城市监控报警联网系统通用技术要求(GA/T669-2006)
1 范围
本标准规定了城市监控报警联网系统(以下简称联网系统)的设计原则、系统结构、系统技术要求、系统设备要求、视音频传输要求、系统安全性、电磁兼容性、电源、环境与环境适应性、可靠性等通用技术要求。
本标准适用于城市监控报警联网系统的总体规划、方案设计、工程实施、项目验收以及与之相关的系统设备开发、生产和质量控制。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB4943-2001 GB8898-2001 GB16796-1997 GB17859-1999 GB50057-1994 GB50198-1994 GB50348-2004 GA308-2001 GA/T74-2000 GA/T75-94 GA/T367-2001 GA/T368-2001 GA/T379-2002 GA/T388-2002 GA/T388-2002B GA/T390-2002 YD/T 1171-2001IP RFC 3261 SIP: | 信息技术设备的安全 音频、视频及类似电子设备安全要求 安全防范报警设备安全要求和试验方法 计算机信息系统安全保护等级划分准则 建筑物防雷设计规范 民用闭路监控电视系统工程技术规范 安全防范工程技术规范 安全防范系统验收规则 安全防范系统通用图形符号 安全防范工程程序与要求 视频安防监控系统技术要求 入侵报警系统技术要求 报警传输系统串行数据接口的信息格式和协议 计算机信息系统安全等级保护操作系统技术要求 计算机信息系统安全等级保护管理要求 计算机信息系统安全等级保护通用技术要求 网络技术要求--网络性能参数与指标 会话初始协议 |
3 术语、定义和缩略语
下列术语、定义和缩略语适用于本标准。
3.1 术语和定义
3.1.1 视频探测 video detecting
采用光电成像技术(从红外到可见光谱范围内)对目标进行感知并生成视频图像信号的一种探测手段。
3.1.2 视频监控 video monitoring
利用视频探测手段对目标进行监视、控制和信息记录。
3.1.3 视频移动侦测 video moving detecting
利用视频处理技术探测现场图像变化,一旦达到设定阈值系统即能感知并可激发后续规定动作的技术措施。
3.1.4 城市监控报警联网系统 city area monitoring and alarming network
城市监控报警联网系统(以下简称联网系统)是指城市范围内实现了互联、互通和互控的、基于视频业务的综合监控系统,包含组成该系统的所有相关软件和设备。音频、报警和数据信息可作为本系统的扩展业务存在。
3.1.5 用户终端 user terminal
经过联网系统注册并授权的,有数据和/或设备操作需求的客户端设备。
3.1.6 前端设备 front end device
指分布于探测现场的各类信息采集、控制设备。在本系统中,主要指摄像机及其配套的设备(如镜头、云台、防护罩、各类入侵探测器、声音相关设备等)。
3.1.7 监控点 monitoring site
前端设备安装或监控的场所。
3.1.8 监控中心 monitoring center
联网系统中的某一级信息汇集、处理和共享的节点。可对所属监控点信息实施集中监视、有效控制和管理;可与其它相关业务系统实施联动,支持相关部门实施城市安全管理。
3.1.9 报警联动 action with alarm
报警信号触发相关系统、设备进行动作(如报警图像复核、照明控制、信息服务等)。
3.1.10 图像质量 image quality
能够为观察者分辨的光学图像质量,它通常包括像素数量、分辨率和信噪比,但主要表现为信噪比。
3.1.11 视频编码设备 video coding device
具有视频信号的数字采集、编码、网络传输功能的设备,并可带有音频处理、设备控制、视频移动侦测、图像存储和回放等特定功能。
3.1.12 视频解码设备 video decoding device
具有数字压缩视频的解码还原功能的设备,并可带有音频处理、设备控制、数据交换、图像分割显示等特定功能。
3.1.13 监控管理平台 monitoring management platform
