临西县公安局图像控制中心项目要求

临西县公安局图像控制中心项目要求2010年6月目录1建设目标与任务 5

TOC\o"1-5"\h\z建设目标 5建设任务 5图像控制中心建设 5区县（二级）图像控制中心网络建设 5图像信息存储系统建设 5\o"CurrentDocument"2投标方案执行的法律法规管理规定和国家、行、也标准规范 5相关法律、法规、管理文件 5应执行的国家标准、行业标准和规范 6\o"CurrentDocument"投标方案设计 7方案设计原则 7系统总体架构 8三级控制中心建设目标 9一级控制中心 9一级使用中心（城管）和二级控制中心 9*三级控制中心（二期） 10方案实现的基本功能 10信息采集功能 10信息传输功能 10信息存储和备份功能 10系统控制功能 10自动巡检功能 11报警信息处置 11社会资源的接入 11图像监控功能 11语音对讲与语音广播功能 13系统管理功能 13网络管理功能 13实战应用功能 13其它功能扩展 15控制中心建设规划 16一级图像控制中心设计 17开发区分局/交警支队二级图像控制中心规划 19派出所三级图像控制中心规划（二期） 21各级图像图像控制中心互通功能 22图像资源接入方案 23督查视频资源与其他第三方DVR/DVS设备接入 23交警视频监控系统接入 23其他行业及社会监控资源接入 24视频会议接入 25新建监控点接入（二期） 25\o"CurrentDocument"IP传输专网要求 27系统网络架构设计 28网络架构设计的原则 28网络建设总体要求 28网络拓扑结构图 29网络系统方案设计 29安全系统方案设计 33网络安全分析 33网络安全必要性 34安全系统设计 35功能技术要求 35路由协议设计 36\o"CurrentDocument"图像资源存储设计 37\o"CurrentDocument"高清治安卡口要求 37\o"CurrentDocument"图像控制中心与公安信息网的业务互通 37公安信息网图像资源访问模式 38图像控制中心对公安信息网数据的访问模式 38视频专网与公安信息网间的干线管理 38\o"CurrentDocument"图像接入平台的业务功能规划 39实时图像监控 39远程控制 40图像的精确快速检索和回放 40报警管理 40GIS地图系统 41三台合一与视频监控的报警联动 41移动指挥车监控接入 41用户与权限管理 42日志管理 43系统统•管理与故障自动定位 43时间同步 44\o"CurrentDocument"平台性能规划 44图像资源接入能力规划 44最大平台数量 44小级平台图像资源接入能力 44录像存储与点播回放能力规划 449.2.2 点播回放能力规划 44\o"CurrentDocument"10系统可靠性设计 45系统架构可靠性 45视频管理系统可靠性 45\o"CurrentDocument"11系统安全性设计 45网络安全性 46应用安全性 46设备安全性 46数据安全性 46\o"CurrentDocument"12H3c图像控制平台的特点 47\o"CurrentDocument"13主要管理平台设备功能介绍 49VM视频管理服务器软件 49DM数据管理服务器软件 49媒体交换服务软件 50DADVR代理服务器软件 50设备管理服务软件 50视频管理服务软件一ipsan接入许可 50\o"CurrentDocument"14项目实施进度计划 5151施工组织架构图 51人员调配及职责分工 51人员配备 53施工前期实地勘测 53系统图纸设计 53系统设备订货计划 53施工人员进场计划 54钢杆安装施工 55系统摄像设备安装调试计划 55工程进度计划 56工程进度计划表 5615项目实施方法与技术措施 57项目管理方法 57施工流程图 57\o"CurrentDocument"16质量及安全、文明实施保证措施 58质量体系 58质量程序文件 58质量体系 59质量体系文件 59安全生产制度 60施工安全保证： 61落实各种设备安全使用措施 文明施工制度 63施工现场的文明专项措施有： 63\o"CurrentDocument"17项目完成期限保证措施 64强化计划管理 64施工项目进度控制 64技术保证制度 65一般性的技术管理： 661建设目标与任务建设目标投标方案按照《邢台市公安图像控制中心建设规范》要求，以科学发展观为指导，全面落实“科技强警”战略，充分利用现有图像资源，建设、整合和完善邢台内公安，市、县两级图像控制中心，接入并整合各种图像资源，新建部分视频监控资源并进行存储，对社音频资源进行合理调度合理分配。建设任务图像控制中心建设在市局（一级）图像控制中心、高开区/交警支队区县（二级）图像控制中心建设的基础上，基于政法网网络平台，完成全市所有区县的区县（二级）图像控制中心建设，实现各分局警务督察、视频会议的接入和图像存储；具备辖区内公安视频监控点接入、监控、管理、存储能力。区县（二级）图像控制中心网络建设完成区县（二级）图像控制中心基础网络建设，具有足够的安全性和可靠性，提供未来辖区内治安卡口和治安视频监控的接入能力，具有通过政法网接入市局（一级）图像控制中心的能力，并具有未来建设公安图像专网的扩展能力。图像信息存储系统建设每个二级图像可控制中心部署一定存储设备，满足图像存储要求。存储应具有较大的扩展能力，满足未来图像资源增加后的应用需求。2投标方案执行的法律法规管理规定和国家、行业标准规相关法律、法规、管理文件中发【2003】13号：《中共中央关于进一步加强和改进公安工作的决定》第二十次全国公安工作会议文件（2003年11月）中办发【2005】25号：《中央政法委员会、中央社会治安综合治理委员会关于深入开展平安建设的意见》《国家突发公共事件总体应急预案》（2006年1月8日国务院发布）《中华人民共和国突发事件应对法》（2007年08月30日第十届全国人民代表大会常务委员会第二十九次会议通过）公安部文件：《2003-2008年科技强警规划》公科质【2002】95号：关于批准《安全技术防范行业标准体系表》的函公科【2005】40号：关于印发《城市报警与监控系统建设“3111”试点工程实施方案》的通知公科【2006】6号：《关于印发城市报警与监控系统建设指导性技术文件的通知》公科【2006】10号：《关于深入推动“3111”试点I：程建设I二作的通知》公安部科技局文件：《城市报警与监控系统建设指导性技术文件》（2006年2月）公安部科技局文件：《城市报警与监控系统建设方案设计要素》（2006年6月）公科[2007]8号：《城市报警监控联网系统试点工程标准体系》（2007年1月）公信通[2007]139号：《公安信息通信网联网设备及应用系统注册管理办法》（2007年5月）公通字[2007]43号：公安部关于印发《信息安全等级保护管理办法》的通知（2007年6月）《信息安全等级保护管理办法》（2007年6月公安部、国家保密局、国家密码管理局、国务院信息工作办公室）《邢台市公安图像控制中心建设规范》应执行的国家标准、行业标准和规范GB50057-94《建筑物防雷设计规范》（2000年版）GB50343-2004《建筑物电/信息系统防雷技术规范》GB50348-2004《安全防范工程技术规范》GB/T17963《信息技术开放系统互连网络层安全协议》GB50311-2007《建筑及建筑群综合布线系统工程设计规范》GB/T2887-2000《电子计算机场地通用规范》GB50373-2006《管道与通道工程设计规范》G/VT74-2000《安全防范系统通用图形符号》GAfT368-2001《入侵报警系统技术要求》G/VT367-2001《视频安防监控系统技术要求》G/VT394-2002《出入口控制系统技术要求》GA308-2001《安全防范系统验收规范》GATT70-2004《安全防范工程费用预算编制办法》GA/T669-2008《城市监控报警联网系统技术标准》GATT670-2006《安全防范系统雷电浪涌防护技术要求》

