公安视频云数据中心安全技术方案

　V3.0 公安视频云数据中心安全技术方案 1

　公安视频云数据中心安全

　技术方案

　V3.0 公安视频云数据中心安全技术方案 2

　 目 录 第 1 章 项目综述 ......................................................... 4 1.1 项目背景 .......................................................... 4 1.2 建设目标 .......................................................... 5 1.3 建设总体要求 ...................................................... 6 1.4 遵循标准 .......................................................... 8 第 2 章 系统架构 ......................................................... 9 2.1 公安网访问视频监控专网 ........................................... 12 2.2 电子政务外网访问视频监控专网 ..................................... 14 2.3 4G

　无线视频接入 .................................................. 17 2.4 总体设计原则 .................................................... 19 2.5 方案建设思路 .................................................... 20 2.5.1 建设原则 ................................................... 20 2.5.2 基于“云计算”的公安数据中心设计 .......................... 23 2.5.3 方案建设的科学性、先进性与合理性 ........................... 29 2.6 智慧公安总体框架 ................................................ 32 2.6.1 总体结构图 ................................................ 32 2.6.2 数据服务与整合层 .......................................... 34 2.6.3 GIS 运行数据中心 ........................................... 34 2.6.4 运行支撑平台 .............................................. 34 2.6.5 服务与搭建平台 ............................................ 35 2.6.6 服务组装与发布应用层 ...................................... 35 2.6.7 智慧公安大数据云平台与其他应用系统集成 .................... 36 2.6.8 智慧公安大数据云平台在公安信息化中的定位 .................. 37

　V3.0 公安视频云数据中心安全技术方案 3

　 2.7 遵循的标准规范 .................................................. 38 2.8 环境部署方案 .................................................... 41 2.8.1 硬件 / 网络环境 .............................................. 41 2.8.2 软件环境 ..................................................

　43 第 3 章视频安全交换平台架构 .............................................

　46

　3.1 底层传输 ......................................................... 46

　3.2 配置管理 ......................................................... 46

　3.3 流量管理 ......................................................... 48

　3.4 监控管理 ......................................................... 48

　3.5 协议接口模块 .................................................... 50

　3.6 认证管理 ......................................................... 50

　3.7 内/ 外网终端管理 .................................................. 51

　3.8 链路管理 ......................................................... 51 第 4 章 视频集中监控系统 ................................................ 51 第 5 章 平台安全分析 .................................................... 54

　5.1 终端安全 ......................................................... 54

　5.2 链路安全 ......................................................... 54

　5.3 应用安全 ......................................................... 55

　5.4 系统安全 ......................................................... 56 第 6 章 技术指标 ........................................................ 58

　V3.0 公安视频云数据中心安全技术方案 4

　 第 1 章 项目综述

　1.1 项目背景 XX市社会治安视频监控系统前端监控点分布应结合实际治安状况，科学设点、合理布局，建设出入城市主要治安卡口、人车流 量大的主要道路路口、 治安复杂公共场所和易发案部位、 校园监控， 市区主要道路交叉口、人防重点目标、市容重点管理区域监控。

　1、对于社会治安， 逐步在市区建设形成三道治安监控防线：

　第一道是城市外围防线，在出入城市主要道路上建立治安卡口，安装 以高清摄像机为支撑的智能卡口识别比对系统，主要控制出入城市 的车辆信息；第二道防线是城区交通路口防线，在城区主要交通路

　口安装智能卡口识别比对系统，监控抓拍路面车辆并识别车牌号，

　捕捉前排司乘人员面部特征，与出城卡口信息结合，关联与交通违

　法处理系统、交警车辆信息库、被盗抢车辆数据库，搭建以车辆轨

　迹侦控为核心的“视频侦查作战平台” 。另外，在主要道路边广场、 大型商场周边等公共场所安装高速球形摄像机， 做变化大场景监控， 重点监控人流量大的公共复杂场所； 第三道防线是易发案区域防线， 在易发案区域、外来人口聚居区和城乡结合部复杂地段等地点安装

　摄像机，监控治安情况复杂的社会面。

　2、对于学校治安，对学校采取人防和技防相结合的安防措施， 在全市各级各类学校、幼儿园的校门口等重点部位新安装监控点、运用视频监控系统，确保公安机关实时监控学校的安全状况。

　3、对于人防、城管监控应用，按人防、城管的要求，在指定的人防重点部位、市容重点管理区域安装监控点联入监控平台，通过授权可查看与业务相关的监控点和监控范围。解决城市抢险救灾的效率，提升城市管理水平和服务效益。

　V3.0 公安视频云数据中心安全技术方案 5

　 4、社会面治安监控点整合， 社会面监控系统是较为庞大的监控资源，通过整合接入公安社会治安监控系统可以有效提高全市监控 系统覆盖率，实现监控资源利用最大化。目前，社会面监控系统主 要有各小区监控、银行监控、网吧监控、酒店和企业监控 等 。

　对上述符合接入条件的社会面视频监控点，进行新系统接入，提高 全市社会治安监控系统的覆盖率，提高治安防控能力，为有效的打 击犯罪提供视频信息资源。

　在前端布点位置由辖区派出所、 交警支队、刑警支队（大队）、治安支队（大队）共同协商确定，涉及到学校、人防、城管的监控 点位置由对应的学校方、人防、城管协商确定，摄像机安装具体位 置（点位、方位、角度、高度、照度等）要注重听取治安、刑侦部门意见。

　通过科学规划、合理部局，将我市社会治安监控系统构筑成一个覆

　盖城镇、功能完善、全市联网、资源共享的社会治安视频监控系统， 实现公安业务与社会治安防控的有效链接， 构建一张服务平安建设、服务社会管理、服务公安工作、覆盖城市农村的安全防范天网，努

　力提升全社会整体防范水平，最大限度发挥社会治安视频监控系统

　的作用。

　1.2 建设目标

　二是在监控中心建设视频监控安全交换平台， 在社会面治安视频监控专网内设置监控网视频通信服务器， 在我局公安信息通信网内设置公安网视频通信服务器， 视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。

　公安内网的视频访问控制终端访问公

　V3.0 公安视频云数据中心安全技术方案 6

　 安内网的视频通信服务器， 内网通信服务器和监控专网通信服务器通

　7 V3.0 公安视频云数据中心安全技术方案

　过视频安全交换平台建立连接和调用， 从而实现通过公安信息网浏览、回放和控制社会面治安视频监控系统图像资源的功能。

　1.3 建设总体要求 遵循公安部最新发布的 《公安信息通信网边界接入平台安全规范 （试行）——视频接入安全部分》草案，遵循《公安信息通信网边界 接入平台安全规范（试行）

　》规范，视频接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范（试行）

　》的 3.2 节的要求。

　在视频接入链路中， 视频数据和视频控制信令终止于应用服务区。在应用服务区与安全隔离区， 通过视频安全隔离与传输系统将视频数据和视频控制信令进行严格分离和传输，

　从而保证视频数据和视频控制信令安全地传输到公安信息通信网。

　其中视频数据为单向传输， 视频控制信令为双向传输，如图 1 所示：

　8 V3.0 公安视频云数据中心安全技术方案

　 1、 视频接入对象认证， 对视频接入业务所属的视频接入对象进行身份认证，即认证提供视频服务设备的合法性，禁止未经认证设备接入公安信息通信网，确保视频源的合法性。

　2、 视频接入对象的网络连接终止于视频接入链路内， 严格禁止对公安信息通信网的直接访问或与公安信息通信网直接交

　换数据。

　3、 机密性与完整性

　遵循《公安信息通信网边界接入平台安全规范（试行）》的

　4.2.4.3 节

　4、 入侵防范

　遵循《公安信息通信网边界接入平台安全规范（试行）》的

　4.2.4.4 节

　5、 网络设备安全

　遵循《公安信息通信网边界接入平台安全规范（试行）》的

　4.2.4.5 节

　6、 可用性保障

　遵循《公安信息通信网边界接入平台安全规范（试行）》的

　4.2.4.6 节

　7、 主机安全

　9 V3.0 公安视频云数据中心安全技术方案

　 遵循《公安信息通信网边界接入平台安全规范（试行）》的

　4.2.5 节

　8、 本系统的建设遵循公安部的有关规定， 实现信息安全隔离。

　10、本系统将采用各种专用安全设备，以实现公安业务及需求的身份认证和信息安全传输。

　11、平台建设在考虑安全设计的同时必须兼顾系统的流量与性能管理。系统必须具有开放性标准接口，系统必须支持主流视频厂商的视频接入。

　12、要求系统具备 7*24 小时持续稳定可靠运行，提供系统平台冗余方案和故障快速恢复能力。

　1.4 遵循标准 【1】公安部《公安边界接入暂行规定》等文件的相关规定；

　【2】遵循公安部最新发布的《公安信息通信网边界接入平台安全规范（试行）——视频接入安全部分》草案 【3】《城市报警与监控系统建设、 管理、应用规范性文件汇编》

　（公安部科技信息化局 , 2009 年）

　【4】《公安信息通信网联网设备及应用系统注册管理办法》 （公信通[2007]139 号， 2007 年 5 月）

　【5】《 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则 (GB

　17859-1999) 》

　1V3.0 公安视频云数据中心安全技术方案

　 【6】《信息安全等级保护管理办法》

　【7】《金盾工程总体方案设计》第2章 系统架构 整体结构图

　公安视频云数据中心安全技术方案 V3.0

　 公安 3G视频网络 公安信息通信网 IMOS监控客户端

　 IPSAN存储系统 电子政务外网

　 无线网络摄像机

　车载视频终端

　运营商 3G网络

　 集中监控系统

　IMOS管理服务器

　 公安 PKI/PMI

　电视墙

　 解码器 IMOS监控客户端 IMOS监控客户端

　视频接入用户认证服务器 入侵检测

　单兵视频终端

　 隔离网闸

　监控探针

　入侵检测 认证服务器

　 视频接入设备认证服务器 监控探针

　 视频接入用户认证服务器

　专线 防火墙

　隔离网闸

　视频监控专网（ IP 网络）

　 EC编码器

　EC编码器 视频接入设备认证服务器

　 10

　V3.0 公安视频云数据中心安全技术方案 11

　 方案特点

　1）

　遵循《公安信息通信网边界接入平台安全规范——视频接入部分》草案，是公安部入围企业 2）

　无缝集成：系统与 H3C数字视频监控系统集成，包括实时视频、历史点播、摄像调焦、云台控制、语音呼叫等，发生安全入侵行为可与H3C的报警系统联动 3）

　性能优越：最高可达 600 路 D1(2Mbps)传输

　4）

　高安全性：有效解决公安信息通信网与视频专网、公安信息通信网与 4G无线网、电子政务网与视频专网视频交换的安全问题 5）

　集中监管：完善的集中管理功能，对用户的访问行为、设备的运行状态等纳入统一管理。

　V3.0 公安视频云数据中心安全技术方案 12

　 2.1 公安网访问视频监控专网

　视频监控安全交换平台部署在视频监控专网和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器，内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间的 通讯端口。视频访问控制命令通过视频安全交换平台的 TCP/IP 通道

