Solicito el plan de arquitectura de red y el diagrama de arquitectura para la conexión remota en red del monitoreo del sistema financiero.

La arquitectura general del sistema de red de seguridad del sistema financiero debe adoptar la arquitectura de intranet del centro de monitoreo de primer nivel de la sucursal provincial y el centro de monitoreo de segundo nivel de la sucursal provincial. y el centro de seguimiento de tercer nivel de las sucursales del distrito y del condado. El centro de monitoreo de primer nivel debe estar ubicado en una sucursal provincial, el centro de monitoreo de segundo nivel debe estar ubicado en una sucursal de segundo nivel a nivel municipal y el centro de monitoreo de tercer nivel debe estar ubicado en una sucursal de distrito o condado. Para garantizar la seguridad y confiabilidad del sistema de red, el sistema de intranet del banco debe construir la arquitectura de red de tres niveles anterior (o alquilar líneas Netcom, Telecom y móviles para construir una red privada segura).

El sistema de red seguro debe depender de la intranet privada del banco, es decir, debe cumplir con el sistema técnico y los requisitos actuales de la intranet, y no debe generar demasiado flujo de información hacia la intranet, y mucho menos causar colapso de la red, y debe lograr la seguridad Transmisión e * * * intercambio preciso, oportuno y seguro de la información de monitoreo.

La red interna de nuestro banco tiene una estructura de múltiples capas, con todos los puntos de venta comerciales monitoreados en un nivel, los centros de monitoreo en varias ciudades en un nivel y los centros de monitoreo de las sucursales provinciales en un nivel. La red interna de la oficina desde el centro de monitoreo hasta los puntos comerciales de la jurisdicción suele tener un ancho de banda de 2mb. Teniendo en cuenta la sobrecarga de los protocolos de red para datos comerciales, la red de monitoreo real puede asignar alrededor de 50 anchos de banda (es decir, 1 Mbits) y cada establecimiento comercial puede transmitir 2 CIF al centro de monitoreo de nivel superior.

El sistema de red debe basarse en la intranet del banco para lograr la interconexión, interoperabilidad y control entre los sistemas de monitoreo de seguridad por video basados ​​en diferentes plataformas de red dentro del sistema bancario. Las funciones básicas generales del sistema de red son las siguientes:

a Realizar la interconexión de equipos de varios fabricantes en el sistema de videovigilancia establecido;

b. y formato de señalización de control frontal, transmisión en tiempo real de transmisiones de video de vigilancia;

c Proporcionar función de mapa electrónico, ver video de vigilancia a través de la página de mapa electrónico en el terminal;

D. Proporcionar función de carga y reproducción de archivos de vídeo. Se utiliza para monitoreo remoto de video;

E. Proporciona funciones de control de matriz de video y PTZ;

F. Establece centros de monitoreo en todos los niveles para manejar alarmas de emergencia;

G. Realizar autenticación de identidad y gestión de autoridad para garantizar la seguridad de la información y de los datos.

1.1 Componentes básicos del sistema de monitoreo de establecimientos comerciales

El sistema de monitoreo de establecimientos comerciales locales generalmente consta de los siguientes equipos: varias cámaras frontales, varias sondas de alarma frontales, varias grabadoras de vídeo de disco duro o cámaras de vigilancia Equipos host, diversos equipos host de monitoreo de cajeros automáticos en línea o fuera de línea, sistemas de control de acceso a bóvedas, etc.

1.1 Diagrama de estructura topológica del sistema de monitoreo de puntos de venta comerciales

1.1.2 Requisitos funcionales básicos para el monitoreo de puntos de venta comerciales

Completar la recopilación y transmisión de videovigilancia analógica señales; acepta monitoreo El giro/inclinación central, la lente y otras instrucciones de control controlan la apertura, la distancia focal y el zoom de la lente de escena, así como los movimientos hacia arriba, abajo, izquierda y derecha del giro/inclinación. Proporcione interfaces RS232, RS485 y E/S para recopilar información de alarma e información en el sitio, y cargar información relevante al centro de monitoreo superior a través de la red.

1.2 La composición básica del centro de monitoreo secundario

El sistema del centro de monitoreo secundario generalmente consta del siguiente equipo: servidor de administración central, servidor de matriz digital, pared de TV de monitoreo, servidor de transmisión de medios , monitorización de puestos de trabajo de gestión, etc.

