公安边界接入平台单向数据传输解决方案

一、方案背景

XX公安部门分为三个级别，自下而上分别为派出所、区县、市。通过部署高清摄像头，对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控，预防违法犯罪事件发生，同时为事后取证提供保证。这种监控网络采用了多级级联的VPN专网，通过专线由不同的监控平台分别控制下面数量众多的监控探头，探头采集视频数据并实时通过3G/4G、无线、有线网络传输到公安系统统一的存储区域，方便公安机构留档和分析调用。

二、面临问题

监控视频数据采用VPN专线传输，但VPN技术本身依赖于公网传输，VPN技术虽然能一定程度上保障封装数据的安全性和保密性，但很难对传输的数据内容安全性进行检查，因而也无法阻止病毒、入侵、恶意流量等风险在网络中传播。

视频监控专网的产生的监控数据，需要在公安内网存档封样，以便公安机关必要时取用，同时这些视频数据也会被电子政务外网一些相关的视频业务系统授权使用，需要保证数据存储和传输过程中的安全需求。

公安监控网络较为庞大，如何有效的简化视频摄像头的安全管理，便于及时发现和定位掉线或异常的网络摄像头，快速实现业务恢复也是需要考虑的安全问题。

三、业务需求

1、数据单向传输

数据单向传输指将低密级安全域数据以文件方式（如果是数据库单向同步，必须要求数据库数据转成固定格式文件后，以文件形式单向传入）单向传输进入高密级安全域，此类操作方式不存在两个网络之间的协议交互。

2、公安信息通信网安全隔离

公安信息通信网内部存储、处理的公安核心机密信息较多，通过公网信息采集链路实现外部公网视频传输需保证内部网络的安全隔离，否则核心机密信息得不到相应的安全保护，所以在应用服务区与公安信息通信网之间在完成单向传输的同时，还要具备安全隔离的功能。

  四、方案设计  

针对以上问题，首瀚科技在公网信息采集链路中的应用服务区部署安全隔离区，与公安信息通信网实现物理隔离，两个区域之间通过郁垒网络单向传输系统完成网络边界数据传输，对视频专网数据进行有效清洗，防止病毒、入侵、恶意流量等风险在网络中传播；因为单向光闸以光传输模块，保证视频流的安全接入公安内网的单向性。

首瀚科技公安边界接入平台公网信息采集链路解决方案思路如下图：

整体解决方案按照“信息安全等级保护”为设计指导。

首瀚郁垒网络隔离与信息单向导入系统采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件，内网主机连接集团内网客户端、外网主机连接外网客户端，单向光闸内部的单向导入隔离部件保证数据从外网向内网单向传递。

首瀚单向光闸的文件单向传输功能是整个系统的基本功能，该软件模块只需要在外网客户端指定需要文件传输的源文件夹，在内网客户端指定目的文件夹，系统就会实时监控文件发送源，实时同步增量文件并按照传输策略将文件传输至文件接收目的，对电子政务的业务应用系统无任何影响。而用户只要将需要交换的文件放入指定的源文件夹即可自动开始传输。

单向文件传输应用适合对各种文件进行传输，文件只能由外网的文件发送源传输至内网的文件接收目的，反之则不能。系统支持各种格式的文件传输，支持大量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文件扩展名的文件格式检查。

五、客户价值

本方案完全符合 公安部的《城市报警监控联网系统建设规范》，根据平安城市网络架构的特点，充分考虑视频监控数据的安全防护需求，同时，通过本解决方案的实施，在全市范围内构建起了一套安全、高速、易管理的视频监控信息化系统，保证公安内网高安全性的前提下，提高了视频监控数据的安全性、可用性和实时性，有效地促进了平安城市建设。