共享平台和视频安全接入方案

毕节市公安局公安网边界接入平台（部门间信息共享平台、视频接入链路）建设方案上海辰锐信息科技公司2013年10月目录1 建设背景 42 业务需求 62.1 项目现状 62.2 共享平台需求 62.2.1 功能需求分析 62.2.2 性能需求分析 72.2.3 安全需求分析 82.2.4 管理需求分析 92.2.5 扩展需求分析 92.3 视频接入需求 92.3.1 功能需求分析 92.3.2 性能需求分析 102.3.3 安全需求分析 102.3.4 管理需求分析 112.3.5 扩展需求分析 113 总体设计 123.1 设计目标 123.2 设计思想 123.3 设计依据 123.4 总体架构设计 133.4.1 安全体系 133.4.2 体系结构 143.5 监测与管理区设计 183.5.1 探针及监管功能设计 183.5.2 级联监控管理设计 194 总体方案 205 功能设计 225.1 共享平台功能设计 225.1.1 查询比对类 225.1.2 数据交换类 225.1.3 Web访问类 245.2 视频接入功能设计 246 安全设计 266.1 共享平台安全设计 266.1.1 查询比对类 266.1.2 数据交换类 276.1.3 Web访问类 276.2 视频接入安全设计 286.2.1 数据接收 286.2.2 数据检查 296.2.3 数据传输 296.2.4 数据转发 296.2.5 授权访问 307 管理设计 317.1 监管功能 317.2 级联功能 338 设备介绍 348.1 可信边界安全网关 348.2 网络数据交换 358.3 视频安全接入系统 358.4 集中监控与审计系统 379 共享平台功能 389.1 共享平台架构 389.2 内、外网门户网站 409.2.1 单点登陆 409.2.2 统一用户管理 409.2.3 页面定制 409.2.4 信息公告 419.2.5 应用导航 419.2.6 应用统计 419.3 内、外网应用服务系统 429.3.1 可视化业务配置器 429.3.2 标准的Web服务接口 429.3.3 信息查询 429.3.4 数据核查 439.3.5 数据比对 439.3.6 数据上传下载 439.3.7 共享痕迹留存 439.3.8 数据权限控制 449.3.9 服务门户定制 449.3.10 监控与管理 449.4 数据采集系统 459.5 数据集成系统 469.6 平台管理监控系统 489.6.1 注册管理 489.6.2 用户管理 489.6.3 监控与审计 489.6.4 查询统计 509.7 扩展功能设计 5010 共享平台数据处理设计 5210.1 数据库设计 5210.2 数据标准管理 5210.3 数据处理过程 5310.4 数据采集 5410.4.1 数据采集方式 5410.4.2 数据采集流程 5510.5 数据信息整合 5510.6 数据信息共享 5611 共享平台运行环境 5711.1.1 软件环境设计 5711.1.2 硬件环境设计 57建设背景随着贵州省毕节市公安局公安信息化建设的不断深入开展，公安机关对外交换和共享信息的接入业务需求日益强烈。结合自身公安信息化建设现状和发展需要，减少重复投资，建设贵州省毕节市公安局部门间共享平台（以下简称“共享平台”），满足公安机关通过公安信息通信网开展对外数据交换、查询比对、Web访问等工作需要。通过共享平台的建设为部门间信息共享等业务提供集中的安全运行基础设施，实现对接入业务的注册、监控与审计等安全管理，保障共享平台与公安信息通信网的安全。共享平台是金盾工程二期重点建设的“三大平台”之一，公安部《关于稳步开展公安信息资源共享服务工作的通知》（公信通[2007]187号）及《关于“部门间信息共享与服务平台”建设应用的指导意见》（公科信[2012]19号）的要求，共享平台的核心功能主要包括两个方面：一是方便可靠地获取外部信息，将其它政府部门、社会单位向公安机关提供的信息传输到共享平台上，并根据公安业务应用的需要将相关信息转送到公安信息网内加以综合应用；二是安全可控地对外提供信息服务，将需要对外共享的信息从公安信息网内抽取同步到共享平台上，以应用接口、web访问、数据交换等方式对外提供信息共享服务。共享平台应严格按照《公安信息通信网边界接入平台安全规范(试行)》的要求进行网络互连和安全运行。同时毕节市公安机关可利用的视频监控资源越来越多，但出于安全和应用方面的考虑，外网及社会专网视频资源没有接入公安内网，由此造成使用上的不便和资源的浪费。现在毕节市公安局为实现“资源共享、互联互控”、“视频监管一网控”，需依据公安部《公安信息通信网边界接入平台安全规范（试行）--视频接入部分》建设视频接入链路。通过该链路的建设满足外部视频资源与公安网视频资源有机联网、整合共享，并且有效管理、灵活调用，同时满足下列需求：实时观看外网视频监控探头信息、实现对外网视频监控探头的控制、对视频接入业务进行集中监控、管理与审计。本方案中术语和定义与《公安信息通信网边界接入平台安全规范》（简称《安全规范》）、《关于稳步开展公安信息资源共享服务工作的通知》（公信通[2007]187号）、《关于“部门间信息共享与服务平台”建设应用的指导意见》（公科信[2012]19号）、《公安信息通信网边界接入平台安全规范（试行）--视频接入部分》一致。业务需求项目现状为了满足社会面与公安信息通信网进行信息采集与交换的业务需求。贵州省毕节市公安局已经建设了边界接入平台中的社会企事业接入链路、党政军机关接入链路、公安驻地外接入链路，该边界接入平台解决了公安边界接入业务的部分业务需求，取得了良好效益，发挥了重要作用。随着毕节市公安局信息化建设的发展，现需要建设贵州省毕节市公安局部门间共享平台以及视频接入链路，主要增加公安机关及直属单位对外数据交换、查询比对、Web访问业务，以及外网视频资源安全接入公安内网，以满足日益增长业务需求。共享平台需求功能需求分析贵州省毕节市公安局共享平台主要需要对党政军部门和经批准的党政军用户等接入对象提供查询比对、数据交换和Web访问等功能。上述接入对象采用专线安全线路方式与贵州省毕节市公安局共享平台进行链接，在接入链路上不采用其他非安全的接入链路方式（如无线、互联网链路等），从链路层面保障共享平台的安全性。