白巅疯 https://mjbk.familydoctor.com.cn/article/bjbdfyy_97765.html项目背景
1.2.1集成指挥平台
集成指挥平台由部局开发,前身为缉查布控系统,年正式使用,系统部署在支队。目前使用的主要功能包括道路交通基础信息管理、交通监控视频联网、非现场交通违法管理、交通状态监测管理、机动车稽查布控、交警执法站管理、应急指挥调度、勤务管理及监督考核。
交警支队智慧新交管配套信息化建设项目集成指挥平台
道路交通基础信息管理
分类采集交警队、交警执法站、道路及隧道桥梁、道路交通安全设施、危险路段、道路交通技术监控设备、应急救援资源等基础信息及相关地理位置信息,实现信息的逐级汇总和可视化展示,为其他业务管理模块提供基础信息。其中,交警队包括:各级总队、支队、大队、中队以及下属的车管所等单位、交警执法站。道路包括:道路以及道路上的隧道、桥梁、枢纽互通、加油站、服务区、收费站、停车场、城市重要交通点段等。道路交通技术监控设备包括:卡口设备、交通监控视频、流量检测、气象监测、违法取证、诱导屏、广播、交通信号控制等。应急救援资源。包括:交通、消防、医疗、安检、修理厂等部门单位及其联系人员。
交通监控视频联网
整合本地交通监控等各类视频资源,接入公路交通部门道路监控视频,通过集成指挥平台实现本地监控视频的汇聚,并实现与大公安视频图像联网平台的联网运行。集成指挥平台联网接入的视频资源包括:交警自建的城市道路及公路监控视频、车管所大厅、交通违法、事故处理等场所以及驾驶人考试、车辆检测等场所的监控视频、其他警种建设的道路监控视频、交通运输部门及公路经营管理单位建设的道路视频监控等。
非现场交通违法管理
调整现有非现场交通违法信息传输交换机制,适应公路交通安全防控体系建设对交通违法干预的要求。交通违法取证设备通过统一的信息接口将采集的违法信息实时上传至集成指挥平台,再通过缉查布控功能,实现交通违法车辆的现场拦截处理。路面民警拦截车辆后,可直接开具现场处罚文书或在集成指挥平台中对违法信息进行人工审核确认,并交换至综合应用平台进行违法处理。
交通状态监测管理
采集本辖区道路施工及交通管制、突发道路交通事件、各类道路交通研判分析结果等信息,实现信息的逐级汇总、可视化展示、预警管理,实现影响区域的信息自动分发签收。突发道路交通事件信息包括:道路交通事故、恶劣天气、自然灾害、路面损毁、交通拥堵等。
机动车缉查布控
各类违法嫌疑车辆的布控、信息预警、拦截处置管理,车辆轨迹分析等。
交警执法站管理
各地根据《全国主干公路交通安全防控体系建设三年规划》要求,合理布设交警执法站,配置相关科技信息化设备。使用集成指挥平台软件开展相关信息采集录入工作。
应急指挥调度
按照公安部《高速公路交通应急管理程序规定》总体要求,基于交通监测信息,进行分级响应,启动应急预案并进行应急处置和协作指挥。
勤务管理及监督考核
集成指挥专网管控平台在视频专网完成对接智能交通综合管控平台、卡口系统、智能交通设施、智慧信号灯等系统,将数据资源汇集后,通过安全边界把汇集的数据提供给总队版公安交通集成指挥平台。
集成指挥平台管理的各类动态数据量较大,需要传输视频、图片等资源。集成指挥平台大数据模块软硬件已基本达到处理能力上限。目前集成指挥平台核心版配备有2台应用服务器,1台核心数据库服务器,14个大数据集群节点。依据目前建设完成的卡口数据进行统计,市日均过车约万左右(其中包含支队,分局,新六区),但目前集成指
挥平台核心版现已日均接收万的过车数据,已达到现有大数据集群分发的顶峰,暴露出性能不足的问题,导致平台无法汇聚更大的数据量,无法满足未来交通信息数据量的处理需求