1.2.1 Diagrama esquemático de la topología del sistema del centro de monitoreo secundario

1.2.2 Requisitos funcionales básicos del centro de monitoreo secundario

Administrar la videovigilancia en. esta área haga clic;

B. Puede controlar el equipo frontal;

C. Puede realizar la grabación, reproducción y carga de imágenes remotas; datos en la zona.

D. Acceso y procesamiento de alarmas (carga de alarmas y vinculación con cámaras); aceptar eventos de alarma de equipos de monitoreo dentro de la jurisdicción y realizar grabación y procesamiento de video;

E. acceso por parte de otros clientes autorizados;

f. Implementar el servicio de reenvío de datos de medios de transmisión Cuando el centro de monitoreo primario necesita ver o reproducir imágenes de medios comerciales, el servidor de medios de transmisión del centro de monitoreo secundario reenvía y distribuye. imágenes de video de puntos de venta comerciales;

G. Para el equipo host de monitoreo de puntos de venta comerciales frontales, no solo puede obtener la información de almacenamiento de datos básicos como su área de distribución y cantidad, sino también. Detectar su estado operativo a través de la función de inspección.

H. Implementar la administración de usuarios, incluida la configuración de permisos de usuario (nombre de usuario, contraseña, permisos y prioridad), admitir el modo de administración de permisos de tres niveles y dividir a los usuarios en superoperadores, operadores y usuarios comunes. El usuario con mayor autoridad ejerce el control maestro y es responsable de operar todos los equipos host de monitoreo en la sucursal. Los usuarios con menos autoridad pueden restringir parte de su autoridad operativa en el equipo relacionado.

1.3 Componentes básicos del centro de monitoreo de primer nivel

El sistema del centro de monitoreo de primer nivel generalmente consta de los siguientes equipos: servidor de administración central, servidor de matriz digital, video wall de monitoreo, Estación de trabajo de gestión de monitoreo, servidor de almacenamiento centralizado, etc.

1.3.1 Diagrama esquemático de la topología del sistema del centro de monitoreo de primer nivel

1.3.2 Requisitos funcionales básicos del centro de monitoreo de primer nivel

A. Administrar la videovigilancia en este punto de área;

B. Administrar el centro de monitoreo secundario bajo su jurisdicción;

C. Recibir y procesar eventos de alarma reportados por el centro secundario;

p>

D. Almacenamiento centralizado de videos importantes en puntos de monitoreo jurisdiccionales;

E. Puede controlar el equipo frontal;

F. ;

G. Proporcionar servicios de mapas electrónicos y proporcionar a los usuarios una interfaz intuitiva de operación de mapas electrónicos;

H. Realizar la gestión de todos los puntos de monitoreo subordinados a través de mapas electrónicos.

II. Requisitos del sistema para la creación de redes del sistema financiero

El sistema de red seguro del sistema financiero debe adoptar una arquitectura abierta, seleccionar interfaces y protocolos estandarizados y tener buena compatibilidad y confiabilidad. . La construcción del sistema debe cumplir con las normas y especificaciones pertinentes del estado y el Ministerio de Seguridad Pública, unificar la planificación y las normas, centrarse en la preparación, investigación, orientación y proyectos piloto, y llevar a cabo la construcción de redes seguras de sistemas financieros desde diferentes niveles y ángulos. sobre las condiciones económicas de la región.

En el proceso de planificación y establecimiento de un nuevo sistema de red de seguridad, es necesario considerar y utilizar plenamente el sistema de alarma, el sistema de videovigilancia y los recursos de transmisión existentes, de abajo hacia arriba, de adentro hacia afuera. y adherirse a la avanzada tradición Compatible permite la integración de sistemas, la interconexión de sistemas, la integración de recursos y el intercambio de información. Debemos anteponer la practicidad, construir, integrar, aplicar y mejorar el sistema, y ​​convertir el sistema en un "proyecto práctico".

Los equipos involucrados en el sistema de red de seguridad deben cumplir requisitos de confiabilidad y seguridad. En términos de selección de equipos, debemos elegir productos convencionales avanzados, no los más avanzados, sino los más confiables, para garantizar el funcionamiento ininterrumpido del sistema. Los equipos, datos e interfaces clave deben adoptar diseños redundantes y tener funciones como detección de fallas y recuperación del sistema, transmisión de información y almacenamiento de datos en el entorno de red, deben prestar atención a la seguridad para garantizar la seguridad y confiabilidad de la red del sistema y evitar ataques maliciosos; extracción ilegal de datos.

