Внутренний номер: 325320
Varianta în limba de stat
Республика Молдова
от 21.09.2007
об утверждении Концепции Системы мониторинга
в режиме реального времени событий, автотранспорта
и людей на таможенных постах
в режиме реального времени событий, автотранспорта
и людей на таможенных постах
Правительство ПОСТАНОВЛЯЕТ:
1. Утвердить Концепцию Системы мониторинга в режиме реального времени событий, автотранспорта и людей на таможенных постах (прилагается).
2. Таможенной службе в месячный срок разработать и утвердить план мероприятий по реализации указанной концепции.
3. Назначить ГП «Vamtehinform» при Таможенной службе генеральным подрядчиком по реализации положений данной концепции.
4. Государственному предприятию «Centrul de Telecomunica\ii Speciale» в сотрудничестве с АО «Moldtelecom» и другими операторами в 30-дневный срок представить Таможенной службе на утверждение техническое решение по передаче в режиме реального времени видеоданных с таможенных пунктов и постов.
Премьер-министр Василе ТАРЛЕВ
Контрассигнуют:
первый зам. премьер-министра Зинаида ГРЕЧАНЫЙ
министр информационного развития Владимир Моложен
№ 1049. Кишинэу, 21 сентября 2007 г.
рентабельность с точки зрения соотношения преимущества – стоимость;
надежность и способность быстрого устранения повреждения и восстановления;
простота в эксплуатации, при этом основные функции не зависят от человеческого фактора, в связи с чем исключается допущение возможных человеческих ошибок;
простота установки и возможность дальнейшего развития;
устойчивость к саботированию и условиям среды, при этом ее безопасность не может быть скомпрометирована ни при каких обстоятельствах;
наличие собственного непрерывного источника питания на случай отсутствия напряжения в главной сети;
соответствие действующим нормам безопасности;
передача видеоизображений в режиме реального времени.
замкнутая телевизионная подсистема;
подсистема идентификации номеров государственной регистрации (только для таможенных постов, расположенных на приднестровском участке);
подсистема управления трафиком.
Основной целью замкнутой телевизионной подсистемы является мониторинг в режиме реального времени событий, автотранспорта и частных лиц, а также регистрация видеоизображений с целью дальнейшего анализа.
Это достигается сочетанием мер безопасности, включающих оборудование для наблюдения и защиты, а также специальный персонал, назначенный для наблюдения.
Замкнутая телевизионная подсистема будет обеспечивать наблюдение за следующими зонами безопасности:
периметр и подъездные пути – эта зона включает периметр таможенных постов и автовъезда в зоны таможенного контроля;
периметр здания – эта зона включает входы в здание;
помещения отделов особого значения – для этой зоны наблюдение осуществляется за пространством размещения оборудования записи и обработки видеоинформации.
Для каждой выделенной зоны устанавливается необходимое количество оборудования наблюдения исходя из ее специфики.
Фиксирование изображений производится при помощи камер с высокой разрешающей способностью, с черно-белым изображением типа день-ночь для получения мельчайших деталей. Регистрация записанных видеокамерой наблюдений будет осуществляться на твердом носителе, что позволит одновременно записывать информацию в цифровом формате, ее просмотр, работу с архивом и передачу данных по сети. Подсистема предоставляет информацию о степени нагрузки HDD, интенсивности трафика данных в сети, системных дате и времени. Цифровой регистратор будет предназначен для мониторинга от 8 видеокамер на одну станцию и до 256 видеокамер в сети.
Подсистема идентификации номеров государственной регистрации представляет собой решение для автоматической идентификации в режиме реального времени номеров государственной регистрации автомобилей. Подсистема представляет собой эффективный инструмент в деятельности по мониторингу и наблюдению за трафиком, по его контролю в определенной зоне или точке контроля, по идентификации автотранспорта, находящегося под контролем (наблюдением), в любой другой ситуации, когда необходима идентификация транспортных средств, а также для обеспечения ввода регистрационных номеров в базу данных.