查询比对功能通过数据交换方式实现其他部门、机构等对共享平台内的公安信息资源进行安全查询及比对功能，及时返回查询比对结果，并同时支持单条和批量的查询比对业务。数据交换功能通过数据交换方式采集其他部门、机构的批量数据；通过数据交换向其他部门、机构提供批量数据。数据交换支持的数据类型包括：结构化数据库数据、非结构化数据（以文件型为主）等。Web访问功能指的是经批准的党政军用户通过政法数字证书，以授权访问方式访问共享平台内对外开放的Web网站（页）等。性能需求分析毕节市公安局共享平台性能需求主要体现在数据流量、关键设备性能和平台整体性能等方面，在满足性能要求的同时，具备一定的容量扩展性。数据流量：其中查询比对类业务服务总流量要求为1000笔/秒，数据交换类业务预计业务流量为400Mbps，Web访问类业务预计业务流量为400Mbps。关键设备性能：关键性安全设备在整个共享平台中发挥着重要的安全重用，其中查询比对类业务具有数据包小、并发大、延时低的特点，同时考虑突发大并发情况，关键安全设备的并发连接数应达到40万以上，最大并发连接数应大于50万。平台整体性能需保障平台基本性能及以后的扩展性，平台所有链路，尤其是数据交换链路需采用双千兆带宽，关键设备均采用千兆级以上设备。确保数据交换链路上的数据交换系统及网闸在不影响传输性能和数据传输质量的前提下，在支持多个接入业务的同时进行数据交换。毕节市公安局共享平台在业务峰值时段，各设备的CPU、内存利用率低于70%。共享平台在满足数据量、并发连接数和链路带宽等要求的同时不影响平台整体传输性能和数据传输质量，并预留一定的扩展性。同时，共享平台需要确保接入业务的可靠性和稳定性，在紧急状态下，应具备一定处突及部分应用优先处理的能力。安全需求分析安全需求主要体现在接入终端安全需求、服务器安全需求、网络安全需求、应用安全需求和数据安全需求等方面。接入终端安全：对查询比对类、数据交换类业务的接入终端进行备案登记，支持对接入终端进行安全状况检测，防止安全不达标的终端设备接入。在Web访问类接入终端上安装终端安全监控和“一机两用”客户端，对接入终端的外设、进程等加强安全管理以及对接入终端的违规外联加强安全监测。服务器安全：为确保共享平台内重要服务器自身的强壮性和安全性，对这些服务器都进行必要的安全加固或安全加强。网络安全：共享平台在网络层划分不同的安全域，不同安全域间具有明显的边界，采用必要的安全隔离设备，对接入平台与公安信息通信网之间进行安全隔离。可采用VPN方式对数据或链路进行加密以对信息安全有特殊需求的信息传输进行安全保障。同时，共享平台应对平台内应用服务进行网络级访问控制，并对病毒木马、黑客入侵、抗DDoS攻击、漏洞扫描、异常流量等网络安全威胁具有监测和防护能力。管理需求分析贵州省毕节市公安局共享平台是个复杂的安全系统，为了更好的发挥平台作用，保护公安网内资源安全，满足对共享平台的运行维护，需对共享平台进行有效的管理。根据共享平台运行管理要求，依据“统一接入管理、统一运行监控、统一安全审计、统一策略部署”的原则。对共享平台所有传输信息实现集中安全监测和审计，对各类异常报警信息进行分析。对共享平台中的各类安全事件进行及时发现和定位，控制并消除各类安全威胁和隐患。对共享平台进行集中监控和审计管理，实现注册审核、平台运行、设备维护、报警处置、审计分析、数据通报等一系列管理功能，提供监控平台整体运行状况服务。扩展需求分析共享平台是一个复杂的系统，接入业务是个逐步接入的过程。共享平台方案需具备可扩展性。在满足基本要求的前提下，主要满足平台在性能、功能、业务数、应用种类及存储等方面的扩展和延伸。视频接入需求功能需求分析毕节市公安局公安信息通信网视频接入业务主要是实现公安外网视频资源经视频接入链路安全可靠接入公安内网，实现从公安内网授权访问外网视频资源。该类业务具有以下特点：实时监控：公安内网用户实时浏览外部视频信息；探头控制：内网终端可操控外部的探头，使探头上下左右移动，前后调节，以观察不同范围；视频调阅：公安用户调阅外部视频服务器上的存储的历史视频信息。性能需求分析视频接入链路在性能上必须满足毕节市公安局视频接入业务的接入要求，主要体现在链路带宽、同时在线的用户数、业务数和网络吞吐量等方面。安全需求分析视频信息接入在外部与公安内网进行信息传输的同时，将面临许多安全问题，如原来利用外网发动攻击的黑客也有可能通过伪装视频流方式传输蠕虫、木马等病毒，进而攻击内网；一些用户试图通过接入通道访问非授权资源；内网中某些中病毒的计算机，可能将内部人口及治安等重要且敏感信息泄露出去，进而直接影响公安工作的正常开展。为此，视频接入链路通过采用视频安全接入系统，针对视频码流和视频信令的不同特性，在安全性上采用不同的策略，实现视频控制信令双向传输，视频数据单向传输，为视频接入提供了一条安全、高效的接入通道，保证了视频信息安全、可靠地传输。管理需求分析根据公安网视频安全接入的运行管理要求，提供对视频接入应用和运行情况的监测、审计和管理，实现外网视频资源安全可靠的采集进入公安内网。扩展需求分析视频接入链路是个逐步接入的过程，需具备可扩展性。主要需满足链路在性能、功能、业务数、应用种类等各方面的扩展和延伸。总体设计设计目标针对共享平台各类业务与视频接入需求，设计一个技术先进、安全可靠、切实可行、管理方便的安全技术方案。建设贵州省毕节市公安局共享平台与视频接入链路，保障公安网的保密性、完整性和可用性，接入业务的可管理性、可控性；保障视频资源的有机联网、整合共享、有效管理、灵活调用；保障边界接入公安网的安全，以及相关网络和信息资源的安全；同时保障边界接入工作的高效稳定运行，解决和提高公安业务工作、信息共享、服务的能力和水平。设计思想根据实际情况，充分认识到安全在边界接入中的重要性，正确处理发展与安全的关系，综合平衡成本与效益，建立安全、可靠、实用的贵州省毕节市公安局部门间信息共享平台和视频安全接入链路。设计依据本方案依据以下文件或规范设计：《关于印发<公安信息通信网边界接入平台安全规范（试行）>的通知》（公信通[2007]191号）；《关于稳步开展公安信息资源共享服务工作的通知》（公信通[2007]189号）；《关于做好社区和农村警务室接入公安信息网安全工作的通知》（公信通[2007]15号）；《关于进一步加强公安信息通信网日常安全管理工作机制建设的通知》（公信通传发[2008]109号）；《关于公安信息通信网边界接入平台建设有关问题的通知》（公信通传发[2008]296号）；《关于“部门间信息共享与服务平台”建设应用的指导意见》（公科信[2012]19号）；《公安信息通信网边界接入平台安全规范（试行）--视频接入部分》。