移动警务接入平台及应用系统可行性研究报告.doc

上海平安建设上海平安建设 公安指挥、交通管理综合信息通信系统公安指挥、交通管理综合信息通信系统 （五）（五） 公安信息移动接入平台及应用系统公安信息移动接入平台及应用系统 可行性研究报告可行性研究报告 建设单位：上海市公安局建设单位：上海市公安局 二二八年十一月八年十一月 i 目目 录录 第第 1 章章 项目概述项目概述1 1.1 项目名称.1 1.2 项目单位.1 1.3 可行性研究报告编制单位.1 1.4 可行性研究报告编制依据.1 1.5 项目建设目标与内容.2 1.5.1 建设目标2 1.5.2 建设内容2 1.6 社会与经济效益3 1.7 结论与建议.3 第第 2 章章 项目背景与现状项目背景与现状4 2.1 项目单位概况4 2.2 项目建设背景4 2.3 现状与问题6 2.3.1 现状6 2.3.2 问题6 2.4 项目建设的必要性和可行性7 2.4.1 项目建设的必要性7 2.4.2 项目建设的可行性7 第第 3 章章 功能和性能需求分析功能和性能需求分析9 3.1 业务流程分析和优化方案.9 3.1.1 现有业务流程9 3.1.1.1 交通违规处理流程.9 3.1.1.2 治安信息采集流程.11 3.1.2 优化业务流程11 3.1.2.1 交通违规处理流程.11 3.1.2.2 治安信息采集流程.13 3.2 系统功能和性能需求.13 3.2.1 系统功能需求13 3.2.1.1 移动警务接入系统.13 3.2.1.2 移动警务应用服务系统.14 3.2.1.3 移动警务信息安全系统.15 3.2.2 系统性能需求16 3.3 数据量分析.17 3.3.1.1 业务量估算.17 3.3.1.2 网络速率估算.18 3.3.1.3 数据量估算.18 第第 4 章章 项目建设方案项目建设方案20 4.1 建设目标.20 4.2 建设原则.20 4.3 总体架构.21 4.3.1 系统组成21 4.3.2 接入模式与系统架构22 4.3.3 移动应用计算模式25 4.3.3.1 c/s 计算模式.25 ii 4.3.3.2 b/s 计算模式.27 4.3.3.3 短信息模式.27 4.3.3.4 计算模式的选择.27 4.4 移动警务接入系统.27 4.4.1 移动终端27 4.4.1.1 普通手机.28 4.4.1.2 智能手机/pda 手机.28 4.4.1.3 笔记本电脑/车载终端29 4.4.1.4 移动终端选择.29 4.4.1.5 移动终端的技术指标.30 4.4.2 移动通信网31 4.4.2.1 承载网络.31 4.4.2.2 通信协议.32 4.4.2.3 通信方式选择.33 4.4.3 移动接入网关群组34 4.4.3.1 短消息安全接入网关.34 4.4.3.2 gprs/cdma 安全接入网关35 4.4.3.3 ip 安全接入网关.35 4.4.4 移动接入系统架构36 4.5 移动警务应用系统.37 4.5.1 移动警务终端应用子系统37 4.5.1.1 综合查询.37 4.5.1.2 交通管理.39 4.5.1.3 治安管理.40 4.5.1.4 系统设置.41 4.5.1.5 短消息应用.41 4.5.2 移动接入区移动警务应用平台42 4.5.2.1 cdma 业务处理模块.42 4.5.2.2 短消息业务处理模块.42 4.5.2.3 数据服务汇聚模块.42 4.5.2.4 群呼与协查通告模块.42 4.5.2.5 系统管理模块.43 4.5.3 公安网移动警务应用平台43 4.5.3.1 综合查询系统改造.43 4.5.3.2 交通管理系统改造.43 4.5.3.3 治安综合信息系统改造.43 4.5.3.4 移动应用同步模块.44 4.6 系统支撑平台.44 4.6.1 网络系统44 4.6.2 服务器46 4.6.3 存储设备46 4.6.4 系统软件47 4.7 信息安全系统.47 4.7.1 信息安全体系结构47 4.7.2 信息安全拓扑结构48 4.7.3 身份认证系统49 4.7.3.1 身份认证方式.49 4.7.3.2 证书介质.50 4.7.3.3 证书管理.50 4.7.3.4 与公安信息网 pki/pmi 平台的关系52 4.7.4 访问控制52 iii 4.7.4.1 系统对移动终端用户的访问控制.53 4.7.4.2 系统对管理员的访问控制.53 4.7.5 密码体系规划53 4.7.5.1 密码算法.53 4.7.5.2 密码设备.54 4.7.5.3 密钥管理.55 4.7.6 网络边界安全防御56 4.7.6.1 防火墙.56 4.7.6.2 入侵检测系统（入侵防御系统）.56 4.7.6.3 网关防病毒系统.57 4.7.6.4 安全隔离网闸.57 4.7.7 主机防病毒系统57 4.7.8 安全审计与监控57 4.7.9 信息安全综合管理系统58 4.7.10 管理安全58 4.7.10.1 组织安全管理.58 4.7.10.2 人员安全管理.58 4.7.10.3 安全管理制度.59 4.7.10.4 安全管理技术.59 4.8 数据规范.59 4.8.1 数据分类59 4.8.2 数据规范及标准60 4.8.2.1 数据种类规范.60 4.8.2.2 