La aplicación de sistemas de redes de seguridad debe reflejar el intercambio de recursos y una respuesta rápida, formando un sistema de red integral de prevención y control. Se debe fortalecer la supervisión y gestión de la operación y aplicación del sistema. Los principios de gestión de la operación y aplicación del sistema son los siguientes:

A. Los usuarios de todos los niveles del sistema solo pueden explorar imágenes en tiempo real e imágenes históricas de los puntos de monitoreo correspondientes dentro de los permisos después de abrir una cuenta en su propia * * * plataforma para compartir y estar autorizados para asignar permisos.

b. Se debe adoptar un mecanismo de gestión de derechos de usuario de varios niveles para evitar que los usuarios operen más allá de su autoridad. El equipo del servidor debería poder configurar funciones separadas para negar a los usuarios remotos el acceso a ciertas funciones, de modo que incluso si se roba la contraseña del administrador, los servidores importantes no se vean afectados.

c. El equipo del servidor debe poder restringir o permitir únicamente el acceso de clientes desde IP o segmentos de red IP específicos. Para evitar que usuarios ilegales adivinen los nombres de usuario y las contraseñas o los descifren mediante métodos exhaustivos, configurar el acceso sólo para usuarios de direcciones IP limitadas es una estrategia de seguridad muy eficaz.

D. Las operaciones diarias de los usuarios y los eventos importantes del sistema se registran en registros, y los datos del registro se clasifican y almacenan en la base de datos. Se debe realizar una copia de seguridad de la base de datos con regularidad para evitar la pérdida de datos causada por fallas de hardware. Se pueden realizar copias de seguridad de los datos en todos los servidores y los archivos de datos se pueden restaurar en caso de una falla catastrófica.

El sistema de videovigilancia en el sistema en red debe cooperar con el sistema de enlace de alarma. Según el estado actual de la construcción, aplicación y gestión del sistema de red, los procesos de trabajo se pueden dividir en dos categorías: procesos de gestión diaria y procesos de vinculación de alarmas y monitoreo de video.

A Proceso de gestión diaria: El centro de monitoreo secundario (centro de submonitoreo) recibe información de gestión diaria, como información de patrulla, información de eventos, información de video transmitida por cada punto de alarma y punto de monitoreo, y el monitoreo secundario. centro La información se identifica, clasifica y procesa, y la información importante que debe cargarse se carga en el centro de monitoreo de primer nivel (centro de submonitoreo), y el centro de monitoreo de primer nivel la maneja en consecuencia.

B. Proceso de vinculación de alarmas y videovigilancia: el centro de monitoreo de primer nivel (centro de submonitoreo) recibe información de alarma de punto móvil, alarma automática de punto fijo o alarma manual, y revisa la alarma a través de la vinculación automática. o vinculación manual con el sistema de videovigilancia de seguridad pública. Después de confirmar la situación, se procesará la situación policial y la información policial importante que deba reportarse se reportará al centro de monitoreo de primer nivel (centro de submonitoreo), y luego el centro de monitoreo de primer nivel lo manejará en consecuencia. Después de manejar la alarma, restablezca el sistema al estado normal.

2.1 Requisitos de transmisión de vídeo

2.1.1 Ancho de banda de la red

El ancho de banda de la red se refiere a los requisitos de ancho de banda para garantizar el funcionamiento normal del sistema. Esto depende del número de vídeos que el sistema de videovigilancia transmite simultáneamente. El requisito mínimo de ancho de banda para una imagen de vídeo CIF es de 256 kilobits/segundo, y el requisito mínimo de ancho de banda para una imagen de vídeo D1 (4CIF) es de 768 kilobits/segundo.

Los requisitos de ancho de banda de red de los centros de monitoreo en todos Los niveles incluyen dos partes: el ancho de banda de la red requerido para recibir video de vigilancia digital frontal y el ancho de banda de la red requerido para reenviar datos relacionados. A partir de la suma de los datos recibidos del vídeo de vigilancia digital frontal y los datos reenviados, se calculan los requisitos mínimos para el ancho de banda total de los centros de vigilancia en todos los niveles. El ancho de banda de red normal requerido por los centros de monitoreo en todos los niveles debería ser 1,5 veces los requisitos mínimos.

El ancho de banda mínimo requerido para cada terminal de usuario del sistema de acceso, en formato CIF, se debe calcular según (número total de canales de video de vigilancia) × 256Kbits/s en formato D1, se debe calcular según; (número total de canales de vídeo de vigilancia) × Calculado a 768 Kbits/s, el ancho de banda normal de la red debe ser 1,5 veces el requisito mínimo.

2.1.2 Formato de imagen

El formato de imagen soportado por el sistema es CIF, ampliable a D1 (4CIF). El tamaño de la imagen CIF es de 352×288 píxeles; el tamaño de la imagen D1 (4CIF) es de 704×576 píxeles.

2.1.3 Velocidad de fotogramas del vídeo

Al grabar localmente, la velocidad de fotogramas del vídeo no debe ser inferior a 25 fotogramas por segundo. Cuando el tamaño del formato de imagen es CIF, la velocidad de cuadros de video transmitida a través de la red no es inferior a 15 cuadros/segundo. Cuando el tamaño del formato de imagen es D1 (4CIF), la velocidad de cuadros de video transmitida a través de la red no es inferior a 10 cuadros/segundo.

