公安信息通信网边界接入平台安全规范(试行)--视频接入安全部分
安全防范视频监控联网系统信息传输、交换、控制技术要求GBT28181
国家标准 GB/T 28181
《安全防范视频监控联网系统信息传输、交换、控制技术要求》 介 绍
中星电子股份有限公司
2
3
任务书所涉及的标准
标准号
GB/T 28181 -2011 GB/T 25724-2010 GA/T 6692008 公科信 [2011]5号
名称
《安全防范视频监控联网系统信息传输、交 换、控制技术要求》
4.语音对讲:可以根据平台权限分配情况在权限允许的条件下实现到其他平台的语音 对讲; 5.录像相关的查询、下载和回放:可以根据权限分配情况在权限允许的条件下查询其 他平台上的录像文件信息,并且对文件进行下载或者回放; 6.告警上报:可以接收或者发送到其他平台的告警信号; 7.可以控制不同用户的访问权限,保证不同用户可以访问到不同的视频资源;
22
典型组网
系统功能结构图
谢谢
20
现有ViSS平台升级到新标准
原有ViSS需要增加信令安全路由网关设备和转换网关(接入网关)来与其他标准 信令监控域或非标准信令监控设备的对接。
安全防范视频监控联网系统信息传输、交换、控制技术要求(GBT28181)
SDP协议负责设备之间会话建立过程的会话协商和媒体协商
相关协议介绍
RTP(Real-time Transport Protocol),实时传送协议:
音频、视频传输中的常用协议,公布于IETF RFC 1889、RFC 3550。 RTP协议详细说明了在互联网上传递音频和视频的标准数据包格式。 RTP协议常配合RTCP协议用于流媒体应用系统,两个协议都是建立 在UDP协议之上。
● SIP可以充分利用已 定义的头域,对其进行 简单必要的扩充就能很 方便地支持各项新业务 和智能业务,有利于与 Internet的各项应用集 成开发 。
12
可与各种媒体、应用兼容
符合ISO模型, 独立于底层网络传输协议和媒体
简单、易扩充
相关协议介绍
前端设备控制、报警 信息、设备目录信息 等控制命令
GA/T 669.11-2008 第11部分:关键设备通用技术要求
5
GB/T 28181国家标准的制定过程
安徽公安地方标准 新疆公安地方标准 浙 江 DB33 地 方 标 准 其他公安地方标准
各自为政的地方标准
标准问世
公安部标准 GA/T669系列标准
GA/T669.5 信 息 传 输交换控制技术要 求
媒体服务器 2 Invite
媒体流发送者
3 200 OK (with SDP) 4 Invite (with SDP)
5 200 OK (SDP) 6 ACK (with SDP)
7 ACK 实时媒体流
8 Invite (with SDP)
10 200 OK (with SDP) 11 ACK
许昌市人民政府办公室印发许昌市关于公共安全视频监控建设联网应用共享实施方案的通知
许昌市人民政府办公室印发许昌市关于公共安全视频监控建设联网应用共享实施方案的通知文章属性•【制定机关】许昌市人民政府办公室•【公布日期】2018.06.12•【字号】许政办 [2018] 19号•【施行日期】2018.06.12•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文许昌市人民政府办公室印发许昌市关于公共安全视频监控建设联网应用共享实施方案的通知许政办[2018] 19号各县(市、区)人民政府,市城乡一体化示范区、经济技术开发区、东城区管委会,市人民政府各部门:《许昌市关于公共安全视频监控建设联网应用共享的实施方案》已经市政府同意,现印发给你们,请结合实际,抓好落实。
2018年6月12日许昌市关于公共安全视频监控建设联网应用共享的实施方案为加强全市公共安全视频建设联网应用的整体统筹,实现地区、行业、社会视频监控资源的共建共联共享,增加视频监控在维护国家安全和社会稳定、预防和打击暴力恐怖犯罪、推进平安许昌建设的支撑作用,按照《国家发展和改革委员会、中央综治办、公安部等九部委关于加强公共安全视频监控建设联网应用工作的若干意见》(发改高技〔2015〕996号)等文件要求,结合我市实际,特制定本方案。
一、目标任务按照统一标准、分级分类、安全可控的原则,遵循“智慧城市”建设相关要求,完善跨行业、跨部门资源共享和综合利用机制,实现重点公共区域、重点行业及领域的重点部位视频监控全覆盖,形成“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用格局,进一步增强全市社会治安整体防控能力。
(一)全域覆盖。
