前言概述
“智慧营区”是一个全新的命题,它是一种以物联网、云计算、北斗系统、下一代通信网络、高性能信息处理、智能数据挖掘等技术,在营区日常办公、营区安全、文化宣传等多方面应用。智慧化营区建设使得未来的营区管理在系统上朝着统一系统平台等方面演进,在业务上朝着统一协作等方面演进成为了可能。它以融合的通信与信息技术为基础,以营区日常办公和安全为中心,以一体化的信息管理为保障,以激励营区管理的持续创新、促进营区现代化建设。
智慧营区云管理系统主要有营区日常管理、车辆管理、营区安全、物联网管理、文化宣传五个模块。营区日常管理包括干部管理、士官管理、家属管理、访客管理、请销假管理等内容;车辆管理包括车辆派遣、卫星实时监控、历史轨迹回放、车载视频回传等内容;营区安全包括各部分队营门、机房、课室监控,以及重难点部位如枪库、油库、保密室等场所的监控和巡查等内容;物联网管理包括水、电、气、环境监测等智能设备的控制和管理以及营产营具等一系列管理;文化宣传包括有干部指挥学习、士兵宣传教育、会议、联络中心等内容。
项目定位
本项目是营区信息化建设的核心平台,方案要充分考虑营区发展现状和未来发展需要,深入了解现有的业务需求、管理服务、技术、功能、性能需求,明确如何依托云计算管理系统构建智慧化营区。明确建设的功能定位与最终达到的建设目标,明确为实现该目标需完成的主要工作和任务。
项目建设目标
第一,建设智慧化营区网络平台,打造一张多功能网络,对营区内的数据进行实时采集和汇聚;
第二,建设智慧化营区办公管理平台,以信息为纽带,以整合为手段,在充分发挥各个子系统功能的基础上,加强各单位之间的互补与协作,从而最大限度地释放该业务管理平台的综合功能;
第三,建设先进的云计算平台,为营区业务办公提供一站式的云计算解决方案,如桌面云、云数据中心、云存储、云安全、网络虚拟化等云应用。
项目建设价值及意义
物联网和云计算代表下一代信息化建设的方向,必将为实现安全、高效、便捷、绿色的智慧化营区建设提供巨大的能量,对推动整个全军信息化建设、提升部队战斗力发挥巨大作用。
智慧营区云管理系统的建设具有以下意义:
有效消除部队各单元之间的空间距离障碍,实现部队营区服务的统一集中管理,实现营区安全防范工作的信息化、高效化和节能化。
实现了后勤保障体系以及被保障单元之间连成—体化的保障网络,提高规范化管理水平,不断增强综合保障能力,确保人员及器材装备处于良好的执勤战备状态。
实现营区管理的飞速发展,真正将人、车、物智能管理起来,它必将成为部队营区建设现代化水平的重要标志。
实现了办公自动化、信息管理电子化系统,为营区提供现代化的日常办公条件及丰富的综合信息服务,实现人员管理自动化和办公处理自动化,以提高办公效率和管理水平,实现各部门日常业务工作的规范化、电子化、标准化,最终实现"无纸"办公。
智慧营区云管理系统建设基本原则
智慧营区云管理系统是营区信息化的核心平台,方案要充分考虑营区建设的现状和未来发展需要,并在深入了解营区的业务需求、管理服务、技术、功能、性能需求的基础上,再提出依托云计算打造智能型的营区管理平台的解决方案。平台须采用成熟的云计算技术或产品,保证平台的先进性、安全性、开放性、易用性、可靠性、兼容性、可升级、可扩充,确保系统实施和服务的效率和弹性。
先进性的原则
本项目建设以先进的营区信息化服务理念为核心,依托云计算、物联网、通信网等先进技术的应用,实现资源的高度整合与统一调度,避免了各自为阵的重复建设和资源的浪费,从而全面实现营区信息化和绿色营区的良性循环发展。
安全性的原则
为了营区安全保密需要,必须防止把系统的机密文件泄露,避免受到异常攻击或敏感数据窃取,必须采取某些安全保密措施,这些措施的有效程序就是系统的安全性或保密性。平台系统应能充分考虑用户数据的安全,应能主动评估业务系统的安全状况及提供弥补措施,并提供各种操作行为的可回溯能力。系统应该保证物理和管理上的双重安全。
开放性的原则
考虑到系统未来和四总下发的系统之间的一个融合,建设必须避免信息标准不统一造成信息孤岛。项目建设应拟订开放的统一采集标准,遵循总体的开发规范和接口标准,同时考虑和各个方面现有部分信息化应用系统的接口。系统和数据标准能够实现和国际的信息平台进行交换,数据格式符合军队信息规范标准,满足系统持续发展的需要。坚持开放性原则,保证可与后期业务系统上线充分兼容。
易用性的原则
系统的易用性体现在“易理解”、“易学习”、“易操作”,所有的业务功能界面风格和操作流程需保持一致,在操作过程中对各种状态和结果进行及时的反馈和提示,系统具有回退和纠错功能。
可靠性的原则
应采取各种必要技术措施,保证系统在一定时间内、在一定条件下无故障地执行指定功能。提高系统的可靠性,要从系统的设计着手。例如可以采用冗余贮备,使系统即使有个别元器件或设备出现故障仍能正常工作。如果设计得合理,在成本增加不多的情况下,使系统的可靠性有很大的提高,是完全值得的。
扩展性的原则
各平台应具备良好的扩展能力,满足数据中心长期发展的要求。根据业务的发展预测,平台系统定期按照适度预留的原则进行建设,能在规定时间内快速响应新的用户,新的业务的新增要求。
智慧营区总体设计思路
星际无线&华为“智慧营区”平台架构介绍
星际无线&华为智慧营区云管理平台基于“云-管-端”的未来信息服务的新架构,不仅是一种网络架构,而是新的信息服务平台架构,同时也是新的发展战略的体现。华为智慧营区系统架构如图所示:
智慧营区系统架构
平台是未来信息服务架构的核心,华为云平台彻底抛弃了过去传统烟囱式的业务垂直系统,通过虚拟化、资源共享大大提升了资源的利用率和资源使用的弹性,从而大大提升业务部署速度和处理能力。
华为提出基于ALL IP的Single网络,从根本上解决技术演进和流量增长带来的成本问题;为了实现管道智能化,华为推出了可视运维的解决方案,实现ALL IP网络全网资源的均衡分配,IP动态路由的端到端管理,业务的电信级监控,承载业务品质的端到端可视,保障新业务应用的成功。
智慧营区管理系统采用云计算具有如下好处:
A.快速系统建设和业务部署
系统中的软、硬件完全解耦,兼容通用硬件服务器。
可灵活扩容,不受硬件平台限制。
B.设备资源池化,共享资源,提高资源利用率
各种零散的设备集成统一的资源池,实现资源共享。
整体资源规划不需要按需求峰值叠加设计,减少初期投资和资源闲置浪费。
系统扩展能力强,根据业务量弹性扩容,适应业务系统突发需求。
设备资源平均利用率可以从10%提高到60%以上。
C.方便灵活管理及使用
不受地域的限制,可以在不同的办公位登陆自己的虚拟机。
针对虚拟数据中心的诉求,可以灵活分配不同配置的虚拟机。按需分配,灵活配置.
针对不同职责的干部,可以灵活分配不同配置的虚拟机。
D.集群化、自动化运维
云解决方案将网络运维模式从人工运维管理转变为自动化运维管理,运维效率提高10倍以上,可大幅提高运维服务质量。
自动监控资源和系统运行状态,对系统故障和潜在风险实时报警、自动恢复。提高业务系统的可靠性。
系统根据资源分配策略,自动配置、动态调整资源。
可以快速自动加入新资源,搬迁已有资源。
存储设备、主机、数据库分别管理,改变看护式运维局面。
E.全分布式存储
传统的存储设备利用率低、容量小、存取速度慢、设备不能重用、安全性低。云解决方案基于分布式存储技术,具有大容量、高扩展性,存取速度快的多方面优势,并可以很好的利用现有的存储设备,同时有能保证以后存储设备的自动扩展。
大容量。集中式存储空间目前只能做TB级别的存储空间,无法满足大容量空间的业务需求。而分布式存储可以达到PB或以上级别。
高扩展性。传统集中式存储扩展难。采用分布式存储可根据应用实际情况,直接给数据中心平台上加入存储服务器。系统将会自动检测到存储容量的增加,并自动融入存储资源池中供业务系统直接使用,操作方便快捷。
快速存取。系统性能和效率根据集群规模呈线性增长趋势,最高能够达到网络线速,超过现有任何一种存储设备的速度。
高存储设备利用率。现有存储设备无法共享,存储设备利用率低。分布式存储支持存储池,可充分利用现有存储设备资源,提高存储利用率。
低成本。分布式存储可以采用大量廉价的存储设备提供高性能、高可靠的海量存储。
系统逻辑架构设计
基于对营区业务需求的分析,结合华为在云计算领域“云-管-端”成熟的理念和技术,遵从先进性、开放性、易用性、可靠性、兼容性、安全性、扩展性等原则,有针对性的梳理出了智慧营区的逻辑架构设计,采用1+N的解决方案,即1个云平台+N种应用的模式,如图所示:
一个云平台+N种应用的模式
这种1+N的解决方案可以实现对硬件平台和软件业务的快速部署,从而达成一站式、低成本、高性能IT资源的云计算数据中心。
系统物理架构设计
基于华为自研云平台,提供面向营区需求的多个云应用解决方案,包括桌面云、媒体云、存储云等。下图结合营区信息化的要求以拓扑的方式描绘了智慧营区的物理架构设计。
营区信息化拓扑
智慧营区承载网络平面按照业务划分为四个逻辑网络域平面,四个网络域平面逻辑分别为:
A.核心承载网络域:以统一的IP技术将通信、计算、存储等基础资源融合成IP融合基础设施,形成云数据中心的基础设施,依托先进的虚拟化技术为业务系统提供的基本资源服务。
B.终端用户接入域:为终端用户提供多种方式的业务接入功能。
C.安全管理域:网络安全管理、准入、行为控制及补丁分发管理遵循营区信息安全标准,对管理的盲区进行监控,成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
D.云计算数据中心域:
业务网络:虚拟机的接入网络平面;
管理资源池:用于提供云平台管理服务器同云平台宿主服务器之间的通讯,同时为提供物理服务器和虚拟机的带外管理提供通讯通路;
存储平面:提供服务器和磁盘阵列之间的专用数据通路,并且为存储的备份提供网络连接;
解决方案详细设计
云计算基础架构
基于智慧营区云管理平台的建设思路,因此如何采用云计算技术建立动态的IT资源平台,并使之具备快速IT服务交付能力,进而通过动态的IT架构来应对营区业务发展的需要;将应用和业务从底层的IT资源中分离出来,提高系统的可移植性,并能够充分利用更加优化的系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。
为此,我们建议由计算资源池、存储资源池、网络资源池、业务应用程序以及运维管理平台共同组成。其组成框架如图所示。
业务应用程序及运维管理平台
网络资源池
A.网络分层架构
本方案数据中心网络架构采用扁平化二层网络架构(核心层、接入层),使用网络虚拟化技术,核心交换机承担着核心层和汇聚层的双重任务。如图5所示。
扁平化方式降低了网络复杂度,简化了网络拓扑,提高了转发效率。二层网络架构中,采用虚拟集群和堆叠技术,解决链路环路问题,提高了网络可靠性。核心交换机设置VLAN的IP地址,接入交换机划分VLAN,做二层转发。
