金融系统安全设计方案

金融系统安全设计方案（精选8篇）

篇1：金融系统安全设计方案

银行金融系统防雷设计方案 引言

近年来，计算机网络技术进入了前所未有的快速发展时期，新方法、新技术、新产品不断的涌现，为网络计算和管理这一计算机应用模式提供了强有力的支持，极大地推动了社会信息化的发展进程。随着电脑网络的不断发展和行业内竞争的加剧，各金融机构千方百计地发展自己的计算机业务处理系统，以更好的为客户服务，提高业内竞争力，每年的设备投资费用不断增加。金融机构对计算机进行业务处理的依赖性越来越高，网络的安全性、可靠性以及设备用机环境都成为客户考察服务水平的重要环节。就用机环境而言，由于计算机通信设备属于微电子设备（即弱电设备），其耐过电压冲击的能力很弱，而由电源线、信号传输线、地线侵入的雷电冲击波强度却很大。通过电源线、信号传输线引入的冲击大电流，足以使许多微电子设备遭受不同程度的损坏，并危及人身安全，造成巨额的直接经济损失。而更为重要的是会导致整个网络瘫痪，重要数据丢失，间接经济损失不可估量。我们不能因为没遭到过雷害而抱有侥幸心理，对依赖计算机来进行数据处理和存储的金融系统来说，雷电造成的数据丢失和网络瘫痪将是灾难性的。即使雷电流强度不足以打坏设备，频繁的雷电冲击也会大大的缩短电子设备的寿命。另外内部操作过电压，如变压器的空载、电机的启动、开关的开启等引起的强大脉冲电流通过线缆引入，也会造成设备不同程度的损坏。计算机设备遭受雷击损坏已成为影响金融机构业务正常、安全运行的重要因素之一。

为保障金融机构计算机网络安全可靠的运行，减少损失，避免灾害，计算机网络的防雷保护措施必须要加强。作为有多年防雷工程实施经验的专业公司，我们愿与贵行共同做好防雷工作，使贵行尽量避免雷损，这是我们设计这一方案的目的。

质量保证

<一>、我公司提供的所有防雷器全部由原厂出品，通过ISO9001的认证。

<二>、通过了国内权威的检测机构的检测，公安部颁发了销售许可证。

<三>、在全国范围内每年由保险公司提供产品责任险，为用户解决后顾之忧。

<四>、防雷器电源模块和信号防雷器，因产品本身质量问题导致的损坏，将在贵单位系统内免费保修3年，我公司提供对所做工程的3年跟踪服务。超过免费更换年限的仅按材料成本价收取维护费用。

<五>、严格按照有关规范进行设计安装。细心考虑防雷器级间能量的配合、防雷器与设备的绝缘配合。

<六>、我方负责对用户进行防雷知识培训，包括防雷理论知识、选用防雷产品的使用、维护、更换等基础知识。

<七>、可应用户要求，为用户编制用户手册。

<八>、维修响应时间：两小时内提供解决方法，市内两小时内赶到现场，河南省内视距离远近4到24小时内赶到现场，进行更换服务。

<九>、根据用户的实际需要，可安排用户到防雷厂家进行实地考察和培训。

设计基础

雷电是由天空中云层间的相互高速运动、剧烈磨擦，使高端云层和低端云层带上相反电荷。此时，低端云层在其下面的大地上也感应出大量的异种电荷，形成一个极大的电容，当其场强达到一定强度时，就会产生对地放电，这就是雷电现象。

雷电的表现形式主要有两种：

一种是直击雷，是指带电云层与大地上某一点之间发生迅猛的放电现象。直击雷威力巨大，雷电压可达几万伏至几百万伏，瞬间电流可达十几万安，在雷电通路上，物体会被高温烧伤甚至融化。通常在建筑物顶部安装避雷针或避雷网等来防直击雷。

另一种是感应雷，是指当直击雷发生以后，带电云层迅速消失，而地面上某些范围由于散流电阻大，以致出现局部高电压，或者由于直击雷放电过程中，强大的脉冲电流对周围的导线或金属物因电磁感应而产生高电压以致发生闪击的现象。

一、雷电干扰的入侵路径

常见的雷电干扰的入侵途径及原因，有如下四种：

1.当建筑物本身受雷电直击时，巨大的雷电流入地会产生地电位抬升，造成地电位反击

2.损毁设备；并且经下引线流过的大量电流，亦产生磁场冲击波。

3.当远端的导线因雷电而产生感应电流会经导线传导过来。

4.当云层间放电时，强大的电磁冲击会在邻近的地上金属导线感应出冲击电，并且磁场冲击会漫延到地上的建筑物.5.另外，内部操作过电压，如变压器的空载，电机的启动，开关的开启等，也能引起强大的脉冲冲击电流通过线缆引入，破坏电子设备。由感应雷引起的事故约占雷害事故的80%至90%。针对感应雷的破坏途径，我们可采取接地、分流、屏蔽、均压等电位等方法进行有效的防护，以保证人身和设备的安全。

防雷器的作用就是在最短时间内将线路上因感应雷产生的大量的浪涌电流释放到地网，使建筑物内各点之间电位差大致不变，从而保护设备。

二、接地系统

接地是避雷技术最重要的环节，不管是直击雷、感应雷、或其他形式的雷，最终都是把雷电流送入大地。因此，没有合理而良好的接地装置是不能可靠地避雷的。接地电阻越小，散流就越快，被雷击物体高电位保持时间就越短，危险性就越小。对于计算机场地的接地电阻要求≤4欧姆，并且采取共用接地的方法将避雷接地、电器安全接地、交流地、直流地统一为一个接地装置。如有特殊要求设置独立地，则应在两地网间用地极保护器连接，这样，两地网之间平时是独立的，防止干扰，当雷电流来到时两地网间通过地极保护器瞬间连通，形成等电位连接。

三、防雷等电位连接

等电位连接的目的，在于减少需要防雷的空间内各金属部件和各系统之间的电位差。穿过各防雷区交界的金属部件和系统，以及在一个防雷区内部的金属部件和系统，都应在防雷区交界处做等电位连接。应采用等电位连接线和螺栓紧固的线夹在等电位连接带做等电位连接，而且当需要时，应采用避雷器做暂态等电位连接。