数据项目.61 4.8.2.3 信息代码标准.61 4.8.2.4 短信类信息规范.61 4.8.2.5 语言类信息规范.61 4.8.3 基本数据项集和扩展数据项集61 4.8.3.1 基本数据项集.62 4.8.3.2 基本数据项集规范.63 4.8.3.3 扩展数据项集.63 4.8.3.4 查询数据项和查询条件规范.63 第第 5 章章 项目组织保障和实施进度项目组织保障和实施进度65 5.1 项目组织保障.65 5.1.1 组织机构设置65 5.1.2 培训65 5.2 项目进度计划.65 第第 6 章章 环保、消防、职业安全、卫生和节能环保、消防、职业安全、卫生和节能67 6.1 环境保护.67 6.2 消防.67 6.3 节能.67 6.4 职业安全卫生.67 第第 7 章章 项目招标方案项目招标方案68 7.1 招标方式.68 7.2 招标范围.68 第第 8 章章 项目风险和控制措施项目风险和控制措施69 8.1 项目外部风险和控制措施.69 iv 8.1.1 实施过程中的协调风险69 8.1.2 技术选择风险69 8.1.3 供应商选择风险69 8.2 项目内部风险和控制措施.70 8.2.1 需求与设计风险70 8.2.2 设备滥用风险70 8.3 项目长期运行风险和控制措施.70 第第 9 章章 效益分析效益分析72 10.1 社会效益分析.72 10.2 经济效益分析.72 第第 10 章章 结论结论与与建议建议73 上海平安建设移动警务接入平台及应用系统可行性研究报告 1 第第 1 章章 项目概述项目概述 1.1 项目名称项目名称 项目名称：上海平安建设公安指挥、交通管理综合信息通信系统 （五）公安信息移动接入平台及应用系统，以下简称“公安信息移 动接入平台及应用系统”或” “本项目” 。 1.2 项目单位项目单位 名称：上海市公安局 地址：武宁南路 128 号 电话：22021980 1.3 可行性研究报告编制单位可行性研究报告编制单位 上海市公安局 1.4 可行性研究报告编制依据可行性研究报告编制依据 中共中央办公厅、国务院办公厅关于转发国家信息化领导小 组关于我国电子政务建设指导意见的通知（中办发200217 号） 中共中央办公厅、国务院办公厅关于加强信息资源开发利用 工作的若干意见 （中办发200434 号） 金盾工程总体方案设计 金盾工程安全保障体系总体设计方案 公安信息公网移动接入及应用系统建设技术指导书 （公信通 2006541 号） 公安信息移动接入及应用系统安全管理暂行规定 国家密码管理局商用密码产品使用管理规定 （2007 年第 8 上海平安建设移动警务接入平台及应用系统可行性研究报告 2 号文） 上海市公安局信息化“十一五”发展规划 公网（gprs/cdma）移动应用信息系统试点项目实施方案 公网（gprs/cdma）移动应用信息系统试点建设任务书 1.5 项目建设目标与内容项目建设目标与内容 1.5.1 建设目标建设目标 移动警务接入平台及应用系统的建设目标是：通过建立一套基 于公用移动网络、符合公安部技术规范要求、安全可靠、易管理的 统一安全接入平台，解决公安移动终端用户通过公共通信网络的安 全接入问题；同时，定制开发移动终端应用系统（包括在线访问和 短消息两种方式）和应用服务管理平台，为民警通过移动终端查询、 采集公安信息提供服务。通过本项目的建设，使公安信息能够全天 候覆盖移动通信网络通达的任何地方，达到公安部“三 a”要求， 使得全体民警能够在确保公安业务数据信息安全的前提下，实时查 询相关业务数据、采集分类警务基础信息，方便民警现场执法、执 勤等日常警务工作，提高民警的工作效率和实战能力，为即将到来 的 2010 年上海世博会做好充分准备。 1.5.2 建设内容建设内容 移动警务接入平台及应用系统的建设主要包括以下内容： 1、移动警务接入系统。接入系统主要包括移动终端、通信链路 和接入服务平台，实现端到端的接入认证及数据的加密传输，为移 动应用系统提供一个可靠的安全通道。 2、移动警务应用系统及其系统支撑平台。应用系统主要包括移 动终端应用系统（在线访问和短消息两种方式）和后台应用服务平 台及其系统软硬件支撑平台。 上海平安建设移动警务接入平台及应用系统可行性研究报告 3 3、保障移动警务安全接入和移动警务应用安全运行的信息安全 系统。 1.6 社会与经济效益社会与经济效益 警用信息移动应用已在发达国家警察日常工作中得到广泛应用， 普遍以城市为中心建立起独立于警用移动话音通信系统的警用信息 移动应用系统，并利用警用移动数据终端完成信息查询、照片、指 纹、车牌比对、收发指令等工作。随着“金盾工程”建设的整体推 进，利用公安移动警务接入平台及应用系统深度开发和充分利用公 安信息资源，可以提高公安机关打击敌人、保护人民、惩治犯罪、 服务群众、维护国家安全和社会稳定的水平和能力，提高公安机关 快速反应能力、综合作战能力。 1.7 结论与建议结论与建议 通过移动警务接入平台及应用系统的建设，能够促进上海公安 更加充分地利用现有公安网络和信息资源，进一步发挥现有公安业 务应用系统的作用，满足民警在实际应用中遇到的业务需求并充分 给予实时的技术支持。2010 年世博会迫在眉睫，该系统的成功建设 与运用将帮助上海公安机关更加有效地进行世博会筹办、运营期间 的社会公共安全管理。