网络分层架构
核心层:采用CSS虚拟集群技术,将两台核心交换机虚拟为一台设备,设备背板共享,交换能力提高。
接入层:采用堆叠技术,将两台或多台接入交换机虚拟为一台设备,设备背板共享,交换能力提高。
核心交换机和接入交换机之间的四条跨框链路捆绑为一个Eth-Trunk组,网络架构变成树型模式,不需要启用STP协议,从根本上解决环路和spanning-tree收敛问题。扁平化二层网络架构设计的主要优势在于:
简化网络管理,降低维护管理成本,能够减少网络中的交换机和链路数量,从而降低前期购置成本和后期维护成本。
网络性能提高,支撑高性能的服务器流量。通过减少交换层数量,流量需要穿越的交换机数量也会减少,从而可以缩短延迟,提高应用性能。
网络利用率提高,支撑云计算的资源池动态调度,云计算要求对于计算资源池和存储资源池任意按需调配。要求网络能够适应这种大范围的调度。
网络可靠性提高。减化的网络通过虚拟集群和堆叠技术,可以消除网络中的可靠性隐患,无需运行spanning-tree协议,消除网络的故障收敛时间,从而提高网络可靠性。
绿色环保。简化的网络还能降低电力和冷却需求,这对数据中心网络尤为重要。
B.功能分区架构
云计算的大规模运营,给传统网络架构和传统应用部署都带来了挑战,新一代网络支撑这种巨型的计算服务,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,动态、弹性、灵活,并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点:
传统网络的复杂性在实际的运维中,管理人员承担了极其繁冗的工作量;
云计算平台下多虚拟机部署在同一台物理服务器上运,服务器的利用率从20%提高到80%,服务器端口流量大幅提升,对网络性能提出更高要求;
云计算平台中,虚拟机在物理服务器之间进行迁移,为了避免虚拟机迁移后路由的震荡和修改网络规划,迁移通常只在在二层域进行,因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。
通过分析云计算对传统网络基础架构带来的挑战,我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络,从而满足云计算给网络带来的压力;二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。
总的来说,为满足云计算的业务要求,统一的基础网络要素必然包括:高性能交换、虚拟化应用、透明化交换。
C.网络虚拟化
网络服务虚拟化
为满足不同分区的安全隔离要求,在云计算平台的核心部署有核心交换机、防火墙、IPS、负载均衡器等设备。在云计算平台下,通过网络服务虚拟化,统一建设一套性能强大、可扩展性良好的网络服务设备,满足为不同分区提供安全、应用加速等服务。
防火墙等设备通过虚拟化技术多实例,每个模拟出的虚拟设备都拥有它自身的软件进程、专用硬件资源(接口)和独立的管理环境,可以实现独立的安全管理界限划分和故障隔离域。有助于将分立网络整合为一个通用基础设施,保留物理上独立的网络的管理界限划分和故障隔离特性。如图所示:
网络的管理界限划分和故障隔离特性
UVP虚拟交换机技术
通过虚拟网桥实现虚拟交换功能,虚拟网桥支持vLANtagging功能,实现vLAN隔离,确保虚拟机之间的安全隔离。
虚拟网桥的作用是桥接一个物理机上的虚拟机实例。虚拟机的网卡eth0,eth1,…,称为前端接口(front-end)。后端(back-end)接口为vif,连接到Bridge。这样,虚拟机的上下行流量将直接经过Bridge转发。Bridge根据mac地址与vif接口的映射关系作数据包转发。
不同局域网的虚拟机之间的网络是隔离的
如图7所示,处于不同物理服务器上的虚拟机通过vLAN技术可以划分在同一个局域网内,同一个服务器上的同一个vLAN内的虚拟机之间通过虚拟交换机进行通信,而不同服务器上的同一vLAN内的虚拟机之间通过交换机进行通信,确保不同局域网的虚拟机之间的网络是隔离的,不能进行数据交换。
计算资源池
通过利用服务器虚拟化中CPU、内存、IO资源的动态调整能力实现对业务应用资源需求的动态响应,提升业务应用的服务质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此,服务器虚拟化技术是新一代数据中心最理想的解决方案。
服务器虚拟化架构设计是服务器虚拟化技术运用的核心,直接决定了整个服务器资源体系对应用系统的承载能力、运行效率以及可靠性。服务器虚拟化架构如所示:
服务器虚拟化架构
为了提高资源利用率,华为虚拟化平台UVP提出如下架构:
华为UVP虚拟化平台
华为UVP虚拟化平台主要由Hypervisor和Domain0组成。Hypervisor是子系统的核心,它介于硬件和操作系统之间,负责为上层运行的操作系统提供虚拟化的硬件资源,负责管理和分配这些资源,并确保上层虚拟机之间的相互隔离;Hypervisor向Domain0提供了一个抽象层,其中包含了管理和虚拟硬件的API。Domain0是一个特权虚拟机,内部包含了真实的设备驱动(原生设备驱动),可直接访问物理硬件,负责与Hypervisor提供的管理API交互,并通过Agent接受管理系统的管理指令,实现对其它虚拟机(DomainU)的管理。
为了提升I/O虚拟化的性能,子系统采用分离设备驱动模型实现I/O的虚拟化。该模型将设备驱动划分为前端驱动程序、后端驱动程序和原生驱动三个部分,其中前端驱动在DomainU中运行,而后端驱动和原生驱动则在Domain0中运行。前端驱动负责将DomainU的I/O请求传递到Domain0中的后端驱动,后端驱动解析I/O请求并映射到物理设备,提交给相应的设备驱动程序控制硬件完成I/O操作。
UVP还包括一系列的外围工具,包括P2V/V2V工具、备份/快照工具、镜像制作工具等。华为UVP虚拟化平台定位于构建高竞争力的虚拟化平台,通过对开源xen进行安全加固、功能扩展、性能优化和可靠性保障,打造安全、高效、稳定、开放的虚拟化平台。
应用服务器可部署在虚拟机系统(VM)和物理PC服务器。当应用服务器负载接近单台物理服务器性能时,可直接部署于物理服务器,一般应用服务器部署在虚拟机上。
根据应用系统的可用性要求等级不同,在虚拟机上实现高可用的方式有以下两种,虚拟机热迁移,虚拟机HA。
虚拟机热迁移用于满足计划内停机维护操作。当服务器需要停机执行维护操作时,可通过虚拟机热迁移功能,将某一物理服务器上的虚拟机动态迁移至另一物理服务器。动态迁移过程,业务不中断,不影响用户的正常访问。
虚拟机HA用于满足一般应用服务器计划外宕机。当发生服务器故障时,通过虚拟机HA,虚拟机可在其他的物理服务器上自动重启,实现故障转移。此过程会引起短暂业务中断,业务中断时间由虚拟机操作系统在另一物理服务器上启动的时间及应用系统启动的时间决定。通过虚拟机HA比传统群集较少一半的服务器数量,在保证了一定高可用的同时提高资源利用率。
为了能够提供具有更高可扩展性和可靠性的应用平台,并能够在服务器集群中智能地分配负载,从而确保客户最大限度地发挥其应用服务器投资价值,结合硬件负载均衡设备,为部署在应用服务器上的服务和应用提供最佳的可扩展性和性能。
存储资源池
存储系统的性能和可靠性是云计算平台健壮性的基础。在云计算平台中,存储子系统需要具有高度的虚拟化、自动化和自我修复的能力。存储子系统的虚拟化可兼容不同厂家的存储系统产品,从而实现高度扩展性,能在跨厂商环境下提供高性能的存储服务,并能跨厂商存储完成如快照、存储分层、精简配置等重要功能。自动化和自我修复能力使得存储系统可以根据自身状态进行自动化的资源调节或数据重分布,从而保持性能最大化、数据的最高级保护,保证了存储云服务的高性能和高可靠性。
通过新增光纤磁盘阵列及虚拟带库,组成智慧营区云管理系统的存储子系统。实现云计算平台存储资源的集中存储、统一管理。如图所示。
云计算平台存储资源的集中存储、统一管理
在未来云计算扩展中,如果按区域或功能划分多个独立的云计算数据中心,存储云也可以灵活地划分成多个子存储云,分别分配给不同的云计算数据中心。保证的不同的数据中心数据的安全性与隔离性。
存储云中数据主要分为三个区:
第一区——映像文件存放区:主要用来保存云计算平台中的分配的虚拟机的映像数据文件,这些映像是在云计算平台的数据中心内是透明且可见的,以确保云计算平台中每个运行的云都具FailOver(失败切换)功能和按需在线迁移功能;
第二区——功能服务器模板区:主要用来集中保存功能服务器模板,用户可以通过运维管理平台直接从模板库中方便选取功能模板,并在云计算平台中部署,部署后的云的映像文件放入第一区中;
第三区——业务数据区:主要用来进行实际应用数据存放,为实际云计算提供扩展存储功能,如做为操作系统的扩展存储文件系统,或数据库数据存放系统,或应用计算用数据区,构建应用HA共享数据区等等。
A.存储系统高可用设计
存储系统的高可用设计包括磁盘冗余、存储设备控制器冗余、存储链路冗余。
首先是磁盘冗余,在本方案采用RAID0+1和RAID5结合的方式。对需要高磁盘性能的业务数据区采用RAID0+1,对应功能服务器模板区采用RAID5。两种不同级别的RAID均能保证任意一块磁盘的损坏都不会影响整个平台的运行及数据丢失,同时保证数据在读写的时候以并行方式进行存取,从而保证高性能。
存储设备控制器冗余,所有存储设备均实现双控制器冗余,单台存储设备任一存储控制器故障均不影响业务运行。为保证存储系统的读写能力,所有存储存储的控制器均工作在双Active模式。
存储路径冗余,最可靠的方法是采用双链路方式进行连接,新增两个光纤交换机,服务器通过两块HBA卡分别连接到2台交换机,同时通过多路径软件系统设置MultiPath多路径方式,工作在链路负载均衡模式。任一光纤交换机故障,任一服务器HBA卡故障等原因导致的链路失效,也不会影响业务数据的读写,从而保证了存储及数据的可靠性。
B.备份系统及容灾规划
备份系统是保证智慧营区云管理系统数据安全性的基础,备份系统能够防止由于逻辑错误造成的数据丢失。为维护云计算平台业务数据的安全,需要考虑在日常工作中对业务数据进行备份。备份数据涉及操作系统、业务数据和虚拟机映像文件三方面。总体数据量高达几十TB,数据的安全性和可靠性成为了系统建设的核心问题。
云计算平台资源池在备份管理、设备利用率、数据保护策略等方面需要进行统一规划与设计,针对备份的不同需求,需要一套全面、高效的数据备份恢复系统来保障业务系统安全可靠运行,实现备份系统的统一管理、维护,达到备份架构统一、集中管理、节约成本的目的。
基于上述目标和规划,云平台资源池的备份系统的总体要求确定如下:
