1、上海平安建设公安指挥、交通管理综合信息通信系统(五)公安信息移动接入平台及应用系统可行性研究报告 目 录第1章 项目概述11.1 项目名称11.2 项目单位11.3 可行性研究报告编制单位11.4 可行性研究报告编制依据11.5 项目建设目标与内容21.5.1 建设目标21.5.2 建设内容21.6 社会与经济效益31.7 结论与建议3第2章 项目背景与现状42.1 项目单位概况42.2 项目建设背景42.3 现状与问题62.3.1 现状62.3.2 问题62.4 项目建设的必要性和可行性72.4.1 项目建设的必要性72.4.2 项目建设的可行性7第3章 功能和性能需求分析93.1 业务流程
2、分析和优化方案93.1.1 现有业务流程93.1.1.1 交通违规处理流程93.1.1.2 治安信息采集流程113.1.2 优化业务流程113.1.2.1 交通违规处理流程113.1.2.2 治安信息采集流程133.2 系统功能和性能需求133.2.1 系统功能需求133.2.1.1 移动警务接入系统133.2.1.2 移动警务应用服务系统143.2.1.3 移动警务信息安全系统153.2.2 系统性能需求163.3 数据量分析173.3.1.1 业务量估算173.3.1.2 网络速率估算183.3.1.3 数据量估算18第4章 项目建设方案204.1 建设目标204.2 建设原则204.3
3、总体架构214.3.1 系统组成214.3.2 接入模式与系统架构224.3.3 移动应用计算模式254.3.3.1 C/S计算模式254.3.3.2 B/S计算模式274.3.3.3 短信息模式274.3.3.4 计算模式的选择274.4 移动警务接入系统274.4.1 移动终端274.4.1.1 普通手机284.4.1.2 智能手机/PDA手机284.4.1.3 笔记本电脑/车载终端294.4.1.4 移动终端选择294.4.1.5 移动终端的技术指标304.4.2 移动通信网314.4.2.1 承载网络314.4.2.2 通信协议324.4.2.3 通信方式选择334.4.3 移动接入网
4、关群组344.4.3.1 短消息安全接入网关344.4.3.2 GPRS/CDMA安全接入网关354.4.3.3 IP安全接入网关354.4.4 移动接入系统架构364.5 移动警务应用系统374.5.1 移动警务终端应用子系统374.5.1.1 综合查询374.5.1.2 交通管理394.5.1.3 治安管理404.5.1.4 系统设置414.5.1.5 短消息应用414.5.2 移动接入区移动警务应用平台424.5.2.1 CDMA业务处理模块424.5.2.2 短消息业务处理模块424.5.2.3 数据服务汇聚模块424.5.2.4 群呼与协查通告模块424.5.2.5 系统管理模块43
5、4.5.3 公安网移动警务应用平台434.5.3.1 综合查询系统改造434.5.3.2 交通管理系统改造434.5.3.3 治安综合信息系统改造434.5.3.4 移动应用同步模块444.6 系统支撑平台444.6.1 网络系统444.6.2 服务器464.6.3 存储设备464.6.4 系统软件474.7 信息安全系统474.7.1 信息安全体系结构474.7.2 信息安全拓扑结构484.7.3 身份认证系统494.7.3.1 身份认证方式494.7.3.2 证书介质504.7.3.3 证书管理504.7.3.4 与公安信息网PKI/PMI平台的关系524.7.4 访问控制524.7.4.
6、1 系统对移动终端用户的访问控制534.7.4.2 系统对管理员的访问控制534.7.5 密码体系规划534.7.5.1 密码算法534.7.5.2 密码设备544.7.5.3 密钥管理554.7.6 网络边界安全防御564.7.6.1 防火墙564.7.6.2 入侵检测系统(入侵防御系统)564.7.6.3 网关防病毒系统574.7.6.4 安全隔离网闸574.7.7 主机防病毒系统574.7.8 安全审计与监控574.7.9 信息安全综合管理系统584.7.10 管理安全584.7.10.1 组织安全管理584.7.10.2 人员安全管理584.7.10.3 安全管理制度594.7.10.
