平安城市监控平台建设方案

1 平安城市监控平台建设 项目技术 方案 郑州圣安电子科技有限公司 2010 年 10 月 2 目录 平安城市监控平台建设项目技术方案 . 1 一、项目概述 . 3 1.1、项目背景 . 3 1.2、项目需求 . 4 二、方案介绍 . 6 2.1、方案设计原则 . 6 2.2、详细解决方案介绍 . 7 2.2.1、平台总体介绍 . 7 2.2.2、视频监控管理中心 . 9 2.2.4、网络系统 . 16 2.3、平台系统功能 . 17 2.3.1、 分级分域的管理功能 . 17 2.3.2、 认证功能 . 17 2.3.3、 用户管理 . 17 2.3.4、 权限功能 . 18 2.3.5、设备管理 . 19 2.3.6、系统管理 . 19 2.3.7、扩展功能 . 20 2.3.8、互联互通功能 . 22 2.4、监控业务功能 . 23 2.4.1、实时视频浏览 . 23 2.4.2、远程控制浏览 . 24 2.4.3、存储管理功能 . 26 2.4.4、录像回放及复核 . 27 2.4.5、音频管理功能 . 27 2.4.6、告警管理功能 . 27 2.5、平台特点 . 28 2.5.1、满足大规模的接入 . 28 2.5.2、各部门的共享调用、分级控制 . 29 2.5.3、技术先进 . 30 2.5.4、开放性和扩展性，使能多种应用 . 30 2.5.5、安全性设计 . 30 三、平台功能模块介绍 . 35 3.1、平台软件 . 35 3.2、客户端软件 . 36 3.3、 redhat Linux . 37 四、硬件设备选型 . 41 4.1 网路高清智能球型云台 EYE-IPT-0618M . 41 4.2 中心网络存储 EYE-S2016B . 43 4.3 数字显示终端 CCW-08D/T . 44 4.4 网络控制键盘 Mega Key-sk44 . 45 4.5 中心服务器 IBM X3650 . 46 3 五、系统防雷设计 . 47 六、系统供电与控制室要求 . 48 七、工程实施 . 48 1、项目组织与工程实施 . 48 项目管理流程 . 48 双方分工界面 . 48 施工文档管理 . 48 工程管理及职能 . 49 工程施工流程 . 50 工程施工机具 . 50 工程施工计划 . 51 2.技术文档交接 . 52 技术支持 . 52 质量保证体系 . 52 安全管理体系 . 53 八、系统的验收及售后服务 . 55 1、工程竣工 . 55 2、工程初步验收 . 55 3、工程正式验收 . 55 4、售后服务保证 . 56 一、 项目 概述 1.1、 项目 背景 随着经济的发展、城镇建设速度加快，导致城市中人口密集、流动人口增加，引发了城市建设中的交通、社会治安、重点区域防范等城市管理问题，今后现代化城市的建设必然将安全作为重中之重，与城市的经济建设处 于同等重要的地位。“平安城市”建设的重点也就是要保障在城市中生活、工作的人们人身财产安全不受到危害。目前城市治安管理中，由于城市面积大，人口增加等原因，而公安警力增加远不能满足实际需求的速度，如何将科技手段转化为直接战斗力，城市治安视频监控成为了解决该问题的重要手段。如何以及采用何种大型的网络 4 化、智能化的视频监控系统作为城市的绿林军，将成为行政职能部门的考虑重点。城市治安监控的重点主要集成在道路交通、治安协管两个部分。治安协管主要涉及到商业金融中心、社区、娱乐中心周围地带、重要单位周边、城市重点场所等，出现 异常即可报警，并可跟踪定位可疑目标，便于事后对突发事件的取证及调查等。道路交通部分主要为重点路段、关卡；通过实时监控车流量，控制并调配通勤情况，以缓解城市交通压力。同时道路交通可合并智能交通，通过对于违章车辆的超速、闯红灯等进行抓拍、记录、处理。全面构建和谐社会。在监控点的设立同时，将系统与城市中各派出所及上级公安分局到总局的多级联网，并与城市110、 119、 122 网络合并，保证事件发生时，道路管理、公安、交通执法等职能部门能第一时间把握现场画面情况，并协助上级指挥现场，做到有理可寻，有据可依，大大提高管 理者的管理效率。 本次平安城市监控平台的建设主要是通过对前端 200 个摄像采集点的视统进行统一监控及管理，以实现 城市 建设 的平安和谐 。 1.2、项目需求 本次平安城市监控平台建设项目，需要在应急指挥中心部署一套视频监控管理平台。通过平台可任意调看前端 200 路视频采集点的视频图像，并且平台可控制前端采集点的摄像机。 200 路图像通过本项目专用网络传输至应急指挥中心，在应急指挥中心进行统一存储便于今后的取证工作。 平台总体设计 采用“分级负责、综合协调、统一指挥” 的思路。 分级负责 指以一定的地理区域来划分监控范围， 一般以派出所、街道办、社会单位等为基本单元，各个基本单元对所辖范围内实现分级负责机制。 综合协调 指区级或城市监控中心对所辖的各个区域进行资源协调，实现不同区域之间的信息沟通、衔接，便于处理特殊情况。 统一指挥 指在一定区域内设置区级监控中心，便于收集辖区内的各个基本单元信息，区级监控中心汇总到城市监控中心，实现集中管理功能，便于对重要事件的统一指挥。 同时，必须考虑第三方系统及设备的兼容性，兼容已有的系统及设备，实现不同品牌之间的相互操作，支持其直接接入成为城市监控系统的一部分，保护用 5 户前期投资的价值 。 提供图像存贮、实时监控、预警联动功能 图像存储：城市监控系统中必须实现图像存储功能，以便于事件的查询、分析、判断等。 实时监控：中心设置大屏幕显示墙，采取直观、简洁的操作方式，实现对图像的实时监控、操作功能。 预警联动：随着社会治安的综合化管理需要，城市监控系统不但发挥其基本的视频监控、图像存储功能，还可以提供预警分析、跨系统联动等功能。如可以对特定区段、通道进行行为分析，发现行迹异常及时提供预警信息；对重要出入口的人员面部特征进行分析，一旦有可疑人员出现，提供系统联动处理措施。 采取不同流媒体传输策略 适合不同的网络环境 城市中不同区域的网络条件和环境均有差异，监控中心与前端接入点的连接方式各异，系统必须具备适合多种网络连接、多种网络环境（有线 /无线、公网 /专网、 IP 网络 /非 IP 网络）的管理能力。 平台具备视频流媒体多级管理的调度策略，实现视频流的多路分发、多级播放，适合于多用户、多级别的分层次视频调用，具备中心集中存储机制。 系统实现各个节点状态或信息在线实时监测，严格的权限管理、干线控制，专用的数据库记录配置信息和系统日志，提供客户定制的报表输出，支持系统冗余备份，系统开放性高并兼容第三方的设备或系统 。 发挥网络化平台优势、实现预案编程管理能力 平台是一套网络化的视频监控管理集成平台，融合多级视频管理、统一设备接口、预案编程引擎、分布身份认证、级视频分析、第三方集成接口、 Web 浏览等先进和开放技术。 平台可以结合城市管理的业务需要，实现预案编程引擎管理，将各种设备、条件作为预案元素，实现各种逻辑关系编程，使用规则引擎解析生成规则，在触发事件发生后自动执行或手动执行预案程序。 平台对于网络中的任意一个节点，融合城市报警网络的汇总信息，根据用户权限调阅相关图像及信息资源，以适合不同级别和类型用户的管理需要， 发挥公安信息专网的优势，满足领导随时、随地建立“虚拟监控中心”的战略管理需要， 6 充分发挥领导的决策指挥优势，保障城市应急处理机制的快速反应能力。 二、方案介绍 2.1、方案设计原则 平台建设除严格按照本技术要求规定的系统功能、系统设备、视音频编解码、视音频流传输格式等要求执行外，还应遵从以下原则： 大容量 平台架构要求支持大容量前端设备接入、媒体转发、客户接入及录像存储，保证在大容量情况下的长期稳定运行。 开放性 平台系统内应采用统一成熟的管理平台，实现与基层单元、系统前端设备用户终端之间的通信和共享数据 ；应能够实现不同厂商、不同规格的设备或系统间的兼容和互操作，确保未来真正实现互联互通、资源共享。 