【正文】 硬件設備安全性 前端采。當有多個本域用戶需要控制同一外域設備時,根據域管理員為用戶分配的權限，權限最高的用戶或者最先操作的用戶（多個用戶權限相同時）能夠向外域設備發(fā)控制請求，此請求到達設備歸屬域后，由設備歸屬域根據歸屬域權限控制策略進行管理。當外域用戶和本域用戶發(fā)生搶占動作時：如果外域權限高于本域用戶權限，外域用戶獲得控制權；如果外域用戶權限等于或者低于本域用戶權限，則本域用戶獲得控制權。本域管理員分配給不同外域的權限可以不同。 域間用戶操作優(yōu)先級管理 當有多個用戶（包括本域用戶和外域用戶）對同一個設備進行云臺控制等操作時，需要根據一定的策略對設備操作控制權進行管理。本地用戶登陸后可以看到有訪問權限的所有資源，包括本域和外域設備資源，用戶對這些資源的訪問控制操作是一樣的。 域子系統(tǒng)可控制分配的資源包括自有資源和被共享的其他域資源。設備劃歸完成后，其他域可以對該域的設備進行設備參數(shù)查詢、實時視頻瀏覽、云臺控制、錄像回放等操作。頂級域管理員能夠訪問下轄的下級域的所有資源。根據下級域間的信令交互結果，下級域A和B獲得對方的媒體轉發(fā)服務器路由，媒體在下級域的媒體轉發(fā)服務器之間轉發(fā)。其中，頂級域擁有最高權限。例如，下級域A向頂級域查詢另一下級域B的路由。 頂級域和下級域之間的信令和媒體交互根據配置的域間路由信息進行。下級域監(jiān)控管理服務器要向頂級域監(jiān)控管理服務器注冊和?；睢?域間路由設計在整個系統(tǒng)中，為每個域統(tǒng)一規(guī)劃唯一的域標識（域ID）。能夠為多個公安管轄區(qū)域進行統(tǒng)一協(xié)調作戰(zhàn)提供方便的技術保障。l 縣視頻監(jiān)控系統(tǒng)可支持多級的組網結構（CMS級聯(lián)）；l 級數(shù)的設置可根據實際應用情況設置；l 縣視頻監(jiān)控系統(tǒng)用戶界面支持按照縣局、鄉(xiāng)局、派出所的形式進行組織；l 當下級系統(tǒng)與上級網絡斷開，或上級網絡故障等，不影響下級系統(tǒng)的運行。對于告警的管理，管理臺和監(jiān)控臺通過中心管理平臺（CMP）向下級中心管理平臺（CMP）訂閱跟自己相關的告警/報警。如下圖所示，縣公安局具有最高一級的管理權限，可調用所有資源，并管理本級資源；依次而下分別為鄉(xiāng)分局和村派出所，均具有獨立的業(yè)務能力，調用本級資源，管理本級資源。其中，中心服務器負責系統(tǒng)平臺的核心管理，如用戶管理、設備管理等；數(shù)據庫服務器主要用于保存系統(tǒng)配置信息、用戶權限信息、用戶登錄信息、系統(tǒng)日志、設備信息、告警信息和系統(tǒng)其他信息等功能；智能分析服務器用于對系統(tǒng)的視頻資源實現(xiàn)智能視頻分析功能；網關服務器包含邊界接入平臺部分，主要用于跨網之間系統(tǒng)資源的對接，以及社會監(jiān)控資源的接入，以保證最大程度上實現(xiàn)全社會監(jiān)控資源的統(tǒng)一共享，以及專網平臺及資源的安全可靠。 系統(tǒng)安全設計 權限管理在縣公安視頻專網平臺內部署主要服務器設備及相應配套軟件。 ⑥基于WEB的防火墻管理系統(tǒng) 管理系統(tǒng)主要負責網絡地址轉換模塊、集中訪問控制模塊、認證與訪問控制系統(tǒng)、監(jiān)控系統(tǒng)等模塊的系統(tǒng)配置和監(jiān)控。訪問控制模塊是基于自主型訪問控制策略（DAC），采用ACL的方式，按照用戶（組）、地址（組）、服務類型、服務時間等訪問控制因素決定對用戶是否授權訪問。其中用戶鑒別模塊采用一次性口令（OneTime Password）認證技術中Challenge/Response機制實現(xiàn)遠程和當?shù)赜脩舻纳矸蓁b別，保護合法用戶的有效訪問和限制非法用戶的訪問。對于入向的數(shù)據包，防火墻只讓那些訪問控制表許可的或者臨時端口使用表登記的數(shù)據包通過。 ③臨時訪問端口表 為了區(qū)分數(shù)據包的服務對象和防止攻擊者對內部主機發(fā)起的連接進行非授權的利用，網關把內部主機使用的臨時端口、協(xié)議類型和內部主機地址登記在臨時端口使用表中。請求認證子模塊主要負責和認證與訪問控制系統(tǒng)通過一種可信的安全機制交換各種身份鑒別信息，識別出合法的用戶，并根據用戶預先被賦予的權限決定后續(xù)的連接形式。本模塊進一步可細分為包交換子模塊、數(shù)據包頭替換子模塊、規(guī)則處理子模塊、連接記錄子模塊與真實地址分配子模塊及傳輸層過濾子模塊?？梢詫Ρ娝苤╓ellKnown）的服務使用虛擬端口號以增強安全性。l 目的地為 :25 的 FTP 封包可能映射到地址為 的 FTP 服務器。例如：l 目的地為 :80（即，IP 地址為 ，端口為 80）的 HTTP 封包可能映射到地址為 的web 服務器。為保證MIP實現(xiàn)的靈活性，可在與任何已編號通道接口（即帶 IP 地址/ 網絡掩碼的接口）及任何綁定到第 3 層 (L3) 安全區(qū)段的已編號接口相同的子網中創(chuàng)建 MIP。MIP 允許入站信息流到達接口模式為 NAT 的區(qū)段中的私有地址。實際上，MIP 是靜態(tài)目的地地址轉換。靜態(tài)地址翻譯（映射IP地址）映射 IP (MIP) 是一個 IP 地址到另一個 IP 地址的一對一直接映射。d) 附著DIP主機發(fā)起與已啟用網絡地址轉換 (NAT) 的策略相匹配的幾個會話，并且獲得了來自動態(tài) IP (DIP) 池的分配地址時，防火墻設備為每個會話分配不同的源 IP 地址。此選項允許將第二個 IP 地址和一個伴隨 DIP 池連接到一個在不同子網中的接口。對于固定端口 DIP，防火墻設備散列原始的主機 IP 地址，并將它保存在其主機散列表中，從而允許防火墻設備將正確的會話與每個主機相關聯(lián)。b) 固定端口地址的DIP一些應用，如“NetBIOS 擴展用戶接口”(NetBEUI) 和“Windows 互聯(lián)網命名服務”(WINS)，需要具體的端口號，如果將 PAT 應用于它們，它們將無法正常運行。在實施動態(tài)IP地址翻譯具體方式上，可以實現(xiàn)下列功能a) 端口地址翻譯的DIP使用“端口地址轉換”(PAT)，多臺主機可共享同一 IP 地址，防火墻設備維護一個已分配端口號的列表，以識別哪個會話屬于哪個主機。防火墻除了接口支持NAT模式以外，防火墻還可以通過設定策略實現(xiàn)以下地址轉換的功能：基于策略的源和目標地址和端口翻譯在策略中可以定義目標地址是否需要轉換，其IP地址和端口可以轉換為需要的地址和端口。目前，縣視頻監(jiān)控聯(lián)網平臺對于上述兩種方案均支持；具體采用何種方案，須得到石家莊市天網平臺廠家技術確認。具體方案分支1：縣視頻監(jiān)控專網平臺下級SIP域提供PS碼流，該PS碼流完全符合GB/T 28181規(guī)范接入規(guī)范中的要求，需要石家莊市天網平臺上級SIP域開發(fā)PS碼流解碼；具體方案分支2：。以下為基于GB/T 28181國家標準，進行縣視頻監(jiān)控專網平臺與石家莊市天網平臺視頻接入工作的簡單網絡部署示意圖。功能實體之間的通道互聯(lián)協(xié)議分為會話通道協(xié)議、媒體（主要指視/音頻）流通道協(xié)議兩種類型。GB/T 28181國家標準已經于2011年11月頒布實施。能夠實現(xiàn)與第三方平臺的對接而且對于PGIS地理信息系統(tǒng)、警務綜合系統(tǒng)等具備開放性的接入能力。在本次建設中，若涉及到公安網平臺，則可通過安全邊界接入平臺來實現(xiàn)內外網平臺之間的對接與互聯(lián)。 在接入數(shù)字視頻監(jiān)控平臺時，需要第三方平臺廠家進行配合，進行中間件的簡單開發(fā)工作。數(shù)字監(jiān)控系統(tǒng)接入示意圖原有社會第三方數(shù)字監(jiān)控平臺，通過中間件SDK包的形式接入到省級新建平安城市監(jiān)控平臺，達到對已建數(shù)字監(jiān)控平臺的控制和圖像資源聯(lián)網整合。