機房智能監(jiān)控管理項目建設方案模板

智能監(jiān)控管理項目建設方案平臺系統(tǒng)建設方案安全系統(tǒng)建設為了滿足系統(tǒng)建設與使用的安全需求，保障系統(tǒng)數據安全與運行安全，本項目建設的系統(tǒng)平臺部署于區(qū)公司，并采用公網已有后臺域安全系統(tǒng)對本項目建設的系統(tǒng)進行安全保護。信息安全服務體系安全檢查按照相關規(guī)定和要求，定期對XX系統(tǒng)的全網進行安全檢查，及時發(fā)現(xiàn)安全隱患，做出相應的解決方案。具體內容包括：（1）巡檢對象確定1）安全關鍵點分析：對影響系統(tǒng)、業(yè)務安全性的關鍵要素進行分析，確定安全狀態(tài)監(jiān)控的對象，這些對象可能包括防火墻、入侵檢測、防病毒、核心路由器、核心交換機、主要通信線路、關鍵服務器或客戶端等系統(tǒng)范圍內的對象；也可能包括安全標準和法律法規(guī)等外部對象。2）形成巡檢對象列表：根據確定的巡檢對象，分析巡檢的必要性和可行性，形成監(jiān)控對象列表。（2）巡檢對象狀態(tài)信息收集1）巡檢工具：根據巡檢對象的特點、巡檢管理的具體要求、巡檢工具的功能、性能特點等，選擇合適的巡檢工具。建立完善的運維巡檢體系。2）狀態(tài)信息收集：整理備案巡檢對象的各類狀態(tài)信息，包括網絡流量、日志信息、安全報警、性能狀況、外部環(huán)境的安全標準和變更信息。（3）巡檢狀態(tài)分析和報告1）狀態(tài)分析：對安全狀態(tài)信息進行分析，及時發(fā)現(xiàn)險情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢。2）影響分析：根據對安全狀況變化的分析，分析這些變化對安全的影響，通過判斷他們的影響決定是否有必要作出響應。3）形成安全狀態(tài)分析報告：根據安全狀態(tài)分析和影響分析的結果，形成安全狀態(tài)分析報告，上報客戶安全事件或啟動應急預案。風險評估按照XX系統(tǒng)的等級保護測評標準要求，定期為XX系統(tǒng)的安全技術和安全管理兩方面的測評標準，指導進行《XX系統(tǒng)安全等級保護定級報告》的編制、信息系統(tǒng)等級保護自主定級備案、測評，對不符合測評或復評要求的信息系統(tǒng)安全整改提供咨詢服務。具體風險評估內容包括：（1）網絡設備評估根據XX系統(tǒng)中設備類型的不同，對核心層、交換層和接入層及防火墻、入侵檢測等邊界網絡安全設備的訪問控制和安全策略，現(xiàn)狀有針對性進行風險評估。（2）操作系統(tǒng)評估網絡服務器及可互聯(lián)終端的安全始終是信息系統(tǒng)安全的一個重要方面，攻擊者往往通過控制它們來破壞系統(tǒng)和信息，或擴大已有的破壞。網絡攻擊的成功與否取決于三個因素：攻擊者的能力；攻擊者的動機；攻擊者的機會。正常情況下，我們是無法削弱攻擊者的能力和動機這兩個因素，但有一點我們可以做到減少他們的攻擊機會。對操作系統(tǒng)開放的服務、安全配置、訪問控制、系統(tǒng)漏洞進行安全脆弱性風險評估。（3）應用程序評估應用程序本身存在一定的安全缺陷和隱患，攻擊者可以利用應用程序中的漏洞入侵系統(tǒng)、竊取信息及中斷系統(tǒng)服務。為保證警務重要業(yè)務系統(tǒng)保密性、可用性，對操作系統(tǒng)上基于WEB服務及第三方應用程序做安全評估。滲透測試應通過滲透測試的技術手段，模擬惡意黑客的攻擊方法，來評估XX系統(tǒng)的安全狀況；以此來發(fā)現(xiàn)系統(tǒng)的弱點、技術缺陷及相關漏洞；并依據滲透測試結果對應用系統(tǒng)的缺陷和漏洞進行整改及修復工作。