扩展性 平台系统 硬件 设备 、数据库以及系统软件应具有良好的可扩展性能，能保证现网业务正常 运营 条件下对系统进行扩容 、 调整 、 优化。 系统的设计应采用模块化设计，以适应系统规模扩展、功能扩充、配套软件升级的需求。主要包括以下几方面： 媒体可扩展 :要求平滑支持接入新的视音频编码格式。 功能可扩展 :增加新的功能，应当避免对该平台进行大规模的修改。 容量可扩展 :根据内部访问量的增加，扩展平台的容量。容量的扩展应该不影响现有 的系统架构和业务开展。 业务可扩展 :要求可根据新的运用增加新的增值应用。 规范性 系统设计应符合防护对象风险等级与防护级别的要求。控制协议、传输协议、接口协议、视音频编解码、视音频文件格式等除应符合本技术要求及其他监控报警联网系统相关标准中的规定外，还应符合相应国家标准、行业标准的规定。 可移植性 7 平台 还应具有较强的可移植性、可重用性，保证在将来发展中迅速采用最新出现的技术、长期保持系统的先进。 安全性 平台应 提供多种安全手段保证各种数据不被非法盗用和修改伪造，保证数据不因意外情况丢失和损坏 。系统具有 防雷击、过载、断电、电磁干扰和人为破坏等综合安全防护措施。 可靠性 平台应采用成熟的技术和可靠的设备，关键设备应有备份或冗余措施，系统软件应有备份和维护保障能力，并有较强的容错和系统恢复能力。 可维护性 平台应该易于维护，提供统一的维护界面并通过该界面能对远程设备进行管理和维护：包括实时监控、远程重启等。平台应该易于分析和测试、易于发现和定位故障，并通过良好的系统设计保证故障的隔离。 可管理性 应具有良好的管理手段，方便对网元设备、操作系统、数据库、文件管理系统及应用程序等进行有效地监控、管理与维护 。 易操作性 应具有良好的人机操作界面、详细的帮助和提示信息，可以通过操作界面完成系统参数的维护与管理。 实用性 平台在保证符合标准规范、满足使用要求的前提下，系统应尽量简化，降低运行维护成本，达到系统一次性投资和长期运行维护成本最优的要求。 2.2、 详细解决方案介绍 2.2.1、平台 总体介绍 平安城市监控平台由应急指挥中心、 视频 监控 管理中心 组成。整个平台组 8 成示意图如下： 9 如上图：视频监控管理中心由中心管理服务器、数据库服务器、接入服务器、分发服务器、存储服务器、业务管理终端和系统维护终端组 成。 应急指挥中心由电视墙（数字大屏）、显示服务器、主控台组成。其中电视墙（数字大屏）在本次项目建设当中不考虑建设，利用原有的电视墙（数字大屏）即可。 同时视频监控管理中心和应急指挥中心作为平台的核心层，采用高带宽以及高性能的 IP 网络系统作为核心层的骨干网络。 整个平台兼具 B/S 和 C/S 架构，用户可通过 WEB 方式或是软件客户端利用互联网远程访问及控制平台，实时观看前端采集点摄像机的视频图像或控制前端云台。 2.2.2、视频监控管理中心 、中心管理模块 中心管理服务器组是系统的核心，主要完成业务 管理、用户和设备管理、系统管理（工作状态监视管理；命令请求响应、视频调度控制、动态 ip 解析、）等功能。提供管理整个系统的设备、配置设备参数、对营运状态进行监测、故障维护、历史日志的查询分析以及为公安提供业务管理、用户管理的平台。它主要包括业务管理、用户管理、系统维护几大模块： 业务管理： 为开户和销户，提供信息录入界面，完成用户机构的建立，完成用户帐号以及密码的建立、开通、增加、减少、删除以及变更，确认前端设备的数量安装地点以及性质，完成查询用户的使用情况。 用户管理： 完成用户管理，建立不同角色的操作帐号：系 统管理员，业务操作员，维护操作员。 增近了系统及时灵活故障告警功能，特别添加了设备故障及时在线通知功能，对于未在线人员会在再次登陆时弹出告警信息。 针对前端安装分散的特点特别提供了前端程序自动远程更新，启动的功能。解码器，矩阵，报警器的协议上传功能。使得电信系统维护人员可以有效地跟踪、控制、配置和查看系统的运行状态，以保证系统软硬件的稳定运行 10 系统维护： 用于对整个系统的设备管理、参数配置、状态查询和管理，能够对整个系统的营运状态进行监测、参数设置、故障维护和历史日志的查询分析，及时的故障报警功能，系统满足电 信所需要“可管理、成熟、稳定”服务的强大系统中心管理平台。使得电信系统维护人员可以有效地跟踪、控制、配置和查看系统的运行状态，以保证系统软硬件的稳定运行，配合操作维护中心或网管中心监控、分析和查询所有最终用户的使用状态和历史 ,对故障进行测试诊断与定位。 每个中心管理服务器的压力直接来自于接入发送的请求种类和数量，通过上面接入负载能力的分析中可以得到中心接收到的最大的负载为权限认证部分。 考虑系统要求有一定的冗余和各地平台的实际部署经验，建议可按照 20%的在线用户， 10%的并发用户进行计算配置。 参照平台技术 参数表： 视频请求处理能力： 60 笔 /每秒 视频请求 用户在线率为路数 *20%，并发视频请求为在线用户的*10% 云台处理能力： 180 笔 /每秒 云台控制 在线用户数 *25%/180， 25%是在线用户并发云台控制请求数 设备注册处理能力： 40 笔 /每秒（前端 10 笔 /每秒，存储10 笔 /每秒） 设备注册 平台的前端路数为 1 到 2路，也就是说当平台重起所有的前端一起注册的时候会有1.5 个前端和存储一起向中心注册，正常情况下并发量并发率 0.5%计算 设备心跳： 30 笔 /每秒 设备心跳 平台的前端路数按照 1 到2 路，也 就是说前端一起注册的时候会有 1.5 个前端和存储一起向中心注册，每 120 秒会向接入发送一个心跳 11 电视墙： 30 笔 /每秒 电视墙 显示墙的路数为 6%，平均一个显示墙按照 8路计算。一电视墙的轮训的为 5秒中一次轮训。 、数据库模块 数据库模块由数据库服务器和磁盘存储介质组成，由于的核心运行数据和业务数据都存储在它上面，所以稳定系数要求较高。 对于数据库服务器的性能一般都根据整体测试来分析，单独针对数据库服务器进行性能测试并没有太大意义。从上研院测试情况来看，当并发请求达到 1000个时，数据库服务器的 cpu 占用率不超过 30，内存消耗基本在 1.8GB 左右。并且，数据库模块主要是与中心管理服务器有通信联系。 目前，我们的测试都是采用整体测试。所有的数据库访问都必须经过中心管理服务器处理，两者是作为一个整体进行测试的。 设备部署： 数据库存储需要提供足够的磁盘空间，以保存平台中各类业务数据信息，其中有： 前端设备基本信息：按摄像头的最大数计算 客户基本信息：企业客户端帐号的用户总数 最近 6 个月的在线并发用户操作运行日志，如用户登陆、视频请求、云台控制，参数设置和信息查询等操作 摄像头数 10% 3600 24 30 6 系统运行日志，如设备注册、告警、故障等 摄像头数 1/120 3600 24 30 6 每条信息按 256 个字节计算，共计约需要 1TB 的存储容量。 、接入模块 负责响应客户端和设备提交的系统请求服务。并进行视频分发和存储的调度 12 管理。 “访问服务”模块负责响应客户端和设备提交的系统请求服务。如视频请求、云台控制请求、报警处理请求、视频存储请求、认证转发等。 “调度服务”模块进行视频分发和存储的调度管理。对视频流请求指令进行调度。 接入服务器组是客户端和设备发送请求连接到中心平台的入口 ，它的稳定系数要求较高，因此从高可靠性考虑，接入节点可采用双机热备技术。确保在任何1台接入主节点服务器出现异常，备用机马上切换上来，接管原先的接入服务，以提高单个节点的可靠性。 从理论上说，目前单台接入服务器的网络连接数量可以达到 65535 个（以RedHat AS4 为例），由于操作系统本身会占用部分网络连接以及接入程序软件本身的性能优化原因，同时根据电信集团上海研究院的测试结果（ PC SERVER 服务器，一个双核 3.0GHz CPU， 1GB 内存，在达到 1000 个并发请求时由 LoadRunner模拟 1000 个 用户，在到达集合点的时候同时向接入发起连接送出请求， CPU 占用率不超过 15，内存消耗不超过 200M。