【正文】 網絡質量方面的分析，因此我們建議在IP網絡基礎建設當中考慮以下因素：視頻點位分布以及視頻數據流對于網絡的影響視頻監(jiān)控的數據流向IP視頻監(jiān)控中不同業(yè)務的數據流向直接影響承載網絡的設計，在平安城市大組網環(huán)境下，IP視頻監(jiān)控的數據流向直接取決于各派出所與分局、XX公安局之間關于實時監(jiān)控與取證回放等方面的要求。實時監(jiān)控視頻查看：實時監(jiān)控視頻查看是指用戶通過監(jiān)控設備實時觀看特定攝像頭的監(jiān)控內容，在此業(yè)務中，前端攝像機把圖像數據轉為IP數據包，通過IP網絡發(fā)送到后端；后端DVR、視頻綜合平臺等負責將視頻顯示。取證回放： 取證回放是指將視頻存儲的錄像進行調閱，當出現(xiàn)突發(fā)事件時，分局、XX公安局可以調閱本地集中存儲或派出所存儲的錄像。了解到基本的數據流向后，我們在建設前期，針對不同派出所的點位數量不同，計算出相應的視頻流量，從而在網絡規(guī)劃期間提前進行應對。1）業(yè)務流量模型派出所、分局與XX公安局的監(jiān)控視頻實時查看、本地存儲。以及錄像視頻調用流量。下行流量（接收）一般情況下，派出所無需接收由XX公安局轉發(fā)的視頻，因此此流量可以忽略不計。上行流量（發(fā)送）包括派出所實時視頻流、存儲數據流、派出所到分局、分局到XX公安局的存儲及錄像調用流。2）網絡流量模型對于派出所或者分局的網絡設備來說，網絡流量模型為典型的匯聚模式，由各派處所點位將數據傳送到派出所中心機房，端口一般為百兆端口到千兆端口模式。重要點位采用裸光纖直連。對于XX公安局與各分局之間的設備來說，網絡端口一般為多千兆到多千兆模式，或者多千兆到萬兆端口上行模式。因此在前期建設當中，對于各分局需上傳圖像的數量等需要進行詳細統(tǒng)計，以便在設計時考慮到端口網絡容量等因素整體網絡服務水平指標確定考慮多媒體數據的帶寬需求，確定視頻源的數量、音視頻碼率大小、以及為可能的數據突發(fā)考慮帶寬冗余度?？紤]其他網絡服務水平指標，包括丟包率、抖動、時延、亂序。時延和抖動視覺實際上是靠眼睛的晶狀體成像，感光細胞感光，并且將光信號轉換為神經電流，傳回大腦引起人體視覺。當一定強度的光突然作用于視網膜時，人眼并不能立即產生穩(wěn)定的亮度感覺，而須經過一個短暫的變化過程才能達到穩(wěn)定的亮度感覺。在過渡過程中，亮度感覺先隨時間變化由小到大，達到最大值后，再回降到穩(wěn)定的亮度感覺值，而當作用于人眼的光線突然消失后，亮度感覺并非立即消失，亮度感覺并非立即消失，而是近似按指數規(guī)律下降而逐漸消失的。當光線消失后的視覺殘留現(xiàn)象稱為視覺暫留或視覺殘留。人眼視覺的暫留時間，，中介視覺是介于日視覺與夜視覺之間的狀態(tài)。眼睛在周期性的光脈沖刺激下，如果頻率不高，則會產生一明一暗的閃爍感覺，長期觀看容易疲勞。如果將光脈沖頻率提高到某一定值以上，由于視覺惰性，則不會再感覺到閃爍，不感覺到閃爍的最低頻率稱為臨界閃爍頻率（ Critical flicker frequency ），它主要與光脈沖的亮度、相鄰畫面的亮度、顏色的分布及其變化、觀察者畫面的距離和環(huán)境等有關。人眼最敏感的閃爍頻率在10～15Hz，臨界閃爍頻率為50Hz。大部分人在50Hz就已經感覺不到閃爍，而超過120Hz之后，基本沒有人可以感受到閃爍了。電影、電視正是利用視覺惰性原理產生活動圖像的。在電影中每秒放24幅固定的畫面，而電視每秒傳送25幅（PAL）或30幅圖像（NTSC），由于人眼的視學暫留特性，從而在大腦中形成了連續(xù)活動的圖像。同時，為了不產生閃爍感覺，在電影中每幅畫面曝光兩次，其閃爍頻率為fv=48Hz。