采用统一备份架构和备份软件,统一数据保护策略,对应用系统数据保护机制进行统一制定与部署,构建高效可靠、技术先进的数据备份系统,实现业务数据的安全保护。
不同数据根据数据的特点采用不同的备份方式、备份恢复策略,对于核心的数据,要求进行快速备份和恢复,从而对生产系统的影响减到最小。对于其他类型的数据需要尽量减少对生产系统的干扰。本期云平台的备份系统总体框架如图所示:
云平台的备份系统总体框架
对于x86虚拟化系统、核心数据库、大数据量的文件系统,将采用Lan-Free的备份方式,通过SAN网络备份至虚拟带库中。针对其它及没有连接在SAN环境中的服务器,采用基于网络的数据备份方式,将这部分数据通过网络备份到虚拟带库中。
虚拟带库的访问与磁带类似,决定其天生具备免疫能力。用户不能直接访问磁带,被病毒感染的文件也不会感染磁带存储数据,确保让备份的数据更安全可靠。同时,虚拟磁带库采用基于RAID保护的磁盘阵列,提高了可靠性;虚拟带库通过备份管理软件可统一管理。其兼容性和集成性好,无需改变备份策略。在SAN环境下,轻松实现设备共享、易于管理和使用;作为间接磁盘备份设备,在后期维护上,由于减少了物理磁带库的诸多机械故障,其维护成本也更加低廉,扩容也更加方便。
C.备份与恢复策略设计
在云平台资源池统一备份架构下,备份方式选择由备份数据类型、备份数据量大小进行选择。
备份窗口定义了允许发起备份任务的时间段,为保证备份期间对生产的影响最小,总体原则上备份发起时间尽量控制在业务系统运行空闲期间。此期间,业务系统使用处于相对空闲期,空闲资源较多,能满足备份对系统资源占用的要求。
根据备份数据类型不同,主要分为虚拟机操作系统映像文件备份、应用系统业务数据备份、功能服务器模板数备份,三种类型的备份策略如下:
虚拟机操作系统映像文件备份,该部分数据在虚拟应用服务器安装配置后不会经常发生变化,因此建议采用全备份方式;正常情况下,备份周期每个月备份一次,保留2个备份版本;在系统补丁升级或业务系统更新时可以单独执行备份。
应用系统业务数据主要有应用服务器应用数据或数据库数据,该部分数据是生产的核心数据,需要以最高的保护级别对待,且数据变化频繁,建议采取全备份+增量备份方式+定期归档,备份周期设计为1周执行一次全备份,每天执行增量备份。数据备份至少保留2个备份版本;此类业务数据集中存放在SAN磁盘阵列中,为使用LAN-free备份架构提供了条件,故设置使用LAN-Free方式备份以提供备份效率,缩小备份窗口。
功能服务器模板数据:功能服务器模板数据存储在SAN磁盘阵列中,该文件一般不发生变化,采用全备份方式,保留不超过2个备份版本;
D.数据恢复策略设计
数据备份的目的是为了系统故障时的恢复。但当需要启动数据恢复操作时,一般都是系统发生故障或者灾难性事件,一次事故的处理往往需要一个完整应急管理流程,从决策、响应、判断、恢复、验证、危机处理等等,而数据恢复仅仅是用来修复损坏的数据或者运行环境的技术手段。这里仅从恢复操作的角度讨论恢复策略,并且假定只有从备份数据中进行数据恢复的一种手段了。
恢复哪些数据,是系统文件、数据文件,不同数据的丢失,在处理方式上是不同的。如果仅通过部分数据的恢复就能解决问题,就不要作完全数据恢复,因为对一个系统完全的完全数据恢复是复杂的、耗费时间的。
选择恢复方式,在确定了需要恢复哪些文件之后,就要根据备份的数据选择相应的恢复方式,例如,选择全备份+增量备份恢复,从逻辑备份中恢复。
恢复完成后验证是否成功,在恢复完成后需要业务系统管理人员对系统的可用性和数据的准确性、完整性进行验证,如果没有作到完全的恢复,有哪些数据需要手工调整、补充,尽快启动后续工作。
恢复策略同备份策略从某种意义上将也是密切相关的,不同的备份方式决定了恢复的方式。同备份操作一样,恢复操作最好也在备份管理软件的监控下自动完成,避免手工操作造成失误,影响恢复时间。几种常见的数据恢复流程:
主机系统故障恢复
当业务主机应用系统出现故障时,通过主机的集群系统可以从一个主机上切换到另一台主机上。当失效的主机修复后,只要加入到原有的集群环境就可以恢复到原先系统的运行状态。
数据库记录丢失
如果是数据库的部分表或记录受损,只需将前某一时刻点的数据逻辑快照提取出来(可以在本地也可以在异地),分配给原有主机,将数据库切换到这一时刻点的版本,然后导出所需的表或记录,再将数据库切换到当前数据状态,导入前一版本导出的数据,以恢复数据库受损的部分数据。
文件丢失的恢复
如果意外删除文件,可以在线将任意一个逻辑快照(历史点)提取出来,分配给所对应的主机,或其它同平台的主机,这份逻辑快照在主机看起来如同是前某一时刻点版本的所有数据。
利用上述这一功能,如需要恢复部分受损的文件,只需在线的将前某一时刻点版本数据的文件通过主机直接拷贝到当前磁盘中,以恢复受损的文件。
整个站点失效下的恢复
当生产站点全部受损时(如停电、自然灾害等),利用在容灾中心的备用系统,先将相对应的应用生产磁盘卷提升(promote)出来,利用灾备中心的系统对其验证可用后,使其能直接通过FC交换机分配给应用系统主机,直接将主机的应用环境切换到故障系统的配置状态,启动备用主机和数据库就可以恢复系统的生产。
云计算平台
我们在设计系统平台时必须同时考虑如何减轻未来应用开发、部署时的难度,降低项目后续的风险、提高项目成功的可能性。
构建一个开放的、可定制的云计算平台是云管理系统未来开展新业务的一个关键。云计算平台的构建可以加快业务应用的发展,尤其是加快业务系统的开发速度。
未来的业务系统大多是采用B/S架构的Web应用,而且这些具有业务敏捷、不断变化的特点,所以我们可以对云计算平台的要求总结为以下几点:
需要将应用程序的不同功能单元通过相互之间定义良好的接口和契约联系起来;
接口必须采用中立的方式来定义,并且独立于实现服务的硬件平台、操作系统和编程语言;
构建在这样的平台上的应用(服务)可以一种统一和通用的方式进行交互。
鉴于这样的需求,我们认为在智慧营区云管理系统平台构建时,应该采用SOA的架构理念,通过ESB(企业服务总线)提供的流程和数据交互能力,通过WebService的接口方式(如XML)为未来的应用和业务软件提供数据访问接口。
这是因为传统的架构,软件包是被编写为独立的(self-contained)软件,即在一个完整的软件包中将许多应用程序功能整合在一起。实现整合应用程序功能的代码通常与功能本身的代码混合在一起。我们将这种方式称作软件设计“单一应用程序”。与此密切相关的是,更改一部分代码将对使用该代码的代码具有重大影响,这会造成系统的复杂性,并增加维护系统的成本。而且还使重新使用应用程序功能变得较困难,因为这些功能不是为了重新使用而打的包。
软件架构下系统之间互联方式
上左图显示的是采用传统软件架构下,系统之间实现互联的方式,上右图显示的则是通过SOA的架构理念,通过统一的数据交换接口来实现业务之间的数据传输和通信。二者之间的繁简程度一望可知。
对于本项目未来的影响是系统紧耦合,实现数据共享和业务互联的成本很高。
而采用SOA架构方式则可以将单个应用程序功能彼此分开,以便这些功能可以单独用作单个的应用程序功能或“组件”。
ESB服务总线建议
A.ESB服务总线架构
企业服务总线(EnterpriseServiceBus,ESB)的概念是从SOA体系架构发展而来的。SOA描述了一种IT基础设施的应用集成模型,其中的软构件集是以一种定义清晰的层次化结构相互耦合,其中,一个ESB是一个预先组装的SOA实现,它包含了实现SOA分层目标所必需的基础功能部件。如图13所示。
SOA体系架构
ESB是传统中间件技术与XML、Web服务等技术相互结合的产物,用于实现业务应用不同消息和信息的准确、高效和安全传递。ESB的出现改变了传统的软件架构,可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现不同服务之间的通信与整合。
各应用之间不直接进行通讯,而是通过ESB提供的、基于WebService的服务接口进行传输。如图14所示,应用1需要向应用2传送消息和数据时,先通过预定的Webservice接口将数据发送到ESB总线,总线流程驱动会根据业务流程定义将数据通过另外一个WebService接口发送至应用2,同时通过ESB的消息通知机制分别告知应用1和应用2该事务的状态和结果,以保证事务的及时性和完整性。
基于WebService的服务接口进行传输
由于服务接口采用WebService机制,即应用与ESB之间的数据传递是采用开放的XML格式,因此同一个接口服务可以供很多应用调用以完成同样的功能和业务;同一个应用也可以根据业务需要调用不同的服务接口以完成不同的功能。
ESB除了提供服务注册、消息通知机制以外,还提供相应的业务流程定义工具、事务监控管理工具。
通过业务定义工具,可以驱动数据从一个环节流动到下一个环节。环环相扣,组成一个完整的事务;事务监控管理工具可以对ESB中传递的数据和事务进行监看和管理,在调试过程中可以方便的分析出问题的原因所在。
未来的新开发业务,全部采用基于SOA的架构,以满足数据交换的需求;
对于现有业务,可根据实际需要采取部分改造、部分保持现有架构的思路;对现有业务系统进行改造时,建议只对数据输入、输出接口按照预定的WebService接口方式进行改造,内部的数据处理逻辑则可不调整。
数据库设计建议
一个完整的关系型数据库系统,包括数据库软件RDBMS,数据库实例和用户运行系统时产生的应用数据。数据库软件系统RDBMS是一段具有信息存储,检索,修改和共享功能的程序。在数据库服务器上,基于数据库软件系统平台,可以运行一个或者多个数据库实例。用户在数据库实例中可以处理自己的数据。
数据库的体系建设在数据中心解决方案中,有着非常重要的地位。根据以往的经验,数据库管理是“三分技术,七分管理”,是软件,硬件,和管理的完整有机的融合。数据库部署,数据库管理涉及到的硬件包括:服务器,存储,网络等,涉及到的软件包括:操作系统,虚拟化平台,集群软件等。此外,数据库的运维,监控,调优,MA,安全又涉及到IT治理,信息可靠,信息安全等领域范畴。这部分内容,是软性管理的要求,对数据库系统整体的运行效果却起到了70%的影响。
数据库管理需求的技术关键点,是高可靠,高安全和可扩展性。在数据库架构设计阶段,就需要从这三个技术角度进行考虑。
数据库高可靠性的架构设计,是从数据库服务器可靠性,数据库存储介质可靠性,数据库机房节点可靠性,数据库人为误操作恢复等几个方面进行考虑和设计的。详细的内容请参考解决方案高可靠章的数据库可靠性设计部分。
数据库架构对于高安全的设计,是从数据库文件安全,数据库备份安全和数据库客户端安全三个角度进行考虑。详细内容,请参看数据库安全设计章节。
数据库架构对于扩展能力的设计,是从按需扩展处理并发能力的角度设计。详细内容,请参考解决方案高扩展中的,数据库可扩展性设计部分。