在全市高清视频监控基本覆盖的基础上,按照“查漏补缺、全面覆盖”的原则,继续开展前端监控点位建设,实现重点公共区域视频监控全覆盖、重点行业及领域的关键公共部位视频监控全覆盖。
(二)全网共享。
推动重点公共区域、重点行业、领域涉及公共区域的视频图像资源整合,实现公安机关一类视频监控资源、各行政管理部门二类视频监控资源和社会三类视频监控资源的联网应用。
视频实时分析系统技术方案
视频实时分析系统技术方案目录1 系统概述 (2)1.1 建设背景 (2)1.2 设计思想 (2)1.3 设计依据 (3)1.4 建设目标 (5)1.5 设计原则 (5)2 需求分析 (7)2.1 应用现状 (7)2.2 业务现状分析 (7)2.3 应用场景需求分析 (8)2.3.1 目标实时分析 (8)2.3.2 目标智能搜索 (8)2.3.3 多来源、多状态视频资源分析 (9)2.3.4 视频大跨度行业应用 (9)2.4 需求规划 (9)2.4.1 行人目标检索 (9)2.4.2 二轮车目标检索 (9)2.4.3 三轮车目标检索 (9)2.4.4 汽车目标检索 (9)2.4.5 以图检索 (9)2.4.6 自选特征检索 (9)3 系统架构 (10)3.1 逻辑架构图 (10)3.2 网络部署图 (11)4 功能设计 (13)4.1 系统概述 (13)4.2 模块说明 (13)4.3 视频目标结构化分析 (13)4.3.1 行人目标分析 (14)4.3.2 二轮车目标分析 (15)4.3.3 三轮车目标分析 (15)4.3.4 汽车目标分析 (16)4.4 实战应用系统 (16)4.4.1 行人目标检索 (17)4.4.2 二轮车目标检索 (17)4.4.3 三轮车目标检索 (18)4.4.4 汽车目标检索 (19)4.4.5 以图检索 (20)4.4.6 自选特征检索 (21)5 系统优势 (23)5.1 出色的视频兼容能力 (23)5.2 丰富的识别特征种类 (23)5.3 精准的视频分析算法 (23)5.4 极速的数据检索方式 (23)1系统概述1.1 建设背景当前,随着平安城市、天网工程等项目的深入建设与推进,视频监控网络遍布全城。
视频目标分析大数据系统通过对行人、机动车与非机动车等目标特征进行分析和检索,可以快速锁定嫌疑人员,确定人员信息,寻找相关线索,可以免除人工排查的多种问题,提高处理速度和处理数据量,在维护治安和侦察刑侦方面有重要作用。
安全防范视频监控联网系统信息传输、交换、控制技术要求GBT28181
4 5
6 7Biblioteka 设备控制 报警事件通知和分发网络设备信息查询 设备状态信息报送
11
订阅和通知
17
新标准与原标准差异(内容)
GA/T 669.5—2008 GB/T 28181
媒体流接收者 1 Invite (with SDP) 2 Invite 3 200 OK (with SDP) 4 Invite (with SDP) 5 200 OK (SDP) 6 ACK (with SDP) 7 ACK 实时媒体流 8 Invite (with SDP) 9 200 OK (SDP) 10 200 OK (with SDP) 11 ACK 12 ACK 实时媒体流 13 BYE 14 200 OK 15 BYE 16 200 OK 17 BYE 18 200 OK 19 BYE 20 200 OK SIP服务器 媒体服务器 媒体流发送者
控制
SIP设备 SIP客户端 SIP设备 SIP客户端 中心信令控制服务器
IP传输网络
系统互联
媒体
SIP监控域1
控制
信令安全路由网关1
SIP监控域2
信令安全路由网关2
流媒体服务器
流媒体服务器
中心信令控制服务器
媒体
会话控制信令
设备接入 系统互联构架
媒体传输
8
平台上下级级联架构
9
平台互联协议栈
信令 音视频
21
ViSS平台实现的平台对接功能
1.发布监控列表:用户可以根据平台对自身的权限分配情况查看其有权限观看的其他 平台的设备列表;
2.实时视频访问:用户可以根据平台权限分配情况在权限允许的条件下观看其他平台 监控点的实时视频图像;
公安边界接入
主要完成几个业务通道的安全接入:
• 1。 公众服务平台及其他公网接入 包括公安对(略)众服务项目,如交警、出入境等公众网上审批及信息服务,包括案 件办理进度查询、违章查询等,涉及内外网数据交换的内容。公安需要通过公众网进 行的外部数据采集,如网吧人员上网记录((略)),机场订票及航班旅客信息等。 采用双重数据安全交换的模式,公众服务平台作为边界接入平台终端通过数据交换系 统将数据交换至前置机,同时由部署于内网边界处的第二套数据交换系统主动获取前 置机的数据并交换至内网,进一步确保了公安内网的安全。 2。 社会企事业单位接入链路 社会企事业单位接入包括:旅店业、印章业、机动车修理业、报废车拆解业、印刷业、 爆炸物管理业等社会有关单位为公安机关系统信息的业务;同时也包括银行、保险、 电信运营商等社会行业单位与公安机关共享信息的业务。主要是从社会其它行业单位 采集信息,或进行交互式应用((略))。交警、出入境等部门与银行的互联接入; 3。 党政军接入链路 政务网用户以专线方式接入。根据业务需求,可以在(略)网安装业务前置服务器或 安装业务服务器处理政府用户的业务。 党/政/军机关接入一般采用专线接入,接入终端包括服务器和普通终端,分别实现与公 安内网资源间数据交换和授权访问。 将原有的政务网人口基础资源库整合到新平台的党政军接入通道中,实现政务网与公 安网之间信息交换。 4。 公安机关驻地外接入链路 使用可信边界安全网关实现地市公安驻地外人员临时无线接入,业务操作方式为“授 权访问”类型,对访问用户实现应用级身份认证,访问控制和授权管理,并依据安全 策略细粒度控制访问范围、应用类型和内容,外部笔记本电脑用户利用公安专网 PKI/PMI系统颁发的用户身份数字证书通过可信边界网关访问平台内指定的资源。业务 实现应用级日志记录,并报送平台集中监控与审计系统,对什么时间什么人做了什么 事进行严格审计。
单向导入
某公安厅数据单向导入解决方案
背景
客户单位:某省公安厅
为满足省公安厅业务需求,同时保障公安信息通信网安全,省公安厅在2010年严格按照《公安信息通信网边界接入平台安全接入规范(试行)》的要求,建设了边界接入平台社会企事业、党政军机关、公安驻地外与视频专网接入四条链路,为省公安厅维护社会治安秩序和案件侦破提供了信息采集和交换的安全通道。
但还存在一些与公安密切相关的业务系统部署在互联网,如旅店业管理系统、病毒库更新及操作系统补丁升级分发服务器等,针对此类数据,目前采用U盘拷贝或光盘刻录的人工操作方式进行数据采集。
项目难点
本项目主要面临以下难点:
1. 时效性差
省公安厅针对公网采集信息需求,目前以人工拷贝方式采集数据,由此带来业务数据更新滞后、时效性差问题。
2. 数据安全性
公网数据处于安全级别低的网络,可能携带病毒、木马等潜在威胁,在引入时数据安全性无法保障。
3. 业务数据量大
在项目初期主要接入业务包含旅店业数据、病毒库升级数据等,后期还将不断增加新的业务,在保障批量数据安全传入公安信息通信网的前提下,保证传输性能也是本项目难题之一。
解决方案
本方案采用单向导入系统实现对公网信息的单向数据采集,满足省公安厅公网信息采集业务的建设需求。
方案部署图如下:
根据省厅公网信息采集需求,结合“等保三级”的技术指导及相关政策规范要求进行本项目的建设。
方案的核心设备是单向导入系统,系统在保障省厅网络与公网隔离的前提下。
关于公共安全视频监控建设联网应用共享的实施方案
关于公共安全视频监控建设联网应用共享的实施方案为加强全市公共安全视频建设联网应用的整体统筹,实现地区、行业、社会视频监控资源的共建共联共享,增加视频监控在维护国家安全和社会稳定、预防和打击暴力恐怖犯罪、推进平安X建设的支撑作用,按照《国家发展和改革委员会、中央综治办、公安部等九部委关于加强公共安全视频监控建设联网应用工作的若干意见》(发改高技〔X〕996号)等文件要求,结合我市实际,特制定本方案。
一、目标任务按照统一标准、分级分类、安全可控的原则,遵循“智慧城市”建设相关要求,完善跨行业、跨部门资源共享和综合利用机制,实现重点公共区域、重点行业及领域的重点部位视频监控全覆盖,形成“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用格局,进一步增强全市社会治安整体防控能力。
(一)全域覆盖。
在全市高清视频监控基本覆盖的基础上,按照“查漏补缺、全面覆盖”的原则,继续开展前端监控点位建设,实现重点公共区域视频监控全覆盖、重点行业及领域的关键公共部位视频监控全覆盖。
(二)全网共享。
推动重点公共区域、重点行业、领域涉及公共区域的视频图像资源整合,实现公安机关一类视频监控资源、各行政管理部门二类视频监控资源和社会三类视频监控资源的联网应用。
同时,将整合接入的视频图像资源向联网接入的行业部门开放共享,实现跨地区、跨部门的共享应用,并逐步推进视频监控便民利民的惠民服务。
(三)全时可用。
建立完善视频监控系统经费保障和运维保障机制,切实强化运维工作,实现联网的重点公共区域安装的视频监控点位正常率达到98%,重点行业、领域安装的涉及公共区域的视频监控点位正常率达到95%,实现视频图像信息的全时可用。
(四)全程可控。
强化公共安全视频监控系统安全技术防范措施,建立完善联网应用安全审核、安全监督管理机制,确保重要视频图像信息不失控,敏感视频图像信息不泄露。
