1項目技術(shù)方案1.1背景及需求概述為了安全地在公安網(wǎng)安全接入視頻圖像及數(shù)據(jù)，實現(xiàn)視頻安全交換及數(shù)據(jù)安全交換，需建設(shè)安全邊界，進(jìn)行相關(guān)數(shù)據(jù)采集、數(shù)據(jù)交換及視頻接入。同時，建設(shè)必須依據(jù)該規(guī)范，遵循該規(guī)范的各項要求?，F(xiàn)目前，視頻網(wǎng)中運行著卡口、電警、WIFI采集、人像識別等類型的數(shù)據(jù)，同時，有大量的視頻圖像存在于視頻網(wǎng)中，需要接入公安網(wǎng)實現(xiàn)視頻共享、數(shù)據(jù)共由于視頻圖像平臺的建設(shè)，整合整個公安的視頻資源，按照整合聯(lián)網(wǎng)平臺后期業(yè)務(wù)需求，需對視頻圖像進(jìn)行整個接入，建設(shè)邊界接入平臺，邊界平臺視頻接入鏈路部分應(yīng)當(dāng)能夠具備同時調(diào)用550路高清視頻的處理能力。為了符合公安部及省公安廳相關(guān)建設(shè)要求，邊界接入須按標(biāo)準(zhǔn)進(jìn)行完善，從接入資源劃分，分為新建視頻接入以及卡口圖片接入?？紤]到未來3-5年的業(yè)務(wù)增長，整個邊界平臺接入量需求如下：1)各區(qū)縣等視頻調(diào)用：按每單位50路視頻并發(fā)調(diào)用計量，總共5個部門，即視頻邊界接入須滿足250路并發(fā)調(diào)用需求；2)內(nèi)部部門視頻調(diào)用：各個部門調(diào)用量按100路并發(fā)計量，即視頻邊界接入須滿足100路并發(fā)調(diào)用需求；3)未來5年增長：上述接入需求按每年10%增長量計量，則在5年后，視頻邊界接入須滿足200路并發(fā)調(diào)用需求；通過上述內(nèi)容可知，整個視頻邊界接入量(未來5年)為550路。2、數(shù)據(jù)交換鏈路交換量：1)人像識別、卡口系統(tǒng)接入：當(dāng)前系統(tǒng)數(shù)據(jù)接入量為每天200萬M(200萬條數(shù)據(jù)，每條1兆);2)未來5年增長：上述接入需求按每年10%增長量計量，則在5年后，每天增2長200萬M數(shù)據(jù)，即為每天交換量400萬M;通過上述內(nèi)容可知，整個數(shù)據(jù)交換鏈路交換量(未來5年)為600萬M。綜合目前視頻接入量和數(shù)據(jù)交換量，以及未來5年接入量，邊界平臺配置如(1)視頻邊界接入鏈路需要采用萬兆視頻邊界接入(7G吞吐),才能基本滿足未來5年需求。(2)數(shù)據(jù)交換鏈路需要采用萬兆數(shù)據(jù)交換鏈路(4G吞吐),才能滿足未來5年數(shù)據(jù)交換需求量。1.1.3安全需求在安全上邊界平臺存在各類風(fēng)險，涉及接入終端、接入用戶、外部/內(nèi)部鏈路、網(wǎng)絡(luò)層、信息傳輸、應(yīng)用安全及平臺主機(jī)等。(1)接入終端不可信：邊界接入平臺的接入終端種類多、分布廣，不處在可信的物理環(huán)境中，無法確定某臺接入終端的合法性。(2)接入用戶不可信：邊界接入平臺的接入用戶種類多、數(shù)量大、分布廣，無法定位接入用戶的合法身份。(3)接入鏈路不可信：邊界接入平臺支撐邊界接入的所有業(yè)務(wù)，業(yè)務(wù)分布廣，接入鏈路(外部接入鏈路和平臺內(nèi)部鏈路)的種類和方式復(fù)雜，需采用適當(dāng)?shù)逆溌贩N類和采用適宜的安全措施以規(guī)避鏈路風(fēng)險。(4)網(wǎng)絡(luò)層易受攻擊：邊界接入平臺面對所有外部接入業(yè)務(wù)，與其鏈接的網(wǎng)絡(luò)種類較多、情況復(fù)雜，平臺邊界在網(wǎng)絡(luò)層易受到各類攻擊。