公共安全视频监控资源接入共享及管理技术要求.docx
- 文档编号:6041122
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:22
- 大小:255.64KB
公共安全视频监控资源接入共享及管理技术要求.docx
《公共安全视频监控资源接入共享及管理技术要求.docx》由会员分享,可在线阅读,更多相关《公共安全视频监控资源接入共享及管理技术要求.docx(22页珍藏版)》请在冰豆网上搜索。
公共安全视频监控资源接入共享及管理技术要求
公共安全视频监控资源
接入、共享及管理技术要求
(征求意见稿)
公安部科技信息化局
2018年10月
一、范围
本技术要求规范了一、二、三类视频监控资源接入公安机关的方式、视频图像资源在不同网络间共享的模式,以及视频监控网络、系统等基础软硬件设施安全防护和运维管理的技术要求。
本技术要求中描述的公共安全视频传输网主要指由公安机关建设或使用、管理维护的视频图像传输网络,包括一类视频监控资源接入网络,以及省、市、县级公安机关的视频传输主干网络。
其他责任主体建设或使用、管理维护的公共安全视频传输网可参照采用。
二、参考或引用文件
本技术要求的制定参考或引用了以下文件:
1、《中共中央办公厅国务院办公厅印发<关于加强社会治安防控体系建设的意见>的通知》(中办发〔2014〕69号);
2、《“十三五”平安中国建设规划》(国发〔2017〕30号);
3、《关于加强公共安全视频监控建设联网应用工作的若干意见》(发改高技〔2015〕996号);
4、《公安发展“十三五”规划》(公发〔2015〕5号);
5、《关于推进公安信息化发展若干问题的意见》(公通字〔2017〕7号);
6、《公安部关于印发<关于大力推进基础信息化建设的意见>的通知》(公通字〔2015〕18号);
7、《公安部关于印发<关于进一步加强公安机关视频图像信息应用工作的意见>的通知》(公通字〔2015〕4号);
8、《关于印发<全国公安视频监控摄像机基础信息采集建档工作方案>的通知》(公科信传发〔2017〕297号);
9、《关于加强公安视频监控安全管理工作的通知》(公科信传发〔2017〕222号);
10、《关于加强公安大数据智能化建设安全保密工作的通知》(公密发〔2018〕2882号);
11、《全国公安机关图像信息联网总体技术方案》(公科信〔2012〕73号);
12、《公安信息通信网边界接入平台安全规范(试行)》(公信通〔2007〕191号);
13、《公安信息通信网边界接入平台安全规范(试行)——视频接入部分》(公信通〔2011〕5号);
14、《公共安全视频监控联网信息安全技术要求》(GB35114-2017)。
三、术语、定义和缩略语
(一)术语和定义
1、公共安全视频传输网
公共安全视频传输网指用于传输公共安全领域视频图像、汇接各层级视频图像信息系统、支撑公共安全视频图像服务的专用传输网络。
本技术要求中描述的公共安全视频传输网是指由公安机关建设或使用、管理维护的非涉密视频图像传输网络,采用专线方式或虚拟专用网方式在公安信息网之外建设,可以根据需要传输与视频图像有关的其他非涉密公安业务数据。
2、公共网络
公共网络指互联网以及依托互联网实现互联互通的开放性网络。
3、其他专网
其他专网指除公安信息网、公共安全视频传输网以及互联网等公共网络以外,不连接或通过安全隔离设备连接互联网等公共网络的政府部门、社会企事业单位专用网络,其网络安全保障设施应达到信息系统安全等级保护三级或以上标准。
(二)缩略语
IP:
Internet协议(InternetProtocol)
QoS:
服务质量(QualityofService)
SDN:
软件定义网络(SoftwareDefinedNetword)
SR:
分段路由(SegmentRouting)
xPON:
无源光纤网络(xPassiveOpticalNetwork)
MPLSVPN:
多协议标签交换协议虚拟专用网(MultiprotocolLabelSwitchingVPN)
四、总体技术要求
本技术要求从网络接入方式及要求、视频图像资源跨网共享、视频监控基础设施的安全防护和运维管理等四个层面对公共安全视频监控资源在公安机关的接入、共享及管理等方面进行了规范。
一、二、三类视频监控资源(见附录1)分布于公共安全视频传输网、其他专网、互联网等公共网络中,不同网络之间应通过边界接入/交互平台实现视频图像资源的单向或双向传输,如图4-1所示。
互联网等公共网络的视频监控系统汇聚本网内的三类视频监控资源,并向公共安全视频传输网传送视频图像资源;其他专网的视频监控系统汇聚本网内的二、三类视频监控资源,并向公共安全视频传输网传送视频图像资源;公共安全视频传输网的视频监控系统接入本网内的一类和部分二类视频监控资源,并通过边界交互平台汇聚来自其他专网和互联网等公共网络的二、三类视频图像资源,通过公安信息网视频边界接入平台向公安信息网传送一、二、三类视频图像资源。
图4-1视频监控资源汇聚共享关系图
(一)网络接入方式及要求
公共安全视频传输网的视频监控系统应通过边界接入平台向公安信息网单向传输视频监控资源。
视频监控摄像机等前端设备到各级公安机关、基层所队的接入网建设应根据各地现状采用适合的接入方式,满足各类前端数据采集、设备操控及维护管理的需求。
公共安全视频传输网应统一进行IP地址规划。
(二)视频图像资源跨网共享
公共安全视频传输网的视频监控系统应通过边界交互平台汇聚来自其他专网和互联网等公共网络的二、三类视频监控资源。
公共安全视频传输网的视频监控系统应通过边界接入平台向公安信息网单向传输视频监控资源。
公共安全视频传输网的视频监控系统应通过边界交互平台,在安全可控的条件下,向其他专网和互联网等公共网络共享视频图像资源。
(三)安全防护
公共安全视频传输网和在其上运行的视频监控系统建设应符合国家相关法律法规、标准要求,按照分级、分域防护原则构建总体安全框架,网络安全保障设施应结合实际情况,参照信息系统安全等级保护三级或以上标准进行建设,实现网络综合安全管理。
(四)运维管理
建设公共安全视频传输网运行维护管理体系,对网内前端设备、网络设备、安全设备以及平台设备的网络连通性、图像质量、网络利用率、软硬件运行状态等进行监测。
五、公共安全视频传输网络接入方式及要求
(一)主干网要求
1、主干网结构
公共安全视频传输网使用电子政务外网作为一级网,一级网的网络结构可参见电子政务外网相关规划。
省内公共安全视频传输网主干网的整体网络架构(含二、三、四级网)宜采用树形结构。
2、多类业务数据传输
公共安全视频传输网可承载多种业务,满足公安机关相关业务部门传输与视频图像有关的其他公安非涉密业务数据的需求。
3、组网设备要求
公共安全视频传输网主干网交换设备应支持静态和动态路由协议、MPLSVPN、组播、QoS、IPv4和IPv6双协议栈等基本功能,宜支持SDN、SR等新技术应用。
所有网络设备应具有中华人民共和国工业和信息化部颁发的电信设备进网许可证,能够与国内主流的网络厂商设备实现互联互通。
新采购的网络设备应优先选用国产设备。
(二)接入网要求
公共安全视频传输网的接入网包括有线或无线两种接入方式,以有线接入方式为主。
1、有线接入方式
建议采用支持xPON的网络设备组成有线网络。
前端监控设备与中心平台之间网络层级可根据具体情况采用接入-汇聚-核心三层网络架构或接入-核心两层网络架构。
网络核心层交换设备、链路宜采用双备模式。
网络交换设备(交换机)宜选用具备较完善三层路由功能的可网管型设备,应优先采用国产网络设备。
2、无线接入方式
无线接入网络参照《全国公安移动警务建设总体技术方案》相关要求进行建设。
(三)IP地址规划
公共安全视频传输网应统一进行IP地址规划。
各地公安机关在新规划公共安全视频传输网IP地址时须符合本方案要求。
在已有的公共安全视频传输网IP地址规划与本方案冲突的,应在今后逐步修订和调整,禁止在公共安全视频传输网中建设网中网。
