合众视频集控系统白皮书

1、合众视频集控系统白皮书Version7.0杭州合众信息工程有限公司2011年7月目录产品用途视频接入业务注册运维报警流量监控实时统计产品组成产品功能注册管理功能级联功能运彳监控功能设备监控业务监控流量监控用户监控接入对象认证审计在线连接VIP用户用户行为审计报警设备报警业务报警接入对象认证报警.报表产品特点符合规范零客户端设备监控全面流量监控报警及时准确型号与指标产品资质背景概述各地纷纷采用视频安全接入系统作为视频专网图像资源接入单位内网的安 全设备，视频安全接入系统是符合国家保密局核公安部网络隔离和数据交换标准 的专用安全产品，它基于对各种视频传输和控制协议的理解，支持各种主流的视 频协议。

2、视频安全接入系统能够提供网络隔离、身份认证、访问控制、视频服务 对象认证、格式过滤、内容检查、单向传输控制、审计等多种安全服务。但是由于视频接入的就近原则，使用视频安全接入系统进行视频专网接入往 往采用县-市-省三级接入，每级用户通过当地的视频安全接入系统接入当地的视 频专网图像资源，这样就造成在市或省管辖范围内多套视频安全接入系统同时存 在的现象出现。随着视频安全接入系统在本省或者本市的部署，如何以先进的技 术手段，确保视频接入平台的建设、运行、维护受到各级信息化部门的有效管理 和监测，是视频接入安全管理工作的重点。该技术手段不仅涉及技术问题，并且和视频接入业务及信息化部门的管理需 求紧密相

3、关。为此，合众公司专门研发的“视频集控系统”，使得各地视频接入 处于统一管理和控制之下，从而确保视频接入过程中单位内网的整体安全。产品用途为保障视频接入链路的安全和稳定运行，需要对区域内所有视频接入链路进 行安全监控、管理与维护，统计与分析，形成对全网视频接入情况的集中管理。 杭州合众结合视频监控管理的特殊需求研发出视频集控系统。合众视频集控系统包括两个子系列4个产品型号，其中VG-CM-350和 VG-CM-360两种型号仅对本级网络中的视频接入链路进行安全监管，而 VG-CM-355和VG-CM-3 65两种型号对本级和下级网络中的所有视频接入链路 进行安全监管。视频集控系统能够实时查询各

4、区县/地州/区省厅的视频接入业务注册信息 、视频监控系统基本信息、视频接入对象认证信息、用户身份认证信息、在线用 户、在线流量、报警信息等功能。能够显着提高视频接入的可控、可管理性，并 有效降低视频接入运行管理与维护的复杂度。视频集控系统能提供以下服务：对视频接入业务以及使用终端的注册对视频接入业务的监控和管理对视频安全接入系统的监控对视频接入业务运行的统计分析对业务运行和使用用户进行审计分析视频接入业务注册根据公安部下发的边界接入平台视频接入链路安全规范对视频接入业务 管理的要求，需要提供不同层次的注册和管理功能。包括对每一条视频接入链路 的建设情况、运维情况、链路情况、设备情况进行详细登记

5、；对每一个视频接入 业务的视频接入对象信息、使用终端的身份信息、设备信息进行详细登记。运维报警视频集控系统管理着区域内所有的视频安全接入系统，在这些设备上同时运 行着分属不同网络的视频接入业务，由于视频接入业务跨越内、外两个不同的网 络，所以传统网络管理和安全管理软件无法对边界视频接入点统一管理。视频集控系统通过外网监控探针，采集视频安全接入系统的运维数据，并通 过安全策略主动探测各设备的运行状态。如果设备或者业务出现故障，系统可以 实时调用短信网关接口向管理员手机发送报警短信，方便管理人员对平台的监控 与管理。流量监控视频接入业务流量巨大，但是各地的内网的带宽有限，如果由于视频接入而 造成内

6、网带宽被大量占用，并影响用户单位各种业务的正常开展，就得不偿失了。 所以视频集控系统具有流量监控与报警功能，它实时监控各地视频接入业务的流量，如果流量超过事先设置的阀值，则马上向管理员报警，必要时还可以在线停 止该视频接入业务。实时统计区域内各个视频接入点上运行着分属不同网络的各种视频接入业务，需要以 管理视角提供全面的统计功能，视频集控系统能够实时看到各种业务当前的运行 状态（正常、异常）和当前日流量、总流量等。能够根据视频源、根据使用单位、 根据使用终端来统计任意时间段内的流量、登录次数、登录时长、报警次数等重 要信息。产品组成视频集控系统由集控系统服务器和集控探针组成。由于处于单位内网的

7、集控服务器无法直接监管处于外网的各种设备，所以需 要在边界保护区安装集控探针。集控探针是构建在工控机基础上的专用硬件设 备，采集外网各种设备（如防火墙、三层交换机、视频服务器、视频接入认证服 务器）的日志信息，同时监听外网设备的使用状态、流量、异常报警事件等等。集控服务器根据内部网络安全管理的特点，可融合多种网络管理产品和网络 安全管理的技术，提供统一集中的管理体系；它以用户为核心开发，从用户关心 的基础业务信息入手，更贴近用户的管理需求，提高系统的可用性。它提供更灵 活广泛的系统接口，提供接口给单位内网内部统一网管平台、短信报警平台调用。产品功能注册管理功能包含视频接入业务信息注册和使用终端

