公安信息網視頻監(jiān)控安全接入解決方案參考模板

1、公安信息網視頻監(jiān)控安全接入解決方案2011年3月1 / 42目 錄一、概述4二、視頻監(jiān)控業(yè)務及安全防御難點分析52.1視頻監(jiān)控業(yè)務分析52.2公安網視頻監(jiān)控應用的安全防御難點分析6三、建設標準與目標73.1 建設標準73.2 建設目標8四、視頻安全接入解決方案94.1 總體架構設計94.1.1 接入對象124.1.2 接入鏈路134.1.3 邊界接入平臺視頻接入鏈路144.1.4 公安信息通訊網164.2 平臺安全防御體系設計164.2.1視頻接入認證服務174.2.2網絡隔離與訪問控制功能204.2.3 反彈木馬阻斷功能224.2.4 視頻數據實時病毒檢測與阻斷234.2.5 視頻用戶認證與

2、授權功能254.3 集中安全管理與日志審計264.4 高性能設計284.5 高可靠性設計29五、主要技術性能305.1 安全功能305.2 技術性能325.3 設備規(guī)格33一、概述公安信息網（公安網）目前是星型拓撲結構，由一、二、三級主干網和接入網組成。公安部至各省公安機關主干網為一級網絡，省級公安機關至所轄地市公安機關的網絡為二級網，地市級公安機關至所轄縣區(qū)公安機關的網絡為三級網絡，基層科、所、隊到分局或市局的網絡為接入網。公安網絡系統(tǒng)的主要功能是為各級公安業(yè)務部門提供語音、數據、圖像等交換和傳輸服務。公安數據業(yè)務包括人口、治安、交管、刑偵、預審、出入境管理等二十多種業(yè)務的信息傳輸與查詢；辦

3、公自動化、電子郵件等內部管理數據；公安內部信息網站瀏覽等業(yè)務，文字、圖表、動、靜態(tài)圖像等數據的傳輸和交換。在視頻監(jiān)控應用的接入過程中，公安信息通信網面臨很大風險。例如來自外網的各種攻擊、入侵、植入木馬、探頭（信息搜索代理Agent）和病毒等威脅；各類設備上的后門有可能受控啟用，造成信息失控、設備故障；內外勾結造成的內部重要信息通過視頻應用通道泄漏；由于誤操作、非授權訪問等造成的信息丟失、失控等問題。由于社會治安視頻監(jiān)控網絡采用的網絡傳輸環(huán)境復雜，前端系統(tǒng)（視頻監(jiān)控點）覆蓋面廣且管理部門不統(tǒng)一，因此，公安部制定了公安信息通信網邊界接入平臺安全規(guī)范，嚴格制定了公安網與外網間信息交換的標準、架構、安

4、全等技術要求，各級公安機關都必須按照規(guī)范要求建設外網接入公安網的安全體系架構，治安視頻監(jiān)控網絡也必須通過規(guī)范的安全隔離接入平臺接入公安內網，本方案專門針對視頻監(jiān)控中的安全風險設計滿足管理、安全、性能需求的解決方案。二、視頻監(jiān)控業(yè)務及安全防御難點分析2.1視頻監(jiān)控業(yè)務分析社會治安視頻監(jiān)控系統(tǒng)是防范、打擊違法犯罪的重要技術手段之一，目前，廣東省公安系統(tǒng)已經基本建設完成了覆蓋全省的綜合視頻監(jiān)控系統(tǒng)，并且取得了良好的實際效果，有力地協助公安機關快速、準確打擊罪犯。社會治安視頻監(jiān)控系統(tǒng)不僅僅是由公安機關建設和管理的專用網絡，而是集中了全社會資源建設的視頻綜合數據傳輸網絡，該網絡包含三類視頻監(jiān)控點資源：一

5、類為主要干道、出入口、要害部位、人流密集地段和案件高發(fā)部位。二類為治安復雜地段、人員聚集點、娛樂場所、商業(yè)街區(qū)、大中型居民住宅區(qū)、重要企事業(yè)單位以及金融珠寶網點等。三類為一般的治安復雜點、街巷死角和部分社會單位如學校、幼兒園、醫(yī)院及新建商場、辦公大樓外圍。2.2公安網視頻監(jiān)控應用的安全防御難點分析公安網視頻監(jiān)控應用的主要安全防御難點表現在：（1）傳輸內容安全過濾困難。視頻應用區(qū)別于WEB、數據庫等其他應用的主要特點在于其傳輸的內容為二進制圖像數據流，因此，如何有效防止違法的病毒、木馬數據嵌入視頻應用中傳輸成為必須解決的問題。（2）防止內網泄露機密信息困難。由于視頻監(jiān)控的訪問具有雙向性，即部分公

