机房智能监控管理项目建设方案模板

智能监控管理项目建设方案平台系统建设方案安全系统建设为了满足系统建设与使用的安全需求，保障系统数据安全与运行安全，本项目建设的系统平台部署于区公司，并采用公网已有后台域安全系统对本项目建设的系统进行安全保护。信息安全服务体系安全检查按照相关规定和要求，定期对XX系统的全网进行安全检查，及时发现安全隐患，做出相应的解决方案。具体内容包括：（1）巡检对象确定1）安全关键点分析：对影响系统、业务安全性的关键要素进行分析，确定安全状态监控的对象，这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象；也可能包括安全标准和法律法规等外部对象。2）形成巡检对象列表：根据确定的巡检对象，分析巡检的必要性和可行性，形成监控对象列表。（2）巡检对象状态信息收集1）巡检工具：根据巡检对象的特点、巡检管理的具体要求、巡检工具的功能、性能特点等，选择合适的巡检工具。建立完善的运维巡检体系。2）状态信息收集：整理备案巡检对象的各类状态信息，包括网络流量、日志信息、安全报警、性能状况、外部环境的安全标准和变更信息。（3）巡检状态分析和报告1）状态分析：对安全状态信息进行分析，及时发现险情、隐患或安全事件，并记录这些安全事件，分析其发展趋势。2）影响分析：根据对安全状况变化的分析，分析这些变化对安全的影响，通过判断他们的影响决定是否有必要作出响应。3）形成安全状态分析报告：根据安全状态分析和影响分析的结果，形成安全状态分析报告，上报客户安全事件或启动应急预案。风险评估按照XX系统的等级保护测评标准要求，定期为XX系统的安全技术和安全管理两方面的测评标准，指导进行《XX系统安全等级保护定级报告》的编制、信息系统等级保护自主定级备案、测评，对不符合测评或复评要求的信息系统安全整改提供咨询服务。具体风险评估内容包括：（1）网络设备评估根据XX系统中设备类型的不同，对核心层、交换层和接入层及防火墙、入侵检测等边界网络安全设备的访问控制和安全策略，现状有针对性进行风险评估。（2）操作系统评估网络服务器及可互联终端的安全始终是信息系统安全的一个重要方面，攻击者往往通过控制它们来破坏系统和信息，或扩大已有的破坏。网络攻击的成功与否取决于三个因素：攻击者的能力；攻击者的动机；攻击者的机会。正常情况下，我们是无法削弱攻击者的能力和动机这两个因素，但有一点我们可以做到减少他们的攻击机会。对操作系统开放的服务、安全配置、访问控制、系统漏洞进行安全脆弱性风险评估。（3）应用程序评估应用程序本身存在一定的安全缺陷和隐患，攻击者可以利用应用程序中的漏洞入侵系统、窃取信息及中断系统服务。为保证警务重要业务系统保密性、可用性，对操作系统上基于WEB服务及第三方应用程序做安全评估。渗透测试应通过渗透测试的技术手段，模拟恶意黑客的攻击方法，来评估XX系统的安全状况；以此来发现系统的弱点、技术缺陷及相关漏洞；并依据渗透测试结果对应用系统的缺陷和漏洞进行整改及修复工作。安全培训定期开展系统的安全培训，主要是提高各系统管理人员的安全意识和安全技能，使之能够符合相关信息安全工作岗位的能力要求，全面提高客户整体的信息安全水平。针对不同层次的系统管理人员，进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练，确保组织信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。（1）安全意识培训通过对客户全体员工的安全培训和教育工作，提高全体工作人员的信息安全意识和技术水平，降低由于人为原因引发的安全风险。（2）管理类培训针对客户不同层面、不同职责、不同岗位的人员进行培训，在客户方内部推行、实施已建立的安全体系，提高信息安全管理水平。（3）安全流程制度培训针对相关的安全流程、安全制度、安全规范、安全运维计划进行培训，使警员了解相关的、系统级的安全体系操作流程和制度。