7、4 安全管理技术594.8 数据规范594.8.1 数据分类594.8.2 数据规范及标准604.8.2.1 数据种类规范604.8.2.2 数据项目614.8.2.3 信息代码标准614.8.2.4 短信类信息规范614.8.2.5 语言类信息规范614.8.3 基本数据项集和扩展数据项集614.8.3.1 基本数据项集624.8.3.2 基本数据项集规范634.8.3.3 扩展数据项集634.8.3.4 查询数据项和查询条件规范63第5章 项目组织保障和实施进度655.1 项目组织保障655.1.1 组织机构设置655.1.2 培训655.2 项目进度计划65第6章 环保、消防、职业安全、
8、卫生和节能676.1 环境保护676.2 消防676.3 节能676.4 职业安全卫生67第7章 项目招标方案687.1 招标方式687.2 招标范围68第8章 项目风险和控制措施698.1 项目外部风险和控制措施698.1.1 实施过程中的协调风险698.1.2 技术选择风险698.1.3 供应商选择风险698.2 项目内部风险和控制措施708.2.1 需求与设计风险708.2.2 设备滥用风险708.3 项目长期运行风险和控制措施70第9章 效益分析7210.1 社会效益分析7210.2 经济效益分析72第10章 结论与建议73IV上海平安建设移动警务接入平台及应用系统可行性研究报告第1章
9、 项目概述1.1 项目名称项目名称:上海平安建设公安指挥、交通管理综合信息通信系统(五)公安信息移动接入平台及应用系统,以下简称“公安信息移动接入平台及应用系统”或”“本项目”。1.2 项目单位名称:上海市公安局地址:武宁南路128号电话:220219801.3 可行性研究报告编制单位上海市公安局1.4 可行性研究报告编制依据中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知(中办发200217号)中共中央办公厅、国务院办公厅关于加强信息资源开发利用工作的若干意见(中办发200434号)金盾工程总体方案设计金盾工程安全保障体系总体设计方案公安信息公网移动接
10、入及应用系统建设技术指导书(公信通2006541号)公安信息移动接入及应用系统安全管理暂行规定国家密码管理局商用密码产品使用管理规定(2007年第8号文)上海市公安局信息化“十一五”发展规划公网(GPRS/CDMA)移动应用信息系统试点项目实施方案公网(GPRS/CDMA)移动应用信息系统试点建设任务书1.5 项目建设目标与内容1.5.1 建设目标移动警务接入平台及应用系统的建设目标是:通过建立一套基于公用移动网络、符合公安部技术规范要求、安全可靠、易管理的统一安全接入平台,解决公安移动终端用户通过公共通信网络的安全接入问题;同时,定制开发移动终端应用系统(包括在线访问和短消息两种方式)和应用
11、服务管理平台,为民警通过移动终端查询、采集公安信息提供服务。通过本项目的建设,使公安信息能够全天候覆盖移动通信网络通达的任何地方,达到公安部“三A”要求,使得全体民警能够在确保公安业务数据信息安全的前提下,实时查询相关业务数据、采集分类警务基础信息,方便民警现场执法、执勤等日常警务工作,提高民警的工作效率和实战能力,为即将到来的2010年上海世博会做好充分准备。1.5.2 建设内容移动警务接入平台及应用系统的建设主要包括以下内容:1、移动警务接入系统。接入系统主要包括移动终端、通信链路和接入服务平台,实现端到端的接入认证及数据的加密传输,为移动应用系统提供一个可靠的安全通道。2、移动警务应用系
12、统及其系统支撑平台。应用系统主要包括移动终端应用系统(在线访问和短消息两种方式)和后台应用服务平台及其系统软硬件支撑平台。3、保障移动警务安全接入和移动警务应用安全运行的信息安全系统。1.6 社会与经济效益警用信息移动应用已在发达国家警察日常工作中得到广泛应用,普遍以城市为中心建立起独立于警用移动话音通信系统的警用信息移动应用系统,并利用警用移动数据终端完成信息查询、照片、指纹、车牌比对、收发指令等工作。随着“金盾工程”建设的整体推进,利用公安移动警务接入平台及应用系统深度开发和充分利用公安信息资源,可以提高公安机关打击敌人、保护人民、惩治犯罪、服务群众、维护国家安全和社会稳定的水平和能力,提
