商业银行监控项目技术方案

1、商业银行远程监控项目技术方案书数码科技有限公司二零零七年十二月1前言32远程监控系统建设背景33远程监控系统要求54系统建设原则64.1建设基本原则64.2设计依据和标准85详细方案设计85.1总体系统示意图15.2方案说明15.3分行监控系统示意图25.4详细说明135.4.1监控终端实现功能135.4.2视频管理服务器实现功能145.4.3流媒体转发服务器功能155.4.4存储服务器155.4.5WEB服务器功能165.5海量存储系统135.5.1存储容量的计算135.5.2存储方式的选择136监控中心功能实现156.1主屏及电视墙系统156.2报警联动控制系统176.3值班管理系统186

2、.4门禁远程授权管理系统186.5统计子系统196.6对讲子系统196.7监控中心自身监控系统197分行远程监控中心管理平台软件207.1系统概述207.2平台体系结构207.3系统组成217.4软件功能237.5CMS综合管理系统服务器软件237.6监控管理中心主控/分控软件278设备选型301 前言为了配合和确保金融安全制度的执行，目前国内金融监控采取的一些技防措施，包括用机械锁控制金库通道门，或应用生物识别技术或者利用简单的门禁系统。但这些措施都存在漏洞或监管不力之处。仅利用几把机械锁控制金库通道门，由几个人共同保管钥匙，一旦钥匙遗落，或者遭遇如邯郸金库的串通作案，后果可想而知。生物识别

3、技术是目前较为先进的安防技术，通过指纹、掌形、面相等识别技术来实现监控似乎较为安全。但若是要取消某一人的开门权限，则必须要到现场操作，一旦遇上突发意外，比如，某个有权限开门的工作人员有违规行为，即便在第一时间内知晓，也无法在后方的操作室内远程控制，因而在管理上有所不便，也会有疏漏。此外，现在被银行所广泛应用的一些简单的门禁、报警、监控系统也存在隐患，仍然停留在单点式独立管理阶段。也就是各营业网点各自组建一个完整的安防体系，分别配有监控主机、监视器、DVR、报警、门禁等设备，但网点之间、网点和支行之间缺乏监控信息的有机联系，无法进行集中监管。比如，当B地需要得到A地管理人员的授权时，无法远程控制

4、，同样应急能力也差。可见，国内银行目前经常使用的金融监控管理技术都不同程度地存在着安全隐患，较难完全保证现有制度被不折不扣地执行，难以为金融监控的安全提供完备的保障。金融行业需要安妥的技术保障体系，才能令制度得以落实。2 远程监控系统建设背景为了降低银行基层人员的工作负荷和提高全行的综合安全管理的水平，国内各大银行开始对原有的安全管理体制进行改革并积极展开试点工作。这其中已经开始实施的包括：1）数字视频监控系统管理权限从网点向分行中心的转移以一个地级市的二级分行科技管理部门牵头，建立城市二级分行联网监控中心，对原先分散在本地管理的营业网点、自助银行、ATM机和金库本地的数字图象监控系统和报警系

5、统进行联网改造，实现二级分行监控中心对远程营业网点、自助行、ATM机的网络图像集中监控、对讲、集中储存管理、流媒体管理、数字矩阵管理和金库异地守库管理等功能，同时实现对所有现场数字监控设备的远程配置和维护、远程访问权限认证管理等功能，将监控系统的管理职责从现场专业到监控中心，彻底解放网点现场营业人员对数字监控设备的日常维护管理工作负荷，让网点营业人员专注于银行核心业务工作，提高营业人员和安全管理人员的工作效率及安全管理水平，同时降低整个安防系统的维护管理成本。2）整合专业接警和各类门禁系统的管理功能 在实现银行联网图像监控系统基础上，增加对其它安防监控系统的集成，除了对已经建设的原110报警系

6、统的整合外，尤其注重对各种门禁出入管理系统的建设和集成，包括营业网点双门互动互锁门禁管理系统、离行ATM机设备间门禁管理系统、自助行设备间门禁管理系统、重要机房门禁出入管理系统和金库多指纹门禁管理系统，从而进一步丰富中心集中监控管理和异地守库管理的手段，提高安防管理的效果和效率。3）将监控范围扩大到移动目标并和城市治安监控联网 增加对移动的运钞车辆和库包押运的监控管理，增加对GIS地理信息系统和GPS定位系统的整合，便于对移动运钞车辆的位置监控。同时需要制定和城市治安与应急联动指挥系统联网的软件接口并实现互联互通，以便银行在发生盗抢等紧急事件时能够将相关图像、运钞车、报警数据同时上传到城市治安

7、管理中心，以便有关部门及时获取信息和采取快速有效的防控措施。4）增加对环境电力设备的监控管理 除了建设传统的安防监控系统外，科技管理部门进一步提出对自身范围内的银行各类场所的电力、环境保障体系进行集中监控管理，这其中包括的金库的环境电力监控、离行式自助行的环境电力监控和银行网络通讯与数据中心机房环境电力监控，在环境与电力系统出现异常时及时报警并作好预警工作，减少事故的发生和尽可能降低可能产生的损失，通过对这些环境电力设备的远程集中管理，以提高科技管理部门的综合不保障管理水平和工作效率，防止危害，降低维护和使用成本。3 远程监控系统要求一般情况下，银行首先会实施ATM机/自助行的联网监控与金库异