在测试过程中主要进行的是登录和观看实时视频的测试）以及实际现网平台的应用经验得出，目前单个接入服务节点最大可支持 1800 个。 、分发模块 针对热点访问用于视频广播的，使用分发服务器减少了并发的访问量，节约了网络带宽，它可以部署在客户监控中心，也可以部署在客户监控点，也可以根据具体需要部署在该系统任何地方。它支持多级部署，并且有完善的触发机制。 平常用户客户端访问的合法图像，可以直接来自于前端视 频服务器，以便保证现场图像的实时性。但是在大量用户同时访问某个热点前端图像的情况下，前端服务器压力就非常大，且网络带宽也有一定限制，这样可能无法保证所有用户的正常连接、观看图像。 分发服务器就解决了这一难题。它根据事先设定好的启动触发条件，如前端的并发连接个数。当触发条件满足时，它从前端接收视频图像并转发给用户，而用户是无法觉察出他所观看的图像是来自于前端视频服务器还是分发服务器。 13 目前在电信集团上海研究院测试结果以及各地电信现网平台实际使用情况得出： 1000M 带宽网络独享的环境下，单台分发服务器最大可以满 足 800个 CIF 格式（每路视频以 512Kbps 计算）或 300 路 D1格式（每路视频以 1.5Mbps 计算）视频连接（包括视频输入、视频输出的合计数）的并发访问请求的能力。 其中测试所用的分发服务器硬件配置为：单 CPU 3.0GHz 1G 内存 、 中心存储 模块 中心 存储 服务模块的 存储管理不是单纯的磁盘管理，而是包括磁盘监控、存储配置管理、存储系统事件采集和报警、以及存储综合评估等一套完整的存储管理。 满足 各个部门 管理人员实时对录像资料 文件的存取、删除、目录管理和检索等 要求。 中心 存储 服务模块 根据管 理员设定的存储策略自动将需要保存的图像保存到指定的磁盘阵列去，并根据存储策略在存储录像到期后自动清除不需要的录像资料为新的存储提供空间。 不同的用户可以根据不同的需求设置实用于自己的存储策略，从而达到 在平台实现辖区范围内中心信息的长时间存储。 中心 存储 服务模块能 够兼容目前市场上所有主流的存储阵列，包括： 、 IBM、SUN、 EMC、 HP、邦诺、等产品。 因为采用地址查询方式，管理的存储容量不受限制。 具有存储文件查阅和集 14 中回放的功能，便于用户调用历史信息。 、 上墙解码显示 (视频解码器 ) 通用数字显示 终端 是一款多功能 数字显示 服务器，它支持 H.264 和 MPEG4 视频编解码协议， 而且还 支持不同厂家编码格式的同时显示、轮巡、报警弹出、画面分割等功能 ， 同时 还 支持 VGA 、 DVI、 BNC、 AV等多 种 接口 输出。 通用数字显示 服务器作为数字编码与模拟显示系统之间的一个衔接，为集中式数字监控解决方案提供了强有力的支持，实现多场景同时观看的需要。 工作环境 电源： 220V 交流稳压电源 网络连线：标准 100M/1000M 网线 布线规则：按照各地机房的本地规则和具体工程要求布线 温度：运行温度应保持在 10 C-35 C之间 湿度：湿度要控制在 10%-80%范围内 网络连接方式：支持局域网、 ADSL、光纤等多种连接方式 网络支持协议： TCP/IP 工作原理 15 数字显示服务器采用多对多的方式，将视频信号通过 BNC 接口输出到传统的监视器或者通过 VGA、 DVI、 AV 接口输出到大屏幕或显示器上 功能特点 用户可以在中心服务器认证下 ，投放 其权限范围内所有现场监控 的 IPC、 DVR、DVS等 前端设备，可以实现轮循 投放 、报警接警和报警联动、电子地图等功能 ； 屏幕锁定 ： 当用户离开操作界面，用户可以锁定客户端不允许非授权用户使用客户 端，用户再次使用客户端需重新登陆，这样保证了客户端使用的安全性 ； 轮循 投放： 提供自动轮循 、 手动轮循两种方式 投放 ，用户可以订制各自的分组，并且设置轮循的相关控制策略 ； 视频上墙 ： 以前端设备为视频输入源， 将视频信号通过 解码卡 、显示卡 输出到电视墙 上； 视频切换 ： 支持任意一路前端视频流在任意一个电视墙 、 监视器上进行视频的 切换； 嵌入式操作系统，系统稳定可靠，抗病毒攻击，可 7 X 24 小时连续不间断工作 ； 支持电视机、监视器、液晶电视、等离子电视、视频矩阵等多显示设备输出 。 16 、 中心时钟同步服务模块 视频 监控系统的重要作用之一是事后历史资料的备查，而历史视频资料的时间准确性对于案件的破获有着至关重要的影响，所以，为了保证整个分行综合视频监控系统中的视频数据有统一和正确的时间依据，使平台内所有相关设备能保持本机时间的实时同步。 NTP提供准确时间，首先要有准确的时间来源，这一时间应该是国际标准时间 UTC。这样就有了准确而可靠的时间源。时间按 NTP服务器的等级传播。按照离外部 UTC源的远近将所有服务器归入不同的 Stratun（层）中。 Stratum-1 在顶层，有外部 UTC接入，而 Stratum-2则从 Stratum-1 获取时间， Stratum-3从 Stratum-2获取时间，以此类推，但 Stratum层的总数限制在 15以内。所有这些服务器在逻辑上形成阶梯式的架构相互连接，而 Stratum-1的时间服务器是整个系统的基础。计算机主机一般同多个时间服务器连接， 利用统计学的算法过滤来自不同服务器的时间，以选择最佳的路径和来源来校正主机时间。即使主机在长时间无法与某一时间服务器相联系的情况下， NTP服务依然有效运转。为防止对时间服务器的恶意破坏， NTP使用了识别 (Authentication)机制，检查来对时的信息是否 是真正来自所宣称的服务器并检查资料的返回路径，以提供对抗干扰的保护机制。 前端设备与客户端采用接入网关时间进行同步，接入网关可采用 NTP方式与授时服务器进行同步，保证前端与客户端所显示时间一致，同时前端设备存储时间为标准时间。 2.2.4、网络系统 网络的快速发展与盛行，让网络视频监控可以一展所长 。一个具有优秀的带宽和整体性能的 IP 网是确保视频流有效进行传输的关键因素。 根据 本次建设项目的实际需求，整个平台核心要求提供的 200 路视频流的接入，如按照每路接入的视频为 CIF 格式，则整个网络系统核心层要求承载的带 宽至少为 2Mbps*200=400Mbps。 根据以上计算的结果，平台的网络核心层建设应采用千兆以太网技术。 17 所以在视频监控管理中心和应急指挥中心部署千兆以太网交换机。 2.3、 平台系统功能 2.3.1、 分级分域的管理功能 系统管理功能通过管理客户端实现，供系统管理人员使用，实现设备管理、用户管理、系统维护等功能，保障系统正常运行；在监控规模较大时，系统支持多级管理方式。主要包括功能如下： 2.3.2、 认证功能 用户使用 系统 提供的各项服务的时候，需要首先对其身份 做出 验证和授权 ，用户通过身份认证及授权后，可以 使用系统提供的服务。 系统拥有专门的认证模块统一管理用户认证，避免分散认证管理带来的不安全性，并且 认证系统功能可灵活扩展，满足新业务或新业务模式。 在使用视频监控业务时，用户使用用户名 /密码的方式通过客户端软件登录监控平台，在经过监控平台的认证授权后才能够使用此业务。用户登录系统时必须输入账号密码方可登录，密码采用 MD5 方式加密传输，同时还提供 USB Key 方式进行安全认证，为用户提供更高安全保障机制。 2.3.3、 用户管理 用户管理 功能包括客户开户 管理、用户 信息 查询、用户增加和删除、用户访问权限管理、用户 锁定解锁、资费管理功能、用户分组管理、用户访问记录查看。 系统 用户 分为系统维护用户和监控最终用户。为了保护监控最终用户的隐私，消除用户关于对集中监控运营模式安全性的顾虑，系统维护用户不能进行视频浏览等与视频相关的操作，只能对系统的故障进行处理。 系统维护人员可以维护修改监控最终用户的信息。系统维护人员可以指定一个客户的同时在线用户数以及并发访问视频数，可以指定某一用户所能开通的 18 最大账号数。