因此，本项目的建设十分必要，建议在 2008 年底前通过审批，以使项目尽快实施投入使用。 上海平安建设移动警务接入平台及应用系统可行性研究报告 4 第第 2 章章 项目背景与现状项目背景与现状 2.12.1 项目单位概况项目单位概况 上海市公安局的主要职责是：预防、制止和侦查违法犯罪活动； 维护社会治安秩序，制止危害社会治安秩序的行为；管理交通、消 防、危险物品和特种行业；管理户政、国籍、入境出境事务和外国 人在境内居留等有关事务；管理集会、游行、示威活动；监督管理 计算机信息系统的安全保卫工作；指导和监督国家机关、社会团体、 企业事业组织和重点建设工程的治安保卫工作，指导群众性组织的 各类治安防范工作。 按照业务范围设置的部门有，指挥部、政治部、后保部、治安 总队、刑侦总队、出入境管理局、交警总队、消防局、法制办、监 管处、科技处、信安处、水上公安局、轨道分局、公交分局、化工 区分局、机场分局、宝江分局、公安高等专科学校等 28 个直属机构。 按照行政区划，设置了 18 个公安分局、1 个县公安局，下设 372 个 派出所。 2.22.2 项目建设背景项目建设背景 警用信息移动应用已在发达国家警察日常工作中得到广泛应用， 普遍以城市为中心建立起独立于警用移动话音通信系统的警用信息 移动应用系统，并利用警用移动数据终端完成信息查询、照片、指 纹、车牌比对、收发指令等工作。 在我国，随着“金盾工程”建设的整体推进，利用公安信息移 动接入及应用系统深度开发和充分利用公安信息资源，可以提高公 安机关打击敌人、保护人民、惩治犯罪、服务群众、维护国家安全 和社会稳定的水平和能力，提高公安机关快速反应能力、综合作战 上海平安建设移动警务接入平台及应用系统可行性研究报告 5 能力。 2002 年以来，各地公安机关陆续开展了基于公网的公安移动接 入及应用系统的建设工作，在公安机关的实际工作中发挥了重要的 作用。但是，在系统建设和应用中也暴露出较多安全问题。为此， 2004 年 8 月公安部金盾办下发了关于做好公安信息移动接入及应 用系统安全建设的通知 ，对全国公安机关的公网移动接入及应用系 统的安全建设提出了具体要求。 为满足各级公安机关对公安信息移动接入及应用的需求，保护 公安信息在公众移动通信网（以下简称“公网” ）传输的安全，公安 部金盾办于 2005 年 1 月 5 日下发了关于下达公网(gprs/cdma)移 动数据接入系统试点项目建设任务书和实施方案的通知 （公金盾 2005007 号） ，决定在福建、河南省公安厅以及苏州、威海、成都 市公安局开展公网移动接入系统试点工作，重点研究公安信息基于 公用的移动接入安全技术和管理机制。结合试点项目的成功经验， 公安部信息通信局对 2004 年 4 月制定的公安信息移动接入及应用 系统建设指导书进行了修订、补充和完善，重点在系统的安全性 方面进一步明确了要求，发布了公安信息移动接入及应用系统建 设技术指导书 （公信通2006541 号） 。 目前，国内部分省市公安部门已完成了移动接入平台应用系统 建设并投入日常使用。 郑州市公安局于 2002 年起由信大捷安公司负责移动警务安全接 入平台建设和应用软件开发，2003 年 5 月正式启用该系统，主要功 能为公安业务短信息查询和交通违法信息实时录入与处理。至今累 计发放移动警务通 sim 卡万余张，全市在职民警已基本全部入网， 交警部门已实现了在路面上完成违章驾驶纠章扣分处理。目前郑州 上海平安建设移动警务接入平台及应用系统可行性研究报告 6 市公安民警的日短信息查询量已达 3 万余条。 北京市公安局由国家保密技术研究所负责实施了总体的边界接 入平台项目。无线移动警务接入为其中一项内容，目前支持专用的 警务 pda 和笔记本电脑无线上公安信息网。 福建省公安厅于 2008 年由公安部三所完成了移动警务安全接入 平台建设，应用开发由苏州广达公司承担，目前处于软件完善和测 试阶段，尚未投入实际使用。目前福建省厅正就相关手机信息资费 问题与移动运营商进行协调，计划在省厅和所属市局进行全面推广 使用。 上海市公安局自 2007 年起对警务移动接入及应用系统进行了调 研，多次与基层公安机关、系统供应商、行业专家进行沟通，综合 上海金盾工程和公安信息化应用情况，经过仔细论证，认为上海公 安系统已具备实施移动接入及应用系统的条件，并组织编制本可行 性研究报告。 2.32.3 现状与问题现状与问题 2.3.1 现状现状 上海公安信息化工作经过近几年的建设，目前已建成了覆盖全 市 19 个公安分县局、20 多个市局业务单位及 500 多个公安基层单 位的公安信息网，建设了 4500 多公里的公安专用光缆网和覆盖全局 的千兆 ip 网，实现了数据、语音、图像“三网融合” ，市局至各分、 县局二级网网络带宽全部达到千兆；开发了 141 个信息系统，广泛 运用于指挥决策、打击防范、行政管理、队伍建设等各个方面。在 此基础上，着手推进信息系统整合，努力实现信息共享和综合应用。 目前，全局各类信息系统数据总量已达 11.9 亿条，其中，治安类 35605 万条，交通类 32370 万条。公安业务工作对信息网络和应用 上海平安建设移动警务接入平台及应用系统可行性研究报告 7 系统的依赖性越来越强。 