Подсистема предоставляет услуги по автоматическому распознаванию регистрационных номеров автомобилей, позволяя решить проблему мониторинга трафика зарегистрированных автомобилей при прохождении через пункт контроля трафика (пункт таможенного контроля). Система также позволяет осуществлять мониторинг трафика автомобилей, находящихся в движении, даже в случае отсутствия контрольного пункта (предполагается замедление и/или остановка транспортного средства), и предоставляет информацию об идентичности транспортного средства.
Подсистема позволяет устанавливать регистрационные номера автотранспортных средств других стран (например, Украина, Румыния и др.), осуществляя также установку типов опознанных регистрационных номеров.
Подсистема идентификации номеров государственной регистрации, которая будет использоваться Таможенной службой, должна обеспечить:
распознавание номеров государственной регистрации в любых климатических условиях и в любое время суток;
идентификацию по регистрационному номеру страны регистрации автомобиля;
ручной ввод в базу данных некоторых параметров транспортных средств (модель, грузоподъемность и др.);
составление «черных списков» (автомобили, угнанные или находящиеся в розыске, и др.).
Распознавание регистрационных номеров будет осуществляться, как правило, во внутренних границах таможенного пункта с передней и задней части автомобиля для обоих направлений движения, а в некоторых случаях и для некоторых пунктов распознавание автотранспорта будет осуществляться при въезде в периметр и выезде из периметра (для пунктов транзита высокопоставленных лиц).
Для надлежащего функционирования подсистемы распознавания номеров необходимо, чтобы в зону контроля (внутри периметра) разграничение противоположных полос движения осуществлялось таким образом, чтобы автомобили останавливались перед распознающими камерами, а видеоизображение фокусировалось на регистрационном номере.
Подсистема обеспечит взаимное подключение таможенных постов в единый центр мониторинга для наблюдения в режиме реального времени из отдаленной точки (например, центрального аппарата Таможенной службы) посредством сети передачи данных (Етернет, Интернет) или при помощи любого другого типа существующей связи.
С. Подсистема управления трафиком
Для более эффективного трафика и исключения рисков недозволенного пересечения линий таможенного контроля будут применяться автошлагбаумы с соответствующими светофорами. Подсистема управления трафиком позволит обеспечить автоматизированное (электронное) администрирование зоны перехода (переезда), а также сохранение всех сопутствующих операций (въезд, остановка, выезд) в базе данных, доступных в дальнейшем для выполнения статистических отчетов.
Количество и расположение автошлагбаумов будет определяться для каждого таможенного пункта. Автошлагбаумы будут приводиться в действие при помощи телекоманды с пульта управления, расположенного внутри таможенного пункта, а для пунктов транзита высокопоставленных лиц – автоматически системой распознавания номеров регистрации.
Размеры (длина) шлагбаума будут определяться раздельно для каждой таможни/таможенного пункта в отдельности, в зависимости от размеров зоны доступа, но с расчетом полного покрытия (закрытия) таможни/таможенного поста.
Для достижения лучших результатов будут использованы светофоры со светящимися диодами. Светофоры должны иметь два цвета: красный и зеленый. По сравнению с классическими светофорами с лампой накаливания данные светофоры имеют следующие преимущества:
пониженное потребление электроэнергии (номинальная потребляемая энергия сокращается на 80%);
существенное продление срока эксплуатации (10 лет);
практическое отсутствие затрат на содержание в период эксплуатации (исчезнет проблема замены лампочек);
исключение случайной ложной сигнализации, обусловленной сильным световым потоком (эффект приведения).
На каждом шлагбауме предусматривается отдельный светофор.
Центральный уровень:
Сервер VPN (Gate);
Trusted GSM.
Пользовательский уровень:
Клиент VNP (Gate или Сервер).
Организация на центральном уровне, состоящем из Сервера VPN и Trusted GSM, обеспечивается комплексом программ и оборудования, предназначенного для защиты данных. Центральный уровень предназначен для администрирования комплекса программ и оборудования, установленного на уровне пользователя.
Функционирование пользовательского уровня обеспечивается отдельным комплексом программ и оборудования, предназначенным для защиты информации и установленным в пунктах пересечения границы, в центрах мониторинга. Клиент – VPN Сервер устанавливается для поддержки двух сетевых подключений. В случае необходимости поддержания более двух сетевых подключений устанавливается Клиент - VPN Gate.