在本方案中,我们建议选用已经得到广泛应用和验证的Oracle11G作为数据库平台。
A.数据库部署设计
数据库部署方式,目前有三种选择,分别是数据库系统独立部署,数据库服务器云内部署,数据库全云部署。数据库系统独立部署,是指整个数据库系统部署在独立的服务器和存储设备上,通过数据库自带的集群系统进行数据库服务器双机热备。数据库服务器云内部署,是指将数据库系统中的数据库服务器软件系统,数据库实例都部署在云上,将数据库存储的用户数据部署在独立的存储设备上。数据库全云部署,是将整个数据库系统,部署在云内。这三种部署模式,有各自的特点,和适合的场景。
本方案采用数据库系统独立部署方式。数据库系统独立部署于物理的数据库服务器上,通过网络监听接受客户端,应用服务器或者WEB服务器的访问。客户端,应用服务器或者WEB服务器可以部署在云平台上。
数据库系统,数据库用户数据文件,全部部署在物理机上,再通过数据库监听程序,接受来自应用服务器或者客户端的数据访问请求,应用服务器,WEB服务器可以部署在云里。它的进程管理,存储管理,都是通过数据库引擎,直接调度CPU,内存和磁盘处理。
数据库系统采用集群系统,用户数据存储在共享存储上,几个数据库服务器都可以对其进行读写操作。如果一个数据库物理服务器宕机,在该服务器上的数据库连接,会被接管到另外一个数据库物理服务器上,用户只会感到有一定的延迟,不会需要重新连接系统,或者丢失数据。如果是数据库单机系统,数据库物理服务器宕机,将会造成业务中断。
这种独立部署于云外的优势,可以利用数据库服务器自身的机制,可以实现数据库的高可靠性,高性能和扩展需求。从可靠性的角度,数据库的心跳监听,失败接管,都是在物理机上实现。不会由于虚拟化层造成的延迟,让心跳监听误以为对方节点宕机,错误接管服务器连接。
从性能的角度分析,我们认为这种部署方式,可以避免由于虚拟化软件的资源调度,造成性能额外开销。经过我们的测试,在虚拟化平台上运行ORACLE,用相同的压力测试,性能是物理机上的70%左右。在大并发的情况下,数据库的瓶颈主要是在I/O上。由于虚拟化I/O调度开销的原因,物理机上的ORACLE性能更有优势。
从数据库的扩展性分析,数据库可在一个集群中运行于两个或更多个系统之上,并可以同时访问一个共享数据库。这使得一个数据库系统可以跨越多个硬件系统,同时对应用程序而言仍是一个统一的数据库系统,从而为您的应用程序带来出色的可用性和可伸缩性优势。
B.ORACLE集群架构设计
本方案数据库采用ORACLE数据库集群部署模式,从而获得数据库的高可靠性。
Oracle真正应用集群是Oracle数据库的一个选件,在Oracle9i中首次引入。Oracle真正应用集群现已发展成一项成熟的技术,其用户过千,遍及各个行业,涉及各类应用程序。OracleRAC为伸缩应用程序以超越单个服务器的能力限制提供了一个选择。这使得用户可以利用低成本的普通硬件来降低他们的总拥有成本,并提供一个可伸缩的计算环境来支持其应用程序负载。
一个ORACLERAC数据库就是一个集群数据库。集群就是一组相互独立的服务器相互协作形成一个整体的,单一的系统。一旦发生系统失败,集群对用户保证最高的可用性,保障访问关键是业务数据不丢失。像额外的节点,互连接和磁盘这些冗余的硬件设备保证了集群能够提供高可用性。这样冗余的硬件架构可以避免单点故障和提供杰出的错误恢复能力。数据库集群架构如图所示:
数据库集群架构
通过使用ORACLE集群,我们可以把Oracle实例(运行在服务器上的用户访问数据的进程和内存结构)与Oracle数据库(在存储设备上的实际数据的物理结构,也就是通常所说的数据文件)进行分离。一个集群数据库是一个可为多个实例访问的单一数据库。在实践中,每个实例在各自的服务器上运行。当需要添加额外的资源时,可以在不停机的情况下很容易地增加节点和实例。一旦新的实例启动,应用程序通过服务可以马上利用到,而无需修改应用服务器。
C.数据库安全性设计
数据库安全是数据中心安全的重要组成部分。我们从数据库安全配置和数据库安全功能两个维度,确保数据库的安全。
D.数据库安全配置
我们提供透明的,标准的数据库安全配置技术,从网络传输,强认证到加密一应俱全的安全解决方案,从数据文件到数据库备份到数据库客户端,都有相应的加密技术支撑。
数据库数据文件加密
透明数据加密使用的是工业标准加密算法,内置管理方式对敏感应用数据提供透明加密。和第三方数据库加密不同的是,加密过程不需要数据库触发器,视图或者应用。透明数据加密在数据写入磁盘之前,自动加密并且在数据从应用中读出之前自动解密。加密和解密的过程对于应用和用户来说,完全是透明的。所以,数据库数据文件加密,也被称为TDE:透明数据加密。这一功能,已经包含在ORACLE10G中了。
数据库备份加密
用户希望简单化的加密他们的备份数据,使用数据库的备份工具,配合其高级安全选件,完成加密备份。加密备份能够确保数据即使落入敌手或者丢失也不会造成恶劣后果。而且,在数据库恢复时,数据可以自动得到解密。备份加密的功能,ORACLE自身就可以实现。
数据库客户端加密
高级安全保护隐私。确保从数据库客户端,通过网络传输数据时,不会因为黑客抓取其中的数据包而造成泄密。所有到数据库的合法连接都被加密了。业务数据可以选择使用数据库高级加密内部算法,也可以使用SSL来保护数据。有些典型情景下,尤其需要网络级别的加密,比如,数据库服务器在防火墙后面,而用户访问服务器是通过客户端服务器的应用,或者在DMZ中的应用服务器和数据库之间的连接,必须被加密。
对于ORACLE数据库来说,使用Oracle高级安全的内部加密和数据一致性算法不需要PKI部署。在任何一个版本的数据库中,新的加密算法都在得到工业标准认可后被使用。最新的版本是高级加密标准版(AES),比DES更加的安全和性能优越。完整的加密和数据完整性算法是AES(128,192和256比特),3DES(2到3个KEY,168比特),RC4(256比特)或SHA1。
E.数据库安全功能
数据库安全功能,是指数据库具有包括账号口令,认证授权,权限设置,日志记录等功能,通过数据库的这些功能,实现数据库安全管理。
账号口令功能包括可以对登录到数据库管理系统的用户(含管理员、审计员等)进行用户标识和用户鉴别,在每次用户登录系统时,采用强化管理的口令或具有相应安全强度的机制进行鉴别,并对鉴别所使用的数据信息的保密性和完整性进行保护;应具有登录失败处理功能,可采取结束会话、限制非法登录次数和网络登录连接超时自动退出等措施。
数据库的权限设置,包括用户数据对象所有者,可以按确定的自主访问控制策略设计访问控制功能,实现用户对其所创建客体访问权限的自主控制。而且访问的粒度为数据库用户级别,权限客体的粒度为数据对象级别,如数据对象,视图,存储过程等。数据库用户可以对权限进行访问授权转移。即一个数据库用户,是若干数据表的所有者,可以让另外一个数据库用户,替他行使所有者的权限。通过这种功能设计,可以实现数据库设计和数据库开发人员分离。
当数据库检测到有安全侵害事件时,数据库管理系统应提供记审计日志功能。这些日志在产生后,无法被随便篡改,删除。确保违法数据安全的事件,都会留下脚印。
智慧营区云管理系统业务建议
营区日常办公系统
营区日常办公系统以营区内一切日常业务办理为主线,将业务办公与内部管理相结合,通过日常办公系统把营区首长从繁忙的手工作业中解脱出来,将营区管理制度电子化。
营区日常办公系统包括士兵管理、干部管理、家属管理、访客管理、办公桌面云、移动办公、信息推送等内容。
营区日常管理目录
A.士兵管理
士兵在到达营区后,由发卡部门将对应的士兵卡下发给士兵,士兵未来在营区内的一切活动都与对应的IC智能卡息息相关。士兵管理系统是根据各个营区的相关条款,将士兵在日常营区生活中使用的一些流程进行电子化处理,例如请销假管理,士兵入伍管理等等。通过每个士兵携带的智能卡,实现了士兵管理的电子化、无纸化,提高营区管理的效率。
士兵管理系统主要包含以下几个模块:
士兵基本信息管理:士兵在入伍后,其表现情况就由营区进行记录。本模块实现士兵信息的实时查询和修改;实现士兵IC卡信息的实时维护;实现士兵在营区内的获奖和荣誉信息记录。
士兵借调管理:营区可能执行紧急任务出营,例如临时借调士兵参与保障。为了方便营区的管理,本模块实现了士兵批量出营的申请和审核,士兵在出营期间日常事务的交接等。
士兵退役管理:士兵在服役期满后,就要面临退伍。本模块为了方便退役工作的执行,实现了士兵档案退役管理,士兵退役流程处理等。
士兵请销假管理:士兵在过年,过节等节假日可能会申请出营。本模块实现了士兵的请假、批假、销假等一系列流程。下图对一种普通场景进行了描述:
士兵请销假流程
士兵统计分析:营区首长在进行营区管理时,主要还是根据各种业务报表进行分析和决策。本模块为营区的士兵提供士兵信息统计,单位信息统计,总体信息统计,历史信息统计。以上统计功能可以生成对应的表格,提供上级领导检查。表格式与Microsoft Office兼容。
士兵信息统计包括:
请假次数统计;
探亲休假次数、时间段统计;
住院时间段统计;
公差时间段统计;
外勤次数、时间段统计;
借调时间段统计;
单位信息统计包括:
请假外出人员情况统计;
单位探亲休假人员情况统计;
在外学习人员情况统计;
单位住院人员情况统计;
公差人员情况统计;
单位外勤人员情况统计;
单位借调时间段统计;
总体信息统计包括:
请假外出人员情况统计;
探亲休假人员情况统计;
在外学习人员情况统计;
住院人员情况统计;
公差人员情况统计;
外勤人员情况统计;
借调时间段统计;
历史信息统计包括:
请假外出人员情况统计;
探亲休假人员情况统计;
在外学习人员情况统计;
住院人员情况统计;
公差人员情况统计;
外勤人员情况统计;
借调时间段统计;
B.干部管理
为了实现营区管理平台的统一,需要将总部下发的干部管理系统集成到日常办公管理平台中,以达到建立好干部实力档案和编制的目的,能够动态和实时的管理干部总体情况。
干部管理主要包含以下几个模块:
干部基本信息查询:由于营区现有干部管理平台已经实现了干部信息的录入和维护,本模块只实现系统之间的一个相互调用接口,在本模块内不能对现有的干部信息进行维护,只能在本系统中进行信息查看。
干部请销假管理:干部在外出管理上和士兵的外出管理是有根本区别的,所以我们根据各个营区自身的特色,对干部的请假、批假、销假等一系列流程进行电子化。
干部统计分析:本模块为营区干部提供干部信息统计,单位信息统计,总体信息统计,历史信息统计。该统计功能可以生成对应的表格,提供上级领导检查。表格式与Microsoft Office兼容。
干部信息统计包括:
请假次数统计;
探亲休假次数、时间段统计;
在外学习时间段统计;
住院时间段统计;
公差时间段统计;