安全保障建设通用安全保障措施平台安全防护综合采用多种成熟的安全技术，多层面对平台信息系统提供安全保障。本项目安全能力建设方案说明如下。机房智能监控管理系统部署在分公司混合云资源池中，混合云资源池中提供了满足IT系统部署的硬件资源和网络连接和安全保护技术手段。云资源池按照机房标准建设，机房环境符合安全要求。通过设计标准和管理制度，运用技防和人防结合，保障物理访问控制、防盗窃和防破坏、防雷击、防火和防潮、温湿度控制等要求，电力采用1+1、2+1冗余UPS或240V高压直流供电系统保障供电的安全。因此，物理环境的安全性是有保障的。安全通信网络在混合云资源池中，IT系统间的通信传输运用安全技术作为保护手段。网络划分成多个安全分域，安全域采用了MPLSVPN隔离和通信，安全和运行效率均有保障。安全区域边界边界防护前提是明确IT系统的边界。混合云资源池针对性的对各个安全子域部署相应的安全防护，包括安全加固、补丁管理、VLAN划分+ACL配置等基础防护，以及流量监控及溯源、流量清洗、入侵检测、WEB防护、网页防纂改、防病毒等平台安全防护。因此，本项目的安全区域边界划分清晰，边界之间已经实施访问控制策略，访问用户能够进行有效管控。安全计算环境为保障IT系统计算环境的安全，可通过身份鉴别、访问控制、入侵防范、可信验证、数据完整性保障、数据备份恢复等能力来提供保障。当前混合云资源池已经具备上述防护能力。总体来看，借助以上能力和加固规范，能够较好的保护计算环境的安全性。安全管理制度。IT支撑系统的需求、设计、开发、测试、上线、运行和下线过程的内部安全管理，遵守中国集团、XX公司的相关项目建设要求。项目施工安全保障，则由《中国公司通信工程建设项目管理实施细则》（中桂〔2013〕380号）进行规范。项目施工前需要进行项目安全风险评估。包括项目安全风险等级、施工子环节风险等级，根据环节可能存在的风险制定对应的风险的处置方案，最后将项目风险等级的责任落实到各单位。因此，通过内部安全管理制度、项目风险评估制度，能够将安全管理制度和责任贯彻到具体责任人、部门，有效保障安全风险考虑到位、安全环节有效监督、安全规则执行有力。安全管理人员。IT系统安全管理人员的组成，由中国分分公司、XX公司相关人员为主体，人员配置数量和技术水平能够保障IT系统的安全。安全建设管理项目建设的安全管理，应参考《中国XX公司工程建设项目管理办法》（中桂XX〔2019〕45号）执行相关要求。确保信息安全。因此本项目的建设过程中的信息安全有据可依。安全运维管理IT系统的安全由XX公司安全维护管理部门，负责安全运维管理。因此，本项目的安全运维是有负责单位的。应用安全方案机房智能监控系统涉及到监控视频、机房信息、员工个人资料等重要数据的存储及传输。因此，系统安全性建设是必要的。本项目应用安全方案如下：安全设计原则木桶原则安全系统的建设需对信息均衡、全面的进行保护。有效性性原则网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。实用性原则安全系统的建设不能影响系统的正常运行和合法用户的操作活动。标准化原则安全系统的建设必须遵循国家标准，符合中国的安全规划。等级性原则安全系统的建设需分为不同等级，包括对信息保密程度分级、对用户操作权限分级，对网络安全程度分级，对系统实现结构分级。从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制。易操作原则安全系统的建设需避免系统的操作过于复杂，对人的要求过高。应用安全方案用户权限系统用户：负责管理整个系统维护，包括用户权限修改等；普通级用户：负责在授予的权限内发布信息和查询信息；管理级用户：可查询、检索、统计汇总所有项目。登录认证IP地址限制技术，限制访问系统的有效IP（或者无效IP）地址；用户登陆失败数次后，此账号将被临时封闭；如果用户在管理员设定的时间（15-60分钟）内没有做任何操作，系统将会自动注销该用户；如果用户在浏览器中输入了其无权访问的页面地址，系统将会自动注销该用户。