(5)信息傳輸遭威脅：邊界接入業(yè)務(wù)種類多、分布廣，信息在客戶端與邊界接入平臺間傳輸時易受到他人的攻擊、偽造、篡改等，需加強(qiáng)信息傳輸安全。(6)應(yīng)用級安全風(fēng)險：邊界接入平臺主要是為內(nèi)、外網(wǎng)的數(shù)據(jù)交互提供安全通道和相應(yīng)的應(yīng)用。平臺涵蓋多類業(yè)務(wù)，而每類業(yè)務(wù)分別包含不同應(yīng)用。如何按不同的業(yè)務(wù)方式和安全要求，在應(yīng)用層面上保障信息安全，防止敏感信息交叉泄漏是應(yīng)用層面需解決的安全問題。(7)平臺內(nèi)主機(jī)安全：在邊界接入平臺內(nèi)，除了網(wǎng)絡(luò)設(shè)備外，還有一定數(shù)量的服務(wù)器和PC機(jī)，在此將這些設(shè)備稱為平臺內(nèi)主機(jī)。如何防止合法接入終端/用3參照公安部科技與信息化局《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(授權(quán)訪文件要求，邊界接入平臺作為本地邊界接入的統(tǒng)一出入口，位于公安網(wǎng)與外部鏈路外部接入外部接入公安應(yīng)用系統(tǒng)和數(shù)據(jù)庫公安PKI/PMI系統(tǒng)公安機(jī)關(guān)駐地外接接入對象社會企事業(yè)單位邊界接入平臺鏈路方式黨政軍機(jī)關(guān)安全監(jiān)測與管理區(qū)邊界保護(hù)區(qū)路由接入?yún)^(qū)應(yīng)用服務(wù)區(qū)安全隔離區(qū)撥號4該區(qū)域主要處理各類與應(yīng)用相關(guān)的操作，是內(nèi)網(wǎng)對外信息發(fā)布、信息采集和數(shù)據(jù)交換的中間區(qū)域。該區(qū)域主要安全功能為：作為外部終端網(wǎng)絡(luò)連接的終點，實現(xiàn)應(yīng)用級身份認(rèn)證、訪問控制、應(yīng)用代理、數(shù)據(jù)暫存等功能。防止對內(nèi)部網(wǎng)絡(luò)的非法訪問和信息泄露。對此區(qū)域，應(yīng)加強(qiáng)對服務(wù)器等設(shè)備的安全保護(hù)，應(yīng)具有病毒、木馬保護(hù)功能，防止病毒該區(qū)域?qū)崿F(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全隔離和信息交換。該區(qū)域主要安全功能為：實現(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)的安全網(wǎng)絡(luò)隔離，根據(jù)安全策略，對出入公安網(wǎng)的數(shù)據(jù)分別進(jìn)行協(xié)議剝離、格式檢查和過濾，實現(xiàn)公安網(wǎng)和應(yīng)用服務(wù)區(qū)之間的安全數(shù)據(jù)交換，保障公安網(wǎng)的安全。該區(qū)域?qū)崿F(xiàn)整個接入平臺的安全監(jiān)測、管理與維護(hù)。該區(qū)域主要安全功能為：對接入平臺運行情況進(jìn)行安全監(jiān)測與審計，對接入平臺及業(yè)務(wù)信息進(jìn)行注冊管理、各種安全策略管理、流量監(jiān)測、統(tǒng)計分析、安全審計等。接入平臺內(nèi)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置管理及日常運行維護(hù)。