13、高公安机关快速反应能力、综合作战能力。1.7 结论与建议通过移动警务接入平台及应用系统的建设,能够促进上海公安更加充分地利用现有公安网络和信息资源,进一步发挥现有公安业务应用系统的作用,满足民警在实际应用中遇到的业务需求并充分给予实时的技术支持。2010年世博会迫在眉睫,该系统的成功建设与运用将帮助上海公安机关更加有效地进行世博会筹办、运营期间的社会公共安全管理。因此,本项目的建设十分必要,建议在2008年底前通过审批,以使项目尽快实施投入使用。第2章 项目背景与现状2.1 项目单位概况上海市公安局的主要职责是:预防、制止和侦查违法犯罪活动;维护社会治安秩序,制止危害社会治安秩序的行为;管理交
14、通、消防、危险物品和特种行业;管理户政、国籍、入境出境事务和外国人在境内居留等有关事务;管理集会、游行、示威活动;监督管理计算机信息系统的安全保卫工作;指导和监督国家机关、社会团体、企业事业组织和重点建设工程的治安保卫工作,指导群众性组织的各类治安防范工作。按照业务范围设置的部门有,指挥部、政治部、后保部、治安总队、刑侦总队、出入境管理局、交警总队、消防局、法制办、监管处、科技处、信安处、水上公安局、轨道分局、公交分局、化工区分局、机场分局、宝江分局、公安高等专科学校等28个直属机构。按照行政区划,设置了18个公安分局、1个县公安局,下设372个派出所。2.2 项目建设背景警用信息移动应用已在
15、发达国家警察日常工作中得到广泛应用,普遍以城市为中心建立起独立于警用移动话音通信系统的警用信息移动应用系统,并利用警用移动数据终端完成信息查询、照片、指纹、车牌比对、收发指令等工作。在我国,随着“金盾工程”建设的整体推进,利用公安信息移动接入及应用系统深度开发和充分利用公安信息资源,可以提高公安机关打击敌人、保护人民、惩治犯罪、服务群众、维护国家安全和社会稳定的水平和能力,提高公安机关快速反应能力、综合作战能力。2002年以来,各地公安机关陆续开展了基于公网的公安移动接入及应用系统的建设工作,在公安机关的实际工作中发挥了重要的作用。但是,在系统建设和应用中也暴露出较多安全问题。为此,2004年
16、8月公安部金盾办下发了关于做好公安信息移动接入及应用系统安全建设的通知,对全国公安机关的公网移动接入及应用系统的安全建设提出了具体要求。为满足各级公安机关对公安信息移动接入及应用的需求,保护公安信息在公众移动通信网(以下简称“公网”)传输的安全,公安部金盾办于2005年1月5日下发了关于下达公网(GPRS/CDMA)移动数据接入系统试点项目建设任务书和实施方案的通知(公金盾2005007号),决定在福建、河南省公安厅以及苏州、威海、成都市公安局开展公网移动接入系统试点工作,重点研究公安信息基于公用的移动接入安全技术和管理机制。结合试点项目的成功经验,公安部信息通信局对2004年4月制定的公安信
17、息移动接入及应用系统建设指导书进行了修订、补充和完善,重点在系统的安全性方面进一步明确了要求,发布了公安信息移动接入及应用系统建设技术指导书(公信通2006541号)。目前,国内部分省市公安部门已完成了移动接入平台应用系统建设并投入日常使用。郑州市公安局于2002年起由信大捷安公司负责移动警务安全接入平台建设和应用软件开发,2003年5月正式启用该系统,主要功能为公安业务短信息查询和交通违法信息实时录入与处理。至今累计发放移动警务通SIM卡万余张,全市在职民警已基本全部入网,交警部门已实现了在路面上完成违章驾驶纠章扣分处理。目前郑州市公安民警的日短信息查询量已达3万余条。北京市公安局由国家保密
18、技术研究所负责实施了总体的边界接入平台项目。无线移动警务接入为其中一项内容,目前支持专用的警务PDA和笔记本电脑无线上公安信息网。福建省公安厅于2008年由公安部三所完成了移动警务安全接入平台建设,应用开发由苏州广达公司承担,目前处于软件完善和测试阶段,尚未投入实际使用。目前福建省厅正就相关手机信息资费问题与移动运营商进行协调,计划在省厅和所属市局进行全面推广使用。上海市公安局自2007年起对警务移动接入及应用系统进行了调研,多次与基层公安机关、系统供应商、行业专家进行沟通,综合上海金盾工程和公安信息化应用情况,经过仔细论证,认为上海公安系统已具备实施移动接入及应用系统的条件,并组织编制本可行
