人员身份安全识别系统建设方案

人员身份安全识别系统建设方案2013年11月目录TOC\o"1-6"\h\z\u1. 方案概述 22. 系统简介 23. 建设范围 24. 系统总体设计 34.1 设计思想 34.2 设计原则 44.3 系统架构 44.4 卡片选型 45. 系统功能 55.1 中心平台 5 密钥管理系统 5 卡片初始化系统 5 平台系统 6 人员出入统计查询 75.2 应用系统 7 卡务管理系统 7 承包商及访客管理系统 7 通道管理系统 8 门禁管理系统 9 车辆出入管理系统 10 消费管理系统 10 考勤管理系统 11 自助服务系统 116. 安装要求 126.1 数据中心 126.2 网络 126.3 安装要求 137. 主要产品性能 137.1 卡片 137.2 通道机 147.3 门禁控制器 157.4 CPU卡门禁读卡器 167.5 指纹机 177.6 消费机 187.7 触摸屏 197.8 控制票箱 197.9 车辆道闸 218. 系统优势 22方案概述建立人员身份安全识别信息系统，对本部和下属单位各类人员（含承包商）身份进行分类识别、出入安全管控，并进行统计和分析，提高安全生产水平，同时为员工创造一个安全、便捷的工作、生活环境。系统简介人员身份安全识别系统实现神福各单位生产、办公区域出入人员的身份统一识别、安全管理，以CPU卡为主、指纹为辅识别内部员工身份，对承包商人员利用指纹进行识别。人员安全识别系统以一卡通中心平台为基础，扩展公司多个应用，包括卡务管理、承包商及访客管理、通道管理、门禁管理、考勤管理、消费管理、自助服务等。中心平台包括：密钥管理、卡片初始化、系统管理、结算管理、信息查询、数据同步等，并通过标准的第三方接口规范：报文接口、应用程序接口、卡操作接口，实现与相关系统的对接整合、数据共享。建设范围系统建设第一阶段，需在公司总部搭建人员安全识别系统总平台，实现系统密钥的统一管理、各类人员出入一二道门的安全识别管理和统计查询。注：一道门为进入办公、生活区域通道，二道门为进入生产区域通道。各单位可根据厂区现有条件和人员出入特点进行设置。中心平台：在下属单位部署一卡通中心平台，在此平台上进行密钥及卡片初始化、系统、结算、信息查询等功能的统一管理和维护，各应用系统基于该平台进行管理。系统具有多级权限管理功能，单位各级职能、管理部门，需在其权限范围内进行日常管理操作。卡务管理：负责内部人员的信息录入、卡片发行、证卡打印，及日常的挂失、解挂、补卡、注销等卡片维护工作。承包商及访客管理：对外来人员通过提取指纹、拍照、扫描证件等方式实现有效管理。通道管理：设置人员通道机，配套读卡、指纹识别设备，对各类人员出入进行识别验证：内部员工刷卡、承包商刷指纹、访客刷卡，合法通行；非法通过时，系统设备给予声光报警，并联动摄像机进行抓拍，便于事后查询。另外，本系统还包含门禁管理、消费管理、考勤管理、自助服务等功能，各单位可以根据实际需求进行建设，最终实现全神福一卡通。门禁管理：在办公室、出入口等重要场所安装门禁设备，对人员出入权限进行管理，所有人员通过刷卡识别，合法通行。车辆出入管理：在大门出入口设置车辆道闸，配套读卡设备，对各类车辆出入进行识别验证：内部公车、员工车辆、施工车辆可远距离自动识别，外来车辆登记发卡、刷卡验证，合法通行。消费管理：在餐饮部门建设消费系统，并在食堂、超市等消费网点设置消费POS机，实现就餐、购物消费等功能。考勤管理：在人力资源部门建设考勤系统，利用通道、门禁、考勤机的刷卡记录实现员工考勤管理。自助服务：在消费及办公场所设置自助服务机（触摸屏），人员持卡可进行消费密码及限额修改、补贴领取、旧卡余额补登、消费信息查询等自助服务。系统总体设计设计思想系统利用高安全性非接触式CPU卡作为主要介质，同时使用生物识别（指纹）辅助，实现本部与各所属单位系统数据共享和统一身份认证识别管理。系统采用二级管理运营方式和三层应用结构的系统框架，系统由一个统一的身份认证平台、多个应用子系统构成，在神福本部部署人员身份安全识别信息系统统一平台中心端，在各单位部署分平台系统，系统之间采用TCP/IP网络连接方式，确保神福本部领导随时查询所属各单位指定人员或群组的人员识别记录和考勤情况；建立规范化信息平台系统第三方应用子系统接口，与相关应用子系统对接扩展。