2.3.2 问题问题 由于缺乏移动应用的支撑，上海公安民警在办理部分业务工作 中与兄弟省市相比存在一些不足： 1 1、街面执勤民警得不到实时数据支持。、街面执勤民警得不到实时数据支持。 目前，街面执勤民警在处置交通事故、巡逻盘查、设卡检查时， 往往只能通过手持电台呼叫指挥中心来核对、查询相关人员信息， 速度较慢且关联信息反馈较少，自主查询手段缺乏，容易漏掉很多 重要信息。 2 2、当场接报案事件、采集人口信息、处置交通违法途径较少。、当场接报案事件、采集人口信息、处置交通违法途径较少。 目前，公安机关接报案事件、采集人口基础信息、处置交通违 法时往往需要相关人员前往指定公安办公场所才能办理，缺乏现场 接报、采集、处置手段。 3 3、在案发现场侦查民警不能利用公安信息资源。、在案发现场侦查民警不能利用公安信息资源。 目前，刑事侦查民警在一些案发现场办案时，因远离公安机关 办公场所，不能综合利用公安信息资源为侦查破案服务，一般勘查 完现场后回到办公场所再进行综合分析，这样往往贻误战机。 2.42.4 项目建设的必要性和可行性项目建设的必要性和可行性 2.4.1 项目建设的必要性项目建设的必要性 为促进上海公安机关更加充分、全面地利用现有公安网络和信 息资源，进一步发挥现有公安业务应用系统的作用，使得街面执勤 民警能够安全并实时查询相关业务数据、采集警务基础信息，在确 保公安业务数据安全的前提下，方便民警日常警务工作，更有效地 开展执法、执勤工作，并为市民群众提供现场办理的便利。建设移 动警务接入平台及应用系统已势在必行。 上海平安建设移动警务接入平台及应用系统可行性研究报告 8 2.4.2 项目建设的可行性项目建设的可行性 上海公安机关经过多年的信息化建设，户籍管理、治安管理、 交通管理等一系列公安信息系统已建设比较成熟，并且广泛应用到 各区县分局、派出所，一方面培养了一批精通业务和技术的信息化 技术管理人员，另一方面在基层干警普及了计算机上网操作等基本 技能，为进一步深化信息化应用打下坚实的基础。 上海城市的发展使得移动通信网络格外发达，目前上海移动、 上海联通和上海电信（原联通 cdma）等移动通信运营商均建立了覆 盖全市的移动通信网络，并普遍提供较高速率的数据通信服务，如 gprs、cdma 1x 等，这为推广移动警务应用提供了通信网络基础。 经过国内其他省市公安机关的多年试点应用，移动警务接入平 台及应用系统的解决方案日趋成熟，系统供应商也积累了丰富的工 程经验和软件开发，移动终端设备制造的质量不断提高、功能不断 丰富、成本不断下降，也为移动警务应用建设的成功提供了技术保 证。 综上，上海公安机关建设移动警务接入平台及应用系统具有充 分的可行性。 上海平安建设移动警务接入平台及应用系统可行性研究报告 9 第第 3 章章 功能和性能需求分析功能和性能需求分析 3.1 业务流程分析和优化方案业务流程分析和优化方案 3.1.1 现有业务流程现有业务流程 上海公安机关尚未开展移动应用业务，这使得一线民警在执行 部分业务时存在较大的局限性，与兄弟省市相比，部分能够提高民 警执勤效率和实战能力的功能应用未能实现，以下以交通违规处理 和治安信息采集为例说明。 3.1.1.1 交通违规处理流程交通违规处理流程 以道路交通管理违章处理为例，现有业务处理流程如下： 上海平安建设移动警务接入平台及应用系统可行性研究报告 10 发现违规行为 流程开始 告知、教育 拍照当事人在场no yes 开具处理通知 书 回单位录入信息系 统（24小时内） 网上查询、公示 驾驶员记分查询、 在逃通缉人员查询 盗抢车辆查询、车 辆年检查询 现现 场场 不不 能能 实实 现现 图 3-1 现有交通违规处理流程 该流程主要存在以下不足： 1、手工开具处理通知书，容易造成由于字迹潦草、模糊等书写 失误，且需二次录入系统，造成重复工作。 2、在信息录入系统之前，存在人情操作的空间，不利于加强警 员廉洁管理。 上海平安建设移动警务接入平台及应用系统可行性研究报告 11 3、执勤时既无法查询通缉在逃人员、盗抢车辆等信息，也无法 获得驾驶员满分信息、车辆年检信息，影响公安机关工作效能。 3.1.1.2 治安信息采集流程治安信息采集流程 治安信息采集主要包括常住、暂住人口信息采集、治安检查、 出租房租等，现有采集流程如下： 民警采集 记录工作笔记 回派出所录入系统 常常、暂暂人人口口 变变更更信信息息 治治安安检检查查出出租租房房屋屋 民警采集治安信息时，需将信息记录到工作笔记，待回到派出 所后方输入派出所综合应用系统。民警采集信息时，无法获取相关 线索信息支持，在录入过程中容易发生录入错误。 3.1.2 优化业务流程优化业务流程 通过移动警务系统的应用，可为一线民警提供数据支撑，有利 于提高民警工作效率和作战能力。 3.1.2.1 交通违规处理流程交通违规处理流程 在使用移动警务系统后，现有交通违规处理流程可获得优化， 流程如下： 上海平安建设移动警务接入平台及应用系统可行性研究报告 12 发现违规行为 流程开始 告知、教育 拍照当事人在场no yes 录入驾驶员 录入处理信息 实时上传到系统 自动判别 正常 记分满告知 在逃、通缉人员 通知援助 网上查询、公示 录入车号牌 录入处理信息 实时上传到系统 自动判别 正常 年检过期告知 盗抢车辆通知 援助 网上查询、公示 图 3-2 移动警务系统支撑下的交通违规处理流程 移动警务系统支撑下的处理流程具有明显的好处： 1、现场取证、录入系统、打印处理通知单，一次生成，既提高 了效率，避免通知单和系统数据不一致，又避免人情操作，强化了 上海平安建设移动警务接入平台及应用系统可行性研究报告 13 民警作风管理。 