Организация VPN-подключений обеспечивает защищенный канал связи через Интернет между пунктами пересечения границы и сетью, в которой расположены центры мониторинга Системы.
Данные, считываемые в пунктах пересечения границы, проходят в зашифрованном виде через Интернет, через оборудование определенного числа провайдеров, сохраняя целостность и конфиденциальность данных благодаря организации VPN-подключений.
Сервер VPN представляет собой разделенные firewall и VPN-сервер. Клиент VPN (Gate или Сервер), установленный в пунктах пересечения границы, подключается к Интернету через xDSL-каналы или оптоволоконные линии и инициирует соединение VPN с центрами мониторинга через Интернет. Таким образом, скорость данного соединения будет ограничена лишь скоростью подключения к Интернету.
В соответствии с локальной политикой безопасности (PLS), подготовленной на центральном уровне и определенной на уровне пользователя, устанавливается защита переданных данных между пунктом перехода границы и центрами мониторинга.
управление доступами (фильтрация пакетов IP и IPSec);
защита информации при передаче через каналы связи (IPSec);
идентификация пользователей/сетевых узлов.
Фильтрация пакетов IP будет осуществляться посредством:
фильтрации методом конечных автоматов произвольных двоичных данных пакетов по заголовкам сетевых и транспортных полей;
критериев фильтрации пакетов IPSec;
идентификатора пользователя/сетевого узла;
данных, содержащихся в сертификате пользователя/сетевого узла: поля Subject и Issuer. Решение о дальнейших действиях относительно пакета принимается в зависимости от того, кем подписан сертификат пользователя и от информации о пользователе/узле;
интерфейса криптографирования CryptoAPI для подключения внешних модулей криптографирования, функционирующих на уровне приложений и на уровне ядра SO (RFC 2628);
неограниченного числа защищенных интерфейсов;
поддержки протоколов каналов Ethernet, Fast Ethernet;
поддержки протоколов удаленного доступа PPP.
Будут использованы следующие алгоритмы криптографии:
криптография пакетов;
ESP c использованием AES, tDES.
Идентификация пакетов будет осуществляться посредством:
использования алгоритма SHA1-HMAC;
обмена ключами IKE (RFC 2409), режим IPSec;
обмена IKE-основной режим, агрессивный режим, быстрый обмен, операционный обмен, информационный обмен.
Поддержание возможностей IKE. Режим IKE CFG для передачи/обмена различными данными. Например, могут быть использованы для объединения в локальную виртуальную сеть различные логические и географически разобщенные узлы сети и локальные сети.
Поддержание работы со списками отозванных сертификатов. Получение списков отозванных сертификатов в формате CRLv2 через протокол LDAPv2 или из файла.
Стандарты и интероперативность (межоперативность) будут использованы для:
поддержки распространения сетевых адресов (инкапсуляция IPSec в UDP); поддержки использования внешних криптографических библиотек; все криптографические функции могут быть импортированы;
обеспечения возможности использования PKCS#11 носителей eToken для безопасного хранения наиболее важной информации;
поддержания дополнительной идентификации с помощью протоколов XAUTH и Hybrid IKE.
В процессе реализации Системы возможно изменение и уточнение концепции с учетом разработки схем контроля и сотрудничества с другими пограничными службами.
1. Утвердить Концепцию Системы мониторинга в режиме реального времени событий, автотранспорта и людей на таможенных постах (прилагается).
2. Таможенной службе в месячный срок разработать и утвердить план мероприятий по реализации указанной концепции.
3. Назначить ГП «Vamtehinform» при Таможенной службе генеральным подрядчиком по реализации положений данной концепции.
4. Государственному предприятию «Centrul de Telecomunica\ii Speciale» в сотрудничестве с АО «Moldtelecom» и другими операторами в 30-дневный срок представить Таможенной службе на утверждение техническое решение по передаче в режиме реального времени видеоданных с таможенных пунктов и постов.
Премьер-министр Василе ТАРЛЕВ
Контрассигнуют:
первый зам. премьер-министра Зинаида ГРЕЧАНЫЙ
министр информационного развития Владимир Моложен
№ 1049. Кишинэу, 21 сентября 2007 г.