19、性研究报告。2.3 现状与问题2.3.1 现状上海公安信息化工作经过近几年的建设,目前已建成了覆盖全市19个公安分县局、20多个市局业务单位及500多个公安基层单位的公安信息网,建设了4500多公里的公安专用光缆网和覆盖全局的千兆IP网,实现了数据、语音、图像“三网融合”,市局至各分、县局二级网网络带宽全部达到千兆;开发了141个信息系统,广泛运用于指挥决策、打击防范、行政管理、队伍建设等各个方面。在此基础上,着手推进信息系统整合,努力实现信息共享和综合应用。目前,全局各类信息系统数据总量已达11.9亿条,其中,治安类35605万条,交通类32370万条。公安业务工作对信息网络和应用系统的依赖
20、性越来越强。2.3.2 问题由于缺乏移动应用的支撑,上海公安民警在办理部分业务工作中与兄弟省市相比存在一些不足:1、街面执勤民警得不到实时数据支持。目前,街面执勤民警在处置交通事故、巡逻盘查、设卡检查时,往往只能通过手持电台呼叫指挥中心来核对、查询相关人员信息,速度较慢且关联信息反馈较少,自主查询手段缺乏,容易漏掉很多重要信息。2、当场接报案事件、采集人口信息、处置交通违法途径较少。目前,公安机关接报案事件、采集人口基础信息、处置交通违法时往往需要相关人员前往指定公安办公场所才能办理,缺乏现场接报、采集、处置手段。3、在案发现场侦查民警不能利用公安信息资源。目前,刑事侦查民警在一些案发现场办案
21、时,因远离公安机关办公场所,不能综合利用公安信息资源为侦查破案服务,一般勘查完现场后回到办公场所再进行综合分析,这样往往贻误战机。2.4 项目建设的必要性和可行性2.4.1 项目建设的必要性为促进上海公安机关更加充分、全面地利用现有公安网络和信息资源,进一步发挥现有公安业务应用系统的作用,使得街面执勤民警能够安全并实时查询相关业务数据、采集警务基础信息,在确保公安业务数据安全的前提下,方便民警日常警务工作,更有效地开展执法、执勤工作,并为市民群众提供现场办理的便利。建设移动警务接入平台及应用系统已势在必行。2.4.2 项目建设的可行性上海公安机关经过多年的信息化建设,户籍管理、治安管理、交通管
22、理等一系列公安信息系统已建设比较成熟,并且广泛应用到各区县分局、派出所,一方面培养了一批精通业务和技术的信息化技术管理人员,另一方面在基层干警普及了计算机上网操作等基本技能,为进一步深化信息化应用打下坚实的基础。上海城市的发展使得移动通信网络格外发达,目前上海移动、上海联通和上海电信(原联通CDMA)等移动通信运营商均建立了覆盖全市的移动通信网络,并普遍提供较高速率的数据通信服务,如GPRS、CDMA 1X等,这为推广移动警务应用提供了通信网络基础。经过国内其他省市公安机关的多年试点应用,移动警务接入平台及应用系统的解决方案日趋成熟,系统供应商也积累了丰富的工程经验和软件开发,移动终端设备制造
23、的质量不断提高、功能不断丰富、成本不断下降,也为移动警务应用建设的成功提供了技术保证。综上,上海公安机关建设移动警务接入平台及应用系统具有充分的可行性。第3章 功能和性能需求分析3.1 业务流程分析和优化方案3.1.1 现有业务流程上海公安机关尚未开展移动应用业务,这使得一线民警在执行部分业务时存在较大的局限性,与兄弟省市相比,部分能够提高民警执勤效率和实战能力的功能应用未能实现,以下以交通违规处理和治安信息采集为例说明。3.1.1.1 交通违规处理流程以道路交通管理违章处理为例,现有业务处理流程如下:图3-1 现有交通违规处理流程该流程主要存在以下不足:1、手工开具处理通知书,容易造成由于字