总体架构设计共享平台与视频接入链路依据《安全规范》，主要基于三重防护体系、两个基础设施的安全体系，构建路由接入区、边界保护区、安全隔离区、安全监测与管理区等五个不同的安全区域，构成分区域、分层次的纵深安全防御体系。安全体系接入平台安全体系设计由三重防护体系设计、两个基础设施设计构成。图STYLEREF1\s3SEQ图\*ARABIC\s11接入平台安全体系图三重防护体系设计：即应用环境安全设计、应用区域边界安全设计和网络通信安全设计。应用环境安全设计：即确保终端和用户来源可信、可监控设计，操作系统安全加固设计，关键应用程序安全设计。应用区域边界安全设计：主要涉及网络及应用系统边界安全方面，通过身份认证、访问控制技术，确保对应用系统的访问是通过细粒度控制下的合法访问者。链路与网络通信安全设计：主要涉及链路及网络安全方面，采用数据机密性与完整性保护技术，建立端到端传输的安全机制。两个基础设施设计：即公安PKI/PMI基础设施，安全监测与管理基础设施。公安PKI/PMI基础设施设计：实施公安数字身份证书的产生、管理、存储、分发和撤销等功能，是实现接入平台身份认证、授权管理、访问控制策略等安全机制的基础。安全监测与管理基础设施设计：实现整个平台的安全监测、管理与运行维护。体系结构共享平台体系结构根据需求分析及公安部相关规范的要求，贵州省毕节市公安局共享平台在体系结构设计上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成，如下图：图STYLEREF1\s3SEQ图\*ARABIC\s12边界接入平台体系结构图路由接入区该区域实现各个外部链路与接入平台间连接。该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。边界保护区该区域主要实现对接入平台的边界保护。该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。应用服务区该区域主要处理各类与应用相关的操作，是公安网对外信息发布、信息采集、数据交换的中间区域。该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对公安网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。安全隔离区该区域实现公安网与应用服务区的安全隔离与信息交换。该区域主要安全功能为：实现公安网与应用服务区的安全网络隔离，根据安全策略，对出入公安网的数据分别进行协议剥离、格式检查和过滤，实现公安网和应用服务区之间的安全数据交换，保障公安网的安全。安全监测与管理区该区域实现整个接入平台的安全监测、管理与维护。该区域主要安全功能为：对接入平台运行情况进行安全监测与审计，对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等；对接入平台内网络设备、安全设备进行配置管理及日常运行维护，补丁升级、漏洞扫描与病毒防范。视频接入体系结构根据视频安全接入的业务需求及公安部相关规范的要求，视频安全接入链路在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。如图所示：图STYLEREF1\s33视频接入链路体系结构图路由接入区该区域实现各个外部接入链路与视频安全接入链路前端设备的连接。该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照相关安全策略加以区分。边界保护区该区域主要实现对边界接入平台视频安全接入链路的边界保护。该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。应用服务区该区域主要处理各类与应用相关的操作，是公安信息通信网对外信息发布、信息采集、数据交换的中间区域。该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对公安信息通信网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。安全隔离区该区域实现公安信息通信网与应用服务区的安全隔离与信息交换。该区域主要安全功能为：实现公安信息通信网与应用服务区的安全网络隔离，根据安全策略，对出入公安信息通信网的数据分别进行协议剥离、格式检查和过滤，实现公安信息通信网和应用服务区之间的安全数据交换，保障公安信息通信网的安全。安全监测与管理区该区域实现整个视频安全接入链路的安全监测、管理与维护。该区域主要安全功能为：对视频接入链路的运行情况进行安全监测与审计，对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等；对视频接入链路内网络设备、安全设备进行配置管理及日常运行维护，补丁升级、漏洞扫描与病毒防范。该区域对视频安全接入链路运行安全监测与审计的功能统一由“集中监”控管理与审计系统实现。监测与管理区设计探针及监管功能设计贵州省毕节市公安局共享平台与视频接入链路的监测与管理区域主要实现对本级平台整体运行状况的集中监管、安全审计、注册管理与级联监控等功能。级联监控管理设计按《安全规范》要求，需对共享平台与视频接入链路进行级联监控。通过部、省、市三级平台级联监控体系提供各边界接入平台的运行维护情况、日常业务流量、安全状况等动态信息，为深入分析接入平台及业务运行状态与安全趋势提供依据。依据级联的统一规范和接口，在部、省、市三级边界接入平台间逐步开展和实现主动双向式监管。上级边界接入平台可通过监控级联接口，主动监测下级边界接入平台中各关键节点的各种详细基础数据。同时，部、省、市三级单位关于接入平台业务管理流程也通过此监控接口来实现双向的信息交互等。总体方案结合项目需求，本项目主要需建设毕节市公安局部门间信息共享平台与视频安全接入链路。