6、安內網視頻監(jiān)控需要對外向其他政法等單位提供，公安內網也需要訪問大量一、二、三類視頻監(jiān)控資源，如何有效防止木馬程序利用視頻通道泄露公安內網機密數據也必須加以可靠解決。（3）應用協議控制困難。由于行業(yè)特殊原因，視頻監(jiān)控協議始終沒有制定標準，導致各視頻廠家協議差異較大，不兼容現象普遍，安全控制難度大。三、建設標準與目標3.1 建設標準本方案嚴格按照公安部相關視頻接入安全標準及體系架構設計，滿足各類公安網視頻安全接入環(huán)境的要求，主要依據標準包括：未定編號 公安信息通信網邊界接入平臺安全規(guī)范未定編號 公安信息通訊網邊界接入平臺安全規(guī)范（試行）視頻專網GA/T367-2001 視頻安全監(jiān)控系統(tǒng)技術要求GB

7、/T 20279-2006 網絡和終端設備隔離部件安全技術要求GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則GA/T669-2006 城市監(jiān)控報警聯網系統(tǒng)通用技術要求3.2 建設目標 依據公安部相關規(guī)定和公安信息通信網現有安全基礎設施、依據公安網邊界安全隔離接入平臺規(guī)范要求，建設具備安全性、可管理性、高性能、高可靠性的社會監(jiān)控視頻接入平臺，實現公安內網安全、視頻接入區(qū)域邊界安全、通訊內容安全、訪問權限安全等。包括：l 安全性：確保內外網在訪問視頻數據時防止攜帶病毒、木馬等程序進入公安內網，防止可能存在的木馬利用視頻接入通訊通道泄露公安機密信息； l 完整性：確保視頻數據在傳輸中不

8、被惡意篡改； l 可用性：確保視頻接入業(yè)務能夠滿足性能需求，安全正常運行；l 可審計性：能夠有效監(jiān)控和審計視頻接入業(yè)務的運行情況。當發(fā)生違規(guī)或異常情況時，能夠及時發(fā)現、報警并處理； l 可管理性：對于專用視頻接入隔離設備運行過程能夠管理和監(jiān)控，具有規(guī)范合理的接入業(yè)務流程，納入日常維護管理； l 可擴展性和高可靠性：視頻接入平臺應具有可擴展的，能夠根據視頻訪問業(yè)務的擴展不斷擴充接入流量，同時，具備硬件冗余容錯能力。l 可集成性：提供必要的日志和管理接口，能夠與公安部隔離接入平臺緊密集成，將監(jiān)控視頻接入納入到統(tǒng)一的公安信息通信網隔離接入平臺管理體系中。四、視頻安全接入解決方案4.1 總體架構設計視

9、頻接入公安網應用屬于公安信息通信網邊界接入平臺的一種特殊應用類型存在，偉思公司根據公安部相關技術要求設計了一套符合公安安全接入規(guī)范技術要求的系統(tǒng)。如下圖所示，視頻接入公安網主要由四部分構成：接入對象、外部接入鏈路、邊界接入平臺視頻鏈路接入區(qū)和公安信息通信網（公安內網）。4.1.1 接入對象 接入對象主要指各類視頻監(jiān)控系統(tǒng)，視頻監(jiān)控系統(tǒng)主要由前端設備、存儲設備、視頻管理平臺服務器、視頻轉發(fā)服務器等設備組成。目前，主要的視頻監(jiān)控系統(tǒng)按接入鏈路劃分主要可分為;（1）公安自建視頻監(jiān)控系統(tǒng) 這類視頻系統(tǒng)主要包括交警、消防和公安建立的各類直屬公安管轄的監(jiān)控點，這類監(jiān)控點主要包括了城區(qū)主要干道、治安卡口、社

