湖南省张家界市监狱“智慧监狱”项目建设方案

第一章总论1.1项目概况1.1.1项目名称湖南省张家界监狱“智慧监狱”建设项目1.1.2筹建单位建设单位：湖南省张家界监狱湖南省目前有监狱26所，其中省直监狱20所，市州监狱6所，张家界监狱是唯一一所未押犯的市州监狱。监狱原址在崇文办事处宝塔岗，占地56亩，原建筑面积20000多平方米。监狱前身是湘西自治州劳改支队第7劳改大队，1988年建市后，更名为大庸市劳改支队（副处级），1995年更名湖南省永定监狱（正处级），2002年更名为湖南省张家界监狱，属地市监狱。张家界监狱于2017年12月28日迁址大庸桥办事处小河坎汤家山，新址占地156亩，建筑面积3万平方米。1.1.3可行性研究报告编制依据1）编制依据《全国监狱罪犯信息编码标准》SF03001-2012《全国监狱罪犯信息数据交换标准》SF03002-2012《软件开发总体技术规范》SF03003-2012《狱政管理业务规范》SF03004-2012《应急预案管理业务规范》SF03005-2012《应急指挥联动系统业务与技术规范》SF03006-2012《目标跟踪与地理信息管理业务规范》SF03007-2012《刑罚执行业务规范》SF03008-2012《教育改造业务规范》SF03009-2012《生活卫生业务规范》SF03010-2012《劳动改造业务规范》SF03011-2012《综合治理协同业务规范》SF03012-2012《狱务公开业务规范》SF03013-2012《警务人事业务规范》SF03014-2012《门户网站业务与技术规范》SF03015-2012《警察职工信息库数据规范》SF03016-2012《全国司法行政信系统网络平台技术规范》SF/T0001-2017《全国司法行政信息化总体技术规范》SF/T0008-2017《全国司法行政系统指挥中心建设技术规范》SF/T0009-2017《全国司法行政视频会议系统建设管理规范》SF/T0010-2017《全国司法行政信息资源交换规范》SF/T0011-2017《全国监狱信息化应用技术规范》SF/T0014-2017《中华人民共和国司法行政行业标准》SF/T0028-2018《智慧监狱技术规范》SF/T0028-2018《湖南监狱监控建设规范》HLJYXXHGF-002-JK-1.0《湖南监狱网络建设标准》HNJYXXHGF-001-WL-1.0《湖南省监狱门禁规范》HNJYXXHGF-004-MJ-1.0《湖南省监狱周界预警系统建设规范》HNJYXXHGF-003-ZJYJ-1.0《湖南省监狱系统IP地址分配及编址规范》HNJYXXHGF-005-IP-1.0项目单位提供的其他基础资料。1.2项目简要概述1.2.1建设地点项目建设地点位于张家界市大庸桥办事处小河坎汤家山张家界监狱。1.2.2建设规模及主要建设内容为了着力打造“平安监狱、法治监狱、文化监狱、特色监狱和智慧监狱”，打造特色品牌、创建现代化一流监狱，根据张家界市政府的批示精神并在充分调研的基础上，拟在张家界监狱实施“监狱现代化、信息化、智慧化”平台改造工程。本项目建设内容包括计算机网络及安全的完善与改造、机房建设与改造、安防大平台、大数据平台、综合业务平台以及办公自动化相关平台、以及智能视频监控系统、移动押解和区域管控系统、智能AB门禁系统、交互式终端与对讲报警系统、紧急报警、反无人机系统、远程医疗系统、数字法庭建设、智慧教学系统等。1.2.3投资估算与资金筹措1）项目投资估算及资金筹措本项目建设投资估算为1719.8万元，项目建安工程费用1580.2万元，占建设总投资的91.9%；工程建设其他费139.6万元，占建设总投资的8.1%。2）资金筹措项目估算总投资1719.8万元，项目资金来源为财政预算内资金，由财政拔付。1.3研究结论通过科学论证分析，研究认为本项目通过打造张家界“智慧监狱”信息化平台，有利于监狱技防平台各子系统之间、监狱与省、市局之间的数据共享、互联互动，形成功能完善、反应快速的数字化技防体系,实现监狱安全防范及管理工作的现代化、标准化；其次有利于大幅度提高工作效率，减轻财务人员、干警等岗位工作量；有利于家属方便了解服刑人员的日常生活和消费，罪犯也能得到更便捷的生活；有利于张家界市信息发展，加快推进张家界市智慧城市建设；同时，本项目符合《张家界智慧城市建设总体规划（2018－2022）》和《全国司法行政工作“十三五”时期发展规划纲要》的要求，因此，项目研究结论是可行的。项目背景及建设的必要性2.1项目建设背景及政策2.1.1项目建设背景监狱作为国家刑罚执行机关，承担着惩罚与改造罪犯、预防和减少犯罪，维护社会和谐稳定和国家长治久安的神圣使命。面对新的形势，要积极探索新思路，如在监狱治理的思维方式、手段方式、管理体系、队伍治理能力等方面推陈出新，使监狱工作迈上新台阶。监狱建设要实现新的跨越和发展，就要坚持科学发展，走监狱建设现代化、信息化、智慧化之路，监狱的管理也将从传统的“经验治理”向“科学治理”转变。为深入贯彻落实习近平总书记网络强国战略思想，全面落实部党组新时期司法行政改革发展要求与“数字法治，智慧司法”信息化体系建设战略部署，站在全面依法治国的高度，着眼于监狱工作实际，加快推进“智慧监狱”建设，着力全面提升信息化服务监狱安全防范、执法管理、教育娇正、政务办公等各项工作的能力，充分发挥监狱信息化在坚守安全底线、践行改造宗旨中的重要作用，为全面构建以政治改造为统领的“五大改造”新格局和推动监狱工作迈上新台阶提供强有力的科技信息化支撑。为此司法部先后下发了《“数字法治智慧司法”信息化体系建设建设实施方案》、《关于加快推进“智慧监狱”建设的实施意见》及省司法厅《关于进一步推进“数字法治、智慧司法”信息化体系建设工作的通知》要求和全国“智慧监狱”建设工作推进会议的精神，加快建成我省“智慧监狱”，切实提升监狱管理规范化、法治化水平，早日实现我省监狱信息化工作进入全国监狱第一方阵的工作目标，本着“统筹规划、协同建设”、“需求导向、数据引领”、“创新驱动、深度融合”、“开放共享、安全可控”。2.1.2政策指导1.《全国监狱信息化建设规划》要求在全国监狱信息化建设应用工作座谈会，提出切实做好监狱信息化建设应用的组织实施工作，形成信息化建设应用齐抓共管的工作机制，提高监狱民警信息化素质和应用技能，建立长效的信息化经费投入和使用机制，确保全国监狱信息化工程建设。结合地区实际情况，初步制订地区监狱信息化总体规划。建设信息化标准体系，统一信息化基础、技术、管理三大类标准，统筹考虑监狱的物防、技防设施建设与基础网络、业务软件的深度融合，制订完善各类安防警戒设施建设的技术标准，统筹协调、稳步推进监狱信息化建设，遵循“统一规划、统一标准、统一设计、统一管理、分步建设”的信息化建设工作思路，避免产生新的“信息孤岛”和“数据烟囱”。2.《全国司法行政工作“十三五”时期发展规划纲要》要求2016年9月，司法部发布《全国司法行政工作“十三五”时期发展规划纲要》,其中规划了未来5年司法行政工作发展蓝图：《纲要》提出,各级司法行政机关要坚持总体国家安全观,着力提升监狱工作水平,切实加强司法行政戒毒工作,全面推进社区矫正,大力加强人民调解和安置帮教工作,充分发挥司法行政工作维护国家安全和社会稳定的职能作用。《纲要》要求,要深化监狱制度改革,健全社区矫正制度,健全统一司法鉴定管理体制,深化律师制度改革,完善法律援助制度,完善国家统一法律职业资格制度,完善司法协助体制,认真做好人民监督员和人民陪审员选任管理工作,不断完善中国特色司法行政制度。切实加强司法行政法制建设,做好相关法律的立、改、废等工作,健全完善司法行政规章制度体系,不断提高依法行政水平。3.