天行网安边界接入介绍

北京天行网安信息技术有限责任公司2013年3月1--沈沂泽目录培训目的安全视频交换系统-定义安全视频交换系统-功能及特性典型应用-视频边界接入平台视频接入链路的管理及使用2培训目的3•为什么需要MTP？•解决方案设计产品售前培训•定义、组成、架构•功能、特点、优势产品培训•应用场景、解决方案•关键参数产品应用4视频监控技术的发展5数字化集成化智能化网络化视频监控技术的发展6视频监控技术的广泛应用小区和楼宇（日常监控）工商和城管（商贩、市容）质监（生产、质量监督）运输管理（卡口）林业管理（森林防火）环保（排污监控）煤矿（安全生产）政法（监所）省、市政府（突发）应急办（应急）公安指挥调度、情报7视频专网•视频专网是指采用专线方式或非公共网络基础上的VPN虚拟专网方式建设的、专用于支撑视频监控服务的汇接视频监控系统的网络。视频接入链路•视频接入链路是以视频专网为接入对象、用于将外部视频应用安全接入到公安信息通信网的专用链路。视频数据与视频控制信令•视频数据是以数字信号方式表示的影像和音频等信息•视频控制信令是视频设备之间的会话管理信息，用于约定视频设备间逻辑通信信道的建立、删除以及数据传输控制和管理等行为视频数据单向传入•视频数据单向传入是指视频专网与公安信息通信之间的视频数据是单方向传输，即只允许从视频专网单向传输至公安信息通信网术语8术语-互动DVR、DVS？IPC、CCTV？9术语•DVR:DigitalVideoRecorder（硬盘录像机），即数字视频录像机•DVS:DVS(digitalvideoserver)网络视频服务器、又叫数字视频编码器，是一种压缩、处理音视频数据的专业网络传输设备•IPC:IPCAMERA网络摄像机•CCTV：闭路电视监控系统，简称CCTV（CloseCircuitTelevision）•D1：D1是数字电视系统显示格式的标准,720×48010术语丢帧、插帧•I帧:关键帧•P帧：非关键帧过渡帧P帧、I帧目录培训目的安全视频交换系统-定义安全视频交换系统-功能及特性典型应用-视频边界接入平台视频接入链路的管理及使用11天行安全视频交换系统天行安全视频交换系统提供视频监控图像跨域安全传输，提供对信令识别过滤、视频流格式识别、动态分离传输、安全隔离等安全功能。硬件系统GAPUMSTMS视频接入认证服务器视频用户认证服务器部署模式UMS-GAP-TMS串行连接12视频交换系统MTP(MediaTransportPlatform)13《公安信息通信网边界接入平台安全规范（试行）——视频接入部分》主要用于规范公安机关在公安信息通信网内共享公安信息通信网外视频专网上视频资源的安全接入建设，实现外部视频资源单向传输至公安信息通信网内，为公安业务工作提供支撑服务。规范中详细描述了对视频接入链路的安全技术要求、建设要求、评测要求，以及使用安全设备的要求。视频链路接入规范的目的目录培训目的安全视频交换系统-定义安全视频交换系统-功能及特性典型应用-视频边界接入平台视频接入链路的管理及使用14151515安监局内网防火墙交换机入侵监测路由器UMS非信任媒体服务单元安全隔离网闸TMS信任媒体服务单元DBWEB服务器APP应急指挥应用系统视频终端认证服务器磁盘阵列数据库中心服务器视频平台路由器交换机监控中心矩阵解码器云台控制危险源视频监控平台专网视频接入平台路由接入区边界保护区视频交换系统编码器编码器专线交换机集控探针集控系统①②③④⑤⑥⑦⑧⑨⑩视频接入认证服务器视频用户认证服务器⑾路由接入区边界保护区安全隔离区应用服务区视频交换系统安全监管区公安内网视频监控平台专网视频交换系统使用16视频接入认证服务器视频用户认证服务器视频用户认证服务器对公安信息通信网使用视频资源的终端用户进行统一注册、授权管理、身份认证和访问控制，并提供视频服务。MTP-视频认证服务器视频认证服务器分为：视频接入认证服务器和视频用户认证服务器两类。视频接入认证服务器对接入对象（终端、视频服务器等）进行设备认证并与之交互，获取视频。