外勤次数、时间段统计;
借调时间段统计;
……
单位信息统计包括:
请假外出人员情况统计;
单位探亲休假人员情况统计;
在外学习人员情况统计;
单位住院人员情况统计;
公差人员情况统计;
单位外勤人员情况统计;
单位借调时间段统计;
……
总体信息统计包括:
请假外出人员情况统计;
探亲休假人员情况统计;
在外学习人员情况统计;
住院人员情况统计;
公差人员情况统计;
外勤人员情况统计;
借调时间段统计;
……
历史信息统计包括:
请假外出人员情况统计;
探亲休假人员情况统计;
在外学习人员情况统计;
住院人员情况统计;
公差人员情况统计;
外勤人员情况统计;
借调时间段统计;
……
C.家属管理
对于现代营区管理,家属在营区内的日常生活也是营区首长所思考的。根据营区的不同安全需要,营区一般规划了生活区、办公区、机密区。家属通过持有的家属卡进入生活区,既可以保证营区生活的舒适,有可以保障营区的业务安全。
家属管理主要包含以下几个模块:
家属基本信息管理:家属在入营后,由发卡部门给予下发家属IC卡。本模块实现家属信息的实时查询和修改;实现家属IC卡信息的实时维护。
家属统计分析:根据各种维度统计家属在营区内的活动情况。本系统主要提供家属信息统计、家属出入情况统计。该统计功能可以生成对应的表格,提供上级领导检查。表格式与Microsoft Office兼容。
家属信息统计包括:
营区内各地区家属统计;
干部家属年龄段统计;
……
家属出入统计包括:
营区各个时间段家属出入人数统计;
……
D.访客管理
每天营区都有外来人员访问,对这些外来人员进行有效管理是保障营区安全的有力保证。由于外来人员可能会访问营区内的各种安全区域,所以我们对营区各种安全区域的访问进行了访问策略的控制,例如对于生活区,只需要对于的领导审批即可通行,相应的访客卡上赋值生活区权限。他要进入办公区则会进行产生报警。
访客管理主要包含以下几个模块:
访客管理:访客在营区大门口的门岗一体机上填写访问记录,根据提示将身份证或驾驶证在一体机上进行扫描,填单完成后,一体机自动将访客卡吐出。访客将身份证和驾驶证交给门卫,在门岗出刷卡,门岗显示审批通过,则允许访客进入对应的区域。
访客统计分析:根据各种维度统计访客在营区内的活动情况。本系统主要提供访客信息统计、访客出入情况统计。该统计功能可以生成对应的表格,提供上级领导检查。表格式与Microsoft Office兼容。
访客信息统计包括:
营区内各单位访客统计;
访客拜访干部统计;
……
访客出入统计包括:
营区各个时间段访客出入人数统计;
访客访问的区域统计;
……
E.办公桌面云
办公桌面云是指使用桌面云来进行正常的办公活动(如处理邮件、编辑文档等),同时提供多种安全方案,保证办公环境的信息安全。华为桌面云支持与营区已有的信息化系统对接,充分利用已有的信息系统资源。
华为提供从软件到硬件,从终端到后台,从操作系统虚拟化到应用虚拟化,从计算资源到存储资源,端到端的办公桌面云解决方案。如图所示。
办公桌面云系统
办公桌面云解决方案主要有以下几个特点:
桌面云解决方案提供的是端到端的桌面云解决方案。
云终端采用高安全、高可靠的终端设备。
桌面云的所有硬件由华为提供,包括服务器、网络设备、负载均衡设备、存储设备。
桌面云的所有软件由华为提供,包括云调度与管理平台软件,桌面云接入与会话控制软件,桌面虚拟化软件等。
桌面云还提供丰富的应用虚拟化,通过应用的虚拟化,桌面用户可以采用应用虚拟化的技术来使用不同的应用。
桌面云支持认证的云终端设备(瘦终端、各种手持终端、软终端),可以使用多种方式访问营区桌面云系统。
F.移动办公
移动办公指的是在营区内部通过固定的WIFI接入点,实现在Pad上访问云管理系统。移动办公主要是为了解决首长在办公室外,遇到紧急事件也能进行快速的处理。
场景一:访客单处理
访客在门岗一体机上填写访客单。领导正在办公室外行走,在Pad提醒音下,打开Pad,显示有一个待处理消息。点击消息,链接到云管理系统,进行访客单的审核。门岗处获得访客申请通过的信息后,通知访客刷卡进入营区。
实现移动办公的前提是保证营区内的信息安全,为了防止无线信号不被外部所获取,本方案做了一下几种方式的安全措施:
无线路由设备主要集中在办公区,覆盖范围50m;
在路由侧增加设备ID的识别,无线设备在Pad接入时进行两层认证:一是Pad 设备ID的认证,二是WIFI密码的安全认证。
在云管理系统中增加用户是否具有移动办公的权限,同时用户和自己Pad的设备ID号是否匹配。
G.信息推送
营区首长每个星期和每个月都需要关注大量的业务报表,而且每个首长所关注的维度有所不同,这也是营区办公耗费大量工作量的地方。信息推送模块通过在系统端制定好对应的业务策略,再将每种类型的业务报表和首长的Pad ID号进行关联,将每天晚上在服务器端运行出来的报表自动推送到Pad上,节约大量的人工整理的工作量,提升营区办公效率。
营区安全管理系统
营区安全管理系统以指挥调度中心为中枢,结合营区内各种安全防范手段,构建营区内安全指挥平台,起到统一指挥、统一调度,实现监控网络化、协作智能化。
具体来说,安全管理系统包括指挥调度中心、视频监控、电子围栏、门禁管理、电子巡逻这五个业务模块。如图所示,
营区安全管理目录
指挥调度中心
指挥调度中心通过整合现有专业应急平台,实现与专业应急平台互连互通,利用专业部门监测网络,对突发公共事件进行动态监控,对突发公共事件应急方案进行协同会商和综合决策,实现营区在应急管理中的信息汇总和综合协调指挥。
具体功能可归纳为以下几点:
预警预报
与营区各执勤点以及专项应急部门或中心的密切联系,通过视频监控智能分析结果获得突发公共事件的预警信息,并进行警情的分析和预报,以便进行突发公共事件预测预防工作。
协调指挥与指令下达
面对重大突发公共事件,实现对营区有关职能组织以及各个执勤点的统一指挥、命令下达。使各相关职能组织和各执勤点能有明确、统一的应急方向和任务。
评估与管理
对突发事件可能造成的损失和影响进行评估,将历史突发事件进行分类管理、总结研究。
预案制作与管理
即能提供电子应急预案文档的制作,又能结合事件种类实现预案调用,并实现应急预案的管理。
指挥调度中心设计如图所示:
指挥调度中心设计
主控室
根据项目实际情况补充,例如:
指挥调度中心控制室设在XX办公楼X楼,包括电视墙和控制台两个部分。
中心屏显系统:中间由9块(3×3)单屏尺寸为50寸的等离子显示屏组成,可滚动显示有关信息。同时,部署视频分割器,使每台等离子显示屏可同时显示X路子图像,最高可实现XX路子画面显示。视频分配系统的可提供XX个BNC模拟视频输入端口,可与XX台视频解码器连接,获取视频信号。
控制台:操作台设置2台双显卡输出PC机,配4台21寸液晶显示器,同时配置2台矢量控制键盘。
显示系统
视频显示部分完成视频信号的解码及输出显示,这部分主要包括视音频解码器、监视器、电视墙、多媒体大屏幕、调音台、功放等模拟视音频设备。
监控图像的显示有两种方式:
第一种是用PC机的软件解码来观看图像;
第二种方式为通过硬件解码器的方式将IP数字图像解码成模拟信号上电视墙。
视频解码器主要功能是从网络上获取视音频数据流,将数字信号转换还原为模拟信号,输出到监视器、电视墙、多媒体大屏幕、调音台、功放等模拟视音频设备。
视频解码器作为后端各级监控中心的视频、音频信号输出设备,需要具备以下功能:自适应各种视音频编码方式;支持高码流视频解码能力;设备稳定可靠适合长时间运行;易管理,配置简单。
指挥调度系统总体设计技术指标
能够连续7×24小时不间断工作;
系统运行每1000小时中可用时间至少 >= 999 小时;
影响到事件受理的故障间隔时间 > 10000小时;
在处理环节中不允许丢单,漏单率和错单率合计 < 0.01%;
系统要保证数据的一致性,完整性,准确性要求 > 99.99%;
录音文件的丢失率 < 0.002%,录音文件正确性(录音时间、录音时长等)=100%,在线录音文件
在线保留一年,不在线录音文件保留2年以上;
详细事件清单应在线保存6个月,日统计数据应在线保留3年,月、年统计数据应能在线保存10
年;
系统响应时间 < 3秒;
执勤点业务受理提交响应时间 < 3秒;
执勤点信息查询响应时间 < 3秒;
事件详单查询响应时间 < 3秒;
应急资源查询响应时间 < 3秒。
视频监控
营区视频系统总共包括五大部分:前端子系统、网络传输子系统、管理平台子系统、存储子系统、监控中心。如图27所示。
A.前端系统
视频监控前端系统主要包括超低照度模拟摄像机、超宽动态模拟摄像机、高清数字枪型摄像机、高清数字球型摄像机、标清编码器,拾音器等设备,主要实现前端音视频流的采集及编码,提供给中心管理平台进行处理,是不可或缺的重要部分。
B.网络传输系统
通过部署在周界挂臂设备箱的以太网光电转换器,以及部署在各楼层的接入交换机,作为前端设备的接入层网络设备,实现所有前端监控点的直接接入。
管理平台之间、前端监控编码设备、用户终端之间同过光缆、以太网光电转换器、视频同轴电缆、超五类以太网双绞线进行信息的传输、交换和控制,能够有效地进行通信和共享数据,能够实现各系统前端设备和后台中心交换机的通信。
C.视频管理平台
管理平台采用分层分模块的设计方式,具有多级多域的逻辑结构。级数的设置和每一级所设域的数量可根据实际应用情况设置。
视频监控管理架构在网络、媒体流传输协议符合RTSP标准要求;媒体编码格式支持当前主流的H.264编码协议;
软件采用模块化设计。对于不同的模块采用不同的专业应用部件。具体为:中心管理模块SMC、业务控制模块SCC、前端接入模块PAG、客户端接入模块CAG、媒体数据分发模块媒体分发单元、媒体数据录像模块媒体存储单元等。切实满足视频监控业务对软件的需求。
在功能设计上主要从基本功能考虑。完成监控管理、报警管理、存储管理、GIS电子地图管理、网络设备管理、用户安全管理、日志管理、人机交互管理等平台基本功能。
同时平台设计充分考虑用户应用需求,具有良好的可扩展的开放性,良好的集成能力及二次开发能力。可扩展支持与各类系统接口的对接,支持多种外围设备与平台对接。如:告警管理平台、前端编码器、后端客户端、以及其他大型系统如入侵检测系统、门禁控制系统等业务。
D.存储系统
存储管理分为媒体录像存储管理和数据库存储管理。
媒体存储模块是针对视频监控录像文件的管理,通过提供文件管理储存功能,为客户提供按照文件分类管理文件,包括上传、支持批量上传、删除、支持批量删除、下载、查询文件列表的功能,以及添加、删除、修改、查询分类的操作功能和用户信息的管理(包括添加、修改、删除、查询用户信息)。