监控中心软件系统中建立在系统协议层之上的,实现信息资源管理、设备管理、用户管理、网络管理、安全管理等功能的软件平台。
3.1.14 安全隔离设备 isolating device for security
能够实现国家关于涉密计算机信息系统与公共信息网络物理隔离要求的安全设备,该设备也可提供防火墙的功能。
3.1.15 抗易损防护anti-damageable protection
保证系统安全、可靠、持久运行并便于维修和维护的技术措施。
3.2 缩略语
SIPSession Initiation Protocol会话初始协议
RTSPReal-Time Streaming Protocol实时流化协议
RTPReal-time Transport Protocol实时传输协议
RTCPReal-time Transport Control Protocol实时传输控制协议
VPNVirtual Private Network虚拟专用网络
UUID Universally Unique Identifier全局唯一标识符
IPInternet Protocol因特网协议
UDPUser Datagram Protocol用户数据报协议
B/SBrowser/Server浏览器/服务器
4 系统设计原则
4.1 互通性
联网系统内各级监控中心之间能够有效地进行通信和共享数据。
4.2 实用性
设计合理,结构简单,切合实际,能有效地提高工作效率,满足公安业务工作需求。
4.3 扩展性
采用模块化设计,系统规模和功能易于扩充,系统配套软件具有升级能力。
4.4 规范性
控制协议、视频编解码、接口协议、视频文件格式、传输协议等应符合本系列标准中的规定。
4.5 易操作性
提供清晰、简洁、友好的中文人机交互界面,操控简便、灵活,易学易用,便于管理和维护。
4.6 安全性
对系统采取必要的安全保护措施,防止非法接入、非法访问、病毒感染和黑客攻击,防雷击、过载、断电和人为破坏等。
4.7 可靠性
采用成熟、稳定和通用的技术和设备,关键部分应有备份、冗余措施,能够保证系统长期稳定运行,有较强的容错和系统恢复能力。
4.8 可维护性
系统应具备自检、故障诊断及故障弱化功能,在出现故障时,应能得到及时、快速的修复。
5 系统结构
5.1系统总体结构
5.1.1总体架构
该系统应是能覆盖整个城市的集成式、多功能、综合性网络系统。从系统构成的主体类型上可分成监控资源、传输网络、监控中心和用户终端四个组成部分,监控资源是系统监控信息的来源,传输网络是连接监控资源、监控中心和用户终端的媒介,监控中心是系统的信息管理和共享平台,用户终端是系统的信息服务对象。从传统的区域视频监控概念上系统可以分成前端、传输/变换、控制/管理、处理/显示四个部分。联网系统总体架构如图1所示。
图1 联网系统总体架构
5.1.1.1 监控资源
具体体现为信息采集前端,既可以是前端设备,也可以是区域性网络。
5.1.1.2 传输网络
传输网络可以是公安专网、公共通信网络,也可以是专为联网系统建设的独立网络;可以是IP网络,也可以是模拟传输线路,或IP网络和模拟传输线路共存;传输方式可以采用有线传输,也可采用无线传输,或有线/无线混合传输。应根据实际情况选择传输方案,无论采用何种网络、何种传输方式,均应保证接入公安专网的安全问题。
5.1.1.3 监控中心
监控中心可分为公安监控中心和社会监控中心。
公安监控中心是指由公安部门管理和使用的、具有接处警能力的监控中心。公安监控中心分级设置,在市局设置一级监控中心,区(县)分局和交警、消防等业务部门设置二级监控中心,派出所设置三级监控中心。各城市根据本地情况选择公安监控中心的分级和数量。
社会监控中心指社会其他单位建设和管理的监控中心。公安监控中心可接收来自社会监控中心的报警及图像、声音信息。
5.1.1.4 用户终端
用户终端包括公安用户和社会用户,用户通过用户终端实现对监控资源的访问和控制,用户终端的行为受到监控中心的管理和授权。
5.1.2 区域监控系统结构
区域监控系统从构成的设备及技术上可分成前端、传输/变换、控制/管理、处理/显示四个基本部分。
5.1.2.1 前端