支持用户自管理模式，系统维护人员开通客户管理员，客户管理员可以根据自身的特点进行该客户下账号的增加以及权限分配。 系统通 过设置 “ 机构 ” 来组织 “ 用户 ” ，通过设置 “ 角色 ” 来分配权限。公安系统各级业务部门只对自己所属机构的设备具有管辖权限；公安各部门用户根据所属角色不同对属于自己机构的设备具有不同的管理权限。系统支持用户的角色定义。省公安厅用户拥有最高权限，可以查看整个系统内的任一视频图像；各级用户拥有对自己所管辖区域内的最高权限。当需要获取非管辖范围内的历史图像和实时监控图像时，需经有关部门的审核后取得有效授权。 2.3.4、 权限功能 系统可以对用户的权限进行创建、分配、修改、删除等操作； 支持分级管理权限机制，不同级别给予不同 的操作及管理权限；可以设置系统管理员、系统操作员、用户管理员、用户四级； 系统管理员具有最高权限，可创建用户管理员，完成用户开户，设置用户数量的操作；可配置及修改用户管理员的管理范围，实现对整个系统客户群的分群分级管理； 系统操作员可在系统管理员授权下进行操作，可在根据客户需求在营业系统中进行数据的录入、修改、维护； 用户管理员可对所属用户进行用户名创建、分配、修改、删除等操作，分配业务功能操作及管理权限，实现用户自主管理，如添加、修改、删除和查询对用户、用户权限、用户组及用户组的权限管理； 用户行使管理员 所赋予的操作及管理权限，可自主修改用户密码； 实现对用户权限的设置管理，管理包括：设备的操作权限、访问数据的权限、使用客户端程序的权限； 支持用户群组管理：承担对相同的一组设备进行管理的一群管理员，每个群都有群管理员。 系统 支持多级权限管理 ， 通过角色、权限、操作管理员、操作员组等多种手段对操作员的权限进行控制，各操作员只能在自己的权限范围内进行操作，不能越权操作。 19 系统权限分为系统管理员、系统操作员、用户管理员、用户操作员四级权限管理。业务系统可按照用户的不同角色分别记录业务操作日志的功能。 2.3.5、 设 备管理 配置设备属性：系统设备的属性包括设备的种类、型号、生产厂家、安装地点、接入线路方式、所属用户、使用状态等。设备都有一个唯一的设备 ID 作为标识；外围设备摄像机的属性包括摄像机的种类、型号、制造商、安装地点、接入线路方式、所属用户、使用状态等；前端编码器属性包括型号、生产厂家、安装地点、接入线路方式、所属用户、使用状态及相连的摄像机等；前端编码器有一个唯一的设备ID 作为标识； 所有设备进入系统后，均可自动向中心服务器注册。 设备注销：各设备在停止使用时可以进行注销，设备的注销对其关联的设备或系统会产 生影响的可给予提示；为用户的设备做注销标记，同时将用户的注销信息同步； 设备查询：可以按照设备的各项属性进行设备查询操作； 设备划归：可以将系统中存在的前端设备划归客户使用，可支持同一设备划归多个用户； 启 /停用设备：在某个设备需要暂时停止使用时，系统具有暂时停用该设备的功能，同时具有启用功能。 2.3.6、 系统管理 系统管理包括日志管理和网络管理。网络管理包括性能管理、配置管理、故障管理、安全管理功能。 日志管理：监控业务、应用相关的所有重要操作记录在应用日志，系统的所有操作记录在系统操作日志中，所有的告 警信息记录在告警日志中；日志能自动维护、导出和备份； 网络性能管理：提供网络资源节点的管理，自动获取网络拓扑结构及 20 网络的配置，实时监控设备的状态 ,了解整个网络系统配置及分布；实现根据管理区域的范围进行分群分级管理；通过对被管理设备的监控和轮询，获取有关网络运行的信息及统计数据；并能在所收集的数据的基础上，提供网络的性能统计，例如：网络节点设备的可利用率、网络节点设备的 CPU 利用率、网络节点设备的故障率、网络延时统计等、带宽统计利用率、对历史统计数据的分析功能； 网络配置管理：系统支持更新、升级等配置管理， 完成软件 /硬件的重新配置；配置管理数据库（其中包含网络设备、软件、操作级别、维护人员等信息）；管理设备的配置文件；配置网络节点设备部件、端口；配置网络节点设备系统软件；支持对网络硬件设备软件版本和配置文件的远程升级； 网络故障管理：在发生故障时，系统可以向维护人员或网管人员发出告警信息；系统可以配合操作维护中心或网管中心对故障进行测试诊断与定位，按指令完成软件 /硬件的重新配置，并具有一定的故障恢复功能； 网络安全管理：系统提供严格的访问控制，自动记录非法操作，并将系统的状态自动记录，以便系统出现安全问题时能 够容易地找到原因；系统对各种配置数据、统计数据采取备份、保护措施； 故障修复：当网络系统故障恢复后，系统能恢复正常工作，不影响系统的正常运行等。 2.3.7、扩展功能 电子地图 系统提供针对如交通、城管等行业用户常用的电子地图模块，并提供与其它专业 GIS 系统互联的二次开发接口，以兼容部分用户原有电子地图系统。 21 图像二次应用 系统提供专用的图像识别模块，可对特定图像进行跟踪抓拍，如收费站车辆、交通违规抓拍等，同时根据需要对图像进行二次处理，如图像识别、物体流量统计、图像质量改善等等 22 现场数 据采集 现场视频服务器可对监控现场的如温度、湿度、设备特殊状态等这些用户关心的信息采集并上传，同时后台系统可进行相关处理，如叠加至画面、传送给特殊用户等。 2.3.8、互联互通功能 与其它支撑系统的接口 平台已经具备与其它业务支持系统的互联接口，如 97 营业系统、 CRM 系统、BSS 系统以及互联星空等。 与其它应用系统的接口 平台采用标准的开放接口，可实现与其它行业用户的应用系统接口互联，如 GIS 系统、卡口系统等等。 前端设备的兼容性 平台现支持的终端设备，包括视频服务器、 DVR、网络摄像机等不同类型不同档次近 30 多款产品。平台可兼容接入的前端设备除公 23 司设备外，还有：海康威视、大华、博维、华清紫博、 CEC、北京浩特、武汉烽火、上海浩维、中星微电子、汉邦、大立、三立等厂家的全部或部分终端产品。 2006 年 5 月上海电信研究院对包括互信在内的 6 家厂商平台进行测试，确定 “平台在支持多前端厂家方面相对突出 ”摘录自中国电信集团第 66 号文件，同时在 2.5 测试报告中的产品在前端业务的互通性方面比较突出（中国电信电信级全球眼平台和终端评标测试总结报告 _总体评价中的 2.2节）。 2.4、 监控业务功能 监控业务功能通过智能手机、 专业电脑客户端、 WEB 客户端、大屏幕显示系统等设备实现，供具有权限的监控业务人员使用，具有远程媒体信息实时查看、历史信息调用等功能，实现相关人员的业务使用需要。主要包括功能如下： 2.4.1、 实时视频浏览 多画面显示：系统支持 1， 4， 6， 7,8， 9， 10， 13， 16 等 多种画面分割 显示 ， 支持 多种分辨率，以适应各种 应用需求 ，并可以实现全屏显示 ；对于每路视频，系统提供实时优先和流畅优先两种视频浏览模式，为用户呈现清晰、流畅的视频效果； 系统具有直观、友好、简洁的中文人机界面； 系统中心操控平台使用 Windows 图 形管理平台； 系统支持多用户同时监视同一路实时视频； 轮询播放方式：在同一个窗口，多路摄像机按照一定的时间间隔进行循环显示，称之为轮询。轮询方式方便用户查看更多的现场信息，系统的每个客户端可以设置 16 个轮询队列，并且可以设置每个轮询队列摄像机数量及视频切换时间；系统支持预置位轮询； 翻页浏览功能：对于用户有权查看的监控点，通过整体翻页功能，快 24 速查看整体情况。 巡航功能：对于支持巡航功能的摄像机，系统能够设置多个巡航轨迹，巡视某一区域现场的详细情况； 局部放大功能：系统具有画面局部放大功能，能够快速、清晰地查 看特定区域的细节画面信息，帮助使用者捕获瞬间重要的事件线索，如：快速行驶车辆的号码等； 视频遮盖功能：对于监控现场的某些区域（如： ATM 机密码输入区域）进行遮盖，保护用户的隐私不被泄漏； 图片抓拍功能：系统支持手动抓拍和告警联动抓拍功能，用户 可以抓拍 监控现场 实时 视频的 图片 和录像回放视频的 图片， 存储在指定的位置； 图片可 以 打印 输出 ，作为 事件 线索证据 、 文档素材等资料 ； 摄像机分组管理：系统能够按照监控点性质不同，为摄像机进行分组管理，实现视频监控资源的科学管理，如：街道组、广场组、车站组、网吧组、社区组； 收藏夹 管理：用户可以根据自身的业务特点，将常用的某些摄像机建立成专用收藏夹； 播放列表管理：播放列表代表特定的视频输出，系统能够保存多个播放列表，用户可以根据自己关注的视频资源建立播放列表，快速调用相应的监控现场视频。 