補(bǔ)丁升級、漏洞掃本方案依據(jù)以下文件或規(guī)范設(shè)計：■《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(授權(quán)訪問與數(shù)據(jù)交換部分)》■《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(視頻接入部分)》■《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范公網(wǎng)信息采集部分》;■公安信息通信網(wǎng)聯(lián)網(wǎng)設(shè)備及應(yīng)用系統(tǒng)注冊管理辦法；■關(guān)于公安接入網(wǎng)租用ADSL電路等接入公安信息通信網(wǎng)的通知(公信通[2004]274號);邊界接入平臺級聯(lián)上報功能主要將本地接入平臺、接入業(yè)務(wù)及使用單位等注冊5管理基本信息，以及運行狀態(tài)和安全審計基本信息定時上報給省廳邊界接入平臺，從而為省廳邊界接入平臺對本地接入平臺的注冊管理、運行狀態(tài)、安全審計等方面信息的瀏覽、綜合查詢及統(tǒng)計分析提供所必須的數(shù)據(jù)。1.3建.設(shè)方案公安部《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(授權(quán)訪問與數(shù)據(jù)交換部分)》、《公安信息通信網(wǎng)邊界接入平臺安全規(guī)范(視頻接入部分)》規(guī)定公安信息網(wǎng)安全邊界接入平臺建設(shè)包含黨政軍機(jī)關(guān)接入鏈路、視頻安全接入鏈路。各省公安廳及地州公安局可根據(jù)自身業(yè)務(wù)需要，選擇全部或部分鏈路建設(shè)。根據(jù)公安局邊界安全接入平臺的實際業(yè)務(wù)需要，建設(shè)以下接入鏈路：■視頻安全接入鏈路入?yún)^(qū)7利用專網(wǎng)，將相關(guān)業(yè)務(wù)系統(tǒng)的客戶端電腦或服務(wù)器接入公安網(wǎng)。在接入外網(wǎng)時通過三層交換機(jī)進(jìn)行鏈路區(qū)分，為每一個接入業(yè)務(wù)分配不同的VLAN,每個VLAN的終端不能互相訪問，以防止不同業(yè)務(wù)應(yīng)用之間相互干擾。另外為了使整個系統(tǒng)更加穩(wěn)定可靠，通過防火墻、可信網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備，實現(xiàn)了數(shù)據(jù)來源的可靠性篩查，最后通過安全數(shù)據(jù)交換系統(tǒng)實現(xiàn)了跨網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸。通過負(fù)載均衡，實現(xiàn)鏈路負(fù)載均衡及服務(wù)器業(yè)務(wù)負(fù)載均衡。接下來，將針對業(yè)務(wù)流程，詳細(xì)介紹相關(guān)區(qū)域模塊功能。終端安全主要體現(xiàn)在如下幾個方面：終端用戶身份識別(用戶名/口令或數(shù)字證書方式)、終端設(shè)備認(rèn)證、終端訪問控制、傳輸保護(hù)。終端身份識別包括兩項安全機(jī)制：終端認(rèn)證與用戶認(rèn)證。用戶認(rèn)證兩種方式：一是采用用戶名/口令；另一種采用硬件數(shù)字證書，只有通過身份認(rèn)證的用戶才能與平臺連接，保證接入用戶身份的合法性。客戶端收集終端硬件信息，并提交給可信邊界網(wǎng)關(guān)，可信邊界網(wǎng)關(guān)根據(jù)終端軟硬件特征確保只有經(jīng)過注冊的合法終端才能與平臺連接，保證接入設(shè)備的合法在終端與平臺完成連接認(rèn)證時，通過設(shè)置細(xì)粒度訪問控制策略，確保非法用戶不能訪問，合法用戶不能越權(quán)訪問。