在本次建設中，若涉及到公安網平臺，則可通過安全邊界接入平臺來實現(xiàn)內外網平臺之間的對接與互聯(lián)。DVR系統(tǒng)接入示意圖原有社會視頻資源前端是DVR監(jiān)控系統(tǒng)，可通過平臺標準協(xié)議（如SIP等）、標準SDK包等方式接入到平安城市監(jiān)控平臺，達到對DVR的控制和圖像資源聯(lián)網整合。在本次建設中，若涉及到公安網平臺，則可通過安全邊界接入平臺來實現(xiàn)內外網平臺之間的對接與互聯(lián)。模擬系統(tǒng)接入示意圖原有社會資源模擬系統(tǒng)前端是使用矩陣的監(jiān)控系統(tǒng)，配置新建編碼器，將模擬視頻矩陣的視頻輸出接入編碼器，通過編碼器實現(xiàn)視頻圖像的數(shù)字化編碼并傳輸給縣全縣域視頻監(jiān)控平臺。原則上，對于社會資源的接入，依照GB/T 28181的標準進行對接，但考慮到該標準處于即將頒布實施階段，在眾多社會監(jiān)控資源中尚未得到普及應用，難以保證在最短時間內實現(xiàn)社會監(jiān)控資源接入的最大化，所以在方案的選擇上，建議同時考慮多種對接方式，如SDK、標準協(xié)議等。視頻邊界接入平臺要作為“公安信息通信網邊界接入平臺”接入業(yè)務一種，遵循《公安信息通信網邊界接入平臺安全規(guī)范》提出的總體框架、安全技術和管理要求。邊界管理平臺作為縣局視頻專網平臺的下級域之一，隸屬于縣視頻監(jiān)控系統(tǒng)的頂級域進行管理。監(jiān)控視頻監(jiān)控聯(lián)網系統(tǒng)數(shù)據流程圖： 社會資源接入增設邊界管理平臺滿足社會資源能夠以平臺互聯(lián)的方式通過安全接入設備接入視頻應用共享平臺。在本監(jiān)控系統(tǒng)中，信令流承載系統(tǒng)信息，占用帶寬資源少。信令流包括用戶登錄信息、用戶操作指令等所有非媒體流的信息流，采用SIP協(xié)議實現(xiàn)對系統(tǒng)各個終端的信令調度，同時系統(tǒng)對信令流進行加密處理，保證傳輸過程中的安全性。媒體流包括視頻流和音頻流，在本監(jiān)控項目中，媒體流只涉及視頻流。如具備警綜平臺對接條件則平臺可定期自動對警綜平臺地址數(shù)據相關表數(shù)據進行同步，如不具備警綜平臺對接條件則采用手動一次性同步方式由警綜平臺將地址數(shù)據完整導出并導入視頻監(jiān)控平臺數(shù)據庫。IP地址具體規(guī)劃如下：～互聯(lián)地址～縣接入中心內部地址～縣轉發(fā)中心內部地址～縣聯(lián)通新機房設備地址～縣聯(lián)通老機房設備地址～竇嫗～柳林屯～樓底～南高～南宮～南客～西營～冶河～油通～預留此外按照省廳（河北省天網覆蓋工程設備地址屬性規(guī)范）的規(guī)定，引用警綜平臺地址數(shù)據，規(guī)范設備地址屬性。其他設備包括PU設備、CU設備和網絡設備。具體分配時要遵循以下原則： （1） 唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址；（2） 簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項；（3） 連續(xù)性：盡量分配連續(xù)的IP地址空間，并為將來的網絡擴展預留一定的地址空間； （4） 可擴展性：地址分配在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址總結所需的連續(xù)性；（5） 靈活性：地址分配應具有靈活性，滿足多種路由策略的優(yōu)化，充分利用地址空間。網絡拓撲圖如下： IP地址規(guī)劃IP地址的合理規(guī)劃是網絡設計中的重要一環(huán)， IP地址規(guī)劃的好壞，直接影響到網絡路由協(xié)議算法的效率、網絡的性能、網絡的擴展和網絡的管理，也必將直接影響到網絡應用的進一步發(fā)展。并且，圖像信號經過傳輸后失真很小，具有很高的信噪比和很小的非線性失真。光端機采用模擬或數(shù)字調制技術實時傳輸圖像信號，發(fā)射端將模擬視頻信號先進行調制后，再進行電光轉換，光信號傳到接收端后，再進行光電轉換，然后進行解調，恢復出視頻信號。