WEB 浏览：系统支持在 WEB 页面上浏览用户自有监控系统拍摄的视频，具有常用视频格式的视频编解码功能，供用户登录 WEB 客户端后浏览。 支持图像资料的下载，并且下载的图像资料能在通用播放器上播放； 具有单独调整图像的亮度、对比度、饱和度、色彩，单 /多组合画面的切换放大等功能。 2.4.2、 远程控制浏览 多种控制方式：系统支持模拟键盘、鼠标、计算机键盘等多种控制方式，用户可以根据使用习惯选择合适的控制方式，同时，能够充分利用现有的模拟控制设备； 25 鼠标控制：系统除了支持通用的键盘等控制方式外，还具有独特的鼠标自动控制方式，通过鼠标上下左右滑动，控制摄像机的转动方向，调整镜头的焦距大小，给用户带来更加便利的操作方式； 云镜控制：通过 云台 ，控制摄像机 上、下、左、右 转动，摄像机镜头拉远、拉近，能够扩大或者缩小监控范围，全方位了解监控现场的视频信息； 焦距调整：通过调整摄像机焦距的大小，能够清晰显示现场的监控目标； 调整光圈：在现场不同光照条件下，通过调整摄像机光圈参数，调整光通量的大小，获取清晰的视频效果，系统支持自动和手动调整光圈方式； 争控管理：系统提供争控管理机制，对摄像头的控制权进行分配，以 26 保证一个摄像头在同一时间只有一个用户能控制；系统具有时间优先、权限优先等争控策略； 数模互控：在同一系统中，支持数字矩阵（多媒体交换单元）和模拟矩阵互相控制功能，便于系统互联，并且用户能够灵活选择操作习惯。 2.4.3、 存储管理功能 我公司提成的产品支持多 级存储方式：前端存储、中心存储、客户端存储、前端中心同时存储四种模式。 前端存储：前端接入模块具有本地存储功能，实现系统媒体信息前端存储的功能；采用前端存储方式，系统网络流量小，有效地降低网络压力，同时可以避免传输路由中断造成媒体信息丢失； 中心存储：在监控中心配置专业的、大容量存储设备，保存现场监控的媒体信息；采用中心存储方式，数据安全可靠，读写速度快，便于存储空间的扩充； 混合存储：媒体信息直接存储在前端接入模块，同时保存到监控中心专业的存储设备上，即：前端和中心同时存储，媒体信息同时存储在不同的位置， 进一步增加了媒体信息的安全性；在混合存储方式中，系统应支持前端和中心双码流存储技术，可在中心和前端分别设置不同的存储视频格式； 告警联动存储：通过外接告警或者移动侦测告警功能，触发存储动作，保存告警现场的媒体信息；支持警前预录功能，用户可以设置预录时间长短，保存完成告警活动过程，便于分析现场故障原因； 按时间段存储：根据实际使用情况，选择存储某些特定时间段的媒体信息，有效地节省存储空间； 条件组合存储：通过时间段和告警联动存储组合，设定存储策略，能够更加有效地节省存储空间； 磁盘管理功能：实时显示前端和中 心存储设备磁盘容量信息；可以为某个或某些摄像机设置额定的存储空间，当额定空间已满时，选择循环覆盖存储或者暂停存策略，并且上报存储状态信息。 27 2.4.4、 录像回放及复核 录像查询：系统可以按摄像机名称、存储日期及时间、告警信息等进行多条件组合查询录像文件；支持对中心录像和前端录像的媒体文件进行查询功能； 录像导出：系统支持多种录像文件导出方式，通过客户端软件或者前端接入模块，用户可以按照录像类型、日期及时间、摄像机名称等条件媒体视频文件，备份至硬盘、光盘等存储介质； 录像回放：对于存储的录像文件，系统支持在线 回放和下载本地回放功能，可以同时回放多个录像文件；可以选择 Windows Media Player等通用播放软件回放录像，并且支持快放、慢放、拖拽等功能； 录像复核：系统支持录像文件复核功能，能够自动进行长期保存经过核实的录像文件，以备后期查用； 录像文件分割和合成：系统能够将多个录像文件合成为一个文件，同时也可以将一个录像文件分割成多个文件，方便录像文件的管理。 2.4.5、 音频管理功能 现场声音监听：在监控中心浏览现场视频时，可以监听现场的声音，获取更加全面的现场信息； 中心语音广播：监控中心可以选择多 个监控现场，进行广播相同的语音信息，具有信息发布的功能； 语音对讲功能：监控中心与监控现场具有点对点的双向语音对讲功能，实现简单的信息沟通； 远程调节音量：在进行语音广播时，用户在监控中心可以远程调节监控现场的音量大小，便于选择合适的音量。 2.4.6、 告警管理功能 外接告警功能：监控现场的前端接入模块具有告警输入功能，通过安装在现场的告警探头，采集监控现场的烟雾、漏水、煤气、玻璃破碎、 28 开门等告警信息；可以设置告警的有效时间，并且能够远程解除告警功能； 移动侦测告警：在监控现场画面变化时，系统产生告警信息， 并且自动执行画面切换、视频存储等告警联动功能；每路视频画面划分多个移动侦测区域，可以设置敏感度和有效时间； 视频丢失告警：在拔掉视频电缆或者没有获取到视频信号情况下，系统产生无视频源告警信息； 镜头遮盖告警：在遮盖摄像机镜头时，系统自动产生告警信息，提醒工作人员注意； 告警联动功能：发生告警时， 自动 控制摄像机云台镜头动作， 切换 显示告警现场 视频 信息， 自动存 储告警现场信息， 自动抓拍 告警现场图片，并且以醒目的方式显示告警列表；自动开启现场的灯光，自动启动现场的警号，以及启动其他现场设备工作； 告警提示功能：发生告警时，监控中心具有声光告警、告警打印、告警短消息、语音告警、电子地图告警等多种输出告警方式；同时，告警信息也可以输出给其他的告警处理系统（告警派单系统等）；系统可将多种告警信息发送到网管系统中，便于维护人员及时发现处理故障。 告警查询管理：可以按照摄像机名称、日期及时间、告警类型等条件，查询历史告警信息；在 设置 媒体 与告警关联时，系统自动查找告警时间段内存 储 的 媒体 文件 ，便于用户了解告警现场的情况。 2.5、平台特点 2.5.1、满足大规模的接入 我们的平台架构设计是基于电信级平台产品的应用 考虑，不管是从摄像机、DVS 还是流媒体分发等方面，都是以上万或者百万数量级设计。以目前在各地平台的实际运营情况以及电信相关部门的测试结果，各方面情况良好。 对于覆盖数量达到上万点接入的大规模视频监控系统，至少要很好的解决三个问题： 29 1、跨度大、点数多，人工管理设备太困难。 2、点位覆盖广泛，网络如何到达？另外，系统如何和网络很好结合而不是冲突。 3、点位增加、监控中心增加时是否能做到平滑扩容？ 我公司很好的解决了这 3个问题，详述如下： 1、跨度大、点数多，人工管理设备太困难 此次我公司设计的网络视频监控管理 系统作为一个电信级的运营平台，有完善的可网管性和可维护性。中心平台中有专门的维护模块诊测、管理系统内所有设备的运行状态，可对所有设备进行自动巡航，可以远程调试和修复设备。做到及时发现，即使恢复。 2、点位覆盖广泛，网络如何到达？另外，系统如何和网络很好结合而不是冲突。 虽然此次布点的范围分散在各地市，但中国电信仍能做到完全网络覆盖，监控点的搬、拆、迁、移，线路也跟随到位。另外，经过长期的商用，特别是现网平台业务的较大规模应用，系统不会出现大多数监控系统在面临较大范围的网络传输时，不能适应通过防火墙和地址转换 器（ NAT）传输视频流和控制信号的问题。 3、点位增加、监控中心增加时是否能做到平滑扩容？ 系统采用全数字化的技术，并且采用前端、用户监控中心、中心管理平台的模块化结构。点位的增加影响的是软件处理能力和网络吞吐能力，而不需要在各级监控中心增加硬件设备；用户监控中心增加，也不会对以后的监控中心产生影响。 2.5.2、各部门的共享调用、分级控制 为使系统的利用率达到最大化，应该由各部门共享资源。