G/VT792.1-2008《城市监控报警联网系统管理标准第1部分：图像信息采集、接入、使用管理要求》GA792-2008《城市监控报警联网系统管理标准》GA793-2008《城市监控报警联网系统合格评定》YD/T1171《IP网络技术要求•网络性能参数与指标》SJ/T30003-97《电子计算机机房施I：及验收规范》YD5039-97《通信工程建设环境保护技术规定》YD5078-98《通信工程电源系统防雷技术规定》YD5079-99《通信电源设备安装工程验收规范》YD5137-2005《本地通信线路工程设计规范》YD/T5138-2005《本地通信线路工程验收规范》YD/T901-2001《核心网用光缆一层绞式通信用室外光缆》YD5051-97《本地网通信线路工程验收规范》YD/T778-1999《光纤配线架》YD/T778-1999《光纤配线架》YD/T895-1997《SC/PC型单模光纤活动连接器技术条件》YD/T826-1996《YD/T895-1997《SC/PC型单模光纤活动连接器技术条件》YD/T826-1996《FC/PC型单模光纤活动连接器技术条件》YD/T988-1998《通信光缆交接箱》YD/T925-1997《光YD/T925-1997《光缆终端盒》国家及行业其他相关标准和要求3投标方案设计方案设计原则.互通性各级控制中心都必须能够有效地进行通信和共享数据。.实用性结合邢台市的实际情况，在符合本技术要求前提卜:设计出符合本地实际使用需要的建设方案。该方案应结构先进，功能完备，切合实际，能有效提高工作效率，满足我市各项工作需求。.扩展性在建设系统时应当充分考虑到以后的扩展性，必须选用目前最新的数字网络监控架构。采用模块化结构，系统规模和功能应当易于扩充，系统配套软件应当具有二次开发和升级能力。.规范性各级控制中心的控制协议、编解码协议、接口协议、视频文件格式、传输协议等必须符合相关国家标准、行业标准和本技术要求中的规定。.易操作性应当提供清晰、简洁、友好的中文操作界面，操控简便、灵活，易学易用，便于管理和维护。.及时性必须采用高带宽的专网传输，并利用成熟的视频处理技术，保证能实时地将热点、突发事件现场的图像、数据传到各级监控中心。.安全性系统必须有相应的安全性设计。防止非法接入、非法访问、病毒感染和黑客攻击，防雷击、过载、断电和人为破坏，具有高度的安全和保密性。.可靠性系统采用的主要设备须质量达标，性能稳定，能持续有效运行，对于各级联网用到的设备必须选择市场主流产品，必须统一接口标准，关键部分必须有备份、冗余措施，有较强的容错和系统恢复能力。.可维护性系统必须具备高度的可维护性，有完善的自检、故障诊断及故障弱化功能。在出现故障时，应能及时、快速的修复。.良好的兼容性系统必须具备良好的兼容性，能对已建成的系统的设备进行兼容。其中交警专网监控系统能实现完善的功能性能。系统总体架构我市视频图像远程传输系统纵向由市、县、基层所队三级图像控制中心的视频图像系统互连、横向由本级公安及监控图像资源网坛连构成。视频图像联网总体构成如图所示:

市、县、派出所间建设千兆IP视频专网，各级公安、交警自建监控系统、督察监督、指挥调度和视频会议图像全部基于该网络实现图像传输、调度；为保证系统安全性安全性，保证关键系统的稳定可靠，数字社会图像资源必须通过社会图像资源综合接入平台，经安全隔离设备接入专网，模拟监控图像资源可以就近接入各级图像中心。视频专网通过安全隔离设备接入各政府部门网络和公安信息网，满足各部门的图像访问、调度需求。三级控制中心建设目标各级图像控制中心建设按照分级管理的原则，分为一、二、三级。各级中心的图像均能调度辖区内全部图像资源，并在上级控制中心许可情况3调度其他辖区的部分图像资源。当出现冲突时，遵循上级控制中心优先、图像资源所属辖区控制中心优先的原则。方案中各级图像中心的职责是：一级控制中心•级控制中心是邢台公安图像资源最高权限管理调度枢纽，可调度、整合全市公安各类图像资源，赋予下级图像调度权限，安全融合公安信息网和公安图像专网，向省厅上传图像等。一级使用中心（城管）和二级控制中心