设计原则神福人员身份安全识别信息系统应从先进性、可靠性、安全性、稳定性、可扩展性等多方面考虑，设计上力求使整体系统能够在最大限度上满足神福不断增长和变化的业务需求，同时也能够在最大限度保护投资的前提下，利用迅速发展的新技术和产品。系统架构神福人员身份安全识别信息系统依托公司信息化基础设施构建，采用分层的平台化体系架构，服从于公司信息化建设的整体框架。为充分整合应用和信息资源，向用户提供多渠道、多种方式的服务，系统采用统一的标准规范（包括信息标准、接口标准等），通过统一的安全和运行保障体系，与公司内相关应用系统以一种松散耦合的方式实现集成，协同完成信息的采集和处理。系统从总体上分为基础设施层、数据层、中间件层和应用层等四层。系统采用两级运营管理模式，以“集中管理，分散控制”方式实现公司本部管理中心和下属单位分中心协作运营，利用公司信息化网络将各中心有机连接，实现数据交换、信息共享，确保各类人员在公司内统一、安全识别。卡片选型符合工业与信息化部（工信密【2009】2号）、电监会（办信息函【2009】41号）及集团（神华信【2009】149号）相关文件要求：“采用我国自主创新的IC卡技术”，卡片选用国产高安全非接CPU卡，并配套密钥系统进行加密管理（密钥系统须具有软件著作权证书）。系统功能中心平台密钥管理系统在人员身份安全识别系统中，密钥的管理是整个系统安全运行的基础，负责系统各类密钥的生成、发行和更新，直接关系到整个系统的安全。主要功能1）码单定义生成码单卡定义码单，并将码单值加密存于卡片保存。2）密钥生成母卡密钥生成利用码单卡中的AB码单生成母卡密钥。母卡密钥导出母卡密钥导出是将母卡中的密钥导出到其他母卡或加密机。注：该系统在神福本部部署，确保员工在神福系统内的统一身份识别，其他单位直接使用。卡片初始化系统主要功能1）用户卡初始化密钥灌装和卡内结构初始化，建立用户卡片文件结构、写入卡片应用序列号、安装各类工作密钥等卡片初始化工作，确保卡片加密的安全性。2）消费PSAM卡初始化实现消费机内PSAM卡的密钥灌装。3）门禁设置卡初始化实现门禁读卡器SAM模块密钥灌装。平台系统（1）系统管理进行系统的初始设置操作，包括部门机构设置、操作员管理、用户信息管理等。部门机构管理实现用户各级部门的维护：添加、修改、删除等，系统可支持256级部门结构。2）系统操作员管理实现系统各级管理员的建立及多级权限的设置等：管理员维护：管理员的添加、修改、删除；权限维护：功能权限：设置管理员的业务管理权限。数据权限：设置管理员对所负责部门的人员、设备的操作权限。3）人员信息管理实现人员信息的添加、删除、修改，并可按指定格式进行人员信息的批量导入。人员信息包括：姓名、工号、性别、出生日期、身份证号等，并可重置用户卡密码。（2）结算管理负责消费数据的清分清算、统一结算，对单位、商户（食堂、超市等）、持卡人在系统平台中的资金和账目进行管理。主要功能消费流水合法性校验。个人卡账户结算：根据消费流水对个人后台账户进行扣款。商户结算（清分）：根据结算完成的流水，统一对商户结账。各种查询：对持卡人、商户、消费单位的帐目进行多种条件的组合查询。人员出入统计查询主要功能查询指定时间段内员工、承包商人员、访客出入明细、到厂情况汇总。应用系统卡务管理系统（1）卡类型管理支持255种卡类型，并可设置每种卡类的日消费限额、折扣率、有效期、卡押金等参数。（2）卡业务处理员工卡的发行、挂失、解挂、补卡、换卡、卡信息修正，单个注销和成批注销等工作，并生成相应的报表和流水记录等。注：A、神福员工信息集中存放于本部数据中心，各单位进行员工卡业务操作时，系统须连接至本部进行处理。B、员工卡的编号按照神福统一工号编辑。员工正式调动须注销原单位员工卡，新单位重新发卡；员工临时借调，须借调单位重新发卡、重新编号（规则：员工工号加电厂代码）。（3）卡个性化制作按卡类设计不同的版面；员工卡的个性化设计制作：背景图、照片、卡面文字信息如姓名、工号、部门、卡面编号等，照片支持电子文档导入。