8、地守库系统的改造项目试点，具体需求包括：1）ATM机的联网监控： 对已经建设好离行和在行式ATM机的数字监控系统进行联网改造，实现中心集中监控管理。每个ATM监控包括34个摄象机的视频监控，目前ATM数字监控系统通过2M专网或10M的VPN虚拟专网和监控中心相连。2）自助银行的联网监控： 对自助银行的数字监控系统进行联网改造，实现中心集中监控管理。每个自助银行一般配置不超过8个摄像机，同时配置拾音头、音箱和求助按纽实现和中心的对讲和求助报警功能。现场采用基于各种主流板卡的PC式DVR主机。目前这些自助银行数字监控系统通过2M专网和监控中心相连。3）金库远程异地守库： 对金库的数字监控系统进行改

9、造和增加报警、门禁设备，这里的报警包括红外、门磁、震动、防火等，而门禁采用指纹门禁，并要求2个管理人员指纹验证有效后才能打开相应大门，所有的监控系统能够通过远程集中配置管理、实时监控，如对门禁权限的中心认证、对门禁系统的远程控制开启，对报警、门禁和图象系统的相互联动等，如发生报警或门禁异常时关闭大门进行录像等，实现远程异地受库相关功能。4）控中心需求： 中心主控软件能够远程监视及时掌握网点的安全动态。网点有报警时，监控中心可通过查看监视信息最快的了解现场情况，以便采取相应的措施。监控中心通过实时监看，也可能发现网点的异常情况，并采取措施。 实现远程的图像监看，云台镜头控制，并可与前端网点进行语

10、音对讲。通过网络行监控中心能方便、迅速的对远程监控点的图像、声音、各种报警信号、灯光、对讲、门禁等系统进行操作和控制，监控中心能根据情况及时处置各种突发性事件，并发出信号。无论分控、主控，只要拥有控制权，均可实现上述操作，控制权可申请，高级权限用户也可强行获得控制权。 远程联网综合监控系统实现后，所有的控制由监控中心完成，部分试点项目要求能够对所有图像信号在中心实现网络集中存储，现场只保留最近几天的数据，中心可以配置大容量的专业存储设备，如磁盘阵列和磁带库，实现长时间集中存储，并可以非常方便的检索。实现网点监控系统和资料的统一规范化管理。 分行监控中心能够对网点数字录像机进行如下控制：通过网络

11、对网点各路音视频进行录制方式（如动态帧测、定帧、录像时间等）控制或定制；网点录像机操作权限的设定；其它网点录像机能够实现的控制功能等。 当前端的硬盘录像机出现关机、视频信号丢失、金库录像出现门禁报警、移动侦测报警等情况时，可在监控中心通过图示及声音等方式提示。要求监控系统具有自身硬件故障的自我诊断和声光报警功能，和对软件故障的自我诊断、声光报警功能，并具有一定的自我恢复能力。 在现场到中心的带宽有限时（一般在2M以下），需要通过应用流媒体转发技术，实现中心多人对现场图像数据的访问。对于一些要求高的试点项目，更要求流媒体转发系统支持集群技术，实现负载均衡，保证系统的可靠稳定性。 中心可以配置多个

12、C/S分控和WEB分控客户端软件实现远程访问监视，所有的分控访问都需要通过系统管理服务器的实时集中权限管理后方能进行。对于一些要求高的试点项目，更要求集中系统管理软件支持支持集群技术，实现负载均衡，保证系统的可靠稳定性。 中心可以通过数字矩阵主机将网络视频信号解码输出到电视墙，输出的视频信号支持多画面分割和画中画。4 系统建设原则4.1 建设基本原则在建设整个系统时,我们本着技术先进、系统实用、结构合理、产品主流、低成本、低维护量作为基本原则，进行系统构架。1) 技术的先进性整个系统选型、软硬件设备的配置均要符合高新技术的潮流，关键的视频数字化，压缩、解压、码流、传输均采用国内外工程建设中被广

13、泛采用的技术与产品。在满足功能的前提下，系统设计具有先进性，并且在今后一段时间内保持一定的先进性。2) 架构合理性采用先进成熟的技术来架构各个子系统组成稳定可靠大系统，使其能安全平稳地运行，有效地消除各子系统可能产生的瓶颈，选用合适的设备来保证各子系统具有良好的扩展性。稳定性和安全性是我们最关心的问题，只有稳定可靠的系统才能确保各设备的正常运行；只有良好的数据共享，实时的故障修复，实时备份等才能形成完整的管理体系。3) 经济性在满足系统功能及性能要求的前提下，尽量降低系统建设成本。采用经济实用的技术和设备，利用现有设备和资源，综合考虑系统的建设、升级和维护费用，不盲目投入。建设经费不足的地区，