四、屏蔽和分区防雷保护

从雷电的入侵途径可知，雷电会产生强大的电磁波，在周围的导体上产生感应雷电流，也会构成对电子设备的直接冲击损坏。据资料统计，2.4高斯的电磁波冲击就能造成电子设备的直接损坏，0.03高斯的电磁波冲击就能造成电子设备的误动。屏蔽是减少电磁波破坏的基本措施，包括外部屏蔽措施、适当的布线措施、线路的屏蔽措施。雷电保护区是以屏蔽层为界面来划分的。

国际电工委员会IEC1312《雷电电磁脉冲的防护》对雷电保护区的划分问题，提出了原则性的建议。

篇2：金融系统安全设计方案

为建立有效的洪洞县邮政局金融信息系统安全保障体系,落实系统安全保障责任,根据市局要求特制定本方案.一、总体原则

（一）明确责任。各储蓄网点要建立信息安全治理架构，明确各负责人对信息系统安全管理的职责权限，建立并落实信息安全管理责任制。

（二）主动预防。各储蓄网点要建立邮政信息安全突发事件风险防范体系，建立有效的信息安全风险评估、风险预警机制，对可能导致突发事件的风险进行有效识别、分析和控制，并实施对风险指标的动态、持续监测。

（三）快速响应。各储蓄网点要建立统一指挥、反应灵敏、功能齐全、协调有序、运转高效的信息安全应急管理机制，确保突发事件发生时响应及时、联系畅通、操作准确、处理高效。

（四）持续改进。各储蓄网点要定期评价信息系统安全运行、建设和管理工作，定期对各信息系统进行风险评估，定期对各信息系统的安全建设方案进行完善，定期对各信息系统安全责任人进行考核，持续改进信息系统安全运行、建设和管理工作，不断提高邮政金融信息系统的风险防范能力。

二、问责机制

（一）各储蓄网点的负责人为本机构信息系统安全保障的第一责任人，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，明确各部室、班组及支局所为信息系统安全保障责任单位。

（二）各储蓄网点要将信息系统安全保障责任分解细化，逐项落实到具体责任人，强化信息安全管理执行力。

（三）对以下情形，县局将视情节轻重，追究责任。对于信息安

全管理失职并造成不良后果的，情节轻微的，将给予通报批评；情节严重的，将依照经营责任制进行处罚；视情节特别严重的，将依据有关法规追究法律责任。

１、因信息安全管理人员失职或风险防控整改措施不到位，导致邮政金融信息系统发生信息安全事件；

２、对发生信息安全事件应对不及时、处理措施不得力，造成故障时间延长、等级升级、事态恶化以及经济损失或社会不良影响扩大，甚至出现挤兑影响到金融秩序稳定的；

３、不遵守有关信息安全规章制度，不执行上级的信息安全管理要求，迟报、漏报、瞒报信息安全事件。

三、组织机制

各储蓄网点要建立有效的信息安全治理架构，制定信息安全战略，完善信息安全内部管理组织架构和工作机制，将信息安全管理纳入本单位整体信息科技风险管理框架。

（一）县局成立邮政信息系统奥运保障领导小组，负责统一指挥、协调信息系统安全工作。组长由王锦程担任，副组长由何三明副局长担任，成员由综合办公室、经营部、计财部、安全保卫部及后勤中心的负责人共同组成。

（二）县局邮政信息系统奥运保障领导小组下设办公室，负责组织实施信息安全管理措施。

（三）县局安全保卫部是全网安全的归口管理部门，负责安全保卫、治安、消防安全等；计财部负责信息系统安全资金安排；经营部负责技术与业务之间的协调和业务应急安排工作；综合办公室负责信息安全责任考核和系统安全项目的工程实施，以及网络、前置机、机柜、应用软件的日常运行维护和管理工作；后勤中心负责网络设备及其他电力设施的供电保障。

四、监督机制

县局将通过组织专项检查、抽查等方式，建立起非现场检查、现场检查、应急管理、风险提示、协同保障等工作机制，指导并督促各部室、班组及支局所加强信息安全管理，落实信息系统安全保障责任。

（一）非现场检查。建立非现场检查机制，通过资料分析，及时发现风险点，有针对性的向各部室、班组及支局所发出预警，指导整改工作。

（二）现场检查。建立现场检查机制，定期和不定期组织信息安全现场检查，开展差距分析、后评价等监督措施，不断督促各储蓄网点落实责任。

（三）应急管理。建立应急管理机制，督促各部室、班组及支局所建立应急管理机制，开展信息安全应急演练，不断提高应急处置能力。

（四）风险提示。建立风险提示机制，适时就邮政金融信息系统风险发出提示，便于各部室、班组及支局所及时掌握信息安全风险态势，落实风险防范措施，不断增强风险防范能力。

篇3：金融系统安全设计方案

(一) 第三方物流概念

第三方物流 (The Third Party Logistics) 是指不拥有商品、不参与商品买卖, 只以契约为约束, 以联盟为基础, 为供应方或需求方提供专业化的物流增值服务。

(二) 第三方物流服务内容

第三方物流提供服务不仅有运输、仓储、配送、流通加工、包装、装卸搬运、信息服务、客户服务等基本服务, 还为顾客提供诸如“门到门”服务、“准时制”服务、“零库存”服务和“24小时”服务等增值服务内容。

(三) 第三方物流信息系统概念

第三方物流信息系统 (Information System of Third-party Logistics) 是把各种物流活动与某个一体化的过程联结在一起的通道, 第三方物流一体化过程建立在4个层次上:基础信息、管理控制、决策分析、以及制定战略计划系统。它具有可得性、精确性、及时性、识别异常情况、灵活性和界面友好规范等特征。

二、金融危机下的中小型第三方物流企业主要问题表现

二十一世纪是物流飞速发展的新时期, 尤其是随着市场的不断扩大、客户服务要求越来越高, 第三方物流同样成为企业实力增长、国家经济不断提高的加速器。但随着2011年下半年世界性的金融危机爆发, 给各类企业带来了巨大冲击, 特别是中小型第三方物流企业作为各企业的物流服务商同样也存在危机, 如何使中小型第三方物流企业建设先进的第三方物流信息系统来摆脱金融危机影响成为我们物流人才思考的问题为世人所关注。