其中部门间共享平台建设在已经建设的党政军机关接入链路上，实现党政军机关各部门与公安网的信息共享；视频接入链路建设实现外网视频资源安全可靠地采集进入公安网。具体方案网络拓扑图如下：图STYLEREF1\s4SEQ图\*ARABIC\s11总体方案图如图4-1，从逻辑上，将边界接入平台划分三大区域：终端接入区、边界平台区和公安网。其中边界平台区又划分为路由接入区、边界保护区、应用服务区、安全隔离区和安全监管区。社会企/事业单位终端采用VPDN链路，经可信边界安全网关(TBSG)，将数据报送给社会企/事业接入的前置服务器，然后经数据交换系统将信息交换到公安网。需要对外发布数据通过数据交换系统交换到平台区域，再通过TBSG交换到外网以提供外网服务。党/政/军机关终端通过专线经TBSG、数据交换系统等安全设备与公安网实现授权访问和数据交换业务。公安机关驻地外终端通过VPDN/专线经TBSG与公安网进行通信，实现授权访问业务。外网视频数据通过专线经视频安全接入系统单向传输进入公安网，实现信令双向传输，视频单向传输。共享平台建设在党政军机关接入链路上，提供查询比对、数据交换和Web访问三类业务应用的安全支撑，每类业务根据不同的接入模式和安全需求提供不同安全防护措施。功能设计共享平台功能设计查询比对类通过查询比对接入链路，向党政军用户提供对共享平台内公安信息资源的安全查询和比对功能，并及时返回查询比对结果，支持单条和批量比对业务。查询比对类接入链路系统功能如下：查询比对的数据经防火墙、可信边界安全网关、交换机等到共享平台区域，经共享平台内的应用服务处理后，将查询比对结果交换、反馈给终端用户；部署在共享平台内的防病毒服务器安装网络版防病毒软件，对共享平台内的服务器和客户端提供病毒查杀和防护等；接入链路的路由接入区、边界保护区、应用服务区及安全隔离区的运行状态、设备状态、链路状态、关键安全设备运行信息等通过探针实现抓取，并报送给公安网中的集中监控与审计系统。数据交换类数据交换类主要实现党政军用户需要与共享平台进行双向批量安全交换数据，数据类型支持结构化数据库数据和非结构化的以文件型为主的数据，以支撑业务的开展。由于信息来源的多样性，决定了采集来的信息的多样性，即有数据库记录方式的，又有文件方式的。同时，目的端对数据的要求也是多样的。因此实现数据交换的系统即要满足简单的数据库和文件同步外，还需支撑较为复杂的数据交换功能。具备以下功能：支持多种数据库交换模式，支持多数据库同步方式选择。包括全表同步、增量同步、列同步等；文件交换方式包括文件夹新增同步、文件夹镜像同步、文件完全同步、文件同步后源端删除、文件同步后源端备份、双向文件同步等多种模式；数据同步过滤功能，数据库双向交换，源与目标的同表双向同步；支持数据分发，支持源数据库和源文件分发到不同的目标数据库或文件夹，支持文件与文件、文件与数据库、数据库之间的分发，并可设置分发条件；支持同构数据库同步交换，异构数据库同步交换；支持一对一、一对多、多对一等多种数据传输方式：如一份文本文件同时向文件服务器和数据库服务器发送；实现数据交换业务的多种调度策略：支持交换业务多级优先权调度；事件触发、时间触发、消息触发；定时、实时、轮询等；提供数据可靠传输机制：发生网络阻塞，链路故障等时保障数据交换可靠传输；数据传输完整性保证：发生网络阻塞/异常，链路故障等时保障交换数据的完整性；方便、直观的管理、审计功能，支持故障报警和业务管控功能。Web访问类该链路主要实现经批准的外部用户安全接入到共享平台，访问相关资源的功能。其功能的实现步骤为：经批准的外部用户使用其数字身份证书启动TBSG客户端，通过专线链路，经防火墙访问TBSG服务器；TBSG设备经接入终端设备认证、身份证书认证、CRL列表验证成功后与TBSG服务器建立链路通道；链路建立后，TBSG对用户访问权限进行验证，为用户分配共享平台资源访问权限；经批准的外部用户就可以在授权访问内进行资源的访问，如同在共享平台访问业务一样的使用资源。视频接入功能设计视频安全接入链路拓扑如下：图5SEQ图\*ARABIC\s11视频接入链路网络拓扑图视频接入链路实现将外网视频资源单向传输进入公安网，在公安内网访问相关视频资源的功能。其功能实现步骤如下：管理员将需要接入的视频服务器设备注册到接入平台；管理员将需要访问视频资源的用户注册到接入平台；公安干警使用其公安数字身份证书，视频用户认证服务器对用户身份证书认证、CRL列表验证成功后，在客户端和视频用户认证服务器服务器之间建立通道；启动视频监控客户端，访问视频中心管理服务器；公安干警就可以访问经过视频接入平台授权的外部视频资源，访问方式就如同在公安网访问视频资源业务一样的使用其他视频资源。安全设计共享平台安全设计查询比对类查询比对类接入链路的安全隔离区采用专用安全数据交换系统实现数据安全交换功能。该系统采用安全加固操作系统保障本身系统的安全性，同时，安全数据交换系统外侧的数据交换服务器进行安全加固进一步加强其系统及应用环境安全；安全数据交换系统实现数据安全同步、格式过滤、内容过滤和审计、流量管理及链路区分等功能。该链路的防火墙除了进行网络级防护外，对外部接入终端进行备案登记，终端MAC地址与IP绑定，并对终端的运行状况进行检测，以避免不安全的设备接入。该链路上入侵防御系统（IPS）对外部终端可能存在的入侵行为进行检测、拦截，主动抵制入侵行为，同时通过安全数据交换系统的隔离交换功能（经网闸进行摆渡式交互），确保公安信息通信网在该链路上不存在非法入侵点，并实现公安信息通信网与其他非信任网络的安全隔离。接入终端安全：接入终端用户采用专线或VPDN方式接入到平台边界点，在物理上与其他网络进行隔离，在物理通道上保障信息传输的隔离性和安全性。并通过防火墙实现终端备案登记、MAC与IP绑定，并对接入终端安全状况进行检查，使不达标的设备无法接入。网络安全：在该链路上部署抗DDOS、防火墙、IPS等安全设备，对病毒木马、黑客入侵、DDOS攻击、异常流量等安全威胁进行监测和防护，实现对应用服务的网络层访问控制。采用安全隔离设备（安全数据交换系统间部署的隔离设备），实现接入平台与公安信息通信网之间的安全隔离。应用安全：专用安全设备安全数据交换系统通过配置接入IP、账号/用户名、密码等，实现应用级访问的控制，与链路其他安全设备一同形成立体的系统防护体系，防止非授权访问。