24、迹潦草、模糊等书写失误,且需二次录入系统,造成重复工作。2、在信息录入系统之前,存在人情操作的空间,不利于加强警员廉洁管理。3、执勤时既无法查询通缉在逃人员、盗抢车辆等信息,也无法获得驾驶员满分信息、车辆年检信息,影响公安机关工作效能。3.1.1.2 治安信息采集流程治安信息采集主要包括常住、暂住人口信息采集、治安检查、出租房租等,现有采集流程如下:民警采集治安信息时,需将信息记录到工作笔记,待回到派出所后方输入派出所综合应用系统。民警采集信息时,无法获取相关线索信息支持,在录入过程中容易发生录入错误。3.1.2 优化业务流程通过移动警务系统的应用,可为一线民警提供数据支撑,有利于提高民警工作
25、效率和作战能力。3.1.2.1 交通违规处理流程在使用移动警务系统后,现有交通违规处理流程可获得优化,流程如下:图3-2 移动警务系统支撑下的交通违规处理流程移动警务系统支撑下的处理流程具有明显的好处:1、现场取证、录入系统、打印处理通知单,一次生成,既提高了效率,避免通知单和系统数据不一致,又避免人情操作,强化了民警作风管理。2、在处理违规事件或盘查时,通过数据比对,能够提示通缉在逃人员、盗抢车辆、肇事逃逸、满记分、年检超期等情况,可有效提高公安机关的工作效能。3.1.2.2 治安信息采集流程本项目建成后,有利于优化治安信息采集流程:采用移动警务系统,可减少中间手工书写环节,并且可使得现场民
26、警可获得相关线索信息支撑。3.2 系统功能和性能需求3.2.1 系统功能需求本项目为移动警务接入及应用提供服务,主要需求可划分为移动警务安全接入系统、移动警务应用服务系统、移动警务信息安全系统等三方面进行分析。3.2.1.1 移动警务接入系统移动警务系统需为移动终端提供安全的接入功能,其接入功能主要包括:1. 支持多种移动终端的接入支持专用PDA终端、智能手机、普通手机(专用SIM/UIM卡)、专用车载终端、笔记本电脑等多种移动终端的接入,以适应不同警种、不同场所的应用需求。2. 支持多种通信方式和承载网络本项目所采用的通信协议主要以TCP/IP协议为主、以SMS/MMS协议为补充。TCP/I
27、P无线接入方式从通信速率、通信费用、安全性等方面考虑采用CDMA 1X,并支持平滑升级到CDMA 2000。3. 支持多层次的强身份认证提供移动终端对移动用户的身份认证功能、移动终端和移动接入网关之间的相互身份认证功能及移动应用系统对移动用户的身份认证功能。4. 数据保密传输功能为各种公安移动应用系统提供公网路段(从移动终端到安全移动接入系统之间)的数据保密传输功能。3.2.1.2 移动警务应用服务系统1. 综合查询基于公安信息综合查询系统,可查询常住、暂住、重点人口、全国在逃人、全国被盗抢机动车辆以及驾驶员、机动车、驾驶员违法、电子警察等信息,并对单个或批量可疑人员身份证实时比对、报警。2.
28、 交通管理交通违章信息实时录入及处理;打印业务处理通知书,现场拍照取证,并把相应的结果自动上传到公安网内部的业务数据库中;交通事故记录、取证、处理;警务日志(记载每日警务工作);动态交通信息显示、指挥调度和警力分配。3. 治安管理面向派出所一线执行社区管理的民警,实现基本信息的查询和业务的录入,包括常住/暂住人口变更信息采集、特殊人员查询、特殊人员信息采集、治安检查、情报信息、出租房屋、日志录入等,自动读取二代证和居住证信息。4. 协查通报协查通知、通报的下发、反馈及查询。5. 系统功能实现用户信息设置、打印信息设置、数据字典、代码更新以及修改用户密码等系统功能。3.2.1.3 移动警务信息安
29、全系统移动警务系统安全不仅要解决移动终端、公网传输、移动应用、安全兼容等单一方面的安全需求,更要解决移动警务接入系统整体的安全需求,这些需求综合表现在:1. 移动终端的安全接入端到端数据加密传输、适合移动终端的认证措施、2. 明显的网络边界划分和相应的安全保障措施公安信息网和移动接入区的边界划分和安全连接、移动接入区和公网的边界划分和安全连接、移动终端通过虚拟移动专网(移动运营商提供)连接到公安移动接入区。3. 适合我国政府密码管理策略的密码算法配置商用密码算法、公钥证书认证算法。4. 系统的网络安全方案端到端身份认证、数据加密、完整性检验、抗重放攻击、抗DOS、DDOS攻击、公网段全程安全、