終端客戶端與可信邊界網(wǎng)關(guān)之間使用SSL協(xié)議對通信過程進(jìn)行加密和完整性保護(hù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?邊界保護(hù)區(qū)主要設(shè)備包括：防火墻、可信邊界安全網(wǎng)關(guān)、三層交換機(jī)、入侵防御設(shè)備、集控探針等。防火墻的首要功能是根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)協(xié)議等對數(shù)據(jù)包進(jìn)行訪問控制。防火墻還保證了邊界接入平臺內(nèi)部的主機(jī)地址不被外部終端直接獲得。利用三層網(wǎng)絡(luò)交換機(jī)的IP路由和虛網(wǎng)功能，根據(jù)接入應(yīng)用進(jìn)行路由選擇和虛網(wǎng)劃分，保證不同業(yè)務(wù)應(yīng)用通道之間的相互隔離。三層交換機(jī)根據(jù)不同業(yè)務(wù)設(shè)置不同的VLAN,每個VLAN連接這個業(yè)務(wù)的前置機(jī)、數(shù)據(jù)庫或者文件服務(wù)器，每個VLAN之間不能互相訪問。這樣的配置即能保證每個業(yè)務(wù)之間相對獨立，一旦某個業(yè)務(wù)的前置機(jī)感染病毒木馬不能通過內(nèi)部局域網(wǎng)迅速傳播，又能實現(xiàn)所有業(yè)務(wù)的數(shù)據(jù)交換?？尚胚吔绨踩W(wǎng)關(guān)對接入終端進(jìn)行身份認(rèn)證，保證未通過身份認(rèn)證的接入終端不能進(jìn)入平臺訪問，還保證在網(wǎng)絡(luò)傳輸過程中，接入終端與邊界接入平臺之間的通信內(nèi)容全程加密。入侵防御系統(tǒng)(IPS)是實時對網(wǎng)絡(luò)入侵行為自動識別和阻斷的系統(tǒng)。它通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別和記錄入侵行為，該系統(tǒng)安裝于防火墻后，可以對穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行阻斷。登錄邊界保護(hù)區(qū)內(nèi)的關(guān)鍵設(shè)備都必須通過用戶身份認(rèn)證，一般登錄交換機(jī)、防火墻、IPS等設(shè)備都采用用戶名/口令方式，口令設(shè)置長度不小于8位。登錄可信邊界網(wǎng)關(guān)必須采用民警專用數(shù)字證書。所有邊界保護(hù)區(qū)內(nèi)的關(guān)鍵設(shè)備都必須開啟審計功能，通過接口將每個設(shè)備的9日志抄送給集控探針。審計內(nèi)容包括這些設(shè)備的登錄事件、配置更改事件、報警事件、故障信息等等。根據(jù)實際業(yè)務(wù)需求，應(yīng)用服務(wù)區(qū)放置了相應(yīng)業(yè)務(wù)應(yīng)用的前置服務(wù)器(包括應(yīng)用服務(wù)器、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等)。作為外部終端網(wǎng)絡(luò)連接的終點，提供給終端用戶應(yīng)用代理、數(shù)據(jù)暫存等功能服務(wù)。同時，通過負(fù)載均衡實現(xiàn)服務(wù)器負(fù)載均衡。該區(qū)域主要實現(xiàn)公安網(wǎng)與應(yīng)用服務(wù)區(qū)網(wǎng)絡(luò)隔離和數(shù)據(jù)的安全交換，它通過該區(qū)域主要實現(xiàn)以下安全功能：■網(wǎng)絡(luò)隔離：切斷外網(wǎng)與公安網(wǎng)的網(wǎng)絡(luò)連接，剝離所有通過本系統(tǒng)交換的通信協(xié)議，保證在內(nèi)外網(wǎng)之間只能通過裸數(shù)據(jù)進(jìn)行有限交換。