中小型第三方物流企业在金融危机下显现的问题:

(一) 信息流延时处理

企业财务会计部门和物流信息管理部门不能及时的获得信息, 使得企业管理人员做出错误判断。同时由于物流信息链的增长, 对数据出错率来说有着很大的负面影响。就企业仓储入库作业来说, 从货物订单的计划、传递、信息处理一直到货物到库都起着极大的延迟作用。

(二) 企业信息资源不能实现透明化和实时化

企业监管部门不能实时的对企业发生的各种业务进行核算和监控, 可能会出现许多与现实运作相反的信息, 对企业造成不可估量的损失。同样的由于企业信息资源不能实现透明化也可能会造成合作企业运作计划出现巨大的变化, 给合作企业带来一定的负面影响。

(三) 信息量过大不能及时为领导决策提供依据

在仓储过程中, 很多企业运用手工处理单据, 使仓储信息不能及时传递造成数据统计困难, 影响了公司业务量的计算。

因此, 要进一步提高公司物流管理水平, 就需要借助先进的企业物流信息管理系统。

据统计, 我国目前1000万家中小型第三方物流企业中, 实现信息化的比例还不到10%。中小型第三方物流企业的信息化更是亟待起步。但不少中小型第三方物流企业经营者都表示, 目前市场上的物流管理软件至少在10万元到30万元左右, 他们认为投入风险太大, 真正适合的产品太少。另一方面, 物流软件供应商过多关注高端客户群, 忽略了中小型第三方物流企业这块市场, 这也是中小型第三方物流企业信息化难以实现的重要原因。

三、中小型第三方物流信息系统设计方案

盛信帕索物流信息系统 (Sensing Parcel Logistics Information System, 以下简称SPLIS) 在程序结构方面, 采用BS (浏览器-服务器) 模式进行构建, 其中服务器段的程序使用MVC结构, 见图1。SPLIS大致可分为以下几个部分:应用对象层、数据层、逻辑业务层和表示层。其中应用对象层 (模型层) 用以表示业务数据, 或者业务逻辑;数据层 (具体说来应该是“数据控制层”) 控制整个程序与数据库的连接和所有具体的数据库操作;逻辑业务层根据用户的输入, 控制用户界面数据显示和更新model对象, 并响应各种简单的网页事件;表示层 (视图层) 是应用程序中用户界面相关的部分, 是用户看到并与之交互的界面。这四层中, 数据层和业务逻辑层又共同组成控制层。

以下将把上述框架分成三个部分逐个进行分析:数据层、业务逻辑层、表示层。由于应用对象层 (模型层) 结构比较固定, 内容也十分简单, 故这里不单独进行分析, 当有涉及时, 将嵌入对应层的说明中间进行介绍。

货运信息平台的数据库使用全网站统一的SQLServer数据库, 具有独立的数据库服务器, 以提供强大的数据处理能力。

四、总结和展望

在金融危机的巨大洪流下, 中小型第三方物流企业通过建设满足客户服务的物流信息系统积极面对这一严峻形势同时为中国中小型第三方物流企业提供一套适合国情和市场情况的高效物流信息系统。

摘要：2011年下半年世界性的金融危机爆发给各类企业带来了巨大冲击, 特别是中小型第三方物流企业作为各企业的物流服务商同样也存在危机, 如何使中小型第三方物流企业建设先进的第三方物流信息系统来摆脱金融危机影响成为我们物流人才思考的问题为世人所关注。

关键词：第三方物流,金融危机,物流信息系统

参考文献

[1]吴青一.物流管理[M].北京:中国物资出版社, 2005.

[2]蔡淑琴.物流信息系统[M].北京:中国物资出版社, 2002.

[3]戴维.J布隆伯格 (David J.Bloomberg) , (美) 史蒂芬.勒梅 (Stephen LeMay) , 乔.B.汉纳 (Joe B.Hanna) 著, 雷震甲, 杨纳让译.综合物流管理入门[M].北京:机械工业出版社, 2003.

篇4：金融系统安全设计方案

【关键词】煤矿机电；安全；监查

1.硬件结构设计

该煤矿安检设备的基本功能有：煤矿各工作面瓦斯浓度的实时采集记录并显示；瓦斯浓度超标报警；井下风速采集记录；负压（压力力）记录；一氧化碳浓度采集记录；温度采集记录；水泵电机工作状态；风机工作状态；绞车工作状态；电源过压报警；失流报警；缺相报警；班次产量记录；开关量采集及设备控制；载波数据传输；GSM/GPRS无线通信；参数设置；数据存储；电源自动切换管理以及系统自检等功能。设备分为井下数据采集终端和地面数据集中器两部分。

2.采集终端设计

数据采集终端是用来采集、监测、控制井下设备状态并将数据记录上传给集中器的装置，可同时采集16路的开关量和16路模拟量，并经A/D转换形成数字量，安装在井下防爆箱内。它为各类传感器提供工作电源，并以RS485总线方式通信；与集中器间以载波通信方式进行数据交换。集中器间采用载波通信方式，集中器可定时或随时召唤井下各设备参数并存储。

瓦斯传感器安装在井下各采煤工作面及巷道上，以采集不同点的瓦斯浓度。量程为0-4%CH4，供电方式采取采集器统一直流l5V供电，保障其安全性。当井下瓦斯浓度超标时，采集终端发出报警，报警灯不停闪烁的同时又通过语音报警以提示人员进行紧急撤离。同时监控室里的集中器也发出报警，提醒地勤人员采取紧急措施。另外，在报警同时打开风门及风机进行抽风，以降低瓦斯浓度。同样，当井下一氧化碳浓度超标也会发出报警。需注意的是，由于气敏传感器都有一定的使用寿命，因此最好一年更换一次传感器，以保障测量的准确性。

巷道风量的测量采用矿用智能风量传感器，期，其测量范围为风速0.3-15m/s；坑道断面积小于30m2；允许误差小于+0.3m/s；重复性误差读数值+1%；输出信号为200-1000Hz/5-15Hz或4-20mA/1-5mA；工作电压为Dcl5v；工作电流小于60mA；换能器工作频率为l40-150kHz。经A/D转换（或v/F转换）后，可测得其通风量的大小，以了解井下空气质量等。