10、區(qū)廣場等。這類視頻監(jiān)控系統(tǒng)一般采用專線方式組網并通過專線接入公安網。（2）各黨政機關視頻監(jiān)控系統(tǒng) 這類視頻監(jiān)控系統(tǒng)主要包括交通、環(huán)衛(wèi)等單位建立的監(jiān)控系統(tǒng)，這類系統(tǒng)一般可以通過政務專網接入公安網。（3）社會視頻監(jiān)控資源 這類視頻監(jiān)控系統(tǒng)主要由社會各單位自主建立，包括網吧、酒店、公司等單位，這些視頻監(jiān)控系統(tǒng)一般由電信運營商在公網上建立視頻虛擬專網，通過專線方式可接入公安網。 這三類接入對象由于所采用組網方式的安全性不同，因此，必須通過相互物理隔離的接入鏈路接入公安邊界接入平臺視頻接入鏈路。4.1.2 接入鏈路 接入鏈路是指由視頻監(jiān)控系統(tǒng)接入公安邊界接入平臺的鏈路方式。根據公安部的相關要求，本方案設

11、計要求所有接入鏈路均為專線方式接入，由視頻監(jiān)控系統(tǒng)的核心交換機接入公安邊界接入平臺。如果視頻監(jiān)控系統(tǒng)的核心交換機與公安網邊界接入平臺處于同一機房內，可通過核心交換機直接連接公安邊界接入平臺的接入路由器或防火墻。如果視頻監(jiān)控系統(tǒng)的核心交換機與公安網邊界接入平臺物理距離較遠，則可租用電信專線將核心交換機與公安邊界接入平臺的接入路由器或防火墻相連。 根據4.1.1節(jié)說明，不同類型的視頻監(jiān)控系統(tǒng)應采用物理獨立的線路接入防火墻，如下圖所示：4.1.3 邊界接入平臺視頻接入鏈路該區(qū)域是視頻監(jiān)控系統(tǒng)接入公安網的核心區(qū)域。其主要結構與公安部頒發(fā)的公安信息通信網邊界接入平臺安全規(guī)范基本相同，包括路由接入區(qū)、邊界

12、保護區(qū)、應用服務區(qū)、安全隔離區(qū)與安全監(jiān)測與管理區(qū)五部分。作為邊界接入平臺的特殊應用類型，視頻接入也納入接入平臺的管理，作為其中的一條視頻專用的接入鏈路，因此，已經建立了邊界接入平臺的各級公安機關可以依托現有的邊界接入平臺及其設備（如邊界接入管理平臺、防火墻、IDS等），再根據視頻接入規(guī)范增添視頻專用隔離設備（視頻專用隔離網閘）、視頻接入認證服務器、視頻用戶認證服務器即可。對于沒有建立公安邊界安全接入平臺的公安機關，按照公安部的接入規(guī)范要求，則需要完整的建設包括邊界接入管理平臺、防火墻、IDS入侵檢測系統(tǒng)、視頻專用隔離設備、視頻接入認證服務器、視頻用戶認證服務器等在內的整套邊界接入平臺。由于視頻

13、占用帶寬資源非常大，一路D1質量的視頻監(jiān)控畫面通常達到1.2-2Mbps的帶寬，因此，公安網現有基于數據交換的邊界接入平臺中的設備性能往往無法滿足視頻接入要求，在這種情況下，可以考慮在各個下級單位建立視頻邊界接入平臺如下圖所示，或在本單位升級現有邊界接入平臺中的設備。邊界接入平臺視頻接入鏈路具有針對視頻應用的專用安全功能，經過設備身份認證后的視頻接入設備，通過專線方式接入到視頻接入鏈路，在視頻接入鏈路中，視頻控制信令和數據的會話終止于應用服務區(qū)，在應用服務區(qū)，視頻接入認證服務器對接入對象進行設備認證，并對視頻信令格式進行檢查及內容過濾，只允許合法的協議和數據通過，在安全隔離區(qū)，安全隔離設備將視

14、頻控制信令和數據進行分別處理和傳輸，其中視頻數據為單向傳輸，視頻控制信令為雙向傳輸，視頻用戶認證服務器對公安信息通訊網上使用視頻資源的用戶進行統(tǒng)一注冊，身份認證及權限管理，僅允許認證通過的用戶訪問已授權的視頻資源。4.1.4 公安信息通訊網 公安信息通信網邊界接入平臺與公安信息通訊網核心交換機相連，實現公安信息通信網內各視頻終端對視頻監(jiān)控系統(tǒng)（視頻專網）的實時訪問。4.2 平臺安全防御體系設計 偉思視頻專用安全隔離與信息交換系統(tǒng)由三大安全功能單元構成：視頻接入認證服務器安全功能單元、網絡隔離與視頻安全控制單元和視頻用戶認證服務器安全功能單元。4.2.1視頻接入認證服務 偉思視頻專用安全隔離與信