安全培訓定期開展系統(tǒng)的安全培訓，主要是提高各系統(tǒng)管理人員的安全意識和安全技能，使之能夠符合相關信息安全工作崗位的能力要求，全面提高客戶整體的信息安全水平。針對不同層次的系統(tǒng)管理人員，進行有關信息安全管理的理論培訓、安全管理制度教育、安全防范意識宣傳和專門安全技術訓練，確保組織信息安全策略、規(guī)章制度和技術規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風險。（1）安全意識培訓通過對客戶全體員工的安全培訓和教育工作，提高全體工作人員的信息安全意識和技術水平，降低由于人為原因引發(fā)的安全風險。（2）管理類培訓針對客戶不同層面、不同職責、不同崗位的人員進行培訓，在客戶方內部推行、實施已建立的安全體系，提高信息安全管理水平。（3）安全流程制度培訓針對相關的安全流程、安全制度、安全規(guī)范、安全運維計劃進行培訓，使警員了解相關的、系統(tǒng)級的安全體系操作流程和制度。安全保障建設通用安全保障措施平臺安全防護綜合采用多種成熟的安全技術，多層面對平臺信息系統(tǒng)提供安全保障。本項目安全能力建設方案說明如下。機房智能監(jiān)控管理系統(tǒng)部署在分公司混合云資源池中，混合云資源池中提供了滿足IT系統(tǒng)部署的硬件資源和網絡連接和安全保護技術手段。云資源池按照機房標準建設，機房環(huán)境符合安全要求。通過設計標準和管理制度，運用技防和人防結合，保障物理訪問控制、防盜竊和防破壞、防雷擊、防火和防潮、溫濕度控制等要求，電力采用1+1、2+1冗余UPS或240V高壓直流供電系統(tǒng)保障供電的安全。因此，物理環(huán)境的安全性是有保障的。安全通信網絡在混合云資源池中，IT系統(tǒng)間的通信傳輸運用安全技術作為保護手段。網絡劃分成多個安全分域，安全域采用了MPLSVPN隔離和通信，安全和運行效率均有保障。安全區(qū)域邊界邊界防護前提是明確IT系統(tǒng)的邊界?；旌显瀑Y源池針對性的對各個安全子域部署相應的安全防護，包括安全加固、補丁管理、VLAN劃分+ACL配置等基礎防護，以及流量監(jiān)控及溯源、流量清洗、入侵檢測、WEB防護、網頁防纂改、防病毒等平臺安全防護。因此，本項目的安全區(qū)域邊界劃分清晰，邊界之間已經實施訪問控制策略，訪問用戶能夠進行有效管控。安全計算環(huán)境為保障IT系統(tǒng)計算環(huán)境的安全，可通過身份鑒別、訪問控制、入侵防范、可信驗證、數據完整性保障、數據備份恢復等能力來提供保障。當前混合云資源池已經具備上述防護能力?？傮w來看，借助以上能力和加固規(guī)范，能夠較好的保護計算環(huán)境的安全性。安全管理制度。IT支撐系統(tǒng)的需求、設計、開發(fā)、測試、上線、運行和下線過程的內部安全管理，遵守中國集團、XX公司的相關項目建設要求。項目施工安全保障，則由《中國公司通信工程建設項目管理實施細則》（中桂〔2013〕380號）進行規(guī)范。項目施工前需要進行項目安全風險評估。包括項目安全風險等級、施工子環(huán)節(jié)風險等級，根據環(huán)節(jié)可能存在的風險制定對應的風險的處置方案，最后將項目風險等級的責任落實到各單位。因此，通過內部安全管理制度、項目風險評估制度，能夠將安全管理制度和責任貫徹到具體責任人、部門，有效保障安全風險考慮到位、安全環(huán)節(jié)有效監(jiān)督、安全規(guī)則執(zhí)行有力。安全管理人員。IT系統(tǒng)安全管理人員的組成，由中國分分公司、XX公司相關人員為主體，人員配置數量和技術水平能夠保障IT系統(tǒng)的安全。