交警在年完成DG平台建设,平台目前创建了缉查布控主题、车辆技战法、交通行为主题、交通流主题、违法主题、事故主题等业务方向共计30多个主要应用模型,其中包含套牌车辆分析、伴随车分析、车辆行驶轨迹预测、区域徘徊分析、卡口时空碰撞分析、失驾人员车辆分析、首次入城车辆分析、连续违法分析、卖分嫌疑分析、碰瓷嫌疑分析、车辆轨迹碰撞分析、车辆活动规律分析、昼伏夜出车辆分析、车辆落脚点分析、车辆停车规律分析、停车场异常车辆排名分析、现场执法结构分析等优秀模型,建立了一批实战化、个性化的数据挖掘和分析应用模型。
--------------------------------------------
系统建设有数据资源管控平台、安全监管和辅助决策应用平台、数据探索、统一用户管理中心、统一消息服务中心等应用。平台层有云文件中心、流式计算平台、离线计算平台、全文检索、运营监控中心等技术平台。
但目前DG平台的实时比对布控预警通过现有单机数据库做实时比对引擎,由业务系统定时触发获取比对结果,时效性交叉,并且服务器内存已经接近饱和。系统架构方面,目前数据探索采用单机模式,高并发支持一般,通用性也非常一般。
现有的数据探索系统数据库存量数据已达到2T左右,使用性能已经达到瓶颈,不能同步满足每天新增万的卡口数据接入以及将近6T的存量数据存储于分析需求,现有数据库在支持大规模集群与PB级别数据量上,运维成本和开发成本太大,性能也达不到要求,适应不了现有的数据业务;功能方面,DG平台目前缺少第三方系统监控和自身异常监控,无法实时感知第三方系统数据库的健康状态和数据传输情况,缺乏卡口数据处理能力,无法实现卡口数据的离线分析和相关的卡口数据模型搭建,影响了支队对卡口相关的业务开展
项目建设原则
系统建设以用户需求为核心,在系统设计的过程中考虑系统的易用性与实用性、先进性与科学性、安全性与规范性、易扩展与国产化、统一性与完整性、逻辑性与合理性等。项目建设必须遵循以下基本原则:
先进性
整体技术架构设计需要符合高可靠、可用性原则,达到“实用、快捷、安全、准确”的目标,同时保持架构的先进性,系统具备可扩展性。充分借鉴、利用国内外最新技术和成功经验,选择先进实用的技术与设备。
易用性
系统应具有友好的人机界面,易于操作和使用,响应和处理快捷,功能应完全满足数据和技术支撑服务的要求,并可实现完全或关键业务操作的自动化处理。
安全性
系统大部分的业务数据与交警内部业务紧密相关,有很多业务数据是敏感数据,系统既要方便用户使用,也要采取严格的安全措施和安全手段来保证系统的安全性,防止系统被攻击,数据被非法获取。
可靠性
可靠性直接影响系统的可用性,本系统项目建设充分考虑其可靠性,从设备和各系统选型,系统组建和运行模式的设置,做到一旦某个子系统或局部设备运行故障时,有备份应急措施,能保证整体系统的正常运行,并能将系统运行损失降至最低。
可扩展性
系统所采用的硬件平台、软件平台、网络协议等都符合开放系统的标准,并能够与其他系统实现互联。有适应外界环境变化的能力,即在外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。体现在:
系统架构的可扩展性:采用分层的设计思想和开放式体系结构,支持面向未来发展和变化的扩展;
系统功能的可扩展性:采用面向接口的松耦合的设计思想,支持未来系统功能非侵入式的不断扩展和调整;
外部接口的可扩展性:提供数据级、应用级、交易级、服务级等多种接口实现
方案,方便快捷的支持未来的接口变化及扩展;
--------------------------------------------
应用部署的可扩展性:系统支持未来的硬件资源扩展,能够很方便的将应用扩展部署到更多的硬件设备上。
容错性
根据设备的功能、重要性等分别采用冗余、容错、备份等技术,以保证局部的错误不影响整个系统的运行。
可维护性
系统的管理、维护和维修应具有简易性和可操作性。系统的各种关键参数可以通过程序或者可视化工具进行维护,从而大大降低维护成本。包括:
系统架构的可持续完善性:系统的整体架构设计应该是开放的、可扩展的,支持未来由于需求变化可能带来的功能扩展与调整;
系统功能的可持续完善性:采用面向接口的组件化设计思想,通过增加接口实现来支持非侵入式的功能扩展,避免由于后续需求的变更而带来的对原有系统结构的破坏;
系统问题的可修正性:对于软件投入使用后才暴露出来的问题,能够快速的发现和定位问题,并能够通过问题分析、问题修正、验证测试等一系列措施,高效的修正发现的问题。为了便于定位问题,系统需要提供业务级、事务级、数据级等多层次的日志记录,用于监控和定位系统运行过程中出现的问题;
系统的适应性:软件系统的设计应避免与硬件环境相关,能够支持未来硬件环境的扩展和调整。
规范性
符合有关国家要求,并充分考虑公安部已经制定或正在制定的统一标准。特别在请求服务以及联动接口在定义上符合交通相关规范,在协议上统一标准,在技术上采用开放互联标准。接口设计遵循松耦合原则,接口可配可管,基础服务可识别、可发布、可监控、可调度,确保中心系统及各子系统之间的协调配合。
软件开发
分布式微服务架构升级
DG平台从单体架构升级为微服务架构。
升级内容包括服务网关、注册服务中心、负载均衡服务、服务调用服务、服务熔断服务升级。实现底层技术架构升级和上层应用代码服务进行同步改造适配。新增微服务框架日志管理:实现将微服务架构业务应用的日志进行统一收集、汇总、存储和展示。
数据探索模型任务计算引擎升级为分布式模型任务计算引擎,将原有的计算引擎代码采用分布式模式重新编写,实现分布式计算任务的调度分发、拆分计算、结果合并和过
程监控等等,基于单体计算引擎的任务调度接口改造成基于分布式引起的调度体系,原有涉及到计算引擎底层应用都需要进行改造。
--------------------------------------------
数据库从单体数据库升级为分布式数据库,新增分布式数据库中间件搭建与应用、分布式数据库分库规则和分布式数据库读写分发规则,实现多个数据库之间的有效协调、分发,提升数据库的负载均衡能力。同时对分布式数据库进行配置优化和索引处理,提升数据库的操作性能。
数据探索系统集成统一用户权限管理平台,将原有与业务耦合在一起的权限管理模块进行抽离拆解,重新实现统一身份、统一认证管理与统一授权三个核心功能模块,实现人员身份管理、组织机构管理、授权管理、和单点登录功能。
新增分布式微服务监控,整个数据探索微服务平台支持统一的微服务监控、监控微服务的运行状态、服务性能指标、服务拓扑关系、服务调用链路、服务的运行日志信息等。
数据服务升级
数据抽取服务升级。从数据同步抽取机制升级为数据异步抽取机制,提高了数据的抽取效率。
外部系统数据抽取分布式数据库数据源适配。开发数据适配组建,打通与六合一、集成指挥平台、市局卡口、网上车管所、移动警务等系统的数据通道。
数据探索数据库迁移。数据探索系统数据库升级为分布式数据库,在不影响业务的情况下,将原有的数据库存量数据以及数据仓库中的存量卡口数据迁移至分布式数据库。
异常监控平台开发
DG平台建立异常监控平台,可具有完善的自身监视和管理功能,有良好的日志和查找功能,以满足日常维护工作的实际需要。
平台业务系统层日志采集:支持对DG平台各业务系统运行的各类日志信息进行统一采集,支持将日志信息写入数据中心存储,能满足界面展示,后续可以查询、统计。
平台中间件日志采集:支持对DG平台各中间件运行的各类日志信息进行统一采集,支持将日志信息写入数据中心存储,能满足界面展示,后续可以查询、统计。
基础设施层日志采集:支持对DG平台基础设施运行的各类日志信息进行统一采集,支持将日志信息写入数据中心存储,能满足界面展示,后续可以查询、统计。
--------------------------------------------
