鐵路視頻監(jiān)控體系化建設探討

李寶軍，李慶懷，陳曦宇，王二力

(1.中國鐵路哈爾濱局集團有限公司電務部，哈爾濱 150006；2.中國鐵路設計集團有限公司，天津 300450)

目前，中國鐵路哈爾濱局集團有限公司（以下簡稱哈爾濱局）視頻監(jiān)控系統(tǒng)已將不同時期、不同工程建設的視頻監(jiān)控平臺整合成一個視頻云平臺，并將視頻監(jiān)控網、綜合計算機網和自建局域網所接入的攝像機全部割接到數(shù)據(jù)通信網上，并劃分為云平臺、云存儲、視頻終端和攝像機4個域，實現(xiàn)了視頻資源、網絡資源和網絡安全的統(tǒng)一管理。

按照“誰使用、誰管理、誰維護”的原則，哈爾濱局管控中心負責視頻監(jiān)控系統(tǒng)運用質量考核和視頻終端賬號管理，電務部門負責視頻監(jiān)控網絡管理，各站段負責攝像機、視頻終端和網絡安全維護管理，科研所負責視頻監(jiān)控系統(tǒng)故障處理。由于視頻監(jiān)控設備和網絡安全設備維護管理涉及多部門多層次，出現(xiàn)問題無從下手，難以定位。為解決上述問題，經過多年研究和實踐，視頻監(jiān)控系統(tǒng)的發(fā)展要結合運用、維護和管理需要，將與視頻監(jiān)控系統(tǒng)相關的各專業(yè)、各系統(tǒng)進行統(tǒng)一規(guī)劃和部署，構建多維立體的視頻監(jiān)控運維管理體系。

1 視頻平臺建設

1）視頻云存儲建設。2018年哈爾濱局新建1處局級綜合視頻管理云平臺和5處段級綜合視頻管理云平臺，每個段級平臺對應一個云存儲。云架構初級階段的“多云”模式，其數(shù)據(jù)流傳輸方式如圖1所示。

圖1 “多云”模式下數(shù)據(jù)流傳輸方式Fig.1 Data flow transmission mode in“multi-cloud”mode

采用“多云”模式的不足：一是每個節(jié)點的平臺只能管理本區(qū)域前端設備，段級平臺相對獨立，資源共享困難；二是終端用戶訪問前端設備視頻流時需要多級轉發(fā)，降低了訪問效率；三是多平臺共存模式下，系統(tǒng)對前端資源無法做到統(tǒng)一運維。

2）視頻云平臺的建設。2020年哈爾濱局將“多云”模式進行整合，升級為云架構（云平臺+云存儲），實現(xiàn)“一朵云”模式，即視頻云平臺負責多域統(tǒng)一云管，各個節(jié)點域負責資源的接入、計算、存儲和分析，中心云管可以統(tǒng)一對全部資源進行訪問控制，所有業(yè)務的對外輸出由中心云負責，做到統(tǒng)一業(yè)務管理和資源管理。云平臺結構如圖2所示，數(shù)據(jù)流傳輸方式如圖3所示。

圖2 哈爾濱局視頻云平臺結構Fig.2 Video cloud platform structure of Harbin Bureau

圖3 “一朵云”模式下數(shù)據(jù)流傳輸方式Fig.3 Data flow transmission mode in“one cloud”mode

3）視頻監(jiān)控體系建設。哈爾濱局視頻監(jiān)控系統(tǒng)考核、維護管理和故障處理由多部門多層次交叉管理，需要各系統(tǒng)深度融合，實現(xiàn)統(tǒng)一管理，以厘清責任、定位障礙、避免互相扯皮。

a.智能化運維體系架構。為實現(xiàn)各系統(tǒng)間資源共享和聯(lián)動，新建了通信資源調度中心，通過資源調度中心分別與數(shù)據(jù)網網管、視頻云平臺、終端安全管理系統(tǒng)、網絡接入控制系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、安全檢測平臺、運維審計系統(tǒng)、日志審計系統(tǒng)、Web視頻改密系統(tǒng)、態(tài)勢感知平臺等進行對接，各系統(tǒng)通過資源調度中心實現(xiàn)信息資源的調閱、刪除、修改和聯(lián)動。視頻監(jiān)控體系組網如圖4所示。

