4非公安信息系统的数据交换平台Word文档格式.docx
- 文档编号:7312441
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:21
- 大小:643.51KB
4非公安信息系统的数据交换平台Word文档格式.docx
《4非公安信息系统的数据交换平台Word文档格式.docx》由会员分享,可在线阅读,更多相关《4非公安信息系统的数据交换平台Word文档格式.docx(21页珍藏版)》请在冰点文库上搜索。
从内部到外部:
所有的系统的数据首先通过交通管理综合平台的对外接口,传输需要交换的数据到非公安平台的前置数据库,然后前置数据库通过安全隔离网闸,传输到各非公安系统的前置数据库。
从外部到内部:
从非公安系统的数据首先传输到其前置数据库,然后通过安全隔离网闸传输到非公安系统的前置数据库,然后通过交通管理综合平台的对外接口,传输到各应用数据库。
采用了安全隔离网闸的数据库交换模块,同时需要在交通管理综合平台设计一个对外接口。
文件数据
主要针对网站的图像播放文件,在内部,首先通过编码,视频数据转换成3~5分钟的高压缩率的视频播放文件,然后传输到前置的文件服务器的共享目录,通过安全隔离网闸的文件交换模块,就可以传输到网站的文件服务器。
4.2数据安全交换网关
国家公安部规定,公安计算机网络与其他网络,特别是国际互联网Internet必须进行物理隔离。
如确需要与其它非公安信息系统进行数据交换,可以采取经过国家公安部认可在公安网范围内使用的“数据安全交换网关”。
4.2.1数据安全交换网关技术发展及特点
目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。
通过防火墙来实现网络的安全保障体系。
然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生的网络攻击。
仅有防火墙的安全架构是远远不够的。
防火墙在安全方面的局限性,未能达到公安要求的安全级别。
网络安全隔离技术到目前为止已经发展了有了五代不同的技术方案:
第一代:
完全隔离的两个独立网络
第二代:
物理隔离卡,一机两用
第三代:
集中下载数据,通过介质拷贝数据。
通过这种方式可以避免黑客的直接攻击,但是在使用上造成了很大的不便,不适合现在对于信息的即时传递,交流共享的要求。
在实际的应用当中有着很大的局限性。
第四代:
初步实现任意时间段的物理间隔。
这是物理隔离技术器的初步模型,它具备了物理隔离的概念,但是由于设计上的原因,无法实现高速实时的数据交换,从此,只能成为样机而无法在实际的网络环境中应用。
市场上最终接收物理隔离具有最高安全性。
人们把高安全性的所有要求都集中在物理隔离上,中断直接连接,不管检查所有的协议,还把协议给剥离掉,直接还原成最原始的数据,对数据可以检查和扫描,防止恶意代码和病毒,甚至对数据的属性进行要求,不支持TCP/IP,不依赖操作系统,一句话,对OSI的七层进行全面检查,在异构介质上重组所有的数据。
因此,物理隔离设备符合公安系统的安全要求,主要表现在以下几个方面:
阻断网络的直接连接,没有两个网络同时连在隔离设备上;
阻断网络的互联网逻辑连接,即TCP/IP的协议必须被剥离,将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递;
隔离设备的传输机制具有不可编程的特性,因此不具有感染特性;
任何数据都是通过两级移动代理的方式来完成,两级移动代理之间是物理隔离的;
隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性;
强大的管理和控制功能
4.2.2数据安全交换网关选择及依据
采用公安部认证的天行网关,其信息交换速度可达几十兆,一般交换频率在一秒以下。
天行安全隔离网闸很好的满足本系统的安全需求和业务需求,同时,该产品一直处于国内领先,为了便于管理,拟采用天行安全隔离网闸做为非公安系统的物理隔离设备。
下面说明选择依据。
天行安全隔离网站的特点和优点
天行安全隔离网闸(Topwalk-GAP)是天行网安信息技术有限公司与公安部信息通信局联合研制的新一代安全隔离产品。
该产品是中国特色的GAP技术的代表产品,它采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计,集成各种安全模块为一体,部署于信任网络于非信任网络之间,能够防止并抵御各种网络攻击及病毒入侵,用户可以安全地浏览、收发邮件及文件传输与数据库交换。
