4.2 系统架构规划
4.2.1 安全防范系统架构规划应按照安全可控、开放共享的原则,统筹考虑子系统组成、信息资源、集成/联网方式、传输网络、安全防范管理平台、信息共享应用模式、存储管理模式、系统供电、接口协议、智能应用、系统运行维护、系统安全等要素。
4.2.2 安全防范系统的各子系统应根据现场勘察和风险防范规划以及前端布防情况确定,并应符合下列规定:
1 应综合设计和选择配置实体防护系统、电子防护系统、安全防范管理平台;
2 应根据现场自然条件、物理空间等情况,合理利用天然屏障,综合设计和选择配置人工屏障、防护器具(设备)等实体防护系统;
3 应综合设计和选择配置入侵和紧急报警系统、视频监控系统、出入口控制系统、停车库(场)安全管理系统、防爆安全检查系统、电子巡查系统、楼寓对讲系统等电子防护子系统,以及各子系统的前端、传输、信息处理/控制/管理、显示/记录等单元。
4.2.3 集成和(或)联网的各类信息资源应根据对安全防范各子系统集成管理的需要确定。
4.2.4 应根据各类信息资源共享、交换的实际需要以及系统复杂程度的不同,合理选择下列系统集成联网方式:
1 通过不同子系统设备之间的信号驱动实现的简单联动方式;
2 通过不同子系统管理软件之间的通信实现的子系统联动方式;
3 通过安全防范管理平台实现对安全防范各子系统以及其他子系统集中控制与管理的集成方式;
4 通过对多级安全防范管理平台的互联,实现大范围、跨区域安全防范系统的级联方式;
5 根据安全防范管理的需要,安全防范系统还可与其他业务系统进行集成、联网的综合应用方式。
4.2.5 安全防范系统宜采用专用传输网络,可采用专线方式或公共传输网络基础上的虚拟专网(VPN)方式。传输网络宜采用以监控中心为汇接/核心点(根节点)的星形/树形传输网络拓扑结构。系统传输的通信链路应满足系统的信息传输、交换和共享应用的需要。当有线传输不具备条件时,可采用具有相应安全措施的无线传输方式。
4.2.6 应根据安全防范系统集成、联网与管理的实际需要,合理规划设计安全防范管理平台的具体功能,且应符合本标准第6.4.1条的相关规定。
4.2.7 应根据安全防范系统信息共享应用的实际需要,设置客户端和(或)分平台。客户端和(或)分平台宜基于系统专用传输网络进行规划设计。安全防范管理平台也可通过边界安全隔离措施与基于其他网络环境建设的安全防范系统和(或)其他业务系统实现信息的交换与共享。
4.2.8 应根据安全防范系统信息存储与管理的实际需要,合理规划数据存储管理模式。
4.2.9 应根据安全防范系统及其设备的空间分布特点、供电条件和安全保障需求,合理选择主电源、备用电源及其供电模式和保障措施。
4.2.10 应根据安全防范系统、设备互联互通以及信息共享应用的具体要求,统筹规划设计系统的各类接口以及信息传输、交换、控制协议。
4.2.11 应根据用户对安全防范系统信息、数据深化应用的实际需求,进行安全防范管理平台的智能化模块设计,或在安全防范管理平台之外单独规划设计智能化应用系统,包括视频智能分析系统、大数据分析系统等。
4.2.12 应根据安全防范系统接入设备的规模及复杂程度,进行安全防范管理平台的运行维护模块设计,或在安全防范管理平台之外单独规划设计运行维护管理平台(运行维护管理系统),保障安全防范系统、设备以及网络的正常运行。
4.2.13 应按照信息安全相关要求,整体规划安全防范系统的安全策略,选择适宜的接入设备安全措施、数据安全措施、传输网络安全措施以及不同网络的边界安全隔离措施等。
4.2.2 本条条文说明如下:
1 安全防范系统通常由实体防护系统和(或)电子防护系统构成。根据需要,安全防范系统还可配置对这些系统进行集成的安全防范管理平台。
2 实体防护系统通常由天然屏障和(或)人工屏障和(或)防护器具(设备)等构成。
(1)本条文包含三个层面的要素:①要充分利用天然屏障;②建(构)筑物主体要与附属工程进行综合设计;③要对周界、具体防护目标进行针对性设计。
(2)天然屏障是指由天然而成的能够阻止进入、妨碍穿越、遮挡视线等功能的屏障,例如:山谷、丘陵、河流、丛林、沙漠等自然地貌和地形以及植被。
(3)人工屏障包括建(构)筑物主体及其附属设施(如配套的道路、景观等)以及针对周界和具体保护目标所设置的围墙、栅栏等防护设施。
(4)对于建筑物而言,建筑主体一般指供人们进行生产、生活或其他活动的房屋或场所。建筑物的主体工程包括:地基与基础分部工程、主体结构分部工程、屋面分部工程、楼地面分部工程、门窗分部工程、装饰装修分部工程六大部分。
(5)建筑工程的附属工程包括:①与建筑物配套的围墙:②室外排水设施(排水沟、排水管、检查井);③园林景观工程:道路工程、绿化工程、景观工程(含景观灯饰、室外照明灯);④挡土墙、室外土石方等;⑤室外通道、楼梯;⑥停车场、车棚、垃圾站等。
3 电子防护系统可由一个或多个子系统构成。电子防护系统的子系统通常包括入侵和紧急报警系统、视频监控系统、出入口控制系统、停车库(场)安全管理系统、防爆安全检查系统、电子巡查系统和楼寓对讲系统等。
电子防护各子系统的基本配置包括前端、传输、信息处理/控制/管理、显示/记录等单元。不同的子系统,其各单元的具体设备构成有所不同。
4.2.3 这些资源通常包括基于安全防范系统专用传输网络建设的安全防范各子系统和(或)其他子系统信息资源,也可以包括基于其他政府/行业/企事业单位专网和(或)互联网建设的其他安防系统和(或)其他业务系统的信息资源。