数据安全：通过加密传输（需要共享平台应用系统支持）、病毒防护、数据格式检查、内容过滤等方式保障该链路数据传输过程中的安全性。共享平台与公安信息通网间的数据传输通过安全数据交换系统实现，保障数据安全，并通过平台的监测和审计系统，防止平台重要数据被泄露。数据交换类数据交换类接入链路采用和查询比对类接入链路基本相同的安全防范措施。Web访问类Web访问类的接入用户通过硬件身份证书，在终端启动可信边界安全网关（TBSG）客户端与TBSG服务端建立基于SSL/TLS的加密传输信道，保障信息在终端与边界间传输的安全性；经过TBSG服务端的数据经防毒墙访问共享平台内的应用系统，防毒墙实时在线查杀病毒，保障数据传输安全和共享平台安全。可信边界安全网关采用单向主动服务方式，确保符合安全要求的外网访问终端可访问共享平台已授权服务，而共享平台不可访问外部应用，实现应用层面的共享平台与其他非信任网络的安全隔离，确保共享平台内部重要信息系统不会出现数据泄露，防止该链路边界接入点的非法入侵行为。接入终端安全：接入终端用户采用专线方式接入到平台边界点，在物理上与其他网络进行隔离，在物理通道上保障信息传输的隔离性和安全性。并通过防火墙实现终端备案登记、MAC与IP绑定，并对接入终端安全状况进行检查，使不达标的设备无法接入。同时TBSG客户端与TBSG服务器配合可实现终端设备认证、进程控制、多网阻断等安全功能，保障终端环境安全。网络安全：在该链路上部署防火墙、可信边界安全网关、防毒墙、IPS等安全设备，对病毒木马、黑客入侵、异常流量等安全威胁进行监测和防护，实现对应用服务的网络层访问控制。接入终端与边界间数据传输采用基于SSL/TLS协议传输，对链路进行加密。应用安全：可信边界安全网关提供基于证书的应用级授权访问控制，防止非法访问。可依据用户类别和应用（资源）进行基于角色－权限－资源的严格控制。视频接入安全设计数据接收在保障视频数据接收应用正常运行的前提下，数据接收需实现以下安全功能，以实现接入设备可靠、信息来源可信：主动访问：由视频接入认证服务器主动访问视频源，关闭视频接入认证服务器对外所有的服务端口，屏蔽外网网络层面的各类攻击。设备认证：所有的接入设备需进行设备注册，确认接入设备的合法性，屏蔽对未注册的、非法设备数据的接收。数据检查数据安全检查在功能上实现对接入的视频数据进行严格的安全检查，因此需实现以下功能：数据源检查：保证数据源的合法性，防止非法数据进来；格式检查：以保障视频数据格式的正确，去除无用的“脏数据”；协议检查：保证视频应用协议的合法性；木马/病毒防护：保障视频数据中不含非法的木马/病毒，保障平台与内网安全。数据传输数据传输除了在功能上实现视频信息传输外，在安全上需实现以下功能：数据的格式检查，以保障视频数据格式的正确；木马/病毒防护，保障视频数据中不含非法的木马/病毒，保障平台与内网安全。数据转发数据源检查，保证数据源的合法性，防止非法数据进来；格式检查，以保障视频数据格式的正确，去除无用的“脏数据”；协议检查，保证应用协议数据包的合法性；敏感信息检查，防止内外敏感数据外泄。授权访问为了保障公安网内资源的安全，确保接入设备的合法性，保证视频数据到公安网信息传输的安全，授权访问类应用在安全上需要实现以下功能。设备认证：所有授权访问类的接入设备必需进行设备注册，只有通过注册通过后的合法设备才能与视频接入平台建立链接，保证接入设备的合法性；证书认证：所有授权访问的访问用户和设备需持合法身份才能与视频用户认证服务器建立链接，通过采用数字身份证书确定访问用户的身份，保证用户身份的合法性和可追溯性；资源的访问控制：通过用户（数字证书）、角色，控制用户的授权访问，只有合法设备/用户才能访问其有权访问的资源，限制用户的使用权限；告警管理，及时通知各种告警，让用户了解系统状况；用户行为审计：对所有授权访问类用户/设备的行为进行审计，保障用户已发生行为的可追溯性。管理设计集中监控与审计系统分为安全监控系统和级联上报系统。通过安全监控系统集中体现接入平台整体运行情况，展示所有设备的运行状态，警并对故障点和性能瓶颈点进行报，并通过短信/邮件等方式通知相关管理员。通过级联上报系统实现部/省/市三级监管体系。监管功能接入平台安全监控能实现对整个接入平台进行安全监控、管理与维护，统计与分析。其实现的监控功能如下：注册管理服务：实现平台和公安业务信息的标准注册流程；监控管理服务：对接入平台运行状况进行实时监控；审计管理服务：对平台运行信息进行安全审计和异常行为的责任认定；1、注册服务，提供以下功能：■平台信息注册：登记接入平台的地域信息、建设信息、运维信息、审批信息、接入平台链路信息和设备信息；■业务信息注册：登记业务的主管部门信息、审批信息、应用系统信息、业务扩展信息；■使用单位信息注册：登记使用单位的名称、物理位置、负责人等信息；■设备信息注册：登记平台内关键设备终端和使用单位终端的网络信息、属性信息、安全信息；■接口信息注册：登记业务数据格式接口信息。数据格式接口信息用于描述业务应用系统需要交互的数据格式。2、监控服务，提供以下功能：■平台监控：监控平台当前运行总体情况；■流量监测：能够监测整个接入平台以及平台内部各个链路和业务的流量信息；■异常报警：能够按照接入平台安全策略监控接入平台内部的异常信息并报警；■在线用户：能够列举接入平台在线用户的个人信息和使用信息；■统计分析：提供对各类信息的统计分析功能；■安全处置：能实现TBSG与集中监控与审计系统等设备联动，对异常用户的处置。3、审计服务，提供以下功能：■平台审计：审计平台总体历史运行情况；■用户行为审计：对用户访问时间、行为和个人信息进行审计；■业务应用审计：对业务应用交换的数据格式进行审计；■设备安全审计：对用接入平台内部的关键设备运行状态进行审计；■异常行为审计：对接入平台内部异常行为的网络信息进行审计，并联系用户行为信息帮助实现责任认定。级联功能通过级联服务实现对本级平台向部平台报送信息，支持部/省/市三级监管体系。功能描述如下：■平台建设信息上报：将接入平台建设信息上报给上级平台，主要包括地域信息、运维信息、审批信息、平台链路信息和设备信息；■平台运行信息上报：将本平台的运行信息上报给上级平台，主要包括接入平台运行状态、业务信息、使用单位信息以及接入平台业务流量、访问量、交换记录数目信息；■上报任务管理：实现高可靠的自动化的数据上报任务，并能定期或即时的执行数据上传任务。