圖4 視頻監(jiān)控體系結構Fig.4 Video monitoring architecture

b. 各系統(tǒng)之間交互方式。通信資源調度中心相對各系統(tǒng)來說就是“客戶端”，提供數(shù)據(jù)服務的各系統(tǒng)平臺為“服務端”，“客戶端”無法要求不同的“服務端”提供統(tǒng)一的接口方式，只能根據(jù)“服務端”提供的接口來開發(fā)“客戶端”采集服務，因此，通信資源調度中心與各系統(tǒng)平臺選用了web交互方式。如：通信資源調度中心與數(shù)據(jù)網網管U2000，通過WebService方式來獲取網管系統(tǒng)中的網元信息；與安全檢測平臺通過Restful API方式來獲取相關信息；與視頻云平臺通過Restful API方式來新增、變更、刪除相關資源。

2 視頻監(jiān)控網絡建設

數(shù)據(jù)通信網組網情況：一是哈爾濱局實現(xiàn)了以哈爾濱為中心，覆蓋全局的數(shù)據(jù)通信網絡，設有NE9000骨干路由器2臺，NE40E全業(yè)務路由器71臺，實現(xiàn)骨干路由器鏈路帶寬100 Gbit/s，其他支線路由器鏈路帶寬10 Gbit/s的承載能力；二是中間站設有S5700 673臺，S3700 889臺，形成一個綜合業(yè)務網（千兆交換機環(huán)網）和一個視頻業(yè)務網（萬兆交換機環(huán)網）；三是全局3等及以上車站設有OLT 222臺，ONU 2855臺，通過10 G上聯(lián)至就近車站接入路由器，實現(xiàn)本地全光接入；四是哈爾濱局綜合視頻監(jiān)控系統(tǒng)全部承載在數(shù)據(jù)通信網上。哈佳鐵路數(shù)據(jù)通信網如圖5所示。

圖5 數(shù)據(jù)通信網結構Fig.5 Data communication network structure

數(shù)據(jù)通信網承載能力：哈爾濱局管內車間、班組和公安所隊接入帶寬為1 00 Mbit/s，站段接入帶寬為1 000 Mbit/s，較大車站接入帶寬為10 Gbit/s，樞紐地區(qū)接入帶寬為100 Gbit/s。

視頻監(jiān)控IP地址規(guī)劃原則：哈爾濱局按照1中心4域（平臺域、存儲域、終端域和采集域，其中存儲域有6個）規(guī)劃建設視頻監(jiān)控網。

網絡資源的統(tǒng)一管理：視頻監(jiān)控網所有網絡設備全部納入數(shù)據(jù)網網管管理和公用。每臺視頻監(jiān)控設備在路由器上都能查到MAC地址和在線/離線時間，通過資源調度中心就能實時監(jiān)測設備的運用狀態(tài)和下發(fā)指令控制IP地址的禁用和啟用。

3 視頻監(jiān)控網絡安全建設

將需要信息共享和聯(lián)動的網絡安全設備與通信資源調度中心對接，實現(xiàn)網絡、安全和監(jiān)控三者之間的信息相互傳遞和聯(lián)動。

1）視頻監(jiān)控網絡安全架構。由于1個視頻云平臺和6個存儲域，因此，網絡安全設備相對集中，管理難度較小、建設成本低。如：防止PC機利用攝像機地址訪問視頻云平臺，在防火墻只簡單配置102.0.0.0禁止訪問10.0.0.0即可。視頻監(jiān)控網絡安全架構如圖6所示。