15、息交換系統(tǒng)的視頻接入認證服務器安全功能單元具有強大的視頻接入認證功能，能夠對視頻專網內向公安信息通信網提供視頻信息服務的硬件設備進行身份確認禁止未經過認證的設備接入公安信息通訊網。 視頻接入認證服務器安全功能單元采用設備指紋+IP&MAC綁定的多因素強認證機制對視頻硬件設備進行認證，設備通訊協議指紋認證方式是利用視頻設備的二次開發(fā)接口對視頻設備進行掃描，通過設備的反饋信息的指紋特征來驗證視頻設備是否為已注冊的合法設備，指紋取樣包括：設備序列號、設備反饋信息的關鍵特征HASH值以及設備IP、MAC地址等信息形成該設備獨有的指紋，就像每個人不同的指紋一樣，沒有在接入認證服務單元上注冊的設備

16、將被阻止接入公安網?？梢宰?認證的視頻設備包括：l DVRl 視頻管理服務器l 視頻轉發(fā)服務器l 視頻編解碼服務器l 流媒體服務器l 視頻模擬/數字矩陣l 存儲設備 視頻接入認證安全功能單元還具備視頻信令協議分析和內容過濾功能，能夠針對不同的視頻廠商的視頻監(jiān)控協議，分別進行協議分析和內容過濾。 偉思視頻接入認證安全功能單元能夠分析視頻信令的格式和內容。與傳統(tǒng)內容過濾功能不同，由于很多視頻監(jiān)控系統(tǒng)廠商采用二進制方式設計信令及內容，因此，傳統(tǒng)的基于ASCII或GB2312等中文編碼的內容關鍵字過濾算法無法實現對這些視頻監(jiān)控系統(tǒng)信令的協議和內容檢查。偉思視頻接入認證安全功能單元采用基于模式匹配的內

17、容過濾算法，能夠實現對SIP、H.323、自定義協議等任何視頻通訊協議格式的信令分析和內容過濾，并能夠阻斷非法或本設備未注冊視頻協議的傳輸。 偉思視頻接入認證安全功能單元除了能夠實現信令請求的協議檢查和內容過濾功能以外，還具備對請求返回結果的內容過濾功能。 偉思視頻接入認證安全功能單元還在國內獨創(chuàng)性地提供了訪問行為檢查功能。該功能結合信令協議和內容檢查，能夠更有效地防止非法信令在公安內外網間傳輸。受制于安全策略的制訂方式，單純的信令分析和內容檢查功能不可能建立完善、嚴密的視頻信令檢查機制，攻擊者可以在數據包內的特定位置隱藏二進制編碼信息進行惡意信息的內外網傳輸。采用訪問行為檢查功能能夠彌補這個

18、漏洞，訪問行為檢查功能將嚴格審查視頻終端的操作步驟，不允許非法流程或信令的傳輸，例如，用戶在未經登錄的情況下就調閱視頻歷史記錄，該步驟顯然是違反正常行為邏輯的，可能是黑客利用合法指令攜帶的參數傳輸非法信息，偉思視頻接入認證安全功能單元在這種情況下將立即阻斷該連接，如下圖所示：偉思視頻接入認證安全功能單元的信令分析與檢查功能包括：l 信令包長的完整性CRC校驗l 信令報文頭檢查l 信令格式檢查l 信令集內容檢查l 信令參數內容檢查l 信令返回信息校驗l 信令行為邏輯檢查功能 偉思視頻接入認證安全功能單元能夠終止視頻設備對公安網的訪問。偉思視頻接入認證安全功能單元目前能夠針對華為、海康、全球眼、先

19、進視訊、上海貝爾、烽火、大華等十多個廠商的視頻監(jiān)控系統(tǒng)提供視頻控制信令分析和內容過濾功能，也提供對DB33T639跨區(qū)域視頻監(jiān)控聯網共享技術規(guī)范或遵循SIP、H.323協議規(guī)范的視頻監(jiān)控系統(tǒng)的支持。4.2.2網絡隔離與訪問控制功能偉思視頻專用安全隔離與信息交換系統(tǒng)采用基于ASIC設計的硬件電子開關芯片，實現了公安網與視頻監(jiān)控專網的物理斷開，并能夠對視頻數據和信令進行分離，分別獨立處理和傳輸。偉思視頻專用安全隔離與信息交換系統(tǒng)采用動態(tài)端口控制功能，能夠利用ip_conntrack對所有連接通道進行動態(tài)的開放和關閉，在默認狀態(tài)下，視頻控制信令傳輸通道始終開放，但視頻數據傳輸通道關閉，只有在視頻終端

