关于邗江公安分局视频安全接入系统询价的采购公告.docVIP

采购设备及要求 1.需求概况 邗江公安分局在视频监控图像专网建设了大量视频监控资源，并建设了视频监控综合管理平台，但目前无法通过公安信息通信网直接调阅有关监控资源。为提升破获案件、打击犯罪的能力，提高民警的办案效率，现需将视频专网视频监控资源安全、可控的传入公安信息通信网，方便民警通过公安信息通信网调看。 2、依据文件 《公安信息通信网边界接入平台安全规范（试行）——视频接入安全部分》要求遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.1节，体系架构必须符合《公安信息通信网边界接入平台安全规范（试行）》的3.2节的要求。 在视频接入链路中，视频控制信令和数据的会话终止于应用服务区。在应用服务区，视频接入认证服务器对接入对象进行设备认证，并对视频信令格式进行检查及内容过滤，只允许合法的协议和数据通过。在安全隔离区，安全隔离设备将视频控制信令和视频数据进行分别处理和传输，其中视频数据为单向传输，视频信令为双向传输。视频用户认证服务器对公安信息通信网上使用视频资源的用户进行统一注册，身份认证及权限管理，仅允许认证通过的用户访问已授权的视频资源。 按照规范，要求将其作为公安信息通信网边界接入平台的一条独立链路，纳入平台统一监控、审计与管理。要求采用的安全技术包括：安全技术要求包括：视频流单向传输、控制信令双向传输；数据连接终止于应用服务区；通过分发机制保障视频可用性；对控制信令进行格式检查；对内网用户进行身份认证和授权。 3.总体架构 3.1 总体架构图 3.2 边界接入平台的体系结构 接入平台在体系结构设计上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成 3.2.1 路由接入区 （1）该区域实现各个外部链接与平台之间的连接 （2）该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照平台的安全策略加以区分 （3）该区域主要设备：路由器等 3.2.2 边界保护区 （1）该区域主要实现对平台的边界保护 （2）该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探 （3）边界保护区主要设备包括：防火墙、三层交换机、入侵检测设备等 3.2.3 应用服务区 （1）该区域主要处理各类与应用相关的操作，是内部局域网对外信息发布、信息采集和数据交换的中间区域 （2）该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能。防止对内部局域网的非法访问和信息泄露 （3）应用服务区放置了相应业务应用的前置服务器，应加强对服务器等设备的安全保护，应具有病毒、木马保护功能，防止病毒传播和非法控制 3.2.4 安全隔离区 （1）该区域实现内部局域网与应用服务区的安全隔离和信息交换 （2）该区域主要安全功能为：实现内部局域网与应用服务区的安全网络隔离，根据安全策略，对出入内部局域网的数据分别进行协议剥离、格式检查和内部过滤，实现内部局域网和应用服务区之间的安全数据交换，保障内部局域网的安全 （3）安全隔离区主要设备有安全数据交换系统、网闸等 （4）安全数据交换系统由内外网数据交换服务器组成，内外网数据交换服务器分别部署在安全隔离网闸两侧的两个网络之间，连接两个网络中应用服务器传输数据，两台服务器之间部署安全隔离网闸实现内外网之间的安全隔离以及数据摆渡。 3.2.5 安全监测与管理区 （1）该区域实现整个平台的安全监测、管理与维护 （2）该区域主要安全功能为：对平台运行情况进行安全监测与审计，对平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等 （3）区内包括：集中监控与管理系统（简称集控系统），集中监控与管理系统由集控系统服务器和集控探针组成，可实现与扬州市局无缝对接。 3.2.6产品功能 视频安全接入系统的主要功能为：视频数据检查、用户身份认证、权限管理、警告管理和审计管理等。 （1）视频数据安全检查 数据源检查，检查数据的来源，阻止非法设备发送的数据接入，也阻止非法用户发送的数据送出； 数据格式检查，包括格式检查和内容检查，理解协议内容，判断内容是否合法； 敏感信息检查，对内向外传输的信息执行敏感信息检查，防止公安内部敏感信息外泄； 对于新视频厂商的平台，可能会采用新的视频以及控制协议，支持二次API接口函数的开发，能快速实现新视频厂商平台的安全接入。 （2）用户身份认证 与公安PKI/PMI体系无缝集成，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。 （3）权限管理 可以根据视频安全接入链路的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问； （4）病毒木马查杀 通过及时升级系统中的病毒木马查杀模