一级使用中心（城管）和各县（市、区）控制中心是二级控制中心，负责汇集、调度、转发下级中心的视频，分配下级图像调度权限，向市局上传图像，并整合本级督察监控、视频会议、指挥调度、社会面图像资源等。第•期完成邢台市开发区二级图像控制中心建设。*三级控制中心（二期）本项建设一期仅制定方案，后续完成建设.三级图像控制中心由各公安基层所队管理，是全市图像中心的前端，负责本级督察监控、白建视频图像、本级社会面监控资源的接入和存储，向县局匕传图像等。方案实现的基本功能本次投标方案具有以下功能：信息采集功能前端报警和监控设备应能采集巡检、报警和视频信息等，并进行编码和打包处理，使之成为能够传输的数据包。可采取全犬候、多方位、固定、定时或移动侦测的方式对F1标进行实时、有效、清晰的监视和采集处理.信息传输功能系统的承载网络必须具有覆盖全市的网络接入和传输通道，能够将控制信息、巡检信息、报警信息和视频信息等按照工作流程在系统各级可靠传输；系统还必须具备处理大容量信息传输的能力，具备并发访问能力。系统应支持图像信息的无线接入方式。信息存储和备份功能系统应具有分级存储功能，前端存储自身所仃的监控录像，各级图像中心当调用存储。并可使用控制主机的刻录功能进行备份。存储的历史视频数据应有信息加密技术，防止篡改，使之可以作为证据使用。存储时间不小于15天。系统控制功能能将各级图像中心的用户发出的控制命令传送到前端监控设备，实现厅、市局、县区分局图像中心及辖区派出所对前端监控图像的分级调用和控制。自动巡检功能系统必须具有定时自动巡检功能。可对所有在线设备的系统工作状态、故障、在线率等进行巡检，巡检结果和内容能够以统计报表形式归档。报警信息处置对于安装了的报警系统，只要跟监控报警专网平台进行了接口，在发生报警时，前端报警与报警监控服务中心应对报警信息进行复核。在确认报警后，将报警信息和现场图像信息及时向分局或派出所传输，系统自动优先响应报警信息，同时调用相应部门技术系统中的计算机辅助调度子系统和通信调度子系统处理警情。相应部门技术系统应结合实际情况建设针对技防报警和监控受理的辅助决策子系统，以提高快速处警能力。社会资源的接入系统应当具有对社会资源的整合能力，对有必要接入监控报警与监控系统的政府机关、单位或社会团体的社会资源，可有重点、有选择地接入监控报警专网。图像监控功能新建监控点应满足以卜要求：.视频显示支持的图像分辨率：CIF/D1图像帧率：PAL制式下不低于25ps。码流：不低于384Kbps,最高支持6Mbps。支持TCP和UDP连接模式，TCP模式时，要求网络丢包高达3%的情况下不会出现马赛克和停顿现象。.视频浏览模式系统支持一个用户浏览多个监控点和多个客户浏览一个监控点的模式。.实时视频浏览支持在计算机、监视器、电视墙等显示终端上进行远程实时视频的浏览。支持IE或专用客户端软件浏览，专用客户端软件支持新版本提示及在线升级。具体包括以下功能：多画面浏览：实现选择1,4,6,9,16等多种画面分割模式以及全频显示，同时能提供多种分辨率的选择。多画面轮询：每个分割画面为一个显示窗口。在每一个窗口可以分时显示不同监控点的画面，可设置分时（轮询）显示间隔时间。参数设置：实现图像相关参数设置实时调整的功能；图像参数包括图像分辨率、图像帧率、码流等。字幕叠加：视频画面可叠加反映该段视频时间、地点等信息的字幕，字幕位置可调。.视频控制功能a、玄台控制前端设备支持的情况卜，要求：云台控制支持客户端在图像分屏和全屏显示状态下都可进行。云台具有上下左右转动，巡逻功能，预置位功能，云台转动的步进值可设置。支持雨刮、辅助灯光开关功能。b、镜头控制镜头控制支持客户端在图像分屏和全屏显示状态下都可进行镜头控制。镜头的控制包括变倍、调焦（具有电动和白动调焦功能）、光圈（具有电动和白动光圈调节功能）。c、矩阵控制支持数字矩阵接入。支持数字矩阵的多画面轮询显示功能。.录像、回放和存储功能要求系统支持三种录制模式：定时录制：根据预置的时间表进行录像，可预置录像时间，录像时长。手动录制：按照开始录像、录像时长、停止录像指令进行控制的录像。可手动选择开始录像及停止录像功能，并可设置录像时长。事件触发录制：由系统中事件（报警、图像运动）触发的录像，录制时间可灵活设置，时长不小于5分钟。支持前端存储、分布式集中存储、中心集中存储和客户端存储等存储模式：视频统一写入存储磁盘阵列。回放可以根据时间、地点和录像类型等信息检索并回放视频，支持直接回放和卜我后回放，并支持通用播放器回放卜载的录像资料。支持录像批量F载，卜载速度高，在100Mbps以上。具有录像冻结、解冻功能，对重要的录像数据实施保护，在指定日期前不被覆盖。具备前端编码器视频流直接写入存储设备能力。支持秒级时移回放（可立即同步回放5秒之前的录像），可实现秒级定位回放。支持1.1/121.3/1.4/152/4/8/16倍速在线快进回放，支持2/4/8/16倍速在线快退回放。.图片抓拍功能支持前端抓拍、监控截图抓拍。支持手动、自动抓拍。.报警联动功能报警事件触发：支持前端设备开关量报警输入、图像运动检测和视频丢失检测.联动处理：前端报警输出（支持触发录像和图片抓拍）；平台联动输出（短信、语音、监控客户端报警等）.电子地图功能支持对所在业务管理区域建立电子地图，并实时地呈现主要监控点的前端设备状态及当前告警量等，支持双屏幕联动显示功能。语音对讲与语音广播功能支持用户与前端设备侧的语音对讲功能。支持设备到用户、用户到设备的广播功能。系统管理功能.用户管理用户管理员可完成本级普通用户的基本信息修改、给用户分配权限、日志查询等功能。.设备管理主要由本级用户管理员完成对用户分配设备、变更设备归属、修改设备、报警信息杳询的操作。.权限管理要求具备适应大型组织机构的分级权限管理手段。采用分级用户管理机制，每级至少包括公安管理员和普通用户两个级别，并可以配置不同的权限模版，以方便权限设置。支持权限优先级设置。网络管理功能要求实现前端设备、平台设备的网管：提供视频转发、接入、存储、前端等设备的运行状态总览图，应反映网络和设备故障状态、设备处理能力超限、网络带宽占用超限等异常信息；提供上述设备的查询和配置界面，所有网内设备的常规配置操作可通过平台管理界面进行；提供上述设备的处理能力占用、带宽占用统计报表：提供客户在网总览图。实战应用功能.视频监控摄像头列表可按管辖部门、街道、监控对象类别、功能等属性自定义分组，一个摄像头可划分到多个组。支持通道名模糊检索功能，支持拼音首字母检索功能。支持屏幕PTZ控制。支持鼠标框选放大、点击平移功能。支持设置不同的云台控制优先级，如高优先级用户控制摄像机时，可以锁定低优先级帐户控制功能。支持实时视频屏幕抓拍、识别、保存到数据库功能，使视频图像数据可根据内容检索。支持语音喊话功能。.视频巡逻利用视频监控业务，每个视频巡逻人员负责若干个摄像头，通过对摄像头的PTZ控制，对其负责区域进行全方位监控，视频巡逻人员采用3班*8小时轮岗机制，实施24小时不间断视频巡逻。发现可疑信息，进行抓拍，记录相关信息，添加到警情库中，同时可以把该警情流转给相关工作人员。对抓拍到的可疑人员人像特写，可对其身份识别。.报警联动支持与三台合一接警系统互接，接到110报警后，可直接联动到电子地图。系统内车辆布控、人像布控等各类报警，可联动相关设备，如上电视墙、报警器、发送短消息等联动。.警情数据库警情数据库中的图片、录像数据可根据内容（时间、地点、事件）检索。警情数据库中的图片、录像集中存储，实现数据共享。可以按案件特征杳询警情数据库中的可疑信息。可以实现可疑信息采集、警情录入、警情流转、警情资料收集、警情分析研判、工作成果统计等功能。支持线索的全文检索。.•:辆行驶记录查询可根据车牌信息、车主信息模糊查询车辆行驶记录。可根据时间空间轨迹，查询符合条件的车辆行驶记录。车辆行驶轨迹可展现在电子地图上。车辆行驶记录可长期保存。支持生辆行驶记录模糊查询，支持号牌识别置信度容忍查询（可将低置信度的字母作为统配查询，以最大可能的查询更多记录）。支持按车行轨迹杳询对应车辆。.车辆布控、实时报警针对失窃车辆、黑车，可按车辆号牌进行布控。可以对车牌号码进行精确布控，也可以模糊布控（支持通配符）。布控通知方式可以为客户端通知、短消息、邮件等方式。对已经布控完毕的布控信息，可以进行删除。.车辆违法记录查询可以根据监控路口、时间段、违法类型查询车辆违法行使记录。违法记录经人工审核确认后，可发送到“处罚数据库”，进行违章处罚。.电子地图可从电子地图上检索视频通道，开始视频监控功能；可直观呈现本地区的各区域摄像头部署情况。可实现常规的地图操作，如缩放、平移、定位等，以及监控相关的框选、告警呈现、快速定位等。可以通过电/地图实现监控点调看、设置、报警联动等。可以通过电子地图圈选和设备搜索功能找到相关摄像机，抓拍现场图片、主动录像（或者启动录像锁定）。可实现圈选式、巡线式、预选式摄像机视频追踪，摄像机模糊查询，快速定位监控现场。可在电子地图上展现乍辆行驶轨迹。.分级权限管理可以根据各个部门的实际情况，给各个部门分配不同的权限组。可以给每个用户分配各个设备不同的“读、写、控、授、配、播放、下载”权限。各个用户拥有不同的权限优先级，如高优先级用户控制摄像机时，可以锁定低优先级帐户控制功能。.系统日志系统日志可自动记录系统运行过程中的各信息，并整理成报表。系统日志包括系统本身的告警信息、各个帐户的操作日志等信息。其它功能扩展系统紧密集成治安监控、智能卡口、电子警察、人像识别等各类应用，提供统一入口。系统能够实现与警用GPS定位系统、机动车信息库、机动车盗抢库、车辆通行违章记录

库、三台合一警情、打防控案件库、追逃人员库、网吧管理系统、综合信息查询系统等信息数据库的对接，实现相关数据信息的调用。系统为公安其它业务信息系统预留接口，能够根据业务发展需要快速实现对接。控制中心建设规划卢00'■1）图像专网设计三级图像控制中心平台基于IP专网架构，从前端视频接入、派出所、分局、市局之间的监控传输采用专网，独立于公安信息网。专网线路采用卜…运营商光缆纤芯资澜，构建千兆主干网络：各级图像控制中心间组成 批注|p（nj：RRPP环网，市城管局使用中心接入巾图像控制中心。2）公安信息网接入网络架构图像控制中心平台需要向公安信息网提供监控图像信息；同时考虑到公安信息网的安全控制需求，视频专网与公安信息网之间在邢台市公安局•级图像控制中心设立一•个统•出口，并通过由公安部认证的安全网闸设备组成的安全接入平台进行隔离，实现公安信息网调取图像专网的图像信息，而图像专网不能访问公安信息网，保证公安信息网的安全。图像专网与公安信息网间通过千兆线路连接。3）图像接入a）新建视频监控点接入（二期建设）