那么，我们从三个方面来进行保障： 1、在全省范围内完善的网络覆盖，保证当由监控中心需要接入的时候，有线路保障其接入。 2、系统的用户权限由中心平台数据库统一管理，由一个主控台统一分配和操 30 作，并且有丰富的分级设定。所以，可对多个监控中心、监控中心的权限统一管理。使整个网内的权限分配策略部署简单，管理方便。 3、系统的分发机制，可以满足多个监控中心、副控台对某一个热点的并发访问。 2.5.3、技术先进 1、采用全光纤网络。 2、视频编码格式采用目前最先进的 H.264 的方式，并且，最高分辨率达到了D1（ 704 576）。图像清晰，能满足街面监控、治安监控等的监控需求。 3、采用先进的流媒体技术和分发机制，保证大容量并发访问的流畅 。 4、模块化结构，扩容平滑。 2.5.4、开放性和扩展性，使能多种应用 系统的中心管理平台采用 J2EE 架构的开放平台，提供 HTTPS 和 radius 标准协议与外部应用系统的认证接口，使用 RTP、 RTSP 和 RTCP 协议进行视频流接口，使用 XML 与外部应用系统进行数据交换。其他信息系统通过这些标准协议无缝接口后，二者结合，可以增加很多新的应用模式。所以，建成的系统完全可以为数字化城市的提供标准接口的视频服务平台。 2.5.5、安全性设计 网络视频监控管理 系统的安全问题包括两方面，一是系统自身如何能给用户提供长期 、稳定、不间断的服务；二是在受到人为攻击破坏时，能继续保持正常服务。所以针对 网络视频监控管理 系统的运行、管理、使用等各个方面，都需充分考虑安全问题。包括平台应用程序的设计规划、网络安全策略，或因服务器自身硬件等原因，影响正常用户的使用，我们采取了以下一些措施保证平台的正常安全运行： 应用层 安全认证 31 网络视频监控管理 系统不同于传统的企业级的网络视频监控系统，其安全性是系统重要考虑的问题。网络视频监控系统安全性除了基本的防攻击、防非法侵入、防病毒等要求之外，还需要保证只有合法用户可以访问和使用网络视频监控系统 提供的服务，保证用户只能管理自己设置的监控点的前端子系统设备，查看有权限使用的监控点的视频监控图像；保证用户保存在系统中的视频文件的安全，不会被其它用户甚至是系统管理员私自查看。为实现上述要求， 网络视频监控管理 系统中设计完善的安全性机制，从多方面保证系统的安全性。 认证机制 用户访问 网络视频监控管理 系统时都将进行身份认证，用户输入用户名和密码后，认证信息采用 64 位的 DES 加密处理，由中心管理服务器的 AAA 认证模块对其进行验证，以判断用户是否有权使用此系统。认证系统对用户进行安全认证，身份验证的资料来源于集中 规划的中心数据库服务器，数据库服务器管理着网络视频监控系统中所有用户的身份资料。用户使用用户名和密码正确登录平台后，平台将会维护该用户的会话信息，用户由此使用系统提供的网络视频监控服务。高效的认证机制使非法用户无权使用网络视频监控系统。 对于有特殊需要的客户可以提供利用 USB-KEY 电子钥匙的 方法 进行认证 ， 只有持有该电子钥匙的用户才能正常启动客户端软件，再配合加密的用户名密码，双重保证用户访问的安全性。 认证原则：登录认证 +应用服务二次认证。 (1)、首次认证 32 用户首次认证时序图 、用户通过客户端向接入服务器提交身份验证信息； 、接入服务器向 AAA 服务模块提交认证请求； 、 AAA 服务模块生成客户的 SESSIONID，返回给接入服务器； 、接入服务器向客户端返回相应页面及 SESSIONID。 (2)、后续认证 后续认证时序图 33 以分发服务器为例，说明二次 认证（后续认证）的过程； 、客户端向分发服务器发送连接视频请求，包括用户的身份信息； 、分发服务器向 AAA 服务模块发送认证请求； 、 AAA 服务模块向分发服务器返回认证结果。 数据安全 网络视频监控系统数据的安全性包括用户视音频信息的安全性和监控用户信息的安全性。对于视频流的加密过于耗费芯片资源，加密费用过高，故不建议直接加密实时视频流。但对部分特殊用户要求，我们可采用安全网闸的方式进行数据隔离，同时也能保证视频的 远程调用。对于网络视频监控的客户或认证信息，系统采取加密的办法来保证信息的安全性。对于存储的静态数据或文件可以采用数据或文件加密的方式确保信息的完整性。 报警与监控系统中应用了数字水印技术，通过一定的算法将一些标志性信息直接嵌入到视频内容当中，达到防篡改的目的，但不影响原内容的价值和使用，并且不能被人的感知系统觉察或注意到。与传统的加密技术不同，数字水印技术可以判别对象是否受到保护，监视被保护数据的传播，鉴别真伪，为法庭提供认证证据。为了给攻击者增加去除水印的难度，水印制作方案都采用密码学中的加密体系来加强 ，在水印嵌入、提取时采用一种密钥，甚至几种密钥联合使用。 视频水印嵌入在编码阶段的离散余弦变换（）的直流系数（）中（量化后、预测前）。此方式的优点是： 水印仅嵌入在系数中，不会增加视频流的数据比特率； 易设计出抗多种攻击的水印； 可通过自适应机制依据人的视觉特性进行调制，在得到较好的主观视觉质量的同时得到较强的抗攻击能力。工作原理如下图所示： 34 系统安全 业务管理子系统涉及到非常重要客户信息、平台管理子系统涉及到设备配置信息、路 由信息、网络管理信息，因此，系统采取措施保证其安全性。 、系统设备层从安全性角度考虑采用 LINUX、 SOLARIS 或者 AIX 操作系统，并严格选择安装组件，精简系统服务 、采用一定的冗余备份方案，对于客户资料、费用资料等重要数据要有可靠的存储方案； 、中心服务平台放置防火墙之内，以保证系统的安全性； 、访问控制策略 在 报警与监控系统中，设备控制权限划分到对每个摄像头、报警探头、电视墙 的控制。对于每个摄像头分为“实时视频查看”、“历史资料检索”、“远程云镜控制”、“参数设置”、“音频控制”等不同控制权限能力。 系统对使用者的权限管理，是基于“机构”、“角色”和“用户”三个层次。“机构”是使用者的行政组织，如保安公司、 110 指挥中心等；“角色”是一个权限的逻辑组合；“用户”是具体的使用者。 首先，在系统建立一系列垂直管理的组织机构，然后在每级机构中建立与工作权限相应的不同“角色”，对每个不同的角色赋予不同的设备控制权限，如角色 x 叫“处警人员”，对其赋予对摄像头编号 1、 2、编号 10 的“实 时视频查看”和“远程云镜控制”两种权限，但不赋予包括“历史资料检索”在内的其它权限。 最后，在每级机构中建立一系列使用者的“用户”帐号。并将“用户”赋予不同的“角色”权限。 物理层 所有服务器采用双电源供电，两个电源模块互相热备份，并支持热插拔。电源倒换时不影响系统运行。 平台主要模块采用双机热备或多机集群方式，保证服务的高可用性。 采用双网卡（适配器），可以采用主备容错或负载平衡模式，实现在因 NIC、电缆、交换机或端口出故障而导致链接故障时，通过在后备适配器重新发布通信负载来提供自动恢复。 35 服务器硬盘采 用 RAID 1 的方式实现系统盘数据容错。 大容量的存储介质采用 RAID 5+HOTSPARE 的方式实现数据容错和灾难恢复。 有特殊安全等级要求的账号可考虑采用对应的硬件加密狗才能正常运行。 整个平台设备放置在电信专业机房，并配置专业人员进行管理维护，享受电信级的专业服务。 网络方面 及时变更平台服务器的各类帐号密码，删除无用系统帐号。 停止不安全的网络服务，如禁止 TELNET 登录： 关闭与 网络视频监控管理 不相干的服务端口，修改所要使用的网络服务默认端口，如 ssh 的登录端口。 核心模块服务器采用硬件防火墙进行 安全防护。 三、平台功能模块介绍 3.1、平台软件 认证服务软件模块：负责用户登录的认证管理 接入服务软件模块：包括访问服务和调度服务。 “访问服务”负责响应客户端和设备提交的系统请求服务。如视频请求、云台控制请求、报警处理请求、视频存储请求、认证转发等。 “调度服务”进行视频分发和存储的调度管理。