日志信息查看、统计、报表:可实现DG平台各业务系统、中间件、基础设施的各类日志的统一查看、统计分析,并根据业务需求形成各类统计报表,提供多种格式报表下载,包括异常数据月度/年度统计、异常数据月度/年度环比统计、异常数据故障类型统计、异常数据图形化展示。
日志监控视图:可形成DG平台各业务系统、中间件、基础设施的各类日志的统一监控视图,日志记录应至少包括以下信息:操作人、操作时间、操作源IP、操作对象、操作内容、操作成功与否,具备违规行为可预警、行为记录可检索的功能。
卡口业务能力开发
开发卡口业务能力,支持新增卡口相关的数据源、数据模型或者专题,如卡口的数据源管理、卡口的流量模型管理、卡口的违法数据模型管理、卡口的日统计、周统计、月统计模型等等。同时也实现了卡口数据抽取采集、抽取异常监测、离线分析和可视化分析报表等等,可达到百亿数据秒级响应,用于辅助路面民警的缉查工作、卡口数据的二次违法识别等工作。支持以下能力:
卡口相关表基础信息管理能力
支持卡口数据接入、联调,支持定时和手动同步,增加卡口相关数据表的基础信息管理,包括数据表的添加、编辑、重命名、删除、查看等操作。
卡口相关业务模型建模能力
通过对卡口数据的接入和分析,根据交警支队的相关业务规则,建立卡口业务模型,完善卡口建模能力,包括以下业务模型:早晚高峰卡口流量统计、早晚高峰卡口流量同比/环比统计、早晚高峰过车数统计、早晚高峰过车数同比/环比统计、每日/周车流量统计、各卡口流量统计分析、各卡口流量同比/环比分析和车辆经过卡口轨迹模型等。
新增卡口离线分析能力
通过对卡口数据的离线报表、数据分析、延时任务等,为卡口业务进行定时周期性执行分析任务,支持日级、月级、年级的统计分析任务;支持维表编辑和转存、简单图表和结果分享,满足交警支队对海量卡口数据的日常分析需求,如开四停四违法计算、套牌车辆分析、假牌车辆分析和失格、五类车辆流水计算等。
新增卡口数据可视化能力
--------------------------------------------
通过添加来自卡口数据的维度、指标字段,使用各种表格和图表类型来展示卡口数据业务多维分析的结果,支持表格、图表、时间控件、文本控件、树控件等多样化的类型,支持数据分析结果多格式到处等功能。
其他要求
本次DG平台数据探索通过对底层架构的升级和数据库的分布式架构升级后,要求至少支持TB级别的数据量,并且要求非统计类的模型系统感知响应时间不超过7秒,统计类的模型系统感知响应时间不超过60秒。
大数据集群节点(软件)
采购25个集成指挥平台大数据集群节点,满足市日均过车约万左右(其中包含支队,分局,新六区)数据量处理需求。大数据集成节点部署服务器要求满足以下配置,部署服务器由警务云提供,本期项目仅包含大数据集群节点的软件采购费用,硬件费用不包含在本期项目范围内。
本期项目大数据集群节点部署服务器配置如下:
CPU:2路*8核2.4GHz内存:G
硬盘:2块G10KSAS+6块4TSATA
网卡:1GE(千兆)*2,10GE(万兆)*2
RAID卡:支持多个RAID组,支持jbod模式
分布式数据库(软件)
分布式数据库要求如下:
融合通信网关
采购公安网融合通信网关一体机(硬件)与指挥调度平台(软件),包括融合通信功能和指挥调度平台功能。
融合通信一体机(硬件)
融合通信一体机包括功能如下:
1、多层级音视频调度:依托集成指挥平台按照部省市三级部署融合通信服务,各级融合通信服务在公安网内实现上下级调度,实现音视频全国联网,同时通过与部局监测研判系统的对接实现为部局研判室、各级指挥中心提供音视频会商、调度提供技术支撑。
2、音视频资源统一管理:支持对具备改造条件的路面监控视频,警务通、M集群对讲系统、执法记录仪等个人配发执勤执法装备以及室内软视频会议系统等终端统一接入,实现终端音视频的统一管理。并可通过平台实现对各类终端选择、切换、静音开启、呼叫插入等功能。