公安新建监控点主要覆盖邢台的治安复杂场所、重点部位、主要街道、案件多发地段、重要路口、卡口等，主要服务于城市.治安管理，对图像质量、延时等要求较高，考虑到监控点多，各个位置的线路情况不•，同时本着节约线路租费的原则，前端监控点接入方式可以多样化，根据实际情况选择光纤直连、无源光网络、无线或其他方式实现图像接入。在一期设计中，我们已经充分考虑了二期新建监控点接入需求，选用的网络设备均提供光纤直连和无源光网络板卡，以及WLAN无线控制模块。便于二期建设的实施。］ 批注［凶2］：我们的优势b）社会图像资源接入由于监控行业标准化程度不高，在进行各种社会图像资源接入时，方案采用专用平台完成。从而降低社会图像资源接入带来的可靠性、稳定性风险。社会监控资源主要接入各社会单位自建监控系统，可以采用租用运营商带宽方式接入，接入时通过网闸、防火墙等设备实现安全隔离。社会监控资源采用模拟方式接入时不存在信息安全风险，可以直接就近通过编码器接入分局或基层队所图像中心。基于网通宽视界建设的平安城市监控资源，由于其通过运营商公网进行图像传输，因此接入时通过网闸、防火墙等设备实现安全隔离。c）公安应急指挥调度/视频会议图像资源接入视频会议系统图像资源接入采用模拟方式接入本地电视墙服务器和编解码设备，通过多级人工控制方式实现各级图像中心对前端图像的调用。d）网上督查视频接入邢台公安网上督查视频系统，主要在各派出所部署海康为主的DVR完成，系统中通过支持DVR接入的服务器完成网上督察的IP接入。一级图像控制中心设计一级图像控制中心是系统的核心指挥中心，由市公安局管理，主要业务功能包括：令全网资源的统一调配功能，除具有最高等级的管理权限外，还具有最高的用户操作权限；令接收上传图文信息，同时下发各种控制指令；令协调社会资源的接入，形成统一的指挥体系；令构架一个安全稳定的系统网络架构：令确保各子系统之间的协调联动。令［为二级中心管理服务器提供备份］ 批注［p03］:我们的优势，也是后面招标文件要求

一级图像控制中心由专网图像接入平台和社会资源综合接入平台两部分构成。专网图像接入中心平台为系统核心部分，直接接入视频专网，并通过安全网闸实现与公安信息网的接入。在中心平台内部署双机热备的VM图像管理服务器、电视墙和专网图像存储设备。并通过编解码器接入应急指挥调度/视频会议系统。中心平台内的应用服务器可以从公安信息网内获取许可内信息，与图像系统配合。专网平台中各服务器功能如下：VM服务器完成整个系统的管理工作，备份服务器同时为全网中各级控制中心提供备份功能：DM服务器完成存储管理和历史图像点播服务：MS媒体交换服务器应用在公安信息网连接时，将专网系统中的组播视频流转换为单播，并通过安全网闸接入公安信息网；DA代理服务器完成警务督察DVR的接入工作，并提供对DVR图像资源的点播服务。社会资源综合接入平台负责接入宽视界及其他单位数字图像，在各种图像资源接入过程中不可避免需要进行软件升级调试等工作，为避免对核心部分造成影响、降低安全风险，在社会资源综合接入平台同样部署管理服务器，对社会监控资源接入进行管理。为减少视频专网的对外出口、降低安全风险，所有的数字图像接入都只能通过社会资源综合接入平台接入图像中心。设备名称功能数量备注VM管理服务器完成系统管理功能2其中一台作为备份服务器，为各级控制中心管理服务器提供备份服务

DM数据管理服务器完成存储管理、历史图像点播服务1MS媒体交换服务器接入公安信息网时，提供组播/单播转换服务1DA代理服务器完成警务督察DVR的接入和图像点播等服务1DC2004视频解码器完成IP数字图像到模拟图像的转换31台用于将监控图像接入视频会议系统，2台用户监控中心上电视墙（单台可提供4个BNC接口，1个HDMI接口，1个VGA借口1X1500IPSAN提供卡口图像存储功能1单台主机提供16个硬盘插槽，后续每台可扩展3个盘柜，单台1X1500最大支持64T存储实战平台服务提供公安实战应用L--批注[p04]:数M法你们也器肚会资源接入平台服务器I 批注lp05]:功能数量请你们填3.5.2开发区分局/交警支队二级图像控制中心规划开发区分局及交警支队二级图像控制中心，是连接市局与派出所的汇聚层单位。其中交警支队现有道路监控中心作为二级图像控制中心，各道路监控图像通过交警控制中心接入图像专网。派出所将接入的大量监控图像上传至所属的区县管理调度中心，同时二级图像控制中心也需要接入本地大量图像资源。二级图像控制中心的主业务功能主要包括：◊传输主干网的承载，为监控平台提供•套稳定的网络构架，所有的关键中间节点均位于这一层的单位；令对其下属的派出所，区县分控中心具有最高管理权限；令将派出所上传的图像做集中的备份存储：◊接受市局卜发的指令，服从市局统一调度和安排。.开发区二级图像控制中心：

县市区分局图像中心开发区图像控制中心是连接派出所与市局之间的枢纽，也是为系统的汇聚层，组成了图像专网的传输干线，在分局配置存储阵列，可选择相对重点的监控图像进行存储，也可以全部存储派出所上传的图像，方便对突发案件的调查取证。平台支持客户端的使用以及高清图像的大屏幕显示。二级控制中心配置完备的管理服务、控制设备，能够在一级控制中心失效时保持本地白治。二级控制中心中各服务器功能如下：VM服务器完成整个系统的管理工作，备份服务器同时为全网中各级控制中心提供备份功能；DM服务器完成存储管理和历史图像点播服务；DA代理服务器完成警务督察DVR的接入工作，并提供对DVR图像资源的点播服务。分局控制中心VM服务器可由与市局控制中心VM服务器提供备份。二级控制中心不直接接入公安信息网，因此不需要MS媒体流转发服务器。专网内图像转发L作通过网络组播功能完成。设备名称功能数量备注VM管理服务器完成系统管理功能1由一级控制中心提供备份DM数据管理服务器完成存储管理、历史图像点播服务1

DA代理服务器完成警务督察DVR的接入和图像点播等服务1DC2004视频解码器完成IP数字图像到模拟图像的转换11台用户监控中心上电视墙（单台可提供4个BNC接口，1个HDMI接口，1个VGA借口1X1500IPSAN提供卡口图像存储功能1单台主机提供16个硬盘插槽，后续每台可扩展3个盘柜，单台1X1500最大支持64T存储.交警二级图像控制中心：交警已经采用H3CIVS8000平台建设了图像控制中心和全套视频监控系统。本次方案设计中也采用H3c解决方案，能够无缝接入交警平台，交警平台可作为市.局一级控制中心的下级域接入。只需要在网络交换机上增加光模块接入市局即可。派出所三级图像控制中心规划（二期）本项一期建设仅制定方案，后续完成建设。派出所三级图像控制中心是图像接入的基层单位，位于此级别的监控分中心，规模相对较小，虽然技术力量相对薄弱：但是应用在这个层面的业务种类较多，围绕监控图像的接入为核心，派出所监控分中心可实现的业务功能包括：支持模拟、数字多种方式监控前端的兼容接入；监控图像的实时显示和存储回放功能；可定制本地用户权限管理功能；令支持监控图像的分屏及全屏播放；支持集成电子地图功能令图像信号丢失等故障白动报警公安SB依专两派出所三级图像控制中心是图像接入系统的基层单位，对所辖区域负有直接贡•任，是视频监控资源整合共享、控制管理和应用的基础和源头。派出所在视频监控方面的技术力量较薄弱，因此派出所图像监控中心的系统应该简单、方便、可靠。监控中心只需要部署前端设备和授权客户端、电视墙，并接受来自上级中心的管理各级图像图像控制中心互通功能三级图像控制中心互通时，可实现实时图像调阅、控制、历史录像点播等业务功能，具体如卜：.设备注册与发现控制中心之间能相互注册、获取对方的视频监控设备（如硬盘录像机、矩阵等）的设备地址和状态。二级图像控制中心能够定时向一级图像控制中心发送目录信息，包括在目录信息发生变化（包括新增、修改和取消共享）后，发送变化部分的目录信息。控制中心之间定时发送心跳信息。.监控图像获取控制中心之间能够完成实时监控图像、历史监控图像的获取。上级图像控制中心可指定下级图像控制中心的某个监控点，获取其实时图像。历史图像的传输过程包括枚举文件列表、文件名点播、时间段点播、点播释放、点播控制等。通过网络浏览历史图像和通过网络备份历史图像使用相同的报文。.控制能实现对远程联网设备的动作进行控制，主要包括云台镜头控制、防尘罩（雨刮、除湿等）控制、互联监控图像并发数控制等。.查询