对视频流请求指令进行调度，有几种情况： 、根据前端的负载状态，直接在前端和客户端之间建立视频流，或间接地通过分发服务器在两者之间建立视频流； 、根据 分发服务器（组）的负载状态建立视频流； 、根据存储服务器（组）的负载状态建立视频流。 业务管理软件模块：包括用户管理、权限管理和通信管理。 “ 用户管理”：负责“机构”的建立、修改、删除、停用、启用及其下属用户的开户、增加帐号、删除、初始密码、修改密码、停用、启用、资料查询等功能； “权限管理”：负责“角色”权限的添加、删除、修改，用户的“角色”分配， 36 删除，修改； “通信管理”：负责和接入服务器、客户端的通信服务； 维护服务模块：包括设备管理、存储策略管理和日志管理。 “设备 管理”：负责平台和终端设备的添加、删除、参数修改，信息和告警查询； “存储策略管理”：负责前端和中心存储服务器的存储周期，时间段、触发策略的添加、删除、修改，查询； “日志管理”：负责系统设备、用户操作的日志管理； 系统自动升级软件模块：负责所有前端视频服务器、客户端软件的升级服务。 存储服务模块：是系统的客户图像数据存储管理中心，主要完成图像中心存储的管理和监测功能，后台连接电信的海量存储空间。 分发服务模块：是针对热点访问用于视频广播的，使用分发服务器减少了并发的访问量，节约了网络带宽，它可以部署在客户 监控中心，也可以部署在客户监控点，也可以根据具体需要部署在中国电信线路的任何地方。它支持多级部署，并且有完善的触发机制。 3.2、客户端软件 分两大类：企业用户客户端、电信客户端。 客户端程序使用不同类型的接口与中心服务平台相联接。可以根据实际需要配置安装。包括企业用户的监控控制台、数字显示墙以及电信客户端的运维客户端、业务授理客户端等。 客户端软件可以实现在线自动从中心平台升级及补丁更新。 专业级的企业用户监控控制台。 专业用户使用，在得到授权的情况下可以完成各种系统功能的访问。控制台由 PC（带麦克风和音 箱用于语音对讲）和控制台管理软件组成。是整个图像监控系统的操作界面，也是整个系统的核心控制的用户接口部分，用户通过对它的操作来实现系统管理和图像管理。可完成用户管理、控制数字显示终端、实时图像显示、历史图像播放。除此之外控制台管理软件（主，副控制台软件）也可以 37 安装在任何位置能够合法访问监控网络的 PC 上，实现多级多用户的分控管理。这种类型的客户端适合于大路数、长时间的图像监控。 基于浏览器的监控客户端 基于浏览器的监控客户端，适合于公众用户或者偶尔需要监视画面的用户使用，在用户 PC 上不需要预先安装软件。 电信 业务管理及运维客户端 业务管理界面进行网络视频监控业务授理、用户开通、查询、计费、帐号初始化的工作。 设备维护界面对全网设备进行管理，包括设备配置、设备状态察看、设备维护和软件升级、设备日志察看等功能。 此客户端主要由业务管理、设备运维人员使用。 3.3、 redhat Linux 2005年 2月发行的红帽企业 Linux 提供了大量对以前发行版本的技术改进和新功能，包括新的安全性、增强的服务器性能和扩展性以及桌面计算的支持。这些新功能都与以前的发行版本兼容。红帽企业 Linux 提供丰富的硬件和软件应用程 序支持，它是全球领先的专注于企业 Linux 环境的系统。 以下部分简单介绍了红帽企业 Linux 的新功能： Linux 2.6 内核结构 红帽企业 Linux 是基于 Linux 社区的 2.6.9 内核的系统。它是一个最稳定高效的商业产品。一些开源代码项目（如 Fedora）为 Linux 2.6 内核在 2004年成为一个稳定的内核提供了一个良好的环境。这使得红帽企业 Linux 内核可以提供比以前版本更多更好的功能，这些功能包括： 通用的逻辑 CPU 调度器：处理多内核和超线程 CPU。 基于目标的反 向映射 VM：提高了内存管理系统的性能。 读复制更新（ Read Copy Update） : 对操作系统数据结构的 SMP 算法优化。 多 I O 调度：基于应用程序环境进行选择。 增强的 SMP 和 NUMA 支持：提高了大型服务器的性能和扩展性。 网络中断缓和（ NAPI）：提高了大流量网络的性能。 38 改进的存储和文件系统能力 红帽企业 Linux 可以提高数据存储系统的扩展性和性能，其中的新特性包括： Ext3 性能： Block Reservations 和 Hash Tree Directories 提高了读 写和目录查找的性能。 Ext3 扩展性：动态的文件系统扩展功能以及对大到 8TB 文件系统的支持。 逻辑卷管理（ LVM）：一个对 LVM 全面的更新。它提供了许多新的功能，如 read/write snapshots 和 transactional metadata updates, 一个新的灵活的管理 GUI。在 2005 年中还会引进镜像和增强多路径功能。 扩展性：增强的存储 LUN 管理功能可以配置更大的存储子系统。 自动挂载： AutoFSv4 提供了优良的设备访问控制，它的功能包括可浏览的挂载和复制服务器（ replicated servers)。 降低成本：与使用传统的 IDE 设备相比较，对 Serial ATA 磁盘存储的支持可以提高性能，降低每兆字节存储费用。 新的安全功能 红帽企业 Linux 发行版本的一个显著的特点是对系统安全性的提高。与系统安全性相关的新特性包括： Mandatory Access Control: 安全增强的 Linux (SELinux) 提供了一个 MAC 基础结构，它是对标准的 Linux 所提供的 Discretionary Access Control 安全性的补充。在 一个基于 MAC 的环境中，应用程序的功能和权限是被预先定义的规则所限制的，并被内核强制执行。这就防止了一个不正确的程序对系统安全性的破坏。 内存管理的改进：一些防止恶意程序利用应用程序的缓存溢出错误对系统的安全性进行破坏的功能，如 Exec Shield 和 Position Independent Executable。 编译和运行时一致性检查： GCC 编译器和 Glibc 库的新的缓存有效性检查技术会大大减少错误程序对系统的破坏。 增强的桌面计算机能力 红帽企业 Linux 产品系列（包括红帽 Desktop）提供了丰 富易用的桌面计算环境。其中新的功能包括： 39 人办公软件：为用户提供了具有先进功能的 OpenO 办公套件，Firefox 互联网浏览器和 Evolution 电子邮件处理程序。 即插即用设备的支持： USB 盘和数码相机（包括照片管理程序，如 gThumb) 的使用变得非常简单 多媒体：声音和视频应用程序，如 RhythmBox, HelixPlayer, Totem, 和 SoundJuicer 用户环境： GNOME2.8 为用户提供了易用的图形界面。丰富的管理工具（如打印机和网络管理，基于 VNC 的应用会话共 享）和工具程序（如 Gaim， GIMP）为用户提供了一个多功能的计算环境。 跨平台操作：可以使用 Microsoft Active Directory 用户登录验证，基于互联网的 NTLM 验证， Evolution 邮件处理程序对 Windows Exchange 服务器的访问。 IIIMF: IIIMF（ Internet/Intranet Input Method）提供了下一代的多语言Unicode 输入功能。它包括多种功能，如完全 Unicode 的支持；同时运行多个语言引擎。 其它特性 作为一个主要的新发行版本，红帽企业 Linux 的每个方面几乎都有所改进。其中重要的改进包括： 与以前的发行版本兼容：红帽企业 Linux 所带的兼容库使绝大多数运行在v.3 和 v.2.1 上的应用程序可以不需要进行修改就可以在系统上继续运行。 语言：通过采用国际标准，如 OpenI18N,GB18030，红帽企业 Linux 提供了 15种语言版本的文档和软件：英语，日语，德语，巴西葡萄牙语，汉语，意大利语，法语，简体中文，繁体中文，西班牙语 , 梵文 , 班加罗尔语，旁遮普语，泰米尔语和古吉拉特语。 