（4）指纹信息录入内部员工原则上采用刷卡验证通行，也可使用指纹验证。须在卡务系统中，进行员工指纹信息录入。（员工采集一枚指纹，建议右手食指或中指。）承包商及访客管理系统负责承包商、访客等所有外来人员身份信息的登记及日常管理。（1）访客登记访客登记内容包括：访客信息，包括访客姓名、性别、民族、出生日期、住址等信息；访客证件类型，身份证（一代或二代）、驾照等；访客证件号，为访客所持有访客卡的卡号，由办理访客卡时发卡生成；访客单位，手工录入；访客登记时间，自动生成；拜访对象，多种方式选择，包括姓名、姓名缩写、部门选择等；（2）访客照片录入通过系统管理终端连接摄像头，对来访人员拍照后，以电子照片方式录入访客信息。（3）访客卡发放对来访人员发放来宾卡。（4）承包商人员登记承包商人员指纹采集不超过2枚，建议右手食指、中指。（5）黑名单管理本单位承包商黑名单的设置，公司承包商统一黑名单信息的查询。本单位访客黑名单的设置维护。（6）数据查询对本单位访客、承包商出入记录进行查询。通道管理系统在各单位一二道门安装人员通道设备，在进出通道时刷卡或进行指纹识别，由通道系统确认信息合法后放行，并结合摄像设备对非法通行人员进行抓拍，实现重要区域（生产、办公）人员出入的安全管控。（1）权限管理设定出入通道的人员和通行时间段。（2）独立控制实现每个通道进、出刷卡，单独控制。（3）实时监控系统管理人员通过监控计算机实时查看每个通道的人员进出情况。（4）图象抓拍监控计算机配合图象捕捉设备，实时捕捉非法闯入人员图片。（5）异常报警发生非法闯入、尾随等异常情况时，系统报警提示。（6）消防联动发生火情等紧急情况时，可接受消防系统传来的报警信号，联动打开通道。（7）实现人员进出情况查询统计。门禁管理系统（1）权限管理设置人员通行权限。（2）实时监控实时监控所有门刷卡及进出情况，显示刷卡人照片。（3）强制关门/开门通过软件将门设置为常开或常闭。（4）远程开门管理员通过软件远程开门。（5）各种报警功能非法闯入报警；门长时间未关闭，超时报警；非法刷卡报警；（6）消防联动当发生火情时，门控器接收到消防信号，联动开门，便于人员紧急疏散或逃生。（7）出入记录查询对人员出入情况进行查询。车辆出入管理系统车辆出入管理系统部署在各大门门卫处，实现大门各类车辆出入的安全、有效管理。（1）授权管理（2）车辆出入实施监控、图像比对（3）车牌识别（可选）配置高清摄像机及车牌识仪，实现车辆出入时拍照、车牌自动识别。（4）车辆卡分类管理长期车辆：包括内部公车、员工、施工车辆；均采用有源Rfid电子标签，配置对应的远距离读卡器，可实现车辆远距离识别（3~10米）、不停车通行；内部车辆也可采用近距离刷卡，利用一卡通用户卡，实现车辆出入一卡通用。外来车辆：外来临时车辆可发放临时卡，进出刷卡。（5）区域反潜回（6）计费管理（7）防砸车功能（8）遥控开关（9）统计查询消费管理系统消费管理系统部署在食堂等消费场所，实现对用户卡电子钱包的管理和对食堂等账务管理，提供多种场合的消费结算。系统实现消费扣款、发放补助、充值、报表统计等功能，具体包括：固定金额消费；任意金额消费；菜单式金额消费；限制消费卡类型；消费时间段划分（早，中，晚，夜宵时间段）；消费POS机刷卡记录提取上传；对上传到数据库的原始刷卡消费记录自动进行清分清算，即清算个人卡账户，对商户进行清分；从系统获取黑名单，人工或定时下传至消费POS机内。考勤管理系统考勤管理系统部署在人力资源部，实现对员工正常上下班、加班、请假等有效管理。主要功能：设置迟到、早退、旷工等的相关规则。添加班次并设置每个班次相应的上班、下班时间。根据实际情况给不同的人员分配不同的班次。记录加班申请并记录具体的刷卡时间。记录员工请假、出差的记录。实现几个固定班组（班组上、下班时段需固定）循环上下班。查询、统计单位、部门、员工的出勤情况。自助服务系统通过计算机终端、触摸屏系统连接到人员安全识别系统平台，为持卡人提供平台相关的各类信息服务。主要功能：持卡人相关信息——基本信息、账户余额、补贴、充值、消费等自助查询；个人密码自助修改；消费限额（日、次）修改；个人补贴的自助领取；旧卡余额补登。