20、調用相關視頻時，才動態(tài)開放對應的視頻通道，并在視頻畫面關閉后自動關閉視頻傳輸通道。如下圖所示：偉思視頻專用安全隔離與信息交換系統(tǒng)具備強大的ACL控制功能，管理員能夠設置針對源、目的IP、PORT端口、視頻協議類型、時間在內的訪問控制策略。4.2.3 反彈木馬阻斷功能視頻監(jiān)控應用中一個重要安全難題是：由于視頻數據流通道上是難以識別的二進制視頻圖像數據流，且某些視頻協議需要開放大范圍端口，因此，在視頻數據流通道上檢測木馬是國際難題。本方案提出的解決思路是通過應用隔離技術將木馬與視頻應用程序進行隔離，確保只有視頻客戶端能夠通過隔離區(qū)中的隔離網閘訪問視頻設備。這樣有效地解決了木馬利用視頻通道泄密或控制

21、內網的途徑。如下圖所示：視頻監(jiān)控的訪問方向都是由客戶端向視頻設備發(fā)出命令，視頻設備反饋信息或視頻流，即都是單向由客戶端發(fā)起的訪問，隔離網閘通過應用隔離技術控制客戶端的哪些程序能夠與視頻設備交互數據，就能夠有效防止木馬利用視頻流通訊通道控制主機或泄漏機密信息。4.2.4 視頻數據實時病毒檢測與阻斷應用隔離技術解決了木馬等非法客戶端惡意程序攻擊的問題，但對于病毒而言，卻可以在數據層利用視頻數據中夾雜惡意數據導致合法的視頻客戶端程序溢出并利用其傳播病毒。當正常的使用者操作程序的時候，所進行的操作一般不會超出程序的運行范圍；而黑客卻利用緩沖長度界限向程序中輸入超出其常規(guī)長度的內容，造成緩沖區(qū)的溢出從而

22、破壞程序的堆棧，使程序運行出現特殊的問題轉而執(zhí)行其它黑客希望執(zhí)行的指令，以達到攻擊的目的。 發(fā)生溢出攻擊的主要原因是視頻客戶端執(zhí)行了超長的命令參數或者是客戶端對外提供了不必要的服務功能造成的，由于視頻客戶端僅僅是視頻的播放和控制終端，它只是請求的發(fā)起方并非服務方，其自身并不需要對外提供任何服務。因此，本方案中嚴格要求視頻客戶端對外不提供任何服務功能，視頻瀏覽功能盡可能簡化、對所有輸入參數和返回值嚴格控制在32位以內。通過上述處理，能夠有效控制數據級病毒通過視頻客戶端進行傳播。4.2.5 視頻用戶認證與授權功能偉思視頻接入認證安全功能單元具備基于公安PKI/PMI數字證書用戶認證與授權的功能。采

23、用單點登錄方式，所有公安內網用戶只需要數字證書KEY，就可以進行視頻監(jiān)控系統(tǒng)的訪問，管理者可以針對每個用戶設置其不同視頻資源訪問權限，實現對用戶視頻訪問的認證與授權。在管理平臺中，能夠嚴格設置認證與授權策略，防止視頻終端用戶越權訪問視頻設備，修改視頻設備參數，更改視頻管理數據庫。主要權限配置功能包括：l 對能夠訪問視頻設備的客戶端IP進行策略控制l 對能夠訪問視頻設備的客戶端訪問時間進行策略控制l 對能夠訪問視頻設備的客戶端程序進行策略控制l 對客戶端能夠訪問的視頻管理服務器IP進行策略控制l 對客戶端能夠訪問的視頻管理服務器端口進行策略控制l 對所有訪問視頻設備的用戶進行身份認證l 按用戶/

24、用戶組對客戶端能夠進行的視頻監(jiān)控行為進行授權l(xiāng) 根據客戶端IP或用戶/用戶組設置能夠訪問攝像頭的范圍l 根據客戶端IP或用戶/用戶組設置是否能夠檢索歷史錄像l 根據客戶端IP或用戶/用戶組設置是否能夠控制云臺l 根據客戶端IP或用戶/用戶組設置是否能夠查看歷史錄像l 根據客戶端IP或用戶/用戶組設置是否能夠瀏覽GIS數字地圖l 根據客戶端IP或用戶/用戶組設置是否能夠修改視頻管理數據庫l 根據客戶端IP或用戶/用戶組設置是否能夠進行遠程對講l 根據客戶端IP或用戶/用戶組設置是否能夠操作報警I/O輸出l 根據客戶端IP或用戶/用戶組設置是否能夠配置視頻設備參數4.3 集中安全管理與日志審計偉思

