金融系統安全聯網系統總體架構應采用省分行壹級監控中心、省分行二級監控中心、區縣分行三級監控中心的內網架構。壹級監控中心要求設在省級分公司,二級監控中心要求設在地市級二級分公司,三級監控中心設在區縣分公司。為了保證聯網系統的安全性和可靠性,銀行內網系統必須構建上述三級聯網架構(或租用網通、電信、移動線路構建安全專網)。
安全聯網系統要依托銀行的私有內網,即要滿足內網的技術系統和現狀要求,不能對內網產生過多的信息流,更不能造成網絡崩潰,要實現安全監控信息的準確、及時、安全傳輸和* * *共享。
我行內網為多層結構,所有營業網點監控為壹層,各地市監控中心為壹層,各省分行監控中心為壹層。監控中心到轄區營業網點的內部辦公網絡通常帶寬為2mb。考慮到業務數據的網絡協議等開銷,實際監控網絡可以分配50%左右的帶寬(即1Mbits),每個營業網點可以向上級監控中心傳輸2個CIF。
聯網系統應基於銀行內網,實現銀行系統內基於不同網絡平臺的視頻安防監控系統之間的互聯、互通和控制。網絡系統的總體基本功能如下:
a .實現已建視頻監控系統中各廠商設備的互聯;
b .統壹視頻壓縮格式和前端控制信令格式,實現視頻監控視頻流的實時傳輸;
c .提供電子地圖功能,通過終端上的電子地圖頁面查看監控視頻;
D.提供視頻文件上傳和視頻播放功能。用於遠程監控視頻;
E.提供視頻矩陣和雲臺的控制功能;
F.建立各級監控中心,處理緊急報警;
G.進行身份認證和權限管理,確保信息安全和數據安全。
1.1營業網點監控系統基本組成
當地營業網點的監控系統通常由以下設備組成:各種前端攝像機、各種前端報警探頭、各種硬盤錄像機或監控主機設備、各種在線或離線ATM監控主機設備、金庫門禁系統等。
1.1營業網點監控系統拓撲結構示意圖
1.1.2監控營業網點基本功能要求
完成模擬視頻監控信號的采集和傳輸;接受監控中心的雲臺、鏡頭等控制指令,控制場景鏡頭的光圈、焦距、變焦,以及雲臺的上下左右移動。提供RS232、RS485和I/O接口,采集報警信息和現場信息,並通過網絡將相關信息上傳至上級監控中心。
1.2二級監控中心的基本組成
二級監控中心系統通常由以下設備組成:中央管理服務器、數字矩陣服務器、監控電視墻、流媒體服務器、監控管理工作站等。
1.2.1二級監控中心系統拓撲結構示意圖
1.2.2二級監控中心基本功能要求
A.管理本區域的視頻監控點;
B.它可以控制前端設備;
C.可以實現遠程圖像的錄制、回放和上傳;實現該區域重要數據的集中存儲。
D.報警接入和處理(報警上傳和與攝像頭聯動);受理管轄範圍內監控設備的報警事件,並進行視頻記錄和處理;
E.允許其他授權客戶端遠程訪問;
f .實現流媒體數據的轉發服務,當壹級監控中心需要查看或回放營業網點的圖像時,二級監控中心的流媒體服務器轉發並分發營業網點的視頻圖像;
G.對於前端營業網點的監控主機設備,不僅可以獲取其分布面積、數量等基礎數據的存儲信息,還可以通過巡檢功能檢測其運行狀態。
H.實現用戶管理,包括設置用戶權限(用戶名、密碼、權限和優先級),支持三級權限管理模式,將用戶分為超級操作員、操作員和普通用戶。權限最大的用戶行使主控權,負責操作分公司所有監控主機設備,權限較小的用戶可以限制其對相關設備的部分操作權限。
1.3壹級監控中心的基本組成
壹級監控中心系統通常由以下設備組成:中央管理服務器、數字矩陣服務器、監控電視墻、監控管理工作站、集中存儲服務器等。
1.3.1壹級監控中心系統拓撲結構示意圖
