金融系統安防聯網系統總體架構應采用:省級分行壹級監控中心,二級分行監控中心,區縣支行三級監控中心內網結構,壹級監控中心要求在各省級分行設立,二級監控中心要求在各地、市二級分行設立,三級監控中心在各區縣支行設立。為確保聯網系統的安全性、可靠性,以上三級聯網架構均必需建立在銀行內網系統中(或租用網通、電信、移動線路建立安防專網)。
安防聯網系統應以銀行內聯專網為依托,即應符合內聯網技術體制和現狀要求,不能對內聯網產生過重的信息流量,更不能形成引發網絡崩潰的因素,並要實現安全監控信息的準確、及時和安全的傳輸和***享。
銀行內聯專網分多層結構,各營業網點監控為壹層,各地、市監控中心為壹層,各省級分行監控中心為壹層,地、市監控中心到轄區營業網點內部辦公網絡通常為2Mbits帶寬,考慮到網絡協議及業務數據的其他開銷,實際監控聯網可分配帶寬約為50%(即1Mbits),每個營業網點可以向上級監控中心傳輸2路CIF分辨率的視頻。
聯網系統應以銀行內聯網為基礎網絡平臺,實現銀行系統範圍內基於不同網絡平臺構成的視頻安防監控系統之間的互聯、互通和控制,聯網系統的整體基本功能如下:
a. 實現已建視頻監控系統中各個廠商設備的互聯;
b. 統壹視頻壓縮格式和前端控制信令格式,實現視頻監控視頻流的實時傳輸;
c. 提供電子地圖功能,在終端上通過電子地圖頁面來查看監控視頻;
d. 提供錄像文件上傳,錄像回放功能。供遠程調看監控錄像;
e. 提供視頻矩陣和雲臺的控制功能;
f. 設立各級監控中心,處理突發事件的報警;
g. 進行身份認證和權限管理、保證信息安全和數據的安全。
1.1營業網點監控系統基本構成
各地營業網點監控系統通常由以下設備構成:各類前端攝像機、各類前端報警探頭、各類硬盤錄像機或監控主機設備、各類在行或離行ATM監控主機設備、金庫門禁系統等。
1.1.1 營業網點監控系統拓撲結構示意圖
1.1.2 營業網點監控基本功能要求
完成模擬視頻監視信號的采集和傳輸;接受監控中心發出的雲臺、鏡頭等控制指令,控制現場鏡頭的光圈、焦距、變倍,雲臺的上、下、左、右運動等。提供RS232、RS485、I/O接口,采集報警信息、現場信息,並將相關信息通過網絡上傳到上級監控中心。
1.2二級監控中心基本構成
二級監控中心系統通常由以下設備構成:中心管理服務器、數字矩陣服務器、監控電視墻、流媒體服務器、監控管理工作站等。
1.2.1 二級監控中心系統拓撲結構示意圖
1.2.2 二級監控中心基本功能要求
a. 管理本轄區視頻監控點;
b. 能實現對前端設備的控制;
c. 能實現對遠程圖像的記錄、回放及上傳;實現本轄區內重要數據的集中存儲。
d. 報警接入及處理(報警上傳、與攝像機聯動);受理本轄區內的監控設備的報警事件,進行錄像記錄,處理;
e. 允許被授權的其他客戶端進行遠程訪問;
f. 實現流媒體數據的轉發服務,當壹級監控中心需要查看或回放營業網點圖像時,二級監控中心流媒體服務器,進行營業網點視頻圖像的轉發和分發;
g. 對於前端營業網點的監控主機設備,除了能獲取其分布區域、數量等基本數據的存儲信息外,還通過巡檢功能檢測其運行狀態。
h. 實現對用戶的管理包括用戶權限(用戶名、密碼、權限、優先級)的設置,支持三級權限管理模式,可將用戶分為超級操作員、操作員、普通用戶三級權限。最大權限的用戶行使主控權力,負責對支行內的所有監控主機設備進行操作,較小權限的用戶則可限定其對相關設備的部分操作權限。
1.3壹級監控中心基本構成
壹級監控中心系統通常由以下設備構成:中心管理服務器、數字矩陣服務器、監控電視墻、監控管理工作站、集中存儲服務器等。
1.3.1 壹級監控中心系統拓撲結構示意圖
1.3.2 壹級監控中心基本功能要求