電視中，采用隔行掃描方式，每幀（幅）畫面用兩場傳送，使場頻（fv=50Hz或60Hz）高于臨界閃爍頻率，因此正常的電影和電視都不會出現(xiàn)閃爍感覺，并能呈現(xiàn)較好連續(xù)活動的圖像?；贗P網絡的視頻應用同樣需要考慮人眼的視學暫留特性，我們可知，如果需要感受不到閃爍，每秒至少需要生成25幀圖像，那么每幀圖像之間的時間間隔就為40ms。根據ITUT ，音視頻傳輸雙向延時不超過300ms，即單向延時不超過150ms。而一旦單向時延超過200ms，用戶對于圖像質量的滿意度就直線下降。T ： ITUT 抖動（Jitter）是分組交換的必然結果，在音視頻數據的傳輸過程中，相鄰數據包接收時刻間隔不穩(wěn)定，從而產生抖動。抖動的產生一般和網絡的擁塞有關，但視頻解碼器/服務器性能變化，網絡線路出現(xiàn)擁擠，網絡設備性能變化都可以導致視頻流的抖動變化。實時性要求高的監(jiān)控網絡對于抖動極為敏感，在一個對時延敏感的網絡中，最理想的情況是抖動為0。觀測視頻流的抖動變化可以提前發(fā)現(xiàn)視頻傳輸質量惡化的趨勢。視頻監(jiān)控的實時視頻查看業(yè)務對于網絡傳輸的抖動非常敏感，在IP幀結構、25幀/秒、I幀間隔為25（即每秒1個I幀）、2M碼率的情況下，I幀大小約為30KB，P幀大小約為5KB，如果按每個數據包大小為1200byte計算，I幀需要26個報文、P幀需要5個報文，1秒內報文數目為146個，由于解碼端需要完整的幀信息才能解碼，則解碼端需要等待數據報文到達，如果報文傳輸出現(xiàn)抖動（前后報文到達時間間隔不一），I幀的26個報文每個都抖動幾ms到達，累計時間就比較可觀了，如果超過了緩存可以容納的等待時間，解碼端就需要準備接納下一幀數據了，未完整到達的前一幀數據將被完全丟棄，而造成丟幀。業(yè)務優(yōu)先級與QOS保障業(yè)務優(yōu)先級和QoS保障業(yè)務優(yōu)先級在不同類型的承載網絡都是需要的，對于IP視頻監(jiān)控而言，在專網部署模式下需要考慮監(jiān)控不同業(yè)務間的優(yōu)先級設計問題，比如視頻存儲對可靠性的要求就高于實時視頻；在非專網模式下需要考慮監(jiān)控業(yè)務和其他生產業(yè)務的優(yōu)先級設計問題，以免在數據傳輸中產生帶寬爭用和擁塞的情況。對于平安城市系統(tǒng)的視頻流業(yè)務而言，主要是由兩兩種，一種是實時視頻流，一種是存儲上傳流，由于業(yè)務側重點的不同，實時視頻流查看更看重視頻播放的流暢性，要求視頻數據報文能夠及時的到達，對于網絡時延的敏感度更高；而存儲上傳流則更看重數據的安全性和傳輸的可靠性，對于丟包率的容忍度較低。因此在網絡承載上，需要根據各自業(yè)務的特點提供不同的業(yè)務優(yōu)先級保障。基礎網絡系統(tǒng)的擴展需求需要了解整個視頻監(jiān)控系統(tǒng)可能的擴展需求，在網絡接入端口擴容、核心網擴展以及存儲系統(tǒng)擴展等方面留下必要的彈性空間。主要考慮因素有如下：1）點位擴容線路與端口預留2）派出所、XX分局、XX分局網絡設備交換能力預留3）存儲設備資源預留資源預留的主要依據可以根據項目發(fā)展以及對于監(jiān)控設備增量等方面考慮。視頻數據節(jié)點鏈路的可靠性需要了解在數據匯聚節(jié)點當中，對于數據鏈路可靠性的要求，例如匯聚節(jié)點可采用雙鏈路上傳熱備，核心節(jié)點數據可采用多鏈路捆綁增加數據帶寬，提高穩(wěn)定性等措施。EPON技術在平安城市當中的應用傳統(tǒng)的以太網交換機由于在光纖資源、維護、投資等方面的因素，已經不能夠很好地滿足視頻監(jiān)控接入網的需求。