若地方公安机关使用的公共安全视频传输网络非公安机关建设管理,其IP地址规划情况应以省为单位报公安部科技信息化局进行备案。
参照《全国公安机关图像信息联网总体技术方案》要求,公共安全视频传输网内的视频监控系统以及组成系统的各设备(含交换机、路由器、安全信令网关、互联媒体服务器、中心信令控制服务器、WEB应用服务器、DVR硬盘录像机、IPC前端摄像机等)地址应当采用的地址,其中A段为省级行政区域代码(2位),B、C、D段由省级公安机关科信部门参考公安信息网IP地址管理方法进行分配,同时报公安部科技信息化局进行备案。
本次公共安全视频传输网IP地址规划主要针对IPv4地址编码格式进行设计,但网络交换设备应支持IPv6协议,并具备从IPv4平滑升级到IPv6的能力。
详细IP地址规划参见附录2。
(四)网络带宽要求
各级公共安全视频传输网络参考带宽如下:
1、公共安全视频传输网一级网(部-省)带宽
公安部与各省间的网络带宽应达到1000Mbps以上。
2、公共安全视频传输网二级网(省-市)带宽
省级公安机关与辖区内各市级公安机关的网络带宽应不低于1000Mbps,宜达到2Gbps或以上带宽。
3、公共安全视频传输网三级网(市-区/县)带宽
市级公安机关与辖区内各区/县级公安机关的网络带宽应不低于1000Mbps,宜达到2Gbps或以上带宽。
有中心视频集中解析等大量视频并发需求的市级单位,三级网带宽建议不低于10Gbps。
4、公共安全视频传输网四级网(区/县-基层所队)带宽
区/县级公安机关与辖区内各城区范围基层所队的网络带宽应不低于1000Mbps,与其他基层所内的网络带宽应不低于100Mbps。
有中心视频集中解析等大量视频并发需求的县级单位,四级网带宽建议不低于10Gbps。
5、接入网带宽
根据接入的视频监控前端设备数量和单路视频带宽确定接入网的带宽,满足实际应用。
(五)传输线路带宽利用率
1、传输线路带宽平均利用率
极限值:
60%。
计算方法:
传输线路平均利用率=电路24小时的平均传输速率/电路带宽*100%。
平均利用率性能指标只适用于网络正常运行的条件下。
当传输线路的24小时平均利用率超过60%时,将会影响网络的整体性能,需要进行线路提速。
2、传输线路带宽忙时利用率
极限值:
85%。
计算方法:
传输线路忙时利用率=电路忙时传输速率/电路带宽*100%。
当传输线路的忙时利用率超过85%时,将会影响网络的整体性能,需要进行线路提速。
六、视频图像资源跨网共享技术要求
不同网络间视频图像资源接入及共享时,应通过公安信息网视频边界接入平台或其他专网边界交互平台或互联网边界交互平台实现公共安全视频传输网络与公安信息网、其他专网和互联网等公共网络间的安全连接以及视频图像资源的安全共享。
(一)公共安全视频传输网向公安信息网的单向资源共享
公共安全视频传输网与公安信息网之间部署公安信息网视频边界接入平台,实现视频图像资源从公共安全视频传输网向公安信息网的单向传输。
公安信息网视频边界接入平台按照公安部《公安信息通信网边界接入平台安全规范(试行)—视频接入部分》(公信通〔2011〕5号)规范要求建设。
(二)公共安全视频传输网与其他专网之间的资源汇聚、共享
公共安全视频传输网与其他专网之间部署其他专网边界交互平台。
通过边界交互平台实现与其他专网视频图像资源、数据的安全汇聚与共享。
公共安全视频传输网向其他专网提供视频图像资源时,应通过授权和审计机制,有条件地对外共享视频图像资源。
其他专网边界交互平台一般由视频图像资源交互链路和数据资源交互链路两条双向链路组成。
1、视频图像资源交互链路
视频资源交互链路支持视频流和视频控制信令的双向传输,能够实现视频图像资源的相互调用。
在安全防护的基础上,满足将其他专网视频图像资源接入公共安全视频传输网。
同时,对其他专网有条件地共享公共安全视频传输网中视频图像资源。