实现信息采集功能,是监控资源的具体体现,指需要接入到各级监控中心的前端设备和/或区域性网络。根据需要可以是图像采集设备、声音采集设备、入侵探测设备等,也可是一个区域性视频监控报警系统的输出端口。
图像采集设备主要是各种摄像机及其附属配套设备、前置传输设备;声音采集设备主要指拾音器、扬声器及其配套前置传输设备,在有现场广播、双向对讲等需求情况下采用;入侵报警设备主要是现场设置的各类探测器、报警控制器等;区域性网络的输出端口是指单位、社区设置的监控报警系统向各级监控中心传递信息的输出端口。
5.1.2.2 传输
实现视频、音频、报警、数据等信息在模拟或IP网络上的有效传递和交换。主要设备包括传输设备、视频编/解码设备。
5.1.2.3 控制/管理
实现监控资源的控制、管理和监视等功能,主要在监控中心集中实现。通过授权也可在用户终端对监控资源进行访问和控制。
控制管理的主体主要包括视频切换、服务器等设备,以及监控管理系统软件平台。控制/管理的对象涉及系统的所有设备。
5.1.2.4 处理/显示
处理/显示是联网系统对图像、声音、报警、数据等采集信息的最终应用。具体方式可以是通过显示设备、用户终端将信息直接反馈到用户,也可以是将信息进行记录留待用户日后查阅,或对信息进行智能化加工分析、触发其它相关系统联动等。
主要设备包括视频编/解码设备、存储设备、显示设备、用户终端等。
5.2 系统组网模式
根据联网系统的功能需求,结合现有区域型视频监控与报警系统的结构模式和联网要求,并考虑新建系统与原有系统的兼容,本标准推荐五种基本组网模式供参考。根据现场实际情况,可选择一种或综合其中几种模式进行实现。具体见附录A。
5.3 系统软件结构
5.3.1 参考模型
系统软件参考模型包括系统协议层和监控管理平台,监控管理平台建立在系统协议层的服务之上。监控管理平台结构上从高到低分成业务层、应用层和服务层。系统软件参考模型如图2所示。
图2 系统软件参考模型
5.3.2监控管理平台
5.3.2.1 业务层
监控管理平台的业务层可根据各地实际情况有选择地实现,一般来说,业务层可包括报警、电子巡逻、现场指挥、视频资料的快速查找、报警信息处理和公安综合研判等方面的业务。
5.3.2.2 应用层
监控管理平台的应用层是监控中心完成各种系统功能和图像调度管理的核心控制软件,可以分为图像管理子层和系统管理子层。
图像管理子层可完成实时图像点播、历史图像检索和回放、设备控制、存储和备份、报警联动等功能,具体参见本标准6.1的要求。
系统管理子层负责对联网系统的用户和设备进行管理。功能如下:
用户和权限管理:设定管辖范围内用户、组、角色的权限。用户管理可包括用户注册、用户查询、用户增加和删除、用户访问权限管理、用户锁定和解锁、用户分组管理、用户访问记录查看等功能;对系统的管理、视频浏览、前端设备控制、历史图像资料的删除、复制、浏览等操作行为可设定权限,权限可被收回。
设备管理:软硬件资源的配置及查询;系统性能的实时监视;系统设备的故障告警监视、故障诊断、及定位分析,告警日志的创建及维护等。
安全认证:验证用户的访问权限和优先级,监测和记录用户进行的访问和操作等;验证接入设备的合法性,并注册合法设备。
5.3.2.3 服务层
监控管理平台的服务层是由不同功能的软件模块组成,为应用层和业务层提供服务。服务层可分为数据库服务、存储服务、视频转发服务、Web服务等。
数据库服务:应采用分布式数据库,存储设备和图像的索引信息、报警信息、用户资料和权限、系统运行日志,为数据和图像检索、身份认证和权限管理提供存储和检索服务。
存储服务:主要完成图像数据的存储管理、数据备份。
视频转发服务:多个用户并发访问同一个图像资源的情况下,为了减轻视频编码设备的压力和节约网络带宽,通过视频转发模块与视频编码设备建立单路连接,然后采用组播或广播的方式将图像转发给用户。
Web服务:远程用户以B/S方式登录系统、访问图像资源、控制前端设备等操作。
5.3.3系统协议层
系统协议层包括数据定义、通信协议和视音频编解码协议等,具体参见本标准第8章的要求。
6 系统技术要求
6.1 系统功能
联网系统应能实现不同设备及系统的互联、互通、互控,实现视音频及报警信息的采集、传输/转换、显示/存储、控制;进行身份认证和权限管理,保证信息的安全;应能与报警系统联动,宜提供与其他业务系统的数据接口。