8、信息注册两部分；视频接入业务信息 注册包括视频接入对象信息、接入链路信息、终端数量信息、使用单位信息、接 入设备信息等；使用终端信息注册包括使用人信息、使用终端IP地址、审批信 息等部分组成。运行监控功能设备监控监控视频接入链路上各种设备的CPU使用情况，内存使用情况，负载情况等， 通过监控此类数据来分析该设备的运行情况。业务监控在视频业务监控信息中会显示视频业务的类型、业务总数、业务状态和当日 流量。流量监控对所配置的视频接入业务的流量监控，主要监控该业务的客户端连接总数和 该业务的数据总流量。如果流量超过事先设置的流量阀值则马上报警。用户监控可以实时的展现视频接入业务的在线用户数，用户身份

9、认证标识等信息。可 以根据需要将指定用户强制下线，可以查看用户的历史行为审计。接入对象认证视频接入对象认证功能是对视频服务器合法性进行认证的一种功能，视频接 入对象认证保证非法的视频服务器不能接入单位内网。视频集控系统采集各个视 频安全接入系统认证的视频服务器信息，供管理员集中监控管理。巳认证服务器查询查询区域内所有已经通过认证的视频服务器的信息，包括服务器认证信息、 当前状态、在线用户等。审计在线连接用于查询视频接入业务的在线用户和在线连接情况。使管理者方便的看到所 有视频接入业务的在线客户端的IP地址、在线客户端登录时用户名等信息。VIP用户用于查询视频接入业务的VIP用户情况。由于视频安

10、全接入系统同时服务的 终端数量有限，所以当在线用户总数达到极限时，其他监控人员无法登录。因此 设置了 vip用户，此类用户可以随时插入监控服务队列，不受用户总数的限制。通过视频集控系统，可以查询登录视频接入业务的vip用户的信息，包括登 录时使用的ip地址、登录时长、登录次数和流量等。用户行为审计对于视频集控系统而言，使用用户行为的审计是非常重要的。例如，某个ip 的用户频繁采用不同的账户来登录，并且每次登录都失败了，那么这个ip用户 就很有可能在做暴力测试；某个ip用户登录上视频系统后，发送了大量非法的 请求包，那这个ip的用户有可能在尝试攻击视频服务器。用户行为审计功能就 是将客户端的种种

11、行为（包括正常登录事件，非法登录事件，视频回放请求、实 时访问请求、退出事件等等）展现出来供管理者进行分析。报警视频集控系统的报警分为三种：设备报警、业务报警和服务器报警。设备报警设备报警是通过两种方式发现设备故障：采集网管信息来判断设备是否故 障，一旦故障则启动报警；通过主动安全策略（PING或TELENET）来主动发 现设备是否故障，一旦故障则启动报警。其中业务报警是通过采集视频安全接入系统向集中监控系统发送的日志信 息来判断视频接入业务是否停止等故障信息，一旦故障则启动报警。接入对象认证报警当视频接入对象认证失败时，视频安全接入系统将报警信息上报至视频集控 系统，供管理员查询。视频集控系

12、统支持报警信息对外发送功能，包括短信报警和邮件报警等，对 外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置。报表支持多种报表方式，能够按需提供流量报表、用户连接数报表、故障报表、 告警事件报表等。产品特点合众视频集控系统的主要优势如下：符合规范符合边界接入平台视频接入链路安全规范相关要求的业务注册和平台注 册功能。零客户端完全B/S中文界面，显示直观，管理员在任何有浏览器的机器上通过管理员 证书登录管理控制台，进行系统配置和管理，流程简捷，操作方便。设备监控全面通过标准接口全面管理边界接入点上的所有设备，包括各种厂商各种型号的 防火墙、网关设备、路由器、交换机、视频网闸、视频接入认

13、证服务器、视频用 户认证服务器、视频服务器、硬盘录像机等等。合众视频集控系统支持设备众多、管理范围广、采集数据多，采用专用的仪 表盘技术来展现监控结果，方便管理员使用。流量监控系统通过与视频安全接入系统的实时通信获得业务流量信息，并根据事先定 义的流量阀值设置流量报警，当某个业务流量超过限制，则可以激发通过短信、 页面和邮件的报警行为。报警及时准确合众视频集控系统支持各种短信系统，实现短信报警。型号与指标产品型号VG-CM-350VG-CM-360VG-CM-355VG-CM-36!说明VG-CM-350 和 VG-CM-360 两种型号对本级网络中的视频接入 链路进行安全监管，大多数视频接V

14、G-CM-355 和 VG-CM-365 i 号对本级和下级网络中的所彳 接入链路进行安全监管，当户入方案中采用此系列设备确有管理下级视频接入链路白时方才采用此系列设备9需口外形2U机架式2U机架式2U机架式2U机架式网络两个千兆网络接口两个千兆电口两个千兆网络接口两个千兆电操作系统采用的安全操作 系统基于Linux 操作系统，内核 剪裁、增强、优 化；操作系统内 核以及关键进程部分进行硬件固 化采用的安全操作 系统基于Linux 操作系统，内核 剪裁、增强、优 化；操作系统内 核以及关键进程部分进行硬件固 化采用的安全操作 系统基于Linux 操作系统，内核 剪裁、增强、优 化；操作系统内 核以及关键进程部分进行硬件固 化采用的安全 操作系统基 于Linux操 作系统，内 核剪裁、增 强、