《司法部监狱管理局关于开展首批“智慧监狱示范单位”审核验收工作的通知》要求（2019）司狱字72号为全面落实部党组新时期司法行政改革发展要求与《“数字法治、智慧司法”信息化体系建设指导意见》战略部署，按照《关于加快推进“智慧监狱”建设的实施意见》的总体要求，充分发挥“智慧监狱”在坚守安全底线、践行改造宗旨中的重要作用，为全面构建以政治改造为统领的“五大改造”提供强有力的科技信息化支撑，加快推进“智慧监狱”建设，充分发挥“智慧监狱示范单位”在“智慧监狱”建设过程中的引领示范作用，开展首批“智慧监狱示范单位”审核验收工作。4.《湖南省司法厅信息化系统建设“十三五”规划》要求顺应新一代信息技术发展趋势，全面提升网络基础水平，强化信息化应用支撑能力，提高司法行政信息资源综合开发利用水平，形成全员应用、资源共享的信息化工作格局，通过提高司法行政工作信息化、现代化水平，进一步提升司法行政服务经济社会发展的能力。以各类应用系统为基础，以打通数据接口、集成应用界面、拓展和完善业务功能为目标，构建应急指挥、执法监管、公共服务、行政管理四个平台，推进各类系统的融合贯通，形成湖南省司法行政系统应用体系，并利用数据共享交换系统，实现内外部数据的交换共享。2.2建设的必要性张家界监狱着力打造“平安监狱、法治监狱、文化监狱、特色监狱和智慧监狱”，向打造特色品牌、创建现代化一流监狱迈进。本次以布局调整为契机，以智慧监狱为标杆，以需求为实际需要为导向，按照司法部和湖南省监狱管理局相关建设标准，对标对表，做齐做全，一步到位，实现从硬件建设到软件平台全面信息化，为下一步进入大数据和智能化监狱打下坚实基础。1.通过本项目的建设，推进监狱其它各项工作又好又快发展，适应不断变化发展的监狱工作需要和国际国内防恐、反恐斗争形势的需要，确保监狱监管安全，确保执法公正，为打造平安监狱、促进社会和谐作出贡献。提高监狱安全系数，提升湖南省张家界监狱的快速反应能力和突发事件应对能力，应用现代化科技手段，对罪犯“三大现场”实施全方位、全天候、全过程监控，形成“人防、物防、技防、联防”四防一体化的监管安全防范新格局，实现罪犯无脱逃、狱内无重大案件、无重大安全生产事故、无重大疫情发生的目标。2.为全面落实部党组新时期司法行政改革发展要求与《“数字法治、智慧司法”信息化体系建设指导意见》战略部署，按照《关于加快推进“智慧监狱”建设的实施意见》的总体要求，充分发挥“智慧监狱”在坚守安全底线、践行改造宗旨中的重要作用，为全面构建以政治改造为统领的“五大改造”提供强有力的科技信息化支撑，加快推进“智慧监狱”建设，充分发挥“智慧监狱示范单位”在“智慧监狱”建设过程中的引领示范作用，开展首批“智慧监狱示范单位”审核验收工作。3.顺应新一代信息技术发展趋势，全面提升网络基础水平，强化信息化应用支撑能力，提高司法行政信息资源综合开发利用水平，形成全员应用、资源共享的信息化工作格局，通过提高司法行政工作信息化、现代化水平，进一步提升司法行政服务经济社会发展的能力。以各类应用系统为基础，以打通数据接口、集成应用界面、拓展和完善业务功能为目标，构建应急指挥、执法监管、公共服务、行政管理四个平台，推进各类系统的融合贯通，形成湖南省司法行政系统应用体系，并利用数据共享交换系统，实现内外部数据的交换共享。第三章项目选址及建设条件3.1项目建设地点项目建设地点位于张家界市大庸桥办事处小河坎汤家山。3.2项目建设条件3.2.1自然条件1、位置境域张家界市位于湖南省西北部，地处云贵高原隆起与洞庭湖沉降区结合部，介于东经109度40分至111度20分、北纬28度52分至29度48分之间，东接石门、桃源县，南邻沅陵县，北抵湖北省的鹤峰、宣恩县。市界东西最长167公里，南北最宽96公里。张家界市总面积9653平方公里，占湖南省面积的4.5%。2、地貌张家界地处云贵高原隆起与洞庭湖沉降区结合部,市界东西最长167公里,南北最宽96公里。张家界属山地地形,多山地,平均海拔在500米以上从地势上来看,张家界市西接云贵高原,东临洞庭湖,北与鄂西山区接壤,南与雪峰山毗连。其总的地势是:东南与中部低,四周高,沿澧水河流两岸分布部分冲积土平原。在张家界市区境内,由于受地理、地层、构造、气候等诸多条件的影响,便形成了多姿多彩的地貌奇观。有高山峻岭,又有低谷平原。2、水文本项目选址基本利用现有场地建设,无地质灾害,经初步踏勘工程地质条件良好,适宜建设,具体以详细勘测结果为准。张家界市雨量充沛,水资源丰富。境内河流分属澧水和沅水水系,以澧水水系为主。流域面积8135km2,流经全境的千流长度达30km。全市水资源总量141.7亿m3,其中地表水资源总量106.19亿m3,地下(浅层)水量14.27亿m3,全市人均水资源拥有量9008.8m3。河流水系发育分两大水系:北部澧水水系,南部沅水水系。全区大部分地域属澧水流域,南部小部分地域属沅水流域,河流切割密度为0.35<m/km23、气候条件张家界市属中亚内陆季风气候，年平均温度为17℃。因地貌差异大，气候变化呈垂直规律，“一山有四季，十里不同天”，该成间断性地地方性雷雨和暴雨中心之一。由于地形复杂，气候特殊，既形成适应动植物生长的小气候环境，又造成多种灾害性天气，十年九灾。4、地震烈度根据国家地震局、建设部发布的《中国地震烈度区划图（GB18306-2015）》及湖南省地震局、湖南省住房和城乡建设厅联合印发的《湖南省地震局湖南省住房和城乡建设厅关于贯彻执行国家标准《中国地震动参数区划图》（GB18306-2015）的通知》（湘震发〔2016〕51号），张家界市地震基本烈度为Ⅵ度区，场地范围内地震动峰值加速度为0.05g。3.2.2场地其他建设条件1、交通条件本项目位于大庸桥办事处小河坎汤家山，项目所在地地理位置好，交通优势较明显，符合监狱选址规范和要求。2、公用设施及社会依托条件本项目建设符合张家界市“智慧”监狱规划，项目将充分利用当地管网等配套公用设施，以降低投资成本。3、环境保护要求本项目建设所在地域开阔，大气容量大，项目建设中有少量废渣、废气、废水排放，生活污水排入城市污水管网后统一处理，因此，本项目不会对当地环境造成损害。4、用地条件本项目是在张家界监狱项目实施信息化平台建设，张家界监狱项目已建成完工。5、施工条件本项目所需的主要材料、电脑、配件等可到周边地区采购，通过汽车运输到施工场地。水、电、气等可就近引入，条件可满足施工需求。3.3选址结论1）项目场址符合要求本项目拟建地点位于张家界市大庸桥办事处小河坎汤家山。交通便利，生活方便。适合项目建设。2）项目场址具备良好的建设条件本项目拟建场地无地质灾害历史和不良地质现象，工程地质、水文地质均符合项目建设要求。场地水、电、路、通讯等基础设施齐全，具备良好的建设条件。项目建设的建材供应、施工技术、建设环境、施工条件等均可满足要求。第四章工程技术方案4.1设计原则及依据4.1.1设计原则本设计遵循结构化、标准化、模块化、集成化，达到监狱技防平台各子系统之间、监狱与省、市局之间的数据共享、互联互动。建成一套统一管理、分级控制的监狱技防综合管理平台软件，形成功能完善、反应快速的数字化技防体系,实现监狱安全防范及管理工作的现代化、标准化。以满足“智慧监狱”验收为基准。本项目建设遵循以下原则：一、规范性原则方案设计符合国家、行业的有关规定和司法部门的要求。二、可靠性原则系统采用成熟的、稳定的和通用的技术设备，能够长期保证可靠稳定运行，有完备的技术支持、培训和质量保证体系。在投资允许情况下，系统设计尽可能从系统结构、网络结构、技术措施、设备选型以及厂商的技术服务和维修响应能力等方面综合考虑，确保系统整体运行的可靠性。三、安全性原则系统建设要充分考虑其安全性和保密性。技防系统的网络、设备应能防御病毒黑客攻击，具有防范雷击、过载、断电和人为破坏的安全措施。四、实用性原则系统设计应符合监管工作的实际需要，其构架简洁，功能完备，维护便捷，能有效提高监狱安全技术防范水平。五、先进性原则系统设计采用主流的、符合发展方向的、适度超前的技术和设备，模块化设计，实现监狱各级指挥中心之间以及监狱和省、市局之间数据共享和联动。六、经济性原则系统在满足先进性、可靠性的前提下，采用性价比较高的技术和设备，充分利用现有的设备和资源，综合考虑系统的建设、升级和维护成本。