提供灵活简便的上报任务管理；■为上级平台提供即时浏览、综合查询及统计分析功能；■本级监管系统负责对本地链路进行监控，监控信息通过级联系统上报到公安部监管系统。架构如下图：设备介绍对于共享平台与视频接入链路来说，其关键性产品包括边界接入安全网关产品、数据交换产品、视频接入产品和监管产品等。分别对应用于可信边界安全网关、网络数据交换系统、视频安全接入系统和集中监控与审计系统（安全监管系统和级联上报系统）。可信边界安全网关TBSG部署在边界保护区，对接入的终端进行基于硬件特征的设备认证以及基于数字证书的高强度用户身份认证，保证接入终端和用户的合法性有效性，同时为内部网络应用提供高强度数据链路加密服务及数字签名及验证服务，可以有效保护网络资源的安全访问。对于可信边界接入安全网关，从以下几个方面对产品进行设计：在安全上采用终端设备认证、用户身份认证、数据加密传输和授权访问等技术保障其安全；在功能设计上支持B/S应用和C/S应用，且与具体应用无关来支持边界接入业务中各类应用；在性能上选用高稳定的硬件产品，整个产品主要分高、中、低三个档次，以满足用户根据不同应用负荷来选择合适的产品；在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。网络数据交换网络数据交换系统实现内外网之间各系统、数据源以及文件的传输和交换；实现同属于内网的各系统、数据源以及文件的传输和交换；实现同构数据源、文件的双向同步传输；可实现异构数据源、文件之间的的双向交换和各种内容、格式的转换；实现文件和数据库之间的双向交换和各种内容、格式的转换；实现各种基于内容和格式的条件过滤。对于数据交换产品，从以下几个方面对产品进行设计：在安全上通过采用协议剥离、格式检查、内容过滤等技术保障交换数据的合法性；在功能设计上支持同构/异构数据库之间、相同/不同类型文件之间及数据库和文件之间的数据交换来支持数据交换中的复杂应用；通过设计不同适配器模块以支撑数据交换中源端和目的端对各种不同的数据类型，做到应用无关性与零代码开发；在性能上选用高稳定的硬件产品，整个产品主要分高、中、低三个档次，以满足用户根据不同应用负荷来选择合适的产品；在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。视频安全接入系统视频安全接入系统架构上主要包括视频接入认证服务器，视频隔离网闸和视频用户认证服务器三部分组成。对于视频接入认证服务器，从以下几个方面对产品进行设计：在安全上采用主动访问可信设备、设备认证、数据安全检查等技术保障其安全；在性能上选用高稳定的硬件产品；在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。对于视频隔离网闸，从以下几个方面对产品进行设计：在安全上通过采用协议剥离、格式检查、内容过滤等技术保障视频数据的合法性；在功能设计上支持视频数据各种复杂应用；在性能上选用高稳定的硬件产品，整个产品主要分高、中两个档次，以满足用户根据不同应用负荷来选择合适的产品；在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。对于视频用户认证服务器，从以下几个方面对产品进行设计：在安全上采用用户认证、权限管理、证书认证、数据安全检查，敏感信息扫描等技术保障其安全；在功能设计上支持B/S应用和C/S应用，且与具体应用无关来支持视频接入业务中各类应用；在性能上选用高稳定的硬件产品，整个产品主要分高、中两个档次，以满足用户根据不同应用负荷来选择合适的产品；在稳定性上，除了对硬件产品的严格选型、测试和长期使用外，在功能设计上通过采用稳定成熟的技术和架构及支持双机热备等来保障设备的稳定性。集中监控与审计系统集中监控与审计系统分为安全监控系统和级联上报系统。通过安全监控系统集中体现接入平台整体运行情况，展示所有设备的运行状态，并对故障点和性能瓶颈点进行报警，并通过短信/邮件等方式通知相关管理员。安全监控系统主要实现对平台业务的注册、监控和审计等功能；级联上报主要实现向上级平台报送本级平台的运维情况，以支撑部/省/市安全架构体系。共享平台功能共享平台架构依据系统架构，部门间信息共享与服务平台主要由数据采集、数据集成、内外网共享数据库、内外网共享平台门户、内外网应用服务以及平台管理监控等系统组成，如下图所示：图9SEQ图\*ARABIC\s11共享平台架构图应用服务区：共享平台在应用服务区部署了数据采集系统、数据集成系统、共享数据库、共享平台门户、应用服务系统、平台监控管理系统。数据采集系统配合数据采集前置机实现社会数据的采集汇聚；数据集成系统实现数据清洗、转换、整合等处理；共享数据库实现社会数据的存储管理；由门户对外提供统一的Web入口；应用服务系统提供对外的数据共享服务；平台监控管理系统实现统一的安全监控管理。公安信息通信网：在内网部署内网门户、内外数据库、内网应用服务系统，内网门户提供统一的入口，应用服务系统提供具体的数据共享服务，内网数据库实现数据的存储管理。内外网共享数据库通过边界接入平台的安全数据交换实现数据传输与同步。其中，内网应用服务系统可与请求服务平台对接，结合应用服务区的应用服务系统，将公安内网业务数据安全可控地对外提供授权服务。外部门接入：外部门根据实际情况采用党政军链路。采用数据交换或文件交换方式的外部门，需部署数据采集前置机，配合数据采集系统实现数据的双向交换；对于不能直接提供的敏感数据，可在外部门部署外网应用服务子系统，实现公安对外部门业务数据的按需调用。外部门也可同时部署数据采集前置机和应用服务子系统，一方面实现公安对敏感数据的按需调用，另一方面提供数据的双向或者单向交换。除了数据交换共享之外，平台还提供应用交互、服务接口等共享方式。应用交互方式：外部门用户通过外网门户获取Web服务，如数据查询、核查、比对等。服务接口共享方式：应用服务区的应用服务系统提供标准的服务接口，为外部门应用系统提供数据共享服务。内、外网门户网站平台门户网站整合了平台服务功能和管理监控功能，以单点登录、权限控制、资源集中展现和管理的方式，为内、外网用户提供统一服务入口。共享平台门户网站主要提供信息查询、核查比对、应用导航、信息公告、应用统计等服务。其中，信息查询、比对等功能主要依托应用服务系统提供的服务接口实现。