17•对视频数据与控制信令严格区分，分别处理后进行传输。支持视频数据的单向传输模式和控制信令的双向传输模式。•支持视频信令格式检查及内容过滤，能够识别视频控制信令、视频传输协议，阻断未注册的协议和数据格式。•支持对视频接入设备进行身份认证，禁止未认证设备连接视频接入链路。•支持对公安信息通信网内的用户进行身份认证和访问控制，保证仅允许认证通过的用户才能访问已授权的视频资源。•支持视频数据实时检测，能够有效阻断夹杂恶意代码的视频数据。•支持集中监管，能够实时上报设备运行状态、数据流量、设备报警等信息。视频认证服务器-功能18安全隔离设备及功能•指专用于业务数据检查，存取控制及分发的软硬件系统。安全隔离设备•设备自身应具有较强安全性。建议采用硬件专用设备形式并进行安全加固。•区分连接内外网链路的接口。•根据安全策略主动获取来自前置机群的数据。•验证数据源和数据完整性，以及根据业务规则检查数据类型、格式、内容、过滤不符合安全策略的数据。功能19边界接入平台与视频接入链路的关系视频接入链路应作为“公安信息通信网边界接入平台”接入业务的一种，遵循《公安信息通信网边界接入平台安全规范》提出的总体框架、安全技术和管理要求，不低于《规范》所要求的安全性。视频监控业务的接入遵循《公安信息通信网边界接入平台安全规范》中定义的集中监控与审计相关规定，与“公安信息通信网边界接入平台”的其它业务一起，统一接受平台的集中安全监控，管理与审计。20GBT/28181与视频接入链路的关系•《安全防范视频监控联网系统信息传输、交换、控制技术要求》，规定了城市监控报警联网系统中信息传输、交换、控制的互联结构、通信协议结构，传输、交换、控制的基本要求和安全性要求，以及控制、传输流程和协议接口等技术要求。适用于安全防范监控报警联网系统的方案设计、系统检测、验收以及与之相关的设备研发、生产。一、GBT/28181•公安部规定目前正规划公安内网的视频整合平台，对于连接公安网络，传输至公安通信内网的所有视频图像以及连接链路的建设和使用的设备，均须符合GB/T28181标准。二、视频整合平台•边界接入平台视频接入链路在视频流与控制信令传输过程中，应遵循GB/T28181的技术要求，符合其标准。视频接入链路中的关键设备也应通过以GB/T28181为标准的安全测评。三、安全测评21MTP-视频流格式22高效率•可线性支持256路D1画质图像传输，最高可支持600Mbps媒体传输流量。而传统单一视频隔离设备最多只能支持128路D1图像传输，本方案是传统单一视频隔离设备性能的2～4倍。节约网络带宽•在日常应用中，常会出现热点地区大量用户同时浏览调阅图像的情况，传统单一视频隔离会重复传输大量图像信息导致网络带宽被大量占用，本方案中使用图像“复制分发”功能，可大量节约网络带宽。•按照统计：•每个客户端浏览16路图像，在5个客户端同时浏览时，浏览的前端图像源在40～50个；此时节约网络带宽为：100%-50/16×5=37.5%；•每个客户端浏览16路图像，在20个客户端同时浏览时，浏览的前端图像源在80～100个；此时节约网络带宽为：100%-100/16×20=69%。•可见，在网络规模越大的视频平台系统中，本方案具备的网络带宽优势越大。MTP特点23高可管理性•方案中媒体传输单元可直接解析视频平台系统通信控制信令流，可识别媒体流中图像信息的关键帧与非关键帧。•在此基础上，本方案可对访问的用户进行基于用户身份、IP/MAC、时间段、目的摄像头的访问控制；可对每个用户的网络资源使用情况进行监控统计。•基于目前国内视频平台解决方案现状（各厂商标准不统一），本方案还在提供国内主流视频平台厂商协议支持的基础上提供对新的视频平台厂商扩展支持能力，通过界面配置及简单的快速开发即可实现对新的视频平台厂商协议支持，为未来的系统扩展提供冗余。网络无关性•众所周知，公安信息网使用了10的私有网络地址段进行规划，而在外部视频平台系统中也大量存在与公安网地址冲突的情况。