媒体存储模块采用先进的存储技术,不宕机在线扩展容量、分块硬盘读写提供性能、校验冗余在个别磁盘失效的情况下仍然保持存储的可用、采用双电源、双控制器、双缓存、双风扇、热备热换等技术提供存储设备的可靠性,重要录像数据(如案件发生过程录像、重要线索等录像)在监控中心自动备份转储,进行永久保存,以备授权查询。同时支持故障告警、及时通知运维人员,尽快恢复故障设备。全方位的保障录像数据的可用、安全、可靠。
E.监控中心
监控中心即指挥调度中心。具体内容见上文,此处不在描述。
F.视频监控系统平台
视频监控系统平台完全是基于IP应用开发的,将信令控制与媒体流分离。系统中各个部件(平台管理服务器、媒体分发服务器、录像管理服务器、网管、数据库服务器、客户端接入服务器、前端接入服务器)采用松耦合设计思路,如果IP可达都可以分布式部署,正常运行。
平台软件设计采用分层分模块的设计思路。按照逻辑架构分为业务层、定制化层、和平台层。平台软件的设计应采用分层的模块化结构,以达到设置修改灵活,扩充方便,适应业务的发展变化。软、硬件平台应可以灵活部署并具有良好的可扩展能力,能够适应各种不同业务的发展。
华为视频监控平台提供多样化二次开发接口(包括:监控终端、业务网关、智能业务等二次开发接口),通过面向领域的架构设计,缩短需求的二次开发周期,适应业务快速开展的竞争模式。具备完善的业务定制能力,在提供基础监控业务的同时,可以与第三方系统集成。如:环境动力系统、门禁系统、GIS系统。
视频监控平台具有以下几点功能:
监控管理
保证图像信息的原始完整性,在色彩还原性、图像轮廓还原性、灰度级、事件后继性等方面与现场图像相近,主观评价达到四级以上,对于电磁环境恶劣环境下,图像质量不低于三级。
当信息(包括视音频信息、控制信息及报警信息)经过网络传输时,端到端的信息延迟时间(包括发送端信息采集、编码、网络传输、信息接收急吗、显示过程经历的时间)满足:
前端设备与用户终端端到端信息延时时间不大于4s。
前端设备到监控中心视频解码上墙显示延时时间不大于2s。
客户端实时监控。通过在监控客户端上实时查看有权限的监控点的实时视频浏览。客户端是社会治安视频监控系统业务展现的载体,是客户在任何时间、任何地点、任何终端、任何方式运用监控系统的有力工具。
历史图像的检索和回放。能按照指定设备、通道、时间、报警信息等要素检索历史图像资料并回放和下载;回放应支持正常播放、快速播放、慢速播放、画面暂停、图像抓拍等;应能支持回放图像的缩放显示。如图28所示。图28历史图像的检索和回放
视频录像检索。支持按照摄像机ID、事件、时间段检索历史录像功能。
视频录像回放。支持多种回放控制,正常播放、快放、慢放、单帧放、拖曳、暂停、停止等功能。支持视频图像的缩放显示功能。
回放抓拍。支持回放视频录像抓拍功能。
视频录像下载。支持将录像文件下载到本地。
视频切换。支持手动切换、定时切换、分组切换和报警切换等切换方式。画面切换功能,软件提供了1、4、8、9、10、12、16、32、64路画面切换。各状态下均可切换到全屏监视。在同时有大小画面的时候,点击或双击画面可灵活切换大、小屏幕显示状态;监控中心通过配置数字视频解码器,实现网络中任意监控点视频信号的切换输出到电视墙显示。
手动切换。用户可以通过客户端软件,在通过客户端软件对上墙视频进行切换。
报警切换。通过设备报警切换视频,当监控区发生指定报警切换事件,第一时间将报警视频自动展示在电视墙的指定显示窗口。
切换优先级设置功能。支持同一电视墙画面设置多种切换方式,电视墙上视频可以根据不同的切换优先级进行视频自动切换,该电视墙上的切换优先级可以自定义。
远程控制。系统支持对云台和镜头的远程实时控制。客户端在全屏显示状态下,也可以通过键盘进行云镜控制。能设定控制的优先级,对级别高的用户请求应保证优先响应。提供对前端设备进行独占性控制的锁定及解锁功能,锁定和解锁方式可设定。
云台运动控制。支持云台的上、下、左、右移动,且速度可调。
预置位设置。系统支持预置位的设置,可以快速定位到监控目标。
自动预置位巡航功能。按照预置位巡航:可预先设置预置位和时间间隔。
云镜争控功能。权高者占用模式:云镜控制权限有十个级别,高权限用户可选择锁定云台,锁定后系统只执行该用户的云台控制命令。争用模式:系统同时接收多个用户对云镜的控制指令,按接收顺序依次执行。
语音功能。支持监控中心之间的语音双向对讲功能;支持监控点和监控中心之间语音双向对讲功能。
语音对讲。系统支持监控中心之间、客户端与前端的双向语音对讲交互功能。
报警管理
报警设置。支持对报警联动规则的设置。管理员创建、删除、修改、查询报警联动策略功能。支持管理员创建报警联动策略,策略包括策略名称、描述(非必填)、策略事件、策略动作、报警参数1、报警参数2、关联用户。策略事件包括:视频丢失、镜头遮挡、设备上下线、图像变化侦测、硬盘故障、报警发生。策略动作包括:本镜头录像、报警消息通知、报警音通知。
报警信息的接收和分发。能实时接收报警源发送来的报警信息,根据报警处置预案将报警信息及时分发给相应的用户终端或系统、设备。
开关量报警。系统支持前端设备上传的开关量报警输入。开关量报警设备包括红外侦测器、应急铃、烟雾报警器等。
单区域移动侦测报警。系统支持指定画面中区域图像变化检测报警功能。
视频丢失/恢复报警。系统支持视频丢失、恢复的报警。导致视频丢失的原因有视频线缆损坏等。
设备上下线报警。当设备因故障,导致设备上下线,系统自动产生设备上下线报警。
设备故障报警。当设备运行期间,出现故障,无法录像、网络中断无视频流时,系统自动报警。
报警联动。前端报警联动:系统支持前端设备开关量报警输出,主要包括声、光报警等;支持摄像机转到预置位。平台报警联动:平台在收到报警信息后,根据用户配置的报警联动表信息进行联动处理。主要操作包括触发平台报警、平台录像。客户端报警联动:处于接警状态的客户端收到报警信息时,将切换到报警设备画面,并弹出告警提示信息,直到用户做接警操作后返回正常状态。
报警记录。视频管理平台收到来自前端设备的报警后,记录报警的详细信息,如报警源地址、报警源所属组织、报警级别、报警方式、报警类别、报警时间。如图29所示。图29 报警记录显示
存储管理
录像存储。支持网络内分布存储和中心存储相结合的存储策略。录像存储和数据库存储采用专门设计。本项目中录像存储在视频监控中心,中心配置存储服务器和IP SAN,支持存储重要的事件发生过程录像、断案重要线索、判案依据录像等,也支持不间断录像。
存储策略设置。支持对存储位置、存储时间、备份策略、整理策略等的设置。
智能分析
视频监控系统采用先进的智能视频分析技术,通过对监控镜头设置并启用智能检测规则后,系统根据设置的规则对监控画面进行自动智能分析,及时报告监控画面中出现的可疑事件(如闯入禁区、穿越警戒线、偷盗物体等)的发生。智能视频分析技术解决了监控摄像头个数过多、监控视频数据量过大、人力不足等问题。
入侵检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸。启动入侵检测后,客户端能够实时监控感兴趣区域,对符合入侵的行为产生告警,并且用户在实时浏览时可以看到感兴趣区域、被检测到的目标和跟踪的轨迹。
入侵检测
绊线检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸、警戒线和警戒方向。启动绊线检测后,客户端能够实时监控感兴趣区域,对符合穿越警戒线的行为产生告警,用户在实时浏览视频时可以观看到感兴趣区域、被检测到的目标和跟踪轨迹。
绊线检测
路径检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸、区域穿越方向。启动路径检测后,客户端能够实时监控感兴趣区域,对符合区域穿越的行为产生告警,用户可在实时浏览视频时观看到感兴趣区域、被检测到的目标和跟踪轨迹。
路径回放
突然出现。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸。启动突然出现检测后,客户端能够实时监控感兴趣区域,对符合突然出现的行为产生告警,用户在实时浏览视频时观看到感兴趣区域和被检测到的目标。
突然出现
移走检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸。启动移走检测后,客户端能够实时监控感兴趣区域,对符合移走的行为产生告警,用户可在实时浏览视频时观看到感兴趣区域和被移走目标的位置。
移走检测
突然加速检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸。启动突然加速检测后,客户端能够实时监控感兴趣区域,对符合突然加速的行为产生告警,用户可在实时浏览视频时观看到感兴趣区域、被检测到的目标和运动轨迹。
突然加速检测
遗留检测。用户可自己设置感兴趣的视频区域(矩形或者多边形)、待测目标的最大、最小尺寸。启动遗留检测后,客户端能够实时监控感兴趣区域,对符合遗留的行为产生告警,用户可在实时浏览视频时观看到感兴趣区域和被遗留目标的位置。
遗留检测
门禁管理
门禁系统通过在出入岗亭布置门禁一体机,或在安全保密房间布置智能门禁终端,通过IP网络接入到平台,即可实现出入门的刷卡登记,对于当系统检测到有人使用非法卡(过期卡、挂失的卡、置黑名单卡、无权出入的卡等等)刷卡时,系统则自动报警提醒值班人员。
门禁管理系统又称出入管理控制系统,是一种管理人员进出的数字化管理系统。门禁系统需支持脱机工作方式,门禁控制规则更新后需实时同步到相应的门禁控制器中,门禁系统应可根据需要支持白名单或黑名单机制。门禁系统应具备根据营区的需求进行灵活的门禁控制规则的设定。
A.成员门禁应用授权方式
由门禁系统的管理人员为已成功发卡的营区人员和访客分配相应的门禁权限。权限的分配可通过多种方式指定要授权的人员、房门及对应的通行时间管制策略规则实现。
系统需支持营区人员的指定方式
按单个成员指定;
按单位指定,指定单位下的所有人员一起授权;
按人员类型、用户群组指定。
门禁系统需支持房门的指定方式
按单个房门指定;
按多选房门指定;
按门区指定,即自定义门组;
门禁授权的结果用黑白名单的形式下发到控制器,以便使授权规则生效。门禁策略设置如图37所示:
图37 门禁策略设置
B.门禁刷卡方式
门禁系统需支持以下门禁刷卡方式
单向刷卡:即从门的一侧刷卡即可开门,另一侧无需刷卡;
双向刷卡:即门的进出都需要刷卡。
C.门禁的刷卡鉴权方式
门禁系统需支持以下刷卡鉴权方式:
单卡开门;
多卡开门,即多张合法并具有通行权限的卡参与认证,同时须可指定必须参与认证的卡;
卡+密码开门;
卡+胁迫密码密码开门,即合法用户刷卡后输入胁迫密码开门,同时监控中心报警;
卡+触发开门,即门禁系统自身认证通过后,还需其它外部条件具备方能开门。
D.门禁的时段控制
通过时间段的设置来控制成员对门禁点的进出权限,通行时间段设置为指定起止时间方式,并提供分段时间设置。通行日期设置分两种:
选择一周内通行的天数,例如周一到周五;
设定节假日为通行日期。
E.门常开和取消门常开功能
为暂时不需门禁控制的情景提供门常开和取消门常开功能。门常开功能指房门具备常开条件后,第一个合法成员刷卡开门后,门保持常开状态。
F.系统实时监控服务
对各门禁、读写设备、门禁控制器、门锁的运行状态进行实时监控;
对一些进出门禁的事件进行实时监控,可设置需要报警的事件。门禁系统可以文字形式或图形形式显示相应的监控信息。
G.门禁流量统计
查询统计某出入通道出入的明细记录。
电子巡逻
传统的巡检制度的落实主要依靠巡逻人员的自觉性,管理者对巡逻人员的工作质量只能做定性评估,容易使巡逻流于形式,因此急需加强工作考核,改变传统手工表格,对巡逻人员监督不力的管理方式。电子巡检系统可以很好地解决这一难题,使人员管理更科学化和准确。
电子智能巡逻管理系统能有效地监督和管理巡逻情况,可准确记录巡逻人员的巡逻时间、次数及线路,且具有无需布线、操作简单和针对性强的特性,对监督、规范工作人员工作行为有重要意义。“电子巡逻系统”的应用,极大地调动了工作人员的工作积极性。发挥“电子督察”的作用,将维护工作置于现代科学技术的监督之下,通过科学、严格、有效的考核,彻底改变了“巡与不巡一个样,巡多巡少一个样,巡与不巡没人知道”的被动局面,激发巡查人员的工作自觉性和主动性,确保各项安全工作切实落到实处。
“电子巡逻系统”的建立,使安全管理工作更加科学合理。通过对巡查点的科学设定,形成了一张完善的巡逻网络,进一步提高了工作效率,减少了不安全的隐患,节省了人力,形成了全方位、多层次、高效能的巡逻体系。
A.巡逻点设置
设置每个巡逻点所有的机具信息、地址、联系人及联系电话等。一个巡逻点可能会有多个机具,在任何一个机具上刷卡后都表示已巡逻此巡逻点。在单位地图上动态绘制并设置巡逻点图标。
B.线路设置
线路设置可以分为有序线路和无序线路两种情况不同的线路。每一种线路又有不同的数据处理方式。核查结果会根据选择的每一条线路的数据处理方式来匹配核查结果。
有序线路:有序线路指的是巡逻线路上的巡逻点是有次序要求的,必须按照线路中安排的顺序执行巡逻。有序线路里的巡逻点设置分为2种类型:
间隔无限制,只要按顺序即可。即只要按照顺序在线路长度(长度:指的是巡逻完一条线路所需要的总时间)内巡逻,没有时间间隔的要求,在核查结果与线路汇总中只会出现准时、漏巡和顺序错误,不会出现早晚巡,各巡逻点只会出现准时、漏巡;有时可能会出现各巡逻点都是准时的,但由于不是按照顺序巡逻,线路汇总的核查结果会出现巡逻点的顺序错误。
各点单独设定间隔、误差。表示需要每个点都输入间隔、误差。系统弹出“时间”页面供输入每个巡逻点的间隔、误差,线路的总长度不能输入,线路的总长度是由各点间隔合计而得到的;线路各点需要按照设定的间隔内巡逻,在数据处理上传数据时系统根据巡检点设置的间隔、误差来判断巡检点是否在有效的时间范围内。
无序线路:指的是巡逻线路上的巡逻点没有次序要求。
无序线路里的巡逻点巡逻设置主要分为“全无序”、“首点限线路开始时间刷卡,其它无序”、“首尾限线路开始-结束时间刷卡,其它无序”三种不同的线路里的巡逻点数据处理设置方式。
全无序。选择了全无序后在巡逻过程中可以不按巡逻点在线路中的顺序,只要把线路中的巡逻点全部巡逻到就可以了,即不按顺序巡逻。全无序的线路长度是在线路设置窗口的左面的长度里设置线路的总长度。
首点限线路开始时间刷卡,其它无序。选择了此功能后在巡逻过程中只要先刷了线路中的首点其他巡逻点是可以不按顺序进行巡逻的。选择了“首点限线路开始时间刷卡,其它无序”,长度、误差设置是在线路信息窗口的左面的长度、误差里输入。
首尾限线路开始-结束时间刷卡,其它无序。选择了此功能后在巡逻过程中只要在规定的时间内先刷首点最后刷尾点其它可以不按顺序刷巡逻点。“首尾限线路开始-结束时间刷卡,其它无序”的间隔、误差也是在线路信息窗口的左面的长度、误差里输入。
C.班次管理
班次设置主要分为两个功能一个是给每条线路排班,另一个是给巡逻点设置班次(可选)。
线路排班:给线路排班是给线路排班,设置每条线路的巡逻开始日期、结束日期及工作日;
巡逻点的班次设置:对巡逻点设置班次。设置每个巡逻点的巡逻开始日期、结束日期及工作日。
D.巡逻任务
配置巡逻任务:配置每个巡逻线路的巡逻人员、巡逻线路的班次(可多选和全选)及开始日期和结束日期。系统自动根据此配置来计算人员巡逻结果。
E.巡逻记录查询
查看最原始的巡逻记录信息。主要记录巡逻时间及巡逻点;
根据时间段、巡逻人、巡逻路线查询原始的巡逻记录;
可直接打印、导出EXCEL。
F.人员巡逻查询
查询及统计每个人员的巡逻记录;
根据人员、时间段查询巡逻人员的巡逻统计数据,包括巡逻结果;
可直接打印、导出EXCEL。
G.线路巡逻查询
查询及统计每条线路的巡逻记录;
根据线路、时间段查询每条线路的巡逻统计数据,包括巡逻结果;
可直接打印、导出EXCEL;
电子围栏
电子围栏功能是结合视频监控系统一起使用,电子围栏可以定位为视频监控系统的一种前端告警设备。电子围栏功能的设计方法是在围墙的一定距离范围内布置红外对射设备,有闯入事件发生时,红外设备的的报警信号通过DVR传送到视频监控平台,同时高速球机对非法人员和车辆进行锁定.
从监控中心监控人员能通过视频监控系统了解各处围墙的情况,当有告警发生时,平台能把自动弹出相关地点的视频监控点的视频。
视频弹出策略和预案策列,报警联动的关联都可以通过视频监控平台提供的应用功能来实现。配置界面非常方便有效。
处于电子地图模式下,报警显示功能将对当前用户正在访问的地图的发生告警的防区关联的摄像头以及摄像头所属的所有上层节点进行标识,表明其处于告警状态,使其图标在地图上闪烁。同时在界面的下方也会出现报警列表。同时能重点显示某防区的告警的详细信息。
车辆管理系统
车辆管理也是营区日益面临的问题。现阶段为了提升整个队伍的灵活性和机动性,营区投入大量资金在车辆管理方面的建设。现有营区系统中也存在总部下发的车辆管理系统,为了保证营区既有的投资,我们在车辆这块进行多系统之间的融合。
车辆管理系统主要包含有车辆派遣、北斗定位、车辆监控等子模块。
车辆派遣
在日常的使用中,车辆派遣管理大多数都是信赖手工书写或口头直接下达派遣指令。这样就会因为车辆数量大而引起人为操作上的差错,而且人为手工填写也极易造成效率低下;口头下达派遣指令也会造成日后无法进行科学的统计,对今后正确决策产生较大失误偏差,而且出了事故任不清晰。
系统利用成熟的工作流、权限分级进行了控制管理车辆派遣工作。如图39所示。使车辆管理的各项工作更具条理性,从根本上有效的解决了部队车辆派遣管理的难题,从而提高了部队车辆派遣管理水平,与部队建设倡导科学化管理和规范化管理相符。
车辆派遣
将营区车辆派遣的申请和审批流程电子化,结合营区现有的车辆管理系统,即保证了营区现有投资不受损失,也提升了车辆申请和使用的效率。
车辆管理流程如下:
车辆管理流程
北斗定位
北斗卫星导航系统是中国自行研制开发的区域性有源三维卫星定位与通信系统(CNSS),是除美国的全球定位系统、俄罗斯的GLONASS之后第三个成熟的卫星导航系统。可在全球范围内全天候、全天时为各类用户提供高精度、高可靠的定位、导航、授时服务,并兼具短报文通信能力。
北斗一号和其他定位系统的对比如图所示。
北斗SPS等定位系统比较
北斗系统通过“两星测距,三球计算”来实现定位。如图43所示。图43 两星测距三星计算
智慧化营区也融合了现有的北斗一号系统。可以实现的功能有:车辆定位导航,轨迹回放等业务功能。
A.车辆定位导航
车辆定位导航
车辆通过配置北斗一号终端接收机,通过和北斗卫星、中心控制站的通信实现卫星定位。本系统采用指挥型用户机和普通用户机之间的通信,实现在本地GIS地图上查看车辆位置和信息。
营区内部的指挥型用户机可以接收到通过卫星广播的全部下属用户的定位和通信信息;
指挥型用户机与其它用户机进行口令识别。指挥型用户机发播“口令识别”命令,普通型用户机接收“询问口令”,判别无误后自动完成一次定位申请,并根据“询问口令”要求确定是否发送“应答口令”。当选择“是”应答,表明用户需按通信形式回答双方约定的“口令”,指挥型用户机可发出询问电文;当选择“否”应答,用户机只定位不回答口令;
通过指挥机软件主界面的电子地图可以实时监视下属用户的态势分布和运动轨迹,并通过指定用户通信及通播等功能可以实现指挥调度功能;
根据不同需求对电子地图进行平移、放大、缩小等变换;可设置电子地图是否显示网格,网格间距为100像素;并能设定电子地图显示的区域;设定100像素对应实际公里数和电子地图的显示中心点;
设置在电子地图上跟踪指定用户定位点,在被选择跟踪的用户定位时,电子地图可以跟踪显示到该用户定位的地图区域。
车辆监控
为了防止营区车辆在营区外非法使用,通过在车辆内加装视频监控设备,实现短期录像功能,提升营区形象。
车辆通过配备车载型嵌入式数字硬盘录像机可对现场图像进行录像,1TB 的硬盘可连续录制30天的录像资料,并可按需回放显示,该设备还可通过USB接口及数据端口与车载电脑或其他设备相连接,便于录像资料的导入和导出.利用8X8 音视频矩阵及画面管理设备(包括画面切换和分割功能),实现图像的多种形式编辑,便于选择性地传回指挥中心。车载工控机的光盘刻录功能可记录下事发现场的情况。车载的32 英寸大屏幕液晶电视镶嵌安装于车辆隔断上,在保证机构强度的前提下实现防震的设计、可变的空间利用、时尚的外观及为用户的使用提供最大的方便。
当车辆到达离车库入口0~10米的距离时,通过无线WIFI将视频监控录像传回给视频服务器,营区监控人员根据对应的录像数据进行确认,对于有质疑的地方提交异常电子档进行记录。如图46所示。
车辆回营审查
物联网管理系统
物联网是指通过各种信息传感设备,如传感器、射频识别(RFID)技术、红外感应器、激光扫描器、气体感应器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,与互联网结合形成的一个巨大网络。其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。
A.智能楼宇
楼宇自控系统采用先进的计算机控制技术,以丰富灵活的控制、管理软件和节能程序,使建筑物机电或建筑群内的设备有条不紊、综合协调、科学地运行,从而达到有效地保证建筑物内有舒适的工作环境、实现节能、节省维护管理工作量和运行费用的目的。
楼宇自控系统负责完成楼宇中的空调制冷系统、变配电系统、照明系统、供热系统及电梯等的计算机监控管理。楼宇自动化系统由计算机对各子系统进行监测、控制、记录,实现分散节能控制和集中科学管理,为用户提供良好的工作环境,减少能耗并降低管理成本。
空调监控系统:其监控要求为:温度控制、湿度控制、新风、回风、排风的控制、制冷器的防冻监控、过滤器的状态监测、风机的状态及故障报警