由于井下到处都是易燃的煤，因此，当温度过高时极易发生自燃的情况；由于井下燃烧为不完全燃烧，因此会产生大量的一氧化碳。上述情况会导致井下人员的一氧化碳中毒，当遇到明火时还会产生爆炸。因此井下温度的测量很重要，尤其对于那些井下较干燥的矿井显得更加必要。根据现场情况可安装多个温度测量点以监控井下温度的变化。

井下巷道均由钢架或木架支撑，为防止冒顶、坍塌等危险情况造成人员重大伤亡和财产损失，井下需要实时巡检巷道压力情况，并及时整修。因此，在承重架下安装压力传感器实现压力应变的实时监测，可及时检测到出现的险情，从而能够避免重大事故的发生。

井下设备大多为防爆型没备，因此价格较一般同类型非防爆设备高许多。当出现过压、失流、缺相或三相不平衡等情况时，常会烧坏电机造成停产，从而造成重大的损失。为尽量杜绝或减少出现此类状况后造成损失。在电机进线上安装精密的电压、电流互感器，实时监测电压电流的变化。当出现非正常变化时及时报警，超出预定值时自动断开电源以保障没备的安全。

井下设备的工作状态是否正常对安全生产：非常重要，因此对风机、水泵、绞车等重大没备工作状态的监测是采集终端的另一重要功能。实时监测这些设备的二次触点等开关量，然后经光电隔离、整形、限流电路接到单片机端门，单片机可根据这些开关状态来判定设备的工作状态。另外，主控室还可通过集中器向采集终端下发某设备工作状态命令。

3.数据集中器设计

数据集中器是放置在主控室用来汇集、监测井下设备运行状况、对异常情况进行报警及显示，并能上传的设备。同时，它还具有对地面绞车运行状况实时监控、计量提升煤罐次数并计算生产量的功能。数据集中器可同时管理多个井矿下的采集终端设备，采用大容量掉电非遗失数据存储器NVRAM，对井下各测量点数据可进行定间隔（1-60mim可设）存储一个月的数据；可根据矿上生产情况设定班次及上下班交接时间，同时采集、计算并保存当前班、上一班、上上一班的生产量作为工人工作量核算的依据。采集方法是：在罐笼提升绞车电机进线上安装电压、电流互感器，利用绞车档位控制开关的空触点进行上下、档位的辨别，根据罐笼提升重量的变化导致电机输出功率的变化来判别出是空罐、上下人员还是煤罐。需注意的一点是：由于厂矿电压昼夜变化都较大，因此根据公式P=U×I可看出当电压变化时电流也随着变化.电流互感器感应电流也会随着变化，另外还会出现提升过程中罐笼撞绑导致感应电流瞬时过大的情况，也会有为防止罐笼过度摇摆出现危险而在提升过程中暂停（也叫稳绳）的情况。所以，在实际应用中对提升过程采集的信号经A/D转换后，还需要进行求平均值以及设置稳绳时间、空罐重量参数、正常罐重参数、超重报警参数等参数的没置。根据提升有效罐次乘以标准罐煤重量计算出当前班次的产量，到换班时间没备自动进行换班存储，将当前班次产量转存为上一班次，上一班次转存为上上班次，依次循环。对于小型煤矿，这样的产量统计方式可以避免因错计、漏计、少计的人为因素而导致矛盾的发生。

为便于进行参数的设置，集中器还具有人机接口。液晶显示采用清华蓬远公司内藏T6963C控制器的液晶模块，分辨率为128×64点阵，能显示汉字和图形，可当地通过键盘进行参数设置、远动控制操作等。实时刷新显示井下各采样点的数据及各设备开关状态，当井下瓦斯浓度、温度、负压、一氧化碳浓度等超标时，集中器面板上各对应报警LED进行闪烁报警、并显示出报警点所在位置，同时伴有语音报警。

集中器与采集终端之间通过低压电力线进行载波通信，可实时召唤、存储各采集终端下属设备当前状态字及数据.并讲行显示。用户可通过RS232串口、红外或RS485接口实现本地计算机与集中器的数据交换，也可通过计算机经集中器对各设备进行开、停控制。本方案中还增加了GSM/GPRS通信方式，当设备出现重大报警时，集中器自动将报警内容通过短消息的形式发给预定义好的手机，或者通过GPRS式将各数据记录及报警记录上传到主管部门的计算机。这样做可以实现无人值守的要求。

4.软件设计

本方案所涉及到的软件设计包括三部分：运行于数据采集终端中的数据采集、报警、控制及通信程序；运行于数据集中器中的数据采集、通信、报警及人机接口程序；运行于PC机上的后台监控、数据库等程序。

数据采集终端中的程序采用C51语言编写，数据集中器中的程序也采用C51语言编写，PC机上的后台监控程序即图形界面用户应用程序，是通过Vistlal C++开发环境编写的，采用串行口中断的异步通信方式实现与无线MODEM通信；后台数据库程序采用Microsoft SQL Server2000编写。

5.结论

篇5：金融系统安全设计方案

高速铁路防灾安全监控系统设计方案

首先介绍了高速铁路对防灾安全监控系统的需求分析;其次在此基础上重点对风监测系统、落物监测系统和地震监测系统设计方案进行了探讨;最后对防灾安全监控系统设计重点、难点进行了研究,提出了工程实施注意事项和建议.