　进行连接，视频流通过平台的 UDP通道进行传输，平台对视频控制命令和视频进行严格的格式校验和审核，从而实现通过公安信息网 浏览、回放和控制社会治安视频监控系统图像资源的功能。

　公安视频云数据中心安全技术方案 V3.0

　 13

　公安视频安全交换系统解决方案

　该网络拓扑结构有如下特点：

　 1）网络边界划分明确，在每一个网络边界都提供良好的安全保障 2 视频监控网运营商建立独立的视频专网。

　3）

　公安外网通过路由器和专线连接到当地运营商组建的独立视频专网。

　4）

　内网用户访问外部视频监控专网时候， 必须通过公安 PKI/PMI 认证系统认证，平台将终端的认证请求发给公安 PKI/PMI 系统， 认证通过后终端的访问控制信令才允许传输到视频监控网，

　没有经过身份认证的视频访问控制终端无法连接到视频专网， 视频专网也无法通过反向访问公安信息通信网，。

　5）视频专网和公安信息网通过视频安全接入平台连接，保证公 安信息网不受外部攻击，并对外网网络设备集中审计和监控。

　6）系统的安全性能主要靠身份认证系统、视频安全接入平台、集中监控与审计等设备的保护，符合公安部的指导思想。

　7）上级局、厅、部可通过访问控制终端访问下级视频专网，而对终端透明。

　 2.2 电子政务外网访问视频监控专网

　 14

　公安视频安全交换系统解决方案

　 15

　V3.0 公安视频云数据中心安全技术方案 16

　 视频监控安全交换平台部署在视频监控专网和电子政务外网之间，电子政务外网的视频访问控制终端需要经过电子政务外网的认证服务器认证才能访问电子政务外网的视频通信服务器，电子政务外网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用，网闸只开放视频交换平台前后置服务间的通讯端口。

　视频访问控制命令通过视频安全交换平台的 TCP/IP 通道进行连接，

　视频流通过平台的 UDP通道进行传输，平台对视频控制命令和视频进行严格的格式校验和审核，从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。

　V3.0 公安视频云数据中心安全技术方案 17

　 2.3 4G 无线视频接入

　无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。主要的无线视频终端设备类型有以下几种：

　单兵监控终端 : 包括监控主机、笔筒摄像机、外接耳麦、大容量电池， 内置 GPS模块、4G无线通信模块、液晶显示屏、 TF卡等。可以实现视频数据的采集、抓拍、加密、编码、存储、传输、回放等功能。

　车载移动监控终端

　在车辆上安装车载视频监控终端， 将采集到的视频信息通过4G网络将视频图像、事件报警、行车路线等数据上传给后台指挥中 心，后台指挥中心可随时调取现场视音频信息，并可直接对前端设 备进行操作，实现远程指挥调度。

　无线网络摄像机

　无线网络摄像机支持 SD卡接口，可通过 4G网络传输视频， 用于没有有线线路或者不适合有线线路的环境。

　无线视频安全接入方案对视频终端设备进行认证、 视频传输进行审计、视频信令进行分析，能有效保障无线视频传输的安全。

　公安视频云数据中心安全技术方案 V3.0

　18

　V3.0 公安视频云数据中心安全技术方案 19

　2.4 总体设计原则

　为了大数据云平台建设能够更加科学合理，系统必须安全、可靠、稳定，具备很强的综合服务能力，在建设系统时，应遵 循以下系统设计原则：

　1. 以数据为基础。数据主要包括：基础电子地图数据、业务数据。业务数据从业务系统中获得，完成业务数据与电子地图数据的结合，通过电子地图展现业务，并以此为基础开展应用。

　2. 以信息应用为核心。智慧公安大数据云平台与公安业务相结合，满足实战需要，服务业务工作。

　3. 总体规划，分步实施，小步快跑。智慧公安大数据云平台是一个复杂、庞大的工程，首先要进行合理的总体规划，为了保证工程的进度需要进行分布实施，快速完成业务系统的应用。

　V3.0 公安视频云数据中心安全技术方案 20

　2.5 方案建设思路

　2.5.1 建设原则

　2.5.1.1 快速响应、高效实现报警定位 实现针对 110 报警服务台受理的报警案情实时、快速定位， GIS 系统与公安

　110 指挥协同作战平台的“三台合一”接处警等应用系统无缝衔接，完成各种报警方式的采集、应用与表现。

　在保证系统安全性与可靠性的基础上，充分设计服务于公安行业报警定位系统的建设规范与总体架构，设计适应多种定位模式的业务流程；以充分保证满足大数据量的定位要求、满足各级别指挥中心的报警定位要求及基于报警位置的报警电话自动路由等要求；同时具有识别运营商号码、定位数据误差分析、模糊定位、地址匹配等功能。

　实现报警定位信息分析统计；实现报警定位子系统用户管理、数据管理、运维管理；支持系统稳定运行的网络监控服 务。

　2.5.1.2 基于 SOA和数据服务技术实现业务数据的整合应用 通过数据服务技术，将公安业务数据库及其他办公业务数 据库内各项可用于地图展示的数据抽取出来，形成独立的 GIS 业务数据库，并将增量更新数据实时导入库，实现警务信息的地图可视化及关联分析。

　V3.0 公安视频云数据中心安全技术方案 21

　 通过 SOA实现公安地理信息系统与警务其他系统互相调用， 实现与固定电话报警定位、手机信号定位、 GPS、视频监控等多种业务和技术系统整合应用。

　以服务为导向的 SOA架构体系通过各警种、各部门的公安业务来驱动，通过各项业务来驱动各类服务，再通过服务来驱 动技术。

　把大数据云平台业务应用的基本功能组件建成一个可以在网络上调用的服务，在此之上对应公安业务流程，建成一个一 个组合复合应用的概念，不同业务流程可以直接从底层调用和 重复使用这些服务，来搭建适合自己部门需要的业务应用子系 统。通过运用先进的 SOA技术，开发一些基础、通用性的地理服务接口，使系统采用接口服务模式提供地理信息服务，在其 他业务应用系统需要 GIS 服务时，可以不用再购置 GIS 软件，通过直接调用接口，将

　GIS

　功能嵌入到业务系统，实现其他系统与 GIS 应用的有机结合。

　2.5.1.3 重视基层应用，满足实战需求 根据《城市警用地理信息数据分层及命名规则》 将公安地理信息按图层划分为：基础图层、公安公共图层和业务专用图层，

　各单位在基础图层基础上，实现与其业务系统的融合，满足实 战需要，服务公安工作，尤其要着重考虑基层单位 （如：分局、派出所等）的应用，以服务实战为核心。

　V3.0 公安视频云数据中心安全技术方案 22

　 2.5.1.4 与智能检索集成 实现业务数据多角度搜索与展示 提供强大的信息综合与分类检索能力，能够对公安业务中涉及的案件、人员、线索等 信息进行相同和相似检索，是情报研判、案件串并、执法考评 检索等系统的支持平台。

　2.5.1.5 应用词虎，实现业务、地理名词地图显示 “词虎”软件实现了文字与图形、文字与文本、文字与文件的智能连通，用户可以在任何电子办公文字文档资料中，自 动从公安地理信息系统空间库、 GIS 业务库中获得与地名、单位相关的地图、影像和文档。

　用户可以从公安网站和办公信息系统中方便地通过词虎提供的服务调用地图，从而使公安地理信息系统更灵活得与其他系统、网站、文档等信息资源集成应用，使得地图资源能够得到更充分、更广泛的利用。

　2.5.1.6 与 BI 集成，实现深层次数据分析与空间展示 通过 BI 的情报信息多维分析，找寻案件发生的时空规律， 发布预警信息，结合旅馆等社会信息，自动报警，缉捕在逃人 员、案件的嫌疑人员及各种布控对象。信息通过 Web 门户展示， 其含有地址属性的信息通过 SOA调用，在 GIS 平台上将分析的结果展现于地图上。

　23 V3.0 公安视频云数据中心安全技术方案

　将 GIS 作为情报体系系统信息分析的入口，在地图上自定义选择区域，设定好空间维度，与情报体系中再设定好时间及其他维度要素综合统计分析，其结果含有地理要素的内容亦可以通过 WebGIS展现。

　2.5.2 基于“云计算”的公安数据中心设计

　2.5.2.1 建设思路 云管理平台建设：将建设目标和需求都围绕云计算的集中

　管理，共享服务，易扩展等特性，采用 IBM云计算管理平台解决方案，来集中管理所有的计算资源，集中管理，动态调配，

　满足所有应用和用户的需求。

　云计算服务建设：综合考虑平台需要推出的云计算服务， 需要采用相应的硬件、软件资源，通过服务将硬件、软件资源定制成基础架构服务、平台服务和应用软件服务。

　2.5.2.2 建设宗旨 公安数据中心的建设宗旨 1. 应用为先：根据调研结果，并根据应用的需求来选择最合适的软硬件平台。由应用决定平台，而不是由平台限制应 用；

　24 V3.0 公安视频云数据中心安全技术方案

　2. 创新为体：计算机技术发展日新月异，在架构设计时， 应充分考虑技术发展趋势，采用先进的产品和创新的思路，最大化利用现有投入，并考虑到今后扩展的需求； 3. 效率为要：充分考虑总体架构的合理性和资源管理等要 素，实现一个高效率计算（ High Productivity Computing ）的平台。

　云计算平台的建立不是一个现成的软件或者硬件产品，也 不是拿来安装上就可以使用的。每个数据中心的 IT 架构和环境都是不尽相同的，使用的服务器、存储、网络、操作系统和软 件等各有差异，另外不同部门的 IT 管理流程也是不一样的，针 对这种需求各异的情况，一个现成的产品是无法满足所有用户 的要求的。因此云计算平台建立必须是一个完整的方案，需要 充分了解当前的 IT 环境，理解管理流程，根据实际需求将应用系统及基础架构优化平台所需的各种组件有机的组织连接在一 起，只有这样才能真正搭建出一个满足业务动态需求的资源池 平台。

　通过对数据中心的资源进行整合，通过虚拟化技术和自动化技术，实现硬件资源和软件资源的统一管理、统一分配、统一部署、统一监控和统一备份，打破单个业务应用对资源的独占，从而帮助中心建设统一虚拟资源池管理平台。

