合众视频集控系统白皮书7.0.doc

杭州合众信息工程有限公司 1 合众视频集控系统合众视频集控系统 白皮书白皮书 Version 7.0 杭州合众信息工程有限公司杭州合众信息工程有限公司 20112011 年年 7 7 月月 合众视频集控系统白皮书 杭州合众信息工程有限公司 2 目录目录 背景概述背景概述.1 产品用途产品用途.2 视频接入业务注册 .2 运维报警 .2 流量监控 .3 实时统计 .3 产品组成产品组成.3 产品功能产品功能.4 注册管理功能 .4 级联功能 .4 运行监控功能 .5 设备监控.5 业务监控.5 流量监控.6 用户监控.6 接入对象认证 .6 审计 .7 在线连接.7 VIP用户.7 用户行为审计.7 报警 .8 设备报警.8 业务报警.8 接入对象认证报警.8 报表 .9 产品特点产品特点.9 符合规范 .9 零客户端 .9 设备监控全面 .9 流量监控 .10 报警及时准确 .10 型号与指标型号与指标.10 产品资质产品资质.11 合众视频集控系统白皮书 杭州合众信息工程有限公司 1 背景背景概述概述 各地纷纷采用视频安全接入系统作为视频专网图像资源接入单位内网的安 全设备，视频安全接入系统是符合国家保密局核公安部网络隔离和数据交换标 准的专用安全产品，它基于对各种视频传输和控制协议的理解，支持各种主流 的视频协议。视频安全接入系统能够提供网络隔离、身份认证、访问控制、视 频服务对象认证、格式过滤、内容检查、单向传输控制、审计等多种安全服务。 。 但是由于视频接入的就近原则，使用视频安全接入系统进行视频专网接入 往往采用县-市-省三级接入，每级用户通过当地的视频安全接入系统接入当地 的视频专网图像资源，这样就造成在市或省管辖范围内多套视频安全接入系统 同时存在的现象出现。随着视频安全接入系统在本省或者本市的部署，如何以 先进的技术手段，确保视频接入平台的建设、运行、维护受到各级信息化部门 的有效管理和监测，是视频接入安全管理工作的重点。 该技术手段不仅涉及技术问题，并且和视频接入业务及信息化部门的管理 需求紧密相关。为此，合众公司专门研发的“视频集控系统” ，使得各地视频接 入处于统一管理和控制之下，从而确保视频接入过程中单位内网的整体安全。 产品用途产品用途 为保障视频接入链路的安全和稳定运行，需要对区域内所有视频接入链路 进行安全监控、管理与维护，统计与分析，形成对全网视频接入情况的集中管 理。杭州合众结合视频监控管理的特殊需求研发出视频集控系统。 合众视频集控系统包括两个子系列4个产品型号，其中VG-CM-350和VG-C M-360两种型号仅对本级网络中的视频接入链路进行安全监管，而VG-CM-355 和VG-CM-365两种型号对本级和下级网络中的所有视频接入链路进行安全监管 。 视频集控系统能够实时查询各区县/地州/区省厅的视频接入业务注册信息 合众视频集控系统白皮书 杭州合众信息工程有限公司 2 、视频监控系统基本信息、视频接入对象认证信息、用户身份认证信息、在线 用户、在线流量、报警信息等功能。能够显著提高视频接入的可控、可管理性 ，并有效降低视频接入运行管理与维护的复杂度。 视频集控系统能提供以下服务： 对视频接入业务以及使用终端的注册对视频接入业务以及使用终端的注册 对视频接入业务的监控和管理对视频接入业务的监控和管理 对视频安全接入系统的监控对视频安全接入系统的监控 对视频接入业务运行的统计分析对视频接入业务运行的统计分析 对业务运行和使用用户进行审计分析对业务运行和使用用户进行审计分析 视频接入业务注册视频接入业务注册 根据公安部下发的边界接入平台视频接入链路安全规范对视频接入业 务管理的要求，需要提供不同层次的注册和管理功能。包括对每一条视频接入 链路的建设情况、运维情况、链路情况、设备情况进行详细登记；对每一个视 频接入业务的视频接入对象信息、使用终端的身份信息、设备信息进行详细登 记。 运维报警运维报警 视频集控系统管理着区域内所有的视频安全接入系统，在这些设备上同时 运行着分属不同网络的视频接入业务，由于视频接入业务跨越内、外两个不同 的网络，所以传统网络管理和安全管理软件无法对边界视频接入点统一管理。 视频集控系统通过外网监控探针，采集视频安全接入系统的运维数据，并 通过安全策略主动探测各设备的运行状态。如果设备或者业务出现故障，系统 可以实时调用短信网关接口向管理员手机发送报警短信，方便管理人员对平台 的监控与管理。 