而EPON技術在平安城市建設當中有著傳輸遠距離可達數十公里，線路采用一個無源分路器實現(xiàn)多個監(jiān)控點共享光纖，以及大幅度降低光纜采購和建設成本等優(yōu)點，可以在建設當中予以考慮。 網絡安全解決方案1．安全風險分析漏洞入侵；帶入病毒；源路由欺騙，特洛依木馬攻擊；DDOS攻擊等。1）黑客對于來自于社會代辦點外的黑客攻擊：包括對于服務器所提供的服務內容進行攻擊和惡意篡改，以及對于服務本身的攻擊（如DOS、DDOS攻擊），前者不但會影響的正常工作，同時還可能會導致服務以至于服務器本身的崩潰，使之不能正常工作，造成數據的丟失等其他一系列損失。2）病毒的傳播目前，計算機病毒的種類與傳播媒介日益增多，一旦感染蠕蟲病毒將對市公安局企業(yè)內網的正常運行帶來極大威脅。目前以Nimda為例，在眾多的病毒傳播媒介中，他利用網絡文件共享、電子郵件等通訊手段進行傳輸。加之市公安局網絡系統(tǒng)的使用環(huán)境極為復雜，因此，來自其他網絡的計算機病毒已經構成了對于市公安局網絡系統(tǒng)的嚴重威脅。3）訪問控制針對市公安局內部的訪問，為了獲得更好的安全性，需要考慮多種訪問控制： 如何從眾多訪問中區(qū)分訪問的合法性。也就是如何確定用戶正確、合法的身份。如何保證合法的訪問的授權和訪問控制。如何對合法的訪問進行審計和日志。如果，系統(tǒng)暴露在外未作防范，將無法控制網絡和業(yè)務的安全。如黑客非法訪問業(yè)務服務器，合法訪問業(yè)務服務器的訪問者訪問非授權系統(tǒng)，等等。4）非授權訪問沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統(tǒng)訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。5）信息泄漏或丟失信息泄漏或丟失是指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。6）破壞數據完整性以非法手段竊得對數據的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。7）數據交換與各個與業(yè)務單位要做數據交換，加大了對內網的威脅，黑客的滲透，病毒的傳播等，也同樣威脅著內網的安全。如上所述，本網絡安全方案主要解決網絡邊界的安全問題，因此該安全解決方案主要由防火墻系統(tǒng)構成。通過這些子系統(tǒng)協(xié)調工作，有力保證市公安局業(yè)務網絡在物理層、網絡層、系統(tǒng)層、應用層的安全；防火墻系統(tǒng)在市公安局監(jiān)控網絡中應該履行的安全職責如下：（1）訪問控制：用于實現(xiàn)網絡邊界的隔離與訪問控制，可解決專網的部分網絡安全、應用系統(tǒng)安全和重要服務器安全等方面的問題；（2）防病毒：支持蠕蟲病毒阻斷（如工作于TCP協(xié)議的紅色代碼、震蕩波病毒等），支持郵件病毒的過濾功能，并可支持擴展，支持對ftp、方式進行傳播的病毒的過濾；（3）抗攻擊：可以實現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析；（4）提供IDS/IPS入侵保護及抗攻擊能力：支持對常見攻擊的檢測和阻斷，能夠對當前流行的攻擊手段諸如Atkresp, backdoor, info, porn, scan等進行保護；（5）支持深度內容過濾：具備HTTP、FTP、SMTP、POP3協(xié)議的內容過濾功能，保護終端用戶合法有效地使用各種網絡資源；（6）診斷和故障排除：支持本地CONSOLE口，支持遠程電話撥號撥入（AUX口）進行診斷和故障排除；（7）升級：支持對于防病毒、IDS/IPS、VPN等模塊的無縫升級；（8）安全管理系統(tǒng)：其核心是安全管理平臺系統(tǒng)，用于實現(xiàn)對市公安局網絡中防火墻等安全設備、網絡設備和主機進行集中管理和監(jiān)控，從而實現(xiàn)安全管理過程中的集中實時狀態(tài)監(jiān)測，動態(tài)策略調整，綜合安全審計以及恰當及時的威脅響應，充分發(fā)揮整個安全體系的整體防護效能。