2、在处理违规事件或盘查时，通过数据比对，能够提示通缉在 逃人员、盗抢车辆、肇事逃逸、满记分、年检超期等情况，可有效 提高公安机关的工作效能。 3.1.2.2 治安信息采集流程治安信息采集流程 本项目建成后，有利于优化治安信息采集流程： 民警采集 直接录入系统 常常、暂暂人人口口 变变更更信信息息 治治安安检检查查出出租租房房屋屋其其他他线线索索信信息息 采用移动警务系统，可减少中间手工书写环节，并且可使得现 场民警可获得相关线索信息支撑。 3.2 系统功能和性能需求系统功能和性能需求 3.2.1 系统功能需求系统功能需求 本项目为移动警务接入及应用提供服务，主要需求可划分为移 动警务安全接入系统、移动警务应用服务系统、移动警务信息安全 系统等三方面进行分析。 3.2.1.1 移动警务接入系统移动警务接入系统 移动警务系统需为移动终端提供安全的接入功能，其接入功能 主要包括： 上海平安建设移动警务接入平台及应用系统可行性研究报告 14 1.1. 支持多种移动终端的接入支持多种移动终端的接入 支持专用 pda 终端、智能手机、普通手机（专用 sim/uim 卡） 、 专用车载终端、笔记本电脑等多种移动终端的接入，以适应不同警 种、不同场所的应用需求。 2.2. 支持多种通信方式和承载网络支持多种通信方式和承载网络 本项目所采用的通信协议主要以 tcp/ip 协议为主、以 sms/mms 协议为补充。tcp/ip 无线接入方式从通信速率、通信费用、安全性 等方面考虑采用 cdma 1x，并支持平滑升级到 cdma 2000。 3.3. 支持多层次的强身份认证支持多层次的强身份认证 提供移动终端对移动用户的身份认证功能、移动终端和移动接 入网关之间的相互身份认证功能及移动应用系统对移动用户的身份 认证功能。 4.4. 数据保密传输功能数据保密传输功能 为各种公安移动应用系统提供公网路段（从移动终端到安全移 动接入系统之间）的数据保密传输功能。 3.2.1.2 移动警务应用服务系统移动警务应用服务系统 1.1. 综合查询综合查询 基于公安信息综合查询系统，可查询常住、暂住、重点人口、 全国在逃人、全国被盗抢机动车辆以及驾驶员、机动车、驾驶员违 法、电子警察等信息，并对单个或批量可疑人员身份证实时比对、 报警。 2.2. 交通管理交通管理 交通违章信息实时录入及处理；打印业务处理通知书，现场拍 照取证，并把相应的结果自动上传到公安网内部的业务数据库中； 交通事故记录、取证、处理；警务日志（记载每日警务工作） ；动态 上海平安建设移动警务接入平台及应用系统可行性研究报告 15 交通信息显示、指挥调度和警力分配。 3.3. 治安管理治安管理 面向派出所一线执行社区管理的民警，实现基本信息的查询和 业务的录入，包括常住/暂住人口变更信息采集、特殊人员查询、特 殊人员信息采集、治安检查、情报信息、出租房屋、日志录入等， 自动读取二代证和居住证信息。 4.4. 协查通报协查通报 协查通知、通报的下发、反馈及查询。 5.5. 系统功能系统功能 实现用户信息设置、打印信息设置、数据字典、代码更新以及 修改用户密码等系统功能。 3.2.1.3 移动警务信息安全系统移动警务信息安全系统 移动警务系统安全不仅要解决移动终端、公网传输、移动应用、 安全兼容等单一方面的安全需求，更要解决移动警务接入系统整体 的安全需求，这些需求综合表现在： 1.1. 移动终端的安全接入移动终端的安全接入 端到端数据加密传输、适合移动终端的认证措施、 2.2. 明显的网络边界划分和相应的安全保障措施明显的网络边界划分和相应的安全保障措施 公安信息网和移动接入区的边界划分和安全连接、移动接入区 和公网的边界划分和安全连接、移动终端通过虚拟移动专网（移动 运营商提供）连接到公安移动接入区。 3.3. 适合我国政府密码管理策略的密码算法配置适合我国政府密码管理策略的密码算法配置 商用密码算法、公钥证书认证算法。 4.4. 系统的网络安全方案系统的网络安全方案 端到端身份认证、数据加密、完整性检验、抗重放攻击、抗 上海平安建设移动警务接入平台及应用系统可行性研究报告 16 dos、ddos 攻击、公网段全程安全、防病毒和木马入侵、防内部敏 感信息非授权外流。 5.5. 严格规范的安全管理规定严格规范的安全管理规定 建立并实施严格规范的信息安全管理制度。 3.2.2 系统性能需求系统性能需求 移动警务系统属于公安办案业务系统，对系统的响应速度、容 错能力、可用性等方面的性能要求较高。 1.1. 响应时间响应时间 移动通信网络的稳定性相对较差，对系统响应时间的影响较大。 移动警务应用对响应时间的要求较高，在移动运营商网络通信情况 处于正常的情况下，安全短信回复时间小于 5 秒；cdma 在线方式下 简单查询响应时间小于 3 秒；照片显示时间小于 5 秒。异地查询、 批量查询等情况一般响应时间应小于 12 秒。 