实现对■联网设备的状态信息查询。支持目录信息查询、前端设备信息查询、前端设备状态查询、摄像机流量查询、联网单元流量杳询等消息。目录信息查询：可查询远端监控系统的资源状况，包括对每个监控资源的操作权限；前端设备信息查询：查询指定地址的前端设备信息，包含厂商信息、设备型号、固件版本、最大支持摄像机个数等；前端设备状态查询：查询指定地址的前端设备当前状态信息，包含是否在线、是否正常工作、固件版本、编码无法正常工作的摄像机个数、编码异常的摄像机列表等。摄像机流量查询：查询指定地址的摄像机传输的数据流量大小：联网单元流量杳询：杳询指定的联网单元带宽占用情况。.事件预定通告事件预定：预订远程联网设备的报警事件；事件通告：预订事件触发后立即通知预订了该事件的用户。3.6图像资源接入方案督查视频资源与其他第三方DVR/DVS设备接入在控制中心中部署的DA代理服务器应支持主流第三方前端设备的SDK。DA代理服务器完成控制中心平台控制命令与前端设备控制命令的翻译，从而实现对主流DVR/DVS的接入，实现前端云台控制、实时图像调阅、历史图像检索、历史图像转存等业务功能。交警视频监控系统接入交警视频监控系统采用H3CiVS8000解决方案基于专网建设，本次方案设计中同样采用H3c解决方案，因此交警系统可直接接入市局控制中心网络。新建各级控制中心平台对交警视频监控系统具有完善的管理、调用能力，性能能够达到交警平台现有水平。交警监控中心能够与市局一级图像控制中心构成分级分域组网，成为一级图像控制中心的下级域。•级图像控制中心能够获取交警监控系统的全部图像资源、设备信息、在线状态等。•级图像控制中心与交警监控系统间能够实现干线管理。.各级图像控制中心能够在授权范围内，调阅交警实时监控图像，并满足大规模并发访问同一路图像的要求，监控图像延时不高于交警监控系统内。.各级图像控制中心能够在权限范围内控制前端摄像机云台，并与交警监控系统统一权限管理.各级图像控制中心能够在权限范围内调用交警监控系统中的历史图像，检索精度、速度不低于交警监控系统内应用。.各级图像控制中心能够在权限范围内对需要的交警监控系统中的历史图像实现自动/手动备份。3.6.3其他行业及社会监控资源接入部分专业行业自行建设的视频系统，有覆盖局部特定区域的系统，也有纵向广域的大系统，它们都针对特定行业的监控需求部署。例如环保污染源视频监控系统、政府和各行业应急指挥视频监控系统、银行网点和金库重点监控系统、监狱监控系统等。另外除公安和专业行业的视频监控资源外，还有覆盖面较广的社会视频监控资源，例如网吧监控、娱乐场所监控、楼宇智能监控、小区监控、各社区监控、超市治安监控、商铺监控等等。这些视频资源都由各自业主进行自行建设，覆盖面广，非常分散。图像综合接入平台作为整合所有视频资源的共享平台，主要通过公安标准规范接口或定制开发接入专业系统视频监控平台，以实现基本的视频调用、云台控制、历史检索、状态和报警功能。但对于非公安网内的监控资源，必须通过公安部认可的安全接入平台进行接入。本次方案设计中，社会资源系统接入在网络对接上有两种方式：.宽视界及其他平台类监控系统接入在市局一级控制中心中，社会资源接入平台上配置社会资源接入管理服务器，完成宽视界接入的协议转换工作，并通过安全网闸接入图像专网。接入社会监控支援时需要对方开放解码插件、互通协议接口、摄像头列表、前端设备状态等信息。由于接入不同平台时，需要在控制中心管理软件商针对对方进行开发，和软件升级调试等工作。为避免对核心部分造成影响、降低安全风险，需要为社会监控资源部署独立的管理服务器。社会监控资源接入平台结构见下图：公安视”专网2.分散独立监控系统模拟接入模拟接入不涉及信息安全问题，因此可以就近在各级图像中心完成接入。模拟W弊*59器解码H视频会议接入如下图所示，通过1曲新建监控点接入（二期）新建监控点采用户外部署的H3c编码器，将监控图像编码后接入监控专网。H3c编码器提供了包括H264/MPEG2/MPEG4/MJPEG等丰富的图像编码协议，以及高保真的64kHz采样的G.711音频编码协议，可以根据应用场所的不同采用不同的编解码协议。系统采用组播方式进行实时图像传输，在大规模组网时可以与网络组播功能配合，实现各级图像控制中心对前端编码器的直接访问，在不影响骨干网带宽的情况下实现最大1024个用户并发访问1路图像。编码器支持Iscsi协议，可以块数据的方式直接写入IP存储设备中，提高存储空间使用效率，提高图像检索速度，并提高存储的可靠性。H3c编码器支持双码流功能，基于对多种编码协议的支持和高性能的DSP图像处理能力，编码器可以为存储视频流和实时观看视频流分别提供不同的编码协议、码流大小和分辨率，灵活满足不同应用场合的要求。除了标准的以太网光/电接口接入外，根据监控场所现场情况、监控点的重要度不同,H3c编码器提供了多种不同的前端摄像机接入方案。如：EPON无源光网络接入前端摄像机 ，装嗯饕、 分光器当沿道路部署摄像机时，可以采用EPON无源光网络接入方案。H3c编码器可内置ONU板卜，与网络交换机组成EPON无源光网络，系统网络结构简单，中间设备少，从而减少了故障率。该方案实现了单芯光纤下大量分散摄像机的接入，并且在光纤传输过程中全部采用无源的分光器，不担心传输过程中由于宙击、断电等导致网络中断。

全光环网接入在重要场所监控时，可以采用全光环网接入。H3c编码器支持双SFP光接口，可以与交换机配合组成环形网络，当发生光纤挖断、设备损坏等故障时，可以在200ms内从另一侧恢复通信。从而提高了系统的可靠性。无线接入端点接入多路串接端点接入多路串接在视频线缆、光纤均不能覆盖的场所，H3c编码器还支持WLAN/WIMAX等无线接入方案。4IP传输专网要求系统网络架构设计网络架构设计的原则为保证市数字化城管各项业务能够顺利完成，并保障日后系统能够高效、稳定的运转，对市城管网络系统的设计原则规定如卜.：1、高可靠性网络设计时，网络必须具备99.999%可靠性及一定程度的冗余，已应对突发事件下部分网络遭到破坏的请况。在部分线路、设备出现故障时能够快速恢复。2、高安全性图像接入平台网络在业务上需要与安全等级更高的公安信息网、电子政务网连接，同时还会需要连接互联网以满足社会监控资源接入需求。要求在核心交换机上内置防火墙板卡和IPS板卡，确保核心网络安全可靠。3、低延时该网络承载的主要是图像业务，业务的开展要求低延时，尤其是实时交互的多媒体业务对时延、抖动等非常敏感，网络的中断、切换小于200ms。4、易扩容图像接入平台和平安城巾的建设是一个长期过程，承载网络设计必须具有前瞻性，满足未来系统容量不断扩大的要求。5、多业务承载传输网应能够统•承载视频、语音、数据业务，并且能够提供多种保障技术：MPLS、IPV6、组播等。6、*新建监控点图像应用设计（二期及后续建设）为了降低大规模访问时骨干网带宽占用，并避免使用流媒体服务器导致的系统稳定性差、性能低和扩容困难问题，本次新购设备需要开启组播功能。当多个用户访问同一个前端图像资源时，由交换机利用组播功能完成图像的分发工作。从而提高系统性能和可靠性、稳定性。网络建设总体要求网络部分是信息化建设的重要组成部分，为数据提供专用数据传输通道。它是信息管理系统安全、高速、畅通、高效运营必不可少的手段，起着系统神经中枢的作用。（1）、网络通信协议采用TCP/IP,主干网络要求统一采用千兆网标准；（2）、交换机或路由设备的配置端口总数应能满足应用和用户规模的要求，并保留一定的处理能力的余量；