七、开放性、扩展性原则系统、设备、接口具有可扩展、可兼容性，系统规模和功能应易于扩充，系统配套软件具有升级能力，能兼容已有设备。系统对于未来可能增添的新的子系统、新的数据库、新的功能、新的用户都要留有接口和二次开发API，并符合电子政务相关技术标准，系统可以随形势的发展而不断成长扩大。八、统一性原则系统具有统一和开放的控制协议、编码协议、接口协议、压缩格式、传输协议，提供透明传输通道。所有子系统可以整合到统一的平台下，实现信息共享、灵活联动。九、完整性原则在系统设计过程中，将各部分系统功能通过集成加以综合，使得整个系统具有完整性。十、易用性及可操作性原则系统应提供清晰、简洁的中文操作界面，操作控制简便、灵活，便于管理和维护，有完善、安全、科学的使用权限划分机制。针对不同层级的管理和决策者，提供分权分域的查看、操作、控制权限。针对不同层面的使用者的应用水平，充分考虑系统的易用性，保障本系统建成后的充分应用。4.1.2设计依据《全国监狱罪犯信息编码标准》SF03001-2012《全国监狱罪犯信息数据交换标准》SF03002-2012《软件开发总体技术规范》SF03003-2012《狱政管理业务规范》SF03004-2012《应急预案管理业务规范》SF03005-2012《应急指挥联动系统业务与技术规范》SF03006-2012《目标跟踪与地理信息管理业务规范》SF03007-2012刑罚执行业务规范》SF03008-2012《教育改造业务规范》SF03009-2012《生活卫生业务规范》SF03010-2012《劳动改造业务规范》SF03011-2012《综合治理协同业务规范》SF03012-2012《狱务公开业务规范》SF03013-2012《警务人事业务规范》SF03014-2012《门户网站业务与技术规范》SF03015-2012《警察职工信息库数据规范》SF03016-2012《全国司法行政信系统网络平台技术规范》SF/T0001-2017《全国司法行政信息化总体技术规范》SF/T0008-2017《全国司法行政系统指挥中心建设技术规范》SF/T0009-2017《全国司法行政视频会议系统建设管理规范》SF/T0010-2017《全国司法行政信息资源交换规范》SF/T0011-2017《全国监狱信息化应用技术规范》SF/T0014-2017《中华人民共和国司法行政行业标准》SF/T0028-2018《智慧监狱技术规范》SF/T0028-2018《湖南监狱监控建设规范》HLJYXXHGF-002-JK-1.0《湖南监狱网络建设标准》HNJYXXHGF-001-WL-1.0《湖南省监狱门禁规范》HNJYXXHGF-004-MJ-1.0《湖南省监狱周界预警系统建设规范》HNJYXXHGF-003-ZJYJ-1.0《湖南省监狱系统IP地址分配及编址规范》HNJYXXHGF-005-IP-1.04.2项目总体规划方案本次建设内容包括计算机网络及安全的完善与改造、机房建设与改造、安防大平台、大数据平台、综合业务平台以及办公自动化相关平台、以及智能视频监控系统、移动押解和区域管控系统、智能AB门禁系统、交互式终端与对讲报警系统、紧急报警、反无人机系统、远程医疗系统等4.3基础设施改造规划设计方案4.3.1软件平台与大数据改造智能安防集成平台项目需求分析张家界监狱安全防范系统通常包含视频监控子系统、门禁控制子系统、报警子系统、消防子系统以及广播子系统等这几个核心安防系统。但是由于各个单项报警联动图像，存在如下一些问题：（1）单个系统报警有单独的报警软件和界面，无法形成统一的管理界面，为操作带了一定的困难;（2）单个事件的发生，会触发若干个独立的报警联动处置，形成多条报警记录。其实全部是从各个片面反应一个事件，无法自动形成关联事件。需要监控操作人员进行综合处置，容易出错而且人员劳动强度高;（3）无法侦测各系统主机的状态，对于可能出现的主机故障，也无从知晓。存在报警事件无法侦测的隐患;（4）没有统一界面，无法完成预案管理，事件发生后，还需要另外调用预案管理，非常不方便。（5）需与省监狱管理局、市司法局系统进行数据对接。多业务集成管理平台作为安全管理核心，以监所的网络和安防子系统为基础，基于三维地理信息平台，实现对视频监控、门禁管理、报警管理等安防业务子系统的集成化管理应用，构造以安防流程化管理应用为主、相关信息汇聚、管理预案完备、为用户提供应急指挥的综合集成管理平台。规划设计方案系统架构解决方案整体结构示意图：报警视频联动工作原理集成业务范围：视频监控系统、周界报警系统、门禁管理系统、巡更系统、紧急报警系统、广播系统、视频图像分析系统、会见系统、人员定位系统、无人机防控系统、指挥中心大屏幕显示系统。集成业务范围：视频监控系统、周界报警系统、门禁管理系统、巡更系统、紧急报警系统、警务通系统、视频图像分析系统、指挥中心大屏幕显示等安防子系统。原理简述：不同可以产生报警源事件的业务系统均由管理服务器进行报警数据接入及处理，所处理的事件可以根据事先定义的联动过程进行显示控制。系统会自动根据报警源的部署地点进行摄像机的自动搜索，以找到最近、优先级最高、与报警源可视的摄像机，并通过相应厂商的媒体平台或硬盘录像机进行视频访问调用，以显示相关联动视频。相关报警事件还可以应急指挥预案进行联动作业处理，对于多区并报警事件则按照“中心控管、分区处理”的原则进行协作处理。系统组成本系统由多业务集成管理软件、集成管理服务器软件两部分组成，系统具有以下主要功能及特点：监所多级管理具有监狱管理局指挥中心以及市司法局指挥中心、监狱指挥中心、各级监区管理分中心多级架构。监所子系统集成具有综合的系统管理软件实现统一界面的各子系统可视化集成，可通过图形化管理界面实现对各个子系统的图形化监控与操作，并具有远程客户端可通过局域网进行监控管理。监所业务集成包括如远程监控、数据统计、所务管理、会见管理、干警管理、所务公开发布等监所多业务的集成。监所应急指挥针对监狱处理突发事件的相关流程，系统可以自行定义不同报警级别下的应急处置预案。在报警发生时，可以为相关人员提供应急指挥决策辅助。智能联动以消息事件触发为基础的联动处理方式具有灵活、可编程、不依赖硬件的特点，可以不依赖固化的联动策略，完成多级、多系统、多设备间的快速联动。功能要求建设内容具体要求安防智能集成平台与指挥管理系统技术架构采用B/S模式进行系统部署软件架构必须满足“粗粒度、松耦合、可适配、能发展”的要求，优选SOA、MSA易操作人机交互界面必须与操作人员的工作职责完全一致重要的、日常的功能必须用最醒目的界面元素展现优选人机交互界面美观，程序用语符合监狱行业习惯，操作方式符合操作人员年龄、计算机操作水平特点的软件高安全不得采用加密狗等不利于设备稳定、不利于虚拟化部署、不利于资产保全的技术手段来保护软件产权帐号密码、重要通讯协议等机要数据必须提供加密手段进行传输与存储不能通过设置内置帐户，绕过用户单位管理行为登录使用系统不能设置时间锁，或有时间锁的必须设置无限使用时间周期不能设置任何形式的软件漏洞、程序后门限制用户只能在指定IP地址的电脑上登录高稳定正确处理内存、数据库操作等程序异常，在任何情况下，程序都不能发生崩溃被集成的第三方系统发生程序异常或崩溃时，程序自身不发生崩溃程序不发生内存、SOCKET等系统资源泄漏高效率登录耗时少于5秒大数据量表格加载过程必须提供分页机制程序如需用文本文件书写调试日志的，必须向用户提供日志开关易部署（B/S如有安装前准备、安装后配置的工作必须提供详细的帮助文件易维护程序中用到的各类目录，包括安装文件目录、存储文件目录、配置文件目录、日志文件目录等必须以环境变量的形式来指向，不能在代码中写死具体位置服务端程序以系统服务或守护进程的方式进行部署，实行开机自启动模式，无须人工值守在不发生大版本变更的情况下，以组件或者Patch的形式进行软件更新多平台Windows7须支持WindowsIE9以上的所有浏览器、Firefox、Chrome等跨平台Windows、LinuxWindows运行环境为WindowsServer2008以上所有版本的服务器操作系统；Linux版的运行环境，首选国产操作系统二次开发SDKAPI用自带数据库的软件，必须提供自带数据库与司法部“三大数据库”字段映射关系的开发文档多业务集成管理平台视频监控组件5概述为了保证监控区域的安全，保证监控人员能通过软件平台实时看到监控情况。