综合考虑移动通信网络不稳定等情况，本项目要求 50%以上业 务响应时间不超过正常响应时间，95%以上业务响应时间不超过正常 响应时间的 2 倍。 2.2. 并发用户规模并发用户规模 系统应至少支持 1500 个以上并发用户，1000 个短消息查询并 发用户。 3.3. 可用性可用性 系统的关键设备应采用双机热备方式，以避免单点故障引起系 统中断。 4.4. 容错性能容错性能 在网络暂时中断的情况下，支持本地登陆方式处理业务，所采 集数据保存在移动终端，待网络恢复正常时自动上传。 上海平安建设移动警务接入平台及应用系统可行性研究报告 17 3.3 数据量分析数据量分析 目前，上海各级公安机关共有编制人员约 45000 名，其中综合 管理机构人员约 16500 名，执法勤务机构人员约 28500 名（其中街 面执勤交通警察约 4500 名） 。 本项目建成后，按全员配备，共有 1200 台移动笔记本用户、 28500 台 pda 终端用户（其中 4500 台带拍照、打印功能，供交警使 用）和 16500 名普通手机查询用户投入使用。 3.3.1.1 业务量估算业务量估算 高峰时按 5%用户并发计算，则将有 60 名移动笔记本用户、 1425 名 pda 终端用户、825 名普通手机用户并发访问移动警务应用。 目前，上海交通警察每月平均处理交通违规事件约 110 万件 （不含电子警察违规数量） ，项目建成后全部违规事件将由移动终端 录入。每件违规事件的处理均需执行对比 ccic 在逃人员数据库、盗 抢车辆数据库、交通违法未处理数据记录、电子警察数据库、驾驶 人简项信息数据库、录入、上传照片和信息等操作，按每件违规事 件处理平均执行 10 个操作，每个操作平均 20 个进程，日均 3.6 万 件事件的 70%在高峰 3 小时内发生，则： 36000*70%/3/60*8*20=22400 个进程/分钟 按个进程需消耗 10 个 tpc-c 值计算，则交通违规处理所需的 tpc-c 值为 224000tpmc。 以上仅考虑 4500 台交警专用 pda 终端所需的系统性能，其余 24000 台普通 pda 终端、短消息访问等所需的系统性能按交通违规 处理的 3 倍计算，则系统总性能需求为 672000tpmc。 上海平安建设移动警务接入平台及应用系统可行性研究报告 18 3.3.1.2 网络速率估算网络速率估算 高峰时，按移动笔记本用户平均速率 100kbit/s、pda 终端用户 平均速率 50kbit/s、短消息业务平均速率 10kbit/s 计算，则高峰 时所需带宽为 100*60+50*1425+10*825=85500k=85.5m。 （注：cdma 1x 峰值速率 153.6kbit/s，平均速率为 50kbit/s100kbit/s） 3.3.1.3 数据量估算数据量估算 本项目所涉及主要数据包括综合查询、交通管理、户政和治安 管理等，是市公安局相关综合查询、交通管理、户政和治安管理数 据库的子集。移动警务应用数据主要内容和数据量如下： 序号序号应用系统应用系统条数（万条）条数（万条） 1 常住人口信息管理系统 1355 2 派出所综合信息管理系统 260 3 居住证信息系统 660 4 被盗抢系统 0.95 5 在逃人员系统 27 6 上海市旅馆业信息管理系统 9010 7 江苏省 2008.6.1 以后旅馆人员数据 2018 8 交通事故系统 26 9 交警非机动车系统 1 10 车辆系统 341 11 驾驶员系统 393 12 车驾道口查控 10000 13 全国违法数据 237 合合 计计 24328.95 上海平安建设移动警务接入平台及应用系统可行性研究报告 19 存储系统数据库中，基本信息每个记录约为 10k，以上信息量 为 24328.951000010kb，即 2.43tb。另外，照片数据包括常口、 居住证、驾驶员等照片，每张相片大小约为 30k，即 1355（常口） 660（居住证）393（驾驶员）24081000030kb0.72tb。 基础数据存储合计：2.43tb0.72tb3.15tb，每年更新维护 的新增数据按 10%，则三年规划 3.151.13=4.19tb。 上海平安建设移动警务接入平台及应用系统可行性研究报告 20 第第 4 章章 项目建设方案项目建设方案 4.1 建设目标建设目标 上海平安建设移动警务接入平台及应用系统的建设总目标 是：通过建立一套基于公用移动网络、符合公安部技术规范要求、 安全可靠、易管理的统一安全接入平台，解决公安移动终端用户通 过公共通信网络的安全接入问题；同时，定制开发移动终端应用系 统（包括在线访问和短消息两种方式）和应用服务管理平台，为民 警通过移动终端查询、采集公安信息提供服务。通过本项目的建设， 使公安信息能够全天候覆盖移动通信网络通达的任何地方，达到公 安部“三 a”要求，使得全体民警能够在确保公安业务数据信息安 全的前提下，实时查询相关业务数据、采集分类警务基础信息，方 便民警现场执法、执勤等日常警务工作，提高民警的工作效率和实 战能力，为即将到来的 2010 年上海世博会做好充分准备。 移动警务接入平台及应用系统建设的具体目标包括：到 2010 年， 一线执勤的交通警察配备专用 pda 终端执法，实现对违章停车、现 场处罚等常见业务的移动应用；社区民警可通过配备的 pda 终端， 实现日常治安业务的移动应用；民警可随时通过手机查询常住、暂 住、重点人口、全国在逃人、全国被盗抢机动车辆等信息。 