。見圖 2-2 。

　38 V3.0 公安視頻云數據中心安全技術方案

　2.7 遵循的標準規范

　在平臺建設過程中，遵循“中華人民共和國公共安全行業 標準”—— 《城市警用地理信息系統標準體系》 執行，并和全國警用基礎平臺總體規劃保持一致，保證數據共享。系統設計依 據的標準規范包括：

　GA/Z01-2004 《城市警用地理信息系統標準體系》GA/T491-2004 《城市警用地理信息分類與編碼規范》GA/T492-2004 《城市警用地理信息圖形符號》GA/T493-2004 《城市警用地理信息系統建設規范》 GA/T530-2005 《城市警用地理信息數據組織及數據庫命名規則》 GA/T532-2005

　《城市警用地理信息數據分層及命名規則》GA/T529-2005 《城市警用地理信息屬性數據結構》GA/T531-2005 《城市警用地理信息專題圖與地圖版式》GA/T627-2006

　《城市警用地理信息數據采集與更新規范》GA/T628-2006 《城市警用地理信息空間數據質量》GA/T629-2006 《城市警用電子地圖坐標系與比例尺》

　39 V3.0 公安視頻云數據中心安全技術方案

　 GB/T17902.2-2005 《信息技術安全技術 帶附錄的數字簽名 第 2 部分：基于身份的機制》 GB/T17902.3-2005 《信息技術安全技術 帶附錄的數字簽名 第 3 部分：基于證書的機制》 GB/T19713-2005 《信息技術安全技術 公鑰基礎設施在線證書狀態協議》 GB/T19714-2005 《信息技術 安全技術 公鑰基礎設施證書管理協議》 GB/T19715-2005 《信息技術安全管理指南》GB/T19716-2005 《信息技術安全管理實用規則》GB/T19710-2005 《地理信息元數據》GB/T19711-2005 《導航地理數據模型與交換格式》GB17796-1999 《省級行政區域界線測繪規范》 GB17797-1999 《地形數據庫與地名數據庫接口技術規范》 GB17798-1999 《地球空間數據交換格式》

　GB8567-88，國標 《計算機軟件產品開發文件編程指南》

　《公安專題地理信息及相關信息標準》（行標）

　40 V3.0 公安視頻云數據中心安全技術方案

　 《公安專用信息要目》，公安部辦公廳指揮中心（ 1998 年 8 月）

　中華人民共和國公共安全行業標準《公安機關常用標號》

　41 V3.0 公安視頻云數據中心安全技術方案

　2.8 環境部署方案

　2.8.1 硬件/ 網絡環境 系統硬件和網絡映射圖如圖 2-3 所示：

　 圖 2-3 硬件網絡拓樸圖

　42 V3.0 公安視頻云數據中心安全技術方案

　硬件總體配置方案如表 2-1 ：

　表 2-1 硬件配置方案

　用途 數量 配置要求

　5U機架式， CPU:4*AMDOpteron8346(四核) ，最大支持 4 顆。

　數據庫服務器 MEM:16GB, DDR2 667 ECC Registered, 2 NET: 3* 千兆以太網 ;

　DISK: 4*300GB SAS, 15K, 熱插拔 ,1*SAS RAID卡, 可擴展到 8 塊盤

　 Web發布服務器 2U機架型， 2 顆 64 位 4 核 OPTERON 2350CPU，全雙工直連架構，超傳輸銅基

　互連技術， 16GB DDRII667 內存， 2 個146G15k SAS熱插拔硬盤，支持 6 個熱插 2 拔硬盤，支持 SASRAID0，1， 5， 10， 6， 50， 60，集成 2 個 1000M RJ45網卡， 1+1 電源 ， CD-RO， M 帶 KVM OVER IP功能遠程管理模塊，節點集群模塊和原有集群 融合。

　通信服務器 1 2U機架式， 2 顆 Intel Xeon5310

　43 V3.0 公安視頻云數據中心安全技術方案

　(1.60GHz) ( 四核 )CPU， 8M 二級緩存； 1066MHz前端總線； 4G ECC DDR2內存； 2*1.5 萬轉 3.5"146GB 熱插拔 SAS 硬盤， 最多可擴展到 6 個 3.5 英寸硬盤；雙千兆網卡，支持網卡綁定和容錯； 3 個全高PCI 擴展槽； 1+1 冗余電源。提供服務器管理軟件。

