《公共区域视频监控一体化平台建设方案.docx》由会员分享,可在线阅读,更多相关《公共区域视频监控一体化平台建设方案.docx(72页珍藏版)》请在优知文库上搜索。
1、公共区域视频监控一体化平台建设方案第1页共72页一、项目的建设目标4二、项目的总体要求4(一)项目的建设原则4(二)项目的总体架构和技术路线要求5(三)关键技术选型8(四)项目遵循依据和参考规范46三、项目的应用系统设计要求48(一)视频接入管理服务设计48(二)流式存储资源设计50(三)视频调度业务设计57(四)智能解析能力调度设计58四、项目的信息数据设计要求58五、项目的计算机及网络平台系统设计60六、项目的基础配套工程设计内容61七、项目建设内容说明61(一)本项目建设规模61(二)项目采购清单说明61八、项目的建设及运行管理69(一)设置运维机构69(二)运维方式69(三)运维服务基
2、本要求70(四)人员配置71九、项目的培训要求711、培训目标712、培训对象713、培训方式714、培训内容71十、项目验收72一、项目的建设目标本项目根据公共区域视频平台整合建设标准要求,依托现有视频专网能力,进行升级改造,保障整体视频接入的扁平化,以及起到全县视频统一调度和统建共享的工作。建设目标是致力于打造一个基础的、强大的、开放的公共区域视频监控一体化平台,充分释放视频资源的价值,赋能各个行业快速构建可视化、智能化的视频应用能力,提升网络安全水平。在“雪亮工程”基础上,实行统一整体规划、统一技术标准、统一建设运维、统一平台共享、统一监督管理“五统一”改革,推进公共区域视频监控建设一体
3、化,打造“雪亮工程”2.O版本,实现“最大化集约建设、最大化节约成本、最大化提升效率、最大化安全应用”,推动公共区域视频监控建设运行高质量发展。二、项目的总体要求(一)项目的建设原则1、降低风险原则各域边界是风险控制点,具备纵深防御机制;安全域的划分,可以更好的控制网络安全风险,将各个域所爆发的安全问题,仅仅发生在该域范围内,降低系统风险。2、分权制衡原则在信息系统中,基于域的概念,进行整体网络的额划分,而对所有权限也应该按照所划区域,进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。3、利于拓展原则所部署的安全系统,从总体上进行把控
4、,充分考虑到后期的业务拓展与新型系统威胁趋势,提前预留相应的可拓展接口,利于系统的功能、性能扩充。4、职责清晰原则进行安全保障责任划分,明确个人工作职责。杜绝产生推责、职能不清的情况,保证发生安全事件清晰定责。5适度安全原则安全保护应适度,各个域的保护水平应根据其重要级别和业务功能来确定,根据应用、系统、网络和机房的具体情况来设计,任何信息系统都不能做到绝对的安全,过多的安全要求必将造成易用性降低和运行的复杂性,因此要在安全需求、安全风险和易用性之间进行平衡和折中。6、利旧原则坚持利旧原有所有安全设备,除非原有设备不能进行业务拓展的要求,统筹兼顾,节省成本,在保障信息系统安全运营的同时,有效杜
5、绝重复建设的情况发生。7、技术与管理并重原则在安全系统建设过程中,技术与管理都是安全体系的重要组成部分,疏忽哪方面的工作都会带来安全风险及安全隐患,因此两方面工作需要同步建设。(二)项目的总体架构和技术路线要求(1)总体技术框架总体技术框架以“四横三纵”为整体技术框架,通过对杭州城市视频平台及物联设备的数据汇聚、数据治理、平台服务、城市应用为主要建设方向,以标准规范体系、运维服务体系、安全管理体系来规范和标准整体框架建设。布建讦价指标体系运难探计接入规电物注谀%应用场牺玛嘘褥点金景树阑Kfiflft网放苞S用*#*All设餐运雄管理资产节理1知认卑管理税懒置诊Bi应用安全边界安全网络安全就知D
6、l网也物庆设备联 网饯范主机安全物联设符安 全(2)平台与网络规划架构根据公共区域视频平台整合建设标准中要求,各行业单位视频应接入各运营商平台进行汇聚,然后由运营商汇聚完各自推送市局,并推送一份视频到新建的公安专网视频整合平台内,与市局视频调度平台做对接。后期经过改造整体改造后平台架构图如下:公安视频专网平台将满足直接汇聚各委办局/行业的视频监控,汇聚后推送市局,同时通过目录推送或客户端访问的方式实现将可共享的视频共享给各委办局或行业的能力。同时若有其他区县来调取的视频,通过向专网视频整合平台寻址,能够实现从各一级平台向上发流的能力;因此需要从接入性能、接入授权数量、共享转发能力、存储、运维等
7、方面进行扩容改造。(3)网络安全规划架构参考公共区域视频安全建设标准,结合公安视频专网实际情况,下图为本次视频专网网络安全规划设计架构图,如下图所示:U i T Bl 防火Hl (*) r视频专网网络安全加固方案万兆线边界舫火塘方泥敢整以界(BW)(已初0 I tIT* 万龙BdR边界 防火墙(*) (BU) (BA)年宵区-sa-米米安全运营中心Elt南计 () 系统应用区1、前端接入区规划建设对前端视频监控点位进行统一安全监管。2、系统应用区规划建设利旧现网1台PC准入控制系统,利旧现网PC杀毒软件,利旧现网数据库审计,新增1套物联网安全监测平台,新增1台预警平台。3、安全运营中心规划建设
8、利旧现有1台日志审计系统,新增2台堡垒机。(三)关键技术选型1.【视频整合平台】平台基础服务:核心服务作为软件产品集成的基石,通过统一基础资源、统一人员管理、统一服务目录、统一安全认证的方式,提升软件产品的组合多样性,且保护了自身的灵活性。运行管理中心为软件产品安装部署、运行监控、运行维护方面提供保障,同时又为管理系统提供组件运行数据的支撑。中心是一个针对软件产品统一进行管理的平台,其本身由多种服务与工具组成,可提供应对多软件产品的管控,为用户提供一站式安装、运行、维护的服务。中心可将软件产品所在的服务器,组件包、资源包,以及客户端所在机器纳入并统一进行管理,并在运行时对服务器、组件、服务进行
9、监控,实时反馈给用户其运行状态。用户亦可通过中心获取软件产品在运行时产生的问题,且中心提供解决问题的途径,便于用户解决问题,提升工作效率,保障系统的正常运行。日志服务:提供日志存储、日志查询、日志导出、日志分析服务。全文检索服务:1、分布式的搜索引擎和数据分析引擎2、全文检索,结构化检索,数据分析3、对海量数据进行近实时的处理应用&云远构架服务:1 .统一用户中心提供统一的用户管理体系,包含本地用户、AD域用户、三方用户集成等提供用户的统一目录管理与权限控制2 .统一身份认证中心提供统一标准的身份认证体系,支持三方登录集成,逐步支持OAUth2.0、OPENIDSAML等协议支持经典的密码安全
10、认证支持AD域用户密码安全认证支持PKI体系证书认证,包含常见的三所与吉大厂商集成提供统一的认证扩展接口,与门户的登录部件扩展无缝衔接,支持三方自定义认证方式的集成对接提供统一的密码策略,支持各种常用的密码策略切换与扩展,包含SHA256、AES、ECDH、RSA等3.集中授权中心采用RBAC权限模型,提供统一的权限管理支持多级子管理员的权限配置,同时支持IPaSS应用级的权限域隔离支持运管菜单和自定义菜单的集成,并提供三端菜单权限控制支持资源区域的权限控制支持资源区域自定义扩展的权限控制支持组织人员权限控制支持数据字段权限控制设备接入框架:统一的设备接入标准框架,通过驱动模式在不影响已接入设
11、备稳定性的前提下,快速接入新设备,提供大容量编码设备、视频综合平台、门禁设备、门禁视频一体机、报警主机等设备的接入与管理能力。设备接入框架提供默认的设备管理页面,可对设备进行登记管理,支持对主动注册设备的自动发现功能;同时还提供设备管理接口,供应用组件开发具备各应用组件特色的设备管理页面。设备接入框架提供对框架中所管理的设备及驱动的状态监控,以及对所有驱动的禁用、启用、重启、设备迁移功能。设备接入框架还支持对接入服务的分组管理,实现对设备接入量的扩容。联网共享组件:专注于平台域间视频联网,基于标准协议与外域平台互联互通,支持视频通用标准协议(GBT28181-2011,GBT28181-201
12、6,DB33/T629-2011)以及行业视频标准协议。主要业务功能包括:域间注册与心跳、资源同步、实时预览、录像回放与控制、录像下载、语音广播、设备控制等。视频网管组件:视频网管组件专注于视频类设备的健康度巡检,包括编码设备、监控点的在线情况,录像完整性检测,视频质量诊断,并提供相应的统计报表。探针接入框架提供巡检计划、任务的统一调度,适配各类探针接入,满足不同类型物联网设备的巡检需求。视频点播组件:用于屏蔽对底层存储取流的差异,向中心存储服务获取并转发录像视频。2 .【平台硬件服务器】4210264GDDR4600GIOKSAS4(RAID_l)SSJBAIGbE2+10GbEX2550W
13、(l+l)2U16DIMM2U双路标准机架式服务器CPU:2颗intel至强系列处理器,核数210核,主频22.2GHZ内存:16G*4DDR4,16根内存插槽,最大支持扩展至2TB内存硬盘:4块600GIOK2.5寸SAS硬盘阵列卡:SASJBA卡,支持RAIDO/1/10PeIE扩展:最大可支持6个PCIE扩展插槽网口:2个千兆电口,2个万兆光口其他接口:1个RJ45管理接口,后置2个USB3.0接口,前置2个USB2.0接口,1个VGA接口电源:标配550W(1+1)高效钳金CRPS冗余电源3 .【物联网安全监测平台】指标项技术参数性能要求1)任务建立数量:任务并发数无限。2)数据处理性
14、能:60万并发会话。3)资产授权数量:默认支持探测资产数量20000个,最大可扩容到29998个。4)静态JS传感器:1个;5)动态JS传感器:1个;硬件要求1)规格:2U2)CPU:IntelE5-2620V4*23)内存:6*16G4)硬盘:2*240GSSD(Raid1)8*6TBSAS(Raid5)5)数据存储周期:180(天)6)电源:1+1冗余电源。7)网口数量:6*千兆电口+2*万兆光口,4个USB2.0接口,2个USB3.0接口,1个CONSOLE口。功能要求设备安全监测可进行自定义监测频率设置,并对全网设备进行安全检测。信令安全监测实现对全网视频设备进行不间断的视频信令安全检测,包括:信令审计支持对ONVIF、GB28181视频信令审计。高危信令监测一一对可能对视频设备、视频数据等造成影响的高危信令进行安全监测、分析与告警。异常信令监测一一对信令的来源、时间、频繁度等不同的角度进行综合分析,及时发现信令异常情况。边界安全监测实现不间断对全网进行边界安全检测,包括:违规外联监测一一可监测范围内终端的两网互通(同时连接内网和互联网)的行为,并可在两网互通监测平台子模块中定位其终端地址(内网IP和互联网IP)o网中网一一提供网中网分析,可监测视频网中存在的包括NAT设备等的私有局域网情况。边界安全监测一一可显示网闸设备、小型路由器、代理