1.3.2壹級監控中心基本功能要求
A.管理本區域的視頻監控點;
B.管理所轄二級監控中心;
C.接收並處理二級中心上報的報警事件;
D.對所轄監控點的重要視頻進行集中存儲;
E.它可以控制前端設備;
F.允許其他授權客戶端遠程訪問;
G.提供電子地圖服務,給用戶直觀的電子地圖操作界面;
H.通過電子地圖實現對所有下屬監控點的管理。
二、金融系統聯網的系統要求
金融系統的安全網絡系統應采用開放的體系結構,選擇標準化的接口和協議,並具有良好的兼容性和可擴展性。系統建設必須符合國家和公安部的相關標準和規範,統壹規劃和標準,註重準備、調研、指導和試點,根據本地區經濟情況,從不同層次和角度開展金融系統安全聯網建設。
在規劃和建立新的安防聯網系統的過程中,要充分考慮和利用現有的報警系統、視頻監控系統和傳輸資源,自下而上、由內而外,堅持先進兼容的傳統,實現系統集成、系統互聯、資源整合和信息共享。必須把實用性放在第壹位,對系統進行構建、集成、應用和完善,把系統建成壹個“實用工程”。
安防聯網系統所涉及的設備必須滿足可靠性和安全性的要求。在設備選型上,要選擇先進的主流產品,不是最先進的,而是最可靠的,這樣才能保證系統的不間斷運行。關鍵設備、數據和接口應采用冗余設計,具有故障檢測和系統恢復等功能;網絡環境下的信息傳輸和數據存儲要註意安全,保證系統網絡的安全可靠,避免惡意攻擊和非法數據提取。
安防聯網系統的應用應體現資源共享和快速反應,形成綜合防控的網絡體系。必須加強對系統運行和應用的監督管理,系統運行和應用的管理原則如下:
A.采用統壹的用戶授權認證管理。系統的各級用戶只有在自己的* * *享平臺上開通賬戶並被授權分配權限後,才能瀏覽權限內相應監控點的實時圖像和歷史圖像。
b .應采用多級用戶權限管理機制,防止用戶越權操作。服務器設備應該能夠設置單獨的功能,拒絕遠程用戶訪問某些功能,這樣即使管理員密碼被盜,重要的服務器也不會受到影響。
c .服務器設備應能夠限制或僅允許來自特定IP或IP網段的客戶端訪問。為了防止用戶名和密碼被非法用戶猜到或被窮舉方法破解,只為來自有限IP地址的用戶設置訪問是壹種非常有效的安全策略。
D.用戶的日常操作和系統的重要事件都記錄在日誌中,日誌數據被分類存儲在數據庫中。數據庫應定期備份,以防止硬件故障造成的數據丟失。可以跨服務器進行數據備份,災難性故障時可以恢復數據文件。
聯網系統中的視頻監控系統應與報警聯動系統相配合。根據聯網系統建設、應用和管理的現狀,工作流程可分為兩類:日常管理流程和報警聯動及視頻監控流程。
A.日常管理流程:二級監控中心(分監控中心)接收各報警點、監控點傳輸的巡邏信息、事件信息、視頻信息等日常管理信息,二級監控中心對上述信息進行識別、分類、處理,並將需要上傳的重要信息上傳至壹級監控中心(分監控中心),壹級監控中心進行相應處理。
B.報警聯動及視頻監控流程:壹級監控中心(分監控中心)接收移動點報警、定點自動報警或手動報警信息,通過自動聯動或手動聯動公安視頻監控系統復核警情,確認後處理警情,並將需要上報的重要警情上報壹級監控中心(分監控中心),再由壹級監控中心進行相應處理。處理報警後,恢復系統正常狀態。
2.1視頻傳輸要求
2.1.1網絡帶寬
網絡帶寬是指保證系統正常運行的帶寬要求。這取決於視頻監控系統同時傳輸的視頻數量。壹個CIF視頻圖像的最小帶寬要求是256千比特/秒,壹個D1(4CIF)視頻圖像的最小帶寬要求是768千比特/秒..