Утверждена
Постановлением Правительства
№ 1049 от 21 сентября 2007 г.
Постановлением Правительства
№ 1049 от 21 сентября 2007 г.
КОНЦЕПЦИЯ
Системы мониторинга в режиме реального времени событий,
автотранспорта и людей на таможенных постах
I. Введение
Безопасность таможенных постов не может быть обеспечена в полном объеме без эффективного видеонаблюдения, обеспечивающего как мониторинг в реальном времени событий автотранспорта и частных лиц, так и регистрацию видеоизображений с целью их дальнейшей проверки.Системы мониторинга в режиме реального времени событий,
автотранспорта и людей на таможенных постах
I. Введение
II. Общее описание
Система мониторинга в режиме реального времени событий, автотранспорта и частных лиц (в дальнейшем – Система) создана с целью мониторинга и предупреждения незаконного передвижения в рамках таможенных постов товаров, автотранспорта и пассажиров.III. Нормативно-правовая база
Нормативно-правовой базой Системы является действующее национальное законодательство, в частности Закон об электронном документе и электронной подписи № 264-XV от 15 июля 2004 г. (Официальный монитор Республики Молдова, 2004 г., № 132-137, ст.710).IV. Основные принципы
В основу создания Системы положены следующие принципы: рентабельность с точки зрения соотношения преимущества – стоимость;
надежность и способность быстрого устранения повреждения и восстановления;
простота в эксплуатации, при этом основные функции не зависят от человеческого фактора, в связи с чем исключается допущение возможных человеческих ошибок;
простота установки и возможность дальнейшего развития;
устойчивость к саботированию и условиям среды, при этом ее безопасность не может быть скомпрометирована ни при каких обстоятельствах;
наличие собственного непрерывного источника питания на случай отсутствия напряжения в главной сети;
соответствие действующим нормам безопасности;
передача видеоизображений в режиме реального времени.
V. Структура Системы
Система состоит из следующих подсистем:замкнутая телевизионная подсистема;
подсистема идентификации номеров государственной регистрации (только для таможенных постов, расположенных на приднестровском участке);
подсистема управления трафиком.
А. Замкнутая телевизионная подсистема
Это достигается сочетанием мер безопасности, включающих оборудование для наблюдения и защиты, а также специальный персонал, назначенный для наблюдения.
Замкнутая телевизионная подсистема будет обеспечивать наблюдение за следующими зонами безопасности:
периметр и подъездные пути – эта зона включает периметр таможенных постов и автовъезда в зоны таможенного контроля;
периметр здания – эта зона включает входы в здание;
помещения отделов особого значения – для этой зоны наблюдение осуществляется за пространством размещения оборудования записи и обработки видеоинформации.
Для каждой выделенной зоны устанавливается необходимое количество оборудования наблюдения исходя из ее специфики.
Фиксирование изображений производится при помощи камер с высокой разрешающей способностью, с черно-белым изображением типа день-ночь для получения мельчайших деталей. Регистрация записанных видеокамерой наблюдений будет осуществляться на твердом носителе, что позволит одновременно записывать информацию в цифровом формате, ее просмотр, работу с архивом и передачу данных по сети. Подсистема предоставляет информацию о степени нагрузки HDD, интенсивности трафика данных в сети, системных дате и времени. Цифровой регистратор будет предназначен для мониторинга от 8 видеокамер на одну станцию и до 256 видеокамер в сети.
В. Подсистема идентификации номеров государственной регистрации (только для таможенных постов, расположенных на приднестровском участке)
Подсистема предоставляет услуги по автоматическому распознаванию регистрационных номеров автомобилей, позволяя решить проблему мониторинга трафика зарегистрированных автомобилей при прохождении через пункт контроля трафика (пункт таможенного контроля). Система также позволяет осуществлять мониторинг трафика автомобилей, находящихся в движении, даже в случае отсутствия контрольного пункта (предполагается замедление и/или остановка транспортного средства), и предоставляет информацию об идентичности транспортного средства.
Подсистема позволяет устанавливать регистрационные номера автотранспортных средств других стран (например, Украина, Румыния и др.), осуществляя также установку типов опознанных регистрационных номеров.