系统管理数据备份；系统权限分配；报表管理。系统提供用户组、角色等通用的权限定义，可自定义系统的权限。授权管理集中管理，统一认证，开放接口，便于集成。功能授权和数据授权相结合。关系数据、多维数据、非结构化数据统一授权。单个授权和批量授权相结合。数据库安全物理上，数据库服务器不与外界进行连接，确保外部无法获得有效途径访问数据库服务器。数据库中，诸如用户密码等机密数据以加密形式储存，即使数据库服务器的系统管理员也无法通过任何途径获得这些数据。机房及配套工程建设本期工程平台系统部署在中国分公司混合云资源池中。本项目所需计算资源、存储资源均由中国分公司混合云提供，所需的物理服务器设备以及机房配套建设不在本项目建设范围。电源配套本项目新建的前端监控摄像头建议优先采用本期新增的POE交换机进行供电，POE交换机安装在原有机房机架内。当不具备POE供电条件时，采用市电就近供电。本期新增的门禁系统前端设备根据现场环境采取UPS或市电进行供电。由于本期新增设备功耗较低，原则上不对机房的配电系统进行扩容建设。线缆布放本期新增的线缆主要包括电源线，信号线。布放电缆时应严格执行施工规范。信号电缆与电力电缆分开布放，交流电力线和直流电力线分开布放，信号缆线与电源线缆不允许在同一线槽布放，在同一竖井或槽道中布放必须分隔开，电力电缆采用金属管/槽保护，并注意电缆的绑扎。穿越楼层或隔墙布放缆线后，必须采用不燃烧材料对穿越的孔/洞封堵严密。由于机房内部存在一定的信号干扰，部分前端点的信号传输距离较长，故本期前端监控摄像头至POE交换机的信号电缆采用六类屏蔽双绞线，当传输距离大于100米时，采用光缆皮线与光收发器进行数据传输，避免信号衰减与丢包。

运行维护系统建设维护服务流程本项目服务流程如下：图SEQ图\*ARABIC26维护服务流程图维护方式本项目设备维护方式采取业主运维为主，设备提供商运维为辅的形式进行，设备及服务提供商负责对中国各个地市分公司的运维管理人员进行系统的使用及运维培训，并提供相应的技术支持及备品备件。（1）日常维护日常运行维护工作涉及到网络与硬件、软件、数据等各个方面的内容，管理工作量比较大。服务提供商将严格按照各子系统的操作规范和安全生产要求，针对性地支持地市运维组人员开展日常的运行维护，确保故障早修复。（2）巡检定期测试和巡检服务是做好维护服务的重要手段之一，通过例行测试，可以检查系统软件、设备、线路的运行质量，发现隐患和潜在问题。通过巡检，可以检查设备标签、安装和布线是否符合规范，设备状态是否正常，从而及早发现故障隐患。根据维护内容，制定巡检计划，定期联合相关设备厂家派出技术专家对本项目的系统软件、设备和线路进行定期的例行技术检查和设备保养维护，并形成巡检记录。（3）运行情况记录系统运行情况记录对于系统的管理与故障处理具有重要意义。设备及服务提供商提供各种运行情况记录表与支撑运维人员，实现对系统运行状态进行记录登记。系统在其运行过程中除了不断进行大量的管理和维护工作外，还要在相关领导领导的直接主持下，由技术专家、业务专家，项目组项目总经理、系统维护部代表项目组共同参与，定期对系统的运行状况进行评审（主要包括审核和评价），为系统的改进和扩展提供依据。（4）售后问题提交1）提交方式在系统试运行期间，项目组系统实施人员将在实时跟进维护。当系统遇到故障时，可以直接当面或通过电话向实施人员提交维护请求。2）故障等级和类型在提交问题时，技术人员大致判定故障等级和故障类型，以利于项目组系统维护部安排合适的维护人数和人员。本系统的故障等级分为紧急、严重、一般、轻微四级，分别记为A、B、C、D四级。本系统的故障类型分为网络与硬件、软件、数据三类。（5）问题处理1、技术支持：包括即时回答提出的问题，排除用户的软、硬件故障，定期回访以及对设备检修，提供终身维护等；2、提供巡保养维护服务、提供7×24小时电话服务，故障响应时间小于30分钟。按照故障程度，一般故障12小时内修复；重大故障24小时内修复，如超过24小时不能修复属设备问题，由项目中标方免费提供备件，保证系统48小时内恢复正常运行。