14、应先重点、后一般，分期投入、分期建设。4) 实用性在设备选型时，主要依据我市的实际情况结合目前我国市场上的占有率高的各类产品中选择具有最优性能价格比和扩充能力的产品。5) 规范性控制协议、编解码协议、接口协议、视频文件格式、传输协议等应符合相关国家标准、行业标准和公安部颁布的技术规范。6) 可维护性所设计的系统和采用的产品应该是简单、实用、易操作、易维护。系统的易操作和易维护是保证非计算机专业人员使用好本系统的条件。并且，系统应具备自检、故障诊断及故障弱化功能，在出现故障时，应能得到及时、快速的维护。7) 可管理性前端现场设备，各分系统集中于中心统一控制，实施对所有远端设备的控制、设置，以保证

15、系统的高效、有序、可靠的发挥其管理职能。8) 安全性对系统采取必要的安全保护措施，防止病毒感染、黑客攻击，防雷击、过载、断电和人为破坏，具有高度的安全和保密性。4.2 设计依据和标准l 银行营业场所安全防范工程设计规范 GB/T16676-1996 l 防盗报警控制器通用技术条件GB12663-90 l 中国电气装置安装工程施工及验收规范 GBJ232-82 l 系统接地的形式及安全技术要求GB14050-93 l 民用建筑闭路监视电视系统工程技术规范 GB50198-94 l 安全防范工程程序与要求 GA/T75-94 l 安全防范系统通用图形符号GA/T74-94 l 安全防范工程费用概预

16、算编制办法GA/70-94 l 银行营业场所风险等级和防护级别的规定GA/T38-92 l 民用建筑电气设计规范JGJ/T16-92 l 建筑与建筑群综合布线系统工程设计规范CECS 72.955 详细方案设计5.1 总体系统示意图5.2 方案说明如图所示，前端二级监控中心（各金融网点金库监控中心）采用PC式DVR设备，完成对本地网点的监视、控制和录像，同时将DVR接入专线网络，通过专线网络将本地网点的图像、报警等信息实时上传到分行远程异地集中守库中心，分行中心通过网络综合管理平台即可实现对前端所有营业网点的DVR管理和控制，实现音视频监控、远程双向语音对讲、报警通知、远程控制门禁等功能。5.

17、3 分行监控系统示意图5.4 详细说明如图所示，分行监控中心（一级监控中心）是控制、枢纽中心，统一、集中、管理、控制所有前端系统，硬件部分主要是通过多台监控终端将前端上传的数字信号切换、控制上屏幕墙；软件部分主要是对所有数字图像的集中管理，以及数字图像在金融专网内的多用户共享、控制等。该软件系统专为大型联网监控设计，适合于监控点数和用户数较多，系统分级管理，权限划分细致的应用。该软件系统包含：B/S部分，C/S部分，数据库部分。其中B/S部分包含视频浏览模块、集中录像模块、代理转发模块、电子地图模块、视频点播模块。C/S部分包含视频浏览模块、集中录像模块、代理转发模块。所有模块均可独立安装使用

18、，共享同一数据库。5.4.1 监控终端实现功能l 远程浏览：操作员可直接对目录树进行操作即可调出远端图像，并可根据权限设置调整前端的云台镜头、手动录像、检索录像资料； l 操作员日志记录：监控终端自动记录操作员每次登陆、退出、切换通道、记录违规等操作，并自动发送到管理服务器数据库中保存，作为操作员日常工作绩效考核依据；l 电子地图：采用电子地图方式，分权限点击显示多级监控图像，能显示监控点摄像机、报警器的位置，使报警监控界面更加直观。用户可以在电子地图上通过点击摄像机图标的方式方便地调用前端视频图像。 l 远程配置：监控终端利用远程配置软件，对前端各个监控点进行远程配置，并可连接管理服务器数据

19、库，对监控系统内用户进行配置操作；l 远程控制：监控终端可直接控制前端云台镜头，并可对前端设备进行远程设置操作；l 设备巡检：监控终端利用客户端软件轮流连接前端硬盘录像机和视频服务器设备，实时获取设备的各种参数，对设备进行定期巡检。当前端设备发生异常时，能够迅速发现问题，并通知相关部门进行现场问题。巡检内容包括：硬盘容量、系统网络连接状态、操作系统运行状态、连接客户端数目、视频连接状态、视频异常状态（视频丢失、视频遮挡、视频移动侦测）、非法访问报警等。5.4.2 视频管理服务器实现功能管理服务器负责整个报警监控系统所有硬件设备配置信息及所有用户注册信息的管理、智能虚拟巡检员、网络优化等以下几项

20、功能。l 硬件设备配置信息的管理：由服务器对报警设备和音视频处理设备等各项硬件进行注册，分类管理。l 系统用户的管理：监控系统的所有用户由服务器端统一注册并进行管理，用户的注册包括用户名和密码的分配；用户的管理包括用户的登陆系统验证，用户权限的分配，用户的注销，系统并根据用户权限的不同等级设立优先权。l 云镜分级控制：用户控制远程云台镜头命令通过管理服务器进行认证，每个用户都有相应的云镜控制级别，当高级别用户控制远程云台镜头时，将对低级别用户锁定云镜控制功能，只有到高级别用户控制完成后，才对低级别用户开放云镜控制权限，这样有效的避免了多用户同时控制云台时发生的抢占资源的问题；l 各个二级平台有