6.1.1 实时图像点播
应能按照指定设备、指定通道进行图像的实时点播,支持点播图像的无级缩放、图像抓帧。
6.1.2 远程控制
应能通过手动或自动操作,对前端设备的各种动作进行遥控;应能够设定控制优先级,对级别高的用户请求应有相应措施保证优先响应。
6.1.3 存储和备份
系统应能存储下列信息并保持一定时间,可配置专用存储设备备份需要长期保存的信息。
报警发生前后一段时间内的视音频信息。
监控中心操作员人工指定或通过编程定时指定的现场视音频信息。
用户操作、设备巡检等系统日志信息。
6.1.4 历史图像的检索和回放
应能按照指定设备、通道、时间、报警信息等要素检索历史图像文件并回放;回放应支持正常播放、快速播放、慢速播放、逐帧进退、画面暂停、图像抓帧等;支持回放图像的无级缩放。
6.1.5 报警联动
当监控点存在报警设备时系统应具有与报警设备联动的接口,报警发生时能切换出相应部位的视音频及报警信息,并进行记录;对某些特定监控点,可实现视频移动侦测功能;系统宜支持与其它警用业务系统进行报警联动接口。
6.1.6 与其它系统的数据接口
系统提供与其它信息系统的互联接口。作为系统扩展考虑,联网系统宜能与三台合一应急指挥系统、GIS地理信息系统、卡口监控管理、交通监控管理等各警用业务工作相互集成。
6.1.7 语音双向对讲
作为系统的扩展,可在监控点和监控中心以及各监控中心之间实现语音的双向对讲功能,为声音复核和通信指挥提供手段。
6.1.8系统的人机交互
系统应具有直观、友好、简洁的人机交互界面。
系统应具有视频画面分割显示、字幕叠加等处理。
系统应能反映自身的运行情况,对下列状态给出指示:
正常状态;
报警状态;
故障状态。
6.1.9 用户与权限管理
监控中心应具有对接入的用户进行授权和认证的功能。用户及权限管理可由各级监控中心独立执行,也可集中执行。用户及权限管理模块应定义用户对设备的操作权限、访问数据的权限和使用程序的权限。
监控中心的用户应有权限获取所辖范围内的历史图像和实时监视图像,当需要获取非管辖范围内的历史图像和实时图像时,需要获得有效授权。
用户可提供对前端设备进行独占性控制的锁定及解锁功能,锁定和解锁方式可设定。
6.1.10 网络与设备管理
负责在监控管理平台范围内对系统设备、网络进行管理,收集、监测网络内的监控设备、相关服务器的运行情况;对有权限调用访问本级监控中心的用户进行监控;在联网系统内部实现时钟同步。
6.1.11 网络信息安全管理
联网系统应具备保证信息安全的各项措施,包括身份认证、设备认证、前端设备和社会监控中心的接入安全、移动监控系统的接入和传输安全、图像信息的防篡改等。具体要求见本标准的9.3、9.4节和本系列标准的相关标准。
6.2 系统性能
6.2.1 网络带宽
联网系统监控中心网络带宽包括四部分:前端设备接入监控中心、监控中心之间级联、用户终端接入监控中心和预留的网络带宽。网络带宽的计算方法如下:
a) 前端设备接入监控中心的网络带宽至少为允许并发接入的视频路数×单路视频码率。
b) 监控中心之间级联网络带宽至少为并发级联视频路数×单路视频码率。
c) 用户终端接入监控中心的网络带宽至少为并发显示视频路数×单路视频码率。
d) 预留的网络带宽根据联网系统的应用情况确定。
CIF分辨率的单路视频码率可采用512kbps估算,4CIF或D1分辨率的单路视频码率可采用1536kbps估算。
6.2.2 IP网络端到端的性能指标
为了保证联网系统中信息的实时传输,要求IP承载网络的QoS等级要达到通信行业标准YD/T 1171-2001中所规定的1级(交互式)或1级以上。
影响IP网络服务质量(QoS)的性能参数主要包括网络时延、抖动和丢包率等,参见YDT1171-2001,具体指标如下:
a) 端到端通信的网络时延上限应小于400ms。
b) 端到端通信的时延抖动上限应小于50ms。
c) 端到端通信的丢包率上限应小于1×10-3。
6.2.3 报警联动响应时间
在本级监控中心内,视频与报警信号的直接联动响应时间应不大于4s。
6.2.4 系统图像质量