与其他专网视频图像资源交互链路详细技术要求,参见附录3《横向边界安全交互设施技术要求》中“其他专网边界交互平台技术要求”部分。
2、数据资源交互链路
数据资源交互链路支持在安全隔离情况下数据资源(如数据库、文件等)的双向同步。
在安全防护的基础上,满足其他专网与公共安全视频传输网之间数据资源共享与安全交换的需求。
与其他专网数据资源交互链路详细技术要求,参见附录3《横向边界安全交互设施技术要求》中“其他专网边界交互平台技术要求”部分。
(三)公共安全视频传输网与互联网等公共网络之间的资源汇聚、共享
公共安全视频传输网与互联网等公共网络之间应部署互联网边界交互平台。
公共安全视频传输网通过互联网边界交互平台从互联网等公共网络获取三类视频图像资源,并根据相关安全管理规定有条件地向互联网共享视频图像资源。
互联网边界交互平台由互联网视频图像资源接入链路、向互联网等公共网络共享视频图像资源链路两条单向视频链路组成。
1、互联网视频图像资源接入链路
在公共安全视频传输网与互联网等公共网络之间,应建设互联网视频图像资源接入链路。
该链路支持视频流单向传输和视频控制信令双向传输,能够实现公共安全视频传输网对互联网视频图像资源的单向调用。
在安全防护的基础上,满足从互联网端收集社会面视频资源的需求。
互联网视频图像资源接入链路详细技术要求,参见附录3《横向边界安全交互设施技术要求》中“互联网边界交互平台技术要求”部分。
2、向互联网等公共网络共享视频资源链路
向互联网提供视频图像资源时,应按照信息使用最小原则,通过严格的授权和审计机制有限开放视频资源调用。
在公共安全视频传输网与互联网等公共网络之间,应建设向互联网共享视频图像资源的链路。
该链路仅支持将授权的视频流单向推送至互联网端视频平台(指互联网端调看公共安全视频传输网视频资源的平台或系统)。
社会公众通过访问互联网端视频平台实现对授权视频资源的查看,满足为社会公众提供服务的需求。
互联网共享视频图像资源链路详细技术要求,参见附录3《横向边界安全交互设施技术要求》中“互联网边界交互平台技术要求”部分。
七、安全防护技术要求
(一)安全管理
公共安全视频传输网的主干网和在其上运行的视频监控系统的安全防护设施应根据实际情况参照信息系统安全等级保护三级或以上标准进行建设;公共安全视频传输网的接入网部分以及视频监控摄像机等前端设备应根据实际情况,按照相关标准、规范要求加强网络安全防护,信息安全措施参考《公共安全视频监控联网信息安全技术要求》(GB35114-2017)中的相关规定。
公共安全视频传输网与公安信息网、公安移动信息网应按照公安信息网、公安移动信息网相关安全管理规定进行连接。
公共安全视频传输网与互联网等公共网络应实现安全隔离。
公共安全视频传输网传输与视频图像有关的其他公安非涉密业务数据时,应向本级公安机关科信管理部门提交申请。
业务应用的安全由提出申请部门负责。
公共安全视频传输网向其他专网、互联网传输视频图像及相关信息时,应按相关规定的要求实施。
(二)安全域划分
各级公共安全视频监控网络内部安全域划分为:
纵向边界区、横向边界区、系统应用区和前端接入区四部分,具体划分如图7-1所示。
图7-1公共安全视频监控网络安全域划分
(三)纵向边界区防护
纵向边界区主要实现本级公共安全视频传输网与上级或下级公共安全视频传输网的安全连接和访问控制。
为了防止来自上下级公共安全视频传输网间的非法访问,应在纵向边界区配备相应安全设备或采用相关安全技术手段,并制定严禁采用双网卡方式连接,禁止通过未经认可的网络接入方式实现跨网远程维护。
(四)横向边界区防护
横向边界区安全防护主要实现公共安全视频传输网与同级其他网络间的安全连接以及资源的安全共享。
公共安全视频监控网络横向边界主要涉及公共安全视频传输网络与公安信息网、其他专网和互联网等公共网络的边界,不同网络边界之间应部署横向边界安全交互设施,主要包括:
公安信息网视频边界接入平台、其他专网边界交互平台和互联网边界交互平台,详细技术要求参见附录3。