21、各自的管理服务器，管理服务器上只设置自己所辖监控系统的硬件信息和用户信息，避免了二级平台用户之间的非法访问。5.4.3 流媒体转发服务器功能在分行监控中心设置流媒体转发服务器，为本地内网和上级用户提供流媒体转发服务。使用流媒体服务器对于多用户同时访问前端DVR图像的情况，可以大大缓解网络压力。由于前端监控点传输时使用的网络带宽一般都比较窄，当多个客户端需要同时看某远程的相同画面时，在一条网络线路上的同时点播，会占用多个相同带宽，严重浪费网络资源。流媒体服务器支持音视频流的多级转发，支持局域网内多用户对一个音视频流的访问，当有多个局域网客户端需要同时访问同一远程画面时，可以通过流媒体服务器进行转

22、发，从而在广域网上只占用一个通道的资源，大大减轻了由于远程视频监控而造成的网络带宽压力。5.4.4 存储服务器在监控中心内部安装一台专用海量存储系统，通过存储服务器，为视频监控中心海量视频录像文件提供存储及调阅管理等集中存储服务。存储服务器通过自身连接的专业存储设备，为监控中心整个视频监控系统提供录像文件的存储及调阅管理服务。基于提高对全行所有营业网点、任一时刻、任一摄像机录像文件检索速度的目的，需要使用数据库，对图像和音频信息进行编号和入库管理。按全行所有营业网点共有120路摄像机、录像压缩码率在512Kbps，每个摄像机每天需保存动态录像时间8小时，静态画面录像16小时，录像保存61天计算

23、，存储有效空间至少需要16TB。考虑作为磁盘镜像备份需要，存储总容量至少应该为20TB。存储系统单路最小I/0速度不低于500Mbps。为此存储服务器可使用多台服务器并行处理。5.4.5 WEB服务器功能通过将WEB服务器接入金融专网，网内多个授权用户不需要安装任何客户端软件，通过IE浏览器直接访问分行联网监控中心的数字图像资源。5.5 海量存储系统5.5.1 存储容量的计算模拟视频信号通过数字视频压缩技术转换为H.264或者MPEG 4格式的码流，尽管经过压缩，其所占的空间仍然是非常大的，尤其是金融监控联网系统，摄像前端成百上千甚至成千上万，产生的海量数据是非常惊人的。单路D1格式的数据量计

24、算：600M/小时，每天产生的数据量为24*600M= 14400M，约合 14G，一个月产生的数据量为 14G*30=420 G；单路CIF格式的流量计算：200M/小时，每天产生的数据量为24*200M= 4800M，约合4.6 G，一个月产生的数据量为 4.6G*30=138 G；一个联网监控中心按照100路视频信号计算：D1格式产生的数据量为 420*100= 42000G，约合 41T；CIF格式产生的数据量为 138G*100= 13800G，约合 14T。5.5.2 存储方式的选择存储方式可以分为分布式存储、集中式存储和混合型三种方式：分布式存储：所有的前端编码设备将模拟视频信号

25、压缩编码后，传送到距离自己最近的监控中心，在二级监控中心设置录像服务器，存储所有该监控中心连接的编码设备。模拟信号进入该二级监控中心后，也被编码设备转换成为数据信号存储。各个二级监控中心存储金融网点的摄像资源的数据，上级监控中心需要数据时直接向各个二级监控中心调用。由于设备选型所限，不可能在二级监控中心放置比较高档的存储设备，存储的动态扩展也无法做到，数据的管理没有办法做到统一管理；集中式存储：将所有编码设备产生的图像数据实时地通过网络存储到一级监控中心的网络存储服务器。集中式存储将图像统一存储、统一管理，增加了数据管理的便利性，统一的高性能海量存储设备提高了数据存储的安全性和可扩展性，数据可

26、以方便地进行备份。但是它也有不足：1、从前面的数据量分析，在大中型城市中监控点位到千级和万级时，这种海量存储空间的建设成本是非常高昂的；2、实时传输视频图像占用的网络带宽资源非常大，每一路视频流（视频格式为D1）需要网络带宽为800K1.5M，当视频流到达1000个时，将会对核心网络平台造成极大的压力。混合型存储：将前面两种方式进行结合，以分布式存储作为基础，同时在一级监控中心设置网络存储服务器。短期的数据临时存放在二级监控中心的录像服务器内，长期的数据存上传网络存储服务器中。重要监控点位的视频资料不仅存储在二级监控中心，也实时的传输到网络存储服务器中作为备份。在二级监控中心建立备份计划，采用