　公安数据中心的软硬件资源分配

　25 V3.0 公安视频云数据中心安全技术方案

　硬件包括 x86 或 Unix 的机器、存储服务器、交换机和路由器等网络设备。软件可以包括各种操作系统、中间件、数据库

　及应用，如 Aix 、Linux 、DB2、WebSphere、Lotus 、Rational 等。

　IBM“云”管理软件。“云”管理软件由 IBM云计算中心开发，专门用于提供云计算服务。

　IBM“云”咨询服务、部署服务及客户化服务。“云”解决方案可以按照客户的特定需求和应用场景进行二次开发，使云计算管理平台与客户已有软件硬件进行整合。

　基于云计算的数据中心可以自动管理和动态分配、部署、配置、重新配置以及回收资源，也可以自动安装软件和应用。“云”可以向用户提供虚拟基础架构。用户可以自己定义虚拟基础架构的构成，如服务器配置、数量，存储类型和大小，网络配置等等。用户通过自服务界面提交请求，每个请求的生命周期由平台维护。

　基于云计算虚拟化资源池管理平台的优势 1. 灵活的 IT 基础架构

　云计算平台可以要做到资源的随时随地按需分配。云计算平台所管理的资源由共享的服务器、共享的存储系统、网络组成。这些资源可以被统一管理、动态调度。资源可以根据用户

　26 V3.0 公安视频云数据中心安全技术方案

　 需求迅速进行组合和配置，在很短时间内形成可以使用的系统提供给用户。用户使用结束后，这些资源会立即释放，供其他用户使用。

　资源的供应方式由传统的“ Just in

　case”的竖井式模式转化 “ Just in time ”的弹性模式。

　2. 自动化资源部署

　" 云计算 " 的核心功能是自动为用户提供 IT 服务能力。用户、管理员和其他人员能通过界面对云计算平台进行管理和监控。

　完全自动化的部署流程不仅符合安全要求，而且能自动适应用 户的需求，而令其价值倍增的因素还包括：引入技术和创新的 时间缩短，设计、采购和构建硬件和软件平台的人力成本降低， 以及通过提高现有资源的利用率和复用率节省成本。

　3. 端到端服务请求管理

　云计算平台不仅提供了对数据中心进行运维管理的能力， 还提供了针对业务的端到端流程管理。该流程管理可以提供对服务请求的全周期管理，包括订单处理，系统开通、服务计费等等。

　2.5.2.3 方案设计 1. 云计算资源

　27 V3.0 公安视频云数据中心安全技术方案

　 搭建云计算数据中心的所有计算资源组成，包含服务器、存储、网络设备，所有的计算资源按照数据中心最终将提供的基础架构服务、平台服务和应用服务的需求来进行设计，同时在资源的选择上，满足云计算要求的易扩展、高可用、稳定的特性。云计算资源的具体介绍将在硬件方案设计中进行具体阐述。

　2. 云计算管理平台

　所有的计算资源通过云计算管理平台来实现集中管理、资源调度、并根据需要定义服务、提供服务管理等。在本次方案中，将采用 IBM 云计算管理平台来实现对所有计算资源的集中管理、监控和调度，同时云计算管理平台提供完整的用户计算资源申请、审批、调配的服务流程管理。云计算管理平台的内容会在云计算管理平台章节进行详细的阐述。

　通过搭建云计算管理平台，可以实现如下的计算资源使用模式：

　3. 基础设施服务

　通过云计算管理平台对所有的计算资源进行管理之后，将可以直接提供基础设施服务，将硬件资源组成计算资源池，根 据计算资源中有的计算资源，分别提供虚拟小型机、虚拟 X86 服务器、虚拟存储和虚拟网络的服务。基础设施服务的内容取

　28 V3.0 公安视频云数据中心安全技术方案

　 决于组成计算资源的硬件设备的虚拟化功能，具体介绍将在硬件方案设计中结合各个子资源池的功能进行具体阐述。

　4. 应用服务

　云计算数据中心搭建完成之后，可以根据用户的应用，搭

　建应用服务层，在本次方案中将中地 GIS 应用做为服务进行提供，后面会对中地 GIS 服务进行详细阐述，用户可以随着数据中心的发展，不断扩充应用服务内容。

　5. 服务门户

　云计算中心搭建完成之后，将提供一个集中的服务门户， 提供给最终用户一个友好、便利的服务门户，通过此服务门户， 数据中心管理员可以将所有的服务内容进行展示，最终用户可 以在门户上选择自己的服务请求。

　云计算是一种计算模式，在这种模式中，应用、数据和 IT 资源以服务的方式通过网络提供给用户使用。它也是一种基础 架构管理的方法论，大量的计算资源组成 IT 资源池，用于动态创建高度虚拟化的资源提供用户使用。

　利用“云计算”能提高 IT 资源利用率和促进空间网格计算能力，降低动态基础架构的总体建设成本。

　29 V3.0 公安视频云数据中心安全技术方案

　 2.5.2.4 灵活的系统应用框架搭建 公安地理信息系统是一个面向多部门、多警种应用且与多种应用和技术平台集成的基础应用平台，不同用户的需求和应用范畴决定了系统要求有灵活的应用框架结构，可以根据用户需求的变更、新业务定制做出快速搭建。用户的管理，包括角色的批量分配，用户添加、删除、变更等方面都要做到灵活、快速实现。

　2.5.2.5 与公安业务子系统高效集成应用 使地理信息系统更好地与公安业务子系统进行集成，达到“同一平台、可视化应用”的目标。地理信息系统将以地理空间数据库为基础，采用多种地理模型分析方法，结合公安行业应用，适时提供各种报警类型的空间定位和动态的地理信息， 把地理位置和相关警情信息有机的结合起来，根据实际需要准确真实、图文并茂地将加工、提炼过的各类信息输出给各级用户使用；借助其独有的空间分析功能和可视化表达，辅助各级公安机关进行决策和实时调度。

　2.5.3 方案建设的科学性、先进性与合理性 根据该方案建设原则与设计思想来构建大数据云平台，使得平台建设能够更加合理、科学，系统必须安全、可靠、稳定， 具备很强的综合服务能力。

　30 V3.0 公安视频云数据中心安全技术方案

　 2.5.3.1 先进性和实用性 在系统的设计过程中，大数据云平台将在满足基层警务工作需要的基础上兼顾系统建设中所使用的各项技术，充分做到实用性和先进性的紧密结合，最终使系统达到预期的满意效 果。

　2.5.3.2 一致性和可管理性 方案设计的一致性与可管理性主要体现在数据采集平台能 保持通过数据导入，数据转换， PDA采集等方式进行数据更新， 审核数据的一致性和准确性后，及时更新到服务器，很好的维 护和管理公安数据。

　2.5.3.3 高可靠性和稳定性 方案设计的高可靠性与稳定性主要体现在平台架构设计稳定，功能分配合理，极大的提高了采集平台的可靠性与稳定 性。

　2.5.3.4 扩展性和开放性 大数据云平台是一个面向多部门、多警种应用且与多种应用和技术平台集成的基础应用平台，该平台可以根据用户需求的变更、新业务应用定制做出快速搭建新的业务系统，具有灵活、可扩展性的应用框架结构。该平台还可以与其它在用和在建系统保持顺畅的应用和数据接口，还将建设所使用的技术与

　31 V3.0 公安视频云数据中心安全技术方案

　 GIS 整体技术发展的潮流相吻合，从而保证平台的开放性和技术延伸性。

　2.5.3.5 安全性和保密性 大数据云平台对所存储的重要数据做有备份和恢复的机制， 用户访问系统时也设有权限管理，确保公安数据的安全性。

　2.5.3.6 标准性和易维护性 大数据云平台建设过程中是严格以国家、部所制定的相关标准和规范为依据，建设公安地理信息数据库，使全局地理信息系统应用建设走向规范化、标准化，确保信息资源共享。

　32 V3.0 公安视频云数据中心安全技术方案

　2.6 智慧公安总体框架

　2.6.1 总体结构图 智慧公安大数据云平台采用开放式的体系结构，不仅使本 系统可以与其它在用和在建系统保持顺畅的应用和数据接口， 还将建设所使用的技术与 GIS 整体技术发展的潮流相吻合，从而保证系统的开放性和技术延伸性，方便今后的各项应用和推 广工作。

　为配合智慧公安大数据云平台工程建设，与 110 接处警平台、平安城市，数字警务社区集成应用和现有业务系统的综合 应用，我们将对平台的建设做了以下设计，其总体结构如图 2-1 ：

　33 V3.0 公安视频云数据中心安全技术方案

　图 2-11. 智慧公安大数据云平台总体结构图

　智慧公安大数据云平台是在公安信息通讯网络和硬件资源的基础上，在政策法规和和各项安全保障体系的支持下，注重实用性与先进性的信息系统。系统的总体技术架构分为五层， 从下到上依次为：

　1、数据服务与整合层， 2、GIS 运行数据中心， 3、运行支撑平台，

　4、服务与运用搭建平台， 5、服务组装和发 布应用层。在其基础之上实现信息的定制，包括权限管理和角

　34 V3.0 公安视频云数据中心安全技术方案

　 色分配，各基层所队和局领导用户通过统一的应用门户访问系统。下面将详细介绍各个层主要功能和实现思想。

　2.6.2 数据服务与整合层 公安信息资源中的警务综合库、八大资源库、社会信息库 及其他资源库通过数据服务平台，使用 EAI（企业应用集成）技术，实现各类信息整合，将与 GIS 有关的信息，能够通过地图来展示的业务信息装载入 GIS 业务库当中，形成可用于地图可视化及可基于空间分析的业务数据资源库。

　2.6.3 GIS 运行数据中心 数据层主要包括智慧公安大数据云平台所需要支持和展示 的数据资源，包括空间数据库、 GIS 业务库、路灯杆信息库、固定电话库、手机信息库、视频信息库等。空间数据库与

　GIS 业务库通过地址库实现图层信息与业务属性信息的关联应用，地 址库中存有所有业务信息与空间信息关联地址匹配内容。全文

　库为地理信息系统的案 （事）

　件、地址信息的非结构化内容，为地图化智能检索提供了数据支持，通过智能检索服务实现公安 GIS 与智能检索平台的互联互通。

　2.6.4 运行支撑平台 运行支撑平台提供了智慧公安大数据云平台能够正常运行 的软件支持环境，在内容管理平台、信息管理平台、 BPM平台、安全认证平台的基础上应用的 GIS 软件开发开发平台，包括有

　35 V3.0 公安视频云数据中心安全技术方案

　 空间数据处理与维护平台、 WebGIS开发与发布软件平台、用于情报信息分析的 BI 平台、其他业务系统及网页、文档调用地图服务的词虎、用于移动 GIS的嵌入式 GIS平台，用于三维景观显示的三维景观平台、用于图形化智能检索的智能检索平台，用 于监测控制警车的车载 GPS平台等。

　2.6.5 服务与搭建平台 服务与搭建平台应用 SOA流程管理和软件治理方法，实现搭建各类应用的各类服务模型。在运行支撑平台基础提供的基 础服务之上，开发各类服务组件，再进一步开发出服务模型。