（3）、主干网络设备的端口至少保证30%的可扩展能力；主干网络设备要求平均无故障时间应大于1万小时，可用性不小于99.99%；（5）、支持：SNMPv1/2/3网络管理协议和标准；（6）、所提供的网络产品必须提供信息产业部的单•产品入网许可证。网络的稳定性要求：整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求。一旦单点故障发生，网络需要能够切换到备用链路，并能立刻工作。网络高性能需求：整个网络系统需要具有很高的性能，能够满足各种流媒体的无障碍传输，保证企业网各种应用的畅通无阻。网络拓扑结构图市城管局一或使用中心交•支队二市城管局一或使用中心交•支队二屐控制中心公安信息网派出所监控中心开发区公安分局二《1控制中心网络系统方案设计本次方案逻辑上采用市控制中心一区县控制中心一所队控制中心的三级结构，物理组网时为提高核心网络的可靠性采用环网+星形组网的架构。在一期建设中，市局一级中心、交警支队二级控制中心和开发区二级控制中心间采用

RRPP环网技术组网。市城管局一级使用中心和邢台市公安局一级控制中心采用星形组网，市城管局一级使用中心的核心交换机S7506E作为一个星形节点接入到邢台市公安局一级控制中心的核心交换机S7506E上。RRPP技术是华二推出的革新性的以太环网技术，是种专门应用于以太网环的链路层协议，它在以太网环中能够防止数据环路引起的广播风暴，当以太网环上链路或设备故障时，能迅速切换到备份链路，保证业务快速恢复。RRPP较大地提升了传统生成树协议的收敛速度，可实现对链路或端口故障200ms内的检测和倒换，该功能与设备型号无关，H3c的众多交换机设备均支持该功能，协议运算消耗的设备资源更少，且协议收敛速度和环网节点数量无关。也就是说，在市局一级中心、交警支队二级控制中心和开发区二级控制中心任意两点间网络中断时，能够在200ms内从另•侧重新连通，从而提高系统可靠性。令人兴奋地是RRPP组网成本远低于目前其他主流环网技术，只要交换机支持RRPP特性即可，无需追加任何硬件。产品选型市局一级中心和开发区二级控制中心采用H3cS7506E核心交换机作为RRPP环核心节点，节点之间全部采用光纤相连。在每台S7506E上配置防火前和IPS插k,对网络全面的安全防护。S7506E电信级可靠性：每台核心设备S7506E配置双电源双主控，确保一个电源或主控故障时核心交换机仍可正常工作，不影响全网业务的中断。主控、电源、风扇和接口及业务插卡都支持热插拔，在不影响业务进展的同时实现扩容升级或故障排除。S7506E业务可靠性：H3cs7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份：支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务亳秒级快速切换。通过上述技术，H3cs7500E可以在承载多业务的情况卜.不间断运行，实现业务的永续。S7506E多业务特性：S7506E支持FW、IPS、LB、ACG等安全插卡，实现安全网络一体化，统一管理带来运维成本的大大降低。在今后组件无线网络时，直接在S7506E上扩展无线控制器插卡，实现有线无线•体化，统•管理，统•策略部署。无须再投资单独建•套无线网络，充分保护客户投资。交警支队二级控制中心的RRPP交换机则利旧使用H3cS5500-28C-EI,只需扩展一块2端口光口插卜即可实现和其他控制中心的RRPP组网。各郊县分局和市局核心交换机采用星形组网，可通过双链路接入市局核心交换机，提供链路备份冗余，提高链路可靠性。各郊县分局的数据汇聚到核心设备后进入RRPP环网，从而和各环网核心节点相连的分局实现互联各派出所也通过双链路光纤接入所属分局图像中心，形成星形组网。二期建设

在未来二期建设中将进一步把桥西公安分局二级控制中心、桥东公安分局二级控制中心和邢台县公安分局二级控制中心扩充纳入原有RRPP环网中，从而形成如下图所示的六个节点RRPP环网，全面覆盖市公安局、各公安分局、交警支队，形成一个统整体。该环网恢复时间不会随节点数增加而上升，这也是RRPP环网的优势之公安信息网核心交换(S7506E核心交换机/

S75O6E邢台市公安局一级控制中心市城管局 交警支队 桥西公安分局一徽使用中心 二^控制中心 二袋控制中心核心交换S75O6E/核心交换机/已建S55(XK28CE1)公安信息网核心交换(S7506E核心交换机/

S75O6E邢台市公安局一级控制中心市城管局 交警支队 桥西公安分局一徽使用中心 二^控制中心 二袋控制中心核心交换S75O6E/核心交换机/已建S55(XK28CE1)RRPP邢台县公安分局二级控制中心核心文换机,S75O6EI派出所监控中心派出所监控中心桥东公安分局二锻控制中心派出所监控中心开发区公安分局二殿控制中心核心交换机’S75O6E千兆元奸千兆以太网百兆以大同视频同轴电鎏RS485控m电囊核心交换机拓扑图中所有核心交换机均推荐采用H3cs7506E,双主控双电源多风扇设计，主控、电源、风扇和接口及业务插卡都支持热插拔，充分保障设备硬件可靠性。不间断转发、BFD快速检测技术和GR优雅重启等技术充分保障整体组网可靠性。配置防火墙和IPS安全插卡，实现整网2~7层全面安全防护。RRPP技术简介RRPP主要由一个主节点、多个传输节点和控制VLAN构成，主节点配置主端口和从端口，正常工作时主节点周期性地从主端口发送Hello报文，从端口一旦接收到自己发送Hello报文，立刻阻塞从端口。控制V【」AN主要传输RRPP的控制报文，有效保护控制报文。

一旦故障发生时如链路中断，故障相邻的节点或端口上会立刻检测到故障，并立刻向主节点发送链路故障报文，主节点接收到该报文则认为环处于•故障状态，立刻放开从端口链路，同时发送报文通知其他传输节点链路发生问题的状况，以及通告其他节点改变传输方向，传输节点更新转发表后数据流则切换到正常的链路上。若故障恢复，故障节点或端口会重新启动起来，这时故障节点会临时阻塞该端口，但该端口还能透传RRPP协议报文，主节点发送的Hello报文可以穿透临时阻塞端口，一旦主节点的从端口接收到自己发送的Hello报文，认为环网已经恢复，立刻阻塞从端口，并发送报文通知其他节点打开临时阻塞端口同时刷新状态，业务流量切换到正常链路上来。RRPP组网选择主要优势高可靠：