27、定时自动备份的方式，将超过30天的视频文件备份到网络存储服务器相对应的目录中。分布式存储加上集中式存储，既可以利用录像服务器硬盘实现实时录像，又可以利用网络存储服务器实现海量存储，具有很好的灵活性；部分采用集中式存储，易于空间管理和数据搜索以及数据备份，总体上提高了工作效率同时也降低了管理的成本；这种模式有非常良好的扩展性，整个系统可以按照比例扩展，在增加录像服务器本地硬盘的同时增加相应比例的网络存储服务器存储容量，实施快捷高效；在录像服务器来不及扩容或者录像服务器出现故障的情况下还可以使用网络存储服务器作为备份，大大提高了系统的可靠性。如图所示。6 监控中心功能实现6.1 主屏及电视墙系统指

28、定电视墙中一台为监控中心显示主屏，其余所有电视均可按照n*n（0n5设定为1、4、9、16个逻辑单元，每个逻辑显示单元均可由主控台指定显示视频内容和显示方式。显示主屏与主控台某一个应用显示窗口联动。首先显示洛阳地区行政区划地图，在其上用符号标注所有金融网点位置并用不同颜色区分监控主机当前工作状态。当鼠标停留在个监控主机位置时，显示该金融网点的名称、地址等信息。可选择显示网点平面图、启动对讲等功能，显示内容切换为该金融网点安防设备平面安装图，在平面图中标出全部报警器、摄像机和监控主机柜安装位置，并用颜色区分报警器当前状态。当鼠标点击某一报警器时，显示该报警器状态及最后一次报警有关信息；当鼠标点击

29、某一摄像机时，弹出一个窗口，播放该摄像机当前实时上传的视频图像；当鼠标点击网点监控主机时，弹出窗口，显示该监控主机当前工作状态，包括网络带宽占用、主机CPU资源占用、硬盘使用情况、最后一次启动时间、连续运行工作时间等内容。对于某一个逻辑显示单元，在指定单一视频时，显示方式为持续显示该视频信号的实时画面；在指定多个视频信号时，显示方式为按设定的间隔时间，按顺序切换各视频信号，形成对多个视频画面的轮询显示。除主屏外，电视墙上所有可分配的电视，划分为三种用途：库区静态轮询显示、遇警库区动态显示、值班员指定显示。每台电视的用途，不依赖于硬件设备，可由系统管理员自行修改。库区实时轮询显示：每个营业网点所

30、有视频信号分配一个逻辑显示单元，将该网点所有视频信号在该单元定时切换显示。譬如：按当前营业网点数量27个，可指定3台电视，每台安3*3划分逻辑单元，共27个逻辑单元；每个逻辑单元指定一个营业网点，将该网点的全部视频图像轮询显示。可以设定某路视频图像在非报警状态下，只实时存储，其画面不在电视墙上显示。只有经过有权部门授权后，监控中心方可调看其视频画面。遇警库区动态显示：在监控中心主机收到某一网点的报警信号时，分配一台电视按2*2划分逻辑单元，一个逻辑单元显示报警营业网点名称、地址，一个逻辑单元显示该营业网点平面图，其他逻辑单元分别对应该营业网点摄像机显示其实时视频画面。同时，可以将报警画面切换到

31、电视墙主屏上，全屏显示，并实时录像。当有多个营业网点报警时，可依次分配电视墙中所有未指定用途的电视，做为遇警营业网点动态显示使用，并实时录像。值班员指定显示：由值班员在主控台地图上，指定一台电视机，选择n*n方式划分逻辑单元，对指定的逻辑单元再选定营业网点、摄像机。实时播放该摄像机的实时画面。可以设定某路视频图像在非报警状态下，只实时存储，其画面不在电视墙上显示。只有经过有权部门授权后，监控中心方可调看其视频画面。支持所有设备时间同步管理。能实时显示前端报警主机的工作状态。6.2 报警联动控制系统在报警管理服务器上，预先设定好的营业网点前端系统上传警报与监控中心对应处理机制的对应关系表，此表，

32、可由用户系统管理员自行修改。报警信号的种类内容能够区分出以下内容：营业网点主机断网营业网点主机识别错误营业网点主机状态异常营业网点主机转发的报警器信号及详细内容营业网点门禁正常打开、关闭营业网点门禁打开超时营业网点门禁非正常打开营业网点布防、撤防营业网点触发110报警营业网点金库内温湿度超过预设安全值。报警的响应内容能够包括以下内容：文字屏显示营业网点视频显示屏叠加提示信息（时间、地点）在地图方式显示中用颜色和文字提示用户在已签到值班工位上弹出窗口提示记录报警系统日志将有关信息发送到短信平台启动监控中心内部声光报警器触发电视墙电视相应的显示方式在中心收到营业网点上传的报警信息后，报警管理服务器

33、，立即辨别出报警信息所属网点及报警编号、类型，并按对应关系表中记录内容触发相应的响应机制。报警管理服务器，还定时自动检查营业网点端主机状态。通过与库区监控主机通讯，及时发现营业网点端各类设备的断网、主机故障、报警器故障、门禁异常等。报警联动发送短信时，可利用当地网通或者电信的短信平台，也可使用系统自带的各种短信接口设备（如短信设备）完成。在监控中心软件中，增加对前置营业网点主机的认证识别功能。对于网络出现故障或认证识别出错的营业网点主机，在监控中心提示报警。可以对全辖所有主机采用定时轮询方式，间隔固定时间，对前端所有主机轮流发出一个认证识别请求，已判断网络状况及其回复是否合法。6.3 值班管理