通过摄像机将现场情况实时清楚地显示到监控室的上，供值班人员观察、记录和处理。应用场景人员在查看任意一路视频时，均能够直观的了解当前摄像头所在的区域，同时可以快速搜寻并查看附近区域的监控画面，以便快速掌握现场及其周边的情况。同时，系统可以进行历史视频回放，结合硬件设备支持能够同时对某一事件进行多角度视频回放。0周界管理组件概述获取周界报警系统的报警信息，可实现图形化显示方式与电子地图进行交互显示，可与联动系统进行关联。周界报警具有一定的防区定位功能时，可实现周界报警的视频定位联动功能，并通过声光、语音方式进行提示或通知。1应用场景安全防护：周界红外报警、震动光缆报警。电网集成组件（1）概述获取电网报警系统的报警信息，并通过声光、语音方式进行提示或通知，可与联动系统进行关联，并可实现电网报警的视频定位联动功能。（1）应用场景当电网发生报警时，中心实时显示报警防区地址及视频，语音自动念出报警区域与内容；可联动其它声光提示；（3）报警管理组件概述获取前端各类报警系统的报警信息，可实现图形化显示方式与电子地图进行交互显示，可与联动系统进行关联。周界报警具有一定的防区定位功能时，可实现周界报警的视频定位联动功能，并通过声光、语音方式进行提示或通知。应用场景周界红外报警、电网监测报警、视频智能分析报警、监测报警、紧急报警等。预案管理（1）概述综合平台提供狱内全部应急处突预案，狱内应急处突预案一键查阅。在发生重要报警之后，指挥中心可以通过安防平台查阅全部应急处突预案，为指挥中心调度决策提供支持。在发生各类报警之后，指挥中心根据报警级别，对狱情信息作出分析和研判，区分处置方式。（2）应用场景在监所内发生事故、重要报警之后，管理人员可以根据系统可以知道该事件的处理流程，辅助管理人员及时快速决策、指挥处理。电子地图组件概述电子地图可采用三维地图、矢量地图、栅格地图等多种地图模式，提供系统的地图定位、智能联动、智能跟踪分析等业务的地理信息数据支持。可以将各种终端资产（前端设备）在电子地图上进行实地标注，使之在操作界面中能够直观的表现，能够在高级联动分析应用时提供基础数据支持，分析各资产的方位、角度等关联信息，触发报警后第一时间将报警信息点位反映在平面地图上，为用户提供更好的图形化业务运行界面，使操作更简便，直观定位到报警地点，并派遣人员到场处理，实现无缝对接，提升效率。应用场景针对各类终端资产在地图中进行实际位置定位、联动操作。2巡更管理组件(1)概述本组件可实现干警在监所内的电子巡更查询管理，巡更点可以与摄像机关联匹配，以及巡更信息进行查询、作业分析。最终保障监所及干警工作的安全性，并提高工作效率。（2） 应用场景监所管理日常巡更管理3门禁管理组件（1）概述基于综合管理服务器，视频监控子系统可以和监所内的门禁子系统实现联动，只要有人刷卡，将自动抓拍现场图像，并启动录像存储，及时记录人员进出的信息，为每一条门禁的进出记录留下实时的图像与视频资料。对于非法入侵事件，如门长时间没有关闭、多次输入密码错误、对门禁系统进行恶意破坏等，门禁系统会发出报警信息触发监控系统的一系列联动操作。（2）应用场景实时了解人员出入的情况，方便快捷对门禁出入人员情况实时查询来访管理（1）概述基于综合管理服务器，视频监控子系统可以和监所内的来访管理系统实现联动，自动抓拍来访现场图像，及时记录来访人员的信息，为每一次的访问记录留下实时的图像资料。（2）应用场景实现外来人员和车辆的电子化登记管理、查询统计。会见管理组件（1）概述监所会见是被关押人员和其亲属见面、互诉衷情的唯一场所，又是监所执法、监所政务公开及社会帮教、与社会交流的窗口，对其的监控和管理是非常有必要。（2）应用场景亲人与犯人的会见。对讲管理组件（1）概述本系统可实现分控中心和所属监区犯人之间可视监听、对讲、广播；也可和监控系统联动实现总控中心与分控中心、监舍实时可视监听、对讲和广播。双向对讲组件可提高处理突发事件的工作效率。主控室可以和任何一个分控室对讲，也可和任意一个监室对讲；任意监舍具有请求对讲功能，主机具有请求排队功能和紧急切换功能，并具有声、光报警显示。（2）应用场景1）分控中心和犯人监舍可实现音/视频同步，通过界面操作，即可打开某个监舍的声音通道，并弹出该监舍的视频图像。2）总控中心和犯人监舍可实现音/视频同步，通过界面操作，即可打开某个监舍的声音通道，并弹出该监舍的视频图像。3）总控中心和分控中心可实现音/视频同步，通过界面操作，即可打开某个分控中心的声音通道，并弹出该分控中心的视频图像。4人、车进出管理（1）概述人、车管理是对人员、车辆进出监所的信息统计，大大提高了管理员对监所人员信息的管理效率。（2）应用场景监所内、停车场的优化管理数据统计查询组件（1）概述通过数据上报功能，各监区可以在电脑上向指挥中心上报各类信息，系统自动汇总数据。狱领导、职能科室、指挥中心可以通过电脑查看全狱各类信息，不再需要监区电话报或纸张报，指挥中心不再手动汇总、排版、打印、上报领导和下发科室，更便捷、更迅速。各监区上报的信息将直接汇总在指挥中心LED屏幕上，1分钟刷新1次，保持数据的及时、准确。监狱一楼干警通道的LED屏与指挥中心的数据显示保持一致、同步，方便每名上下班的干警了解狱内各监区的情况。（2）应用场景各监区分中心通过平台可以在电脑上向指挥中心上报各类狱情信息，系统自动汇总数据计。5值班管理组件（1）概述值班管理是监所内部管理的一个重要环节和基础，它直接涉及到值班管理等重要方面。值班管理的对于监所的值班人责任意识等都有着非常重要的作用。（2）应用场景通过平台对人员进行排班管理，可要求人员在制定时间通过指纹、刷卡等方式，在制定区域或设备进行上下班打卡。6信息发布（1）概述信息发布实现统一平台界面下将文字编辑并推送至LED上方显示屏、右侧LED可对每日监狱动态信息进行及时更新、左侧LED实现对下属监区数据报备和门禁动态人数信息的每隔一分钟的自动更新、一楼干警通道LED实现门禁动态人数信息的每隔一分钟的自动更新。（2）应用场景实现文字信息的手动编辑、推送发布，每日监狱动态信息及时更新发布，监狱监区数据报备和动态人数的自动更新发布。8广播管理组件（1）概述利用计算机硬件和专用的广播管理软件相结合的方式，具有性能可靠、定时准确和播放时间、内容的智能控制目的。计算机巨大的存储空间可以存放大量的各种格式的声音文件，专用的广播管理软件又可以按照事先安排好的计划准确无误的执行各项广播任务。因此，广播自动管理组件完全可以取代人工操作。（2）应用场景在不同场合、活动、时间段对广播系统的灵活控制使用。9区域定位组件（1）概述实现对区域内带有GPS或WIFI、RFID、HAIP区域定位装置的移动物体、车辆、人员进行定位跟踪及相关联动控制管理。（2）应用场景对重要人员执行任务时的监督，对关键车辆的实时督查。0功能模块三维GIS地图是集三维建模、三维场景仿真、视频监控、视频分析、紧急按钮应用、门禁应用、对讲应用、周界报警应用、设备可视化配置应用、应急指挥、人员定位等功能于一体的三维系统软件。它不仅可为用户提供逼真的三维景观，而且可以将海量的属性信息融入到三维场景中，该系统以三维实体模型数据为基础平台，提供给用户直观的三维交互界面，所有操作针对三维实体模型进行数据交互。包括：监控摄像机、报警设备、门禁等系统设备的基础数据、状态控制数据等。所有数据交互到三维实体模型系统中后，由三维实体模型系统进行状态展现，并反馈用户所进行的操作给各系统。1三维基本功能（1） 三维展示功能支持显示相应区域内的三维全景；支持点击房屋、楼宇等具体建筑物，三维焦点集中到建筑物处，展示虚拟场景。系统集成了三维地图模型，能够全面的模拟现场场景，结合其他相关的管理系统，调用相关的数据信息进行分析和对比并在三维地图模型中进行展示。