　通过服务注册、服务装载等对各类服务的进行管理，以便 GIS 系统各类应用的组装及提供与外部系统服务调用。

　该层提供的服务模型有路灯杆定位服务、人口管理服务、案件管理服务、手机定位服务、地图访问服务、查询定位服务、 GPS 服务、 BI 服务、词虎服务、智能检索服务、地址匹配服务、 视频监控服务、方预案管理服务。这一层通过 SOA技术实现 GIS 与其他业务系统之间的应用集成，包括 GIS

　为其他应用系统及网页、文档等提供词虎与地图访问报务。各类服务通过 Web发布或其他方式为各 GIS 各子系统的集成应用提供支持。

　2.6.6 服务组装与发布应用层 该层将服务与搭建平台开发出的各类服务模型根据公安局各业务部门、各警种实际需求搭建各类应用子系统，并根据日

　36 V3.0 公安视频云数据中心安全技术方案

　 后业务需求的更改自由调用、重组服务模型进行系统功能重组。本层为智慧公安大数据云平台直接面向用户的各项功能应用， 包括有路灯杆定位、手机移动定位、固定电话定位、 BI 警情分析、 GPS车辆监控、视频监控、方预案管理、兴趣点管理、路灯杆管理、重点防范区管理等等。

　根据用户不同警种、不同部门根据各自业务需求通过信息定制层实现权限管理、角色分配等。

　2.6.7 智慧公安大数据云平台与其他应用系统集成 智慧公安大数据云平台作为各类业务和技术系统提示空间展示平台，考虑到能够与以前系统、在建系统和以后需要建设的系统实现良好的对接，系统在应用接口方面根据不同时期， 不同软件的技术架构特点设置灵活的接入方式，方便调用地图服务，实现多类信息地图可视化。

　公安 GIS 将以前公安系统分为可改造和不可改造两部分， 分别通过词虎服务和地图插件实现公安信息的地图可视化以及基于地图的统计与分析。

　对于现在在建的系统，通过对在建系统改造，利用 SOA思想，互相调用服务模刑，进而实现互相关联应用。

　对将来建设的系统，智慧公安大数据云平台为它提供开放的各类模块模型，供其他系统调用与接入，实现无缝对接。

　37 V3.0 公安视频云数据中心安全技术方案

　 图 2-2 公安 GIS 在公安信息化中的定位 2.6.8 智慧公安大数据云平台在公安信息化中的定位 智慧公安大数据云平台在整个公安信息化体系中处于相当 重要的位置。根据公安地理信息的特性，其提供了基于空间信 息的业务系统整合、 110 报警信息的定位、业务数据的可视化展 现、以空间为基础的门户访问，并且为情报系统提供时空分析 的基础。见图 2-2 。

　38 V3.0 公安视频云数据中心安全技术方案

　2.7 遵循的标准规范

　在平台建设过程中，遵循“中华人民共和国公共安全行业 标准”—— 《城市警用地理信息系统标准体系》 执行，并和全国警用基础平台总体规划保持一致，保证数据共享。系统设计依 据的标准规范包括：

　GA/Z01-2004 《城市警用地理信息系统标准体系》GA/T491-2004 《城市警用地理信息分类与编码规范》GA/T492-2004 《城市警用地理信息图形符号》GA/T493-2004 《城市警用地理信息系统建设规范》 GA/T530-2005 《城市警用地理信息数据组织及数据库命名规则》 GA/T532-2005

　《城市警用地理信息数据分层及命名规则》GA/T529-2005 《城市警用地理信息属性数据结构》GA/T531-2005 《城市警用地理信息专题图与地图版式》GA/T627-2006

　《城市警用地理信息数据采集与更新规范》GA/T628-2006 《城市警用地理信息空间数据质量》GA/T629-2006 《城市警用电子地图坐标系与比例尺》

　39 V3.0 公安视频云数据中心安全技术方案

　 GB/T17902.2-2005 《信息技术安全技术 带附录的数字签名 第 2 部分：基于身份的机制》 GB/T17902.3-2005 《信息技术安全技术 带附录的数字签名 第 3 部分：基于证书的机制》 GB/T19713-2005 《信息技术安全技术 公钥基础设施在线证书状态协议》 GB/T19714-2005 《信息技术 安全技术 公钥基础设施证书管理协议》 GB/T19715-2005 《信息技术安全管理指南》GB/T19716-2005 《信息技术安全管理实用规则》GB/T19710-2005 《地理信息元数据》GB/T19711-2005 《导航地理数据模型与交换格式》GB17796-1999 《省级行政区域界线测绘规范》 GB17797-1999 《地形数据库与地名数据库接口技术规范》 GB17798-1999 《地球空间数据交换格式》

　GB8567-88，国标 《计算机软件产品开发文件编程指南》

　《公安专题地理信息及相关信息标准》（行标）

　40 V3.0 公安视频云数据中心安全技术方案

　 《公安专用信息要目》，公安部办公厅指挥中心（ 1998 年 8 月）

　中华人民共和国公共安全行业标准《公安机关常用标号》

　41 V3.0 公安视频云数据中心安全技术方案

　2.8 环境部署方案

　2.8.1 硬件/ 网络环境 系统硬件和网络映射图如图 2-3 所示：

　 图 2-3 硬件网络拓朴图

　42 V3.0 公安视频云数据中心安全技术方案

　硬件总体配置方案如表 2-1 ：

　表 2-1 硬件配置方案

　用途 数量 配置要求

　5U机架式， CPU:4*AMDOpteron8346(四核) ，最大支持 4 颗。

　数据库服务器 MEM:16GB, DDR2 667 ECC Registered, 2 NET: 3* 千兆以太网 ;

　DISK: 4*300GB SAS, 15K, 热插拔 ,1*SAS RAID卡, 可扩展到 8 块盘

　 Web发布服务器 2U机架型， 2 颗 64 位 4 核 OPTERON 2350CPU，全双工直连架构，超传输铜基

　互连技术， 16GB DDRII667 内存， 2 个146G15k SAS热插拔硬盘，支持 6 个热插 2 拔硬盘，支持 SASRAID0，1， 5， 10， 6， 50， 60，集成 2 个 1000M RJ45网卡， 1+1 电源 ， CD-RO， M 带 KVM OVER IP功能远程管理模块，节点集群模块和原有集群 融合。

　通信服务器 1 2U机架式， 2 颗 Intel Xeon5310

　43 V3.0 公安视频云数据中心安全技术方案

　(1.60GHz) ( 四核 )CPU， 8M 二级缓存； 1066MHz前端总线； 4G ECC DDR2内存； 2*1.5 万转 3.5"146GB 热插拔 SAS 硬盘， 最多可扩展到 6 个 3.5 英寸硬盘；双千兆网卡，支持网卡绑定和容错； 3 个全高PCI 扩展槽； 1+1 冗余电源。提供服务器管理软件。

　地图处理工作站 P4 2.8 CPU ，2G DDR2内存， 160G硬盘， 2 17”液显， DVD光驱。

　移动工作站

　（移动图层采集）

　Intel 酷睿 2.0G 双核 CPU， 2G内存， 1 160G硬盘， 14.1 ” TFT， DVD光驱

　 2.8.2 软件环境

　2.8.2.1 操作系统 数据库服务器选用 UNIX 操作系统或 Windows2003 Server, 应用服务器操作系统选用 UNIX 操作系统或 Windows2003Server， 客户端操作系统选用 Windows2000 Professional/XP, 便于使用

　者的操作和使用。

　2.8.2.2 数据库软件 建议使用 Oracle9i 以上数据库系统。

　44 V3.0 公安视频云数据中心安全技术方案

　 2.8.2.3 GIS 软 件 系统选用武汉中地数码科技有限公司开发的 MAPGIS ，它是新一代面向网络超大型分布式地理信息系统基础软件平台。系 统采用面向服务的设计思想、多层体系结构，实现了面向空间实体及其关系的数据组织、高效海量空间数据的存储与索引、大尺度多维动态空间信息数据库、三维实体建模和分析，具有TB级空间数据处理能力、可以支持局域和广域网络环境下空间数据的分布式计算、支持分布式空间信息分发与共享、网络化空间信息服务，能够支持海量、分布式的国家空间基础设施建设。

　系统具有以下特点：

　1) 采用分布式跨平台的多层多级体系结构，采用面向“服务” 的设计思想。

　2) 具有面向地理实体的空间数据模型，可描述任意复杂度的空间特征和非空间特征，完全表达空间、非空间、实体的空间共生性、多重性等关系。

　3) 具备海量空间数据存储与管理能力，矢量、栅格、影像、三 维四位一体的海量数据存储，高效的空间索引。

　4) 采用版本与增量相结合的时空数据处理模型，“元组级基态 +增量修正法”的实施方案，可实现单个实体的时态演变。

　5) 具有版本管理和冲突检测机制的版本与长事务处理机制。

　45 V3.0 公安视频云数据中心安全技术方案

　 6) 基于网络拓扑数据模型的工作流管理与控制引擎，实现业务的灵活调整和定制，解决 GIS 和 OA的无缝集成。

　7) 标准自适应的空间元数据管理系统，实现元数据的采集、存

　储、建库、查询和共享发布，支持 SRW协议，具有分布间索能力。

　8) 支持真三维建模与可视化，能进行三维海量数据的有效存储和管理，三维专业模型的快速建立，三维数据的综合可视化和融合分析。

　9) 提供基于 SOAP和 XML的空间信息应用服务，遵循 Opengis 规

　范，支持 WM、 S WFS、WCS 、GLM3 。支持互联网和无线互联网，

　支持各种智能移动终端。

　46 V3.0 公安视频云数据中心安全技术方案

　 3.1 底层传输 1. 采用先进的网络传输框架， 可达到双向 600Mbps左右（千兆网络）

　2. 网络通信链路检测， 当网络从异常状态恢复后， 在一定时间周期后可自行恢复数据传输。

　 3．周期检测数据链路的运行情况，以便合理分配数据链路 4. 链路回收：对一定周期无响应的链路进行回收

　5. 支持单播、多播和组播方式，有效解决流量瓶颈问题。

　3.2 配置管理 配置管理子系统让管理员在个人工作站实现远程一体化管理，

　使用 HTTPS连接方式在 IE 浏览器中单点配置。该子系统集中存储、 第 3 章视频安全交换平台架构 结构图如下 内网终端管理 认证管理 认证管理 PKI/PMI 服务 监控管理 监控管理 平台审计接口 平台审计接口 IE 浏览器 外网终端管理 协议接口模块 协议接口模块 配置服务 配置服务 集中监控与审计 流量管理 流量管理 链路管理 链路管理 监控代理 底层传输 底层传输 本地配置文件数据库 外网 内网 审计库 MYSQL/ORACLE

　47 V3.0 公安视频云数据中心安全技术方案

　 管理系统的配置信息。配置信息采用 XML格式保存，在视频接入系统（后置，前置）启动时载入。

　1．配置创...