34、系统在监控中心系统软件中，建立值班员工作日志功能。每个值班员上岗时必须在系统签到后方可使用系统各功能，下岗时签退。监控中心所有软件功能，值班员必须在签到后，方可使用系统功能。系统正式启动后，非经系统管理员授权，不允许所有值班员同时签退。在值班期间，值班管理系统记录值班员在上岗期间的所有操作内容，及其对营业网点警报、对讲请求的响应速度和相应过程。值班管理系统可对监控中心的各项功能，分别设定值班员操作权限，对于越权操作，需经有权的值班员在系统中授权方可继续操作。6.4 门禁远程授权管理系统通过中心门禁控制主机可以实现系统支持对远程营业网点的出入口控制功能，特别是自助区的门控（开门、锁门、常开等）控

35、制管理。金库库区门禁系统，只在预先设定的早晚开库时间段，使用除密码外的其他验证技术开闭门。在其他时间，均需由门禁远程授权管理系统下载一个带有失效时间的临时密码，与其他验证技术联合验证通过。白天工作时间，即早晨出库之后到晚上入库之前的时间内。由各支行保卫科指定人员，使用办公计算机，远程连到监控中心门禁授权管理系统，生成临时开锁密码，关人工转给库房管理人员使用。在夜晚，临时开锁密码，只能由监控中心的工作人员在监控中心内部计算机上生成。6.5 统计子系统监控中心软件系统在日常运行中，将所有营业网点的报警和门禁开闭情况详细信息记录在数据库中，结合监控中心值班员的工作记录数据一起。并按需要生成行各种统计

36、数据，为有权限管理人员提供查询输出。6.6 对讲子系统监控中心与营业网点的对讲，按触发方式，分为主叫和被叫2种。 在主叫方式中，网点通过问讯按钮与相关部门进行双向语音对讲。当客户按下问讯按钮，客户服务终端，立即响应，并将相应的图像和声音显示在远程中心和客户服务终端上。客户服务终端可以与客户进行远程对话。交流的图像声音在录像中可查。当前端营业网点发生警情或者有不法分子在自助银行进行不法活动时，中心通过对讲功能实现对现场的语音喊话，一方面报警输出的警号震慑不法分子的行为，另外通过喊话可以有效制止对金融设备的不法侵害。相关信息和音视频数据在事后能进行查询并可作为公安机关办案的有效依据。6.7 监控中

37、心自身监控系统监控中心自身监控系统主要由视频监控录像组成。 在监控中心单独安装的一台专用监控主机，配4个摄像机接入，按照4个摄像机每天实时录像24小时、记录保存31天以上的标准配备相应的磁盘容量。将该视频监控主机接入分行大楼办公网络，并在监控主机上开放有权限控制的分控端网络接入。此系统的视频监控录像与监控中心其他系统相对独立，并由监控中心值班员以外的专人管理，使其成为强化监控中心内部管理的有效手段。7 分行远程监控中心管理平台软件7.1 系统概述综合监控联网管理平台软件 (以下简称 CMS)是专门针对大型网络环境下分散监控场所不同种类数字图象设备、安防报警设备集中监控管理的专用平台软件,是一种

38、面向业务应用服务的、全数字化、基于网络和高度集中管理的安防管理平台软件，以满足行业客户高可靠性、复杂性和灵活性的视频与安防监控业务管理需求为主要目的，适用于大型网络视频监控环境下对不限路数的PC架构DVR、嵌入式DVR、DVS、IP摄像机和报警设备的设备配置、报警关联策略、自定义任务、电子地图、流媒体转发、集中存储、网络数字矩阵等的集中监控与安防管理。采用了WebSERVICE、WEB2.0、O/R MAPPING、AOP、LDAP、SSO等先进技术和架构，软件更加稳定、安全、开放，能够满足当前银行、社会治安、交通、通信、电力、校园、铁路等多个行业的跨区域大中型网络视频与安防监控领域的各种需求

39、和未来集成到行业大信息管理系统中的需求。该平台软件不同于其它数字监控管理软件,只具备简单的网络分控管理,且各安防管理系统相互独立;也不同于集中管理软件,虽然实现多系统集成联网管理,但系统架构不稳定,结合行业业务需求的应用能力差. 之所以在国内提出视频与安防管理平台软件,是因为该平台软件除了具备中心管理所有基本安防管理功能外,更是大量采用了诸如Web SERVICE、WEB2.0、O/R MAPPING、AOP、LDAP、SSO等大量在IT领域已经被证明成熟可靠的先进技术和架构，和已往的安防软件相比,系统更加稳定、安全、健壮、开放，最主要的是在当前网络监控客户需求快速变化的市场环境中,可以快速的