公共安全视频传输网与同级其他类型网络间严禁采用双网卡方式连接,禁止通过未经认可的网络接入方式实现跨网远程维护。
(五)系统应用区防护
系统应用区安全防护主要实现对本级网络内应用系统、设备及视频信息的安全保障和安全管理。
系统应用区内的系统及设备主要包括:
公共安全视频传输网内相关网络设备、终端、各类通用和专用服务器、存储设备、相关应用系统等设备。
应按照GB35114-2017中对视频及控制信令信息的安全技术要求完成系统应用区内视频信息的安全保障和管理。
遵循满足业务发展、适度防护的原则,应采用漏洞扫描、系统加固、防病毒、资源探测、入侵检测、web应用安全防护、网络审计、身份认证、日志审计、安全运维、安全态势感知等安全技术措施进行安全防护,提升系统应用区的整体安全水平。
1、漏洞扫描及系统加固
应采用相关技术手段对公共安全视频传输网中系统及设备的操作系统、系统软件进行漏洞扫描,及时发现存在的漏洞,降低漏洞被利用的风险。
对公共安全视频传输网络中终端、主机操作系统进行补丁管理,定期更新补丁库,及时修复存在的系统漏洞,并对操作系统进行安全加固。
2、防病毒
应对终端、主机上的重要文件、程序、进行扫描检测,及时发现各种蠕虫、病毒、木马、恶意软件传播行为等病毒威胁,并进行有效的阻断或隔离,定期更新防病毒系统特征库。
3、资源探测
应定期对公共安全视频传输网中运行的网络资产进行探测,掌握最新设备情况,包括存活设备数量、设备品牌、设备型号、开放端口、运行应用等,及时发现新增资产,避免风险引入。
4、入侵检测
应对公共安全视频传输网中各种溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、病毒木马、蠕虫、网络异常、受控主机、系统漏洞攻击等行为进行入侵检测和告警,实现全网威胁分析和展现。
5、Web应用安全防护
应对重要Web应用系统进行安全防护,对进出Web服务器的http流量相关内容进行实时分析检测、过滤,精确判定并阻止Web应用攻击行为,阻断对Web服务器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等。
6、高级威胁检测
宜支持对公共安全视频传输网中的特定威胁、未知威胁、恶意代码、隐秘通道、嵌套攻击等威胁进行深度识别,发现网络中可能存在的安全隐患。
7、办公终端安全管控
对入网办公终端进行安全管控,实现终端准入控制、终端安全控制、桌面合规管理、终端敏感数据防泄露和终端审计等。
8、网络审计
应对公共安全视频传输网中网络设备的运行状况、网络流量、用户访问操作行为等进行日志审计记录。
审计记录应涵盖访问的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
9、身份认证
应按照GB35114-2017要求对公共安全视频传输网内的设备、系统、人员提供统一的身份认证机制。
10、日志审计
应对公共安全视频传输网中的网络设备、其他软硬件系统(包括操作系统、数据库、中间件、应用软件及各类硬件设备等)的运行状况、用户访问操作行为等进行日志记录。
应对重要视频监控业务系统进行视频业务安全审计,对用户访问视频监控资源、控制信令操作行为等进行日志记录。
日志记录应涵盖访问的时间、用户、事件类型、事件是否成功及其他与审计相关的信息,实现对异常访问行为的记录,及时发现安全威胁,为确定和追溯攻击来源提供依据。
11、安全运维
应避免采用直连或远程登录服务器等较低安全级别的运维方式。
12、视频源追溯
当系统应用区接入《公共安全视频监控联网信息安全技术要求》(GB35114-2017)规定的B级前端设备时,应按照GB35114-2017的要求,对视频源进行追溯和可信鉴定。
13、视频加密保护
当系统应用区接入《公共安全视频监控联网信息安全技术要求》(GB35114-2017)规定的C级前端设备时,应按照GB35114-2017的要求,对视频进行相应加解密处理。
14、安全态势感知
