【正文】 網(wǎng)絡(luò)質(zhì)量方面的分析，因此我們建議在IP網(wǎng)絡(luò)基礎(chǔ)建設(shè)當(dāng)中考慮以下因素：視頻點位分布以及視頻數(shù)據(jù)流對于網(wǎng)絡(luò)的影響視頻監(jiān)控的數(shù)據(jù)流向IP視頻監(jiān)控中不同業(yè)務(wù)的數(shù)據(jù)流向直接影響承載網(wǎng)絡(luò)的設(shè)計，在平安城市大組網(wǎng)環(huán)境下，IP視頻監(jiān)控的數(shù)據(jù)流向直接取決于各派出所與分局、XX公安局之間關(guān)于實時監(jiān)控與取證回放等方面的要求。實時監(jiān)控視頻查看：實時監(jiān)控視頻查看是指用戶通過監(jiān)控設(shè)備實時觀看特定攝像頭的監(jiān)控內(nèi)容，在此業(yè)務(wù)中，前端攝像機把圖像數(shù)據(jù)轉(zhuǎn)為IP數(shù)據(jù)包，通過IP網(wǎng)絡(luò)發(fā)送到后端；后端DVR、視頻綜合平臺等負責(zé)將視頻顯示。取證回放： 取證回放是指將視頻存儲的錄像進行調(diào)閱，當(dāng)出現(xiàn)突發(fā)事件時，分局、XX公安局可以調(diào)閱本地集中存儲或派出所存儲的錄像。了解到基本的數(shù)據(jù)流向后，我們在建設(shè)前期，針對不同派出所的點位數(shù)量不同，計算出相應(yīng)的視頻流量，從而在網(wǎng)絡(luò)規(guī)劃期間提前進行應(yīng)對。1）業(yè)務(wù)流量模型派出所、分局與XX公安局的監(jiān)控視頻實時查看、本地存儲。以及錄像視頻調(diào)用流量。下行流量（接收）一般情況下，派出所無需接收由XX公安局轉(zhuǎn)發(fā)的視頻，因此此流量可以忽略不計。上行流量（發(fā)送）包括派出所實時視頻流、存儲數(shù)據(jù)流、派出所到分局、分局到XX公安局的存儲及錄像調(diào)用流。2）網(wǎng)絡(luò)流量模型對于派出所或者分局的網(wǎng)絡(luò)設(shè)備來說，網(wǎng)絡(luò)流量模型為典型的匯聚模式，由各派處所點位將數(shù)據(jù)傳送到派出所中心機房，端口一般為百兆端口到千兆端口模式。重要點位采用裸光纖直連。對于XX公安局與各分局之間的設(shè)備來說，網(wǎng)絡(luò)端口一般為多千兆到多千兆模式，或者多千兆到萬兆端口上行模式。因此在前期建設(shè)當(dāng)中，對于各分局需上傳圖像的數(shù)量等需要進行詳細統(tǒng)計，以便在設(shè)計時考慮到端口網(wǎng)絡(luò)容量等因素整體網(wǎng)絡(luò)服務(wù)水平指標確定考慮多媒體數(shù)據(jù)的帶寬需求，確定視頻源的數(shù)量、音視頻碼率大小、以及為可能的數(shù)據(jù)突發(fā)考慮帶寬冗余度。考慮其他網(wǎng)絡(luò)服務(wù)水平指標，包括丟包率、抖動、時延、亂序。時延和抖動視覺實際上是靠眼睛的晶狀體成像，感光細胞感光，并且將光信號轉(zhuǎn)換為神經(jīng)電流，傳回大腦引起人體視覺。當(dāng)一定強度的光突然作用于視網(wǎng)膜時，人眼并不能立即產(chǎn)生穩(wěn)定的亮度感覺，而須經(jīng)過一個短暫的變化過程才能達到穩(wěn)定的亮度感覺。在過渡過程中，亮度感覺先隨時間變化由小到大，達到最大值后，再回降到穩(wěn)定的亮度感覺值，而當(dāng)作用于人眼的光線突然消失后，亮度感覺并非立即消失，亮度感覺并非立即消失，而是近似按指數(shù)規(guī)律下降而逐漸消失的。當(dāng)光線消失后的視覺殘留現(xiàn)象稱為視覺暫留或視覺殘留。人眼視覺的暫留時間，，中介視覺是介于日視覺與夜視覺之間的狀態(tài)。眼睛在周期性的光脈沖刺激下，如果頻率不高，則會產(chǎn)生一明一暗的閃爍感覺，長期觀看容易疲勞。