圖6 視頻監(jiān)控網絡安全結構Fig.6 Security structure of video monitoring network

2）各系統(tǒng)平臺聯(lián)動。由于各系統(tǒng)平臺與通信資源調度中心對接，因此，各系統(tǒng)平臺可實現(xiàn)信息相互傳遞和聯(lián)動。如：入侵檢測系統(tǒng)（IPS），在網絡中發(fā)生視頻終端有入侵行為，IPS將入侵日志發(fā)送給通信資源調度中心，通信資源調度中心將停用命令發(fā)給路由器，停用該IP地址。同時IPS將入侵行為日志發(fā)送給終端準入系統(tǒng)，終端準入系統(tǒng)將通知和告警反饋給視頻終端，并禁止該終端訪問視頻平臺，直到檢測不到入侵行為為止。實現(xiàn)入侵行為的高效、精準管控。

3）信息資源共享。各系統(tǒng)平臺與通信資源調度中心對接，實現(xiàn)信息資源共享和聯(lián)動。如：視頻云平臺將合法終端賬號推送給通信資源調度中心，通信資源調度中心將賬號推送終端準入系統(tǒng)，由終端準入系統(tǒng)攔截非法視頻終端訪問視頻云平臺，終端準入系統(tǒng)將終端認證、安全檢查、漏洞、補丁、違規(guī)外聯(lián)和U盤管理等信息推送給通信資源調度中心。

4 智能化運維

通過通信資源調度中心將各系統(tǒng)平臺的資源進行整合共享，按照各自需求進行資源的自動分析和判斷，減少人為參與，提高智能化運維水平。具體實例如下。

1）自動診斷由于配置錯誤造成的攝像機離線。通信資源調度中心將視頻VPN能查到MAC的IP地址推送至安全檢測平臺，安全檢測平臺按照推送的IP地址自動檢測設備操作系統(tǒng)、資產類型、廠商、設備型號和軟件版本，將檢測結果與視頻云平臺攝像機的參數(shù)對比。如果不對，自動判斷故障原因為配置錯誤。

2）自動診斷攝像機在線但未接入云平臺。通信資源調度中心將視頻VPN能查到MAC的IP地址推送安全檢測平臺，安全檢測平臺按照推送的IP地址自動檢測設備操作系統(tǒng)、資產類型、廠商、設備型號和軟件版本。如果是攝像機，再將檢測結果與視頻云平臺進行對比。如果平臺沒有該IP地址，自動判斷故障原因是攝像機未接入云平臺。

3）攝像機離線的自動派單。通信資源調度中心自動派單→局科研所（在業(yè)務地址管理模塊“近端”能ping通攝像機），局科研所（填寫故障原因為通信網絡故障）→通信車間（填寫故障原因及預計完成時間）→攝像機“在線”→自動結單；通信資源調度中心自動派單→局科研所（在業(yè)務地址管理模塊“終點網絡設備在線”）→科研所（填寫故障原因及預計完成時間）→攝像機“在線”→自動結單。

4）攝像機定期修改密碼。首先在web視頻改密系統(tǒng)，利用selenium錄制和整理python改密腳本，按照廠家、型號人工制定改密方案和改密計劃；通信資源調度中心定期將要改密的攝像機IP地址和計劃推送給web視頻改密系統(tǒng)，視頻改密系統(tǒng)按照推送計劃隨機生產密碼后執(zhí)行對攝像機的密碼操作，同時將修改的密碼推送到通信資源調度中心，資源調度中心將攝像機新密碼推送給視頻云平臺和堡壘機，并執(zhí)行改密。維護人員不知道攝像機密碼，只能通過堡壘機登錄攝像機。

5 總結

哈爾濱局綜合視頻監(jiān)控體系按照統(tǒng)一規(guī)劃和統(tǒng)一實施的原則，各系統(tǒng)建設齊頭并進，實現(xiàn)了網絡、安全和監(jiān)控的整合和集中，視頻監(jiān)控系統(tǒng)與數(shù)據(jù)通信網實現(xiàn)了融合，與部分網絡安全設備實現(xiàn)了平臺對接。未來視頻監(jiān)控體系建設的重點是將網絡管理、安全管理、資源管理和智能化運維進行深度融合，形成一個信息資源共享、互聯(lián)互控的智能化運維體系，并將深度融合后的各平臺部署到虛擬機，并按災備遷移部署，進一步提高運維效率、提升網絡安全防護能力。