■格式過濾：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶自定義的源數(shù)據(jù)規(guī)則對經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進(jìn)行深度格式過濾，與源數(shù)據(jù)格式不匹配的數(shù)據(jù)過濾掉，只交換與源數(shù)據(jù)格式匹配的數(shù)據(jù)?！鰞?nèi)容檢查：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶自定義的源數(shù)據(jù)規(guī)則對經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進(jìn)行深度內(nèi)容檢查，與源數(shù)據(jù)內(nèi)容不匹配的數(shù)據(jù)過濾掉，只交換與源數(shù)據(jù)內(nèi)容匹配的數(shù)據(jù)?！鲂畔踩翰捎脴?biāo)準(zhǔn)的SSL協(xié)議進(jìn)行數(shù)據(jù)的加密傳輸?！鰡蔚涝L問：數(shù)據(jù)交換系統(tǒng)對前置機(jī)/后置機(jī)采用單道訪問設(shè)計，數(shù)據(jù)交換系統(tǒng)主動從前置機(jī)獲取數(shù)據(jù)，不接受前置機(jī)主動向數(shù)據(jù)交換系統(tǒng)發(fā)送數(shù)■數(shù)據(jù)對象認(rèn)證：通過設(shè)備證書方式對數(shù)據(jù)交換對象進(jìn)行雙向身份認(rèn)證。■安全審計：對經(jīng)數(shù)據(jù)交換系統(tǒng)進(jìn)行交換的所有行為安全審計，保證數(shù)據(jù)交換行為事后可追溯。該區(qū)域的主要設(shè)備包括：網(wǎng)閘、安全數(shù)據(jù)交換系統(tǒng)。通過網(wǎng)閘切斷所有基于網(wǎng)絡(luò)協(xié)議的連接，使外部終端無法直接訪問公安網(wǎng)，確保公安網(wǎng)與外部網(wǎng)絡(luò)隔離。該設(shè)備采用了三部件架構(gòu)，采用專用的硬件和安全芯片，采用專用通信協(xié)議進(jìn)行數(shù)據(jù)擺渡。并且保證對所有過往的流量都剝離了通信協(xié)議，保證所有協(xié)議剝離和再生過程都接受安全審計，并且具有防范各種網(wǎng)絡(luò)協(xié)議攻擊的能力(如DDOS、LAND、滴淚攻擊等)。安全數(shù)據(jù)交換系統(tǒng)由兩臺專用的數(shù)據(jù)交換服務(wù)器組成，系統(tǒng)硬件內(nèi)部采用高可靠性設(shè)計，硬件設(shè)備內(nèi)部采用特殊的認(rèn)證機(jī)制，保證基于硬件的可信任計算體系。安全數(shù)據(jù)交換系統(tǒng)根據(jù)業(yè)務(wù)配置建立業(yè)務(wù)數(shù)據(jù)通道，并對業(yè)務(wù)數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)進(jìn)行過濾和審計。只允許符合安全策略的業(yè)務(wù)數(shù)據(jù)進(jìn)行交換，不允許任何其它的數(shù)據(jù)傳輸。