如果將光脈沖頻率提高到某一定值以上，由于視覺惰性，則不會再感覺到閃爍，不感覺到閃爍的最低頻率稱為臨界閃爍頻率（ Critical flicker frequency ），它主要與光脈沖的亮度、相鄰畫面的亮度、顏色的分布及其變化、觀察者畫面的距離和環(huán)境等有關(guān)。人眼最敏感的閃爍頻率在10～15Hz，臨界閃爍頻率為50Hz。大部分人在50Hz就已經(jīng)感覺不到閃爍，而超過120Hz之后，基本沒有人可以感受到閃爍了。電影、電視正是利用視覺惰性原理產(chǎn)生活動圖像的。在電影中每秒放24幅固定的畫面，而電視每秒傳送25幅（PAL）或30幅圖像（NTSC），由于人眼的視學(xué)暫留特性，從而在大腦中形成了連續(xù)活動的圖像。同時，為了不產(chǎn)生閃爍感覺，在電影中每幅畫面曝光兩次，其閃爍頻率為fv=48Hz。電視中，采用隔行掃描方式，每幀（幅）畫面用兩場傳送，使場頻（fv=50Hz或60Hz）高于臨界閃爍頻率，因此正常的電影和電視都不會出現(xiàn)閃爍感覺，并能呈現(xiàn)較好連續(xù)活動的圖像?；贗P網(wǎng)絡(luò)的視頻應(yīng)用同樣需要考慮人眼的視學(xué)暫留特性，我們可知，如果需要感受不到閃爍，每秒至少需要生成25幀圖像，那么每幀圖像之間的時間間隔就為40ms。根據(jù)ITUT ，音視頻傳輸雙向延時不超過300ms，即單向延時不超過150ms。而一旦單向時延超過200ms，用戶對于圖像質(zhì)量的滿意度就直線下降。T ： ITUT 抖動（Jitter）是分組交換的必然結(jié)果，在音視頻數(shù)據(jù)的傳輸過程中，相鄰數(shù)據(jù)包接收時刻間隔不穩(wěn)定，從而產(chǎn)生抖動。抖動的產(chǎn)生一般和網(wǎng)絡(luò)的擁塞有關(guān)，但視頻解碼器/服務(wù)器性能變化，網(wǎng)絡(luò)線路出現(xiàn)擁擠，網(wǎng)絡(luò)設(shè)備性能變化都可以導(dǎo)致視頻流的抖動變化。實時性要求高的監(jiān)控網(wǎng)絡(luò)對于抖動極為敏感，在一個對時延敏感的網(wǎng)絡(luò)中，最理想的情況是抖動為0。觀測視頻流的抖動變化可以提前發(fā)現(xiàn)視頻傳輸質(zhì)量惡化的趨勢。視頻監(jiān)控的實時視頻查看業(yè)務(wù)對于網(wǎng)絡(luò)傳輸?shù)亩秳臃浅Ｃ舾?，在IP幀結(jié)構(gòu)、25幀/秒、I幀間隔為25（即每秒1個I幀）、2M碼率的情況下，I幀大小約為30KB，P幀大小約為5KB，如果按每個數(shù)據(jù)包大小為1200byte計算，I幀需要26個報文、P幀需要5個報文，1秒內(nèi)報文數(shù)目為146個，由于解碼端需要完整的幀信息才能解碼，則解碼端需要等待數(shù)據(jù)報文到達，如果報文傳輸出現(xiàn)抖動（前后報文到達時間間隔不一），I幀的26個報文每個都抖動幾ms到達，累計時間就比較可觀了，如果超過了緩存可以容納的等待時間，解碼端就需要準備接納下一幀數(shù)據(jù)了，未完整到達的前一幀數(shù)據(jù)將被完全丟棄，而造成丟幀。業(yè)務(wù)優(yōu)先級與QOS保障業(yè)務(wù)優(yōu)先級和QoS保障業(yè)務(wù)優(yōu)先級在不同類型的承載網(wǎng)絡(luò)都是需要的，對于IP視頻監(jiān)控而言，在專網(wǎng)部署模式下需要考慮監(jiān)控不同業(yè)務(wù)間的優(yōu)先級設(shè)計問題，比如視頻存儲對可靠性的要求就高于實時視頻；在非專網(wǎng)模式下需要考慮監(jiān)控業(yè)務(wù)和其他生產(chǎn)業(yè)務(wù)的優(yōu)先級設(shè)計問題，以免在數(shù)據(jù)傳輸中產(chǎn)生帶寬爭用和擁塞的情況。