中国工商银行北京市分行监控联网系统平台建设案例

　　本系统拟采取以下手段保障网络安全：

　　隔离监控网络和工行办公网间的安全性，从硬件上实现防止来至外网的黑客和病毒攻击。

　　采用三层用户权限管理机制，防止用户越权操作。服务器单独设置拒绝远程用户使用某些功能，这样即使管理员密码被盗，重要的服务器不会受影响。服务器能够限制或只允许来自某些IP或IP段的客户端访问。为了防止用户名和密码被非法用户猜测到或穷举法破解，设置只允许来自有限的IP地址用户访问是非常有效的安全策略。

　　安全策略规定客户端在5分钟内输入密码错误3次后，该客户端所使用的IP地址将锁定30分钟以后才能再次连接。该策略可防止暴力破解密码。视频流采用加密方法传输，非法者即使获取数据也无法还原原始图像。

　　用户的日常操作和系统的重要事件都记入日志中，日志资料分类保存在数据库中。数据库定时备份，以防硬件故障造成数据丢失。数据备份可以跨服务器进行，出现灾难性故障，数据文件也能恢复。

　　流媒体处理技术

　　选用JPEG/MPEG/H.26X等技术标准，制定适合工商银行实际需要的入侵报警数据、视频和音频等多媒体数据码流格式，奠定工商银行技术防范工程规范标准。

　　输入输出接口技术

　　主要用于对各类相关第三方安防设备的整合(如门禁、消防、楼宇控制等)，通过设立协议代理组件(Agent)来将各种专用协议转换为安防系统中标准通用的传输协议，完成管理控制中心模块同各类第三方设备的无缝衔接，从而实现整个系统功能的外延和扩充。

　　系统安全性

　　安全认证机制

　　采用用户账户与客户端计算机硬件信息绑定的方式提高系统访问安全性，即通过用户在计算机上运行客户端程序并获取用户计算机的唯一硬件标识，通过该唯一标识激活用户账户，并生成经加密的证书文件，将该证书文件导入用户的客户端计算机中，以完成用户账户激活过程。

　　用户访问控制

　　结合工商银行安全保卫工作管理制度，根据用户职责权限对系统用户进行相应的权限级别分类。

　　系统数据保密

　　各种系统信息数据的访问与用户的权限级别配对，实现不同的用户访问不同范围的系统信息数据，提高系统数据的保密性。

　　数据备份与恢复

　　对于系统产生的大量重要信息数据定期进行数据迁移，或将其备份至具有较高容量及高可靠性的存储系统中(如：磁带库系统)，并对这些备份的数据进行方便快捷的查询以及高效的恢复。

　　系统日志管理

　　系统以日志的形式详细全面地记录系统运行过程中所产生的所有关键事件信息，包括重要操作信息、用户信息、报警信息、报警处理信息、系统出错信息等。

　　系统设备监测

　　可对联网运行系统的设备以及由系统管理的嵌入式DVR等设备的情况进行实时监控，一旦发现异常情况通过网络向系统管理员发出相关报警提示。

　　系统可扩展性

　　本系统能根据需要灵活配置硬件数量。当系统需要变更监控点位置、网络客户端数量时，只要增加相应独立的设备即可融入现有系统。

　　同时，本系统可采集处理主流压缩算法系统的网络视频流。可采集处理主流报警装置的报警信号，可控制主流品牌、类型的云台设备等。确保对于采用了不同硬件设备体系(的PC、嵌入式等设备)的本地安全自动化控制系统，通过本系统实现整合，以确保系统功能扩展。

　　系统的开放性

　　先进的软件架构体系

　　本系统充分采用XML Web services架构，基于 XML 的消息处理作为基本的数据通信方式，可以将每个现有应用程序的功能和数据以 XML Web services 形式公开。然后，便可以创建使用此 XML Web services 集合的复合应用程序，以实现各个构成应用程序之间的互操作性，而无需受各种异构平台(Window、Unix、Linux)的约束限制。同时因为数据通讯是直接通过通用的Http通道来实现的，而通常所有防火墙均开放了http端口，因此也不会受到防火墙限制。

　　系统先进性

　　采用业界主流技术

　　本系统采取目前主流的安防应用技术，顺应了安全技防系统一体化、视频数字化、网络化、集成化的技术发展趋势。集服务器、异构平台整合、流媒体、集中管理控制、网络安全等技术于一体，保有充分的升级空间，保护投资的长期有效。

　　高成熟度系统平台

　　硬件采用具有集成化、通用化、模块化的标准IT设备;软件系统平台选用稳定可靠的服务型操作系统平台，以及数据库系统平台;应用软件开　发设计上采用成熟可靠的开发技术;通过以上方式搭建系统最大程度降低系统运行的故障频率。