Подсистема идентификации номеров государственной регистрации, которая будет использоваться Таможенной службой, должна обеспечить:
распознавание номеров государственной регистрации в любых климатических условиях и в любое время суток;
идентификацию по регистрационному номеру страны регистрации автомобиля;
ручной ввод в базу данных некоторых параметров транспортных средств (модель, грузоподъемность и др.);
составление «черных списков» (автомобили, угнанные или находящиеся в розыске, и др.).
Распознавание регистрационных номеров будет осуществляться, как правило, во внутренних границах таможенного пункта с передней и задней части автомобиля для обоих направлений движения, а в некоторых случаях и для некоторых пунктов распознавание автотранспорта будет осуществляться при въезде в периметр и выезде из периметра (для пунктов транзита высокопоставленных лиц).
Для надлежащего функционирования подсистемы распознавания номеров необходимо, чтобы в зону контроля (внутри периметра) разграничение противоположных полос движения осуществлялось таким образом, чтобы автомобили останавливались перед распознающими камерами, а видеоизображение фокусировалось на регистрационном номере.
Подсистема обеспечит взаимное подключение таможенных постов в единый центр мониторинга для наблюдения в режиме реального времени из отдаленной точки (например, центрального аппарата Таможенной службы) посредством сети передачи данных (Етернет, Интернет) или при помощи любого другого типа существующей связи.
С. Подсистема управления трафиком
Для более эффективного трафика и исключения рисков недозволенного пересечения линий таможенного контроля будут применяться автошлагбаумы с соответствующими светофорами. Подсистема управления трафиком позволит обеспечить автоматизированное (электронное) администрирование зоны перехода (переезда), а также сохранение всех сопутствующих операций (въезд, остановка, выезд) в базе данных, доступных в дальнейшем для выполнения статистических отчетов.
Количество и расположение автошлагбаумов будет определяться для каждого таможенного пункта. Автошлагбаумы будут приводиться в действие при помощи телекоманды с пульта управления, расположенного внутри таможенного пункта, а для пунктов транзита высокопоставленных лиц – автоматически системой распознавания номеров регистрации.
Размеры (длина) шлагбаума будут определяться раздельно для каждой таможни/таможенного пункта в отдельности, в зависимости от размеров зоны доступа, но с расчетом полного покрытия (закрытия) таможни/таможенного поста.
Для достижения лучших результатов будут использованы светофоры со светящимися диодами. Светофоры должны иметь два цвета: красный и зеленый. По сравнению с классическими светофорами с лампой накаливания данные светофоры имеют следующие преимущества:
пониженное потребление электроэнергии (номинальная потребляемая энергия сокращается на 80%);
существенное продление срока эксплуатации (10 лет);
практическое отсутствие затрат на содержание в период эксплуатации (исчезнет проблема замены лампочек);
исключение случайной ложной сигнализации, обусловленной сильным световым потоком (эффект приведения).
На каждом шлагбауме предусматривается отдельный светофор.
VI. Обеспечение защиты информации
на уровне сети
Защита информации на уровне сети обеспечивается организацией VPN-подключений. Конструкция VPN представлена двумя уровнями и состоит из 3 компонентов:на уровне сети
Центральный уровень:
Сервер VPN (Gate);
Trusted GSM.
Пользовательский уровень:
Клиент VNP (Gate или Сервер).
Организация на центральном уровне, состоящем из Сервера VPN и Trusted GSM, обеспечивается комплексом программ и оборудования, предназначенного для защиты данных. Центральный уровень предназначен для администрирования комплекса программ и оборудования, установленного на уровне пользователя.
Функционирование пользовательского уровня обеспечивается отдельным комплексом программ и оборудования, предназначенным для защиты информации и установленным в пунктах пересечения границы, в центрах мониторинга. Клиент – VPN Сервер устанавливается для поддержки двух сетевых подключений. В случае необходимости поддержания более двух сетевых подключений устанавливается Клиент - VPN Gate.
Организация VPN-подключений обеспечивает защищенный канал связи через Интернет между пунктами пересечения границы и сетью, в которой расположены центры мониторинга Системы.