安全數(shù)據(jù)交換系統(tǒng)具備如下安全功能：■系統(tǒng)能夠?qū)崿F(xiàn)對數(shù)據(jù)交換對象的身份認(rèn)證■系統(tǒng)能夠保證數(shù)據(jù)交換內(nèi)容的機(jī)密性和完整性■系統(tǒng)能夠區(qū)分連接內(nèi)外網(wǎng)鏈路的接口■系統(tǒng)根據(jù)安全策略主動獲取來自前置機(jī)群的數(shù)據(jù)■系統(tǒng)能夠驗證數(shù)據(jù)源和數(shù)據(jù)完整性■系統(tǒng)能夠根據(jù)業(yè)務(wù)規(guī)則檢查數(shù)據(jù)類型、格式、內(nèi)容，過濾不符合安全策■系統(tǒng)能夠保證非法數(shù)據(jù)交換行為可追溯身份認(rèn)證系統(tǒng)內(nèi)部通過硬件數(shù)字證書進(jìn)行雙向身份認(rèn)證，如果一旦系統(tǒng)內(nèi)部的硬件數(shù)字證書被拔走，則數(shù)據(jù)交換過程馬上終止。如果外網(wǎng)端其他服務(wù)器冒用地址向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)交換請求，則直接會被系統(tǒng)拒絕。系統(tǒng)根據(jù)認(rèn)證產(chǎn)生的會話密鑰對傳輸數(shù)據(jù)進(jìn)行加密。區(qū)分內(nèi)外網(wǎng)鏈路系統(tǒng)能夠自動區(qū)分連接內(nèi)外網(wǎng)鏈路的不同接口，外網(wǎng)接口保證數(shù)據(jù)源的合法性和數(shù)據(jù)的完整性，內(nèi)網(wǎng)接口對數(shù)據(jù)進(jìn)行檢查、過濾、審計和分發(fā)等處理。單向通道主動獲取數(shù)據(jù)安全數(shù)據(jù)交換系統(tǒng)采用了特有的單向通道技術(shù)，確保除了所配置的接入業(yè)務(wù)以外，沒有任何其它軟件能夠利用數(shù)據(jù)通道傳輸數(shù)據(jù)，也沒有任何其它軟件能夠系統(tǒng)主動獲取前置機(jī)上數(shù)據(jù)，所有數(shù)據(jù)請求都由內(nèi)網(wǎng)交換服務(wù)器主動發(fā)起，根據(jù)用戶事先定義的業(yè)務(wù)調(diào)度策略進(jìn)行調(diào)度，每個業(yè)務(wù)在配置完成后即形成該業(yè)務(wù)的隧道，系統(tǒng)不接受前置機(jī)向系統(tǒng)發(fā)起的主動數(shù)據(jù)提交請求。驗證數(shù)據(jù)源系統(tǒng)支持對前置機(jī)硬件設(shè)備證書雙向認(rèn)證。系統(tǒng)可以兼容各種證書體系所頒系統(tǒng)能夠根據(jù)用戶事先定義業(yè)務(wù)規(guī)則對數(shù)據(jù)進(jìn)行全面過濾，支持對每個業(yè)務(wù)單獨設(shè)置過濾規(guī)則，過濾規(guī)則粒度細(xì)化到每個字段，包括類型、范圍、長度、枚舉、缺省值、特殊字段、字符編碼、圖像字段許可等等。系統(tǒng)集成了世界上首屈一指的流殺毒引擎，可以節(jié)省您在防病毒、木馬上的投資。系統(tǒng)能夠識別數(shù)據(jù)交換內(nèi)容中SQL語句，能夠有效防范所有SQL提交攻擊，保護(hù)用戶內(nèi)網(wǎng)的數(shù)據(jù)庫和業(yè)務(wù)應(yīng)用系統(tǒng)，保證不泄露內(nèi)網(wǎng)數(shù)據(jù)結(jié)構(gòu)。系統(tǒng)能夠根據(jù)用戶事先設(shè)置的黑名單過濾所有交換的數(shù)據(jù)，如果出現(xiàn)黑名單中的內(nèi)容則阻斷數(shù)據(jù)交換行為并報警通知用戶。系統(tǒng)提供對整個數(shù)據(jù)交換行為的完整審計，包括數(shù)據(jù)來源、交換發(fā)生時間、數(shù)據(jù)交換的目標(biāo)、數(shù)據(jù)交換的內(nèi)容、是否得到了授權(quán)、是否遵守交換規(guī)則、交換行為是否成功、交換結(jié)束時間等等。