30、防病毒和木马入侵、防内部敏感信息非授权外流。5. 严格规范的安全管理规定建立并实施严格规范的信息安全管理制度。3.2.2 系统性能需求移动警务系统属于公安办案业务系统,对系统的响应速度、容错能力、可用性等方面的性能要求较高。1. 响应时间移动通信网络的稳定性相对较差,对系统响应时间的影响较大。移动警务应用对响应时间的要求较高,在移动运营商网络通信情况处于正常的情况下,安全短信回复时间小于5秒;CDMA在线方式下简单查询响应时间小于3秒;照片显示时间小于5秒。异地查询、批量查询等情况一般响应时间应小于12秒。综合考虑移动通信网络不稳定等情况,本项目要求50%以上业务响应时间不超过正常响应时间,9
31、5%以上业务响应时间不超过正常响应时间的2倍。2. 并发用户规模系统应至少支持1500个以上并发用户,1000个短消息查询并发用户。3. 可用性系统的关键设备应采用双机热备方式,以避免单点故障引起系统中断。4. 容错性能在网络暂时中断的情况下,支持本地登陆方式处理业务,所采集数据保存在移动终端,待网络恢复正常时自动上传。3.3 数据量分析目前,上海各级公安机关共有编制人员约45000名,其中综合管理机构人员约16500名,执法勤务机构人员约28500名(其中街面执勤交通警察约4500名)。本项目建成后,按全员配备,共有1200台移动笔记本用户、28500台PDA终端用户(其中4500台带拍照、
32、打印功能,供交警使用)和16500名普通手机查询用户投入使用。3.3.1.1 业务量估算高峰时按5%用户并发计算,则将有60名移动笔记本用户、1425名PDA终端用户、825名普通手机用户并发访问移动警务应用。目前,上海交通警察每月平均处理交通违规事件约110万件(不含电子警察违规数量),项目建成后全部违规事件将由移动终端录入。每件违规事件的处理均需执行对比CCIC在逃人员数据库、盗抢车辆数据库、交通违法未处理数据记录、电子警察数据库、驾驶人简项信息数据库、录入、上传照片和信息等操作,按每件违规事件处理平均执行10个操作,每个操作平均20个进程,日均3.6万件事件的70%在高峰3小时内发生,则
33、:36000*70%/3/60*8*20=22400个进程/分钟按个进程需消耗10个TPC-C值计算,则交通违规处理所需的TPC-C值为224000tpmC。以上仅考虑4500台交警专用PDA终端所需的系统性能,其余24000台普通PDA终端、短消息访问等所需的系统性能按交通违规处理的3倍计算,则系统总性能需求为672000tpmC。3.3.1.2 网络速率估算高峰时,按移动笔记本用户平均速率100kbit/s、PDA终端用户平均速率50kbit/s、短消息业务平均速率10kbit/s计算,则高峰时所需带宽为100*60+50*1425+10*825=85500K=85.5M。(注:CDMA
34、1X峰值速率153.6kbit/s,平均速率为50kbit/s100kbit/s)3.3.1.3 数据量估算本项目所涉及主要数据包括综合查询、交通管理、户政和治安管理等,是市公安局相关综合查询、交通管理、户政和治安管理数据库的子集。移动警务应用数据主要内容和数据量如下:序号应用系统条数(万条)1常住人口信息管理系统13552派出所综合信息管理系统2603居住证信息系统6604被盗抢系统0.955在逃人员系统276上海市旅馆业信息管理系统90107江苏省2008.6.1以后旅馆人员数据20188交通事故系统269交警非机动车系统110车辆系统34111驾驶员系统39312车驾道口查控100001
35、3全国违法数据237合 计24328.95存储系统数据库中,基本信息每个记录约为10K,以上信息量为24328.951000010KB,即2.43TB。另外,照片数据包括常口、居住证、驾驶员等照片,每张相片大小约为30K,即1355(常口)660(居住证)393(驾驶员)24081000030KB0.72TB。基础数据存储合计:2.43TB0.72TB3.15TB,每年更新维护的新增数据按10%,则三年规划3.151.13=4.19TB。第4章 项目建设方案4.1 建设目标上海平安建设移动警务接入平台及应用系统的建设总目标是:通过建立一套基于公用移动网络、符合公安部技术规范要求、安全可靠、易管
36、理的统一安全接入平台,解决公安移动终端用户通过公共通信网络的安全接入问题;同时,定制开发移动终端应用系统(包括在线访问和短消息两种方式)和应用服务管理平台,为民警通过移动终端查询、采集公安信息提供服务。通过本项目的建设,使公安信息能够全天候覆盖移动通信网络通达的任何地方,达到公安部“三A”要求,使得全体民警能够在确保公安业务数据信息安全的前提下,实时查询相关业务数据、采集分类警务基础信息,方便民警现场执法、执勤等日常警务工作,提高民警的工作效率和实战能力,为即将到来的2010年上海世博会做好充分准备。移动警务接入平台及应用系统建设的具体目标包括:到2010年,一线执勤的交通警察配备专用PDA终
37、端执法,实现对违章停车、现场处罚等常见业务的移动应用;社区民警可通过配备的PDA终端,实现日常治安业务的移动应用;民警可随时通过手机查询常住、暂住、重点人口、全国在逃人、全国被盗抢机动车辆等信息。4.2 建设原则根据“金盾工程”总体规划,公安信息移动接入及应用系统建设遵循以下基本原则:1、统一领导,统一规划,统一标准:在公安部的统一领导下,用科学的理论和系统的方法统一规划、统一标准。2、独立、可靠的安全保障体系:要把安全放在首要位置,确保移动应用具有稳定性、可靠性、高效性。系统的安全体系要独立于公网运营商,系统的安全保障不依赖公网运营商的安全保障,但鼓励将公网运营商的安全保障作为系统安全措施的
38、辅助或补充。3、安全技术与安全管理相结合原则:通过管理手段来弥补技术手段的不足之处,通过技术手段来加强安全管理。4、逐步完善,分步实施:以实现公安信息移动应用为目标,以应用带发展,以效益促应用,逐步实现公安信息移动应用的各种功能。5、实用性,先进性,经济性:选择先进成熟的技术、系统与产品,节约资金,满足当前和未来的实用性要求。6、全方位覆盖的原则:为保障移动接入及应用系统发挥更大的作用,应采用多种通信手段并举、高中低终端结合、支持多个公网运营商接入的建设方式。4.3 总体架构4.3.1 系统组成公安信息公网移动接入及应用系统由移动终端、移动通信网、移动接入区、安全隔离层、公安信息网等五大部分组
39、成。这五个部分在整个公安信息公网移动接入及应用系统中环环相扣,缺一不可。 图4-1 系统组成图移动终端包括普通手机、PDA、笔记本电脑等可移动的终端;移动通信网为各种公共移动通信网;移动接入区实现移动安全接入及移动应用服务;安全隔离层是指经国家保密认证并由公安部信通处同意使用的安全隔离网闸;公安信息网为移动应用提供信息和服务支持。4.3.2 接入模式与系统架构根据移动应用请求所访问数据的摆放位置不同,分为以下两种接入模式:A模式:移动应用所需的数据放在移动接入区内,移动终端只能访问移动接入区内的数据,移动接入区数据通过数据同步更新机制完成数据更新;该模式有较好的系统响应性能,但由于移动接入区内
40、数据库和公安信息网内数据库之间要通过网络安全隔离设备定时刷新、同步,所以数据的新鲜度和应用范围受到影响。如下图: 图4-2: A模式结构图B模式:移动应用所需的数据放在公安信息网内,移动终端通过访问移动接入区内的应用代理服务器,获得数据服务,应用代理服务器通过网络隔离设备访问公安信息网。该模式提供信息的新鲜度比较高,应用范围广,它实时获取公安信息网内的数据,通过移动终端采集到的业务数据也能够及时提交到公安信息网内数据库,但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离设备转发,所以,对系统的响应性能有影响。如下图:图4-3:B模式结构图移动警务接入平台及应用系统采用两种模式组合使用的
41、方式,对于常用的数据查询应用,主要涉及开放数据和简项数据,不涉及内部敏感数据,则采用A模式,以提高系统响应性能;对涉及内部敏感数据、详细数据等查询和写操作,则采用B模式。系统架构图如下:图4-4 上海移动警务系统的系统架构图图中第一层是公安信息移动应用的使用者,所使用移动设备包括PDA、手机、笔记本电脑等各种移动终端设备。图中第二层是移动通信网络,包括各种公共移动通信网络。图中第三层是移动接入服务平台,它负责移动终端的安全接入,同时移动终端的访问请求传递到应用服务平台。图中第四层是放在移动接入区内的移动应用服务平台。图中第五层是网络安全隔离层,它使得公安信息网与移动接入区在任何一个时刻都不会直