流量监控流量监控 视频接入业务流量巨大，但是各地的内网的带宽有限，如果由于视频接入 合众视频集控系统白皮书 杭州合众信息工程有限公司 3 而造成内网带宽被大量占用，并影响用户单位各种业务的正常开展，就得不偿 失了。所以视频集控系统具有流量监控与报警功能，它实时监控各地视频接入 业务的流量，如果流量超过事先设置的阀值，则马上向管理员报警，必要时还 可以在线停止该视频接入业务。 实时统计实时统计 区域内各个视频接入点上运行着分属不同网络的各种视频接入业务，需要 以管理视角提供全面的统计功能，视频集控系统能够实时看到各种业务当前的 运行状态（正常、异常）和当前日流量、总流量等。能够根据视频源、根据使 用单位、根据使用终端来统计任意时间段内的流量、登录次数、登录时长、报 警次数等重要信息。 产品产品组成组成 视频集控系统由集控系统服务器和集控探针组成。 由于处于单位内网的集控服务器无法直接监管处于外网的各种设备，所以 需要在边界保护区安装集控探针。集控探针是构建在工控机基础上的专用硬件 设备，采集外网各种设备（如防火墙、三层交换机、视频服务器、视频接入认 证服务器）的日志信息，同时监听外网设备的使用状态、流量、异常报警事件 等等。 集控服务器根据内部网络安全管理的特点，可融合多种网络管理产品和网 络安全管理的技术，提供统一集中的管理体系；它以用户为核心开发，从用户 关心的基础业务信息入手，更贴近用户的管理需求，提高系统的可用性。它提 供更灵活广泛的系统接口，提供接口给单位内网内部统一网管平台、短信报警 平台调用。 合众视频集控系统白皮书 杭州合众信息工程有限公司 4 I IP P传传输输网网络络 省省级级内内网网 路路由由接接入入区区安安全全隔隔离离区区 L LA AN N接接入入 光光纤纤 专专线线 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 运运营营商商平平台台 视视频频服服务务器器 L LA AN N接接入入 内内网网交交换换机机 I IP P传传输输网网络络 县县（区区）视视频频接接入入平平台台 路路由由接接入入区区安安全全隔隔离离区区 L LA AN N接接入入 光光纤纤 专专线线 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 运运营营商商平平台台 L LA AN N接接入入 内内网网交交换换机机 县县（区区）视视频频接接入入平平台台 路路由由接接入入区区安安全全隔隔离离区区 L LA AN N接接入入 光光纤纤 专专线线 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 运运营营商商平平台台 L LA AN N接接入入 县县区区内内网网 路路由由接接入入区区安安全全隔隔离离区区 L LA AN N接接入入 光光纤纤 专专线线 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 全全球球眼眼网网络络 摄摄像像机机( (带带云云台台) ) 运运营营商商平平台台 L LA AN N接接入入 县县区区内内信信网网 使使用用终终端端 使使用用终终端端 地地市市内内网网 使使用用终终端端 使使用用终终端端 视视频频服服务务器器 视视频频服服务务器器 视视频频服服务务器器 使使用用终终端端 使使用用终终端端 使使用用终终端端 使使用用终终端端 市市视视频频集集控控系系统统 省省视视频频集集控控系系统统 视频安全 接入系统 视频安全 接入系统 视频安全 接入系统 视频安全 接入系统 产品功能产品功能 合众视频集控系统的主要功能如下： 注册管理功能注册管理功能 包含视频接入业务信息注册和使用终端信息注册两部分；视频接入业务信 息注册包括视频接入对象信息、接入链路信息、终端数量信息、使用单位信息、 接入设备信息等；使用终端信息注册包括使用人信息、使用终端 IP 地址、审批 信息等部分组成。 运行监控运行监控功能功能 设备监控设备监控 监控视频接入链路上各种设备的 CPU 使用情况，内存使用情况，负载情况 合众视频集控系统白皮书 杭州合众信息工程有限公司 5 等，通过监控此类数据来分析该设备的运行情况。 业务监控业务监控 在视频业务监控信息中会显示视频业务的类型、业务总数、业务状态和当 日流量。 流量监控流量监控 对所配置的视频接入业务的流量监控，主要监控该业务的客户端连接总数 和该业务的数据总流量。如果流量超过事先设置的流量阀值则马上报警。 合众视频集控系统白皮书 杭州合众信息工程有限公司 6 用户监控用户监控 可以实时的展现视频接入业务的在线用户数，用户身份认证标识等信息。 可以根据需要将指定用户强制下线，可以查看用户的历史行为审计。 接入对象认证接入对象认证 视频接入对象认证功能是对视频服务器合法性进行认证的一种功能，视频 接入对象认证保证非法的视频服务器不能接入单位内网。视频集控系统采集各 个视频安全接入系统认证的视频服务器信息，供管理员集中监控管理。 已认证服务器查询已认证服务器查询 查询区域内所有已经通过认证的视频服务器的信息，包括服务器认证信息、 当前状态、在线用户等。 合众视频集控系统白皮书 杭州合众信息工程有限公司 7 审计审计 在线连接在线连接 用于查询视频接入业务的在线用户和在线连接情况。使管理者方便的看到 所有视频接入业务的在线客户端的 IP 地址、在线客户端登录时用户名等信息。 VIP 用户用户 用于查询视频接入业务的 VIP 用户情况。由于视频安全接入系统同时服务 的终端数量有限，所以当在线用户总数达到极限时，其他监控人员无法登录。 因此设置了 VIP 用户，此类用户可以随时插入监控服务队列，不受用户总数的 限制。 通过视频集控系统，可以查询登录视频接入业务的 VIP 用户的信息，包括 登录时使用的 IP 地址、登录时长、登录次数和流量等。 用户行为审计用户行为审计 对于视频集控系统而言，使用用户行为的审计是非常重要的。例如，某个 IP 的用户频繁采用不同的账户来登录，并且每次登录都失败了，那么这个 IP 合众视频集控系统白皮书 杭州合众信息工程有限公司 8 用户就很有可能在做暴力测试；某个 IP 用户登录上视频系统后，发送了大量非 法的请求包，那这个 IP 的用户有可能在尝试攻击视频服务器。用户行为审计功 能就是将客户端的种种行为（包括正常登录事件，非法登录事件，视频回放请 求、实时访问请求、退出事件等等）展现出来供管理者进行分析。 报警报警 视频集控系统的报警分为三种：设备报警、业务报警和服务器报警。 设备报警设备报警 设备报警是通过两种方式发现设备故障：采集网管信息来判断设备是否故 障，一旦故障则启动报警；通过主动安全策略（PING 或 TELENET）来主动发 现设备是否故障，一旦故障则启动报警。 业务报警业务报警 其中业务报警是通过采集视频安全接入系统向集中监控系统发送的日志信 息来判断视频接入业务是否停止等故障信息，一旦故障则启动报警。 接入对象认证报警接入对象认证报警 当视频接入对象认证失败时，视频安全接入系统将报警信息上报至视频集 控系统，供管理员查询。 合众视频集控系统白皮书 杭州合众信息工程有限公司 9 视频集控系统支持报警信息对外发送功能，包括短信报警和邮件报警等， 对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置。 报表报表 支持多种报表方式，能够按需提供流量报表、用户连接数报表、故障报表、 告警事件报表等。 产品特点产品特点 合众视频集控系统的主要优势如下： 符合规范符合规范 符合边界接入平台视频接入链路安全规范相关要求的业务注册和平台 注册功能。 零客户端零客户端 完全B/S中文界面，显示直观，管理员在任何有浏览器的机器上通过管理 员证书登录管理控制台，进行系统配置和管理，流程简捷，操作方便。 设备监控全面设备监控全面 通过标准接口全面管理边界接入点上的所有设备，包括各种厂商各种型号 的防火墙、网关设备、路由器、交换机、视频网闸、视频接入认证服务器、视 频用户认证服务器、视频服务器、硬盘录像机等等。 合众视频集控系统白皮书 杭州合众信息工程有限公司 10 合众视频集控系统支持设备众多、管理范围广、采集数据多，采用专用的 仪表盘技术来展现监控结果，方便管理员使用。 流量监控流量监控 系统通过与视频安全接入系统的实时通信获得业务流量信息，并根据事先 定义的流量阀值设置流量报警，当某个业务流量超过限制，则可以激发通过短 信、页面和邮件的报警行为。 报警及时准确报警及时准确 合众视频集控系统支持各种短信系统，实现短信报警。 型号与指标型号与指标 产产品型号品型号 VG-CM-350VG-CM-360VG-CM-355VG-CM-365 说说明明 VG-CM-350 和和 VG-CM-360 两种型号两种型号对对本本级级网网络络中的中的视频视频接入接入 链链路路进进行安全行安全监监管，大多数管，大多数视频视频接接 入方案中采用此系列入方案中采用此系列设备设备 VG-CM-355 和和 VG-CM-365 两种型两种型 号号对对本本级级和下和下级级网网络络中的所有中的所有视频视频 接入接入链链路路进进行安全行安全监监管，当用管，当用户户明明 确有管理下确有管理下级