安全建設管理項目建設的安全管理，應參考《中國XX公司工程建設項目管理辦法》（中桂XX〔2019〕45號）執(zhí)行相關要求。確保信息安全。因此本項目的建設過程中的信息安全有據可依。安全運維管理IT系統(tǒng)的安全由XX公司安全維護管理部門，負責安全運維管理。因此，本項目的安全運維是有負責單位的。應用安全方案機房智能監(jiān)控系統(tǒng)涉及到監(jiān)控視頻、機房信息、員工個人資料等重要數據的存儲及傳輸。因此，系統(tǒng)安全性建設是必要的。本項目應用安全方案如下：安全設計原則木桶原則安全系統(tǒng)的建設需對信息均衡、全面的進行保護。有效性性原則網絡發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網絡信息中心的服務，減少損失。實用性原則安全系統(tǒng)的建設不能影響系統(tǒng)的正常運行和合法用戶的操作活動。標準化原則安全系統(tǒng)的建設必須遵循國家標準，符合中國的安全規(guī)劃。等級性原則安全系統(tǒng)的建設需分為不同等級，包括對信息保密程度分級、對用戶操作權限分級，對網絡安全程度分級，對系統(tǒng)實現(xiàn)結構分級。從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制。易操作原則安全系統(tǒng)的建設需避免系統(tǒng)的操作過于復雜，對人的要求過高。應用安全方案用戶權限系統(tǒng)用戶：負責管理整個系統(tǒng)維護，包括用戶權限修改等；普通級用戶：負責在授予的權限內發(fā)布信息和查詢信息；管理級用戶：可查詢、檢索、統(tǒng)計匯總所有項目。登錄認證IP地址限制技術，限制訪問系統(tǒng)的有效IP（或者無效IP）地址；用戶登陸失敗數次后，此賬號將被臨時封閉；如果用戶在管理員設定的時間（15-60分鐘）內沒有做任何操作，系統(tǒng)將會自動注銷該用戶；如果用戶在瀏覽器中輸入了其無權訪問的頁面地址，系統(tǒng)將會自動注銷該用戶。系統(tǒng)管理數據備份；系統(tǒng)權限分配；報表管理。系統(tǒng)提供用戶組、角色等通用的權限定義，可自定義系統(tǒng)的權限。授權管理集中管理，統(tǒng)一認證，開放接口，便于集成。功能授權和數據授權相結合。關系數據、多維數據、非結構化數據統(tǒng)一授權。單個授權和批量授權相結合。數據庫安全物理上，數據庫服務器不與外界進行連接，確保外部無法獲得有效途徑訪問數據庫服務器。數據庫中，諸如用戶密碼等機密數據以加密形式儲存，即使數據庫服務器的系統(tǒng)管理員也無法通過任何途徑獲得這些數據。機房及配套工程建設本期工程平臺系統(tǒng)部署在中國分公司混合云資源池中。本項目所需計算資源、存儲資源均由中國分公司混合云提供，所需的物理服務器設備以及機房配套建設不在本項目建設范圍。電源配套本項目新建的前端監(jiān)控攝像頭建議優(yōu)先采用本期新增的POE交換機進行供電，POE交換機安裝在原有機房機架內。當不具備POE供電條件時，采用市電就近供電。本期新增的門禁系統(tǒng)前端設備根據現(xiàn)場環(huán)境采取UPS或市電進行供電。由于本期新增設備功耗較低，原則上不對機房的配電系統(tǒng)進行擴容建設。線纜布放本期新增的線纜主要包括電源線，信號線。布放電纜時應嚴格執(zhí)行施工規(guī)范。信號電纜與電力電纜分開布放，交流電力線和直流電力線分開布放，信號纜線與電源線纜不允許在同一線槽布放，在同一豎井或槽道中布放必須分隔開，電力電纜采用金屬管/槽保護，并注意電纜的綁扎。穿越樓層或隔墻布放纜線后，必須采用不燃燒材料對穿越的孔/洞封堵嚴密。由于機房內部存在一定的信號干擾，部分前端點的信號傳輸距離較長，故本期前端監(jiān)控攝像頭至POE交換機的信號電纜采用六類屏蔽雙絞線，當傳輸距離大于100米時，采用光纜皮線與光收發(fā)器進行數據傳輸，避免信號衰減與丟包。