42、接相互连接,在实现公安信息网和移动接入区隔离的同时,还负责公安信息网和移动接入区之间的数据传递和转发。图中第六层是放在公安信息网内的移动应用服务平台和移动数据同步模块。移动应用服务平台响应并处理来自移动接入平台的移动应用请求,利用公安信息网内的应用系统、数据库、综合查询平台和应用支撑平台,满足公安移动应用的需要。移动应用同步系统负责公安信息网与移动接入区的数据同步工作,移动数据同步模块向外网移动应用数据库提供数据。图中第七层是应用支撑平台,它是面向应用程序的,是为应用系统提供运行环境。应用支撑平台中的认证系统对用户提供统一认证,实现一点登录全网漫游。在实现跨地区跨部门的业务处理时应通过应用支撑
43、平台中的请求代理服务系统和公共数据交换系统实现不同地区、不同系统之间的互联、互通、互访。图中第八层是系统运行环境,包括计算机网络、主机、数据库、应用中间件环境,它为公安信息公网移动接入及应用系统提供了物理上的保证。图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系,它们始终贯穿于该图的各个层面。对各层面的访问操作、运行管理、开发设计进行有效的控制和规范,保证和维护各个层次正常有序地工作。4.3.3 移动应用计算模式4.3.3.1 C/S计算模式C/S计算模式是目前基于手机终端的主流开发模式,其安全解决方案有两种解决形式,一是在实现IPsec安全接入的终端上,移动应用与安全无关,
44、其移动应用开发等同于在普通网络上的开发;二是在没有实现IPsec安全接入的终端上,一般采用SSL的安全接入,此时,移动应用需要调用安全平台的安全接入API,通过安全平台的API函数,实现移动终端的安全接入,在此基础上实现移动应用。目前,主要的开发方式有KJava、BREW、VC或VC Embed,任何一种开发方式都能满足移动应用的需求,可以由移动应用开发商自由选择。1、KJava:KJava是可用于掌上设备的操作系统与编程语言,是Java技术在无线小终端设备上的延伸。它具有跨平台、平台开放和易于动态下载的特性,使第三方开发者可以为掌上设备开发KJava应用程序。KJava的最大特点是跨平台和动
45、态下载,其跨平台特性便于应用开发商开发可应用不同平台的移动应用,其动态下载特性适用于移动应用程序分发比较困难的情形。2、BREW:Binary Runtime Environment for Wireless(无线二进制运行环境)是一种基于CDMA网络的技术。用户可以通过下载应用软件到手机上运行,从而实现各种功能。BREW位于芯片软件系统层和应用软件层之间,提供了通用的中间件,直接集成在芯片上,不必通过中间代码就可以直接执行,在整个系统中仅需约150K的存储容量。BREW支持各种加密算法,开发商只需直接通过API接口调用对称加密算法RC4、非对称算法RSA、SSL算法、HASH函数等基本函数,
46、不用再次开发。BREW方式的优缺点同KJava类似,但目前在安全性和终端表现的一致性上要优于KJava方式,不过,BREW是高通公司的专利技术,开放性不如KJava。3、EVC和VC:EVC是基于Microsoft WinCE操作平台移动应用的典型开发工具,该工具和VC一样,对系统底层的控制开发能力很强,控制粒度细,能够满足复杂应用的开发需求,是被广泛采用的开发平台。VC开发平台是在以Symbian为操作系统的手机上被广泛采用的移动应用开发工具。4.3.3.2 B/S计算模式B/S计算模式是固定网络上的最基本、最广泛的计算模式,由于是零客户端,系统部署、维护成本都非常低,移动终端实现移动安全接入后,不需要开发新的移动应用就可直接基于浏览器获得移动应用的支持。4.3.3.3 短信息模式短信息模式是一种特殊的C/S计算模式。由于采用了STKUTK技术,安全SIMUIM卡不需要单独的程序支持