25、視頻專用安全隔離與信息交換系統(tǒng)作為邊界接入平臺視頻接入鏈路的核心設備，能夠與公安部批準的5家平臺廠商的邊界接入管理平臺進行集成，滿足邊界接入平臺視頻鏈路的安全要求。偉思視頻專用安全隔離與信息交換系統(tǒng)提供標準的SNMPv1/v3設備管理接口和SYSLOG日志輸出接口，包括合眾、三所、國保金泰、天行等在內的管理平臺均遵循公安部對邊界接入管理平臺產品的要求提供SNMP和SYSLOG設備集中管理功能，因此，偉思視頻專用安全隔離與信息交換系統(tǒng)可以與各平臺廠商無縫集成，接受管理平臺的集中管理，無需二次開發(fā)。安全管理區(qū)的主要功能是通過集中監(jiān)控與審計系統(tǒng)對視頻安全接入隔離網閘的管理、運行情況和通訊日志進行安全

26、檢測與審計；進行安全設備的配置管理及日常運行維護，配置和管理安全策略、流量監(jiān)測、統(tǒng)計分析、安全審計，并以友好及人性化界面進行展示。管理與審計系統(tǒng)提供二次開發(fā)接口，能夠實現各類信息的級聯上報，集中報送到公安隔離接入平臺。功能主要包括以下兩個主要部分： l 設備監(jiān)控信息上報，能夠有效將視頻安全接入隔離網閘的運行狀態(tài)、接口流量、在線用戶情況、配置信息、報警信息等上報接入平臺； l 日志與統(tǒng)計信息上報，對通訊日志、管理日志等日志信息，流量排名、異常情況匯總等統(tǒng)計信息上報接入平臺； 管理與審計系統(tǒng)具有一套完善的安全管理結構，包括以下內容：l 管理方式：采用B/S架構，通過Web瀏覽器對網閘進行管理l 連

27、接安全性：管理機與設備間采用SSL等加密方式進行連接l 分級分權限管理：設備管理包括用戶管理員、安全策略員和日志審計管理員三種角色，用戶管理員能夠增加/刪除用戶、設備配置；安全策略員能夠配置訪問控制規(guī)則，但不能配置設備屬性、查看日志；僅允許日志審計管理員查看、管理日志。l 設備配置備份與恢復：具備配置保存與恢復功能。l 統(tǒng)計與分析：提供多種圖形化工具顯示設備工作狀態(tài)、連接數量、流量等各種運行信息。4.4 高性能設計 偉思視頻專用安全隔離與信息交換系統(tǒng)采用MIPS多核平臺+ASIC硬件芯片實現了對視頻訪問的高性能設計，單臺設備能夠滿足最大2000路D1質量畫質的視頻并發(fā)訪問，1080p高清攝像頭

28、的帶寬占用則達到了每路4-8Mbps的要求，偉思視頻專用安全隔離與信息交換系統(tǒng)高達5Gbps的吞吐性能有效保障了公安網今后對高清晰、大并發(fā)視頻監(jiān)控應用的性能需求。4.5 高可靠性設計 考慮到公安網邊界接入平臺對可靠性的要求，偉思視頻專用安全隔離與信息交換系統(tǒng)具備雙機熱備功能，采用獨立的HA熱備接口和業(yè)內領先的會話保障功能，能夠實現設備切換過程中的TCP、UDP會話保持，即設備故障切換中，視頻瀏覽不會中斷。五、主要技術性能5.1 安全功能偉思ViGap視頻監(jiān)控專用隔離網閘具備以下安全特性：Ø 采用標準的2+1安全隔離體系架構，提供日志、審計與管理二次開發(fā)接口，能夠與隔離平臺集成，符合公安網邊界安全接入規(guī)范視頻專用技術要求。Ø 通過建立基于ASIC芯片的8級視頻流DPI安全處理流水線，使隔離網閘完全突破性能瓶頸限制，提供最高達5Gbps的吞吐性能和小于0.5ms的延時，能夠滿足2500路高質量D1分辨率視頻并發(fā)訪問。Ø 具備接入設備認證功能，能夠根據視頻設備硬件指紋認證視頻接入設備的合法性，防止非法