铁路视频监控体系化建设探讨

李宝军，李庆怀，陈曦宇，王二力

(1.中国铁路哈尔滨局集团有限公司电务部，哈尔滨 150006；2.中国铁路设计集团有限公司，天津 300450)

目前，中国铁路哈尔滨局集团有限公司（以下简称哈尔滨局）视频监控系统已将不同时期、不同工程建设的视频监控平台整合成一个视频云平台，并将视频监控网、综合计算机网和自建局域网所接入的摄像机全部割接到数据通信网上，并划分为云平台、云存储、视频终端和摄像机4个域，实现了视频资源、网络资源和网络安全的统一管理。

按照“谁使用、谁管理、谁维护”的原则，哈尔滨局管控中心负责视频监控系统运用质量考核和视频终端账号管理，电务部门负责视频监控网络管理，各站段负责摄像机、视频终端和网络安全维护管理，科研所负责视频监控系统故障处理。由于视频监控设备和网络安全设备维护管理涉及多部门多层次，出现问题无从下手，难以定位。为解决上述问题，经过多年研究和实践，视频监控系统的发展要结合运用、维护和管理需要，将与视频监控系统相关的各专业、各系统进行统一规划和部署，构建多维立体的视频监控运维管理体系。

1 视频平台建设

1）视频云存储建设。2018年哈尔滨局新建1处局级综合视频管理云平台和5处段级综合视频管理云平台，每个段级平台对应一个云存储。云架构初级阶段的“多云”模式，其数据流传输方式如图1所示。

图1 “多云”模式下数据流传输方式Fig.1 Data flow transmission mode in“multi-cloud”mode

采用“多云”模式的不足：一是每个节点的平台只能管理本区域前端设备，段级平台相对独立，资源共享困难；二是终端用户访问前端设备视频流时需要多级转发，降低了访问效率；三是多平台共存模式下，系统对前端资源无法做到统一运维。

2）视频云平台的建设。2020年哈尔滨局将“多云”模式进行整合，升级为云架构（云平台+云存储），实现“一朵云”模式，即视频云平台负责多域统一云管，各个节点域负责资源的接入、计算、存储和分析，中心云管可以统一对全部资源进行访问控制，所有业务的对外输出由中心云负责，做到统一业务管理和资源管理。云平台结构如图2所示，数据流传输方式如图3所示。

图2 哈尔滨局视频云平台结构Fig.2 Video cloud platform structure of Harbin Bureau

图3 “一朵云”模式下数据流传输方式Fig.3 Data flow transmission mode in“one cloud”mode

3）视频监控体系建设。哈尔滨局视频监控系统考核、维护管理和故障处理由多部门多层次交叉管理，需要各系统深度融合，实现统一管理，以厘清责任、定位障碍、避免互相扯皮。

a.智能化运维体系架构。为实现各系统间资源共享和联动，新建了通信资源调度中心，通过资源调度中心分别与数据网网管、视频云平台、终端安全管理系统、网络接入控制系统、数据库审计系统、安全检测平台、运维审计系统、日志审计系统、Web视频改密系统、态势感知平台等进行对接，各系统通过资源调度中心实现信息资源的调阅、删除、修改和联动。视频监控体系组网如图4所示。

图4 视频监控体系结构Fig.4 Video monitoring architecture

b. 各系统之间交互方式。通信资源调度中心相对各系统来说就是“客户端”，提供数据服务的各系统平台为“服务端”，“客户端”无法要求不同的“服务端”提供统一的接口方式，只能根据“服务端”提供的接口来开发“客户端”采集服务，因此，通信资源调度中心与各系统平台选用了web交互方式。如：通信资源调度中心与数据网网管U2000，通过WebService方式来获取网管系统中的网元信息；与安全检测平台通过Restful API方式来获取相关信息；与视频云平台通过Restful API方式来新增、变更、删除相关资源。

2 视频监控网络建设

数据通信网组网情况：一是哈尔滨局实现了以哈尔滨为中心，覆盖全局的数据通信网络，设有NE9000骨干路由器2台，NE40E全业务路由器71台，实现骨干路由器链路带宽100 Gbit/s，其他支线路由器链路带宽10 Gbit/s的承载能力；二是中间站设有S5700 673台，S3700 889台，形成一个综合业务网（千兆交换机环网）和一个视频业务网（万兆交换机环网）；三是全局3等及以上车站设有OLT 222台，ONU 2855台，通过10 G上联至就近车站接入路由器，实现本地全光接入；四是哈尔滨局综合视频监控系统全部承载在数据通信网上。哈佳铁路数据通信网如图5所示。