审核：在 2005 年中发行的升级版本中会包括一个审核工具。它 提供了一个开发的双向网络程序接口，可以被审核程序使用，它将为 SELinux 和标准的 Linux事件提供丰富的审核能力。 文件服务器：修订的 NFSv4 提供了新的功能，其中包括增强的安全性，操作接合和集成的文件锁定。 Samba 还提供了方便的访问 Microsoft Windows 打印机和文件共享的功能。 40 软件开发：提供了最新的 GCC3.4 编译器工具链和将来会被使用的 GCC4.0 工具链的技术预览。 它们提供了标准的 C/C+ 和 fortran 95 开发环境。 先进的配置和电源接口：支撑可以提供广泛的电源管理能力（如 电池监控，自动关机，挂起）的 ACPI 标准，并为将来采用更优越的功能提供了一个基础。 3.4、 Oracle 数据库软件 Oracle 10g 是面向 Internet 计算环境的数据库，它改变了信息管理和访问的方式，将新的特性融入传统的 Oracle 数据库服务器技术中，从而成为面向高端企业应用和 Web 信息管理的数据库。 Oracle 10g 支持企业级应用不断增长的数据量和处理能力需求，支持 Web 高级应用所需要的多媒体数据管理能力。 Oracle 10g 能够处理更多的数据，容纳更多的用户，在性能上有了多方面的改善，进一步降 低了维护的开销，同时在安全性和稳定性上都是最好的。 Oracle 10g 支持多服务器集群（ Cluster）并行处理方式，支持双机或多机系统运行。在并行处理模式中， Oracle 在 Cluster 结构的各个节点上实现了一个共享数据库，并自动实现并行处理及均分负载，在服务器故障时能够实现容错和无断点恢复，保证前端应用不受影响。 Oracle 10g Enterprise Edition 提供了适用于多种应用的高效的、可靠的、安全的数据管理，包括大负荷的联机事务处理系统及以查询为主的数据仓库应用系统。 Oracle 10g 提供了完善、易用的系统管理工具，通过集成的管理工具可以实现网络计算环境的集中管理。 在复杂分布式环境中， Oracle 10g 能够将数据方便有效地进行分布，并提高透明、高效访问分布式数据的能力。 41 四、 硬件 设备选型 4.1 网路高清智能球型云台 EYE-IPT-0618M 功能特性 采用 130 万像素 CCD，最大可到 1280x720 输出 可通过 IE浏览器观看图像并实现控制 采用 H.264 视频压缩算法的海思芯片和平台，性能可靠稳定 一体化集成设计，结构紧凑，内部设置数据断电不丢失 精密电机驱动，反应灵敏，运 转平稳，在任何速度下操作平滑无抖动 屏幕中英文菜单功能及屏幕操作提示功能，可用密码保护设置数据 旋转速度根据镜头变倍倍数自动调整 具有防雷、防浪涌保护功能 密封设计，通过 IP66 检测 规格 参数 电源 AC 24V25% 功耗 17W ，加热器 25W 水平范围 360 连续旋转 水平速度 0.01/s 180/s 垂直范围 0 90 垂直速度 0.01 120/s 预置点 128 个 自动模式 关闭 /预置点 /巡航扫描 /花样扫描 /自动扫描 / 42 巡航扫描 8条，每条可添加 10 个预置点 花样扫描 1 条 网络接口 10Base-T / 100Base-TX， RJ45 头 图像压缩 H.264 音频压缩 G.711 网络协议 TCP/IP、 HTTP、 DHCP、 DNS、 RTP/RTCP、 PPPoE、 FTP、 SMTP、NTP、 SNMP 等 双码流 支持 SD 卡 支持 报警输出 4路输入 4路输出 (选配 )，报警联动可设置 云台控制协议 行业标准， PELCO-P和 PELCO-D（可添加） 工作环境 -35 - 65 85%RH 防护等级 IP66 浪涌（冲击）抗扰度 GB/T17626.5-1999 4 级 尺寸 直径 *高度： 260*318mm 重量 3.4kg 摄像机 传感器类型 CCD 有效像素 1296966 白平衡 自动白平衡 /ATM/室内 /室外 增益控制 自动 /手动 信噪比 大于 50dB 背光补偿 ON/OFF 电子快门 1/2-1/10,000s 日夜模式 滤光片彩转黑 聚焦模式 半自动 焦距 4.7-84.6mm， 18倍光学 变焦 水平视角 55.2-3.2 度 光圈 F1.6-F2.8 43 4.2 中心网络存储 EYE-S2016B 主要特点 高性能、高稳定、高扩展、高品质监控 集成监控平台录像模块，简化系统架构 高效视频录像、检索、回放 单设备存储容量高达 48TB 部署成本低，架构灵活 安装简单 处理器 64 双核处理器，支持双处理器 高速缓存 4GB，可扩展到 16GB 主机接口数量 4 个千兆数据口，一个百兆管理口 传输带宽 4Gbps 磁盘通道 16 磁盘接口 SATA I， SATA II 热插拔磁盘 支持 RAID 级别 RAID 0， 1， 5， 6， 10， NRAID 系统 LUNs 最大 1024 客户端支持 128 操作系统 Windows 系列， Linux， Solaris， HP-UX， AIX， MacOS 协议支持 视频流协议 /iSCSI/NFS/CIFS/FTP/HTTP/AFP 管理方式 基于 Web 的 GUI，串口 CLI 存储空间管理 存储虚拟化，监视工具，系统日志，报错处理 软件功能模块 视频监控录像、检索、回放、性 能优化；（可选：快照，克隆， WORM，数据同步、带宽优先） 功耗 650W 工作温度 5 40 工作湿度 5 55 工作高度 4000 米以下 44 机箱尺 (mm) 430 宽 x 176 高 x 660 深 4.3 数字显示终端 CCW-08D/T 主要特点 通用数字显示终端是客户监控中心的关键设备，它将来自于前端编码设备的视音频码流进行解码，并输出模拟信号到传统监视设备上。支持不同厂家编码格式的同时显示、轮巡、报警弹出、画面分割等功能，作为数字编码与模拟显示系统之间的一个衔接，为集中式数字监控 解决方案提供了强有力的支持，实现多场景同时观看的需要。 操作系统 Windows Xp Embedded 网络输入 TCP/IP,RJ-45 视频输出 BNC 视频接口 4 路 画面分割 支持 输出图像数量接口 4 个 (QCIF/CIF/2CIF/4CIF) 输出图像数量卡 NV9400 对应解码 CCIS 全系列， CSIS 系列， CDIS 系列 ， HOME 系列 分辨率 176144 （ QCIF） 352288 （ CIF） 704288 （ 2CIF） 704576 （ D1） 功耗 400W 授权 方式 USB-KEY 45 4.4 网络控制键盘 Mega Key-sk44 主要特点 结构合理，安装方便，操作简易 具有 LCD 液晶显示菜单，显示当前操作设备 三维变速摇杆，可通过摇杆实现变速及变倍功能 可控制摄像机（或云台）转动、变焦、调节光圈、焦距等 可控制摄像机（或云台）自动扫描，巡航，设置预置点 可设置摄像机地址 报警触发以及报警联动设置 技术参数 通信接口 RS485，半双工 通信速率 1,200-19,200bps 显示屏 LCD： 128X64 中文蓝屏 LCD 电源 DVR 输出， PTZ 输出 最大电缆长度 1， 200 米 工作环境温度 -10 +55 电源 DC12V10% -50HZ 尺寸 345(L)183(W)103(H) 重量 3.3KG 46 4.5 中心服务器 IBM X3650 类别 机架式 结构 2U CPU 频率 2.16GHz 处理器描述 标配 1 个 Xeon 5130 处理器 最大处理器数量 2 二级缓存 1 4MB FSB（总线） 1333MHz 扩展槽 4个 PCI-E 或 2 个 PCI-X和 2个 PCI-Express 内存类型 FB-DIMM 内存大小 1GB 最大