以太环网上任一链路或节点的发生故障时，以太环网解决方案能保证链路倒换时间为200ms以内。低成本：华三公司的RRPP技术并没有改变传统以太网的硬件，所有正在网络中运行的中高端交换机都可以通过软件升级支持GE端口的RRPP特性，并且华三公司会不断丰富支持RRPP技术的端口类型，扩展这种低成本保护技术的使用范围。安全保障：使用专属VLAN传送控制报文，与其他数据报文隔离，保证控制报文不受用户网络情况的影响，保证其安全性，并且通过给此VLAN设置优先级，保证控制报文优先传输。广适用：华三以太环网解决方案业务保护时间与环网节点数目、设备负荷、网络所承载业务、网络流量等因素无关：环网节点数目无关：在组建大规模环网时，RRPP技术依然能够保证200ms的倒换时间。设备负我无关：即设备运行复杂协议时，如配置多种ACL规则、作MPLSPE等情况下，也不影响网络的收敛时间。网络承载业务无关：不管上层运行什么样的业务，如语音、视频等，RRPP技术都能够保证极短的切换时间。网络流量无关：在大流量的情况下也可以保证毫秒级的自愈保护时间，在业务不断增长、数据量不断加大的情况下，以太环网技术依然可以保证业务的快速倒换。安全系统方案设计网络安全分析在任何一个网络中，网络安全的主要威胁来源非人为的安全威胁和人为的安全威胁两方面。我们将从这两方面以及网络分层结构中各层的安全性对张家口数字城管网络建设后的整体安全性进行分析。非人为的安全威胁非人为的安全威胁主要分为两类：一类是自然灾难，另一类为技术局限性。典型的白然灾难包括：地震、水灾、火灾、风灾等。白然灾难可以对网络系统造成毁灭性的破坏，其特点是：发生概率小，后果严重。技术局限性体现在网络技术本身的局限性、漏洞和缺陷。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系统安全的重大隙患。人为的安全威胁主要指对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。一般来讲，这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。网络安全必要性网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。Internet的不安全因素，来自两个方面。•方面，Internet网络作为种开放的通信基础设施，是面向所用户提供服务的；另一方面，Internet技术是开放和标准的，任何人可以取得和进行研究。随着国内互联网的发展，来自国内的黑客攻击也日益频繁，黑客攻击的案例不断增加，而且来自于国内的网络攻击呈指数增长的趋势。例如某公众服务网络遭到一名中学生的攻击，使得整个网络陷于瘫痪，很多计费数据丢失，给国家造成了重大损失。进上步来讲，由于国际互联网络是跨越时空的，所安全问题也是跨越时空的，虽然我们国家的网络不发达，但是我们遭到的安全危险却是同国外样的，这是•个很严重的问题。但是，在实际操作中，保障网络安全与提高效灵活的网络服务是•对矛盾。从网络服务的可用性、灵活性和网络性能考虑，网络结构和技术实现应该尽可能简捷，不引入额外的控制因素和资源开销。但从网络安全保障考虑，则要求网络对所提供的服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力，实现这些附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用，从而对网络系统的性能、服务的使用方式和范围产生影响。此外，保障网络安全常常还涉及到额外的硬件、软件投入及网络运行管理中的额外投入，由此可见保障网络的安全是有代价的。根据以上对网路广义的分析，建议在制定网络安全策略时采用以下的原则：1）充分比较安全策略的安全性与网络服务的灵活性。2）充分比较网络的安全性与性能：安全措施的完成必然要消耗一定的网络资源。或是占用主机CPU和内存，或者是占用网络带宽或者是增加信息处理的过程。所有这些都可以导致整体性能降低。3）充分比较网络的安全性与成本：采用网络安全措施本身会增加建网的成本，包括请安全专家进行安全方面的系统设计和实施的费用，购买硬件和软件的费用，管理和维护的费用等。优秀的网络安全策略必须是建立在对网络安全需求与环境的客观分析评估基础h,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”，使得网络安全保障引入的额外开销与它所带来的效益相当。安全系统设计安全设备的部署方式主要有两种，一种为盒式设备在线部署，另一种为安全插卡在核心设备上的部署。相对于独立盒式安全设备，采用安全插卡大大提高了设备的集成能力，带来部署、管理和维护方面的便利，具体有以卜三个方面的优势：1、和网络设备统一管理，易维护；2、依托核心设备的双电源、双主控、无源背板，大大提高安全插卡可靠性，同时利用交换机IRF2技术，安全插卡也可实现智能堆叠技术；3、减少单点故障，在安全插卡故障时，并不影响数据的转发。因此本方案推荐采用安全插卡部署网络的安全系统，在核心设备S7506E上部署防火墙插卡和IPS插卡实现对网络2~7层的全面防护。由于来自内网的攻击威胁同样巨大，核心的防火墙插k应将数据中心区和内部局域网区进行安全隔离，局域网用户访问数据中心需要匹配防火墙的安全策略，否则禁止访问。IPS（入侵防御系统）通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，有效保护数据中心服务器免受4~7层攻击。功能技术要求防火墙防火墙是在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务以及内部的人员可以访问哪些资源。所有往来的信息都必须经过防火墙，只有被允许的数据才能够通过。1）依据不同防护目标，防火墙主要做一下两方面工作：对外实现内网与外网隔离：内网的安全问题更多的来自于外部网络的攻击，采用防火墙可以从逻辑上将内网与外网隔离，控制相互间的访问，并针对来自网络3-4层的攻击威胁提供安全保护。对内实现内网安全区域划分管理：在内网区域的管理方面，防火墙可以实现逻辑分区管理，控制逻辑区间的访问，并针对来白网络3-4层的攻击威胁提供安全保护。2）其他功能特点硬件防病毒功能：防火墙应支持硬件防病毒功能（硬件处理性能高），对整个内网进行保护，并与终端的防病毒软件实现多层次立体防御。硬件网流监控功能：防火墙应支持硬件网流监控功能（硬件处理性能高），实现对网络流量的管理，包括网络流量统计、网络流量监控、网络安全漏洞检测、网络的优化与规划等功能。虚拟防火墙技术：1个物理防火墙可以作为64个逻辑防火墙使用，大大增加了用户的投资价值。防火墙插k方式的实现：增强系统的扩展能力，保证安全系统后期性能和功能的扩展增值，并且通过与高端核心交换机共用接口实现接口的无限扩展，核心设备上其他业务接口板的流量均可通过防火墙板上制定策略而镜像到防火墙。入侵防御系统目前，安全威胁更多地来自于应用层，比如说蠕虫、病毒、木马、DoS/DDoS,间谍软件、网络钓鱼、P2P/IM/网游等带宽滥用，入侵防御系统通过部署在网络关键路径上，可以对流经该关键路径上的网络数据流进行2〜7层的深度分析识别，从而对业务应用、网络基础设施和网络性能实现安全保护。此外，该系统还应具备以下功能特点：全面的规则库：由于入侵防御系统的防护都是基于规则库，因此规则库的全面性是本系统的价值所在，应该具备全面的规则库，涵盖了病毒、协议、攻击特征等所有方面。与时俱进的防御：考虑到实际应用价值，规则库应该具备本地特点，可以实现对国内的主流威胁和应用识别，并定期实时自动更新。系统可靠性保障：功能方面，要避免对正常业务流量的错误防御：产品方面，当出现掉电等故障时，可以实现自动短路功能，从而保证业务流量的正常运行。整网统一补丁技术：系统的漏洞往往会造成很大的安全隐患，成为威胁攻击的主要目标，但给整网终端进行补丁升级又是件很麻烦的事，因此，为了避免百密一疏，入侵防御系统应具备虚拟补丁技术（逻辑上相当于为每台终端打补丁），从而提高整网的漏洞防御能力。4.3路由协议设计路由协议的选择对网络的可靠性、灵活性、可拓展性有较大的影响。根据网络的结构，综合考虑管理和技术两个方面的因素，选择路由协议。邢台公安控制中心网络路由设计应遵循下述原则：路由设计应选择适当的协议，以满足收敛性、稳定性、扩展性方面的要求。某个下级平台到上级平台的纵向业务流量，正常情况下不经过任何其它平台网络设备。两条链路承载不同业务路由，同时互为备份。本次网络路由协议建议选择OSPF动态路由协议。5图像资源存储设计.各级控制中心应根据安全管理的要求和存储策略合理配置存储设备。配置的专用存储设备如磁盘阵列（RAID）、网络存储系统（NVR,SAN）、光盘刻录机等，应能备份需要长期保留的信息。.图像存储设备应满足如下要求：a）监控图像存储时间应不小于15大，经过复核后的报警图像应按相应的公安业务和社会公共安全防范管理的相关要求作长期保存。在重要应用场合，应采取对录像文件防篡改或确保文件完整性的相关措施。b）应支持按图像的来源、记录时间、报警事件类别等多种方式对存储的图像数据进行检索，应能支持多用户同时访问同一数据资源；c）应支持图像记录、回放同时工作的双工模式；d）应具有多个以太网千兆接口，支持TCP/IP协议，宜扩展支持HTTPNFS、、RTP、RTCP、iSCSI等网络协议；.信息存储设备应满足如下要求：a）图像存储应具有足够的存储空间，并具备冗余能力，能通过RAID、热备盘等技术保证存储信息的安全：b）存储系统配置参数、系统管理日志、用户管理数据、报警文件等重要信息的设备应具有冗余、容错及自动备份等功能；c）存储图像索引、摘要等信息的设备，其存储空间应与对应的图像数据量相适应，并支持与对应图像数据的同步更新。d）图像存储应支持编码器到存储设备的块存储方式，避免采用文件方式存储，以提高存储的效率和检索速度。6高清治安卡口要求7图像控制中心与公安信息网的业务互通图像控制中心与公安信息网的互通业务包括两部分内容：1、公安信息网用户对视频专网内图像资源的访问