系统的最终显示图像应达到四级(含四级)以上图像质量等级,对于电磁环境特别恶劣的现场,图像质量应不低于三级,高风险对象的图像存储、回放质量应不低于图像显示质量。图像质量分级标准参见GA/T367-2001的附录A。
7 系统设备要求
联网系统设备主要由前端采集设备、视频编/解码设备、传输设备、视频切换设备、显示设备、存储设备、网络服务器设备、用户终端等组成。
7.1 前端采集设备
7.1.1 信号采集的范围包括图像、声音、报警信号,根据应用的需要选用相应的设备。
7.1.2 图像采集设备应能清晰有效地采集到现场的图像。采集点本地的图像质量应达到四级以上图像质量等级。
7.1.3 图像采集设备应能适应现场的照明条件。环境照度不满足视频监控要求时,应配置辅助照明,或者采用微光/红外类摄像设备。
7.1.4 声音采集设备的性能应与监测范围相适应。
7.1.5 报警设备应能提供对特定现象的探测和报警响应。
7.1.6 前端设备应具有抗易损防护措施,安装应与现场环境相协调,并满足相应的设备防护等级要求。
7.1.7 前端采集设备应提供开放的控制接口。
7.2 传输设备
7.2.1 模拟视频传输通道应采用PAL制视频制式,信噪比应不小于45dB;数字视频传输通道应采用IP方式,传输协议见本标准第8章。
7.2.2 信号传输可采用有线和/或无线传输方式,传输媒介可选用公安专用网络、自建视频监控网络或公共通信网络。采用无线或公共通信网络传输时传输设备应有防泄密措施。具体传输方式的选择详见GB50348-2004中3.11.1要求。传输设备的选型详见GB50348-2004中3.11.3要求。
7.2.3 系统应优先保证报警信号和控制信号的传输。
7.3 视频编/解码设备
7.3.1 视频编码设备
应符合本系列标准规定的MPEG-4或H.264视频编码标准,图像分辨率应支持4CIF(704×576)和CIF(352×288)并可调。应能根据需要扩展支持G.711/G.723.1/G.729音频编解码标准。
应支持TCP/IP协议,宜扩展支持SIP、RTP、RTCP等网络协议,具有以太网接口。
应具有RS-232或RS-485数据通道,可用于控制大部分常用云台及球机或传输业务数据。
宜支持IP组播技术。
应具有可设定的点对点、点对多点传输能力;多通道设备应支持多点对一点或多点对多点的切换控制功能。
宜具有视频移动侦测能力,可根据设置策略实现相应的编码、传输、存储或视频报警。
在重要场所或特殊应用时,应具有设备认证功能、防篡改功能及加密传输能力。
宜提供二次开发的软件接口。
7.3.2 视频解码设备
应支持符合本系列标准规定的各种视频编码格式。宜根据需要扩展支持G.711/G.723.1/G.729音频编解码标准。
解码通道可单路或多路,视频输出应为符合PAL制视频标准的复合视频信号(1.0Vp-p,75Ω)。
应具有以太网接口,支持TCP/IP协议;宜扩展支持SIP、RTP、RTCP等网络协议。
应具有报警联动,报警时应能自动切换到对应的视频通道。
在重要场所或特殊应用时,应具有设备认证功能及数字加密图像的解码能力。
7.4 存储设备
7.4.1 存储设备应满足如下要求:
应符合本系列标准规定的MPEG-4或H.264的视频编码格式、文件格式进行图像存储。宜根据需要扩展支持G.711/G.723.1/G.729等音频编解码标准实现音频同步存储。
具有足够的存储空间,存储的图像数据应保证具有CIF格式的图像分辨率,宜具有4CIF(704×576)或D1(720×576)的图像分辨率。监控图像存储时间≥15天,对于报警对应的视音频信息应作永久存储。
在重要应用场合,应考虑在录像文件中加入防篡改的特征信息(如数字水印等)。
应支持按图像的来源、记录时间、报警事件类别等多种方式对存储的图像数据进行检索,以支持多用户同时访问相同数据。
应支持图像记录、网络回放的双工、双码流模式。
具有以太网接口,支持TCP/IP协议,宜扩展支持SIP、RTSP、RTP、RTCP等网络协议。
宜提供二次开发的软件接口。
7.4.2 各级监控中心应根据安全管理的要求和存储策略合理配置存储设备。配制的专用存储设备(如磁盘阵列、光盘刻录机等)应能备份需要长期保留的信息。
7.5 视频切换设备
监控中心视频切换设备应满足如下要求:
图像切换应能通过手动或编程实现,图像信号应能在指定的显示设备上进行固定显示或时序显示。