二、基本原则(一)科学规划和强化应用的原则。
根据发改高技〔X〕996号文件精神,从维护国家安全、社会公共安全的需要出发,综合考虑各级各有关部门的需求,结合经济社会发展实际,遵循科学规划和强化应用的原则,分级分类搞好视频监控体系建设,实现资源优化配置和信息共享应用,推动公共安全视频监控联网、应用的良性机制,充分发挥视频监控总体应用效能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安信息通信网边界接入平台安全规范(试行)——视频接入安全部分
公安部科技信息化局
二〇一〇年四月
目录
1适用范围3
2规范性引用文件3
3术语和定义3
3.1视频专网3
3.2接入链路3
3.3视频数据3
3.4视频数据单向传输3
3.5视频控制信令5
4安全技术要求5
4.1视频接入链路5
4.1.1总体要求5
4.1.2业务操作方法7
4.1.3区域划分7
4.1.4网络安全7
4.1.5主机安全8
4.1.6应用安全8
4.2集中监控审计9
4.2.1接入链路安全监控管理9 4.2.2接入链路监管系统数据规范9 5安全管理要求11
6视频接入链路测评要求11
7设备安全要求11
1适用范围
本规范仅限于指导公安机关共享外部视频资源的安全接入建设,实现外部视频资源单向传输至公安信息通信网,为公安业务工作提供支撑服务。
对于公安信息通信网内视频资源对外共享情况,不属于本规范的适用范围。
本规范规定了视频接入方式的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。
2规范性引用文件
本规范的制订参照了以下规范和标准:
《公安信息通信网边界接入平台安全规范(试行)》(公信通[2007]191号,2007年10月)
《城市报警与监控系统建设、管理、应用规范性文件汇编》(公安部科技信息化局,2009年)
《公安信息通信网联网设备及应用系统注册管理办法》(公信通[2007]139号,2007年5月)
3术语和定义
3.1视频专网
视频专网是指采用专线方式或VPN虚拟专网方式建设的、专用于支撑视频监控服务的网络。
3.2接入链路
接入链路是视频接入业务与公安信息通信网之间的专用通道,将其作为公安信息通信网边界接入平台的一条独立链路,纳入平台统一监控、审计与管理。
3.3视频数据
视频数据是以电信号方式加以捕捉、记录、处理、存储、传送与重现的一系列图像和音频信息。
3.4视频数据单向传输
视频数据单向传输是指视频专网与公安信息通信网之间视频数据是单方向
传输的,即只允许从视频专网单向传输至公安信息通信网。
3.5视频控制信令
视频监控系统中视频设备间的一种对话信息,用于视频控制信道的接续和传递视频管理信息。
4安全技术要求
4.1视频接入链路
视频接入链路是视频专网与公安信息通信网进行视频数据单向传输的专用网络通道。
视频专网与公安边界接入平台之间必须采用专线方式连接。
4.1.1总体要求
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.1节。
视频接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范(试行)》的3.2节的要求。
在视频接入链路中,视频数据和视频控制信令终止于应用服务区。
在应用服务区与安全隔离区,通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输,从而保证视频数据和视频控制信令安全地传输到公安信息通信网。
其中视频数据为单向传输,视频控制信令为双向传输,如图1所示:接入对象
外部接入链路
边界接入平台视频接入链路
公安信息通信网
图1接入平台视频接入链路架构图
4.1.2业务操作方法
视频单向传输:只能由公安信息通信网内授权终端或主机,通过视频安全隔离与传输系统主动访问或主动获取视频专网资源,包括视频数据的显示、存储、回放及远程传输等。
4.1.3区域划分
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.2节。
4.1.4网络安全
4.1.4.1视频接入对象认证
视频接入对象认证是指对视频接入业务所属的视频接入对象进行身份认证,即认证提供视频服务设备的合法性,禁止未经认证设备接入公安信息通信网,确保视频源的合法性。
4.1.4.2用户身份认证
用户身份认证是指对公安信息通信网内使用视频接入业务的用户进行身份认证。
必须采用公安数字身份证书作为授权用户的唯一凭证,对公安用户进行权限控制与管理。
4.1.4.3访问控制
视频接入对象的网络连接终止于视频接入链路内,严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交换数据。
必须对用户和终端设备进行统一注册和授权管理。
未通过身份认证的视频接入对象禁止连接视频接入链路。
未通过身份认证的用户禁止进入视频接入链路访问视频接入业务。
通过身份认证后的用户只能进行授权范围内的操作,禁止非授权访问资源及系统操作。
4.1.4.4机密性与完整性
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.3节。
4.1.4.5入侵防范
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.4节。
4.1.4.6网络设备安全
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.5节。
4.1.4.7可用性保障
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.6节。
4.1.5主机安全
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.5节。
4.1.6应用安全
4.1.6.1视频数据与视频控制信令分别处理和传输
视频数据与视频控制信令必须按照不同的安全策略严格区分,分别进行处理和传输,其中视频数据采用单向传输。
4.1.6.2视频数据传输方向
视频接入链路必须严格控制视频数据的传输方向,禁止公安信息网内数据资源通过视频接入链路向外传出,严防敏感数据外泄。
4.1.6.3视频控制信令格式检测
在与公安信息通信网进行视频单向传输之前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,只允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报
警。
4.1.6.4视频传输协议格式检测
视频传输协议格式检测按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频协议进行阻断和报警。
4.1.6.5视频数据病毒木马检测
采取必要的安全技术防范措施,防止视频数据夹杂恶意代码,形成对公安信息通信网的攻击。
4.2集中监控审计
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.4节。
4.2.1接入链路安全监控管理
遵循《公安信息通信网边界接入平台安全规范(试行)》的4.4.1节。
4.2.2接入链路监管系统数据规范
公安信息通信网视频接入链路应纳入边界接入平台统一监管范围,其数据规范遵循《公安信息通信网边界接入平台安全规范(试行)》的第6章。
根据视频接入链路的实际需要,对原规范中的静态代码表作如下扩充:
增加6.5.1“接入对象”
5安全管理要求
遵循《公安信息通信网边界接入平台安全规范(试行)》的第5章。
6视频接入链路测评要求
遵循《公安信息通信网边界接入平台安全规范(试行)》的第7章。
7设备安全要求
视频安全隔离与传输系统必须符合公安部指定的专门安全技术要求。
其余设备遵循《公安信息通信网边界接入平台安全规范(试行)》的第8章。
视频安全隔离与传输系统安全要求:
视频安全隔离与传输系统是指在视频接入链路内用于网络隔离、视频协议剥离、视频接入对象身份认证、访问控制、视频信令格式检查、视频数据内容过滤的专用安全设备。
1、系统硬件必须是采用三组件模式构成(即内、外主机和专用隔离硬件)
的专用设备。
其中,专用隔离硬件必须阻断视频专网与公安信息通信网之间的所有通信协议,保证公安信息通信网与视频专网之间的网络隔离。
2、外主机对接入对象(终端、视频服务器等)进行设备认证。
内主机对公安信息通信网上使用视频专网资源的终端用户进行统一注册、授权管理和访问控制。
3、对视频数据与视频控制信令严格区分,分别处理后进行传输。
支持视频数据的单向传输模式和视频控制信令双向传输模式。
4、支持视频信令格式检查及内容过滤:能够识别符合公安行业标准的视频控制信令、视频传输协议,过滤掉非标协议和非标数据格式。
5、支持对视频接入对象进行身份认证,禁止未认证的视频接入对象连接视频接入链路。
6、支持对公安信息通信网内的用户进行身份认证和访问控制,保证只有认证通过的用户才能访问已授权的视频资源。
7、对视频数据实时检测,实现视频数据的防病毒、木马功能。
8、支持边界接入平台监管系统的统一监管,能够实时上报设备运行状态、视频数据流量、在线用户、设备报警等信息。