Данные, считываемые в пунктах пересечения границы, проходят в зашифрованном виде через Интернет, через оборудование определенного числа провайдеров, сохраняя целостность и конфиденциальность данных благодаря организации VPN-подключений.
Сервер VPN представляет собой разделенные firewall и VPN-сервер. Клиент VPN (Gate или Сервер), установленный в пунктах пересечения границы, подключается к Интернету через xDSL-каналы или оптоволоконные линии и инициирует соединение VPN с центрами мониторинга через Интернет. Таким образом, скорость данного соединения будет ограничена лишь скоростью подключения к Интернету.
В соответствии с локальной политикой безопасности (PLS), подготовленной на центральном уровне и определенной на уровне пользователя, устанавливается защита переданных данных между пунктом перехода границы и центрами мониторинга.
VII. Характеристика компонентов центрального и
пользовательского уровней архитектуры VPN Системы
Используемыми механизмами безопасности являются:пользовательского уровней архитектуры VPN Системы
управление доступами (фильтрация пакетов IP и IPSec);
защита информации при передаче через каналы связи (IPSec);
идентификация пользователей/сетевых узлов.
Фильтрация пакетов IP будет осуществляться посредством:
фильтрации методом конечных автоматов произвольных двоичных данных пакетов по заголовкам сетевых и транспортных полей;
критериев фильтрации пакетов IPSec;
идентификатора пользователя/сетевого узла;
данных, содержащихся в сертификате пользователя/сетевого узла: поля Subject и Issuer. Решение о дальнейших действиях относительно пакета принимается в зависимости от того, кем подписан сертификат пользователя и от информации о пользователе/узле;
интерфейса криптографирования CryptoAPI для подключения внешних модулей криптографирования, функционирующих на уровне приложений и на уровне ядра SO (RFC 2628);
неограниченного числа защищенных интерфейсов;
поддержки протоколов каналов Ethernet, Fast Ethernet;
поддержки протоколов удаленного доступа PPP.
Будут использованы следующие алгоритмы криптографии:
криптография пакетов;
ESP c использованием AES, tDES.
Идентификация пакетов будет осуществляться посредством:
использования алгоритма SHA1-HMAC;
обмена ключами IKE (RFC 2409), режим IPSec;
обмена IKE-основной режим, агрессивный режим, быстрый обмен, операционный обмен, информационный обмен.
Поддержание возможностей IKE. Режим IKE CFG для передачи/обмена различными данными. Например, могут быть использованы для объединения в локальную виртуальную сеть различные логические и географически разобщенные узлы сети и локальные сети.
Поддержание работы со списками отозванных сертификатов. Получение списков отозванных сертификатов в формате CRLv2 через протокол LDAPv2 или из файла.
Стандарты и интероперативность (межоперативность) будут использованы для:
поддержки распространения сетевых адресов (инкапсуляция IPSec в UDP); поддержки использования внешних криптографических библиотек; все криптографические функции могут быть импортированы;
обеспечения возможности использования PKCS#11 носителей eToken для безопасного хранения наиболее важной информации;
поддержания дополнительной идентификации с помощью протоколов XAUTH и Hybrid IKE.
VIII. Организационная структура
Реализация Системы осуществляется Таможенной службой. Главным подразделением, ответственным за создание и внедрение Системы в таможенных органах, является ГП «Vamtehinform». Другие подразделения Таможенной службы участвуют в реализации Системы в соответствии с должностными компетенциями.IX. Обеспечение функционирования Системы
В целях обеспечения надежного функционирования оборудования системы будут установлены источники бесперебойного электропитания типа UPS. Их возможности будут различными для каждого таможенного пункта таким образом, чтобы обеспечить функционирование системы в течение не менее 15 минут до набора полной мощности генератора таможенного пункта.X. Заключение
Настоящая концепция является основой для разработки планов и проектов по мониторингу, предупреждению и борьбе с незаконным трафиком товаров, автомобилей и пассажиров на таможенных пунктах и постах, а также недопущению случаев коррупции в таможенных органах.В процессе реализации Системы возможно изменение и уточнение концепции с учетом разработки схем контроля и сотрудничества с другими пограничными службами.