智慧校园综合安防系统建设方案.docx
《智慧校园综合安防系统建设方案.docx》由会员分享,可在线阅读,更多相关《智慧校园综合安防系统建设方案.docx(15页珍藏版)》请在冰豆网上搜索。
智慧校园综合安防系统建设方案
智慧校园综合安防系统建设方案
9)支持将录像下发到智能分析设备进行结构化分析;
10)支持人脸抓拍记录和黑名单报警记录批量导出;
11)支持布控目标信息统一导入导出;
12)支持在疑似目标库中加入门禁记录、过车记录、人体特征记录、人脸特征记录等信息。
10.4.2.2访客管理
支持园区、单位等场合访客的信息登记、操作记录与权限管理。
10.4.2.3考勤管理
1)支持对刷脸记录及考勤结果查询;
2)支持人脸是识别考勤;
10.4.2.4宿管考勤
1)支持宿舍入住信息管理:
可展示各宿舍入住的人数,人员详细信息;
2)支持人员批量入住及分配门禁权限;
3)只是权限管理、人员添加、导入、导出及退宿、人员调宿管理;
4)支持漏洞、园区添加删除、导入导出,添加楼栋时可自动生成寝室编号;
5)通过信息发布的方式显示人员照片、身份信息等;
6)支持宿舍考勤管理:
可查询人员归寝情况,支持查询是否在宿舍、晚归、未归、多日未刷卡等,同时支持自定义节假日设置;
7)支持考勤分析以及考勤记录撤销
10.4.2.5人脸考勤
1)配合前端智能分析服务器,可实现人脸考勤;
2)支持向导式设置考勤模式及使用的前端设备,支持USB相机采集人员照片,支持手动添加人员信息,支持批量导入人员信息;
3)支持在装有信息发布系统的监视器上显示当前考勤人员详细信息,包括实时抓拍照片,实时视频,等级照片,人员信息;
4)支持进出宿舍记录查询、晚归人员信息查询、未归人员信息查询、当前归寝人员名单查询;
5)支持查看具体考勤信息对应的抓拍图像,支持未签到查询和已签到查询,支持查看签到抓拍照片,支持以柱状图和表哥形势展示人员归寝状态;
6)配合前端人脸抓拍机,实现签到功能,支持以表格形势展示签到信息;
7)支持配置多条考勤规则;
8)支持手动录入、报警记录转时间信息等方式建立事件,支持对事件数量进行统计,支持以图表形式展示事件概况事件统计结果;
9)支持事件审批流程,最多可设置为三级,支持手动设置事件处理人员(包括录入人员、审批人员);
10)支持将录像查询一体机建切成抓拍的录像上传到平台,支持将上传的录像文件与事件关联,支持同时处理多台录像查询一体机的录像文件;
11)支持通过客户端将300M以内的文件上传到关联的存储设备,并与事件关联,并支持下载已上传的文件,支持事件查询并导出为excel文件
10.4.3车辆管理业务
图119.车辆管理应用界面
10.4.3.1车辆应用功能
1)支持轨迹回放展示速度线:
在回放时显示车辆速度曲线,支持以曲线形式展示超速时段;
2)在地图轨迹上展示报警路段,并支持查看报警原因;
3)支持录制行驶路线,支持将已录制的路线设置为线路规则;
4)支持对车辆轨迹裁剪;
5)支持展示车辆24小时的速度曲线图,并支持在该图上显示超速时间,支持导出该图片;
6)将系统中所有车辆的超速报警按超速次数多少顺序排列。
10.4.3.2园区车辆管理功能
1)支持园区超速布控:
对所有车辆进行超速设置,同时支持对所有已录入的内部或外部车辆进行限制进入设置,可设置超速联动或给车主发短信的出发次数;
2)支持车辆抓拍位置地图定位及模拟显示车辆轨迹;
3)支持超速、违停、黑名单报警信息查询,包括基本车辆信息、告警图片、告警录像
;
4)配合前端抓拍设备,可实现违章报警联动LED屏显示车辆信息;
5)支持设置违章车辆白名单,白名单中的车辆不在LED屏上显示;
6)支持通过车牌号码模糊查询车辆违章信息;
7)支持园区过车的统计分析:
支持过车数据和告警数据进行各种报表统计分析,主要包括:
违章统计、各时段流量统计、各时段违章统计、车辆来源统计、卡口热力图和月度车辆违章统计等;
10.4.3.3停车场出入口功能
1)支持停车场管理包括:
人员信息管理、卡片信息管理、资金信息管理等功能
2)支持访客车、内部车等设置不同的缴费规则,支持通过客户端选择自主缴费功能;
3)支持第三方制度平台的选择等;
4)支持通过手持终端进行固定车辆查询、缴费或车辆布控等功能设置。
10.4.3.4智能管控功能(关于车辆的)
车辆检索:
配合智能分析设备,支持接收前端结构化数据,根据地区、安全带、使用手机、车牌字符等特征条件手动筛选,检索目标,支持以图搜图;可查看显示车辆被抓拍时的位置及查看原始视频录像,可在车辆检索结果图片中识别出车辆;
10.4.4报警管理业务功能
图120.报警业务功能界面
10.4.4.1预案管理
1)预案支持联动预置点、视频预览、上墙、门禁、短信和I/O输出;
2)支持手动执行预案。
10.4.4.2联网监管
1)支持数据运营,展示下级平台告警、运维数据,并进行地图可视化统计分析;
2)支持地图可视化监控,展示多校区联网地图及单体学校地图,支持视频点位的预览。
10.4.4.3信息发布
1)支持节目编排及素材制作管理,素材包括视频、文字、图片;
2)支持日程管理,可实现将不同的节目按照计划进行播放,可按周或按天进行周期性设置。
10.4.4.4报警信息的接收和分发功能
应能实时接收报警源发来的的报警信息,根据报警处置预案将报警信息及时分发给相应的用户终端或系统、设备。
10.4.4.5一键告警柱管理
1)支持接收一键告警柱的报警信号;
2)支持远程控制一键报警柱实现远程开锁、可视对讲、广播等功能。
10.4.4.6告警管理功能
1)支持平台告警统一管理:
实现视频。
门禁、停车场、一键紧急告警柱、车载硬盘录像机、园区违章、宿管事件等业务子系统的全部告警事件统一管理;
2)支持当设备离线等异常恢复时,保持告警配置信息不变。
10.4.5三维电子地图功能
1)支持监控点覆盖范围的可视域管控,支持根据云台转动,地图上动态显示监控方向及覆盖范围;
2)支持园区全景地图:
支持高德在线地图/离线地图,谷歌在线地图/离线地图;支持GIS、静态地图、2.5维地图和3维地图;最大全图资源数容量不小于10万;2D地图的建筑物支持作为单独模型被选中。
3)支持模型实况展示摄像机等资源,点击该模型可对视频进行预览;支持查看地图元素信息;支持查看告警信息,并支持在地图上定位报警点位;
4)支持地图漫游、全屏、视频巡逻、位置及资源收藏、飞行模式、天气模式等;
5)支持卡口过车及车辆行驶路径查询。
10.4.5.12D地图服务
10.4.5.1.1图形可视化
系统提供全景GIS地图,图形化展现各类监控点位信息,摄像机可视域展示,直观判断监控死角,监控点状态一键展示,一目了然建筑物对象化信息清晰可见,楼内地图展示,全方位模拟实景。
图121.GIS可视化
图122.全景地图
10.4.5.1.2监控可视域
系统可直接搜索定位可视域球机,定位在GIS地图上的位置,当预览可视域球机时,转动球机时,地图上显示的照射扇形方向会发生相应的变化,方便监
控。
图123.可视域球机照射扇形3D地图功能服务
10.4.5.1.3三维场景浏览
整个校园区域范围,采用虚拟建模的方式,展示立体的、美观的校园虚拟三维场景,进行便捷浏览;可通过俯瞰、侧看、关注细部特征查看、旋转等方式来浏览校园的每个角落。
图124.三维预览
如图中,黄色的代表单个摄像机模型,红色的代表室内多个摄像机模型的集合,并标记该建筑内的摄像机个数。
10.4.5.1.4视频联动及视频操作
三维场景中的摄像机,可以查看其预览、回放图像以及上墙功能,也可以在地图上进行多选操作、框选操作,选择多个摄像机对象,对图像进行查看。
图125.视频联动
图126.视频预览及录像回放
10.4.5.1.5视频巡逻
系统可以设置多个视频点的组合,形成视频巡逻路线,点击视频巡逻,可以以第一视角方式,按摄像机顺序行走并在摄像机位置上停留播放一定时间的视频预览(如30秒),预览结束后,关闭预览,继续巡逻。
图127.视频巡逻
10.4.5.1.6报警联动
系统对摄像机的报警及其他I/O类的报警(如消防的烟感、温感),能够快速定位到报警位置,同时查看管理的视频监控。
图128.报警联动
10.4.6平台管理功能
图129.平台管理业务界面
10.4.6.1资源管理功能
1)资源迁移:
支持按组织迁移,按资源点迁移监控点、告警器、对讲通道等组织资源;迁移后,录像计划、告警计划等配置信息不变;
2)支持应用管理:
可以对平台当前的应用进行管理配置,可动态的添加新的平台应用功能或者移除平台的旧有功能;
3)支持主动设备发现;
4)设备接入:
支持鱼眼摄像机、全景摄像机、布控球机、可视域球机、智能网络摄像机、门禁、可口、报警主机、访客一体机、人证比对设备、动环主机、云存储服务器及视频云结构化服务器等设备的接入管理;支持4096*2160分辨率设备接入