天行安全隔离网闸(Topwalk-GAP)从硬件上来分主要包括三部分,分别是专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。
系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元,这种独特设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元,从而实现内外网络的安全隔离。
天行安全隔离网闸(Topwalk-GAP)通常部署于信任网络与非信任网络之间,如图所示过采用独创的GAP(安全隔离)技术、协议转换、安全操作系统内核技术、内核的入侵检测技术、病毒扫描技术以及安全PP(PULL-PUSH)等安全技术,彻底杜绝有害信息,组成网络之间数据交换的安全通道,构筑成网络间的黑客不可逾越的安全网闸。
[图4.2.2-1]天行安全隔离网闸硬件原理图
产品模块介绍
天行安全隔离网闸(Topwalk-GAP)包括一个基本模块与四个应用模块:
基本模块、数据模块、数据库交换模块、文件交换模块、邮件模块、浏览模块,适用于本项目的模块主要有基本模块、数据库交换模块和文件交换模块。
基本模块:
整个安全隔离网闸的核心部件,是其他应用模块的安全平台。
数据库交换模块:
支持多种主流数据库在网络间的可控方向的安全数据交换。
文件交换模块:
提供网络间的基于文件的可控方向的安全文件传输。
4.3与非公安信息系统的数据交换平台的整体方案
4.3.1交换需求分析
需要对外交换的系统,并且需要实时交换数据的系统主要有银行、网站、交通电视、电台(包括声讯台)等,下面是其示意图:
[图4.3.1-1]与非公安交换的主要系统
下面分析几个主要的外部系统,理顺每个系统与本系统之前的关系。
银行系统
交通违章可以到银行缴纳违章罚款,因此,银行需要得到违章车辆的初始信息。
同时,银行收到司机交款后,也需要将信息反馈给本系统。
[表4.3.1-1]银行与非公安交换平台的交换信息内容
关联系统
需要信息
提供信息
银行
◎车辆基本信息
◎违章罚款信息
交款信息
交通管理网站
交通管理网站是泉州公安系统对外发布信息的窗口之一,针对本系统,需要发布的信息有动态交通信息(图像信息、事故信息、违章车辆信息、驾驶员信息、交通流等),静态交通信息(交通法规等)。
同时,可以提供信息查询。
由于网站是基于INTERNET,考虑安全的因素,需要使用安全网关与内部互联,因此,需要通过非公安数据交换平台的安全网关。
[表4.3.1-2]网站与非公安交换平台的交换信息内容
◎交通流信息:
占有率、速度、密度、排队长度、是否堵塞、是否出现故障
◎图像信息
◎交款信息
◎交通事故信息
◎突发信息
◎交通管制信息
◎司机违章
用户查询反馈信息
电台(声讯台)
通过交通电台(其他电台、声讯台),可以向外发布交通堵塞信息,交通事故,司机违章等,也是本系统向外提供信息的一个窗口。
通过它,一般市民就可以简单的实现信息的使用和查询。
[表4.3.1-3]电台与非公安交换平台的交换信息内容
◎交通堵塞信息
◎车辆违章信息
◎司机状态信息
◎交通路径提供
交通电视台
通过交通电视台,可以向外部发布交通的图像信息等,一般市民就可以直观了解图像交通信息。
[表4.3.1-4]电视台与非公安交换平台的交换信息内容
◎交通视频信息
◎车辆、司机信息
停车诱导系统
本系统与停车场管理系统主要是交换车辆信息、泊位信息、违章信息,如下表所示
[表4.3.1-5]停车诱导系统与非公安交换平台的交换信息内容
车辆信息
泊位信息
4.3.2安全数据交换方案
由前面的分析知道,与非公安系统需要交换的数据有两大类型:
视频数据、普通业务数据。
这两种数据的处理方式是不一样的,因此,分开讨论这两种数据的实现。
4.3.2.1业务数据的交换方案
1)实现模型
首先隔离本系统与非公安系统,同时,这些业务数据存在于其业务数据库中,因此,使用天行安全隔离网闸的数据交换模块、交换数据。
天行安全隔离网闸的数据交换模块要求内外交换数据表结构必须一致,因此必须定义出需要交换的表,放置在一个前置的数据库。
见下图所示。
[图4.3.2.1-1]数据安全交换构成图
在本方案中,采用一对一的方式,即每个与一个系统交换,就建立一套这样的网关。
两边的网络都各自提供一部前置数据库服务器,专门用来与对方的网络做必要数据的交换。
在公安交通指挥中心这边,管理员把要给外部系统需要的数据从不同的应用库中提取到一个统一前置数据库服务器,网闸就会自动把前置数据库服务器里面的数据实时的传输到外部应用的前置用于交换的数据库。
外部应用网络的管理员也把需要交换的数据放到前置数据库,也由网闸把数据同步到交警网络这边的前置数据库。
2)前置数据库的设置方式