運行維護系統(tǒng)建設維護服務流程本項目服務流程如下：圖SEQ圖\*ARABIC26維護服務流程圖維護方式本項目設備維護方式采取業(yè)主運維為主，設備提供商運維為輔的形式進行，設備及服務提供商負責對中國各個地市分公司的運維管理人員進行系統(tǒng)的使用及運維培訓，并提供相應的技術支持及備品備件。（1）日常維護日常運行維護工作涉及到網絡與硬件、軟件、數據等各個方面的內容，管理工作量比較大。服務提供商將嚴格按照各子系統(tǒng)的操作規(guī)范和安全生產要求，針對性地支持地市運維組人員開展日常的運行維護，確保故障早修復。（2）巡檢定期測試和巡檢服務是做好維護服務的重要手段之一，通過例行測試，可以檢查系統(tǒng)軟件、設備、線路的運行質量，發(fā)現(xiàn)隱患和潛在問題。通過巡檢，可以檢查設備標簽、安裝和布線是否符合規(guī)范，設備狀態(tài)是否正常，從而及早發(fā)現(xiàn)故障隱患。根據維護內容，制定巡檢計劃，定期聯(lián)合相關設備廠家派出技術專家對本項目的系統(tǒng)軟件、設備和線路進行定期的例行技術檢查和設備保養(yǎng)維護，并形成巡檢記錄。（3）運行情況記錄系統(tǒng)運行情況記錄對于系統(tǒng)的管理與故障處理具有重要意義。設備及服務提供商提供各種運行情況記錄表與支撐運維人員，實現(xiàn)對系統(tǒng)運行狀態(tài)進行記錄登記。系統(tǒng)在其運行過程中除了不斷進行大量的管理和維護工作外，還要在相關領導領導的直接主持下，由技術專家、業(yè)務專家，項目組項目總經理、系統(tǒng)維護部代表項目組共同參與，定期對系統(tǒng)的運行狀況進行評審（主要包括審核和評價），為系統(tǒng)的改進和擴展提供依據。（4）售后問題提交1）提交方式在系統(tǒng)試運行期間，項目組系統(tǒng)實施人員將在實時跟進維護。當系統(tǒng)遇到故障時，可以直接當面或通過電話向實施人員提交維護請求。2）故障等級和類型在提交問題時，技術人員大致判定故障等級和故障類型，以利于項目組系統(tǒng)維護部安排合適的維護人數和人員。本系統(tǒng)的故障等級分為緊急、嚴重、一般、輕微四級，分別記為A、B、C、D四級。本系統(tǒng)的故障類型分為網絡與硬件、軟件、數據三類。（5）問題處理1、技術支持：包括即時回答提出的問題，排除用戶的軟、硬件故障，定期回訪以及對設備檢修，提供終身維護等；2、提供巡保養(yǎng)維護服務、提供7×24小時電話服務，故障響應時間小于30分鐘。按照故障程度，一般故障12小時內修復；重大故障24小時內修復，如超過24小時不能修復屬設備問題，由項目中標方免費提供備件，保證系統(tǒng)48小時內恢復正常運行。制定應急保障預案，安排技術員及監(jiān)控設備廠家技術員駐建設單位現(xiàn)場進行維護工作，負責核心設備和易發(fā)生故障設備的現(xiàn)場維護和技術保障。突發(fā)事件期間，做好重要部位的安全保障，增加巡檢次數。保障響應措施（1）售后服務處理流程圖圖4.8-1售后服務流程示意圖（2）故障申告熱線設備及服務提供商各級服務機構建立了"首問負責制"，即不論向哪一級服務熱線或客戶經理提出申告，部門應受理客戶申告，按內部流程組織處理，不得推委、扯皮。可選擇以下任何一種方式向服務提供商申告，直到客戶滿意為止。