2.1.4 Retraso en la transmisión de video

El retraso de la red desde la imagen de video del sistema de la red de monitoreo empresarial hasta el centro de monitoreo secundario debe ser inferior a 1,5 s. al centro de monitoreo secundario a través del servidor de medios de transmisión. La imagen de video del centro de monitoreo de primer nivel debe ser inferior a 3 segundos.

2.1.5 Tiempo de almacenamiento de vídeo

Las grabaciones de vídeo normales deben almacenarse en el dispositivo host de monitoreo durante más de 30 días, y las grabaciones de vigilancia de partes importantes deben almacenarse durante más de 60 días. Los videos de emergencias o casos deben transmitirse al servidor de almacenamiento centralizado del centro de monitoreo de primer nivel para su respaldo y preservación.

2.1.6 Sincronización de audio y vídeo

La diferencia de sincronización entre audio y vídeo debe ser inferior a 500 ms.

2.1.7 Tiempo de procesamiento de respuesta de alarma

Cuando el centro de monitoreo secundario recibe una alarma de un establecimiento comercial monitoreado, el tiempo de procesamiento de respuesta debe ser inferior a 60 segundos. Se transmite la información de la alarma. a El tiempo del centro de monitoreo de primer nivel debe ser inferior a 5 segundos.

2.2 Requisitos técnicos de seguridad

2.2.1 Seguridad de la red

Aislamiento de red externa

Para garantizar la seguridad absoluta del sistema de red. El sistema de red debe construirse estrictamente en la plataforma de intranet del banco y estar completamente aislado físicamente de la red externa para garantizar que no se pueda conectar ni acceder al sistema de red seguro a través de ninguna red externa ni sistema de red pública (también se puede utilizar el modo de red privada VPN). .

Aislamiento de intranet

El subsistema de intranet de la oficina central, el subsistema de red de sucursales provincial y el subsistema de red de sucursales local deben aislarse mediante firewalls cuando estén interconectados. Los requisitos técnicos del firewall son: implementación de software no puro, filtrado de direcciones/protocolos de soporte, filtrado de paquetes de soporte, autenticación de seguridad y administración remota de soporte, soporte de 1024 o más conexiones de red simultáneas y el ancho de banda máximo de una sola conexión no es menor. superior a 2 Mbps.

2.2.2 Seguridad de la información

Aprobación

Los sistemas en red deben adoptar un modelo de control de acceso basado en roles y deben admitir la autorización de las siguientes operaciones:

A. La estación de trabajo del cliente accede al servidor del centro de monitoreo de primer nivel (incluido: iniciar sesión, navegar, leer, modificar, eliminar, etc.);

b. niveles del nivel del sistema. Cada nivel debe tener una lista de permisos diferente. Cada subsistema debe tener un administrador de seguridad independiente responsable de asignar el nivel apropiado a cada usuario legítimo del subsistema.

C. El sistema deberá implementar un control de acceso obligatorio. A excepción del administrador de seguridad, ningún usuario puede cambiar permisos, operar más allá de su autoridad o delegar permisos a otros usuarios sin autorización. Los administradores de seguridad no pueden explorar, modificar ni eliminar ningún otro dato en el sistema, excepto las funciones autorizadas.

d. Todas las operaciones de cambio de permisos en el sistema deben registrarse en el sistema de registro correspondiente y guardarse adecuadamente como referencia.

Prueba

A. El sistema de autenticación de identidad utilizado por el sistema incluye tres aspectos: la autenticación de identidad del sistema informático para los usuarios, la autenticación de identidad del sistema informático para los usuarios y la identidad del sistema informático. autenticación para otros sistemas informáticos autenticación de identidad.

B. La autenticación de identidad del usuario debe utilizar autenticación de dos factores, es decir, contraseña y dispositivo de autenticación. Los usuarios deben presentar correctamente sus contraseñas y los dispositivos de hardware de autenticación relacionados al mismo tiempo para pasar la autenticación de identidad.

C. El sistema debe admitir la autenticación única tanto como sea posible, es decir, los usuarios solo necesitan someterse a una operación de autenticación para usar el sistema, sin autenticación repetida al acceder a diferentes subsistemas.

d. Todas las operaciones de autenticación (incluidos el éxito y el fracaso) deben registrarse mediante sistemas de registro relevantes y almacenarse de forma segura como referencia.

Control de acceso

Después de que el sistema autentica exitosamente la identidad del visitante, obtiene la lista de autorización actual del usuario basada en la base de datos de autorización. Determine si la solicitud del visitante puede aceptarse según la lista de autorización. Si es aceptable, se realiza el servicio; en caso contrario, se deniega el servicio. Todas las operaciones de datos (incluidas la lectura y escritura) deben registrarse en el sistema de registro correspondiente y registrarse de forma segura.