10.4.6.2用户登录管理功能
1)支持制定IP地址段、MAC地址的用户登录管理;支持互联网用户域名登录(手机客户端、CS客户端、浏览器访问支持域名方式);
2)支持对用户的禁用/解决管理,支持强制登录在线用户下线;
3)支持用户优先级管理功能,用户优先等级可设置,用户等级支持多级;
4)支持用HTTPS方式登录系统;
5)支持自定义平台图标、名称和菜单项;
6)支持自定义网页端客户端的首页模块顺序,显示隐藏,卡片顺序,首页背景图等,实现个性化配置;
7)支持单点登录,用户只需要登录一次就可以访问所有相互信任的应用系统。
10.4.6.3日志管理功能
1)联网系统的日志包括运行日志和操作日志。
运行日志应能记录系统内设备启动、自检、异常、故障、恢复、关闭等状态信息及发生时间,操作日志应能记录操作人员进入
、退出系统的时间和主要操作情况;
2)支持日志信息查询和报表制作等功能。
10.4.6.4电视墙管理功能
1)支持大屏拼接、画面分割、画面开窗、画面漫游、轮巡、场景切换管理功能;
2)支持控制回放图像上墙。
10.4.6.5基础信息库管理功能
1)支持手动修改人员信息、车辆信息;
2)支持导入其他智能分析服务器中人员及车辆系统信息。
10.4.6.6组织结构管理
支持组织机构的增删改管理,组织机构深度可自定义
10.4.6.7运维管理
1)支持设备在线状态,服务异常状态的显示、查询和统计功能,;
2)支持检测图像模糊、条纹干扰、亮度异常、偏色异常等的视频质量诊断;
3)配合Ivms-9300综合监控与运维管理系统软件,可支持监控点视频图像质量及录像状态的显示、查询和统计功能;支持设置最小2分钟一次的录像完整性检查;
4)支持显示网络拓扑图。
第十一章系统安全性设计
11.1网络传输与接入安全
11.1.1中心局域网网络安全
各级监控中心之间主要传输数字信号,数字信号的传输离不开IP网络系统,IP网络由于其开发性和简易性,产生了不少的安全问题,这些安全问题严重地威胁着系统的正常运行,因此建议各级监控中心从以下几个方面入手,采取相应的安全措施和设备,提高各级监控中心的网络层安全性。
1)防火墙技术
“防火墙”是一种重要的安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。
防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而通过监测、限制、更改跨越“防火墙"的数据流,通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。
在监控报警联网系统中,建议应用"防火墙"技术,通过对网络作拓扑结构和服务类型上的隔离来加强网络安全。
一般来说,在二级监控中心和一级监控中心处安装防火墙,中心内部作为被保护的内部网络、三级监控中心作为外网,建立过滤规则和其它安全策略。
由于需要处理实时视频数据流,应该采用高性能的硬件防火墙,采用ASIC芯片,直接在硬件设备中处理访问策略和加密算法,在千兆位传输速率下,仍能提供多项功能,包括:
封包分析、分类、加密、解密、网络地址翻译(NAT)及会话配对等。
2)入侵检测技术
防火墙是一种主要的周边安全解决方案。
虽然防火墙能够在网络级提供访问控制,但好几个通信端口都是开放的。
借助这些端口,外部用户能够与机构内的交换机通信。
例如,邮件和Web服务器都要求,外部能够访问某些端口。
通过这些端口,黑客可以穿过防火墙攻击服务器,将其作为公司网络的入口。
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到袭击。
由于问题比较复杂,先进的
IDS解决方案一般都包含两个组件:
用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS(HIDS)。
NIDS主要预防网络袭击,HIDS则主要防止服务器遭受OS和应用袭击。
NIDS检测器配置为分布式模式,安装在多个位置上:
最重要的位置是防火墙前面,负责监控进入机构的通信信息。
另外,每个重要的网段都安装一个检测器。
HIDS首先部署在面对互联网的服务器上(Agent),例如Web、邮件和DNS服务器。
由于面向互联网的服务器与后端服务器相连,因此,HIDS也部署在公司防火墙内的所有其它主要服务器上。