4.2 建设原则建设原则 根据“金盾工程”总体规划，公安信息移动接入及应用系统建 设遵循以下基本原则： 1、统一领导，统一规划，统一标准：在公安部的统一领导下， 用科学的理论和系统的方法统一规划、统一标准。 上海平安建设移动警务接入平台及应用系统可行性研究报告 21 2、独立、可靠的安全保障体系：要把安全放在首要位置，确保 移动应用具有稳定性、可靠性、高效性。系统的安全体系要独立于 公网运营商，系统的安全保障不依赖公网运营商的安全保障，但鼓 励将公网运营商的安全保障作为系统安全措施的辅助或补充。 3、安全技术与安全管理相结合原则：通过管理手段来弥补技术 手段的不足之处，通过技术手段来加强安全管理。 4、逐步完善，分步实施：以实现公安信息移动应用为目标，以 应用带发展，以效益促应用，逐步实现公安信息移动应用的各种功 能。 5、实用性，先进性，经济性：选择先进成熟的技术、系统与产 品，节约资金，满足当前和未来的实用性要求。 6、全方位覆盖的原则：为保障移动接入及应用系统发挥更大的 作用，应采用多种通信手段并举、高中低终端结合、支持多个公网 运营商接入的建设方式。 4.3 总体架构总体架构 4.3.1 系统组成系统组成 公安信息公网移动接入及应用系统由移动终端、移动通信网、 移动接入区、安全隔离层、公安信息网等五大部分组成。这五个部 分在整个公安信息公网移动接入及应用系统中环环相扣，缺一不可。 移移动动终终端端 移移动动通通信信网网 移移动动接接入入区区 安安全全隔隔离离层层 公公安安信信息息网网 上海平安建设移动警务接入平台及应用系统可行性研究报告 22 图 4-1 系统组成图 移动终端包括普通手机、pda、笔记本电脑等可移动的终端；移 动通信网为各种公共移动通信网；移动接入区实现移动安全接入及 移动应用服务；安全隔离层是指经国家保密认证并由公安部信通处 同意使用的安全隔离网闸；公安信息网为移动应用提供信息和服务 支持。 4.3.2 接入模式与系统架构接入模式与系统架构 根据移动应用请求所访问数据的摆放位置不同，分为以下两种 接入模式： a a 模式模式：移动应用所需的数据放在移动接入区内，移动终端只 能访问移动接入区内的数据，移动接入区数据通过数据同步更新机 制完成数据更新；该模式有较好的系统响应性能，但由于移动接入 区内数据库和公安信息网内数据库之间要通过网络安全隔离设备定 时刷新、同步，所以数据的新鲜度和应用范围受到影响。如下图： 安安 全全 保保 障障 体体 系系 运运 行行 管管 理理 体体 系系 公公安安移移动动用用户户及及移移动动警警务务终终端端 移移动动通通信信网网 移移动动接接入入服服务务平平台台 安安全全隔隔离离层层 安安全全隔隔离离设设备备 移移动动数数据据同同步步模模块块 公公安安应应用用系系统统（综综合合查查询询、在在逃逃人人员员、违违法法犯犯罪罪人人员员等等业业务务系系统统） 应应用用支支撑撑平平台台 计计算算及及网网络络、主主机机、数数据据库库、应应用用服服务务环环境境 移移动动接接入入区区 公公 安安 信信 息息 网网 标标 准准 规规 范范 体体 系系 移移动动应应用用服服务务平平台台 移移动动应应用用 数数据据库库 同同步步数数 据据库库 公公 安安 机机 关关 上海平安建设移动警务接入平台及应用系统可行性研究报告 23 图 4-2： a 模式结构图 b b 模式模式：移动应用所需的数据放在公安信息网内，移动终端通 过访问移动接入区内的应用代理服务器，获得数据服务，应用代理 服务器通过网络隔离设备访问公安信息网。该模式提供信息的新鲜 度比较高，应用范围广，它实时获取公安信息网内的数据，通过移 动终端采集到的业务数据也能够及时提交到公安信息网内数据库， 但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离 设备转发，所以，对系统的响应性能有影响。如下图： 安安 全全 保保 障障 体体 系系 运运 行行 管管 理理 体体 系系 公公安安移移动动用用户户及及移移动动警警务务终终端端 移移动动通通信信网网 移移动动接接入入服服务务平平台台 安安全全隔隔离离层层 安安全全隔隔离离设设备备 公公安安应应用用系系统统（综综合合查查询询、在在逃逃人人员员、违违法法犯犯罪罪人人员员等等业业务务系系统统） 应应用用支支撑撑平平台台 计计算算及及网网络络、主主机机、数数据据库库、应应用用服服务务环环境境 移移动动接接入入区区 公公 安安 信信 息息 网网 标标 准准 规规 范范 体体 系系 移移动动应应用用服服务务平平台台 公公 安安 机机 关关 图 4-3：b 模式结构图 移动警务接入平台及应用系统采用两种模式组合使用的方式， 对于常用的数据查询应用，主要涉及开放数据和简项数据，不涉及 内部敏感数据，则采用 a 模式，以提高系统响应性能；对涉及内部 敏感数据、详细数据等查询和写操作，则采用 b 模式。