非公安系统的前置数据库的设置,如果是交警的系统(如交通管理网站),则考虑直接建立在其应用库中,其它,则需要与相关单位另行协调。
交警内部的前置数据库(表),可以放置在三个地方:
(1)本应用数据库中;
(2)交通管理交换平台综合数据库;
(3)单独设计一个数据库。
方式
(1)是从违章数据库中,通过触发器、存储过程或其他的方式直接提取需要交换的数据防止在一系列的表中,该表设置在违章数据库中;
(2)是从违章系统中,通过违章系统与综合交换平台的接口,将非公安系统需要的数据放置在综合数据库中;
(3)是从违章系统中,通过编程技术,将非公安系统需要的数据放置在一台单独的数据库,对于所有的其它需要交换的数据要放置在该单独的数据库。
经过下表的比较,单独设计一个数据库比较适合本系统。
[表4.3.2.1-1]交警内部前置数据库的设计方式比较和选择
方式
项目
交管系统内部
应用数据库
综合数据库
单独设计一个
数据库
特点
◎与该系统相关数据直接放置在本系统中
◎通过综合交换平台,将需要的数据统一到综合数据库
◎所有对外的数据统一在一起
◎单独的一个系统
优点
◎实现简单
◎通过综合交换平台技术接口,实现变得很简单
◎易于管理、维护
缺点
◎如果该非公安系统关联到几个系统,其实现就变得很复杂
◎对于不同的外部系统,其数据分布在不同的应用库,维护变得很困难
◎每新增一个,都需要从新规划
◎维护困难
◎由于综合数据库中数据量庞大,单独位数需要对外交换的数据变得复杂
◎安全隔离网闸直接控制综合数据库,存在一定风险
◎实时性稍差
◎实现稍复杂
采用
采用理由
◎管理和维护的便利性
◎安全考虑
◎使用了基于XML的消息服务机制的综合交换平台后,可以使得复杂的技术变得很简单,同时只需要简单改变业务逻辑,就可以实现升级
◎新增一个外部应用,变得很简单
3)前置数据库的技术实现和功能设计
前面已经提到利用交通管理综合交换平台,实现数据从各应用中提取到前置数据库,下面是实现的技术。
[图4.3.2.1-2]非公安平台的数据实现
对于非公安平台,主要是利用交通综合管理交换平台的对外接口,实现从应用系统到前置数据库的写数据及读数据。
综合平台设计了采集和发布模块。
在采集模块中,设计了银行数据采集、交通电台数据采集、网站返回数据采集、电视数据采集几个类,采用了从非公安到前置数据库的数据,在发布模块上,设计了银行数据提供、交通电台数据提供、网站数据提供、电视台系统数据提供几个类。
利用这些类,就可以完成前置数据库到各系统数据库的采集和发布。
同时,在前置数据库中,需要设计一些维护和管理的基本功能。
[表4.3.2.1-2]非公安平台功能
功能
子模块
功能模块
备注
对外接口
采集
◎银行数据采集
◎交通电台数据采集
◎网站返回数据采集
◎电视台数据采集
对外接口设置在综合交换平台,完成对非公安系统的数据发布和采集,同时在综合交换平台中,需要针对对外接口作相应的管理
发布
◎银行数据发布
◎交通电台数据发布
◎网站返回数据发布
◎电视台数据发布
数据管理
◎接口表增加
◎接口表修改
◎接口表删除
设置在前置数据库
系统管理
◎数据备份
◎用户管理
◎日志
◎报表
4)安全网闸的处理
天行安全隔离网闸数据库交换模块实现过程如下:
从非公安系统到前置数据库的实现方法是:
首先安全隔离网关的数据交换模块的外部处理单元根据配置主动提取非公安系统的需要交换的数据,并在隔离硬件跳转到外部处理单元时把数据交给数据暂存区,此时两边的链路层是断开的;
当隔离硬件进行切换时,数据暂存区的数据就会交给内部处理单元处理,内部处理单元把交换数据进行安全分析检查后,确认数据的有效性后递交给前置数据库。
从前置数据库到非公安应用的实现方法是:
首先前置数据库主动将数据提交给安全隔离网关的内部处理单元,并在隔离硬件跳转到内部处理单元时把数据交给数据暂存区,此时两边在链路层是断开的;
当隔离硬件进行切换时,数据暂存区的数据就会交给外部处理单元处理,外部处理单元把交换数据直接PUSH给外部其他系统的数据库。
其实现如下图所示:
[图4.3.2.1-3]业务数据交换模式
天行安全网闸的数据库模块通过配置,实现了本系统的前置数据库和非公安系统的前置数据库的交换,其配置如下图所示:
[图4.3.2.1-4]安全隔离网闸数据库配置页面
4.3.2.2视频数据的交换方案
视频数据主要对应网站和电视台:
一种是直接传输到交通电视台,由交通电视台视频数据的处理,一种是通过网站的方式,供Internet用户查看的。
如“4.2数据交换安全网关”一节所述,我们将使用天行安全隔离网闸,隔离本系统与非公安系统,使用安全隔离网闸的文件交换模块,交换文件。
[图4.3.2.2-1]视频数据处理图