系統(tǒng)能夠提供應(yīng)用級日志，并且支持日志服務(wù)器功能，將日志信息以標(biāo)準(zhǔn)格式(SYSLOG格式)導(dǎo)出給集控系統(tǒng)或其他第三方存儲備份，并結(jié)合集控系統(tǒng)對系統(tǒng)日志進(jìn)行分析。安全監(jiān)測與管理區(qū)內(nèi)包括：集中監(jiān)控與管理系統(tǒng)(簡稱集控系統(tǒng)),集中監(jiān)控與管理系統(tǒng)由集控系統(tǒng)服務(wù)器和集控探針組成。由于處于公安網(wǎng)內(nèi)的集控服務(wù)器無法直接監(jiān)管處于外網(wǎng)的各種設(shè)備，所以需要在邊界保護(hù)區(qū)安裝集控探針。集控探針是構(gòu)建在工控機(jī)基礎(chǔ)上的專用硬件設(shè)備，采集外網(wǎng)各種設(shè)備(如防火墻、三層交換機(jī)、可信邊界安全網(wǎng)關(guān)、IDS、外網(wǎng)交換服務(wù)器、各種業(yè)務(wù)前置機(jī))的日志信息，同時監(jiān)聽外網(wǎng)設(shè)備的使用狀態(tài)、流量、異常報警事件等等。集控系統(tǒng)利舊原有昆明市公安局集控系統(tǒng)，功能包括：注冊信息管理功能根據(jù)安全規(guī)范要求提供信息注冊和管理功能。包括對平臺的基礎(chǔ)信息、建設(shè)情況、運維情況、鏈路情況、設(shè)備情況進(jìn)行注冊；對接入業(yè)務(wù)的基礎(chǔ)信息、擴(kuò)展信息、協(xié)議信息、使用單位信息、終端設(shè)備信息進(jìn)行注冊。運行監(jiān)控管理功能歸屬單位、操作方式、接入對象來統(tǒng)計任意時間段內(nèi)的流量、交換次數(shù)、審計次數(shù)、報警次數(shù)等重要信息；能夠?qū)崟r監(jiān)控各種設(shè)備當(dāng)前運行狀況；能夠提供用戶行為監(jiān)控，對用戶的登錄狀態(tài)、操作行為、訪問資源進(jìn)行監(jiān)控并提供查詢統(tǒng)計。報警管理功能集控系統(tǒng)的報警分為三種：設(shè)備報警、業(yè)務(wù)報警和事件報警。設(shè)備報警是對設(shè)備故障狀態(tài)的報警；業(yè)務(wù)報警是對業(yè)務(wù)異常運行狀態(tài)的報警；事件報警是對各種設(shè)備產(chǎn)生的安全事件的報警。系統(tǒng)支持短信報警和郵件報警。系統(tǒng)提供業(yè)務(wù)應(yīng)用審計，即業(yè)務(wù)應(yīng)用系統(tǒng)信息、數(shù)據(jù)傳輸流量、傳輸時間、傳輸具體內(nèi)容等等；系統(tǒng)提供設(shè)備狀態(tài)審計：即設(shè)備的啟停時間、次數(shù)、流入流出流量、設(shè)備資源使用狀況等等；系統(tǒng)提供異常行為審計：即異常發(fā)生時間、業(yè)務(wù)信息、設(shè)備信息、異常具體內(nèi)容等等。級聯(lián)上報系統(tǒng)利舊原有版納公安局級聯(lián)上報系統(tǒng)，功能為將本級平臺信息上報至省廳邊界接入平臺系統(tǒng)。視頻隔離網(wǎng)閘視頻用證服視頻用證服通過建設(shè)視頻安全接入鏈路，實現(xiàn)專網(wǎng)視頻與公安網(wǎng)安全共享，在公安網(wǎng)安全點閱專網(wǎng)視頻；通過兩套視頻安全接入系統(tǒng)，實現(xiàn)系統(tǒng)級自適應(yīng)的負(fù)載均衡。接下來，將針對業(yè)務(wù)流程，詳細(xì)介紹相關(guān)區(qū)域模