城市安全查控分析系统方案

5/70城市安全查控分析系统方案长春北创科技有限责任公司6/70第1章概述1.1项目背景人们在享受现代文明的同时，也不断受到各种灾害事故的威胁，因而安全城市的地位和作用越来越重要，建设安全城市，构建和谐社会，通过不断的努力和学习，最终实现“我要安全”到“我会安全”的转变.随着社会的不断发展，居民的生活方式也发生了深刻的变化，居住条件逐渐好转，原来住在偏僻、狭小的平房的居民，现在也逐渐拥有自己的楼房，由此也形成了当今城市的特点：城市里人员层次不一，所属单位不同、文化及生活习惯不同，流动性较大，存在着许多不稳定因素；人员居住集中的地方，商业网点较集中，这些地方缺乏有效的安全制度管理；外来人口增多，人员成份复杂，危险系数不确定。这些特点都给城市带来了许多安全方面的问题，特别是在防火、防盗等方面存在的问题最多;再加上城市管理的范围和职能在逐步扩大，工作难度在增大，而人们固有的观念对城市的地位和作用认识不足;城市安全生产工作得不到真正的落实，使得城市安全工作也随之成为工作的热点和难点。由于城市的安全工作既是社会发展、城市建设的基础，又是关系到人民群众的生命和财产的安全。城市的安全生产工作得不到落实，什么提高城市品7/70位，什么建设和谐城市等等，将都成为一句空话。随着改革开放的进一步深入、经济的迅速发展和城市化建设步伐的日益加快，各类生产、生活的信息千变万化，社会面已经形成一个人、财、物快速流动的动态结构。对城市安全也具有严峻的挑战性。发展带来了当前治安形势的多样性、复杂性以及犯罪手段的隐蔽性，这些都增加了公安机关维护社会安定的难度，传统的治安管理和案件防控方法、手段已经很难满足当前的工作要求。为了适应新形势的需要，建立安全的城市管理模式，最大限度地发挥热点手机数据、卡口数据、视频监控数据、门禁数据、网络数据、app登记等各类信息在防范、控制和打击各类治安、刑事案件中的积极作用，努力维护城市治安稳定，在公安信息化建设相关标准的指导下，制订了本解决方案。本方案在建设城市安全防范系统的同时，紧贴公安侦查的业务需求和现实数据资源的应用需求，以城市安全防范大数据系统作为基本的数据容器和业务应用平台，融合移动通讯热点采集系统、城市门禁系统、城市视频监控系统、卡口数据、网络数据，app登记数据能够根据需要扩展接入过车数据、视频图像等各类业务数据，搭建数据综合应用的业务分析模型，衍生各类数据综合应用的业务附加值。1.2建设原则1、统一领导、统一部署：宽城区公安局负责统筹规划本系8/70统的总体方案和建设目标、联网整合等工作，充分发挥各部门的职能作用，对分散在各个部门的资源进行充分整合，实现资源的最优利用。2、统一标准、统筹规划：系统建设统一标准、统一部署，在符合国内外一流标准的基础上，充分考虑扩展性，用先进的技术手段和系统平台架构，整合卡口、视频监控、电子警察、门禁系统等系统资源，在统一标准框架下实现统一部署、资源共享、平台共用。3、全面覆盖、资源共享：以实现对“人、车、号”的轨迹覆盖为重点，通过在城市重点场所、重要部位等热点地区设置数据采集“点”，将城市出入口等卡口连成“线”，将线索信号覆盖区域集合为“面”，实现城市各类采集数据与公安系统数据的有机结合。4、立足实战、深化应用：加强数据分析和管理队伍建设，充分挖掘本系统在“事前、事中、事后”的预警、现场指挥、证据摸排和锁定等功能，摸索、总结、推广应用分析技战法，不断改进业务模型，将本系统的作用在实战中发扬光大。1.3建设目标根据当前国内外的反恐形势，结合吉林省厅反恐总队指导建议，结合长春市公安局移动警务应用现状，急需建立一套安全、实用、高效的基于移动警务的反恐实战解决方案，来保障反恐业9/70务在各地市的顺利开展，实现关注人员在各地市的动态管控，以提高各地市特定人员动态管控能力。1、在城市主要路段、行业场所、监控死角等热点区域部署手机数据采集设备；在公共场所等区域部署网络数据采集设备。逐步形成由“点”、“线”、“面”三道防线组成的多层“包围圈”防控系统。2、整合卡口、电子警察、视频监控、门禁系统等系统资源，实现互联互通、资源共享，形成基本覆盖一定防范区域的全天候监控网络，提高防范、打击各种违法犯罪行为和应付突发事件和恐怖袭击事件的能力。3、城市安全防范系统建设，在城市多点布控基础上，接入多种公安业务数据，通过各类业务数据的对应关系，以人、车、位置和时间为关联点，实现信息互通，线索互联，业务同步。例如，热点手机数据和过车数据与公安系统数据、电信运营商数据进行整合可以实现人、车、号关联；楼宇门禁系统和热点手机数据视频图像与公安系统数据整合可以实现人、号关联；通过各系统数据整合可以进一步实现人、车、号相互关联印证，充分发挥出系统的实战效能。1.41.4设计原则系统的移动警务遵循以下规范：《公安信息公网移动接入及应用系统建设技术指导10/70书》《公安信息移动接入及应用系统建设技术指导书管理暂行规定》（公信通[2006]541号）《移动警务B/S应用安全接入规范》《公安无线接入系统安全管理暂行办法》11/70第2章系统安全需求分析2.1安全要求系统的安全问题可归结为移动警务终端接入的安全问题、信息（包括采集信息与查询结果）空中传输的安全问题、信息（包括采集信息与查询结果）落地后的安全问题，对于前者的安全设计，主要通过保障移动警务采集终端安全接入、传输链路加密等安全措施实现；而落地之后的安全设计主要涵盖访问控制、访问公安数据库资源、访问日志分析等，因此系统涉及的安全设计主要涵盖身份认证设计、信息安全设计、网络安全设计以及应用安全设计。2.2安全需求分析(1)终端的安全接入端到端数据加密传输适合移动终端的认证措施系统的移动终端采用已经得到公安部认证的海邻科X3综合移动警务终端(2)明显的网络边界划分和相应的安全保障措施移动接入网的边界、公安安全边界平台和公安信息网的划分和安全12/70隔离运营商接入网和公用通信网络的边界划分和安全连接终端通过虚拟专网（移动运营商提供）、公安安全边界平台虚拟网（信大、三所、一所提供）连接到公安移动接入网(3)适合我国密码管理策略的密码算法配置硬实现的加密机制商用密码算法(4)系统的网络安全方案端到端身份认证数据加密完整性检验抗重放攻击抗DOS、DDOS攻击公网段全程安全防病毒和木马入侵防内部敏感信息非授权外流系统部署的服务器安装公安常用杀毒软件（金山毒霸）、安全卫士等(5)支持多种安全接入方式移动4G/CDMA/联通3GIP(6)安全体系架构由于终端的移动性、使用场景的开放性和不可监督性、无线13/70传输安全的脆弱性、网络环境的复杂性，这就要求移动警务安全接入采用包括“终端加固”、“信道加密”、“认证接入”、“访问控制”、“网闸隔离”、“级联监控”和“安全管理”等七大安全措施，如图所示。七大安全措施环环相扣，缺一不可，共同构成独立完整的安全接入体系。终端加固基于硬件密码对终端进行安全加固，保证终端计算环境、资源和网络访问的安全和控制。信道加密基于我国密码管理局批准公安机关专用的密码算法实现移动终端到移动接入区端到端的通信加密，保证公安信息在传输过程中的机密性和完整性。加密信道建立在移动运营商提供的辅助安全措施（APN/VPDN）之上。认证接入基于移动警务身份证书实现移动终端和移动接入区接入设备之间的双向身份认证，保证持有合法身份证书的移动终端才能接入移动接入区，防止合法移动终端接入非法网络。访问控制在移动警务B/S应用模式下，访问控制保证公安信息网资源只能被授权的终端访问，并对异常的访问进行阻断。14/70网闸隔离实现移动接入区和公安信息网之间的网络隔离。针对移动警务B/S应用模式，对出入公安信息网的HTTP数据进行协议剥离和内容过滤；针对移动警务C/S应用模式，实现移动接入区和公安信息网之间的数据信息交换。安全管理对移动警务系统的安全策略进行统一管理，保证系统安全策略的安全性和一致性。级联监控对移动警务系统进行统一监控、审计和管理，发现系统异常，及时调整系统安全策略，确保整个系统的安全。向移动警务监管中心上报相关信息。2.3安全体系功能1、身份认证为保证外部移动终端安全、可信接入公安网，安全边界平台为各类移动终端提供身份认证功能，实现外部移动终端和移动警务安全接入平台间的相互身份认证。主要包括：15/70提供终端对用户的身份认证功能；提供终端和接入网关之间的相互身份认证功能；提供移动应用系统对用户的身份认证功能。2、信息安全信息安全主要包括信息完整性安全和信息保密传输安全，信息安全设计通过数据完整性、信息保密和抗抵赖等安全服务，使用国密局批准认可的SM1算法硬加密机制，保证移动应用系统中信息内容在存取、处理和传输中保持其机密性、完整性和可用性，确保信息系统主体的可控性和可审计性等特征。(1)数据保密传输功能为各种公安移动应用系统提供公网路段（从终端到安全移动接入系统之间）的数据保密传输功能。(2)数据完整性保护功能可检测和发现数据在公网路段传输过程中是否被修改。3、网络系统安全网络系统安全是保障网络通信基础设施、网络上的各种系统及各种应用软件的正常运行。它建立在物理安全的基础之上，主要包括网络隔离、操作系统安全、网络通信系统安全、网络攻击防范、病毒防范、灾难应急处理、日志管理与审计跟踪等几个方面，是实现整个移动应用系统安全的基础。16/702.4应用安全防火墙、短消息安全接入系统、运营商安全接入系统、IP安全接入系统、安全认证管理系统、各类反恐应用服务器等都应具备全面的访问日志，以方便系统管理员对访问该服务器的行为进行有效的审计和分析，以便发现攻击、非法访问的来源，及时调整系统安全策略，确保整个公安信息移动接入系统的安全。同时，系统提供数据中心核心数据库、系统核心功能模块的访问管理功能，依据用户的级别、警种设计不同的角色，不同的角色能够共享的数据库资源，能够操作的功能模块的权限是不同的，从而提高数据信息、系统功能应用的安全性。17/70第3章系统的功能需求分析3.1数据的采集与结构化存储1、采集与结构化存储关注人二代证信息系统提供在不同场景下的采集关注人二代证信息功能，场景分为固定场所（如卡口、反恐联合警务室等）和流动执勤两类。结构化存储关注人的二代证信息。2、采集与结构化存储关注人现场人像拍关注人的正面照片，并且自动生成标准的二代证照片。结构化存储关注人的现场采集的人像。3、采集关注人手机信息无论关注人是否携带手机，均需要采集关注人手机号码；动态配置采集的手机内容。结构化存储关注人手机相关的各类信息。4、采集关注人随身携带的物品系统提供易于理解、识别的敏感物品照片墙，辅助用户（一线民警）核查关注人随身携带的物品及其它异常的可疑行为、可疑迹象的发觉。5、采集原籍地核查信息1)构建全疆警务人员电子通讯录。2)通过二代证住址信息自动关联关注人原籍地派出所联系18/70人电话。3)核查关注人是否有涉恐背景。6、采集流入地核查信息采集关注人的来向、去向（省、市）、来往目的、出行方式、同行人信息。采集关注人同行人及同行关系信息；采集与核查关注人自驾车辆信息；构建省级、地市级反恐联络人电子通讯录。推送1）、2）中信息至反恐联络人手机、信息采集终端。3.2核查比对及结果的结构化存储1、自动核查关注人是否冒用他人身份证，并结构化存储比对结果；2、关注人没有手机（没有携带手机、故意丢弃SIM卡）的自动预警；3、自动识别手机内（或者随身U盘中）是否存储暴恐的音视频，提醒用户处置方式，并存储检测结果；4、自动检测手机内是否安装敏感聊天软件，提示用户处置方式，并存储检测结果；5、自动发觉手机的其他异常信息【短信、通话记录和通信录的数量】，自动提醒用户异常情况，并存储异常结果；6、辅助用户筛查随身携带的敏感物品，并存储核查结果；7、辅助用户筛查可疑行为、迹象，自动预警，并存储检19/70测结果；8、筛查通话记录，自动核查是否常与恐怖活动高发国家人员联络；9、筛查短信，汇总用于研判的银行交易信息、快递信息等3.3研判分析需求移动警务终端采集数据的处理、应用是系统核心价值所在。大千世界，