40、结合行业客户业务需求定制扩展系统功能.是IT软件开发先进技术和传统安防管理软件的有机结合.7.2 平台体系结构软件平台体系结构分为三个层次，最低下一层是硬件抽象层，目的是给不同的DVR和其他设备提供相应设备类的统一接口，为系统整体管理、配置、检索所有的设备提供统一的标准；上面一层是平台，平台部分包括两部分，一部分是基本的服务，另一部分是基于这些服务的设计工具。最上面一层是构架在平台之上的应用，这些应用使用平台的基本服务一致、可靠、高效、灵活地完成功能，而平台提供的工具可以让用户自定义、自创建、自组合很多和用户特定业务相关的业务功能和流程。层次的划分可以说任何一个复杂的、经过良好设计的软件系统最

41、基本的体系结构模型，诸如操作系统和网络层次模型、目前市场上主流的中间件和应用服务器莫不如此。这些体系结构在国内一些优秀的大型IT软件中有所采用，但在国内的绝大多数监控领域的软件并没有这样去做，究其原因首先传统监控软件开发单位不能站在一个结合业务的全局角度来看待产品设计，另外是一般这些单位都不具备大型IT软件系统抽象总结的能力，最后还有涉及到各种网络、视频、集群、分析模式、人工智能以及语言解析等方面技术的掌握和融合问题，天津天地伟业通过自身的努力，在CMS中已经掌握了构架这样一个系统架构的相关技术。另外需要说明的是，平台和系统提供的所有功能都通过Web Service的国际标准提供对外接口，这可

42、以在异种操作系统、异种语言之间进行交互，也是和其他IT和业务应用程序集成的最好方法。并且系统的任何行为都需要经过管理中心的认证，系统提供基于角色的存取控制模型提供了强大而灵活的安全保证。一旦管理中心修改了某些存取权限，这些改变将即时反映到任何用户的任何一次操作中。系统中所有组成部分的行为规范、策略也是在管理中心定义的，这就意味着你可以在一个地方改变整个系统的任何行为。7.3 系统组成CMS综合管理平台包括应用服务类软件、C/S客户端和现场PC架构硬盘录像机软件、嵌入式主机以及网络视频编码设备，每个规格软件基本描述如下：1）应用服务类软件：系统管理服务器软件：基于Web SERVICE标准，实现

43、统一身份认证和权限控制、组织与角色管理维护、设备集中配置与维护管理、结合任务计划执行和调度、报警处理规则管理、报警获取与分发管理、电子地图集中配置管理、设备巡检和日志管理等功能。Web服务器软件:基于Web SERVICE标准, 为前端监控设备提供统一远程监视查询B/S访问界面。流媒体服务器软件:用于监控中心多客户端复用相同现场图像的流媒体转发管理和现场流媒体带宽限制管理,限制管理的策略包括路数、用户优先级和事件优先级等.网络存储管理服务器软件:用于分散加集中存储的环境下按照管理中心软件设定的计划、策略执行高可靠性的图像集中存储、备份、检索和回放管理.报警转发软件：在中心监控管理软件设置下，统

44、一快速接收现场设备报警信息并转发给指定的中心监控管理软件客户端，可以接入为后台运行的应用服务软件。为所有系统管理的监控设备提供报警接收转发服务和短消息报警、邮件报警等远程报警服务，可以接入短消息报警模块。2）专用C/S客户端软件：监控中心主控软件:主要用于接警,监控中心主控工作站内置程序,可以在系统管理服务器认证下访问监控所有现场设备，可以实现轮循预览、报警接警和报警处理、电子地图双屏等功能。监控中心分控软件:功能同主控软件一样，管理权限不同，也可以在系统管理服务器认证下访问监控所有现场设备，可以实现轮循预览、报警接警和报警处理、电子地图等功能，支持软解码功能。网络数字矩阵软件:主要用于实现控

45、制数字矩阵控制主机内置解码卡的任意分组轮循输出、手动切换输出和报警联动输出等功能，支持对其它标准客户端软解码VGA输出的协同控制。3）现场接入服务器软件：数字硬盘录像系统服务器软件：基于PC架构的、功能齐全的数字视频录像与监控应用软件；嵌入式硬盘录像主机，基于嵌入式架构、RTOS操作系统主机，支持音视频同步输入，支持报警输入输出联动。网络视频编码设备，基于嵌入式架构、RTOS操作系统网络编码设备，支持网络传输，支持报警输入输出联动。7.4 软件功能7.5 CMS综合管理系统服务器软件系统核心管理软件，支持Web SERVICE标准、LDAP协议与SSO单点登陆等先进技术，安装环境支持所有操作系

46、统与数据库。可以基于WEB实现对该软件的远程访问管理。基本规格可以实现对最大64路远程PC-DVR、嵌入式DVR、视频服务器DVS、IP摄像机等数字图象设备的机构、人员、设备、电子地图的集中配置和实时访问权限控制。支持对系统接入的防盗、防灾、求助报警信号和门禁信号的复杂报警联动策略设置。统一身份认证和权限控制：系统采用了单点登陆技术和集中权限管理服务。当一个用户需要对监控网络中的资源（或者和监控网络中集成的系统）进行操作时，它首先到认证中心进行登陆获得一个Token，认证中心可以根据不同的情况对用户进行认证：如果用户的身份是在监控网络自己管理的，那么它就会读取本系统的数据库信息.如果用户的身份