光端機為監(jiān)控系統(tǒng)提供了靈活的傳輸和組網方式，信號質量好、穩(wěn)定性高。因為光纖具有傳輸帶寬寬、容量大、不受電磁干擾、受外界環(huán)境影響小等諸多優(yōu)點，一根光纖就可以傳送監(jiān)控系統(tǒng)中需要的所有信號，傳輸距離可以達到上百公里。雙絞線和同軸電纜只能解決短距離、小范圍內的監(jiān)控圖像傳輸問題，如果需要傳輸數(shù)公里甚至上百公里距離的模擬圖像信號則需要采用光纖傳輸方式。多級轉發(fā)實現(xiàn)了視頻流轉發(fā)進程的動態(tài)建立和按需分配,解決了系統(tǒng)容量限制問題,節(jié)省了硬件成本。216。這樣既能一次將數(shù)據傳輸給多個有需要的主機（加入組），又能保證不影響其他不需要的主機（未加入組）的通訊。 組播(Multicast)：主機之間“一對一組”的通訊模式，也就是加入了同一個組的主機可以接受到此組內的所有數(shù)據，網絡中的交換機和路由器只向有需求者復制并轉發(fā)其所需數(shù)據。網絡中的路由器和交換機根據其目標地址選擇傳輸路徑，將IP單播數(shù)據傳送到其指定的目的地。如果10個客戶機需要相同的數(shù)據，則服務器需要逐一傳送，重復10次相同的工作。216。為了解決上述問題，在系統(tǒng)技術設計中，系統(tǒng)設置了排序緩沖區(qū)，對到達的數(shù)據包進行排序處理，經過排序處理后的數(shù)據包再按照一定的時間順序傳送給解碼器進行解碼處理，能夠有效地處理抖動問題，為用戶展現(xiàn)清晰、流暢的視頻效果。這一數(shù)值取決于接收設備上相關的抖動緩沖器，抖動緩沖器用于為接收的視頻數(shù)據包提供緩沖，并“平滑”處理接收到的包與包之間的延遲時間，再將數(shù)據包傳送至解碼器，在顯示設備上輸出。當數(shù)據包到達目的地時，數(shù)據流中的連續(xù)包必須以恒定的時間間隔到達（德爾塔時間）。為解決上述問題，全縣域視頻監(jiān)控網絡系統(tǒng)技術設計中，增加了針對前端設備打包策略控制技術，系統(tǒng)根據目標端口MTU，控制發(fā)送端（編碼器）發(fā)送數(shù)據報的大小，能夠正常通過目標端口，避免通過數(shù)據報分片處理造成視頻質量降低、網絡阻塞等問題。分片可以由發(fā)送端或中間路由器執(zhí)行，但是過多的IP分片會導致如下兩個問題：第一、分片的獨立性導致這些片到達目的端時有可能會失序，在監(jiān)控業(yè)務中，可能導致畫面效果降低。為了解決這個問題，在全縣域視頻監(jiān)控網絡系統(tǒng)技術設計中，增加了針對前端設備碼流控制技術，在現(xiàn)場運動圖像的急劇變化的情況下，系統(tǒng)采取抽幀策略，優(yōu)先上傳關鍵幀，降低編碼器輸出的碼流，避免造成丟包現(xiàn)象，同時保持監(jiān)控中心視頻的流暢性。抽幀策略管理技術現(xiàn)場監(jiān)控目標的變化，編碼器上傳的碼流也隨之變化，監(jiān)控目標變化的范圍越大，上傳的碼流就越大，由于現(xiàn)場運動圖像的急劇變化，使得編碼器的碼流突然增大，在IP網絡上行帶寬一定的情況下，將引起丟包現(xiàn)象。發(fā)端速率控制技術在視頻監(jiān)控系統(tǒng)媒體流傳輸協(xié)議設計中，對于實時性要求較高的視頻監(jiān)控業(yè)務來說，使用TCP協(xié)議傳輸具有擁塞控制和質量保證的機制，而UDP傳輸協(xié)議可保障視頻傳輸?shù)母邔崟r性。采用MPLS VPN技術可以把物理上單一的IP網絡分解成邏輯上隔離的網絡，并且每個VPN單獨構成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內不沖突即可，這樣可以解決IP網絡地址不足的問題，也方便網絡的擴展和變更。PE位于服務提供者網絡的邊緣，所有的VPN的構建、連接和管理工作都是在PE上進行的。CE是用戶直接與服務提供者相連的邊緣設備，可以是路由器、交換機或者終端；PE是骨干網中的邊緣設