各級監控中心的網絡帶寬需求包括兩部分:接收前端數字監控視頻所需的網絡帶寬和轉發相關數據所需的網絡帶寬。根據接收前端的數字監控視頻的數據和轉發的數據之和,計算出各級監控中心總帶寬的最低要求。各級監控中心所需的正常網絡帶寬應為最低要求的1.5倍。
每個接入系統用戶終端的最小帶寬要求,CIF格式,必須按照(監控視頻通道總數)×256Kbits/s計算;在D1的格式下,必須按照(監控視頻總數)×768Kbits/s計算,正常的網絡帶寬應該是最低要求的1.5倍。
2.1.2圖像格式
系統支持的圖像格式為CIF,可以擴展到D1 (4CIF)。CIF圖像的尺寸為352×288像素;D1 (4CIF)的圖像大小為704×576像素。
2.1.3視頻幀速率
本地錄制時,視頻幀率應不低於每秒25幀。當圖像格式尺寸為CIF時,網絡傳輸的視頻幀率不低於15幀/秒。當圖像格式尺寸為D1(4CIF)時,網絡傳輸的視頻幀率不低於10幀/秒。
2.1.4視頻傳輸延遲
業務監控網點的系統視頻圖像到二級監控中心的網絡延遲應小於1.5s,二級監控中心通過流媒體服務器轉發到壹級監控中心的視頻圖像應小於3s。
2.1.5視頻存儲時間
普通視頻錄像應在監控主機設備中保存30天以上,重要部位的監控錄像應保存60天以上。突發事件或案件的視頻需要傳輸到壹級監控中心的集中存儲服務器進行備份和保存。
2.1.6音視頻同步
音頻和視頻之間的同步差應小於500 ms。
2.1.7報警響應處理時間
二級監控中心收到監控營業網點的報警時,響應處理時間應小於60s,報警信息通過二級監控中心傳送到壹級監控中心的時間應小於5s。
2.2安全技術要求
2.2.1網絡安全
外部網絡隔離
以確保網絡系統的絕對安全。聯網系統應嚴格構建在銀行內網平臺上,與外網完全物理隔離,確保安全聯網系統不能通過任何外網和公網系統(也可采用VPN專網模式)連接和訪問。
內部網隔離
總行內網子系統、省級分行網絡子系統和地方分行網絡子系統互聯時必須通過防火墻隔離。防火墻的技術要求是:非純軟件實現,支持地址/協議過濾,支持數據包過濾,支持安全認證和遠程管理,支持1024或以上並發網絡連接,單個連接最大帶寬不低於2 mbits/s。
2.2.2信息安全
批準
聯網系統應采用基於角色的訪問控制模型,並必須支持以下操作的授權:
A.客戶端工作站訪問壹級監控中心服務器(包括:登錄、瀏覽、閱讀、修改、刪除等。);
b .應在所有級別的系統中定義多個用戶級別。每個級別應該有不同的許可權列表。每個子系統應配備單獨的安全管理員,負責給該子系統的每個合法用戶分配相應的級別。
C.系統必須實施強制訪問控制。除安全管理員外,任何用戶不得擅自改變權限、越權操作或將權限委托給其他用戶。除了授權功能,安全管理員不能瀏覽、修改或刪除系統中的任何其他數據。
d .系統中的所有權限變更操作都應由相應的日誌系統記錄,並妥善保存以備參考。
證明
A.系統使用的身份認證體系包括三個方面:計算機系統對用戶的身份認證,計算機系統對用戶的身份認證,計算機系統對其他計算機系統的身份認證。
B.用戶的身份認證應采用雙因素認證,即密碼和認證設備。用戶必須同時正確出示密碼和相關認證硬件設備,才能通過身份認證。
C.系統應盡可能支持壹次認證,即用戶只需經過壹次認證操作即可使用系統,無需在訪問不同子系統時重復認證。
d .所有認證操作(包括成功和失敗)應由相關日誌系統記錄,並安全保存以供參考。
訪問控制
系統成功認證訪問者身份後,根據授權數據庫獲取用戶當前的授權列表。根據授權列表決定是否可以接受訪問者的請求。如果可以接受,則執行該服務,否則拒絕該服務。所有的數據操作(包括讀寫)都要有相應的日誌系統記錄,並安全記錄。