单点登陆系统支持单点登陆，注册用户一次登录即可使用权限范围内的所有平台功能。平台支持用户名密码登陆和数字证书登陆两种方式，通过平台本身的权限管理，结合公安PKI/PMI认证，保障平台和应用系统的安全。统一用户管理平台采用“统一存储、分布授权”的方式对注册用户进行管理，即建立统一的用户管理系统，用于统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过统一用户管理系统完成，而授权等操作则由各子系统完成。页面定制门户展现是门户的重要组成部分，它将用户所关注的各方面信息以直观、集中的方式展现在门户上。系统可支持页面定制，可按需定制终端用户的门户内容，包括信息和应用服务内容，外观及版式等定制功能。信息公告信息公告是用来起草、发布以及管理各类部门信息、通知通报的网上信息管理，具有信息公告的新建、编辑、删除、查找、审核、发布等功能。应用导航门户提供了应用导航，用于各子系统的快速链接。显示的应用导航受用户权限的控制，即只显示当前用户权限范围内的应用导航。应用统计门户网站的应用统计应能直观反映部门间信息共享服务的实际工作进展，并灵活运用各类图表展现统计数据。主要包括：数据量统计：实现各部门单位、各类业务数据按照数据总量、更新情况等指标的定时统计，可自动生成报表;数据质量统计：对各单位、各类型数据质量情况的统计，可自动进行排名;数据应用成效统计：实现数据应用服务中各功能成效情况的自动统计功能，为进一步提升现有数据应用服务水平，探索新的数据应用服务方式提供分析数据。主要统计各类数据资源的采集情况、共享应用情况等。内、外网应用服务系统外网应用服务系统主要为外单位用户及业务系统提供共享服务，包括数据查询、核查比对、数据上传下载、共享痕迹留存和服务接口等。内网应用服务系统是为公安内网提供服务，包括数据查询比对、接口调用等。可视化业务配置器具有图形化的业务配置器（共享流程设计器），满足公安与其他部门不同共享逻辑的调用需求（如简项查询、要素查询、核查比对、数据采集等），并能够根据后续的共享需求，灵活快速地调整变化的共享流程。主要包括：数据资源配置、数据权限配置、数据查询配置、核查比对配置、数据采集配置。标准的Web服务接口应用服务系统可将信息查询、核查比对包装成通用的WEB服务接口，供门户网站、其他部门业务系统直接调用。应用服务系统可实现部门单位和公安内网应用系统间的双向服务调用。通过简单的配置，即可快速生成标准的WebService服务。信息查询外网查询服务用于为有关部门提供同步的信息查询，包括对人员、车辆等公安对外共享信息的简项查询，以及其他授权范围内的数据查询（如已授权的其他外单位数据查询）。系统可与请求服务平台进行对接，安全可控地对外提供公安内网业务数据共享服务。内网查询是对部门间信息共享数据库进行查询，包括各单位提供的共享数据以及整合后的综合数据，支持简项查询、要素查询和关联查询。简项查询用于已知数据来源的情况，要素查询用于不能准确获知数据来源的情况，关联查询用于查询多来源的关联数据。所有的查询都受用户权限控制，用户只能查询自己权限范围内的数据。数据核查核查服务用于提供同步的信息真伪校验，核查结果只返回有无满足条件结果,即是、否、真、假，从而提高核查时效性、准确性、广泛性。系统对外主要提供对人员、机动车等基本信息的实时核实功能。数据比对比对服务用于提供异步的批量信息真伪校验。系统支持在线批量比对和比对模板，用户可下载模板并填写数据后上传至系统，实现与目标数据的比对碰撞功能，并将比对结果返回给用户。数据上传下载有权限的用户可以进行在线的数据上传及下载，支持数据库数据和文件数据的上传，包括TXT、dmp、sql、excel格式文件，并能将上传的文件装载到指定数据库中。共享痕迹留存共享服务痕迹本身对公安来说也是重要的情报信息，如汽修业所采集的车辆信息，可作为被盗抢机动车的比对源使用。系统对外网用户的查询、核查、比对及应用系统调用痕迹进行详细记录，包括输入的查询（或核查、比对）内容、核查人、所在单位、联系方式、核查时间等，并交换至公安内网，作为采集的一部分内容，供公安内部系统使用。数据权限控制系统提供细粒度的数据权限控制功能，资源提供者可以对数据进行严格的分级授权设置，包括数据共享的范围和方式。管理员还可通过用户授权管理模块可对信息来源、操作权限、数据处理流程进行授权管理。两部分相结合，可获得更加细粒度的授权控制，数据资源的共享范围可精确到特点资源的表级、字段级，共享范围可精确到特定单位的角色、用户，操作范围可精确到具体功能操作。服务门户定制以智能化定制方式，按需生成独立的服务门户，满足不同部门信息查询、核查比对、数据提交的应用需要。监控与管理应用服务系统自带监控管理功能，基于浏览器方式的管理控制台对应用服务系统本身、应用服务、组件及业务流程进行状态查询和监控管理，支持补丁升级、漏洞扫描与病毒防范。数据采集系统数据采集系统是一套易用、易管、高效的数据交换系统，主要实现不同数据库、应用系统、操作系统之间的数据交换，满足分布在不同操作系统环境中的各类应用系统、数据库之间数据交换共享的需要。主要功能包括：支持主流硬件平台和操作平台，如Windows、AIX、UNIX、Linux等；支持异构多数据源和目标数据库：如Oracle,DB2,MicrosoftSQLServer,Informix,Sybase,MySql、达梦等；支持上传文件：DMP、SQL、TXT、Excel、CSV、ACCESS、XML，以及对应ZIP文件;采用图形化配置方式实现所有交换业务，实现零代码开发；实现跨网络数据同步和交换；实现数据库到文件、文件到数据库、数据库到数据库、文件到文件的交换；实现内网不同类型数据库间的数据同步和交换；实现不同格式的文件之间的数据交换；实现一份源数据向多个要求各异的目标交换数据，如共享平台向多个部门单位发生数据；实现对被交换数据内容、格式、类型的转换；实现对被交换数据的协议剥离、格式检查和过滤；实现对被交换数据的抽取、解析和聚合；实现的业务调度策略有：事件触发、时间触发、消息触发；定时、实时、轮询；全量、增量等；实现实时病毒与木马过滤;提供详细数据交换日志、报表功能，对数据交换成功记录和失败记录进行详细记录，包括业务名，条数、操作、时间、库名、表名、失败原因、操作次数、恢复次数、时间、库名、表名等信息；提供数据可靠传输机制：发生网络阻塞，链路故障等时保障数据交换可靠传输;数据传输完整性保证：发生网络阻塞/异常，链路故障等时保障交换数据的完整性;所有的业务流程支持优先级管理，确保高优先级的核心业务的运行；支持负载均衡功能，可以支持多组集群的负载均衡。