安装要求数据中心数据中心是整个人员安全识别系统的核心和基础，负责支撑整个系统的运行。数据中心由数据库服务器和应用服务器构成：数据库服务器：负责平台数据中心的数据存储、备份、维护；应用服务器：提供系统运行应用服务，包括身份认证、交易结算、Web服务、数据交换以及应用管理子系统接口等服务。（1）系统软件配置建议如下：服务器端：操作系统：WindowsServer2008、标准版、15用户。数据库：SqlServer2005、标准版、15用户。客户端：操作系统：WindowsXPProfessional。（2）数据中心硬件配置建议如下：服务器：提供数据和应用服务。2台，2颗六核X5670CPU,16G内存，300GB*6硬盘，SAS热插拔，双千兆网卡，双电源，双机镜像。（3）软件系统部署：服务器：系统数据库、人员安全识别系统平台。客户端：各类应用软件。网络基于系统数据的安全性考虑，建议人员安全识别系统进行专网建设。电厂内部：采用专网；与神福本部（数据中心）：依托信息化网络进行VLAN划分。安装要求（1）通道设备通道设备集读卡、通道控制于一体，为确保该设备正常、稳定工作，须按照以下要求实施：1）通道设备为人员识别专用，不能人、车混行。2）考虑通道相关设备运行的环境要求，有条件时在室内安装，室外安装必须避免阳光直射、风沙、低温、雨雪等影响。3）通道设备固定安装，底部修建基座（高度10cm）。4）通道设备建议单独供电（由单独的电源保护开关控制）。（2）设置应急通道电厂大修期间或出现异常情况，为确保人员快速、有序通行，须设置应急临时通道，配置查验设备，支持刷卡、指纹验证。主要产品性能卡片产品特点：非接触，兼容ISO/IEC14443标准；读写距离0~10厘米；8051/2兼容CPU；8K字节EEPROM；EEPROM同时映射到程序空间和数据空间，且映射地址相同；支持页写入方式（一次写入32字节）；14K字节MaskROM；ROM同时映射到程序空间和数据空间，且映射地址相同；512字节RAM；64字节系统数据（含8字节序列号），不可更改；TDES/DES硬件加速引擎；32位真随机数发生器；CRC协处理器；串行通信模块；低电压检测和高电压保护电路；技术参数：工作频率：13.56MHz；通讯速率：106Kbps；读写距离：0~5cm；数据保持：>10年；擦写次数：>500,000次；防静电保护：>4000V。通道机KABA速通门KABA半高传感器摆动式速通门装配摆动门翼，人员通过后，门自动关闭，防止未经授权人员入内。设备参数：样式：桥式；感应类型：刷卡感应；出入方向：双向；人流通过率：大于30人次/分钟；特点：防尾随；可设置不同的安全防范等级；未经授权报警；模块化设计，可扩展单元；外箱体及立柱材质：AISI304不锈钢；门翼：AISI304不锈钢；外形尺寸：长1760mm宽1300mm(通道宽度900mm)高1020mm。门禁控制器技术参数：控制单门/双门/四门，1/2/4路报警输出，1路消防联动输入；预留扩展接口，通过扩展板可实现更多的联动功能；支持1/2/4台读卡器，wiegend26/34协议自适应；读卡器到控制器最大联机距离100米，建议80米内；可连接1/2/4个门状态监视，1/2/4个出门按钮；支持10/100M自适应以太网通信协议；采用32位工业级ARM处理器；100,000个执卡人数可扩充至200,000；可存储历史事件100,000条，可扩充至400,000条；反潜管制：支持控制器板内反潜管制，支持反潜分组；互锁：支持控制器板内互锁，支持互锁分组；门开超时报警：支持门开超时未关报警；门无故开启报警：支持门无故开启未关报警；常闭时区：支持常闭时区开门控制；常开时区：支持常开时区开门控制；支持多种开门模式：卡，密码，卡或密码，卡加密码，多重身份认证，常开，常闭；可设15种常规时区、1个预定时区和4个特殊时区，255个假日；支持区域反潜回，支持控制器板内反潜管制，支持反潜分组；支持多门互锁，重要通道防尾随互锁联动，支持互锁分组；控制器可脱机工作不影响进出门；控制器时间自动校准，时间精确到秒；跨网段联网，控制器与服务器之间可实现跨网段联网；灵活选择接入锁的类型：电磁锁、电插锁、阴极锁、速通门、电控锁；多种告警，可设定是否启动门开超时、非法闯入、胁迫进入、机箱被撬被拆。