XX省公安视侦实战平台系统建设技术建议书
个事件索引,直接链接播放可疑事件的原始视频,观看整个事件的真实情况。
同时视频摘要模块还提供对处理后的视频文件进行物件特征搜索功能,用户可以通过设置活动物件大小、移动方向以及颜色等信息,对大范围的视频进行搜索,找出与用户设置信息类似的物件,并通过查找结果,回溯到原始视频。
2.2.5 系统安全设计
2.2.5.1 物理安全设计 2.2.5.1.1 双机热备方案设计
服务器单机运行模式存在高故障隐患,尤其核心组件(如中心管理服务器、数据库服务器)一旦出现故障,都将导致部分监控信息丢失,甚至使整个视频监控系统瘫痪。
同时,考虑到系统维护时,服务器断电是不可避免的,在维护过程中势必会造成业务服务中断,导致用户暂时无法使用系统,单机运行模式已经远远不能满足视频监控系统7*24小时不间断运行的需求。
因此,对系统平台的中心管理服务器(CMS)、数据库服务器(DB)等关键核心服务进行双机热备是必要的,以实现视频监控系统业务连续运行的目标。
方案设计:
在两台CMS(或DB)服务器上分别安装操作系统、应用软件和双机热备软件组成双机系统,应用服务数据也分别存放在这两台服务器上。同时,两台服务器之间通过私用网络连接,热备软件通过数据镜像技术实时将主服务器上的数据同步复制到备份服务器上,保证两端数据的一致性。
同时,热备软件采用HA技术对主、备服务器的IP、应用程序、数据存取等进行监控和保护。当主服务器发生故障时,系统服务将自动快速地切换到备份服务器,确保应用服务的持续可用性及业务的连续运行。
当故障修复后或系统维护完毕后,管理人员可通过手动方式将业务切换回原主服务器上,此时备份服务器上的数据将自动同步恢复到主服务器上,保证两端数据的一致性,双机系统继续工作。
随着服务器硬件及软件的发展,服务器的性能、内部存储容量以及网络传输能力等都有了大幅度的提升,在应对主流业务方面提供了更加强大的能力,而基于数据复制方式的双机热备方案就是充分利用了服务器的内部存储和网络传输
21 / 93
XX省公安视侦实战平台系统建设技术建议书
能力,采用数据复制型方案时,用户无需投入共享存储设备,充分利用已有资源即可实现对系统的高可用保护,且基于TCP/IP网络的传输,使得高可用的容灾距离也有所提升。
系统架构如下图所示:
图片 8双机热备系统示意图
方案特点:
? 实现应用故障的自动检测,自动切换; ? 无需配置域环境,安装配置简单;
? 系统切换时间短,最大程度减少业务中断的影响;
? 切换的过程自动完成,无需重新启动或登录,做到无人值守; ? 不需要磁盘阵列,具有较高的性能价格比;
? 高效成熟的多种镜像方式,支持完全镜像、差分镜像; ? 最佳化的按需复制,支持自定义复制数据集; ? 保证数据的一致性和完整性; ? 支持数据传输的压缩与加密;
? 支持快照功能,实现了数据快照和快照备份,配备恢复向导,能够将数据恢复到执行快照的时间点,增加安全级别;
? 支持丰富的应用配置,无需额外插件即可支持用户自定义应用的保护; ? 简洁直观的管理工具,体贴的应用配置向导支持,便于维护管理。
2.2.5.2 边界接入平台建设
共享平台部署在视频专网上,独立于公安信息通信网,视频专网图像信息及
22 / 93
XX省公安视侦实战平台系统建设技术建议书
数据信息接至公安信息网必须遵循公安部发布的《公安信息通信网边界接入平台安全规范(试行)》的要求,视频接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范(试行)——视频接入安全部分》的要求。边界接入平台的总体架构如下图所示:
边界接入平台视频接入集控探针联网平台服务器数据库服务器用户终端视频用户认证服务器内网交换机安全隔离网闸视频接入认证服务器交换机防火墙共享平台服务器数据库服务器……公安信息网视频专网视频专网车检器抓拍摄像机快球枪机安全数据交换系统内主机集中监控与管理系统安全隔离网闸安全数据交换系统外主机入侵检测数据接入补光灯地感线圈安全监测与管理区应用服务区与安全隔离区边界保护区
图片 9边界接入平台系统示意图
在省厅建设边界接入平台,边界接入平台要完成视频专网与公安信息网地址的相互转换,边界接入平台内部传输带宽和信息传输延迟要满足该级节点视频数据信息传输需求,采用实际带宽不小于500Mb/s、信令信息传输延迟不大于500ms、媒体信息传输延迟不大于50ms的边界接入平台。
2.2.5.2.1 视频接入链路建设
2.2.5.2.1.1 体系架构
根据公安部相关规范的要求,视频接入链路的体系架构如下图所示:
23 / 93
XX省公安视侦实战平台系统建设技术建议书
图片 10视频接入链路体系架构图
在视频接入链路中,视频控制信令和数据的会话终止于应用服务区。在应用服务区,视频接入认证服务器对接入对象进行设备认证,并对视频信令格式进行检查及内容过滤,只允许合法的协议和数据通过。在安全隔离区,安全隔离设备将视频控制信令和视频数据进行分别处理和传输,其中视频数据为单向传输,视频信令为双向传输。视频用户认证服务器对公安信息通信网上使用视频资源的用户进行统一注册,身份认证及权限管理,仅允许认证通过的用户访问已授权的视频资源。
公安信息网与视频专网之间通过边界接入平台视频接入链路进行媒体流和信令的交换,其中媒体流只能从视频专网单向传输至公安信息网,信令流可以进行双向传输。
2.2.5.2.1.2 功能要求 (一)视频认证服务器:
视频接入认证服务器分为视频接入认证服务器和视频用户认证服务器两类。应具备以下安全功能要求:
1、视频接入认证服务器对接入对象(终端、视频服务器等)进行设备认证并与之交互,获取视频。视频用户认证服务器对公安信息网上使用视频资源的终端用户进行统一注册,身份认证和访问控制,并提供视频服务。
2、对视频数据与控制信令严格区分,分别处理后进行传输。支持视频数据的单向传输模式和控制信令的双向传输模式。
3、支持视频信令格式检查及内容过滤,能够识别视频控制信令、视频传输协议,阻断未注册的协议和数据格式。
24 / 93