對于平安城市系統(tǒng)的視頻流業(yè)務(wù)而言，主要是由兩兩種，一種是實時視頻流，一種是存儲上傳流，由于業(yè)務(wù)側(cè)重點的不同，實時視頻流查看更看重視頻播放的流暢性，要求視頻數(shù)據(jù)報文能夠及時的到達，對于網(wǎng)絡(luò)時延的敏感度更高；而存儲上傳流則更看重數(shù)據(jù)的安全性和傳輸?shù)目煽啃裕瑢τ趤G包率的容忍度較低。因此在網(wǎng)絡(luò)承載上，需要根據(jù)各自業(yè)務(wù)的特點提供不同的業(yè)務(wù)優(yōu)先級保障?；A(chǔ)網(wǎng)絡(luò)系統(tǒng)的擴展需求需要了解整個視頻監(jiān)控系統(tǒng)可能的擴展需求，在網(wǎng)絡(luò)接入端口擴容、核心網(wǎng)擴展以及存儲系統(tǒng)擴展等方面留下必要的彈性空間。主要考慮因素有如下：1）點位擴容線路與端口預(yù)留2）派出所、XX分局、XX分局網(wǎng)絡(luò)設(shè)備交換能力預(yù)留3）存儲設(shè)備資源預(yù)留資源預(yù)留的主要依據(jù)可以根據(jù)項目發(fā)展以及對于監(jiān)控設(shè)備增量等方面考慮。視頻數(shù)據(jù)節(jié)點鏈路的可靠性需要了解在數(shù)據(jù)匯聚節(jié)點當(dāng)中，對于數(shù)據(jù)鏈路可靠性的要求，例如匯聚節(jié)點可采用雙鏈路上傳熱備，核心節(jié)點數(shù)據(jù)可采用多鏈路捆綁增加數(shù)據(jù)帶寬，提高穩(wěn)定性等措施。EPON技術(shù)在平安城市當(dāng)中的應(yīng)用傳統(tǒng)的以太網(wǎng)交換機由于在光纖資源、維護、投資等方面的因素，已經(jīng)不能夠很好地滿足視頻監(jiān)控接入網(wǎng)的需求。而EPON技術(shù)在平安城市建設(shè)當(dāng)中有著傳輸遠距離可達數(shù)十公里，線路采用一個無源分路器實現(xiàn)多個監(jiān)控點共享光纖，以及大幅度降低光纜采購和建設(shè)成本等優(yōu)點，可以在建設(shè)當(dāng)中予以考慮。 網(wǎng)絡(luò)安全解決方案1．安全風(fēng)險分析漏洞入侵；帶入病毒；源路由欺騙，特洛依木馬攻擊；DDOS攻擊等。1）黑客對于來自于社會代辦點外的黑客攻擊：包括對于服務(wù)器所提供的服務(wù)內(nèi)容進行攻擊和惡意篡改，以及對于服務(wù)本身的攻擊（如DOS、DDOS攻擊），前者不但會影響的正常工作，同時還可能會導(dǎo)致服務(wù)以至于服務(wù)器本身的崩潰，使之不能正常工作，造成數(shù)據(jù)的丟失等其他一系列損失。2）病毒的傳播目前，計算機病毒的種類與傳播媒介日益增多，一旦感染蠕蟲病毒將對市公安局企業(yè)內(nèi)網(wǎng)的正常運行帶來極大威脅。目前以Nimda為例，在眾多的病毒傳播媒介中，他利用網(wǎng)絡(luò)文件共享、電子郵件等通訊手段進行傳輸。加之市公安局網(wǎng)絡(luò)系統(tǒng)的使用環(huán)境極為復(fù)雜，因此，來自其他網(wǎng)絡(luò)的計算機病毒已經(jīng)構(gòu)成了對于市公安局網(wǎng)絡(luò)系統(tǒng)的嚴重威脅。3）訪問控制針對市公安局內(nèi)部的訪問，為了獲得更好的安全性，需要考慮多種訪問控制： 如何從眾多訪問中區(qū)分訪問的合法性。也就是如何確定用戶正確、合法的身份。如何保證合法的訪問的授權(quán)和訪問控制。如何對合法的訪問進行審計和日志。如果，系統(tǒng)暴露在外未作防范，將無法控制網(wǎng)絡(luò)和業(yè)務(wù)的安全。如黑客非法訪問業(yè)務(wù)服務(wù)器，合法訪問業(yè)務(wù)服務(wù)器的訪問者訪問非授權(quán)系統(tǒng)，等等。4）非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。