考虑到袭击技术多种多样,黑客数量只增不减,必须采用全面的解决方案才有有效预防黑客的袭击。
我们建议公安局用户在关键部位同时采用主机入侵检测和网络入侵检测。
3)端口扫描与风险防范技术
风险管理系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。
一个出色的风险管理系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。
它就象一个老虎队一样质询网络和系统;在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。
这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
漏洞扫描系统也包含两个部分:
基于主机的和基于网络的
基于主机的安全漏洞扫描和风险评估工具:
它通过简化整个安全策略的设置和安全过程,可最大可能的检测出系统内部的安全漏洞障碍,并且使管理人员能够迅速对其网络安全基础架构中存在的潜在漏洞进行评估并采取措施。
基于网络的安全漏洞扫描和风险评估工具:
它可根据整体网络视图进行风险评估,同时可在那些常见安全漏洞被入侵者利用且实施攻击之前进行漏洞识别,从而帮助企业妥善保护网络和系统。
它能够安全地模拟常见的入侵和攻击情况,在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞,从而识别并准确报告网络漏洞,并推荐修正措施。
4)防病毒
病毒是目前计算机网络系统的最大风险之一,因此在各级监控中心部署强有力的防病毒系统是非常必要的。
该防病毒系统应该能够提供高性能的防护和灵活性,保护网关、服务器和工作站的安全;它应该是一个完善的安全解决方案,提供先进技术来保护网络中的各个层次;它应该能够提供集中化的策略管理,为整个公安专网的工作站和网络服务器提供可扩展、跨平台的病毒防护。
11.1.2监控专网接入安全
公网上的社会图像信息资源在接入监控专网时,必须先经过安全隔离网闸,通过网闸实现信令流与媒体流的传输。
如图所示。
图130.公网数据接入监控专网安全接入示意图
11.1.3终端接入安全
在监控专网中,通过建设接入认证系统实现基于用户名和密码的身份认证,并且支持用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定的方式,来保证接入安全。
11.2系统数据安全
系统数据采用分布式存储方式,上级管理部门采用IPSAN存储重点迁移取证视频图像和案件管理视频图像。
1)应用冗余硬盘技术
为确保系统数据的可靠性,派出所采用的数字硬盘录像机应支持冗余硬盘,对重要通道的图像在两块硬盘上同时进行录像,做到录像资料在硬盘录像机上的双备份。
DVR、NVR存储均应支持硬盘保护机制,支持硬盘数据读取保护机制。
2)RAID和热备技术
IPSAN数据存储采用RAID5技术,热备和镜像技术。
即使出现硬盘坏,RAID5可以保证数据不丢;
3)热备技术
可以使设备在出现坏盘时,无需人工介入,自动开始修复工作(RAID重构)。
关键服务器应支持双机热备,如中心管理服务器、数据库服务器,提系统整体运行的稳定性。
11.2.1完整校验机制
系统采用公安部要求安全接入设备包括对媒体流、信令流数据进行严格校验机制
内外端机严格控制对外网用户提供的服务,甚至可以不对外提供服务,以减少由于开放知名服务而带来的安全隐患。
设备所依赖的操作系统引擎GodenSec经过了最大化精简,是在专门进行了安全优化和加固的基础上建立起来的,其本身的安全性值得信赖。
采用了内嵌入侵检测和病毒防护等安全机制,利用自有高效的安全算法,可最大限度防止攻击和恶意代码侵袭等活动。
系统提供管理员身份鉴别功能,并借助强有力的安全策略来保证鉴别的有效性和安全性,例如对口令强度的检测及对鉴别尝试次数的限制等。
11.2.2传输加密机制
系统用户登录、操作、配置等功能都采用严格的传输加密机制。
在网内重要部位安装网路探测器,发现违规模式和未受权用访问时,报告信息报警通知系统安全管理中心
。
接受来自网路探测器的信息,根据安全策略进行分析,并作审计、报告、事件记录和报警等处理。
要按照GB/T20XX年1-20XX年《信息安全技术信息系统通用安全技术要求》中4.2.7的要求,对包括计算机病毒在内的恶意代码进行必要的安全防护。
11.3应用安全
本系统是有多个单元组成的,各单元都需要用户认证才可以进入。
同时权限设置采用多层次,高加密技术,以求保证系统各单元运行的安全。
11.3.1用户身份认证
用户认证信息采用64位的DES加密或1024位RSA加密处理,由中心管理服务器的认证模块对其进行验证身份认证和实体鉴别是指通过对操作者、收发双方实体的身份认证和鉴别,保证合法实体(操作者、通信双方)的真实性,防止非授权或冒充身份的操作访问。
系统平台除用户名、密码和验证码登陆机制外,结合公安部统一的数字身份认证管理PKI和数字身份权限管理PMI方式设计。
11.3.2访问权限控制
采用基于角色(岗位)的访问控制与授权策略的目的是:
为应用系统提供一种安全、灵活的用户权限控制管理机制。
系统的授权是面向角色(岗位)(人与权限属性的集合体)的,而不是面向用户的,这样系统的授权和用户的定义可以分离,方便了管理;
在用户变换了岗位之后,其职责也发生了变化,相应的权限也发生了变化。
这时,系统只需赋予用户新的角色即可完成用户授权的改变,而无需在很细的授权粒度改变用户的授权,从而使系统具有了很强的灵活性。
通过显示用户登录有效日期,进行灵活的用户访问限制手段。
11.3.3用户权限管理
系统采用分级权限、安全加密认证等多种手段确保网络视频监控系统安全。
对编码的视音频数据采用加密技术,防止人为删改。
平台提供多级用户管理架构,每级用户具有不同的管理权限,根据所赋予的权限可以进行相应的系统访问和监控操作,以防止非法登录和越权操作。
通过设定不同的管理员权限,来保证网管系统的数据安全性。
网管人员分超级用户和普通用户,超级用户可以执行网管系统的全部功能操作;而普通用户只能看到一般的信息显示,不能修改。
而且,对不同的普通用户,还可以定义不同的网管人员视图,使不同的网管人员只能存取适当的信息。
系统支持用户、用户组、部门管理,组内用户可具备相同部分的权限,用户对部门或主机的权限可向下继承。
用户访问权限可以根据要求设置跨部门访问。
系统能对所有操作键盘和用户进行管理,能设置不同的权限。
不同的权限对不同的资源有不同的监控级别,系统管理员可以将用户级别及用户对设备的权限自由设置以方便管理。
用户权限管理满足集中统一管理的需要,以业务流程为纵向主线,以行政管理体系为横向主线,无论是上级业务管理部门、主管领导或其它管理单位,均可根据系统授予的权限察看所需要的图像和相关信息。
用户可分成多个不同的级别。
不同级别用户可以同时浏览任意的同一个前端图像,但控制权需按用户级别获取。
级别较高的用户有优先控制权,高级别用户释放控制权以后低级别用户才能继续控制;相同级别的用户抢占相同控制权时,按照先来先服务的原则取得控制权。
用户对系统资源的控制能力仅仅受限于其权限和优先级,与资源所处的地域无关。
我们将结合相关协议的自主开发来实现权限管理,这里仍将用到上面讲到的用户表,通过它,此系统将具备完善的权限管理功能。
对系统的权限管理通过下述几个方面来进行:
1)基于用户的权限管理
2)基于用户组的权限管理
3)基于访问时间的权限管理
对以上几类访问的组合
在系统中对各种操作功能的权限进行详细的划分,在系统中设置如下的功能执行权限:
1)告警处理的权限:
告警取消、告警确认、告警预处理的权限;
2)数据管理的权限:
数据查询、增加、修改、删除的权限;
3)监控调度的权限:
发送控制指令、调度信息的权限;
4)用户资料管理的权限:
用户资料查询、增加用户、修改用户资料、删除
5)系统每一个用户综合上述的类别和功能级别进行设定,规定其授权、时间限制、制定授权范围;
11.4行为审计措施
为避免系统建设和维护中的安全漏洞,及时发现系统受到的攻击和失误操作,除建立上述各个层次上的安全设施以外,系统支持多级安全审计
1)能够将系统运行情况和用户的任何操作自动生成日记,方便维护管理和用户行为的事后审计;
2)能够记录所有的事件信息:
包括巡检、配置、视频、故障、基础维护等信息;
3)支持对日志的分级、分类查询管理;
4)所有日志能够导出,具有日志数据保护功能,可以设定禁止修改功能,保证这些数据的真实性;
5)查询的日志信息,支持图表、类图的形式返回给用户;
11.5故障抢修机制
采集接收平台产生的故障告警信息,包括视频丢失、服务停止、线路断开等异常情况,并将告警信息发送给相关责任人员。
同时辅助运维管理人员定位故障原因,监督其维护工作,从而提高整个系统的健壮性。