宜采用模块式结构,容量应按系统规模确定,并留有冗余。
应具有视频丢失检测报警和系统自诊断功能。
应提供RS-232或RS-485数据通道,可控制大部分常用云台及球机。
宜能支持键盘、网络计算机双重控制方式。
应具有报警联动功能。
7.6 图像显示设备
宜根据需要和可能选择合适的显示器或大屏设备。
显示设备应能清晰显示现场实时图像。显示设备的分辨率指标应高于系统对采集、传输过程规定的分辨率指标。
7.7 网络服务器设备
a) 网络服务器设备的基本功能和性能应符合国家和行业相关产品标准的规定,并经检验或认证合格。
b) 网络服务器的CPU、硬盘、网络接口等技术指标应符合本系列标准相关的要求。
c) 数据库、视频转发、安全认证服务器宜采用双机备份的方式。
7.8 用户终端
用户终端应满足如下要求:
a) 用户终端具有远程浏览、控制等功能。
b) 用户终端主机应采用通用多任务操作系统,操作系统应且带有通用的Web浏览器,具有操作简单、易学易用。
c) 用户终端主机显示分辨率应不小于1024×768,颜色位数应不少于16位。
d) 用户终端主机应有USB2.0接口和10Mbps以上的以太网端口。
e) 数字证书宜采用USBKey作为存储介质。
8 视音频传输要求
联网系统在实现网络设备之间的视频/音频/数据传输时,传输的过程遵循一系列的通信协议,通信协议的架构如图3所示。
联网系统在进行视音频传输及控制时需要建立两个传输通道:信令/控制通道和视频(扩展含音频)流通道。信令和控制通道用来在监控管理、使用设备和目标设备之间建立会话并传输控制命令,信令协议具体参见本系列标准相关部分的规定;视频(扩展含音频)流通道用来传输视频图像数据,经过压缩编码的视音频流采用流媒体协议RTP/RTCP传输,视音频编解码标准参见本系列标准相关部分的规定。
图3 通信协议架构
8.1 视音频传输协议
8.1.1 实时监控图像的传输
实时监控图像的传输采用SIP协议作会话控制,RTP/RTCP协议传输视音频流。实时监控图像的传输流程如图4所示。
图4 实时监控图像的传输
8.1.2 历史图像的传输
历史图像的传输采用RTSP协议作控制,RTP/RTCP协议传输视音频流。历史图像的传输流程如图5所示。
图5 历史图像的传输
8.1.3 控制命令的传输
系统控制信息的传输采用SIP协议作会话控制,控制命令的定义参见本系列标准相关部分的规定。控制命令的传输流程如图6所示。
图6 控制命令的传输
8.2 视音频编解码要求
联网系统采用的视音频编解码标准的要求如下:
联网系统的视频压缩编解码标准推荐采用MPEG-4/H.264;音频编解码标准推荐采用G.711/G.723.1/G.729。
重要的实时图像和历史图像应在视音频编码算法中采取防篡改安全措施。
编码设备供应商应提供编码设备的解码模块。解码模块的结构、接口和校验程序应符合本系列标准相关部分的规定。
9 安全性要求
9.1 物理安全
9.1.1 环境安全
监控中心机房安全应按照GA/T390-2002中4.1.1.1的第1-9部分的要求,进行机房场地的选择、实现机房内部安全防护、防火、供电配电、空调降温、防水、防潮、防静电以及电磁防护。
通信线路的安全应按照GA/T390-2002中4.1.1.2的要求对通信线路进行安全防护。
9.1.2 设备安全
应按照GA/T390-2002的4.1.2.1中设备标记要求、计算中心防盗和机房外部设备的防盗要求实现设备的安全保护。
应按照GA/T390-2002的4.1.2.2中基本运行支持、安全可用要求和不间断运行要求设计和实现设备的可用性。
9.1.3 防雷接地要求
应整体设计系统的防雷和接地。系统各组成部分的防雷和接地设计应遵从GB50348-2004中3.9节相关规定。
9.1.4 记录介质安全
应按照GA/T390-2002的4.1.3中有用数据介质保护、重要数据介质保护、秘密数据介质保护和关键数据介质保护的要求进行记录介质安全保护。
9.2 运行安全
9.2.1 网络安全监控
应设置分布式探测器,实时监听网络数据流,监视和记录内、外部用户出入网络的相关操作。宜使用防火墙、入侵检测系统、漏洞扫描工具来保障网络通信的安全。
9.2.2 审计