作者：沈志凌 Shen Zhiling 作者单位：中铁第四勘察设计院集团有限公司,武汉,430063刊名：铁路通信信号工程技术英文刊名：RAILWAY SIGNALLING & COMMUNICATION ENGINEERING年，卷(期)：6(3)分类号：U2关键词：高速铁路防灾安全监控系统方案

篇6：金融系统安全设计方案

中国建设银行股份有限公司***********面积420平方，位于兴华路月一行路交叉口含客户自助服务区、加钞间、封闭柜员区、办公室、营业大厅、智能服务区、客户等候区、多功能厅、理财室、非现金服务区、理财室、更衣＼资料室、客户洽谈室、会议室、设备间等。根据公安部及中国建设银行股份有限公司各级部门的要求设置视频监控系统、远程联网系统、110报警系统、消防系统。严格按照《银行营业场所安全防范要求》进行设计与施工，分述如下：

一、实体防护设施部分

现金出纳柜台上方安装三门峡华晶安全玻璃有限公司的F79B-27-XF防弹复合玻璃。每块防弹复合玻璃均采用单块无错位安，宽度≤1800mm，高度≥1500mm，单块面积不大于4㎡。防弹玻璃上方封至顶部（天花板）。为便于通风，天花板至楼板底部采用直径16mm的间距不大于100mm×100mm的方格钢筋防护网。

透明防护屏障的基座（柜台）与地面牢固融为一体。

立柱的钢结构复合GBJ17的要求，采用规格不小于120mm×120mm×5mm槽钢焊接成的基材，下端与地面牢靠固定，上端与屋顶牢靠固定。

横梁的钢结构符合GBJ17要求，采用规格不小于120mm×120mm×5mm槽钢焊接成的基材，与建筑墙体、墙柱和立柱牢靠固定。

防弹符合玻璃四棱进行磨光和倒角正理，通过周边凹槽被柜台、横梁、立柱所固定，嵌入式凹槽的深度不小于40mm。

凹槽与立柱、横梁、柜台等牢靠固定。立柱与墙体的结合部、凹槽与柜台台面的结合部均无缝隙。

防弹符合玻璃周边与凹槽之间加定位块，在凹槽内的防弹复合玻璃周边与凹槽之间填充衬垫物，防弹复合玻璃安装到位后，在凹槽内采用密封胶实施密封。

现金区四周墙面焊制Φ16钢筋防护网@100×100。

现金业务区的出入口安装濮阳市龙城安保技术防范科技有限公司的防尾随用缓冲式电联动门，门体上锁具符合GA/T73的要求。加钞间四周墙、顶、地面、六面体加Φ16钢筋防护网@100×100，与周边结构紧密固定，加钞间安装加钞间用防盗安全门，外加专用防护仓。

二、视频监控部分

中国建设银行股份有限公司***********共设计84路视频监控摄像机：宽动态网络高清枪式摄像机(海康威视、DS-2CD5026XYZUV)5台、宽动态网络高清红外枪式摄像机(海康威视DS-2CD5A26XYZUV)4台、500万网络高清红外枪式摄像机(海康威视DS-2CD5A52XYZUV-EF)2台、宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYUV)37台、宽动态网络高清针孔摄像机(迪威泰DV-IP9303P)8台。共使用8台硬盘录像机，其中包含6台8路硬盘录像机(海康威视DS-8608N-18)，3台16路网络硬盘录像主机(海康威视DS-8616N-18)，每台硬盘录像机配置8块大容量硬盘，中国建设银行股份有限公司濮阳分行台前支

行共设计32路监听，音视频相互印证实现对整个营业网点进行清晰地监控、监听。

1、在营业大厅及自助银行门外环境安装2台500万高清红外枪式摄像机(海康威视DS-2CD5A52XYZUV-EF)构成双向对照系统及营业大厅门口重点防范系统，实时监视、记录出入营业场所人员情况和营业场所出入口20m监控范围内情况，回放图像清晰显示往来人员面部特征、车辆号牌等。同时实时监视、记录银行营业场所出入口50m监控范围内的情况，回放图像清晰显示往来人员体貌特征、车辆颜色、车型等。

2、在营业大厅及自助银行门外环境安装2台宽动态网络高清红外枪式摄像机(海康威视DS-2CD5A26~YZUV)对营业大厅外环境及周边区域进行清晰的监控。

3、在自助银行服务区入口处安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)，实现对进入自助银行服务区人员正面进行清晰的监控。

4、在自助银行服务区安装2台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，音视频相互印证，实现对自助银行服务区人员活动情况进行清晰的监控、监听。

5、在每台ATM机防护舱内安装1台共安装9台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和9只监听，实现对防护舱内环境进行清晰的监控、监听。

6、每台ATM机身分别安装2台共安装18台宽动态网络高清针

孔摄像机(迪威泰DV-IP9303P)，分别对ATM机出钞口和存取

款人员正面进行清晰的监控。

7、在加钞间内安装2台宽动态网络高清红外枪式摄像机(海康威视DS-2CDSA26XYZUV)、1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，对加钞间ATM设备和区域人员活动情况进行清晰监控、监听。

8、在设备间内安装2台宽动态网络高清红外枪式摄像机(海康威视DS-2CD5A26XYZUV)和1只监听，实现对该区域设备运行情况及人员活动情况进行清晰的监控、监听(：根据银行营业场所安全防范要求。

9、在防尾随联动门通道内安装l台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)实现对通过在防尾随联动门人员进行清晰的监控。

10、在每个现金柜台工作人员后上方分别安装l台宽动态网络高清枪式摄像机(海康威视DS-2CD5026XYZUV)、在客户前上方分别安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)，在每个现金柜台正对顾客和工作人员处分别安装1只监听，视频信号和监听信号互相印证，实现在业务办理过程中对现金柜台服务区工作人员和顾客分别进行清晰的监控、监听。

11、在现金柜台内部环境安装2台宽动态网络高清红外枪式摄像机(海康威视DS-2CD5A26XYZUV)和1只监听，构成双向对照系统，音视频信号互相印证实现对该区域进行清晰的监控、监

听。

12、在后台办公区安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CDS 126XYZUV)和1只监听，对办公人员活动进行清晰的监控、监听。

13、在办公室安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，对办公人员活动进行清晰的监控、监听。

14、在会议室安装2台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)，实现对参会人员活动情况进行清晰的监控、监听。

15、在会议室外走廊安装3台宽动态网络高清红外半球摄像机(海康威视DS-2CD5 126XYZUV)，实现对该区域人员活动情况进行清晰的监控。

16、在现金柜台外部安装2台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，实现对现金柜台外一米线区域人员活动情况进行清晰的监控、监听。

17、在营业大厅门斗内安装2台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，实现对进出人员及提款活动进行清晰的监控、监听。