a. 管理本轄區視頻監控點;
b. 管理所轄的二級監控中心;
c. 接收、處理二級中心主動上報的報警事件;
d. 對所轄監控點重要錄像進行集中存儲;
e. 能實現對前端設備的控制;
f. 允許授權的其他的客戶端進行遠程訪問;
g. 提供電子地圖服務,給用戶壹個直觀的電子地圖的操作界面;
h. 通過電子地圖實現對所有下級監控點的管理。
二、金融系統聯網系統要求
金融系統安防聯網系統要采用開放式架構,選用標準化接口和協議,並具有良好的兼容性和可擴展性,系統建設必須遵守國家和公安部行業有關標準與規範,統壹規劃,統壹標準,抓準備、抓調研、抓指導、抓試點,依據本地區的經濟情況,從不同層次,不同角度開展各地金融系統安防系統聯網建設工作。
在規劃組建新的安防聯網系統過程中,要充分考慮和利用現有的報警系統和視頻監控系統及傳輸資源,自下而上,先內後外,堅持先進,兼容傳統,實現系統集成和系統互聯、資源整合、信息***享。必須把實用性放在第壹位,邊建設、邊整合、邊應用、邊完善,把系統建設成“實用工程”。
安防聯網系統所涉及的設備必須滿足可靠性和安全性要求,設備選型不能選試驗產品,要選先進的市場主流產品,不求最先進,要求最可靠,要能保證系統不間斷運行。對關鍵的設備、數據和接口應采用冗余設計,要具有故障檢測、系統恢復等功能;網絡環境下信息傳輸和數據存儲要註重安全,保障系統網絡的安全可靠性,避免遭到惡性攻擊和數據被非法提取的現象出現。
安防聯網系統應用要體現資源***享、快速反應,形成打防控壹體化的網絡體系。必須加強對系統運行、應用的監督管理,對系統運行、應用管理原則如下:
a.采用統—的用戶授權的權限認證管理,系統各級用戶只要在自己所屬的***享平臺開設帳號、經授權分配權限後才可瀏覽其權限範圍內相應監控點的實時圖像和歷史圖像。
b.應采用多級用戶權限管理機制,防止用戶越權操作。服務器設備應能單獨設置拒絕遠程用戶使用某些功能,這樣即使管理員密碼被盜,重要的服務器不會受影響。
c.服務器設備應能夠限制或只允許來自某些IP或IP段的客戶端訪問。為了防止用戶名和密碼被非法用戶猜測到或窮舉法破解,設置只允許來自有限的IP地址用戶訪問是非常有效的安全策略。
d.用戶的日常操作和系統的重要事件都記入日誌中,日誌資料分類保存在數據庫中。數據庫定時備份,以防硬件故障造成數據丟失。數據備份可以跨服務器進行,出現災難性故障,數據文件也能恢復。
聯網系統中視頻監控系統要與報警聯動系統相配合,根據聯網系統的建設、應用和管理的現狀,工作流程分為日常管理流程和報警聯動與視頻監控流程兩類。
a.日常管理流程:二級監控中心(支行監控中心)接收各報警點與監控點傳輸的巡檢信息、事件信息和視頻信息等日常管理信息,二級監控中心對以上信息進行鑒別、分類、處理,對要求上傳的重要信息上傳至壹級監控中心(分行監控中心),壹級監控中心再做出相應處理。
b.報警聯動與視頻監控流程:壹級監控中心(支行監控中心)接收到移動點報警、固定點自動報警或人工報警信息,通過自動聯動或手控聯動治安視頻監控系統對警情進行復核,確認後對警情進行處理,對要求上報的重要警情上報至壹級監控中心(分行監控中心),壹級監控中心再做出相應處理。處警完畢後,恢復系統正常狀態。
2.1視頻傳輸要求
2.1.1 網絡帶寬
網絡帶寬指保證系統正常運行的帶寬要求,根據視頻監控系統同時傳輸的視頻的多少而定,壹路CIF視頻圖像,最小帶寬需求為 256Kbits/s,壹路D1(4CIF)視頻圖像,最小帶寬需求為 768Kbits/s。
各級監控中心的網絡帶寬需求包括兩部分:接收前端數字監控視頻所需要的網絡帶寬、轉發相關數據所需要的網絡帶寬。各級監控中心總帶寬的最小需求,根據接收前端數字監控視頻的數據與轉發數據之和來計算。各級監控中心需要的正常網絡帶寬應該是最小需求的1.5倍。