•由于本方案将内外网之间的通信完全隔离切断，做到了内外网网络地址无关性，在实际项目实施中将为用户提供极大的便利。其他单一视频隔离设备从技术路线上分析即可知无法解决这一难题。MTP特点、优势目录培训目的安全视频交换系统-定义安全视频交换系统-功能及特性典型应用-视频边界接入平台视频接入链路的管理及使用2425认证磁盘阵列数据库中心监控中心矩阵解码器云台控制视频监控平台专网编码器编码器公安内网LDAPRAPKI/PMI应急指挥GIS应用系统视频终端视频用户认证服务器安全隔离网闸视频接入认证服务器交换机入侵监测集控探针防火墙身份认证网关集控系统数据库网闸交换机市政府城管局电子政务专网交换机视频交换系统公安内网与视频监控平台专网接入链路成功案例-公安网视频接入26成功案例-级联五大逻辑分区功能定位路由接入区实现各个外部链路与接入平台间连接；主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。边界保护区主要实现对接入平台的边界保护。主要安全功能为：实现网络身份认证；访问控制和权限管理；数据机密性和完整性保护；防御网络攻击和嗅探。应用服务区主要处理各类与应用相关的操作，是公安信息通信网对外信息服务、信息采集、数据交换的中间区域。主要安全功能为：作为接入终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能；防止对公安信息通信网的非法访问和信息泄露、对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。27安全隔离区实现公安信息通信网与应用服务区的安全隔离与信息交换。主要安全功能为：实现公安信息通信网与应用服务区的安全网络隔离；根据安全策略，对出入公安信息通信网的数据分别进行协议剥离、格式检查和内容过滤，实现公安信息通信网和应用服务区之间的安全数据交换。安全监测与管理区实现整个接入平台的安全监测、管理与维护。主要安全功能为：对接入平台运行情况进行安全监测与审计；对接入平台及业务信息进行注册管理，各种安全策略管理，流量监测，统计分析，安全审计等；接入平台内网络设备、安全设备的配置管理及日常运行维护；补丁升级，漏洞扫描与病毒防范五大逻辑分区功能定位28天行网安主要资质29计算机软件著作权登记证书三级销售许可证公安部信息安全产品检测中心的检测报告通过公安部组织测评的接入平台厂商目录培训目的安全视频交换系统-定义安全视频交换系统-功能及特性典型应用-视频边界接入平台视频接入链路的管理及使用3031•建设方案应按要求报公安部审批，审批通过后方可实施建设。•视频接入可纳入边界接入平台总体建设方案统一报批，或按单独链路报批。•经部审批通过的省级单位，可负责对其所辖地市级视频接入建设方案的审批。一、建前审批•严格参照公安部关于公安信息通信网边界接入平台的管理要求进行建设。•建设中各方应严格保密要求，并签订保密协议。•参建单位应通过公安部的安全审查，关键产品应通过公安部的认证二、建设管理•建成后，必须在通过公安部组织的安全测评后，方可正式投入运行。•应以《公安信息通信网边界接入平台安全规范（试行）》中有关的安全测评要求为基础三、建后测评•按照《公安信息通信网联网设备及应用系统注册管理办法》的要求进行注册。•通过公安信息通信网边界接入平台实现级联监控，加强运维管理，及时处理安全报警事件。四、运维管理视频接入链路安全管理要求32对接入系统运行状态进行监控管理•运行状态：正常、失败•并发：最高并发数量、当前并发数量•流量：每小时流量•请求数量：统计一小时内请求书•出错数量：统计用户请求失败数量•成功率：统计用户请求成功率•响应时间：用户发起请求后，从外网接入平台前置服务器接收请求开始计时，到内网返回业务系统的请求，并传输到外网接入平台终止的平均时长视频接入链路监控管理33视频接入链路配置管理远程一体化管理，单点配置。集中存储、管理系统的接入配置信息