（2）漫游功能支持漫游功能，以第一人称视角从设定位置漫游到具体的某一个房间。通过三维模型数据，可对室内、室外场景进行浏览，漫游等操作。支持鼠标漫游和键盘漫游，漫游工具菜单可以实现在数字沙盘中任意放大、缩小、上升、下降、仰视、俯视、加速、减速、左转、右转、绕物旋转、鼠标导航、鼠标定位等操作。功能全面，使用灵活。（3）标注功能系统具备根据用户兴趣点在场景中任意进行标记的功能，支持标注的添加、删除、编辑、修改、模糊搜索、精确定位等操作；支持任意修改标注的字体、样式、图例、位置、可视距离等参数；支持点标注、线标注和区域标注等多种方式，同时可以为标注添加附属的说明信息。（4）视点功能系统具备视点管理的功能，能根据用户在场景中选定的任意高度和任意角度的位置信息进行保存，类似书签的功能，方便用户对特定场景进行定位，快速切换到指定视点进行浏览。（5）录制功能系统具备按照特定路线自动导航浏览的功能，可以根据用户设置的路线进行漫游，同时对路线进行录制、输出。支持在场景中对路线进行保存，在播放时能为路径配上背景音乐、字幕或者解说等。方便接待和展示。（6）量算功能在数字沙盘中具备任意平面距离的量算（两点和多点距离）、平面面积的量算功能。1）平面距离2）测量面积（7）空间分析数字沙盘系统在地理信息空间分析方面必须具备其专业性，要求在数字沙盘子模块中具备通视分析、可视域分析、制高点分析等功能。通视分析用于判断两点之间是否可见，可视域分析用于判断固定点的可视域范围，通过制高点分析找出制高点位置，判断制高点的通视性和通视范围，为安保布防工作提供辅助分析手段。（8）信息查询对数字沙盘中的重点设施设置信息查询热点，可以关联其文字、图片、视频、音频等多媒体信息，关联信息调用已有的数据库，并支持对这些信息的管理和维护。（9）图层管理对场景中的地形、影像、矢量、模型（建筑、绿化、路网、小品等）以及标注都可以进行图层显隐控制，方便数据载入和管理。2视频应用功能（1） 视频浏览支持点击操作任意范围内摄像机可以打开相应视频。（2）模型分层视频浏览可以选择固定的建筑的某一层楼查看具体的安防设备分布及建筑结构，在某一层建筑可以单独选择某一摄像机进行播放。（3）多摄像机同步播放三维模型中框选多个摄像机后直接进行播放（支持不规则分屏播放、多个摄像机同步播放）。（4）设备动画图形展示正常3D模型、报警3D模型（模型贴图变换）。（5） 视频模拟巡防利用三维地图模拟人员巡更线路实现监狱内巡更，随着巡更的进行，路线上相关的视频摄像机实时图像会即时弹出。巡更路线和摄像机可以自定义设置。报警功能（1）可视化布撤防支持可视化布撤防。（2）报警视频支持报警视频等多业务联动。应用场景：如当某房间按下紧急按钮后，三维自动飞翔到报警点对应的位置，报警点自动高亮闪烁，同时打开附近的视频进行联动；也可以点击报警点后弹出设备报警记录，点击其中某一记录后可以查看报警前M分钟、后N分钟的视频录像。（3）报警模拟支持点击房间内的紧急按钮可以模拟一笔报警信息并可进行视频联动。门禁功能（1）门禁展示支持三维图形化显示某一区域下的所有门分布和门状态。状态主要有：开门、关门、门禁报警、门禁事件等；动态展示门禁状态，当门禁状态发生改变时改变门禁模型展示；也可以选择直接在三维中监控某一个门的出入情况，并联动对应的视频。（2） 门禁控制支持三维模型门禁设备布撤防。对讲功能（1）发起对讲支持三维场景控制设备发起对讲。（2）发起监听支持三维场景控制设备发起监听。监听对讲主机状态，以列表方式展示对讲分机或主机的呼叫行为，当点击某一具体的分机时三维直接飞翔到该对讲点，并能进行一键监听操作。（3）接听对讲支持三维场景控制设备接听对讲。周界报警功能（1）周界展示支持周界报警三维虚拟显示。（2）报警视频联动支持周界报警联动周界关联视频。区域定位功能人员区域定位是利用高精度定位技术，针对区域内人员流动情况分区域管理与监控的需求，系统能够根据人员佩戴的标签信息，实时显示人员的位置及状态信息，并且根据需要可在地图上进行标注。（1）人员身份识别在三维地图上用多种种不同图标的形式显示不同的人群，每一种颜色都对应一类人群，用户可以根据实际情况对其进行分别配置，便于区分。（2）区域人数实时统计在三维地图上，当地图切换到不同的区域场所，以半透明窗体的形式显示区域内的人数，并还可以根据不同人员类型进行分别统计。当鼠标点击到对应的区域，窗体实时统计当前区域的人数统计信息。（3）人员信息查询通过在搜索框输入字母、人员编号或姓名对人员进行查找，查找的结果以特殊的颜色在三维地图上进行标明。同时在查找到的人员旁显示该人的具体信息。（4）人员轨迹回放通过在搜索框输入字母、人员编号，标签号，或姓名和选择时间段对人员进行查找，选择轨迹回放，自动在地图上播放该人员的行走轨迹。（5）人员实时视频定位通过查找功能，定位到人员具体位置，弹出视频显示窗口(可配置)，在固定区域时，在人员查询后平台中跳出与之相关的6路（房间2路，走廊1路，洗漱间1路，卫生间1路，大厅1路）以下视频监控，并通过喊话，确定其动作和精细区域。（6）人员视角跟随通过查找功能，选择人员视角跟随操作，三维地图视角会跟随人的视角查看人眼所看到的物体和场景。其它安防系统接入网关（1）概述系统遵循开放系统的原则。系统应符合行业标准，能提供软件、硬件、通信、网络、操作系统和数据库管理系统等诸方面的接口和工具，使系统具备良好的灵活性、兼容性、扩展性和可移植性。（2）应用场景新增系统的接入集成，为今后新系统接入预留接口。（3）功能说明1）媒体信息格式的转换功能。2）信令信息/协议的转换功能。3）控制网关内部资源的功能。网络改造拓扑结构根据智慧建设网络改造指导要求，本次张家界监狱网络改造规划如下：司法部技术规范网络架构图张家界智慧监狱网络结构图配置清单：编号软件产品描述数量单位1安防集成管理平台安防集成管理平台结合WEB与数据库系统，存储各子系统的数据，实现各子系统联动处理功能。实现对外部对内部的视频、数据访问、远程权限管理。实现远程对所有系统内设备实现远程的系统设置、运行控制、远程维护。1套2三维GIS安防集成平台三维应急指挥平台采用3D-GIS技术,结合WEB与数据库系统，实现二三维一体可视化界面对整体区域安全情况直观展现，可支持物联网相关系统对接，提供GIS地图上全范围的应急指挥可视化调度。1套3指挥中心管理系统用于指挥中心管理系统1套4通讯调度系统用于指挥中心通讯调度系统1套5统一管理平台主要包含统一管理平台、统一机构管理、统一用户、统一证书管理、统一审计管理1套6综合业务平台可单独运行的报警联动客户端，对各安防子系统的报警信息的接收，并关联报警实时及历史报警关联图像画面，支持报警预案、语音提示报警位置信息、以及报警的处理状态。1套7大数据平台1套8中间件服务支持第三方设备/平台接入使用（视频、报警、门禁、对讲、周界、电网、巡更、智能分析）1套9网站局域网站、微信公众号等1套10办公OA系统监狱办公OA系统定制版支持移动端，含监狱业务定制流程开发，含业务报表系统开发1套11标准新收罪犯采集系统1套4.3.2网络升级改造方案本次网络改造总体架构如下：本次需重新采购两台高性能核心交换机作为全网核心交换机，将原有网络全部互联，原有三套网络的核心交换机作为汇聚交换机下沉，通过防火墙和网闸进行边界防护，确保网络信息安全。内网设计内网分为特别用户区和普通用户区，特别用户区采用网闸与汇聚交换机进行互联，普通用户区直接与汇聚交换机互联。内网采用原有核心S7506E作为汇聚交换机，原内网网关全部迁移至核心交换机。新增安全运维管理区，直连核心交换机。该区域作为全网网络安全运维及管理区域，及时监控及维护全网的稳定及安全。外网设计外网与全网的互联区采用网闸信息单向信息传输，保障内网与外网之间的信息安全隔离与互访。外网增加一台准入控制系统，确保外网上网用户的身份信息准确。安防网设计安防网原有两台交换机作为汇聚交换机下沉，每台配置4条千兆光链路，共8条捆绑，再通过防火墙与核心交换机进行互联。