宜全面采集视频传输网的安全要素信息,综合分析安全风险问题,实现全网攻击感知、风险感知、漏洞感知、威胁感知、资产感知、运行感知等安全态势感知,能够对攻击行为进行回溯分析,对网络安全事件进行预测和预警。
(六)前端接入区防护
前端接入区安全防护主要实现对各类前端接入设备的有效识别和安全管理。
前端接入区主要包括前端接入的摄像机及其他设备。
应建立前端安全防护机制,实现对前端接入资源的有效识别和安全管理。
1、前端设备资产管理
通过主动扫描、被动监听和手工设置等手段,采集前端接入区中物理设备的属性信息,建立视频设备指纹库(主要包含IP地址、MAC地址、设备类型、厂商、型号、主机名、操作系统等信息),并进行分类统计,实现对前端接入设备的统一资产管理。
2、前端设备可信认证
按照GB35114-2017相关要求对前端设备采取基于数字证书的准入认证措施,应能发现并识别接入视频监控管理平台的未知、违规(与注册信息不符)、仿冒等设备。
3、前端设备安全监测与管理
应加强对前端设备的安全监测与管理,如前端摄像头的资产探测、弱口令排查和管理、漏洞发现和修补、前端设备的违规接入、非法外联、违规替换等;应支持对接入公共安全视频传输网的前端设备基于IP、MAC、设备指纹等信息进行身份核验和管理,根据相应策略对前端设备违规接入公共安全视频传输网的情况进行告警和处置;宜提供对公共安全视频传输网中非法访问、入侵攻击等异常流量的检测能力,对网络中非法恶意行为进行有效识别、告警和处置,实现前端接入区资源的安全管理。
八、运维管理技术要求
(一)前端运维
通过多种采集方式对前端设备的基础信息及相关数据进行采集,实现针对前端设备的基础信息管理、连通性监测、录像状态监测、视频前端质量监测(如视频丢失监测、视频遮挡监测、视频抖动监测、视频干扰监测、亮度异常监测、图像噪声监测、视频偏色监测、视频模糊监测、视频冻结监测、场景变更监测等);此外,还应对前端设备指纹信息(IP地址、MAC地址、设备类型、厂商、型号、主机名、操作系统等)进行统一采集和管理。
前端设备的主要基础信息参见《关于印发<全国公安视频监控摄像机基础信息采集建档工作方案>的通知》(公科信传发〔2017〕297号),附件2中的相关描述。
(二)网络运维
支持对网络设备连通性进行监测,可生成网络拓扑图;支持对网络设备的CPU、内存、带宽使用率等设备性能进行监测,可通过主动或被动监测方式发现网络设备故障;支持对网络IP地址资源进行集中监管,可对IP地址的发放、监测、回收等进行管理;支持自动发现网内设备并进行管理。
(三)安全运维
应对视频传输网中安全设备的状态、资源使用情况、审计日志、告警等信息进行集中管控、分析处理,完善安全事件管理制度、处置流程和应急预案。
可采用视频监控网络安全检查工具对视频传输网进行常态化的安全检查,针对视频监控资产进行摸底,对前端设备弱口令、视频监控设备漏洞、网络非法外联、违规接入、前端设备非法替换等内容开展监测和检查,以保证视频传输网整体的安全使用。
加强视频网络安全监测预警通报。
提升公共安全视频传输网网络安全监测预警与应急协调联动能力,实现部、省、市、县四级视频传输网应急指挥联动和网络安全信息的预警通报,以及应急协调联动信息的综合管理与资源调度,对网络安全事件的处理过程进行跟踪记录,加强应急处置过程监督与效果评估。
(四)系统运维
应支持通过多种方式对系统中相关的设备运行数据进行采集,实现对服务器/虚拟机、网络设备、其他通用或专用设备的网络连通性和运行状态实时监测,以及对操作系统、数据库等软件中间件运行状态的监测,并支持对云计算、大数据系统的运维管理。
附录1
一、二、三类视频监控资源
一类视频监控点,主要是覆盖重点公共区域、以公安机关为主建设的监控摄像机。
二类视频监控点,主要是覆盖重点行业、领域内涉及
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公共安全 视频 监控 资源 接入 共享 管理 技术 要求