对于交通电视台,视频信息只需要直接传输过去,视频的处理由电视台自行解决。
因此,与电视台的视频数据交换,直接通过多路视频传输光端机传输到电视台,更详细的内容见“视频监控系统”。
对于网站的图像信息,视频监控系统的视频服务器将处理成图像文件,然后传输到前置文件服务器中的共享目录,通过天行的安全隔离网闸,就可以传输到网站的文件服务器中。
2)前置文件服务器的设置
由于视频监控的视频文件存在与众多的DVR中,详细参考“视频监控系统设计”一章。
因此需要单独设置文件服务器,将经过视频服务器处理的3~5分钟的媒体文件全部放置在文件服务器。
其设置如下图所示:
[图4.3.2.2-2]前置文件服务器的设置
3)安全网闸的处理
内部的文件系统与网站的文件系统的文件交换需要通过配置实现,其实现如下:
一旦完成配置,管理员可从配置界面上启动或停止文件传输,可以实现多对多传输,以从内部前置服务器往网站文件服务器为例,其配置为源文件1,那么网站的文件服务器将配置为目标文件1,安全隔离网闸根据配置从源文件1中发送目录中根路用户口令认证的方式提取文件,一旦提取后根据配置可对该文件更名或删除;
该文件通过安全隔离网闸后推送到目标1的接受目录,完成文件交换。
其配置界面如下:
[图4.3.2.2-3]文件交换模块配置界面
4.3.2.3安全隔离交换网闸的技术要求
从前面讨论可以看到,除交通管理网站需要文件交换模块和数据库模块,其它系统只需要数据库交换模块。
目前天行物理隔离网闸的系统数据吞吐量为:
150M,切换时间为:
15毫秒。
经过分析各个安全隔离网闸的系统数据吞吐量和切换时间,从中得出结论,该设备能够满足业务的处理需求。
4.3.2.4信息提供及运行方案
1)信息提供
由前面分析可以知道,对于银行、网站、电台等都需要数据交换网关,而另外一些如110、119、医院、气象台等则通过电话、传真等方式提供,下图是信息提供方式图。
[图4.3.4-1]非公安交换平台信息提供图
2)信息运行方案
本系统向外界提供或者得到信息,是为了实现交通信息互换同时有效地处理交通事故,最大限度利用信息,因此,需要一个有效地信息运行方案。
[表4.3.4-1]信息运行方案
管理部门/119/医院
◎向要求紧急救援的灾害现场迅速投入人力进行处理,保护市民的生命、财产,同时联系交通管理相关部门及消防部门
◎交通指挥中心确认突发状况发生时,向消防部门用专用电话提供一系列的信息,要求协助
◎用电话/传真等方式2次性向医院提供信息
◎灾害发生时,向相关管理部门提供管理交通状况内容、受损度、疏通障碍与否等有关信息
气象台
◎气象资料手机范围是以泉州交通管理范围为标准
◎气象台不仅做气象观测业务,而且提供年中降雨量等系统资料及海洋监视等气象有关资料,为交通管理提供气象资料
广播电台媒体
◎为交通广播电台提供实时疏通信息及突发状况等的交通信息,使道路使用者及时获得交通信息
◎广播电台要求时,可提供交通信息(疏通信息,突发状况发生等)及实时图像资料
3)信息运营详细方案
前面讨论的每个系统通过隔离网关等手段提供信息,但对于紧急情况,可能还需要一些另外的手段,保证信息的及时及有效。
以下是一些详细的运行方案,
[表4.3.4-2]信息运营详细方案
交通状况
关联机构
提供信息(◎)
收集信息(#)
提供方法
提供周期
突发状况
广播电视台
◎突发状况发生地点,时间,受损度
◎突发状况图像资料(要求时)
电话/FAX
立即
图像通过光纤网
医院
◎突发状况发生地点
◎突发状况受损度程度
交通拥挤
网站
◎实时交通状况及影响资料(要求时)
专线
1分钟/视频3分钟
安全数据交换网关
广播电台
◎实时疏通状况及影响资料(要求时)
道路施工活动及车辆控制
市政
#施工,控制信息
发生状况时
◎施工,控制信息
4.3.2.5非公安平台建议设备清单
根据前面分析,设计对非公安平台的硬件/系统软件建议清单如下:
[表4.3.5-1]非公安信息系统的数据交换平台的设备需求表
序号
名称
模块
数量
1
天行安全
隔离网闸
基本模块+数据库交换模块
3台
电视台、电台、银行已有
2
基本模块+数据库交换模块+文件传输模块
1台
3
PC服务器
1个~2个CPU200G以上硬盘
前置数据库、前置文件服务器,详细见“硬件架构”一章的服务器清单
4
1套
前置数据库
应用软件功能要求如下:
[表4.3.5-2]非公安信息系统的数据交换平台的软件功能表
对外接口设置在综合交换平台,完成非公安系统的数据发布和采集,同时在综合交换平台中,需要针对对外接口做相应的管理
◎银行数据的发布
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安 信息系统 数据 交换 平台