序号名称描述数量单位（一）核心交换机1组合配置-(主机+单主控+双网板)1台2交流电源模块,1200W3块3主控制引擎模块1块444端口千兆以太网光接口(SFP,LC)＋4端口万兆以太光接口模块(SFP+,LC)1个5SFP+电缆5m2条624端口千兆以太网电接口(RJ45)+4端口万兆以太网光接口模块(SFP+,LC)1个（二）汇聚交换机128个千兆SFP,4个可复用10/100/1000Base-T以太网端口,4个万兆SFP+，交流供电10台28个10/100/1000Base-T以太网端口,4个复用千兆SFP,4个万兆sfp+，交流供电5台2光模块光模块-eSFP-10GE-单模模块60个（三）接入交换机124个10/100/1000Base-T以太网端口,4个千兆SFP,交流供电40台2光模块光模块-eSFP-GE-单模模块80块（四）专网建设1公安专网2项2检查院专网1项3远程医院系统年费3年4省局备份链路1年5法院专网1项（五）综合布线112芯单模光纤15000米2光纤终端盒(24芯LC）30个3光纤跳线（5米LC）200根4600*600*2000网络机柜2700个5辅材8000批（六）分控室建设（车间4个分控点，监舍暂做2个，严管与医院各做一个值班点）1分控室操作台2联操作台6张2值班点操作台1联操作台2张3分控室操作电脑主流配置12台4可视对讲报警一体机6个5监控显示屏55寸液晶显示6台6分控室监控包含摄像机、配套电源及施工辅材6项4.3.3网络安全设计方案需求分析随着监狱信息系统的不断完善和应用的日益扩展，系统对网络和信息资源的依赖性不断增强，建设高效、可靠的信息安全防护体系显得尤为重要。目前张家界监狱的信息安全保障体系较为薄弱，身份认证、防病毒软件、安全审计、入侵检测等安全技术措施有还缺失，需要逐步尽快增补，须严格按照《信息安全等级保护管理办法》的要求采取必要的防护措施。目前，张家界监狱内网部署的安全产品主要包括外网防火墙、外联边界防火墙、服务器防火墙、入侵防御系统、web应用防护系统、运维安全管理系统（堡垒机）、日志管理综合审计系统、数据库安全审计系统、杀毒软件、网络准入控制系统等，仅能够实现基本的边界访问控制、行为审计功能，暂时未进行等级保护测评。目前已经部署的安全设备如下：序号产品数量单位1外网防火墙1套2外联边界防火墙2套3服务器防火墙2套4防火墙（内网服务器边界）2套5入侵防御系统2套6web应用防护系统1套7运维安全管理系统（堡垒机）1套8日志管理综合审计系统1套9数据库安全审计系统1套10杀毒软件1套11网络准入控制系统1套12备份一体机1套13IT运维管理平台1套14核心交换机1套15等保测评1套张家界监狱安全需求是采用现场调研、访谈、风险评估、渗透测试等技术手段，分析安全技术要求和安全管理要求的安全风险，对照信息系统等级和等级保护基本要求三级差距分析，而形成的综合安全需求。增加一台准入控制系统，确保所接入的摄像头及门禁合法。增加一台数据库审计系统，对视频服务器进行数据库安全审计。设计规划方案安全保障体系框架设计安全保障体系框架将张家界监狱信息网络及业务系统做为安全保护对象的基础，制定了标准的安全方针和总体策略，采用“结构化”的分析和控制方法，把控制体系分成安全管理、安全技术、安全服务的控制体系框架，建立的满足等级保护整体安全控制要求的安全保障体系。张家界监狱安全保障主体是业务系统，安全保障框架所有安全控制都应以安全方针、策略做为安全工作的指导与依据，落实安全管理和安全技术两大维度的具体实施与维护，以业务系统的安全运营为信息安全保障建设的核心，并辅以安全评估与安全培训贯穿信息安全保障体系的全过程，形成风险可控的安全保障框架体系。各层面的具体说明如下：业务系统：业务系统是张家界监狱安全保障框架的核心，其实现业务功能的信息系统安全保护等级决定了整体安全保障的强度和力度。安全策略体系：指导张家界监狱信息系统安全设计、建设和维护管理工作的基本依据，所有相关人员应根据工作实际情况履行相关安全策略，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全标准体系相关工作。安全管理体系：落实安全管理机构、人员、建设、运维安全管理等相关要求，指导张家界监狱安全职能的落实、岗位设置和相关人员的安全管理，建立覆盖组织、策略和技术的流程和规范，重点关注系统建设和系统运维管理控制要求，指导张家界监狱安全管理、实施和运维的具体实现。安全技术体系：落实安全技术相关控制要求，实现物理、网络、主机、应用和数据的所有安全控制项，通常采用安全产品加以实现，辅助安全技术以增强安全控制能力。安全服务体系：在信息系统的整个生命周期中，通过安全评估、安全加固、应急相应及安全培训等信息安全技术，对信息系统的各个阶段进行检查、控制与修正，保障信息系统的持续安全运营。安全体系建设总体方案通过为物理安全、网络安全、主机安全、应用安全、数据安全方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得张家界监狱网络系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为张家界监狱的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。具体目标如下：网络系统在结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面达到三级等级保护网络安全要求。应用系统及其主机系统达到相应安全等级保护的应用安全和主机安全要求。数据的完整性、保密性、备份与恢复等达到三级等级保护数据安全要求。张家界监狱业务系统运行达到三级等级保护安全要求。安全等级保护系统总体架构安全技术体系架构根据国家标准《信息系统安全等级保护基本要求》（GB/T22239-2008），信息系统的安全技术体系架构应包含物理、网络、系统、应用和数据等五个层面的如下安全控制要素。图2-1等级保护安全技术体系架构要求身份鉴别、访问控制、安全审计等安全控制要素覆盖到网络层、系统层和应用层，安全管理则覆盖到了物理、网络、系统和应用各个层面。其中重要的要素包括：身份鉴别通过强身份鉴别技术加强对网络设备、服务器设备、应用系统的用户身份的鉴别，保证登录用户身份的真实性，如采用双因素认证等。访问控制通过设置多层边界防护设备、配置访问控制策略等措施来保证各网络边界的访问得到有效控制。在系统和应用安全方面，通过增加或增强访问控制措施，防止非授权访问或越权访问。安全审计将重要的网络设备、安全设备、服务器的运行状态以及应用系统操作记录及时准确记录并存储下来，同时为了方便管理，将审计记录集中分析和处理，为排查故障、事后取证提供技术依据。病毒防护通过在网络边界、客户端、服务器等部署病毒防护产品，及时发现和清除传播到系统中的病毒，防止系统遭到病毒感染后不能正常运行。入侵防范通过在系统中关键部位部署入侵防范措施，及时发现和阻断网络和系统中出现的入侵和异常行为。安全监控通过部署集中监控类产品，对信息系统中设备和系统运行状况、网络流量、用户行为等进行全面的监测和记录，提供监控记录数据分析、报表生成功能。冗余备份关键线路和设备采用冗余设计，保证系统的高可用性；配备数据备份系统，实现数据的自动备份和恢复。安全管理体系架构根据信息系统安全等级保护的总体思想，结合张家界监狱信息系统管理的特点，提出张家界监狱信息系统安全管理体系框架。图2-2信息系统安全管理体系架构示意图“总体安全策略”位于信息系统安全管理体系的第一层，是张家界监狱信息系统安全管理体系的最高指导策略。它明确了张家界监狱信息系统规划设计、开发建设和运行维护应遵循的总体安全策略，对信息安全技术和管理各方面的安全工作具有通用指导意义。“安全管理组织框架”位于信息系统安全管理体系的第二层，负责建立张家界监狱信息系统安全管理组织框架。