4、存储
对于公安内部监控点,为了节约存储设备投资,并减轻公安骨干网的带宽压力,系统采用了市、镇两级分布式存储的部署架构,市局存储中心主要用于集中存储市区所辖监控点录像以及部分重要的派出所监控点录像,派出所存储中心则用于集中存储所辖监控点录像。由于存储容量要求较高,大部分存储均采用了高性价比的IPSAN方式。
在中心平台的统一资源管理下,分散在系统内的两级存储资源均可由公安用户统一检索、调用和回放,无需手动选择不同的存储服务器。
公安外部监控点则通过吴江电信“全球眼”平台实现统一存储,这些存储资源也可由公安用户直接检索、调用和回放。
5、用户权限管理
由于整个系统涉及内部、外部两类监控资源,内部监控资源又采用市、镇两级部署,因此,为了确保系统安全,中心管理平台采用了强大的用户统一认证和集中授权机制。所有需要访问内部和外部监控资源的公安专网用户,都统一由市级监控平台进行集中认证和授权,不同的用户拥有不同的权限,无论用户在哪里登录,其权限都不会改变。
这样,一个用户能够做哪些操作,完全由该用户在系统内被分配的权限而定,只要权限允许,他可以在任意地方任意调看上级、下级甚至外部监控资源,并进行相应的控制。另外,系统权限分配可以细化到每一个监控点以及每一个监控点的具体操作,比如,一个用户可以授权为只能浏览某一个监控点的图像,且不能对该监控点进行PTZ控制。
外部用户可以访问其所属的外部监控资源,这由“全球眼”平台进行认证,但外部用户不能访问公安内部监控资源,公安专网平台对此有严格的登录认证机制。
网闸隔离保证内外部资源安全整合
通过专网和公网两个平台分别接入又相互结合,吴江公安很好的解决了庞大的内部和外部监控资源整合难题,而且充分发挥了社会力量在社会面治安监控系统中的作用。但是,在系统规划初期,这样的方案遇到过一个无法逾越的矛盾:如何在保证公安网与外部网隔离的情况下实现外部网监控资源的整合?
按照公安部要求,公安网与外部网必须物理隔离。在数据通信领域,为了解决互通与隔离的矛盾,主要是采用网闸解决方案。网闸是一种特殊的安全隔离设备,它使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,两个系统之间不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”。所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。这样,在公安专网与外部网之间部署网闸就既可以保证两个网络之间的物理隔离安全性,又能够实现两个网络之间的数据互通。
但是,由于网闸有其特殊的工作原理,只能通过特定的数据信息,要实现视频监控码流的传输,位于网闸两侧的内网视频监控系统和外网视频监控系统必须要做针对性的二次开发。
为此,科达专门开发了针对视频监控应用的网闸穿越解决方案,并将其集成到了吴江的“平安城市”监控系统中:在吴江公安专网与吴江电信城域网之间架设一套经公安部认证的网闸设备,利用公安专网平台与电信“全球眼”平台内置的网闸穿越功能,既保证了两个网络之间的物理隔离安全性,又实现了两个监控系统之间的监控码流互通。
创新模式带来的启发
随着中国各级政府构建“平安城市”战略的实施,以各地公安部门为核心的社会面治安监控系统建设将得到有效而全面地推动,面对大量的公安内部监控资源和外部社会面监控资源,采用何种部署模式才是最合适的?吴江公安无疑给了我们一个有益的启发。
近几年,中国电信和中国网通对网络视频监控的重视和投入推动了各地公网视频监控平台的快速发展和普及,依托电信和网通丰富的网络资源和深厚的客户基础,这些公网视频监控平台将在社会面监控资源的接入上体现出独特的优势。
各地公安部门如果能够很好的利用这些公网平台将外部监控资源整合到公安专网平台中,将大大缩短整个社会面治安监控建设的周期,并有效减少整个社会面治安监控建设的成本。