3、可视化指挥调度:实现基础视频调度。支持分级部署,实现跨单位多层级音视频实时通话,构建大范围统一指挥调度体系。支持调阅指定终端用户的音视频回传,双方建立通讯临时频道,支持呼叫过程中加入终端成员。
4、可视化处警:实现路面民警通过警务通、车载平板调度周边路面监控视频、车载视频,支持民警音视频通话,提高处警效率。
5、可视化协助:实现路面民警通过警务通向指挥中心申请协助,协助可以音视频方式发起,构建路指协同体系。
--------------------------------------------
6、语音接入:集成PSTN电话网,实现移动手机与固定电话的语音接入。一个用户同时支持一路电话通讯和多路对讲机对话。可用户数与语音卡支持接入数量相关。电话通讯过程中同时支持其他终端的音视频对话。
7、终端对接:支持警务通系统、执法记录仪、车载摄像视频的平台之间对接。提供接入跨网络解决方案,警务通提供集成指挥平台移动警务系统或音视频调度SDK。
8、录音录播:支持通讯过程中的音视频录音录播功能,并提供历史录音、录像查询播放。
指挥调度平台(软件)
1、接处警调度:支持接处警信息通过系统对接接入,实现警情展示和处置功能,警情以派警单形式发送到警务通,同时实现接处警处置过程中实时调阅GIS地图的民警位置功能,并可进行音视频通话,将相应路面监控视频推送给民警。通讯过程中的音视频予以保存便以警情倒查时调阅。
2、警情监控:实时接收民警、前端采集设备上传的警情,在GIS地图上实时展示并可进行相应处置,对于严重警情可启动相应预案进行处理,通过音视频功能查看路面周边状态,并将相应信息推送给路面执勤民警。对于需要协查的警情可上报至总队及兄弟单位,并将相应音视频推送给协查单位。
3、警务音视频会议:支持不同型号、跨部门的音视频终端语音和视频组会,支持语音和视频通多路并发。
4、勤务考核:结合勤务排班信息和GIS地图的勤务区域,勤务考核部门可通过音视频终端视频信息确认相应民警勤务执勤情况。勤务考核信息在系统记录并支持考核统计。
5、缉查布控嫌疑车辆实时追踪:结合GIS地图资源信息和缉查布控预警信息,指挥中心可根据嫌疑车辆实时轨迹判断周边可进行拦截的民警,通过GIS地图框选、全选一定范围内民警,进行音视频指令发布,指令内容均以音视频形式保存。
6、专项行动勤务监管:结合GIS地图信息、民警GPS位置信息,汇聚统一专项行动的执勤民警信息,上级领导可通过民警携带警用装备以音视频方式进行指令下达和到岗确认,便于对专项行动的统一监管。
信息系统安全要求
--------------------------------------------
应用安全要求
1、应用系统安全访问控制
身份认证
用户在前台界面必须键入其用户名以及口令来证明其是否是合法的用户,只有合法的用户才能登录到应用系统。
多级权限控制
系统有很多的功能模块组成,即使对合法用户,也不能操作所有的模块,而是根据用户的工作部门、工作性质授予相应的功能模块;
对同样的数据可以设置不同的操作权限:查询权限、录入权限、审核权限、审批权
限;
系统除了支持上述的岗位制管理外,还支持专管员管理,系统对于专管员可以赋予他
只能操作某一区、某一些单位或某一类人员的数据,及满足数据集的权限管理,这样可以满足不同的管理模式和管理规范的权限管理的要求。
应用逐级授权机制
本系统权限设计支持逐级授权,上级可以向下一级授予上级拥有的权限,并且下一级不能看见上一级的数据,而上一级可以看见下一级的数据,这样的逐级授权机制满足业务经办要求。
应用系统日志
日志管理跟踪记录用户登录系统的信息,操作的业务模块以及操作的重要库表的信息,包括用户名称、操作的模块,对重要库表的操作类型(增、删、改)、字段操作前和操作后的数值等。通过日志管理,在发生误操作时可以方便的进行回退处理,而且也可以跟踪一些业务操作员的违规操作。
2、应用软件权限设计
应用软件权限管理包括模块级权限、数据级权限和操作级权限。
模块级权限
模块级权限可以通过角色实现上级权限控制,下级权限需要从上级权限获取权限。当调整上级权限时,自动实现对下级权限的调整,换句话就是说当从上次权限中取消一个权限时,下级权限中也同样被取消相同的权限。
数据级权限
数据级权限通过对域的控制来实现。“域”实际上是数据域的概念。通过对数据域的定义将数据按照域的不同划分成不同的范围,当某操作员被分配属于该域时,该操作人员就获得了该数据域的数据操作权限,该操作员不能对其他数据域中的数据进行操作。
--------------------------------------------
操作级权限
操作级权限通过对模块中操作按钮进行按照功能ID进行定义来控制,系统功能ID按照权限可以分为插入、更新、删除、查询四个级别。在B/S/S架构中,业务操作员对应功能ID的获得通过权限管理中对应模块级功能ID的控制来进行。当操作员登录系统时,获得对应功能ID列表,并保存在本地Cache中。当操作员对相应模块进行操作时,系统检查对应功能ID级别以判断对此模块的操作权限。通过操作级权限的控制,系统中所有数据都可以通过权限进行控制,实现所有数据都可以查询、修改、删除,减少后台人员在数据库中手工修改数据。
3、引入CA安全认证机制
为保证整体系统的安全,在安全方案设计中引入CA安全认证机制,对于机构用户和单位用户采用证书安全认证,保证关键用户的访问安全。通过CA身份认证网关设备对远程访问用户实行强身份认证,通过USBKEY识别每一个访问用户的身份,避免由于口令丢失而被非法进入业务系统。
4、应用安全审计
生成操作日志
生成操作日志包括以下几方面内容:
创建、删除用户
为了防止通过临时创建的用户做一些违规的操作,在操作日志中记录用户创建和删除的详细信息。
密码修改
防止人为的破坏系统中的用户导致用户不能正常登录,在日志中保存密码修改的详细信息。
密码连续校验失败
密码连续校验失败可能意味着有非法用户尝试登录系统,在日志中保存密码校验失败的详细信息。
登录退出
为了事后追查安全问题的原因,登录退出在日志中保存了详细的信息。
授权变更
在线用户监控可以显示所有在线用户当前正在执行的业务操作的详细信息。
恶意代码防范
在支队内部网络中可部署立体防病毒体系,实现了对服务器、客户端的实时病毒防
御。使得平台的服务器和管理工作站具备病毒防御能力。
数据安全要求
数据是系统的核心,其上存放和运行着重要的数据,数据安全性尤其重要。及相关接口开发项目应用关键性数据,必须保证数据的安全和隐私,因此必须考虑以下安全措施:数据库应设置预定的备份策略进行本地备份,有条件可做异地备份,在必要时,还应
考虑对关键服务器采用集群技术,如:双机热备份或集群并行访问技术,甚至采用可能的完全容错机。;
严格按照用户级别来授权用户对数据和资料的访问;
关键数据的修改记录应记录详细的操作日志,以备追查;
数据的传输与关键敏感的数据的存放需进行一定的加密处理。
制订数据库系统备份和恢复方案时,必须将重点放在防范用户失误和介质实效而造成的数据损失。本项目应采用专业的备份软件为整个网络中的服务器和工作站提供高速、可靠的备份和恢复能力。
1、数据库安全
数据库安全和日志服务是两个相互关联的过程。数据库中数据的保护一方面通过应用程序的完整全面来避免系统维护人员和业务科室人员不直接操作数据库中的表,另一方面
就是现在基于B/S系统架构下,把数据库的直接操作封闭在应用层,来加强保护,还有一个是就通过日志来保护,通过日志一方面保证操作的可追踪性,最后保证操作的可逆性。
