关于金融行业“异地集中守库”的技术防范规范和标准

2010-03-22福建东政智能科技有限公司

智能建筑与智慧城市 2010年10期

文｜福建东政智能科技有限公司孟诺

目前，金融行业正处于建设“异地集中守库”进程加快发展的阶段。《银行业务库安全防范的要求》（GA 858-2010）业已在4月1日正式执行，其中“异地集中守库”的技术规范原则性强，工程设计和执行容易因工程设计、施工单位对《银行业务库安全防范的要求》理解不够深入、把握不到位而出现偏差。为此，作者根据上述规范要求，结合多年的实际工作实践，提出一些个人的体会和意见，为同行们提供一些“建议”，特别是对出入口控制联网技术的要点（如前端设备的指标、中心软件平台的功能和具体要求等）加以细化，实属“抛砖引玉”之说，目的就是使工程实施更加规范，贴近《银行业务库安全防范的要求》。

1 总则

（1）为了规范金融行业“异地集中守库”的技术防范系统设计、施工、检验、验收，提高工程的质量，保护公民人身安全和国家、集体、个人财产安全，制定本规范。

（2）本规范和标准适用于新建、改建、扩建的金融行业“异地集中守库”的技术防范工程。

（3）本规范主要依据：

◆ 中华人民共和国公安部令第86号令《金融机构营业场所和金库安全防范设施建设许可实施办法》；

◆ 《出入口控制系统工程设计规范》（GB 50396-2007）；

◆ 《金库门通用技术条件》（GA/T 143-1996）；

◆ 《银行业务库安全防范的要求》（GA 858-2010）。

（4）关于金融行业“异地集中守库”的技术设施建设，除执行本规范外，还应符合国家现行工程建设强制性标准及有关技术标准、规范的规定。

2 金融行业“异地集中守库”技术防范系统建立的必要条件

（1）所有金库已按国家相关规范的规定建立了合格的物防、技防体系，并通过当地公安部门的审核、论证、验收，取得了公安部门颁发的《金融行业营业点安全防范合格证》。

（2）上级主管部门和当地公安部门已论证、审核通过“异地集中守库”技术防范工程方案。

（3）“异地集中守库”是指以安全防范系统中央控制室（以下称“监控中心”）为核心，通过视频安防监控系统、报警系统、出入口控制系统和110联网报警系统等，对辖内或跨行政辖区的金库所进行的远程集中守护。

3 金融行业“异地集中守库”的系统构建一般规定

（1）系统构成

系统由三部分构成：前端采集（含图像、语音、指纹、卡、密码采集）、识别、控制、执行部分，中间传输部分，后端（监控中心）集中管理、存储、远程控制部分。

（2）系统主要功能

①异地集中守库：系统采用异地集中守库和本地守库相结合的方式，以时间为标准划分营业时间段、非营业时间段。

②指纹/密码/卡验证：系统应具有用户关联验证、手指关联验证、指纹+密码+卡组合验证（宜使用生物指纹认证体系）。

③报警功能：系统应具有自我保护报警、紧急情况报警、非法开门报警、胁迫报警功能，具有多种报警方式（本地声光报警、远程守库中心报警、110联网报警、与其他系统联动报警）。

④多级用户权限管理：金库远程门禁系统提供多级用户权限管理，以保证授权的有效合法使用。

⑤信息更新：系统应对出入人员、指纹或卡、时间段等信息进行更新。

⑥开门记录、电锁及控制功能。

⑦应急开门措施功能；系统应具有指纹验证部分发生故障时的应急措施、网络故障下的应急措施、控制器故障下的应急措施、紧急情况下的应急措施。

⑧系统检测功能：系统应具有门控制器在线检测功能、网络环境状态检测功能、门禁状态检测功能。

⑨异地集中守库值班界面功能：宜在后端中心管理软件上开发“集中管理门控界面”；并使该界面可显示所有前端可控门的状态，以便远程值班员“一幕了然”。

⑩远程图像和语音复核功能：宜在后端中心管理软件上插入图片或图像和语音，并同步存储。

4 “异地集中守库”系统的其他规定

4.1 主控制器（处理器）、指纹机的技术参数

主控制器（处理器）、指纹机的技术参数，如表1所示。

4.2 摄像机的技术参数

摄像机的技术参数，如表2所示。

4.3 对讲设备的技术参数

对讲设备的技术参数，如表3所示。

4.4 对传输系统的技术要求

（1）网络带宽

网络带宽不低于2M（仅每个库提供二路视频信号，进门和出门各一幅）。

（2）传输方式或网络类型

根据银行系统的特点，应优先选择银行内联网和专网的传输方式或网络类型。

（3）IP网络性能指标

采用IP网络传输时，IP承载网络的QoS（服务质量）等级应达到通信行业标准YD/T 1171-2001中所规定的交互式1级或1级以上服务质量等级。具体指标如下：

◆ 网络时延上限应低于400ms；

◆ 时延抖动上限应低于50ms；

◆ 丢包率上限应低于1×10-3。

（4）IP网络端到端的信息延迟时间

当信息（包括视音频信息、控制信息及报警信息等）经由IP网络传输时，端到端的信息延迟时间（包括发送端信息采集、编码，网络传输、信息接收端解码、显示全过程所经历的时间）应满足下列要求：