　地圖處理工作站 P4 2.8 CPU ，2G DDR2內存， 160G硬盤， 2 17”液顯， DVD光驅。

　移動工作站

?。ㄒ苿訄D層采集）

　Intel 酷睿 2.0G 雙核 CPU， 2G內存， 1 160G硬盤， 14.1 ” TFT， DVD光驅

　 2.8.2 軟件環境

　2.8.2.1 操作系統 數據庫服務器選用 UNIX 操作系統或 Windows2003 Server, 應用服務器操作系統選用 UNIX 操作系統或 Windows2003Server， 客戶端操作系統選用 Windows2000 Professional/XP, 便于使用

　者的操作和使用。

　2.8.2.2 數據庫軟件 建議使用 Oracle9i 以上數據庫系統。

　44 V3.0 公安視頻云數據中心安全技術方案

　 2.8.2.3 GIS 軟 件 系統選用武漢中地數碼科技有限公司開發的 MAPGIS ，它是新一代面向網絡超大型分布式地理信息系統基礎軟件平臺。系 統采用面向服務的設計思想、多層體系結構，實現了面向空間實體及其關系的數據組織、高效海量空間數據的存儲與索引、大尺度多維動態空間信息數據庫、三維實體建模和分析，具有TB級空間數據處理能力、可以支持局域和廣域網絡環境下空間數據的分布式計算、支持分布式空間信息分發與共享、網絡化空間信息服務，能夠支持海量、分布式的國家空間基礎設施建設。

　系統具有以下特點：

　1) 采用分布式跨平臺的多層多級體系結構，采用面向“服務” 的設計思想。

　2) 具有面向地理實體的空間數據模型，可描述任意復雜度的空間特征和非空間特征，完全表達空間、非空間、實體的空間共生性、多重性等關系。

　3) 具備海量空間數據存儲與管理能力，矢量、柵格、影像、三 維四位一體的海量數據存儲，高效的空間索引。

　4) 采用版本與增量相結合的時空數據處理模型，“元組級基態 +增量修正法”的實施方案，可實現單個實體的時態演變。

　5) 具有版本管理和沖突檢測機制的版本與長事務處理機制。

　45 V3.0 公安視頻云數據中心安全技術方案

　 6) 基于網絡拓撲數據模型的工作流管理與控制引擎，實現業務的靈活調整和定制，解決 GIS 和 OA的無縫集成。

　7) 標準自適應的空間元數據管理系統，實現元數據的采集、存

　儲、建庫、查詢和共享發布，支持 SRW協議，具有分布間索能力。

　8) 支持真三維建模與可視化，能進行三維海量數據的有效存儲和管理，三維專業模型的快速建立，三維數據的綜合可視化和融合分析。

　9) 提供基于 SOAP和 XML的空間信息應用服務，遵循 Opengis 規

　范，支持 WM、 S WFS、WCS 、GLM3 。支持互聯網和無線互聯網，

　支持各種智能移動終端。

　46 V3.0 公安視頻云數據中心安全技術方案

　 3.1 底層傳輸 1. 采用先進的網絡傳輸框架， 可達到雙向 600Mbps左右（千兆網絡）

　2. 網絡通信鏈路檢測， 當網絡從異常狀態恢復后， 在一定時間周期后可自行恢復數據傳輸。

　 3．周期檢測數據鏈路的運行情況，以便合理分配數據鏈路 4. 鏈路回收：對一定周期無響應的鏈路進行回收

　5. 支持單播、多播和組播方式，有效解決流量瓶頸問題。

　3.2 配置管理 配置管理子系統讓管理員在個人工作站實現遠程一體化管理，

　使用 HTTPS連接方式在 IE 瀏覽器中單點配置。該子系統集中存儲、 第 3 章視頻安全交換平臺架構 結構圖如下 內網終端管理 認證管理 認證管理 PKI/PMI 服務 監控管理 監控管理 平臺審計接口 平臺審計接口 IE 瀏覽器 外網終端管理 協議接口模塊 協議接口模塊 配置服務 配置服務 集中監控與審計 流量管理 流量管理 鏈路管理 鏈路管理 監控代理 底層傳輸 底層傳輸 本地配置文件數據庫 外網 內網 審計庫 MYSQL/ORACLE

　47 V3.0 公安視頻云數據中心安全技術方案

　 管理系統的配置信息。配置信息采用 XML格式保存，在視頻接入系統（后置，前置）啟動時載入。

　1．配置創...