制定应急保障预案，安排技术员及监控设备厂家技术员驻建设单位现场进行维护工作，负责核心设备和易发生故障设备的现场维护和技术保障。突发事件期间，做好重要部位的安全保障，增加巡检次数。保障响应措施（1）售后服务处理流程图图4.8-1售后服务流程示意图（2）故障申告热线设备及服务提供商各级服务机构建立了"首问负责制"，即不论向哪一级服务热线或客户经理提出申告，部门应受理客户申告，按内部流程组织处理，不得推委、扯皮。可选择以下任何一种方式向服务提供商申告，直到客户满意为止。（3）回访服务服务提供商提供客户经理例行回访服务，专属客户经理将周期性登门进行沟通，倾听对系统的建议和意见，解答客户的问题，积极处理各类疑难问题。在基础上，专属客户经理将不定期安排技术专家随行，了解客户系统的运行情况和业务使用情况，举行系统运行分析会等，加强双方技术人员协作沟通。（4）网络运行报告可以通过专属客户经理向服务提供商提出申请定期获取网络运行报告。接到客户申请后，服务提供商相应机构将安排高级工程师为采购方展开专项网络分析，通过提取各种历史数据，对比各类性能参数，汇总分析后形成网络分析报告。（5）故障分析服务当系统出现的故障处理完毕后，服务提供商相关部门在三个工作日内向提供故障报告。正常情况下，可在第二个月向提供上个月的电路运行质量报告。可根据实现情况要求服务提供商提供该报告。故障处理完毕一周内，服务提供商将安排客户经理上门递交报告。报告中将就故障原因、处理过程、处理结果、改进措施等进行详细论述。（7）服务档案建立完备的服务档案。系统网络建设完毕后，服务提供商将对相应的设备进行特殊标记，以保证其相关维护资料的准确性；建立详细、完备的设备资料档案和网络运行档案，为保证系统稳定运行提供良好的物质条件。（8）第三方产品管理信息化网络建设涉及多种设备、多种信息、多方面的人员关联等的整合，为此，运维工作的正常运转需要服务提供商、业主和设备生产商、软件提供商共同协作。服务提供商在日常的维护工作中将协调第三方企业提供专人接口的支撑工作，减少服务提供商与第三方协作配合问题，缩短整个售后维护历时，理顺售后维护体系。软硬件选型原则、指标和软硬件配置清单前端设备选型原则高清摄像头为加速项目推进、降本增效，本项目拟建设的高清摄像头均在天翼物联集采目录范围内选取满足项目建设和平台接入要求的产品。经XX公司试点安装、联调、测试，拟采用以下高清摄像头：（1）200万像素红外阵列筒型网络摄像机品牌：海康威视型号：DS-2CD2T25XYZUV-I3TYWL其他参数：a)通信方式：有线；b)像素：200万像素；c)传感器类型：1/2.7"ProgressiveScanCMOS；d)镜头类型：4mm@F2.0，水平视场角：87.2°，垂直视场角：46.2°，对角线视场角：104.8°e)补光距离：红外补光，I3：最远可达30米；f)防护等级：IP67;g)其他：电源及支架须单独采购。（2）200万红外定焦枪型网络摄像机品牌：大华型号：DH-IPC-HFW3233M-AS-TYWL其他参数：a)通信方式：有线；b)像素：200万像素；c)传感器类型：1/2.8英寸CMOS；d)镜头类型：6mm，F1.6，水平54°×垂直29°×对角63°；e)补光距离：红外补光，最远可达50米；f)防护等级：IP67;g)其他：标配含支架，支持poe供电（交换机须支持反向供电)，12V电源须单独采购。（3）其他摄像机其他硬件如需接入，需在集采名单并符合软件平台适配性、环境要求、安全要求等硬件准入标准。门禁设备根据需求调研，A、B、C类机房使用智能门禁，D类机房使用普通门禁。由于接入的门禁设备需根据系统平台开放、修改协议，原有门禁利旧的情况下开发和调试成本较高，因此本项目门禁设备均采用新建模式。智能门禁和普通门禁设备的功能、参数要求如下：（1）智能门禁屏幕：5寸。功能：支持刷卡、刷脸、手机动态密码，远程开门。（2）普通门禁屏幕：小于或等于5寸。功能：刷卡、手机动态密码。AI盒子为实现重要机房和设备的1352台摄像