CPU卡门禁读卡器产品外观：型号：TF-DF6100系列验证方式：读卡、密码、卡加密码读卡、密码、卡加密码密钥认证方式：PSAM卡/SAM2.0模块读取距离：0–5cm输出格式：Wiegand26/34协议频率：13.56MHz工作电压：9-14VDC读取时间：94ms加密方式：PSAM卡或SAM硬件模块指纹机技术参数：CPU400MHzDSP内存8M内存＋16MRAM识别速度2,000枚指纹识别信息1秒内搜索完成指纹容量5000枚指纹登录事件储存50,000个事件联网方式TCP/IP,RS485继电器输出Deadbolt，EMLock，DoorStrike，自动门用Wiegand1个端口（输入/输出切换）TTL输入/输出两个输入（门磁与出门按钮）内部继电器电锁、自动门等防护等级IP65标准LCD128X64像素，黑&白键盘3X4键盘，3个功能键声音与界面多色灯与多音蜂鸣器工作电压12VDC工作温度-20℃～50℃产品大小60x185x40mm(宽*高*深)消费机设备参数：功能模块性能说明非接触式卡支持支持符合IS014443非接触CPU卡。消费模式支持金额、单价、编号、餐别、卡类等，支持消费限额保护（日、次，超过时需输入密码验证），支持脱机运行。核心平台采用32位嵌入式CPU开发平台。PSAM卡接口同时可附加3个SAM卡座。键盘支持20个输入按键，可按用户要求定义，满足功能菜单的需求。显示支持操作屏：160*160点阵液晶,多种字体和图形操作界面；用户屏：双排6位数码管LED显示消费金额和余额。提示音蜂鸣器。打印接口高速静音热敏打印，支持多种字体及图形打印。具有缺纸保护，过热保护功能。打印速度最大为60mm/秒，打印纸宽58mm。存储支持提供128Mbyte的用户存储数据容量，根据用户交易记录的存储情况，可定制存储容量，Flash闪存，支持SD卡数据存储（扩展）；刷卡记录>10万条，黑名单>5万个。操作系统采用linux内核，支持二次开发。内部时钟内部实时时钟。支持通讯方式TCP/IP。电源12V5A直流电源,具有过压保护。外形规格170MM*180MM*70MM(长*宽*高)。重量1200g。外观颜色灰黑色。温度适用范围0到+60ºC。湿度95％。所遵循的标准IS014443、CCC。触摸屏设备参数：19.1寸表面声波触摸屏；多媒体数控钢制金属烤漆机柜；2.6G主频；4G内存；500G硬盘；带读写器模块。控制票箱票箱是系统功能得以充分发挥的关键外部设备，是智能卡与系统沟通的桥梁，是主控设备和其他配件的容纳场所。采用标准化设计，外表美观，大方简洁；与国际工业设计标准接轨，表面高温喷涂喷油涂层处理，抗氧化性强，色泽鲜艳，永不褪色；数字化停车场系统标准配置设置，具有语音、LED显示、读卡、自动吐卡、对讲等功能配置；操作面板采用整体钢化玻璃板，具有抬杆、停车、刷卡指示；可根据需求内置LED灯条，加强设备感观度；密封设计：防雨、防尘，抗腐蚀、耐老化，适合室外环境使用；票箱尺寸：长430mm*宽255mm*高1465mm。票箱控制系统参数如下：系统特性：使用大容量存储芯片，提升可管理的车辆数量，以及脱机使用时能存储的记录数量；管理30000张有效卡，脱机存储100000条出入记录；可挂接4个读卡器，满足进出口多种识别卡类型组合，如蓝牙远距离读卡和近距离读卡结合、中距离读卡和近距离读卡结合；TCP/IP标准网络通讯协议，10M/100M网速自适应，可跨网段运行；增加系统自检功能，系统的大部分运行状态，能够自检测，有故障能够存储记录，以及有相关提示；工作电源：额定电压12VDC(±10%)，额定电流<0.5A；工作环境：温度-35℃∽+65℃，湿度0∽90%。功能特点：功能强大，系统稳定，结构简洁；主控制器与电脑之间采用TCP\IP通讯，大大提高了临时卡进出的抬杆速度；精准时钟控制，可与系统软件自动校时，保证收费准确性；停车场主控器集成了语音、显示屏管理，避免了