每個接入系統的用戶終端的最小帶寬需求,采用CIF格式,必須根據(監控視頻總路數)×256Kbits/s來計算;采用D1格式,必須根據(監控視頻總路數)×768Kbits/s來計算,正常網絡帶寬應該是最小需求的1.5倍。
2.1.2 圖像格式
系統支持圖像格式大小為CIF,可以擴展為 D1 (4CIF)。CIF圖像大小為 352×288個像素;D1 (4CIF)圖像大小為 704×576個像素。
2.1.3 視頻幀率
本地錄像時視頻幀率不低於25幀/秒。圖像格式大小為CIF時,網絡傳輸的視頻幀率不低於15幀/秒。圖像格式大小為D1(4CIF)時,網絡傳輸的視頻幀率不低於10幀/秒。
2.1.4 視頻傳輸時延
從營業監控網點到二級監控中心的系統視頻圖像網絡延時應小於1.5s,從二級監控中心通過流媒體服務器轉發至壹級監控中心的視頻圖像延時應小於3s 。
2.1.5 錄像存儲時間
普通的視頻錄像在監控主機設備中應保存30天以上,重要部位的監控錄像應保存60天以上。突發事件或有案件發生的錄像則需要傳輸到壹級監控中心的集中存儲服務器中進行備份保存。
2.1.6 音視頻同步
音視頻同步差應小於 500ms。
2.1.7 報警響應處理時間
二級監控中心在接收到監控營業網點報警時,響應處理時間應小於 60s, 報警信息在未得到及時處理時經由二級監控中心傳輸到壹級監控中心的時間應小於5s。
2.2安全技術要求
2.2.1 網絡安全
外網隔離
為確保聯網系統的絕對安全性。聯網系統應嚴格建立在銀行內聯網平臺之上,與外網實現完全的物理隔離,確保無法通過任何外網及公網系統對該安防聯網系統進行連接訪問(也可以采用VPN專網方式)。
內網隔離
總行內網子系統、各省級分行網絡子系統、各地市分行網絡子系統在互聯時,必須通過防火墻予以隔離。防火墻需要達到的技術要求有:非純軟件實現、支持地址/協議過濾、支持數據包過濾、支持安全身份認證及遠程管理,支持1024個或以上的並發網絡連接,單個連接的最大帶寬不低於2Mbits/s。
2.2.2 信息安全
授權
聯網系統應采用基於角色的訪問控制模型,必須支持對下列操作進行分別授權:
a.客戶端工作站訪問壹級監控中心服務器(包括:登錄、瀏覽、讀取、修改、刪除等);
b.各級系統中應定義多個用戶級別。每個級別應具備不同的權限列表。每個子系統中須另設安全管理員,專門負責為本子系統的每個合法用戶分配以相應的級別。
c.系統必須實施強制訪問控制。除安全管理員外,任何用戶不得擅自更改其權限、不能越權操作、不能將其權限轉授於其他用戶。安全管理員除完成授權功能以外,不能瀏覽、修改、刪除系統中的任何其它數據。
d.系統中的所有權限變更操作都應被相應的日誌系統記錄並安全地保留,以備查閱。
認證
a.系統所使用的身份認證系統包括三個方面:計算機系統對使用者的身份認證、使用者對計算機系統的身份認證、計算機系統對其他計算機系統的身份認證。
b.對使用者的身份認證應采用雙因子認證,即口令與認證設備。用戶必須同時正確地出示口令和相關認證硬件設備,方可通過身份認證。
c.系統中應盡量支持壹次認證,即用戶只需要進行壹次身份認證操作即可使用本系統直至退出,而無需在訪問不同子系統時,反復進行認證。
d.所有認證操作(包括成功的和失敗的)都應被相關的日誌系統記錄並安全地保留,以備查閱。
訪問控制
在系統成功地認證了訪問者的身份後,根據授權數據庫,獲取該用戶的當前授權列表。根據授權列表決定該訪問者的請求是否可以被接受。如果可以接受,則進行服務,否則拒絕。所有數據操作(包括讀和寫)都應被相應的日誌系統記錄並安全的記錄。