（3）回訪服務服務提供商提供客戶經理例行回訪服務，專屬客戶經理將周期性登門進行溝通，傾聽對系統(tǒng)的建議和意見，解答客戶的問題，積極處理各類疑難問題。在基礎上，專屬客戶經理將不定期安排技術專家隨行，了解客戶系統(tǒng)的運行情況和業(yè)務使用情況，舉行系統(tǒng)運行分析會等，加強雙方技術人員協(xié)作溝通。（4）網絡運行報告可以通過專屬客戶經理向服務提供商提出申請定期獲取網絡運行報告。接到客戶申請后，服務提供商相應機構將安排高級工程師為采購方展開專項網絡分析，通過提取各種歷史數據，對比各類性能參數，匯總分析后形成網絡分析報告。（5）故障分析服務當系統(tǒng)出現(xiàn)的故障處理完畢后，服務提供商相關部門在三個工作日內向提供故障報告。正常情況下，可在第二個月向提供上個月的電路運行質量報告?？筛鶕崿F(xiàn)情況要求服務提供商提供該報告。故障處理完畢一周內，服務提供商將安排客戶經理上門遞交報告。報告中將就故障原因、處理過程、處理結果、改進措施等進行詳細論述。（7）服務檔案建立完備的服務檔案。系統(tǒng)網絡建設完畢后，服務提供商將對相應的設備進行特殊標記，以保證其相關維護資料的準確性；建立詳細、完備的設備資料檔案和網絡運行檔案，為保證系統(tǒng)穩(wěn)定運行提供良好的物質條件。（8）第三方產品管理信息化網絡建設涉及多種設備、多種信息、多方面的人員關聯(lián)等的整合，為此，運維工作的正常運轉需要服務提供商、業(yè)主和設備生產商、軟件提供商共同協(xié)作。服務提供商在日常的維護工作中將協(xié)調第三方企業(yè)提供專人接口的支撐工作，減少服務提供商與第三方協(xié)作配合問題，縮短整個售后維護歷時，理順售后維護體系。軟硬件選型原則、指標和軟硬件配置清單前端設備選型原則高清攝像頭為加速項目推進、降本增效，本項目擬建設的高清攝像頭均在天翼物聯(lián)集采目錄范圍內選取滿足項目建設和平臺接入要求的產品。經XX公司試點安裝、聯(lián)調、測試，擬采用以下高清攝像頭：（1）200萬像素紅外陣列筒型網絡攝像機品牌：?？低曅吞枺篋S-2CD2T25XYZUV-I3TYWL其他參數：a)通信方式：有線；b)像素：200萬像素；c)傳感器類型：1/2.7"ProgressiveScanCMOS；d)鏡頭類型：4mm@F2.0，水平視場角：87.2°，垂直視場角：46.2°，對角線視場角：104.8°e)補光距離：紅外補光，I3：最遠可達30米；f)防護等級：IP67;g)其他：電源及支架須單獨采購。（2）200萬紅外定焦槍型網絡攝像機品牌：大華型號：DH-IPC-HFW3233M-AS-TYWL其他參數：a)通信方式：有線；b)像素：200萬像素；c)傳感器類型：1/2.8英寸CMOS；d)鏡頭類型：6mm，F(xiàn)1.6，水平54°×垂直29°×對角63°；e)補光距離：紅外補光，最遠可達50米；f)防護等級：IP67;g)其他：標配含支架，支持poe供電（交換機須支持反向供電)，12V電源須單獨采購。（3）其他攝像機其他硬件如需接入，需在集采名單并符合軟件平臺適配性、環(huán)境要求、安全要求等硬件準入標準。門禁設備根據需求調研，A、B、C類機房使用智能門禁，D類機房使用普通門禁。由于接入的門禁設備需根據系統(tǒng)平臺開放、修改協(xié)議，原有門禁利舊的情況下開發(fā)和調試成本較高，因此本項目門禁設備均采用新建模式。智能門禁和普通門禁設備的功能、參數要求如下：（1）智能門禁屏幕：5寸。功能：支持刷卡、刷臉、手機動態(tài)密碼，遠程開門。（2）普通門禁屏幕：小于或等于5寸。功能：刷卡、手機動態(tài)密碼。AI盒子為實現(xiàn)重要機房和設備的1352臺攝像