它是确保部张家界监狱信息系统安全稳定运行的管理体系，保证信息系统安全管理活动的有效开展。“安全管理制度框架”位于信息系统安全管理体系的第三层，分别从安全管理机构及岗位职责、人员安全管理、物理环境管理、信息系统的信息/设备/介质安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。“配置规范、操作规程和记录表单”位于信息系统安全管理体系的第四层，从信息系统日常安全管理活动的执行出发，对主要安全管理活动的配置规范、操作规程、执行各类安全管理活动或操作活动的操作类表单提出具体要求，指导安全管理工作的具体执行。安全体系规划安全技术体系规划结合信息系统现状、安全需求和业务发展实际需要，张家界监狱安全技术体系构架包括：网络安全、主机安全、应用安全、数据安全、物理安全多个层面。网络安全：采用防火墙、入侵防御、入侵检测、安全网关等技术实现网络安全域划分、防御外部威胁的侵入、分配网络流量保障业务持续、管理控制用户上网行为，形成从内到外的防护体系。主机安全：采用主机监控与审计、防病毒技术、漏洞扫描、终端安全登录等技术统一管控终端，实现策略定制，发现系统存在的漏洞和风险，降低终端维护和管理工作量，避免终端造成的大面积病毒爆发。应用安全：采用应用防火墙技术、安全审计等技术实现应用层威胁防护，实现运维人员对数据库、主机、网络设备操作全记录，事前有控制、事中有预警、事后可追溯。数据安全：采用加密存储、SSL传输加密方式访问，解决数据存储及访问的安全性。物理安全：目前，张家界监狱机房相关安全防护措施符合等级保护三级建设要求。安全管理体系规划信息系统安全是“三分技术、七分管理”，在加强安全防护技术的前提下，必须得到高级管理层的高度重视和密切配合，必须建立信息安全管理体系，并保障其有效落实。张家界监狱安全可靠应用试点建设项目安全管理体系是由两部分组成的。一部分是一系列安全策略和技术管理规范（第一、二层），另一部分是实施层面的工作流程（第三层）。安全管理体系总纲（以下简称总纲）位于安全体系的第一层，是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，对张家界监狱安全可靠应用试点建设项目各方面的安全工作具有通用性。安全管理体系的第二层是一系列的管理规定和技术规范，是对总纲的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。安全管理体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。安全管理体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和PDCA闭环管理的原则，通过定期的评估不断修改完善，维持安全防护水平。运维管理体系规划信息安全运维体系是为了在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足信息化建设的需要时，应当制定新的安全保障体系建设规划，进而通过新一轮信息安全保障体系建设，使安全保障体系的保障能力得到全面提升。信息安全运维体系涵盖等级保护以及ITSM服务体系规范要求，建设内容包括：安全评估、安全加固、安全巡检、应急响应、安全通告、安全培训、系统上线检测，周期性开展相关工作，加强日常维护管理、全面提高紧急事件响应能力、进行绩效评估与改进等。安全域划分安全域原则安全域的划分参考下述原则进行：业务相似性保障原则综合考虑业务的相似性、业务系统的隔离的难度风险，从而给出合适的安全域划分。等级保护原则根据业务系统的定级情况、重要程度以及考虑风险威胁、安全需求、安全成本等因素，将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施，以保障业务支撑的网络和信息安全。结构简化原则安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。安全最大化原则针对业务系统可能跨越多个安全域的情况，对该业务系统的安全防护必须要使该系统在全局上达到要求的安全等级，即实现安全的最大化防护。综合上述安全域的划分原则，张家界监狱安全域的划分应以“系统所处理信息的最高密级”和“业务相似性”原则来确定安全等级，并进行安全域的合理划分，在保障信息流向可控的前提下，制定域内和域间的安全防护策略，主要通过VLAN、防火墙等技术手段措施实现。安全域划分及安全策略联网区本区域采用专线链路与专有云、司法部门专网、自有专网进行连接。数据中心区服务器区包括三级服务器区。三级服务器区按照三级等级保护要求建立，用于部署系统定级为三级，且为专网用户提供服务的系统或各应用系统的后台管理端、数据库管理系统等。该区域安全管理策略如下：区域边界在区域边界部署防火墙设备，实施区域边界保护，确保只允许指定业务应用和管理数据流通过。在服务器区为各应用系统单独划分VLAN，并实施相应的访问控制策略。利用入侵防御或入侵检测系统，通过规则库的对比检测、日志存储、告警和报表，在网络边界处监控通讯网络中的各类网络攻击和违规行为，并记录相关信息。在三级服务器区部署数据库审计系统，加强对数据库的操作审计。主机层面针对安全保护等级为三级的信息系统，主机层面应实施以下安全保护策略：选择正版软件，遵循最小安装的原则，即仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。严格限制系统中默认账户的访问权限，及时删除多余的、过期的账户，应避免共享账户的存在。应启用系统的登录失败处理功能，如：限定连续登录尝试次数、锁定账户、设置连续两次登录尝试时间间隔等。远程管理服务器时，应采用SSH会话方式，防止鉴别信息在网络传输过程中被窃听。应通过设定终端接入方式、网络地址范围等条件限制管理终端登录，并启用空闲超时自动锁定功能。操作系统应仅开放业务需要的服务端口、删除默认的共享路径、限制单个用户对系统资源的最大使用限度等。应开启安全审计功能，安全审计的内容应记录系统内重要的安全相关事件，包括用户的登录、重要用户行为、重要系统命令的使用等。安装正版防病毒软件，并及时更新防病毒软件版本和病毒库，实现防病毒的集中统一管理。在用户名和口令基础上增加数字证书对管理员进行身份鉴别，实现双因素认证。对主机运行状况进行监视，包括监视主机的CPU、硬盘、内存、进程等资源的使用情况；并能够在服务器异常时进行报警。根据实际业务需要，为敏感数据和用户设置敏感标记，并根据敏感标记控制用户对文件、数据库表和记录等资源的访问。已经被删除或释放的内存缓冲区、磁盘缓冲区中不包含敏感信息，包括口令、密钥、重要文件等。应用层面针对安全保护等级为三级的信息系统，应用层面应实施以下安全保护策略：用户身份标识具有唯一性，提供鉴别信息复杂度检查功能和鉴别失败处理功能。提供鉴别失败处理功能，包括为尝试次数和时间定义阈值，明确规定达到该值时所采取的动作，如：结束会话、锁定账户一段时间等。提供访问控制功能，能够依据安全策略控制用户对应用系统各模块及数据的访问。保证应用系统的管理、审计、授权等特权权限分配给不同的应用系统账户，实现权限分离。只授予应用系统不同账户为完成各自承担任务所需的最小权限，严格限制应用系统中的默认账户的访问权限。提供安全审计功能，对用户行为、系统资源的异常使用和重要系统功能的执行等进行审计。保证审计记录的内容至少包括事件的日期、时间、发起者信息、操作类型、描述和结果等。提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证，并对通信过程中的敏感信息字段进行加密。在用户名和口令基础上增加数字证书对管理员进行身份鉴别，实现双因素认证。具备对审计记录数据进行统计、查询、分析及生成审计报表的功能，保证无法删除、修改或覆盖审计记录，保证无法单独中断安全审计进程。采用密码技术，判断通信过程中数据的完整性，保证通信过程中数据的保密性，为信息收、发方发送、接收信息的行为及信息内容提供抗抵赖证据。