47、是在行业客户集中的LDAP服务器中保存的，它通过LDAP协议认证用户的身份.如果用户的身份是在其他身份中心验证的，那么它就会把验证请求分派到指定的身份验证中心认证中心根据不同的验证方法获得一个该用户某段时间有效的Token，这个Token完全是一个随机树，但是认证中心内部记录了Token和用户、以及用户发起的IP地址相关信息。这个Token和任何用户本身的信息无关。这个Token只能在某一台发起这个登陆的IP上使用。集中权限管理：当用户对系统中任何监控资源进行存取，例如当用户需要对视频服务器进行存取时，它都需要提供这个Token，视频服务器持该Token和资源及对该资源的操作到集中权限管理中心

48、去认证这个操作的可行性，权限管理中心根据该Token到身份认证中心确认身份，然后根据该身份返回是否有权操作的状态。采用这种方式，一个用户在整个系统中只需要进行一次登陆，并得到令牌。一旦登陆以后，他就可以持该令牌进行任何有权进行的操作。而权限的控制和客户端完全没有关系，当服务端发现该令牌无权操作时，它发送无权操作命令给客户端，然后立刻切断连接。集中权限管理可以让系统的维护人员在一个地方批量、方便、集中管理系统内部的所有资源、人员、角色，由于系统中的所有操作都要由权限管理中心许可，因此任何用户的权限改变能够即时反映到任何一个用户对任何系统的操作。用户信息和用户角色关联：一个组织中可以增加用户，用户

49、包括用户姓名，登陆名，密码，级别【隶属与某一个级别的组织，可以角色的配置，这将决定了在多人同时控制或占用有限系统资源时（如云台控制和网络带宽资源获取）的优先级判断原则】。冲突原则解决：高级别的用户正在操作时，低级别的用户不能控制，等高级别的用户操作好后，低级别的才有权操作；当低级别的用户正在操作时，系统可以中断低级别用户，把控制权限交给高级用户；同级别的用户竞争操作同一设备时，系统响应优先取得控制权的用户，其他用户需要等待对方操作完毕之后才可以获得操作权限。用户具备的权限是是由它的角色决定的。角色管理：监控系统的角色包括系统角色，用户角色两个类型。系统角色是针对功能的角色，它针对的对象就是某一

50、用户所属组织的所有对象，一般系统的权限都可以通过系统角色简单地完成配置；对某些用户，他可能需要越级进行处理，那么需要用户角色，用户角色是针对某一个或多个具体对象的具体功能的角色；设备管理和监控设备管理和监控：设备类型包括PC-DVR，嵌入式DVR，流媒体服务器,控制中心，数字矩阵等等。随时监控和掌握任何设备的当前运行状况：系统中的所有设备所有进行中的工作都报告到管理中心，因此，任何时候都可以知道某一个用户对那些设备在进行什么操作，也可以知道一个设备被那些用户在使用什么资源，以及这个设备的负载情况。系统按照用户定义的计划对系统中的所有设备进行巡检，任何设备的当前状况都可以随时展示出来。随时知道任

51、何设备的运行历史：设备发生的任何事件，它的日志都会以某种形式发送到管理中心，设备运作所产生的各种对象，例如DVR设备的录像，它们所有的检索信息都会发送到管理中心. 对于嵌入式设备而言，由于我们无法修改设备内部的软件，因此我们通过一个嵌入式代理通过Pull的方式来实现某些管理中心必需的功能。对于我们自己编写软件的设备，所有发生的事情都以某种方式把消息发送给管理中心，这是Push模型。不管这些设备和管理中心的网络是否断线，我们采用的持久消息队列服务可以保证，只要哪一天设备和管理中心连接正常，这些消息最终都会发送到管理中心。即时改变任何设备当前和以后的运作方式：对任何一种设备，都可以在管理中心进行配

52、置，管理中心可以对指定范围内的任何设备进行批量的配置，批量的读取和批量的对比。系统实施的时候，实施人员可以现在管理中心离线配置好所有的设备参数，一次性地对符合条件的所有设备进行设置。系统设置的过程是在后台运行的，不影响用户目前的工作。可以按照业务的需求周期性地改变任何设备的运作方式：系统也支持对所有设备的校时、重启、布撤防等功能。这些功能都通过系统的计划和任务引擎执行，可以定义复杂的计划。7.6 监控管理中心主控/分控软件C/S架构下的监控中心客户端软件，包括中心控制软件分控软件，软件完全一样，只是根据中心设置的权限不同。可以在中心管理服务器认证下采用电子地图、分组轮训等多种方式访问监控所有现场嵌入式DVR、PC- DVR、DVS和IP摄像机等设备的图像，支持本机矩阵解码卡输出（最大24路），可以监控管理来自现场设备接入的防盗、防灾、求助报警信号和门禁控制信号，可以进行预览中录像，可以采用多种方式查询本地和远程录像文件，可以实现对讲，采用软件许可证方式加密，不限管理路数，一个许可证安装1台主控客户端工作站。具体功能罗列如下： 1)根据管理中心统一设置的组织架构目录，按照组织中的设备通道进行视频预览操作。 支持多种画面风格方式浏览，支持自