图5 数据通信网结构Fig.5 Data communication network structure

数据通信网承载能力：哈尔滨局管内车间、班组和公安所队接入带宽为1 00 Mbit/s，站段接入带宽为1 000 Mbit/s，较大车站接入带宽为10 Gbit/s，枢纽地区接入带宽为100 Gbit/s。

视频监控IP地址规划原则：哈尔滨局按照1中心4域（平台域、存储域、终端域和采集域，其中存储域有6个）规划建设视频监控网。

网络资源的统一管理：视频监控网所有网络设备全部纳入数据网网管管理和公用。每台视频监控设备在路由器上都能查到MAC地址和在线/离线时间，通过资源调度中心就能实时监测设备的运用状态和下发指令控制IP地址的禁用和启用。

3 视频监控网络安全建设

将需要信息共享和联动的网络安全设备与通信资源调度中心对接，实现网络、安全和监控三者之间的信息相互传递和联动。

1）视频监控网络安全架构。由于1个视频云平台和6个存储域，因此，网络安全设备相对集中，管理难度较小、建设成本低。如：防止PC机利用摄像机地址访问视频云平台，在防火墙只简单配置102.0.0.0禁止访问10.0.0.0即可。视频监控网络安全架构如图6所示。

图6 视频监控网络安全结构Fig.6 Security structure of video monitoring network

2）各系统平台联动。由于各系统平台与通信资源调度中心对接，因此，各系统平台可实现信息相互传递和联动。如：入侵检测系统（IPS），在网络中发生视频终端有入侵行为，IPS将入侵日志发送给通信资源调度中心，通信资源调度中心将停用命令发给路由器，停用该IP地址。同时IPS将入侵行为日志发送给终端准入系统，终端准入系统将通知和告警反馈给视频终端，并禁止该终端访问视频平台，直到检测不到入侵行为为止。实现入侵行为的高效、精准管控。

3）信息资源共享。各系统平台与通信资源调度中心对接，实现信息资源共享和联动。如：视频云平台将合法终端账号推送给通信资源调度中心，通信资源调度中心将账号推送终端准入系统，由终端准入系统拦截非法视频终端访问视频云平台，终端准入系统将终端认证、安全检查、漏洞、补丁、违规外联和U盘管理等信息推送给通信资源调度中心。

4 智能化运维

通过通信资源调度中心将各系统平台的资源进行整合共享，按照各自需求进行资源的自动分析和判断，减少人为参与，提高智能化运维水平。具体实例如下。

1）自动诊断由于配置错误造成的摄像机离线。通信资源调度中心将视频VPN能查到MAC的IP地址推送至安全检测平台，安全检测平台按照推送的IP地址自动检测设备操作系统、资产类型、厂商、设备型号和软件版本，将检测结果与视频云平台摄像机的参数对比。如果不对，自动判断故障原因为配置错误。

2）自动诊断摄像机在线但未接入云平台。通信资源调度中心将视频VPN能查到MAC的IP地址推送安全检测平台，安全检测平台按照推送的IP地址自动检测设备操作系统、资产类型、厂商、设备型号和软件版本。如果是摄像机，再将检测结果与视频云平台进行对比。如果平台没有该IP地址，自动判断故障原因是摄像机未接入云平台。

3）摄像机离线的自动派单。通信资源调度中心自动派单→局科研所（在业务地址管理模块“近端”能ping通摄像机），局科研所（填写故障原因为通信网络故障）→通信车间（填写故障原因及预计完成时间）→摄像机“在线”→自动结单；通信资源调度中心自动派单→局科研所（在业务地址管理模块“终点网络设备在线”）→科研所（填写故障原因及预计完成时间）→摄像机“在线”→自动结单。

4）摄像机定期修改密码。首先在web视频改密系统，利用selenium录制和整理python改密脚本，按照厂家、型号人工制定改密方案和改密计划；通信资源调度中心定期将要改密的摄像机IP地址和计划推送给web视频改密系统，视频改密系统按照推送计划随机生产密码后执行对摄像机的密码操作，同时将修改的密码推送到通信资源调度中心，资源调度中心将摄像机新密码推送给视频云平台和堡垒机，并执行改密。维护人员不知道摄像机密码，只能通过堡垒机登录摄像机。

5 总结

哈尔滨局综合视频监控体系按照统一规划和统一实施的原则，各系统建设齐头并进，实现了网络、安全和监控的整合和集中，视频监控系统与数据通信网实现了融合，与部分网络安全设备实现了平台对接。未来视频监控体系建设的重点是将网络管理、安全管理、资源管理和智能化运维进行深度融合，形成一个信息资源共享、互联互控的智能化运维体系，并将深度融合后的各平台部署到虚拟机，并按灾备迁移部署，进一步提高运维效率、提升网络安全防护能力。