依据安全策略控制与资源相关的所有主体、客体以及它们之间的操作。对重要信息资源通过设置敏感标记实现强制访问控制。已经被删除或释放的内存缓冲区、磁盘缓冲区中不包含敏感信息，包括口令、密钥、重要文件等。当系统服务水平降低到预先规定的最小值时能够进行检测和报警；在故障发生时自动保护当前所有状态，保证系统能够进行恢复。监控会话连接的状态和数量；依据访问账户或请求进程的服务优先级分配系统资源，并设置资源的配额。数据层面提供对系统管理数据、鉴别信息和重要业务数据等在传输和存储过程中完整性检测的能力，发现完整性错误时采取必要的恢复措施。确保系统管理数据、鉴别信息和重要业务数据在传输和存储过程中的数据保密性。关键服务器、网络设备、通信线路等均应采用硬件冗余、软件配置等技术手段保证系统的高可用性。系统配置参数发生变更时应进行备份；配备数据备份系统，根据需要定期进行本地或异地业务数据备份。安防设施区本区域为监狱视频监控服务区，监狱前端视频摄像头采集的视频信息在本区域汇集、存储，并通过视频监控管理平台为张家界监狱提供视频监控管理服务。本视频监控管理平台定级为三级。本区域安全管理策略与数据中心区一致。终端用户区终端用户区用于部署部张家界监狱工作人员办公电脑及各楼层交换机等。包括特别用户区、普通用户区、外网办公区。该区域安全管理策略如下：建立完善的操作系统账户的口令策略和用户登录策略，采取必要措施，防止鉴别信息在网络传输过程中被窃听。严格限制默认账户的访问权限，禁用或重命名系统默认账户，并修改这些账户的默认口令。操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并依据相应的补丁更新策略进行补丁更新。应开启安全审计功能，安全审计的内容应记录系统内重要的安全相关事件，包括用户的登录、重要用户行为、重要系统命令的使用等。实现全网统一的病毒防护措施，包括统一策略、统一版本、统一升级机制、集中管理。实现对终端设备的集中管理和监控，实时了解设备的运行状况；能够对非授权设备私自联到用户区以及用户区用户私自联到外部网络的行为进行发现，并对其进行有效阻断。安全管理区安全管理区按照三级等级保护要求建立，对整个张家界监狱信息安全进行统一管理。安全管理中心主要对部张家界监狱的业务终端、服务器、安全设备的统一管理、集中认证和安全审计。安全域边界边界类型边界描述专网纵向网络边界省监狱管理局、市司法局与张家界监狱专网、专有云与张家界监狱政务外网、公有云与张家界监狱横向域间边界与终端用户域的边界与业务系统服务域的边界整体部署方案产品部署说明以上是对张家界监狱网络安全建设的整体全景说明，下面将对部署的所有安全产品进行说明，详见下表部署产品部署位置部署作用备注防火墙联网区对内网进行独立防护，进行访问控制、防毒查杀、攻击防御。防火墙安防设施区对进出安防设施区进行独立防护，进行访问控制、防毒查杀、攻击防御。防火墙数据中心区对进出数据中心区进行独立防护、访问控制、攻击防御。防火墙外网办公区对外网进行独立防护、访问控制、攻击防御。上网行为管理系统外网办公区对外网办公区的网络访问行为进行审计与管理。网闸特别用户区边界、外网办公区边界实现多个网络安全隔离的同时，实现高速的、安全的数据交换，提供可靠的信息交换服务漏洞扫描系统数据中心区及安防设施区对全网服务器系统进行漏洞扫描，以保护核心区数据安全网络安全准入系统外网电脑客户端、视频终端802.1x动态VLAN与服务器通信，接收控制中心管理所需入网策略配置和上报入网数据等信息，满足合规要求。频专网的IP频专网终端安全防护与管理等功能数据库审计系统等其他安全相关设备安全运维区对数据中心区审计，运维等功能。达到三级等保要求（2）设备清单序号产品产品配置信息数量单位1外网防火墙含三年硬件保修、应用识别库升级和软件升级维护服务。硬件参数：1U，5个GE接口和4个Combo接口，内置单电源。性能参数：吞吐量4G，并发连接数200万；含100个SSLVPN授权数；功能参数：标配防火墙、攻击防护、智能DNS解析、链路负载均衡、服务器负载均衡、IPSEC及SSLVPN功能，支持Android、iOS等移动设备通过VPN安全接入，可扩展防病毒、入侵防御、流量管理、URL过滤功能模块，本次提供流量管理和URL过滤功能模块，且提供三年流量管理特征库和URL特征库升级服务。1套2外联边界防火墙含三年硬件保修、应用识别库升级和软件升级维护服务。硬件参数：1U，9个GE接口，内置单AC电源。性能参数：吞吐量3G，并发连接数100万；含100个SSLVPN授权数。功能参数：标配防火墙、攻击防护、智能DNS解析、链路负载均衡、服务器负载均衡、IPSEC及SSLVPN功能，支持Android、iOS等移动设备通过VPN安全接入，可扩展防病毒、入侵防御、流量管理、URL过滤功能模块。2套3服务器防火墙含三年硬件保修、应用识别库升级和软件升级维护服务。硬件参数：1U，5个GE接口和4个Combo接口，内置单电源。性能参数：吞吐量4G，并发连接数200万；含100个SSLVPN授权数；功能参数：标配防火墙、攻击防护、智能DNS解析、链路负载均衡、服务器负载均衡、IPSEC及SSLVPN功能，支持Android、iOS等移动设备通过VPN安全接入，可扩展防病毒、入侵防御、流量管理、URL过滤功能模块。2套4防火墙（内网服务器边界）含三年硬件保修、应用识别库升级和软件升级维护服务。硬件参数：1U，5个GE接口和4个Combo接口，内置单电源。性能参数：吞吐量4G，并发连接数200万；含100个SSLVPN授权数；功能参数：标配防火墙、攻击防护、智能DNS解析、链路负载均衡、服务器负载均衡、IPSEC及SSLVPN功能，支持Android、iOS等移动设备通过VPN安全接入，可扩展防病毒、入侵防御、流量管理、URL过滤功能模块，本次提供防病毒功能模块，提供三年防病毒特征库升级服务。2套5入侵防御系统包含三年硬件保修、三年特征库升级、软件升级维护服务。硬件参数：1U机箱，单电源，标配4GE（2组Bypass），支持1个扩展槽，可扩展4GE（2组Bypass）或4SFP扩展接口卡；性能参数：系统吞吐量不低于6G，IPS吞吐量不低于2.5G，最大并发连接数200万。2套6web应用防护系统包含三年硬件保修、特征库升级、软件升级维护服务。硬件参数：1U机箱，单电源，标配4GE（2组Bypass），支持1个扩展槽，可扩展4GE（2组Bypass）或4SFP扩展接口卡；性能参数：吞吐量3G，最大并发连接数180万。1套7运维安全管理系统（堡垒机）1U机型，支持所有主流图形终端、字符终端、文件传输和数据库管理，支持HTTP/HTTPS、KVM和第三方软件（如Radmin、Pcanywhere），RAID1冗余后可用存储容量1TB，4个千兆电口，内置100个主机/设备操作监控许可证,最大300图形/800字符并发会话连接数；提供3年软件升级和质保服务。1套8日志管理综合审计系统1U机型，处理性能10000EPS，RAID1冗余后可用存储量1TB，4个千兆电口，支持SYSLOG/EVENTLOG/SNMPTRAP/ODBC及各类应用系统文本日志，无限日志源许可；提供3年软件升级和质保服务。1套9数据库安全审计系统1U机架式设备，单电源，6GE，16G内存，1T存储空间。本次支持10个数据库个数和10个应用的关联审计，最高可扩展32个数据库个数。纯数据库流量100Mbit，每秒入库量5000条/秒，峰值SQL吞吐量8000条/秒，并发会话2500个,3亿条在线SQL语句存储支持,20亿条归档SQL语句存储支持；提供3年质保服务。1套10杀毒软件支持统一杀毒、统一升级，支持漏洞扫描及补丁分发，支持主流的虚拟化平台，支持管理员通过同一管理中心平台统一管理所有节点防病毒软件的监控、配置、查询等管理工作，包括WINDOWS、LINUX、虚拟化终端、移动终端等系统。具有丰富的报表功能，终端程序需集成宏病毒专杀模块