2、公安信息网内业务数据备份到视频专网数据中心，共监控系统实战应用视频专网与公安信息网之间必须通过安全网闸进行隔离。在选人民简伪数据 侪仿窿%人口信忍致掘公安信息网图像资源访问模式视频专网内的MS媒体交换服务器在完成组/单播、地址转换后，通过安全网闸将图像以单播视频流发送到公安信息网客户端。1、通过网闸的视频流数据会受到网闸的性能限制数据会产生延迟/抖动等情况。2、为保证图像品质及业务质曷！必须对视频监控系统的业务进行区分，重要的视频业务布置在监控专网系统内。3、普通数据业务因为不受网闸的性能影响可以将数据备份到视频监控专网内！4、公安网内的用户不是主要业务主体，应此对视频质量和控制实时要求不高、可以考虑转发模式图像控制中心对公安信息网数据的访问模式图像控制中心用户是图像应用的上题，特别是在监控业务中需要比对逃犯信息、人口信息等，因此需要对公安信息网中的相关数据进行访问。但从安全角度考虑，不应允许视频专网用户直接访问信息网服务器。建议在市局图像控制平台建设数据中心，将相关业务定期从公安信息网备份到视频专网数据中心中，警用G1S/GPS等需要与图像应用结合的业务，可访问该数据中心。视频专网与公安信息网间的干线管理由于网闸的处理性能有限，公安信息网与视频专网间网络带宽资源有限，因此限制了公安信息网用户并发访问视频专网的能力。为保证关键业务的顺利开展，必须对视频专网与公安信息网间进行干线资源管理。

干线管理功能包括:支持域间的干线管理、域内（虚拟域）的干线管理；可以控制入方向流的干线管理；可以统计实况类和回放类的业务流；可以进行优先级保障和带宽资源预留、抢占8图像接入平台的业务功能规划8.1实时图像监控实时图像点播业务包括视频采集、传输交换、控制和显示四个主要环节。在管理员的控制下，将摄像头的图像实时在监控管理客户端和解码器后的电视上播放出来的业务流程如下。1、控制环节：首先管理员通过监控管理客户端的业务控制界面，选定编码器下的摄像机为视频源，视频管理客户端播放软件和解码器下的电视为显示设备。业务申请提交之后，管理服务器通过SIP通信协议，向编码器卜发指令：按照指定格式编码后将媒体流发送到某地址上：向视频管理客户端播放软件和解码器发送指令，接收媒体流，交换机上即刻建立转发表，用于报文的转发。2、视频采集：摄像头采集图像后，以模拟视频信号方式传送给编码器；编码器进行A/D（模拟到数字）转换，使用内部的专用芯片，编码压缩为视频媒体流数据，使用IP报文的形式发送到网络；3、传输环节：经过解码器的解码，然后进行D/A转换，就可以将现场图像实时的还原到监视器上。如果不使用解码器，也可以通过客户端软件，接收媒体流，通过计算机的软解码，直接显示到计算机的显示器上。4、显示环节：解码器接受到流媒体报文，使用内部专用解码芯片将压缩过的视频信息解码，并进行D/A（数字到模拟）转换，将高效还原后的模拟图像实时送到监视器上显示出来。监控管理客户端接收到流媒体报文后，调用高效的软件解码软件，利用CPU的多媒体处理功能将压缩后的视频信息解码，将模拟图像通过显k的数字VGA接口输出到显示器上显示出来。在实时播放的过程中，支持图像的缩放、抓拍、录像，并可以将本地抓拍和录像上传到存储设备中。远程控制监控管理客户端选择一个具有控制功能的摄像头后，可以进行远程控制。首先系统会判断用户对摄像头是否有控制权限，如果没有，管理服务器会拒绝用户的控制请求，并在监控管理客户端上提示出来。用户对摄像头控制有三种手段：通过串口接入PC的专业键盘，PC键盘快捷键（支持用户自定义），或者用鼠标的点击图形化的控制面板。全部用户对云台的控制权限分为多个等级，高优先级的用户可以抢占低优先级用户的控制权限：如果一个用户正在进行重要的操纵，可以选择锁定云台，此时高优先级客户也无法抢占，操纵完成后，用户释放云台，其他用户才可以进行操作和抢占。因为所有云台控制都是通过IP网络，经由管理服务器进行中转，因此可以实现全网的云台控制权限的统一分配：云台控制只有信令部分，数据量非常小，对管理服务器的性能没有影响。图像的精确快速检索和回放管理服务器上的数据库中记录了设备、通道、时间、报警同图像存储物理位置的对应关系，通过设备、通道号和时间段（可选），或通过报警信息，用户可以检索到已经录制的历史图像列表，双击即可播放。在监控客户端上可以用图形化方式显示存储计划执行情况，正常录制、没有录制、无需录制等各种信息通过不同的颜色以柱状图的方式显示出来，对正常录制的部分双击即可播放。选取到要回放的历史图像之后，通过DM数据管理服务器读取录制的历史图像，解码后播放出来。在监控管理客户端上，可以对回放进行正常播放、快速播放、慢速播放、逐帧播放、暂停抓拍、录像下载等操作。可以控制图像的缩放显示，分屏显示和全屏显示。历史图像除了可以在监控管理客户端上播放，也可以通过解码器在电视等显示设备上播放，当两者同时播放时，可以实现两者的视频同步。图像回放的过程中，只对解码器和客户端授予“读”的权限，防止重要的录像信息被恶意或无意的篡改。报警管理当应急救援指挥系统启动布防时，一旦编码器检测到告警检测装置的开关量输入，系统将有如下的报警联动：图像输出到指定解码器或监控管理客户端；系统按照预定义的方式使用视频和音频方式提醒管理员进行报警复核；触发摄像头打到预制位；触发存储和客户端上的录像、抓拍功能，同时记录报警的地址、级别、类型、时间，处警的组织、结果、时间等信息；将告警信号通过凤凰箝位电路输出到告警终端，触发专业报警器的生光报警；GIS地图上以醒目的图标显示报警的摄像头位置；将告警信息通过高级业务接口输出给网管或其他业务系统，触发更高层面的告警联动，例如三台合一系统、应急指挥调度系统、0A办公系统等；GIS地图系统监控管理客户端支持图形化的配置界面，所有的增删改查操作全部可以通过图形化的操作完成，所见即所得。系统对设备、监控关系、报警、巡检结果等提供报表功能，整网设备运行情况•幕了然。系统可以配合专业GIS系统，基于GIS系统统一展示全市的监控图像，并可以结合各种报警系统，应急指挥业务系统实现统一接警、分类处警，统一指挥、联合行动，互联互通、资源共享。支持通过导航地图快速定位关注的区域，在电子地图上可以直观的显示摄像头的分布和各种详细信息，例如类型、状态、经纬度，通过对电子地图上的摄像头点击操作，在导航栏上输入摄像头信息，GIS地图会将摄像头居中显示，可以便捷的提供实时播放、点播回放。监控客户端支持双屏显示功能，配置管理界面和回放界面分别在两个显示器上，增加了信息量，媒体播放控件支持多分屏分割显示（4〜25分屏）。三台合一与视频监控的报警联动三台合一接处警系统是公安报警系统的主要形式。当前监控平台可实现与主要厂商的接报警平台进行联动，共同实现自动化的报警联动功能，为治安指挥、接报警处理提供有效的支撑。具体实现的业务步骤为：第一步，报警感应器或报警电话接到报警，三台合一系统进入报警处理流程；第二步，监控平台自动同步根据报警器的位置和报警电话的位置，显示定位报警电话相关的GIS信息第三步，报警信息位置附近若有监控摄像头，将白动打开实时监控画面，可将画面播放在电视墙上进行实时显示。移动指挥车监控接入

移动指挥乍是业界一套将监控、会议及指挥调度完美融合为一体的指挥调度系统。是大型警卫、保卫和突发事件的移动指挥场所，主要为亲临现场的领导提供指挥调度及研究处理决策的技术和生活保障。该系统从整个公安指挥中心综合化管理的角度进行设计，不仅满足了目前指挥调度中心的管理、监控、办公等功能；还预留了与上级交管系统交互的接口及与决策支持系统的接口，便于各类资料的传输与统计，易于将来升级扩展。通过本调度指挥系统的应用，可快速收集、掌握和处理重要信息，协调、处置突发性事件，形成了一个目标明确、反映迅速的高效率与智能化的指挥枢纽中心。当前平台支持前端无线方式的摄像机探头接入，可实现如特殊不便布线位置的监控