18、在营业大厅入口正对大门安装1台宽动态网络高清枪式摄像机(海康威视DS-2CD5026XYZUV)，实现对经大门进入营业大厅人员正面进行清晰的监控。

19、在客户等候区安装2台宽动态网络高清红外半球摄像机(海

康威视DS-2CD5126XYZUV)和1只监听，音视频相互印证，实现对该区域人员活动情况进行清晰的监控、监听。

20、在每一个开放柜台工作人员后上方安装1台宽动态网络高清枪式摄像机(海康威视DS-2CD5026XYZUV)，在柜台正上方安装一只监听，音视频相互印证，实现对顾客及工作人员活动情况及业务办理过程进行清晰的监控、监听。

21、每台智慧柜员机分别安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，音视频相互印证，实现对通过智慧柜员机办理业务的客户活动情况进行清晰的监控、监听。

22、在每个理财室内安装1台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，音视频相互印证，实现对该区域人员活动情况进行清晰的监控、监听。

23、在客户洽谈区安装2台宽动态网络高清红外半球摄像机(海康威视DS-2CD5126XYZUV)和1只监听，音视频相互印证，实现对该区域人员活动情况进行清晰的监控、监听。

24、在营业大厅公共部位安装7台宽动态网络高清红外半球摄像机(海康威视DS-2CD5~26XYZUV)，实现对营业大厅内填单台、引导台、贵金属展示、提款通道等部位人员活动情况进行清晰的监控、监听。

三、远程联网系统设计

在加钞间、每台ATM机防护舱内、现金柜台内部分别安装1台共安装11台对讲终端面板，在紧急情况发生时可以实现与分行报警中心的双向对讲。

四、报警部分(一)本地报警系统

根据需要，分别在大门口、自助银行入口、加钞间、设备间现金柜台内部、现金柜台外部分别设置入侵红外微波双鉴探测器和LED灯各1个，实现室内空间昼夜报警功能，工作期间出现紧急情况时会自动报警，联动LED灯，同时硬盘录像机通过内部网络将报警信号及相关音视频信息传送至分行联网监控中心。

(二)110报警系统

根据需要，分别在大门口、加钞间、设备间、设备间现金柜台内部、现金柜台外部、办公室窗户、会议室窗户、理财室3窗、户、理财室2窗户分别设置1个入侵红外微波双鉴探测器，在营业厅大门口、自助银行门口和自助银行加钞间分别安装有警号及警灯。以上设备实现室内空间昼夜报警功能，工作期间，出现紧急情况时，会自动报警，警报发生后，报警控制器即发出声光报警信号，同时报警主机利用电话线路与当地公安部门“110”报警中心联网，把报警信号传送到公安局报警中心。

四、消防设施

按照消防工作要求，在自助服务区、加钞间、设备间、封闭柜员区、客户等候区、开放柜员区、资料室分别安装1台豪恩LH-94烟感报警探测器，自助服务区所安装的烟感探测器通过该区域的灯光与音视频系统进行印证，其余部位所安装的烟感探测器通过与相应的部位的LED灯联动实现与音视频监控系统的印证。通过上述措施，及时探

篇7：金融系统安全设计方案

第一章：工程概况

部队军械库的安全防范工程是集人防、物防、技防为一体的安全技术防范系统工程，必须根据防范区域的环境条件和建筑物的特点因地制宜地用点、线、面和空间相结合的多种技术类型的探测器和报警复核手段，构筑具有纵深防护功能的安全防范体系。而振动入侵探测器在军械弹药库内及周界围墙的防护中起到其它报警设备无法代替的作用，众所周知，随着人，财，物的大量流动，犯罪形势也发生较大变化，把罪恶的手伸向军械库，炸药库等，作案手段从破门窗而入逐步向砸墙，掏洞，挖地道等方式转移，并屡屡得手，使国家枪枝药库遭破坏，枪枝流落到社会，随时都会危害着人民生命安全。故此，部队为了预防恶性案件发生，要求在库房和围墙上安装振动入侵探测器，用于墙体防护。军械弹药库是部队重点保护对象，是一级风险一级保护。本方案依据GA26-92《军工产品储存凤险等级和防护级别的规定》和部队安全防范振动报警系统设计任务书的具体要求，结合我们以往的工程经验，在符合目前标准的前提下，参考国内外先进的经验、成熟的技术和库区的实际环境进行全面的安全防范工程设计。

第二章：系统的设计依据及指导思想一．设计依据

军械药库安全技术防范系统工程设计依据：

1，GA/T75-94

《安全防范工程程序与要求》； 2，GAAA/T368-2001《入侵报警系统技术要求》； 3，GA308-2001

《安全防范系统验收规则》；

4，GA26-92

《军工产品储存风险等级和防护级别的规定》； 5，GB7946-87

《带电铁丝网和电围栏的安装和安全运行》； 6，GA247-2000

《监所周界高压电网装置》； 7，部队安全防范振动报警系统设计任务书二．系统设计思想

在系统方案设计中，我们将贯彻如下思想：

树立风险意识：在系统设计中，应加强防范观念，把技防、物防、和人防有机的结合，贯彻“预防为主，防打结合”的方针思想。

优化设计思想：在系统设计中，充分考虑部队对军械弹药库的技防要求，在系统功能上尽可能的完善、适用。以保障安全技术防范系统的有效性和实用性，防止“华而不实”的倾向出现。安全可靠性：在系统布防设计时，要因地制宜，尽量实现纵深防护，以达到防范严密、无懈可击的防范效果。严格遵守国家相关规定及《安全防范工程程序》GTA/T75－94等标准的要求来设计。

先进性：在系统设计过程中，我们充分考虑到现代电子技术的发展，考虑目前国内外的发展水平和先进经验，确保系统在国内处于领先水平。

经济性：在配置系统时，充分利用用户的投资和设备的性能价格比，在系统扩充时，充分利用武装部已有的设备，有效的保护用户的投资。树立保密意识：加强保密管理，做好保密工作。

第三章：系统综述一．系统组成：

本系统是以中心控制室为中心，以入侵报警系统为核心，以声音复核、图像复核、电视监控和通讯系统等组成，通过集成将每个子系统融为一体，构成一个具有自动化智能化的功能设置完善、综合防范能力强的现代化的安全技术防范系统。现分别介绍如下：

（一）入侵报警系统：

入侵报警系统主要是针对军械弹药的库房、通道及围墙等进行报警设防，该系统对入侵盗窃、非法进入限制区域可自动发出声光报警，自动记录。当某个报警点发出报警信号后，可通过导线传送到监控中心内的报警控制主机（或视频数字硬盘录像机）进行声光报警，启动射灯。

（二）高压脉冲电网系统：

高压脉冲电网系统是周界报警系统的技术手段之一，它利用高压脉冲（微电流）技术来阻挡入侵者越墙而入，实现触摸电网、剪线、短接电网报警，并给入侵者身体及神经上的严重刺

（三）传输系统：

传输系统是指报警信号的传输电缆线。如：

防盗报警主机的信号传输，采用总线制，探头与模块之间由四芯电缆传输（RVV4*0.3），模块与报警主机之间也由四芯电缆传输（RVV4*1.5）,最远传输1500m。分析器与振动传感器之间的连线可采用二芯屏蔽线RVVP2X0.3（围墙用）。本系统管线暗敷设，防止干扰。

（四）主控系统：

报警控制主机：

报警控制主机可输入密码，具有布防、撤防、声光报警、报警联动等功能

总之，从智能化安全技术防范系统工程原理上讲，是由信号采集、信号传输、信号处理和信号记录三部分组成，即安装在前端的报警探头和电网所产生的报警信号、通过导线或计算机网络传送到报警中心，通过报警控制系统进行显示和记录下来。

二．系统主要性能与技术指标

（一）入侵报警系统系统技术指标

系统报警探测控制区域内的漏报警指标应为0，最大限度减少误报率；报警响应时间≤2秒，报警确认和复位时间≤4秒；

报警控制器有声光报警功能，有“布防”与“撤防”预置，剪线、短接、探测器非法拆开报警功能；

报警声压≥80db；

报警联动：当报警后能控制射灯开启，视频图像报警录像，联动时间≤4秒；

（二）电网系统技术指标 1．输入电压：180～240V（50HZ）2．额定输出：1～4路5000V 3．触网打击电量：40mc

4．报警输出：DC12V、常开/常闭、并口打印机及RS485输出 5．信号灯输出：AC220V≤6A 6．系统自动恢复时间＜20S

7．消耗功率：＜50W

（三）备用电源：

入侵报警系统备用电源：容量保证系统正常工作时间≥8h；

第四章：系统设备的配置及选择

系统的设备配置是否合理极为重要，它是一个公司的技术实力和工程经验具体体现，作为乙方，除了遵循国家标准规范和设计任务书的具体要求外，还要灵活认真的将前端设备与终端设备选配好，否则达不到部队要求的效果。选择设备时应按照“质量第一、运行稳定、系统可靠、技术领先、性能优良”的原则，主要设备应采用国内外处于领先地位的新技术、新设备，才能达到全天候、自动化、及时取证的目的。

第一节：报警系统设备配置及选择：

报警系统在军械弹药库安全技术防范系统中起着核心作用，它直接关系到军械库的安全问题，所以必须重视，根据库区的环境和投资进行合理的配置。

一．前端设备的配置及选择： 1.军械库报警探测器的配置及选择： B7110-5AJT1全方位墙振动入侵探测器是由北京康明技通技术开发有限公司研制的，已广泛应用于各大银行金库、部队军械弹药库炸药库等，并通过了国家强制性3C认证和军用安全技术防范产品安全认证，同时参加了2009年全军由总装备部在京某团级军械弹药库试点安装演示，受到部队的认可和好评。

库房墙振动探测器的配置及选择：

库房是部队军械弹药库安全防范系统中的第二道防线，是入侵者攻击的目标，根据库房的实际结构环境，应选用北京康明技通技术开发有限公司生产的B7110-5AJT1墙振动入侵探测器，其特点：

B7110-5AJT1是一体化振动探测器（分析器与传感器不分离）；控制范围广：每只振动探测器可控制10-15m2的房间（高3－4m）。

全方位控制：入侵者用工具敲击所安装的振动探测器墙体及相邻墙体（地面、房顶），敲击时均可引起报警；

灵敏度控制：

用工具敲击库房墙体的次数控制，可选8、16、32脉冲频点；

用工具敲击墙体的力度控制，可调节A1电位器；

报警延时：2－8秒；

报警输出：继电器输出（警戒为常闭、报警时常开）。

误报率低：在电路中采用特殊信号处理电路，使之误报率最小，不易引起误报警；防拆功能：打开探测器盒盖时报警。

电源：11-13VDC 警戒电流≦40mA，报警电流≦15mA。使用环境：－10℃－＋40℃，相对湿度≤80％。外形尺寸：振动探测器：126×64×45（mm）；高压脉冲电网设备配置及选择：

而我们选用了深圳生产的LX-2000智能电网监控系统，其特点：

报警功能：人员触摸电网、剪断电网或短接电网报警，并联动射灯亮，高音喇叭响。采用LCD液晶显示，全面监控电网的报警信息。

随意设置触网触发阀值、存储器保存（出厂时已按常规预设好），可满足其他特定要求。标准RS485接口，可与值班室计算机联网，进行存储或打印。

技术指标：

输入电压：180～240V（50HZ）额定输出：1～4路5000V 触网打击电量：40mc

报警输出：DC12V、常开/常闭、并口打印机及RS485输出信号灯输出：AC220V≤6A 系统自动恢复时间＜20S 消耗功率：＜50W

设备配置表：

智能高压脉冲电网主机

1台高压升压器

1台电压适配器

1台高压升压器箱1个高压线末端保护电阻 1只触网测试电阻 1只高压线 3米警号 1只

其它附材参看报价清单;二．终端设备的配置及选择：

前端共有8个报警控制区，大小8个库房为8个报警点。为以后扩充方便，可选用美国霍尼威尔公司生产的DS7400XI多防区总线式周界报警系统设备。总线式报警主机的技术特点是稳定可靠、报警快捷、设计简单、施工便利。