◆ 信号从前端设备传输到监控中心相应设备的信息延迟时间应不超过2s；

◆ 信号从前端设备传输到用户终端设备的信息延迟时间应不超过4s。

4.5 对后端（监控中心）的技术要求

（1）后端（监控中心）设备的基本配置

后端（监控中心）设备的基本配置为：集中门禁、视频、语音对讲监控管理服务器，异地集中守库管理中心软件，SQL2000数据库管理软件，以及其他辅助配套设备。

表1 主控制器（处理器）、指纹机的技术参数表

（2）监控中心管理平台

监控中心管理平台应基于C/S或B/S标准网络架构建立，专门适用于通过数字网络进行综合监控管理。

（3）对管理软件的要求

①管理软件应支持远程网络传输：系统通过设置各网点金库的网络转换器IP地址，分别添加不同的回路，达到同时控制多个网点业务库，并实施远程守库验证开门的目标。

②管理软件应具备较强的权限组设置，以及开门方式设置功能。

③管理软件应具备灵活的时间段设置功能。

④管理软件应具备远程守库确认开门功能，并应关联指纹、视频图像、报警、语音，以便复核。

表2 摄像机技术参数表

表3 对讲设备技术参数表

⑤管理软件应具备多级用户管理功能。

⑥管理软件应具备系统集成及扩展功能：应使金库门禁系统、视频监控系统、防盗报警系统、可视对讲系统有机结合、相互补充，从而获得金库门最大限度的安全保障；通过对系统进行系统集成的二次开发，可实现各系统的联动。

⑦软件供应商应无条件提供“SDK开发包”，或开放通信协议代码，以便用户进行系统集成的二次开发。

⑧管理软件应有网络化分级式电子地图：方便察看各监控现场，直观显示各级地图，令用户能够在监控现场的示意地图上直接点击门禁主机、摄像机、报警器等图标，观看该点的控制器工作情况、摄像机的图像，查看报警器状况；有多级地图，分层次显示，并可自动弹出报警现场地图。

5 “异地集中守库系统”的安装与调试

（1）前端设备安装、调试的规定

①前端主控板应安装在双道防盗门中间的空间内（即业内通常所称的外库室内），以便维修人员操作（不直接进入内库）。

②前端设备供电应接入UPS或者配有直流蓄电池，以保证系统有在市电中断后正常工作48小时以上的能力。

③金库宜执行双道门互锁控制，应在外道防盗门装设防无电开启的“灵性电控锁”来实行控制。

④敷设管线的要求：所有的控制线和电源线应采用KBG管保护，且强、弱电分管、槽敷设。

⑤所使用锁具应符合国家强制规范和要求，锁具的安装应与防盗门同时符合国家规范对机械强度的要求。

⑥应对库区的出、入人员同时进行控制，即对外道门的出、入施行双指纹或双卡+视频认证。

（2）系统联调的规定

①联网系统应具备故障自恢复和状态自恢复功能。在发生死机或断电后恢复供电时，联网系统内的设备应能自动重新启动并恢复到原配置状态下正常运行。

②联网系统应支持联网系统数据资料的导入导出，具备手动或自动导出备份的功能。

③联网系统应支持远程维护，可实现远程设置、远程下载数据。

④联网系统应能对录像设备和后端（监控中心）平台的时钟进行同步，联网系统与北京标准时间的24小时内累计误差应小于10s。

⑤“异地集中守库系统”后端（监控中心）的图像/图片和数据（日志）、声音保存时间不得少于30天。

6 “异地集中守库”的系统运行管理模式

“异地集中守库”管理的基本模式为：前端守库人员分为主库A组、副库B组二组，开门必须由A、B组守库员各一人共同执行。接下来对库区管理模式加以论述，供金融单位参考。

（1）在营业时间段，采用本地守库方式+远程复核验证方式，即一名主库守库员和一名副库守库员的指纹或卡在规定时间内完成验证，再经过网络传输至远程守库电脑，由中心守库人员对指纹、图像、声音核实确认后，远程开启守库门，而后两名守库人员方可进出门。

（2）在非营业时间段，采用中心远程守库方式，即进门须一名前端营业点负责人、一名主库守库员和一名副库守库员的指纹在规定时间内完成验证，再经过网络传输至远程守库电脑，由中心守库人员对指纹、图像、声音核实确认后，远程开启守库门，而后两名守库人员方可进入并及时关门，负责人则不进入；出门须两名守库人员完成指纹或卡验证，再经过网络传输给远程守库电脑，由中心守库人员核实确认后，远程开启守库门。