5）信息泄漏或丟失信息泄漏或丟失是指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。6）破壞數(shù)據(jù)完整性以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。7）數(shù)據(jù)交換與各個與業(yè)務(wù)單位要做數(shù)據(jù)交換，加大了對內(nèi)網(wǎng)的威脅，黑客的滲透，病毒的傳播等，也同樣威脅著內(nèi)網(wǎng)的安全。如上所述，本網(wǎng)絡(luò)安全方案主要解決網(wǎng)絡(luò)邊界的安全問題，因此該安全解決方案主要由防火墻系統(tǒng)構(gòu)成。通過這些子系統(tǒng)協(xié)調(diào)工作，有力保證市公安局業(yè)務(wù)網(wǎng)絡(luò)在物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的安全；防火墻系統(tǒng)在市公安局監(jiān)控網(wǎng)絡(luò)中應(yīng)該履行的安全職責(zé)如下：（1）訪問控制：用于實現(xiàn)網(wǎng)絡(luò)邊界的隔離與訪問控制，可解決專網(wǎng)的部分網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全和重要服務(wù)器安全等方面的問題；（2）防病毒：支持蠕蟲病毒阻斷（如工作于TCP協(xié)議的紅色代碼、震蕩波病毒等），支持郵件病毒的過濾功能，并可支持擴展，支持對ftp、方式進行傳播的病毒的過濾；（3）抗攻擊：可以實現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析；（4）提供IDS/IPS入侵保護及抗攻擊能力：支持對常見攻擊的檢測和阻斷，能夠?qū)Ξ?dāng)前流行的攻擊手段諸如Atkresp, backdoor, info, porn, scan等進行保護；（5）支持深度內(nèi)容過濾：具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能，保護終端用戶合法有效地使用各種網(wǎng)絡(luò)資源；（6）診斷和故障排除：支持本地CONSOLE口，支持遠程電話撥號撥入（AUX口）進行診斷和故障排除；（7）升級：支持對于防病毒、IDS/IPS、VPN等模塊的無縫升級；（8）安全管理系統(tǒng)：其核心是安全管理平臺系統(tǒng)，用于實現(xiàn)對市公安局網(wǎng)絡(luò)中防火墻等安全設(shè)備、網(wǎng)絡(luò)設(shè)備和主機進行集中管理和監(jiān)控，從而實現(xiàn)安全管理過程中的集中實時狀態(tài)監(jiān)測，動態(tài)策略調(diào)整，綜合安全審計以及恰當(dāng)及時的威脅響應(yīng)，充分發(fā)揮整個安全體系的整體防護效能。2．網(wǎng)絡(luò)安全結(jié)構(gòu)具備網(wǎng)絡(luò)信息的完整性，要求用戶接入或發(fā)出的信息必須完整地、準確地在指定有限范圍內(nèi)傳播。結(jié)合本方案網(wǎng)絡(luò)拓撲結(jié)構(gòu)，本方案的網(wǎng)絡(luò)安全設(shè)計采用了網(wǎng)閘技術(shù)、防火墻、入侵保護和殺毒等技術(shù)，以實現(xiàn)對整個監(jiān)控網(wǎng)絡(luò)的保護。整體網(wǎng)絡(luò)安全結(jié)構(gòu)拓撲圖如下：1）網(wǎng)閘隔離的方式根據(jù)公安部的要求，采用網(wǎng)閘隔離系統(tǒng)，可以安全地將公安專網(wǎng)數(shù)據(jù)傳輸?shù)奖O(jiān)控網(wǎng)絡(luò)。網(wǎng)閘隔離系統(tǒng)主要有兩個工作狀態(tài)：存儲狀態(tài)和轉(zhuǎn)發(fā)狀態(tài)。在監(jiān)控中心放置公安專網(wǎng)轉(zhuǎn)發(fā)服務(wù)器，選擇公安內(nèi)網(wǎng)需要調(diào)用的視頻流，并傳送到隔離網(wǎng)閘系統(tǒng)，隔離網(wǎng)閘系統(tǒng)在此時刻只與監(jiān)控專網(wǎng)轉(zhuǎn)發(fā)服務(wù)器相連，并將單純的視頻流數(shù)據(jù)以文件的形式提取出來，存儲到存儲設(shè)備上，完成存儲的工作。然后斷開與外網(wǎng)的連接，進入轉(zhuǎn)發(fā)狀態(tài)。在此狀態(tài)下，隔離網(wǎng)閘系統(tǒng)與公安專網(wǎng)建立連接，并將存儲設(shè)備上的視頻流文件轉(zhuǎn)發(fā)到公安專網(wǎng)轉(zhuǎn)發(fā)服務(wù)器上，完成視頻流轉(zhuǎn)發(fā)工作。由于隔離網(wǎng)閘在工作狀態(tài)下時，只與監(jiān)控專網(wǎng)或者公安專網(wǎng)中的一個網(wǎng)絡(luò)相連；數(shù)據(jù)是以單純的文件形式流動；且數(shù)據(jù)流是單向流動的，由公安專網(wǎng)向監(jiān)控專網(wǎng)傳輸數(shù)據(jù)流，這樣能夠保證公安內(nèi)網(wǎng)無法向監(jiān)控專網(wǎng)傳輸數(shù)據(jù)，從而保證了監(jiān)控專網(wǎng)的安全。系統(tǒng)示意圖如下： 隔離網(wǎng)閘示意圖 2）VLAN 防火墻 入侵檢測考慮整個項目的投資，為提高方案的性價比，同時考慮到后期各縣接入的情況，設(shè)計考慮充分利用網(wǎng)絡(luò)運營商已有的數(shù)據(jù)傳輸網(wǎng)絡(luò)，并通過匯聚設(shè)備實現(xiàn)二層VLAN隔離，直接接入到為此項目建設(shè)的傳輸網(wǎng)絡(luò)中，保障網(wǎng)絡(luò)安全。防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網(wǎng)絡(luò)級提供訪問控制，但好幾個通信端口都是開放的。借助這些端口，外部用戶能夠與機構(gòu)內(nèi)的交換機通信。例如，郵件和Web服務(wù)器都要求，外部能夠訪問某些端口。通過這些端口，黑客可以穿過防火墻攻擊服務(wù)器，將其作為公司網(wǎng)絡(luò)的入口。入侵保護系統(tǒng)（NIPS）是防火墻的補充解決方案，可以防止網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由器、交換機和網(wǎng)絡(luò)帶寬）和服務(wù)器（操作系統(tǒng)和應(yīng)用層）受到襲擊。考慮到襲擊技術(shù)多種多樣，黑客數(shù)量只增不減，必須采用全面的解決方案才有有效預(yù)防黑客的襲擊。本方案建議在監(jiān)控專網(wǎng)與防火墻之間設(shè)置一臺入侵保護系統(tǒng)。3）防病毒病毒是目前計算機網(wǎng)絡(luò)系統(tǒng)的最大風(fēng)險之一，因此在各級監(jiān)控中心部署強有力的防病毒系統(tǒng)是非常必要的。該防病毒系統(tǒng)應(yīng)該能夠提供高性能的防護和靈活性，保護網(wǎng)關(guān)、服務(wù)器和工作站的安全；它應(yīng)該是一個完善的安全解決方案，提供先進技術(shù)來保護網(wǎng)絡(luò)中的各個層次；它應(yīng)該能夠提供集中化的策略管理，為整個公安專網(wǎng)的工作站和網(wǎng)絡(luò)服務(wù)器提供可擴展、跨平臺的病毒防護。本方案采用公安專網(wǎng)所使用的防病毒軟件，由于視頻監(jiān)控專網(wǎng)不與互聯(lián)網(wǎng)相連，因此我們考慮采用公安專網(wǎng)內(nèi)的防病毒服務(wù)器通過網(wǎng)閘對我們設(shè)置的病毒庫服務(wù)器進行更新。防病毒軟件的介紹很多，