应对审计功能的开启和关闭、身份鉴别事件、系统管理员/安全员/审计员/操作员所实施的操作、其它与系统安全相关的事件做审计,并做好相应的审计响应,例如实时报警、违例进程终止、服务取消等措施。
9.2.3 防病毒
应安装病毒防杀产品,做好病毒防御。
9.2.4 备份与故障恢复
应对某些重要的数据进行定期备份,对重要的设备进行冗余设置实现双机热备或者冷备,对重要的数据应做异地备份。
9.3 信息安全
9.3.1 身份认证
应对接入系统的设备和用户进行身份认证。设备应采用UUID进行唯一标识。宜采用基于PKI/CA体系的数字证书认证方式结合口令密码技术做双因子认证。
9.3.2 访问控制
在身份鉴别的基础上,系统宜采用某种访问控制模型对用户进行访问控制(例如基于角色的访问控制或者基于属性证书的访问控制)。
9.3.3 防抵赖
数据源应对需要防抵赖的数据进行数字签名运算。
9.3.4 完整性保护
为了防止信息的完整性被破坏,系统宜采用数字摘要、数字时间戳及数字水印等技术。
9.3.5 数据保密
应对需要保密的数据在存储和传输过程中进行加密。
9.3.6 安全域隔离
应将联网系统划分为不同的安全域,如监控中心局域网、公安专网、公共网络等,不同的安全域之间应进行相应的隔离。当需要在公网和公安专网之间进行数据交换时,必须采取国家管理部门认可的安全隔离措施进行物理隔离。
9.4 通信和网络安全
9.4.1 基于公安专网传输的安全
当联网系统的传输网络依托公安专网时,联网系统的安全受到公安专网安全措施的保证,可不增加额外的安全措施,公安监控中心宜通过防火墙接入公安专网。
9.4.2 基于公共网络传输的安全
当联网系统的传输网络依托公共数字网络时,应建立VPN专用通道保证图像传输的安全性。
9.4.3 基于无线网传输的安全
移动监控系统接入监控中心时,应对无线信道采取加密保护措施。
9.4.4 公安专网的接入安全
当其它网络需要与公安专网进行数据交换时,必须采取相应措施保证公安专网的安全。推荐采用的方案如下:
将模拟视频输出信号接入由公安部门认可的视频编码设备,然后接入公安监控中心。视频编码设备既可放置在社会监控中心,也可放置在公安监控中心。
在公安监控中心设置两套完全物理隔离的监控系统,一套直接连接公安专网,另一套连接社会监控中心。
社会监控中心将数字图像单向传输给公安监控中心。当与公安专网接口时,必须符合公安相关部门的管理规定。
10 电磁兼容性要求
10.1 系统抗电磁干扰性能应满足GA/T 367-2001中9.1的要求。
10.2 系统电磁辐射防护性能应满足GA/T 367-2001中9.2的要求。
11 电源要求
11.1重要监控点应配置备用电源,备用电源的容量应能延长供电时间不低于8小时。
11.2监控中心配电系统必须满足系统运行的要求,并有一定的余量。监控中心设备需配备用电源,备用电源容量应至少能保证核心系统正常工作8小时以上。
11.3 系统宜采用两路独立电源供电,并在末端自动切换。
11.4 电源质量应符合GB 50348-2004 中3.12.5的要求。
12 环境与环境适应性要求
系统所使用设备的环境适应性应符合GA/T 367-2001中第7章的要求。
13 可靠性要求
13.1 监控中心关键设备应采取冗余设计,以保障系统正常运行或快速恢复。一级监控中心的关键设备宜采用双机热备的方式,保障系统不间断运行;二级、三级监控中心的关键设备根据系统规模宜采用冷备份或设置备品备件方式,采用冷备方式时系统恢复时间不应超过30分钟。
13.2 系统的设计应以结构化、规范化、模块化、集成化的方式实现,以提高系统的可靠性、可维修性和维护保障性。各级监控中心的后台管理软件的设计应能保证当管理子系统出现故障时不影响系统中各业务功能子系统、各级子网络的运行,某一子系统、子网络发生故障时,不影响其他子系统、子网络的运行。
13.3系统前端硬件设备宜采用支持固件在线升级的产品。设备异常时应能自动重新启动或后端远程启动。
13.4系统整体可靠性指标应在子系统、子系统所属各组成设备间进行逐级合理分配,各设备平均无故障时间(MTBF)不应小于其MTBF分配指标。系统硬件设备的平均无故障时间(MTBF)最低不应小于20000小时。
13.5系统验收后的首次故障时间应大于3个月。