数据集成系统数据集成系统的主要功能是用于数据清洗、数据转换、数据质量审核，按照设置的规则，对预处理数据进行清洗转换，并将标准化后的数据装载到信息共享数据库。数据集成系统包括社会信息和公安对外共享信息两类数据的处理，具体指对社会信息的标准化处理、对公安对外共享信息的标准化处理，以及对以上两种数据的关联整合处理。经数据集成系统处理后的信息数据，可在平台中平滑地流动与共享。主要功能包括：采用配置方式实现所有集成业务；支持主流硬件平台和操作平台，如Windows、AIX、UNIX、Linux等；支持异构多数据源和目标数据库：如Oracle,DB2,MicrosoftSQLServer,Informix,Sybase,MySql等；ETL流程具备模块化、灵活性以及可扩展性；定制数据清洗规则，按照清洗规则和字典代码进行数据清洗及标准化，支持分层数据清洗，支持去除重复记录；支持多种字符集（GBK、Unicode、UTF-8）数据源的转换；对抽取到的数据能进行灵活的计算、合并、拆分等转换操作；支持各种数据类型、格式转换，支持字段名转换、字典代码转换、空值转换；支持自定义插件数据转换加工，在转换过程中支持数据比较的功能；可定时统一调度作业，ETL作业能够并行执行；具备异常处理机制，在ETL过程中，生成异常数据报告；所有的业务流程支持优先级管理，确保高优先级的核心业务的运行；实现对被交换数据的协议剥离、格式检查和过滤、实现实时病毒与木马过滤；提供数据处理详细日志及查询统计功能；支持负载均衡功能，可以支持多组集群的负载均衡。平台管理监控系统平台管理监控系统对整个共享平台进行统一监管审计，实现注册管理、用户管理、监控与审计、统计查询等功能。根据公安部对部门间信息共享与服务平台建设的指导意见，共享平台软硬件运行管理方面的数据应通过边界接入平台的安全隔离区实现与“运行维护管理平台”的信息汇聚。同时，边界接入平台应对共享平台内设备及业务信息实现统一的注册管理，对系统日志、设备状态、安全日志等安全辅助类运维信息实现集中监控和安全审计。注册管理对共享平台提供的所有应用服务及设备进行注册管理，包括服务单位信息、服务管理单位信息、数据源信息、业务系统信息、应用接口管理、系统设施等注册管理。用户管理对用户进行分类管理，提供对用户信息进行分组查询、增减和统计等操作功能，并对特定用户的访问情况进行详细审计记录，包括用户行为、访问资源、访问时间等信息。监控与审计实时查看现有应用服务及系统设施的运行状态、应用流量，统计应用服务在任意时间段的使用情况、启停状态、服务流量、用户人数、审计次数、报警次数等数据。同时，对访问用户行为进行监控，对用户的登录状态、操作行为、访问资源等情况进行监控审计服务。运行监控运行监控用于实时监控接入平台的运行状况，包括平台的各子系统、重要设备、服务器、数据库、数据库性能、数据处理过程等。针对异常情况，系统提供实时告警机制，管理员可对告警进行自定义配置。用户行为监控对访问用户行为进行监控，对用户的登录状态、操作行为、访问资源等情况进行监控，并提供查询统计服务。系统审计系统审计包括应用审计、设备审计和异常行为审计，可对异常事件进行追踪。应用审计功能：包括应用服务信息、传输流量、传输时间、传输内容等应用痕迹信息；设备审计功能：包括设备启停时间、次数和设备资源使用状况等；异常行为审计功能：包括异常发生时间、异常具体内容等；平台可按时间段、用户单位等因素分析统计用户行为、业务应用系统数据传输、异常行为等信息。日志管理与查询日志管理是对各种日志的集中管理，包括系统日志、数据交换日志、用户操作日志、明细日志、失败记录、数据抽取记录、数据加载记录等。支持日志查询统计功能，分别从时间和业务等多个角度展示平台记录的详细日志信息。查询统计用于查询统计应用服务在任意时间段的使用情况、启停状态、服务流量、用户人数、审计次数、报警次数等数据。扩展功能设计根据我公司对公安业务的理解，公安内网除了提供全面的社会信息查询、比对等基础服务之外，还可有针对性地增加以下参考功能：1、人员综合信息卡充分利用关联整合后的综合信息，将人员基本信息、家庭成员信息、房屋信息、教育情况、工作情况、银行账户、社保信息、通讯信息、会员卡信息等整合成人员综合信息表，提供给公安用户查询下载。2、单位综合信息卡针对各企业单位，整合单位相关信息，形成全面的单位综合信息卡，包括单位基本信息、法人基本信息、员工基本情况、社保缴纳情况、税务缴纳情况、财务审计情况等。3、人员活动轨迹分析建立轨迹分析模型，结合交通、民航、刷卡消费、旅店住宿、通讯等数据，分析获取其中的人员活动轨迹，为开展情报研判提供增值应用服务。4、车辆活动轨迹分析建立轨迹分析模型，分析获取其中的车辆活动轨迹，可与人员活动轨迹进行比对，为开展情报研判提供服务。5、消费轨迹分析建立轨迹分析模型，结合银行、网银、大型购物中心等数据，针对人员消费情况进行挖掘分析。6、人员社交分析建立分析模型，对人员社交圈进行挖掘分析，包括家人亲友、同学、同事、客户、网友等。7、共享痕迹分析平台的共享痕迹也是重要的情报信息来源，应该采集传输到公安内网，作为比对源与在逃人员、重点人员、被盗抢机动车等信息进行碰撞比对，获取相关情报信息。8、可视化关联分析管理对业务数据的关联关系进行分析建模，提供图形化的关联配置，方便公安用户使用，同时将优秀使用案例存入系统，方便用户参考学习。共享平台数据处理设计数据库设计本次数据库的建设主要包括位于应用服务区的共享信息数据库、公安内网的综合资源库和公安对外共享数据缓存库。共享信息数据库存储了对内、对外服务的各类数据资源，包括各部门单位提供的原始数据、经过标准化处理后的标准数据，公安对外提供共享的标准数据以及汇聚整合有关部门数据资源的综合共享数据。公安内网综合资源库与共享数据库通过安全隔离区的数据交换系统保持数据的同步一致；公安对外共享数据缓存库仅用于公安对外共享原始数据的临时存放。平台保留了部门单位提供的原始数据，以便及时有效地追踪数据源头。数据标准管理数据处理首先要解决的就是数据标准问题。系统建设时，