4.2.4 本条条文说明如下:
3 其他子系统是指与安全防范系统有密切关系的应急对讲系统、应急广播系统和应急照明系统等。
5 一个具有横向集成和纵向级联功能的安全防范系统架构见图1。
图1 安全防范系统集成联网架构图
图中的其他业务系统是指火灾报警系统、相关数据库等其他信息系统。
图中的安全防范前端设备主要是指摄像机。比如在公共安全视频监控建设联网应用中,要将各行业领域自建的涉及公共区域的视频图像信息联网,有的行业涉及公共区域的摄像机很少,有可能采用这种接入方式联网。
4.2.5 传输网络依据传输技术的不同,可分为有线网络、无线网络及其混合网络。有线网络按照传输介质的不同,可分为光纤网络和电缆网络。
本标准推荐安全防范系统的主干传输网络优先采用独立设置的光纤网络。在目前的安防工程中,常见的主干传输网络是专用的IP光纤网络。
系统传输的通信链路指标包括传输衰耗、网络带宽、延时、延时抖动和丢包率等。
4.2.6 根据安全管理需要,安全防范系统可以通过一个安全防范管理平台实现对各安防子系统以及其他子系统的集成,也可以将一个或多个安全防范管理平台的信息向上级联,形成多级联网,实现信息的汇聚与共享。
4.2.8 数据存储管理模式可分为分布存储分布管理、分布存储集中管理、传统集中存储集中管理、云存储管理等多种模式。
分布存储分布管理模式是指各子系统独立存储自身数据,独立管理界面,各自授权。
分布存储集中管理模式是指各子系统独立存储数据,独立管理,但可以提供统一的集成界面,集中管理所有数据。
传统集中存储集中管理模式是指对各子系统的数据集中一个地点存储、由统一的管理平台进行管理授权,各子系统可以直接控制到各自所属的数据,但系统不可分割。
云存储是指通过集群应用、网格技术或分布式文件系统等方法,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统,保证数据的安全性,并合理调配存储空间。
云存储管理模式是指通过云存储架构对各子系统的数据进行统一存储管理。物理上,这些数据的存储地点可以集中在一起,也可以分布在多地,但数据的完整性一致性高,由统一的管理平台管理,具有更高的数据I/O能力,便于后续的大数据共享应用。各子系统可通过云存储专用接口对相关数据进行访问。
4.2.9 安全防范系统或设备的供电可以来自市电网(这是大多数的情形),可以来自光伏装置,也可以是干电池等。
安全防范系统的供电模式可以分为本地供电模式、集中供电模式和混合模式。
在集中供电模式下,主电源或备用电源由监控中心统一接入,通过配电箱/柜和供电线缆将电能输送给安防系统前端负载,根据需要可在各局部区域进行再分配。
主电源和备用电源均可采用本地供电模式。主电源的本地供电模式可以是市电网本地供电模式,或独立供电模式,或其他类型。
市电网本地供电模式可直接将安防系统各前端负载就近接入配电箱/柜,由供电线缆将电能输送给该部分安防负载设备。
在独立供电模式下,通常由原电池等非市电网电源对安防负载一对一的供电。此类配置一般不再配置备用电源。
安全防范系统或设备的供电的保障措施是从可靠性的角度提出,它既可以用高可靠水平的可控的主电源单一供电,也可以在主电源的基础上配置自备的备用电源。前一种情形,主电源系统中往往可能具有自备发电机或UPS,且可以由安全防范系统发出指令启动接入等。
4.2.10 接口协议通常包括各子系统前端设备与安全防范管理平台之间的接入协议;安全防范各级管理平台或分平台之间的信息传输、交换、控制协议;安全防范管理平台与其他业务系统之间的数据交换服务接口协议等。这些接口协议的统一是安全防范系统、设备互联互通以及信息共享应用的基础。
4.2.11 视频智能分析系统可实现对视频图像中的人员、车辆、物品和事件等对象的外形特征、行为特征、数量等进行分析和结构化描述、检测和识别判断,还可实现视频图像的摘要和浓缩、增强与复原、智能检索等处理与深化应用。
4.2.12 运行维护管理平台(运行维护管理系统)可实现对安全防范系统、设备、用户、网络、业务等进行综合维护管理的功能,以保障安全防范系统、设备以及网络的正常运行。
运行维护功能一般包括设备信息及生命周期管理、设备/软件/链路监测、视频图像质量检测、用户和日志管理以及对设备接入率/在线率/完好率、故障排除率、系统链路可用率、运行维护日志完整率等指标进行统计分析等。
4.2.13 安全防范系统的安全策略是整体策略,既包括传统意义上的传输网络和数据安全要求,又包括对接入设备的安全要求以及网络边界安全要求。要整体解决系统安全问题,需要采取多种管控措施,以实现安全防范系统的用户身份认证、设备接入认证、密钥管理、权限管理、加密解密、访问控制、审计、数据源可追溯、控制信令的完整性验证以及传输网络安全监测等功能。
边界安全交互系统是在安全防范系统专用传输网络的边界建立的网络间信息交互的安全隔离措施。安全防范系统专用传输网络与互联网之间进行信息交互时,应采用安全隔离、信令协议层安全控制加上端口防攻击监测等措施来确保安全。安全防范系统专用传输网络与其他政府/行业/企事业单位专网进行信息交互时,考虑到政府/行业/企事业单位专网已经与互联网进行了逻辑隔离,则应采用信令协议层安全控制等措施。
- 上一节:4.1 风险防范规划
- 下一节:4.3 人力防范规划