冷冻站监控系统:包括对冷却水泵、冷却塔风机的自动控制,以及冷水机组台数的节能控制和冷冻水系统的压差控制,还包括中央管理站对冷冻站的控制,因此需解决如下问题:冷却塔风机运行状态监测,控制和故障报警、冷却水泵运行状态监测,控制和故障报警、冷水机组冷却水进水温度监测及控制、冷却水泵运行状态监测,控制及故障报警、冷水机组冷却水出水温度,流量监测及控制、分水器,集水器压差监测和控制、冷水机组运行状态监测,控制和故障报警
给排水监控系统:对生活用水、消防用水、污水、冷冻水箱等给排水装置进行监测和启停控制。其中包括压力测量点、液位测量点以及开关量控制点,并要求显示各监测点的参数、设备运行状态和非正常状态的故障报警,并控制相关设备的启与停。
变配电监控系统:包括低压配电系统、计算机不间断UPS电源系统、冷冻站配电、变压器、高压系统和高压二次线中的各个点进行监测控制。它主要包括电流量、电压量、有功电度、无功电度、功率因数、温度等的测量和开关量的控制,并要求实时监测和计量供电系统的运行参数,显示主接线图、交直流系统和UPS系统运行图及运行参数,对系统各开关变位和故障变位进行正确区分,对参数超限报警,并对事故、故障进行顺序记录,可查询事故原因,并显示、制表和打印,可绘制负荷曲线,并显示、打印运行报表
热力站监控系统:由中央监控系统监测热交换器的热水出水温度、热水流量和控制热水泵的启停
照明监控系统:由中央监控系统按每天预定的时间顺序进行开关控制,监视其开关状态,工作状态可用文字、图形显示,并经打印机打印。
安全防范监控系统:安全防范系统是智能楼宇必不可少的部分,它提供了安全监视、侵入报警、出入门控制管理。
出入门控制系统是对出进门的人员进行识别和选择,即所有人员的出入都得到监控。系统识别人员的身份后,根据所储存的数据决定是否允许其出入。每一项出入都作为一个事件记录存储,根据需,这些数据可以有选择的输出。
背景音乐、消防广播系统:背景音乐系统主要为工作区及公共场所提供平时播放背景音乐、语音广播等功能。当发生火灾或紧急事故时,则可作为事故报警广播,引导疏散,指挥处理事故。
B.营产营具管理
营产营具管理是基于RFID识别技术为货物识别追踪、管理和查验货物信息的平台,该系统将先进的RFID识别技术和计算机的数据库管理查询相结合,自动识别货物信息,该系统的应用能大大节约人力物力。射频识别即RFID(Radio Frequency IDentification)技术,又称电子标签、无线射频识别,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
营产营具管理实现部队营产营具的统一集中管理。功能包括营产营具信息的录入、删除、查询、修改、统计,以及对营产营具的使用、维修、保养进行记录跟踪。
新增营产营具
通过新增营产营具功能可以增加营产营具。新增时录入营产营具的详细信息,包括基本信息和扩展信息。
基本信息是所有营产营具均具有的属性,包括:名称、编号、批次、类别、入库单据号、状态、单位、数量等。
扩展信息是针对不同种类的营产营具提供其特有的属性,可能包括:型号、资产来源、资产属性、产品摘要、单价、保修信息、产品特征、使用年限、资产负责人、保管信息等。
修改营产营具
通过修改营产营具功能可以修改营产营具的信息,包括基本信息和扩展信息。
基本信息是所有营产营具均具有的属性,包括:名称、编号、批次、类别、入库单据号、状态、单位、数量等。
扩展信息是针对不同种类的营产营具提供其特有的属性,可能包括:型号、资产来源、资产属性、产品摘要、单价、保修信息、产品特征、使用年限、资产负责人、保管信息等。
删除营产营具
对于已经报废等不能使用的营产营具可以进行删除。
营产营具信息查看
可以查看营产营具的信息,包括基本信息、扩展信息。查看时可以通过名称、入库时间、分类、状态等进行查询,快速筛选出符合条件的营产营具。
营产营具统计
系统提供营产营具的统计功能,可以从分类、时间、状态等多个维度对营产营具进行统计,产生统计报表。
营产营具的分配
可以在系统中将营产营具分配给具体单位和个人,从而可以在系统中队营产营具的保管人、使用人等信息进行管理,便于跟踪管理。
营产营具属性设置
营产营具种类众多,不同类别的营产营具的作用、重要性在实际应用中有所不同,因此对营产营具进行分类十分必要。
属性设置功能提供电子字典,可以设置营产营具的各种分类方式,以及各种分类的具体内容。
可以对属性进行新增、修改、删除等操作。
营产营具批量导入
系统提供营产营具批量导入功能,通过此功能可以快速导入大量的营产营具信息,为管理员录入信息提供方便,简化录入工作量。
营区文化宣传系统
营区文化宣传系统的建设宗旨是提高官兵文化素质,活跃部队文化生活,陶冶官兵情操,占领部队的思想文化阵地,鼓舞士气,激励斗志,巩固和提高部队战斗力,构建一支“文明之师、威武之师、和谐之师”。
营区文化宣传系统主要由多媒体信息发布系统、多媒体教育和多么,多媒体会议系统组成。
多媒体信息发布
A.个性化的多媒体信息展示
系统能够根据来访人员的ID,动态显示相应的人员图文信息,包括照片,部门,职位,姓名等信息,同时还可以语音报姓名或者播放语音问候语。基本功能如下:
能够自动显示员工图文信息;
根据设置显示文字或者语音问候语;
根据设置显示针对个人的通知,提醒;
根据设置播放针对个人的视频,音乐等多媒体信息;
显示天气预报等生活信息。
B.公告和问候语功能
公告和问候语属于大屏终端显示信息,是与人员的一种互动,能够个性化定制来访人员的终端信息。系统提供在后台对来访人员相关公告和问候语的预设功能。其发送方式可有以下几种:
针对单位显示的公告;
针对节假日显示的公告;
针对出入口显示的公告;
针对个人显示的问候语。
C.多媒体信息管理功能
系统提供多媒体信息管理,这些多媒体信息分为音视频和图片信息,详细划分为:
音频:音乐歌曲类;
视频:广告展示类
语音:姓名语音或者礼貌、提醒用语;
图片:人员形象照片。
同时提供对这些多媒体资料的管理功能,包括:
新增,删除,修改音频,视频,声音,图片记录信息等;
提供上传多媒体文件方式,包括:FTP,WEB方式;
同时提供在线试播音视频功能(HTTP方式);
预览图片功能(HTTP方式);
管理出入口的空闲多媒体播放列表;
管理针对个人播放的多媒体信息。
多媒体教育
针对战士在营区生活的学习和培训,构建一个学习型、先进型的营区文化氛围,我们提出了多媒体教学方案。
华为自研的全高清摄像机VPC520 支持业界最高视频格式的1080P60fps图像效果,并兼容1080P30fps和720P 60fps等高清分辨率格式,1080P60fps图像达到人眼可分辨的清晰度和流畅度的极限。VPC520支持40倍变焦(10倍光学+4倍数字),支持倒装等功能,提供自动白平衡(AWB)、自动曝光(AE)、自动聚焦(AF)功能,支持3D算法的图像降噪功能,具有超强的环境自适应能力,是远程教学教室的最佳摄像机选择。
华为远程教学系统支持最新的音频编解码协议AAC-LD,该协议采用48KHz采样率,可以完美再现人耳可闻的22Khz以下的音频,并且提供双声道立体声语音支持,给实时通讯带来CD级的音质和立体声效果。
系统支持H.239标准的双视频流功能,支持SXGA输入即插即用功能,支持最高1280 × 1024分辨率的SXGA信号或1080P分辨率的DVI信号,足以清晰分辨远端发送过来的电脑桌面辅流中的小6号字体,是远程教学的应用利器。
系统也支持电脑桌面、电子白板、DVD和实物展台等丰富的教学外设作为辅流接入和切换。
华为远程教学系统也支持H.235标准的信令与媒体流加密技术,采用256位的AES媒体流加密算法,充分保证远程教学的安全性。
多媒体会议
多媒体会议系统是通过PC软终端+手机/固话号码一体化,以手机/固话号码为唯一的用户身份识别,整合了语音呼叫、短消息、即时消息、即时会议、多媒体会议等各种通信资源,为用户构建了一个全新的融合通信方案。如图51所示。
多媒体会议系统总体业务功能如下所述:
A.以手机/固话号码为唯一的用户身份标识
PC登陆帐号就是手机/固话号码,所有通信功能(通话、即时消息、短信等)对外显示号码都与个人手机/固话号码同号,无需再记多个号码,对方打您的手机/固话也可以用PC接听。
B.通信功能
语音通话:PC拨打和接听电话,通话是通过IP网络来进行的,此时对外呈现的号码都是手机/固话号码
语音会议:用户可以通过PC客户端随时召开语音即时会议,方便多个用户间的同时交流。会议主持人创建语音会议后,各与会人的电话同时振铃,与会人接听来话后即进入会场,进行多方通话
呼叫保持与恢复:当PC客户端正在通话中时,主叫用户拨打PC用户,当PC客户端接听新的来话时,原通话的主叫将被保持;PC客户端可操作将通话恢复或挂断第二路通话,则第一路通话自动恢复
盲转:用户在通话过程中,无论是作为主叫或被叫,都可以将当前通话保持,再与第三方发起一个新的通话,新的通话建立后,用户将自己原先的呼叫对象和新的呼叫对象之间建立通话,发起者退出与两者的通话
多媒体会议:用户可通过PC客户端召开多媒体会议。多媒体会议提供音频功能、视频功能、数据功能以及相关界面布局功能
短信:通过PC可以发送短信,支持单发、群发,费用记在手机号码。PC可以接收到短信,直接在PC上进行显示和回复处理
C.即时消息功能
即时消息:发送即时消息时,对方在线,此时可以相互发送和回复即时消息。如果客户端不在线,此时即时消息将保存成离线消息,待接收方上线后推送至其客户端
文件传输:用户之间可以在即时消息界面中互相传送文件。发送文件和接收文件的用户必须都处于在线状态
群IM:可以创建群组进行群IM消息聊天
D.通信录
营区通信录:按照营区的行政部门关系提供分级通讯录管理功能,基于营区通讯录提供基于拼音、名字等快速查询的方式,营区通讯录可以实现拨号、发即时消息、发短信等通讯功能。
E.多媒体会议系统网络设计
IMS核心网
IMS核心网完成SIP信令控制和业务触发到Hosting UC业务业务部件等功能;还完成GSM网络交换机与IP网络之间的媒体通道,用于承载PC与手机之间的通话话路。
注:1、IMS核心网包括CSCF(S-CSCF/I-CSCF/P-CSCF)、MGCF、MGW(UMG)、HSS、ENUM等网元组成;2、PGM基于3GPP规范开发,需基于IMS网络配合才能实现。
SBC(会话边界控制器)
SBC(SessionBorderController)在IP(InternetProtocol)网络边界对实时语音、视频和其它数据所构成的会话进行控制,实现网络安全、QoS(QualityofService)控制、NAT(NetworkAddressTranslation)穿越等功能。
UC业务平台
UC业务平台由管理部件和业务部件组成,具体如下: