边检指挥中心平台技术方案.docx

1、边检指挥中心平台技术方案XX边防检查站指挥中心平台技术方案版本：Ver1.02014年3月第1章项目概述 31.1项目背景 31.2建设目标 3第2章总体设计 42.1设计原则 42.2总体架构 6第3章工程建设方案 73.1网络 83.2主机及存储系统 93.3系统软件 93.4系统功能模块 113.5安全系统 153.6技术路线和关键技术 16第4章培训及维护 194.1应用培训 194.2运行测试设计 194.3系统维护机制与定员 20第1章项目概述1.1项目背景为贯彻落实全国边检工作会议精神，进一步加强边检站执勤执法工作，提高勤务处理、突发事件处置能力，按照“统一指挥、反应灵敏、协调有

2、序、运转高效的应急机制”要求，建设边检指挥中心平台。边防检查站指挥中心是公安边防部队设立在边防检查站机关单位的指挥机构，是集警情研判，指挥管控、平台应用、通信调度、信息采集、学习例会于一体的集中工作场所，是公安边防部队指挥系统、信息系统和通信系统的前端集成应用场所。在此防控体系当中，指挥中心承担核心职能，是日常值班、指挥调度、处突指挥的重要场所。指挥中心的建设目标就是结合指挥中心工作特点，以指挥技术和信息技术为主导，充分运用现代通讯技术、网络技术、自动化技术、电子监控等先进技术，构建以数据传输网络为纽带，以计算机信息系统为支撑，以视频会议和卫星定位为辅助手段，集语音、视频、计算机网络、图像监控

3、、三维定位等多种功能于一体的现代化、网络化、智能化指挥决策中枢。在当前任务繁重艰巨，必须坚持向信息化要警力、要效率、要战斗力，以信息化推动警务机制创新，着力提升警务工作效能。要通过信息化，大力推行扁平化指挥模式，最大限度地压缩指挥层级、减少中间环节，着力拉近指挥与实战、机关与一线的时空距离，缩短响应时间，提高快速反应能力；大力推行符合基层实战化要求的警务模式、勤务方式，科学配置警务资源，合理调整警务部署，最大限度地把警力投向社会面，进一步提高对社会面的管控能力。1.2建设目标1. 以边防信息网络为纽带，以边防一体化平台为支撑，充分应用边防信息化建设成果；2. 集成本单位现有信息化系统（或终端）

4、，进行语音、图像、数据的本地化集成应用；3. 做到精细边防管理，精准执勤执法，精确信息采集，实现反应灵敏、信息精准、智能便捷、通信畅通、指挥有序；4. 建成系统可靠、设备先进、保障有力、反应灵敏的指挥系统。本项目建成后，将有以下特点：5. 基于开放式技术，提供系统在容量、功能等各个方面发展的基础；6. 模块化支持业务功能变化的升级；7. 高可靠性，具备极高的处理容错能力和平台容错设计，并能保证数据安全；8. 先进、实用、成熟的管理系统；9. 友好的操作界面。第2章总体设计2.1设计原则1.整合资源，互联共享。整合现有的信息资源，投资方面最大程度地整合网络与信息资源，保护现有投资，在保证网络整体

5、性能的前提下，充分利用现有的网络设备或通过必要的升级，最终实现有序互联，有效共享。2. 建立完善的应用整合架构。能够为整体IT架构提供重要的基础设施，为后续需要增加新的业务应用系统和对现存系统进行整合提供基础，从而促进整个IT架构的完善。3. 遵循标准规范。系统采用的各种协议，数据库建设标准，信息交换和共享都符合相关国际标准，保证系统将来能与其他系统进行快速、顺利、安全的信息数据交换。4. 遵循开放性原则。系统应提供符合国际标准的软件、硬件、通信、网络、操作系统和数据库管理系统等诸方面的接口与工具，采用开放的技术可使平台能够更好、更及时地将新的技术、功能和标准植入，使系统具备良好的灵活性、兼容

6、性、扩展性和可移植性。5. 保证系统的可靠性。选择较为成熟、可靠、稳定、先进的各种组件、技术以及操作系统、数据库、网络协议、中间件，服务器可采用集群技术，保证系统能长期稳定的不间断运行，保证系统的稳定性。6. 保证数据的安全性和一致性。借鉴国内外先进的信息安全理念，遵循国家有关信息安全的法律、法规、制度，使用软硬件结合的安全保证手段，在物理层、网络层、系统层、应用层及规章制度层等多个层面确保信息系统的安全性与保密性。7. 保证系统的实用性。系统应具备完成工程中所要求功能的能力和水准。系统应符合本工程实际需要的国内外有关规范的要求，并且实现容易，操作方便。坚持以需求为导向，以应用促发展、贴近用户

7、的需求，满足实际信息管理的要求。8. 保证系统的先进性。主要有：一是系统规划和整体结构的先进性，二是系统平台的先进性，三是网络结构的先进性，四是系统布局的先进性，五是数据库平台和开发平台的先进性，六是应用功能的先进性。在构建应用系统时，要立足先进的技术，系统着眼点要高，不仅能满足当前管理的要求，而且要符合信息化的最新发展方向。9. 保证系统的易用性。系统的使用及管理以简便、易用、实用为准则，界面直观、简单、贴近实际，符合实际业务过程。系统维护简单，无须投入大量精力就可保证系统具有高可管理性，降低系统管理和维护成本。以保证系统正常运行。10.保证系统的可扩展性。系统建设应采用面向对象方法进行模块

8、化设计，不仅要满足当前的建设要求，还应具有良好的可扩充与可延展性。有利于逐步升级，实现向未来技术平滑过渡。同时应向用户提供完整、详细的开发文档，确保客户能够对系统进行二次开发。2.2总体架构1、资源层资源层主要包括已有的公安专网、梅沙网、服务器、存储及其他设备，是构成指挥中心平台应用系统的重要基础设施，支撑应用系统的运行。2、数据资源层数据资源层构建于基础设施层之上，并为上层的应用支撑层提供各种信息资源，主要为公安专网的各个系统、梅沙系统等数据。3、数据采集将数据通过手工采集或自动采集的方式，抽取提供到平台数据层中，实现对各数据源的数据采集、传输、交换，数据资源管理。4、平台数据层平台数据层基

9、于数据采集，并为上层的应用支撑层提供各种信息资源。平台数据层是整个系统的信息资源中心，是整个系统数据的集散地。数据资源层主要包括业务数据、监控数据、分析数据。5、业务应用层业务应用层主要包括平台的各个功能模块和子系统。供边防检查站相关人员使用，并且部分数据通过信息门户网站对外进行服务。5、标准规范体系平台建设，要遵循统一的标准规范，是平台各系统得以顺利建设和正常运行的保障体系。6、安全保障体系确保平台安全运行的保障体系，信息安全贯穿于平台的各个层面，平台各系统的建设都必须具有相应软硬件安全保障措施，以保障各应用系统的安全可靠运行。第3章工程建设方案3.1网络XX边防检查站指挥中心平台网络结构如

10、上图所示，将公安专网的各个系统（如居民身份信息、旅馆酒店信息、民爆物品管理信息等）和梅沙专网的梅沙系统的信息采集到指挥中心平台中，应用服务器可提供电子地图服务、视频监控分析、定位对讲处理语音调度等服务。XX边防检查站门户网站部署于互联网服务区，Web服务器提供公众用户的各种访问服务，并且提供给微信公众平台的接口接入，使微信公众平台可以访问到相关的信息。使用负载均衡策略，满足大量用户的并发访问。3.2主机及存储系统3.2.1服务器架构建设服务器平台是构建各种信息数据库、中间件、应用软件平台的依托，涉及到各种数据库及其应用，存储着所有业务数据、应用系统和信息运行所需的数据，是保证信用信息服务平台系

11、统正常运作的关键。这些对服务器系统处理能力提出了较高要求，需要高性能CPU、大容量内存为各类数据应用提供支撑。3.2.2主要性能分析1.数据库服务器：数据库服务器作为业务系统的核心，承担着业务数据的存储和处理任务，具有业务量大、存储量大等特点，服务器的可靠性和可用性是首要的需求，其次是数据处理能力和安全性，然后是可扩展性和可管理性。为保证信用信息平台持续稳定高效地运行，须保证服务器数据存储系统较高的可靠性、扩展性和灾难恢复能力。并根据具体业务需求和投资情况选择双机集群或单服务器系统。2.应用层服务器：主要强调其强大的计算能力，能够处理大量的并发连接处理，并能够在用户数增加的情况下保持良好的性能

12、平衡。除此之外，能够提供连续可用的可靠性，能够适应各种网络环境的扩展能力。3.3系统软件3.3.1操作系统目前主要的服务器操作系统有：Unix、Linux、Windows、Netware等。建议根据项目建设及系统安全性和应用、集群操作的需要，分别选择Windows2008Server（企业版）和RedHatEnterpriseLinux5.5（无并发用户数量限制），以满足本次项目的使用需求。1.Windows2008Server企业版具有系统扩充性好、多用户、多任务、界面友好；能够提供一个高可用性、可管理性和安全、稳定、容错的服务平台。2.RedHatEnterpriseLinux服务器产品具

13、有系统稳定、安全、高效，以及对企业级核心应用的良好支持等特点；实现从用户应用到操作系统的故障自动恢复，可最大限度的降低系统宕机时间；易于部署、管理和使用，在统一的控制面板框架下内建了集成化的管理工具，提供了Linux系统的专业和全面的主机管理工具集，支持本地和远程管理，有效提高了系统管理员的工作效率。以上两种操作系统，均可为本次项目使用。3.3.2数据库管理系统基于数据库管理系统本身的优势、本期项目应用的需求、应用及数据环境间的集成因素，经过认真比较分析后建议选择Oracle产品。主要考虑到：1.Oracle11g提供了完整的开发工具，可以充分满足数据中心及业务应用系统的数据需求，同时还留有很

14、大的扩展性。2.基于Oracle11g以及相应的Oracle系统软件，可以组建高效、安全的三层应用环境，是目前先进、成熟的数据库服务器产品。3.3.3应用服务软件应用服务器和整合服务器是目前比较流行的两种类型的整合架构、整合环境和产品，两者的功能有很大部分的重合。从产品的成熟性方面来看，应用服务器相对要成熟得多。因此，建议在本期项目建设中，选用以J2EE应用服务器为基础的整合方式。一方面，应用服务器提供了成熟的面向消息的中间件JMS；另一方，应用服务器提供了一系列有利于应用整合的服务或功能，如JDBC、JCA、WebService、XML、SOAP、HTTP、TCP/IP等，同时还可以随时加入

15、工作流管理等组件，以进行业务逻辑的整合3.4系统功能模块3.4.1重点人员提示这个子系统是对梅沙系统查控功能的拓展，解决梅沙系统黑名单之外的重点人员管控。可以在公安网中预先录入需要重点提示的国家。检查员前台验放时，系统自动进行实时比对，如有匹配特征的旅客，就会在梅沙前台验放界面弹出提示框，提醒检查员进行重点查验；同时在勤务处理中心弹出旅客通关的实时视频，发出声音报警，实现对前台的监督管理。对空港口岸来说，这项功能意义重大，不仅利于结合本口岸实际，增强管控工作的严密性，更相当于在检查员责任心和专业素质的基础上又增加了一道保险。3.4.2视频监控功能兼容市场上主流厂家的设备，包括海康、大华、博世、

16、前卫视讯、华三、天地伟业等。使用了我们系统后，后期进行系统升级增加设备时，无需再进行二次开发，只需简单配置，即可完成所有功能。3.4.3电子地图通过用户提供的电子地图增加监控点位。3.4.4现场勤务以图形的方式模拟现场出、入境通道，用人物图标模拟台上检查员。当鼠标放在人物图标上，我们看到当前在岗检查员姓名、上台时间、已验放旅客人数等信息。鼠标单击人物图标，还可实时查看通道视频。通俗地讲，就是可以直观地知道现场开了几个台，谁在台上，在台上表现如何，有利于加强勤务组织指挥和监督管理。3.4.5梅沙系统综合辅助系统1、后台旅客信息批量比对核查：a、首次出入境旅客资料核查。b、前台软件针对首次出入境人

17、员也会给予醒目提示。c、历史数据核查功能。d、首次出入境与历史数据核查均提供修改验放数据的功能。2、前台对讲系统、并有弹窗指引。3、文件检索辅助，可对已输入文件进行全文检索，并给出提示。3.4.6登机牌扫描在出境通道的验证台上，增加登机牌扫描扫描装置，能够扫描出境旅客登机牌上的二维码、一维条码。3.4.7梅沙前台验放录入核查软件梅沙系统外挂，叠加在梅沙系统页面上，主要通过备案资料、历史资料、发证资料，实时对旅客输入的资料进行鉴别及提醒，主动帮助检查员进行人证判断。系统能够实现前台检查员采集旅客当次出入境资料与本口岸历史出入境库资料实时自动比对，检索和筛查出未通过（不一致）的信息。对信息不一致的

18、资料，进行醒目提示，并可调取出历史资料，包括照片，进行核对调整。3.4.8定位对讲系统基于北斗卫星定位技术,将移动目标的动态位置(经度、纬度)、时间、状态等信息通过网管中心实时传送至监控中心,监控中心可以在电子地图上查找下属移动终端运动的轨迹,并对终端的位置、速度、运动方向、报警信息等用户感兴趣的参数进行监控和查询,同时,监控中心也可以向终端发送相应的控制指令,方便调度管理。3.4.9互联网网站搭建建设XX边防检查站门户网站，发布政策法规、边检资讯等新闻信息，并且实现网上报检、投诉建议，在线咨询等服务功能，提供微博、微信、短信服务等多方位功能。3.4.10联动报警前台检查员报警或梅沙报警，指挥

19、中心可立即得知并可引导信息预先设置预案，保存匹配特征值，启动后根据匹配策略可自动发送指令到计算机终端、并启动语音广播，进行实时指引。通过语音网关实现与固话、专线、GSM、CDMA等现有电话系统的互联，实现对呼叫终端的控制与调度。可全局呼叫，实现与前台沟通发送指令，实现如下调度功能：1. 呼叫在调度台界面选择需要呼叫用户，点击呼叫按钮，呼叫选中的用户，被呼叫用户应答后开始通话。如果被叫用户一直不应答，超时后自动结束通话。用户不能向自己发起呼叫。2. 强插在调度台界面选中正在通话用户后，点击强插按钮，可以插入到选中用户的通话中，形成三方通话。3. 强拆在调度台界面选中正在通话用户，点击强拆按钮，可

20、以直接与选中用户开始通话，原来与被选中用户的通话方被拆出通话。4. 监听选中正在通话用户，点击监听按钮，可以听到被选中用户通话内容，被监听用户不能听到监听者声音。5. 禁话选择需要禁话的用户点击禁话按钮，可以对选中的用户进行禁话，被禁话的用户不能够拨出其他分机，也不能被其他分机呼叫。业务咨询信息的增、删、改功能，可对库内文件进行全文检索，使用预先设置的应对策略，来快速的应对咨询。值班日志自动生成自动生成值班日志（可作为上报日志），统计全局数据，当日数据并归类列表。通过将场景中背景和目标分离进而分析并追踪在摄像机场景内目标。可以根据的分析模块，通过在不同摄像机的场景中预设不同的非法规则，一旦目标

21、在场景中出现了违反预定义规则的行为，系统会自动发出告警信息，监控指挥平台会自动弹出报警信息并发出警示音，并触发联动相关的设备，用户可以通过点击报警信息，实现报警的场景重组并采取相关预防措施。该技术用在人员突然密集、遗弃物、逆行违反预定义规则的行为。业务文件梅沙实时检索根据需求可实现实时业务文件调阅指引，对业务文件建立全文索引，使用类似XX检索技术，实现对业务文件的快速检索。3.5安全系统3.5.1安全服务概述安全服务用于对数据进行保护：在存储和传输数据时，防止对数据进行XX的访问。认证是一种实体（用户、应用程序或组件）用来确定另一个实体是否是其声明的实体的方法，实体使用安全凭证对其自身进行验证

22、。授权是确定使用凭证的实体是否有权对所访问的资源进行操作的方法。3.5.2安全服务需求1.物理层面安全性：配置满足日常运行和扩展需要的硬件设备，保证系统安全、稳定运行；消除单点故障，制定应急备份方案，保证设备出现故障时通过调整、调节、扩展或数据恢复等手段使系统平稳运行；配置防火墙、网络入侵检测、漏洞扫描系统、过滤控制等设备，严格控制网络边界，划分不同网段，严格控制用户访问范围。2.数据层面安全性：制定完善的安全机制，提供权限认证模式和数据加密来保证数据交换的安全，防止非法访问和数据丢失；支持应用系统间功能服务和接口的调用权限管理，严格控制应用节点与应用节点间、应用系统与接口服务间的权限限制，保

23、证数据交换的合法性；制定数据备份和恢复机制，保证数据在出现问题时能得到及时、准确地恢复。3.应用层面安全性：通过设置访问权限，设定连接数、访问数等限制，保证系统级安全；严格控制系统权限，防止非法用户越界操作；详细记录各类用户操作日志，用于查看和追踪用户操作痕迹，便于问题处理；在进行文件上传和交换时，对相应附件不能超过指定大小等，进行应用程序流程内的限制。3.5.3系统安全分析1.安全身份认证：通过使用安全代理服务系统实现应用系统的安全认证，安全代理服务系统能够提供基于数字证书的双向身份认证功能，对数据、参与者、应用程序所包含的信息和事件的安全性进行身份验证，服务端能够验证客户端证书的真实有效性

24、，客户端也能够验证服务器证书的真实有效性，只有通过验证后用户才能够访问应用系统，实现信息资源的单点登录；数字证书验证包括信任链验证、黑名单验证。2.SSL：支持SSL，实现Web上数据传输的安全保密性能。3.网页防篡改：网页防篡改系统支持网页的篡改检测与恢复、自动备份与发布、实时报警等功能，保证通信传输、权限控制、系统自身、备份内容等各个环节的安全性，杜绝篡改网页被访问的可能。4.数据库安全审计：通过对系统数据操作的解析，保留对数据库的查询、新增、删除、修改等痕迹，提供详细的操作审计，为平台的管理者追究肇事者责任、挽回损失提供可靠的依据。3.6技术路线和关键技术3.6.1J2EE与三层架构应用

25、软件的开发采用合适的技术路线，对形成稳定可靠的应用系统，减少维护工作，提高系统的可伸缩性都有好处。本项目建设应用软件开发的技术路线与开发方案主要有：1.严格遵循标准本系统的数据接口、信息数据项、信息分类编码标准和有关技术标准与国家标准保持一致。系统采用B/S结构，遵从TCP/IP协议标准。如与相关部门交换数据时，单位信息以组织机构代码为标准依据。2.J2EE技术框架三层技术体系结构即采用J2EE技术，三层结构的客户/服务器模型是当前先进的协同应用程序开发模型，它将应用功能分成表示层、功能层和数据层三部分。三层结构的物理配置示意图如下图所示：在三层结构模式下，应用程序被看作用来满足客户需求的一组

26、功能或服务。各种服务通过网络联系在一起并且相互合作，从而支持一个或多个业务进程。服务总是被设计成通用的，并且遵守公开的接口标准，所以它们可以被重用，并能被多个应用程序所共享。表示层：应用系统的用户接口部分，它担负着用户与应用之间的对话功能，提供相应的用户服务。主要功能为：输入操作（键盘录入、语音信号、数据输入文件等）；处理操作（系统登录，根据身份认证结果展现用户界面，发送业务处理请求等）；输出操作（打印、数据输出文件生成、人机界面展示等）。该层应用根据实际需要灵活采用Web界面和传统GUI界面展现。功能层：相当于应用的本体，它是将具体的业务处理逻辑编入程序中，提供共享的业务政策，从数据中生成业

27、务信息，同时保证业务的一致性，并负责处理连接服务和数据管理服务等。本项目应用系统包括的组件主要有：身份识别组件、灵活查询组件、参数维护组件、Web服务组件、数据访问组件等。数据层：数据层主要提供相关的数据服务。数据服务包括数据的定义、维护、访问和更新，以及管理并响应业务服务的数据请求。它们的物理实现可以在数据库管理系统上，也可以是一个异种数据库的集合，这些数据库可能驻留在多种平台上，运行在服务器和大型计算机上。它主要由中间业务层来调用并完成业务逻辑，数据库系统必须能迅速地执行大量数据的更新和检索。将数据服务与应用程序的其它组件分离，在维护、修改甚至重构数据结构及访问机制时，可以丝毫不影响业务服

28、务和用户服务。3.6.2面向服务的体系结构项目规划、设计的应用系统符合SOA经典理论，主要组件包括：服务、动态发现和消息。1.服务是能够通过网络访问的可调用例程。服务公开了一个接口契约，它定义了服务的行为以及接受和返回的消息；2.接口通常在公共注册中心或者目录中发布，并在那里按照所提供的不同服务进行分类，就像电话簿黄页中列出的企业和电话号码一样。客户（服务消费者）能够根据不同的分类特征通过动态查询服务来查找特定的服务。这个过程被称为服务的动态发现；3.服务消费者或者客户通过消息来消费服务。因为接口契约是独立于平台和语言的，消息通常用符合XML模式的XML文档来构造。面向对象方法是一种运用对象、

29、类、继承、封装、聚合、消息传送、多态性等概念来构造系统的软件开发方法。其基本思想是从现实世界中客观存在的事物（即对象）出发来构造系统，并在系统构造中尽可能运用人类的自然思维方式。采用UML语言建模，对客户和项目管理人员提供用例图（UseCase）及高级视图，并将项目划分为可管理的小块。系统设计与编程阶段也采用面向对象技术。3.6.3开发语言与开发工具业务管理系统开发采用三层架构和面向对象的设计方法；前端采用Browser（HTML、Java）和Client界面，应用层采用应用服务器中间件实现负荷均衡，数据库采用Oracle等主流数据库，网上传输采用消息中间件和安全中间件；开发工具可选用Rati

30、onalRose、UML、中间件、Java等。第4章培训及维护4.1应用培训为保证项目移交后能有效使用该平台，在项目建设过程中需对相关人员进行应用培训，在以后系统运行过程中亦需根据系统开发、应用的深入针对不同培训对象进行相应内容的培训，以保证系统的管理人员、技术人员和应用人员能够及时、准确地了解和熟练地运行系统。4.2运行测试设计目标系统的投产首先需要进行在实际环境的试运行，通过试运行一方面补充系统的历史数据、对业务人员进行培训、建立业务管理机制同时建立系统同业务之间的默契。由于综合业务应用系统可以分模块的上线运行，因此试运行也是一个周期重复的过程。根据系统建设情况，依照测试用例分别进行系统的

31、单元测试、集成测试、功能测试，以及负载测试、强迫测试、性能测试，最后进行系统测试。1.单元测试，使用白盒测试法对模块内所有重要的控制路径进行测试，主要测试某个功能模块或代码块。2.集成测试，也称组装测试，是应用系统的各个部件的联合测试，考察模块间的接口，确定它们在一个系统内能否共同工作。3.确认测试，也称功能测试，采用黑盒测试法，根据软件功能描述考察应用系统软件功能与用户需求是否一致。4.负载测试：测试一个应用在重负荷下的表现，例如测试一个Web站点在大量的负荷下，何时系统的响应会退化或失败。5.强迫测试：在交替进行负荷和性能测试时常用的术语。也用于描述象在异乎寻常的重载下的系统功能测试之类的

32、测试，如某个动作或输入大量的重复，大量数据的输入，对一个数据库系统大量的复杂查询等。6.性能测试：在交替进行负荷和强迫测试时常用的术语。理想的性能测试和其他类型的测试一样，应在需求文档或质量保证、测试计划中定义。7.系统测试，基于系统整体需求规格说明，考察软件是否满足整个系统总的功能和性能要求，应覆盖系统所有的部件。4.3系统维护机制与定员拥有一支技术过硬的用户操作和维护队伍，成功实现技术的转移是保证系统顺利建设并长期稳定、良好运转的重要保障。根据培训内容的实现方式，可分为现场安装培训和授课培训。（1）现场培训现场培训是在现场安装调试相关设备和系统时，相关技术人员在现场观看和学习，并给予适当实际操作机会,，针对本项目的特点和应用系统维护要求作