2．網絡安全結構具備網絡信息的完整性，要求用戶接入或發(fā)出的信息必須完整地、準確地在指定有限范圍內傳播。結合本方案網絡拓撲結構，本方案的網絡安全設計采用了網閘技術、防火墻、入侵保護和殺毒等技術，以實現(xiàn)對整個監(jiān)控網絡的保護。整體網絡安全結構拓撲圖如下：1）網閘隔離的方式根據公安部的要求，采用網閘隔離系統(tǒng)，可以安全地將公安專網數據傳輸到監(jiān)控網絡。網閘隔離系統(tǒng)主要有兩個工作狀態(tài)：存儲狀態(tài)和轉發(fā)狀態(tài)。在監(jiān)控中心放置公安專網轉發(fā)服務器，選擇公安內網需要調用的視頻流，并傳送到隔離網閘系統(tǒng)，隔離網閘系統(tǒng)在此時刻只與監(jiān)控專網轉發(fā)服務器相連，并將單純的視頻流數據以文件的形式提取出來，存儲到存儲設備上，完成存儲的工作。然后斷開與外網的連接，進入轉發(fā)狀態(tài)。在此狀態(tài)下，隔離網閘系統(tǒng)與公安專網建立連接，并將存儲設備上的視頻流文件轉發(fā)到公安專網轉發(fā)服務器上，完成視頻流轉發(fā)工作。由于隔離網閘在工作狀態(tài)下時，只與監(jiān)控專網或者公安專網中的一個網絡相連；數據是以單純的文件形式流動；且數據流是單向流動的，由公安專網向監(jiān)控專網傳輸數據流，這樣能夠保證公安內網無法向監(jiān)控專網傳輸數據，從而保證了監(jiān)控專網的安全。系統(tǒng)示意圖如下： 隔離網閘示意圖 2）VLAN 防火墻 入侵檢測考慮整個項目的投資，為提高方案的性價比，同時考慮到后期各縣接入的情況，設計考慮充分利用網絡運營商已有的數據傳輸網絡，并通過匯聚設備實現(xiàn)二層VLAN隔離，直接接入到為此項目建設的傳輸網絡中，保障網絡安全。防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網絡級提供訪問控制，但好幾個通信端口都是開放的。借助這些端口，外部用戶能夠與機構內的交換機通信。例如，郵件和Web服務器都要求，外部能夠訪問某些端口。通過這些端口，黑客可以穿過防火墻攻擊服務器，將其作為公司網絡的入口。入侵保護系統(tǒng)（NIPS）是防火墻的補充解決方案，可以防止網絡基礎設施（路由器、交換機和網絡帶寬）和服務器（操作系統(tǒng)和應用層）受到襲擊?？紤]到襲擊技術多種多樣，黑客數量只增不減，必須采用全面的解決方案才有有效預防黑客的襲擊。本方案建議在監(jiān)控專網與防火墻之間設置一臺入侵保護系統(tǒng)。3）防病毒病毒是目前計算機網絡系統(tǒng)的最大風險之一，因此在各級監(jiān)控中心部署強有力的防病毒系統(tǒng)是非常必要的。該防病毒系統(tǒng)應該能夠提供高性能的防護和靈活性，保護網關、服務器和工作站的安全；它應該是一個完善的安全解決方案，提供先進技術來保護網絡中的各個層次；它應該能夠提供集中化的策略管理，為整個公安專網的工作站和網絡服務器提供可擴展、跨平臺的病毒防護。本方案采用公安專網所使用的防病毒軟件，由于視頻監(jiān)控專網不與互聯(lián)網相連，因此我們考慮采用公安專網內的防病毒服務器通過網閘對我們設置的病毒庫服務器進行更新。防病毒軟件的介紹很多，