系统架构图 上海平安建设移动警务接入平台及应用系统可行性研究报告 24 如下： 安安 全全 保保 障障 体体 系系 运运 行行 管管 理理 体体 系系 公公安安移移动动用用户户及及移移动动警警务务终终端端 移移动动通通信信网网 移移动动接接入入服服务务平平台台 安安全全隔隔离离层层 安安全全隔隔离离设设备备 移移动动数数据据同同步步模模块块 应应用用支支撑撑平平台台 计计算算及及网网络络、主主机机、数数据据库库、应应用用服服务务环环境境 移移动动接接入入区区 公公 安安 信信 息息 网网 标标 准准 规规 范范 体体 系系 移移动动应应用用服服务务平平台台 移移动动应应用用 数数据据库库 同同步步数数 据据库库 移移动动应应用用服服务务平平台台 公公 安安 机机 关关 公公安安应应用用系系统统（在在逃逃人人员员、违违法法犯犯罪罪人人员员综综合合查查询询业业务务系系统统等等） 图 4-4 上海移动警务系统的系统架构图 图中第一层是公安信息移动应用的使用者，所使用移动设备包 括 pda、手机、笔记本电脑等各种移动终端设备。 图中第二层是移动通信网络，包括各种公共移动通信网络。 图中第三层是移动接入服务平台，它负责移动终端的安全接入， 同时移动终端的访问请求传递到应用服务平台。 图中第四层是放在移动接入区内的移动应用服务平台。 图中第五层是网络安全隔离层，它使得公安信息网与移动接入 区在任何一个时刻都不会直接相互连接，在实现公安信息网和移动 接入区隔离的同时，还负责公安信息网和移动接入区之间的数据传 递和转发。 图中第六层是放在公安信息网内的移动应用服务平台和移动数 上海平安建设移动警务接入平台及应用系统可行性研究报告 25 据同步模块。移动应用服务平台响应并处理来自移动接入平台的移 动应用请求，利用公安信息网内的应用系统、数据库、综合查询平 台和应用支撑平台，满足公安移动应用的需要。移动应用同步系统 负责公安信息网与移动接入区的数据同步工作，移动数据同步模块 向外网移动应用数据库提供数据。 图中第七层是应用支撑平台，它是面向应用程序的，是为应用 系统提供运行环境。应用支撑平台中的认证系统对用户提供统一认 证，实现一点登录全网漫游。在实现跨地区跨部门的业务处理时应 通过应用支撑平台中的请求代理服务系统和公共数据交换系统实现 不同地区、不同系统之间的互联、互通、互访。 图中第八层是系统运行环境，包括计算机网络、主机、数据库、 应用中间件环境，它为公安信息公网移动接入及应用系统提供了物 理上的保证。 图中左、右、中三部分分别为安全保障体系、运行管理体系和 标准规范体系，它们始终贯穿于该图的各个层面。对各层面的访问 操作、运行管理、开发设计进行有效的控制和规范，保证和维护各 个层次正常有序地工作。 4.3.3 移动应用计算模式移动应用计算模式 4.3.3.1 c/s 计算模式计算模式 c/s 计算模式是目前基于手机终端的主流开发模式，其安全解 决方案有两种解决形式，一是在实现 ipsec 安全接入的终端上，移 动应用与安全无关，其移动应用开发等同于在普通网络上的开发； 二是在没有实现 ipsec 安全接入的终端上，一般采用 ssl 的安全接 入，此时，移动应用需要调用安全平台的安全接入 api，通过安全 平台的 api 函数，实现移动终端的安全接入，在此基础上实现移动 上海平安建设移动警务接入平台及应用系统可行性研究报告 26 应用。目前，主要的开发方式有 kjava、brew、vc 或 vc embed，任 何一种开发方式都能满足移动应用的需求，可以由移动应用开发商 自由选择。 1 1、kjavakjava： kjava 是可用于掌上设备的操作系统与编程语言，是 java 技术 在无线小终端设备上的延伸。它具有跨平台、平台开放和易于动态 下载的特性，使第三方开发者可以为掌上设备开发 kjava 应用程序。 kjava 的最大特点是跨平台和动态下载，其跨平台特性便于应 用开发商开发可应用不同平台的移动应用，其动态下载特性适用于 移动应用程序分发比较困难的情形。 2 2、brewbrew： binary runtime environment for wireless（无线二进制运行 环境）是一种基于 cdma 网络的技术。用户可以通过下载应用软件到 手机上运行，从而实现各种功能。brew 位于芯片软件系统层和应用 软件层之间，提供了通用的中间件，直接集成在芯片上，不必通过 中间代码就可以直接执行，在整个系统中仅需约 150k 的存储容量。 brew 支持各种加密算法，开发商只需直接通过 api 接口调用对 称加密算法 rc4、非对称算法 rsa、ssl 算法、hash 函数等基本函数， 不用再次开发。brew 方式的优缺点同 kjava 类似，但目前在安全性 和终端表现的一致性上要优于 kjava 方式，不过，brew 是高通公司 的专利技术，开放性不如 kjava。 3 3、evcevc 和和 vcvc： evc 是基于 microsoft wince 操作平台移动应用的典型开发工 具，该工具和 vc 一样，对系统底层的控制开发能力很强，控制粒度 上海平安建设移动警务接入平台及应用系统可行性研究报告 27 细，能够满足复杂应用的开发需求，是被广泛采用的开发平台。 vc 开发平台是在以 symbian 为操作系统的手机上被广泛采用的 移动应用开发工具。 4.3.3.2 b/s 计算模式计算模式 b/s 计算模式是固定网络上的最基本、最广泛的计算模式，由 于是零客户端，系统部署、维护成本都非常低，移动终端实现移