本系统是以DS7400总线式报警主机为核心，采用双总线系统，84个双鉴探测器和一套报警管理软件，为用户组建一套功能先进、价格合理、质量稳定的周界报警安防系统。

设备的详细介绍如下：

1．DS7400XI主机

功能特点：

两总线式扩充方式，可扩充248个防区，能支持无线扩充防区。可分为8个独立操作的分区，并可分区通讯。

可接多至15个控制键盘，可对8个分区进行独立布/撤防。200组个人操作码，并分有不同的操作权限。可储存400个事件记录，可打印和显示输出。可自动布/撤防。

可提供16个报警输出口，可跟随分区及其它报警事件输出。可由软件通过计算机远程遥控编程及操作。具有出入口控制、密码锁功能。

内置拨号器，支持contact、ID、SIA、4+2等多种通讯格式，能直接与110联网。能与计算机直联通过警卫中心软件对系统实施控制管理，支持LAN网转输信息。支持液晶显示英文键盘，能通过远程遥控操作、键盘操作、钥匙开关、无线遥控等方式对系统进行布/撤防。

可以自动检测系统内部的故障并显示。

报警联动：可通过1台DSR32C报警联动模块即能实现与16路数字硬盘录像机的报警联动。

2.总线驱动器模块DS7436

总线驱动器是连接防区地址模块与DS7400XI的接口设备，内置于DS7400XI主板上。

3.8防区扩充模块DS7432

DS7432是一体积小，连接安装方便的总线式八防区地址模块。

4.液晶键盘DS7447

DS7447是一种英文液晶显示的控制操作键盘，并具有声光报警的功能。可作为主键盘管理所有分区。

5.RS-232串接口模块DS7412

DS7412是连接DS7400XI与PC机之间接口模软件块，实现报警管理软件对DS7400XI的控制与管理。

6.报警监控软件CMS7000

报警管理软件CMS7000是与DS7400XI-CHI直接相连的管理软件，以windows作为操作平台它可管理多台DS7400XI-CHI，对DS7400XI-CHI的报警数据及处警方式以表格和地图的方式表现。该软件具有全中文操作界面，详细用户资料管理。报警资料自动备份、信息自动处理、语言报警、地图显示等功能。并提供二次开发接口，方便系统集成。1）电子地图显示，多媒体操作方式 · 多级电子地图，自由设置各子系统图标 · 点击图标直接进入相关设备的控制 · 自定义声音报告各种警情 2）显示板技术：

· 自行制定多个显示板，分类显示各子系统的设备 · 清晰可视各个子系统的状态

· 点击显示板图标直接进入相关设备的控制 3）自动处理、自动打印：

· 对警情分级处理，可选择自动，减轻操作员负担 · 对警情和系统事件的打印，可以选择自动或手动 4）多系统集成在统一的平台上操作与控制

7.报警打印机：

TW7400防盗报警打印机是用作记录防盗报警主机的操作、报警及一切工作状态的专用中文打印设备。

采用串行接口，联接方便简捷实时打印主机操作及报警信息独立时钟设计使信息记录时间非常准确具备中、英文两种版本供用户选择

不间断电源设计，断电后24小时内仍可接收并存储信息具有20条信息的存储并随意打印输出 ABS塑料外壳，精巧的结构设计，外形美观体积小，重量轻，安装使用方便第二节：振动探测器的安装：库房墙振动探测器的安装：第一步：打开上盖

使用一字型小起子插入卡扣孔取下上盖；

第二步：产品安装

振动探测器的灵敏度与探测器的安装位置及墙的结构有关，为了减少其它设备振动源（如重型汽车、拖拉机、火车的行驶或放炮等）的干扰，要求振动入侵探测器（振动传感器）必须垂直于库房墙和围墙安装，并与墙牢固于一体。现将安装位置及方法分别介绍如下：

库房墙的安装：

库房是由四面墙体和房顶及地面牢固的组合在一起，其它设备振动源（汽车、火车、拖拉机及放炮等引起的非人为振动）对库房的干扰较小，所以振动入侵探测器适应任何大小不等的库房的安装。

根据现场情况堪察，该军械弹药库是由几个小库房组成的2个库房群，长56m，宽9.8m，这种情况将振动入侵探测器安装在对外的四面墙体足可以保证库房的安全：

1#库房振动入侵探测器的安装：库房是由2面窄墙（9.8m），2面长墙（10.5m）和房顶及地面牢固组合在一起。可在外侧墙的中间高2米处安装2个振动入侵探测器。分别在长的2面墙分别安装2个振动入侵探测器（安装时将振动探测器尽量安于两个墙垛中间，高2米）。

2#、7#库房振动入侵探测器的安装：这两个库房都是由长10.5m，宽9.8m的墙组成，它们都是在库房群的中间，只有长10.5m的墙在外侧，所以只在4面长10.5m的墙的中间分别安装2个振动探测器就可以。

3#库房振动入侵探测器的安装：该库房长14.98m，宽9.8m，也是在库房群的中间，所以2面在长的那面墙分别安装3个振动探测器就可以；

4#、6#、8#库房振动入侵探测器的安装：这3个库房都是长20.02m，宽9.8m，其中4#、8#库房在库房群的东侧，有3面墙在外侧，所以这3面墙都需安装振动探测器，可以在4面长20.02m的墙上分别安装4个探测器，宽9.8m的墙上安装2个探测器，6#库房在库房群的中间，在2面长20.02m的墙上分别安装4个探测器就可以；

5#库房振动入侵探测器的安装：5#库房在库房群的西侧，有3面墙在外侧，可在2面长5.95m的墙上分别安装1个探测器，宽9.8m的那面墙安装2个探测器就可以；

第五章：系统功能一．报警系统功能：

1.系统的可扩展性：本套系统为总线制，通过一根总线可扩展到248个报警防区，总线长不可超过1500米；

2.电子地图显示：通过多媒体计算机，显示前端报警点的位置。在主机布防后，前端任一个窗户或门口的探测器报警，在计算机上都会看到电子地图上的指示灯闪烁，室内高音喇叭响。

3.资料存储：可存储400条报警时间及布控状态（设防及撤防时间等）记录； 4.周界全面设防，无盲区和死角； 5.探测设备抗不良天气环境干扰能力强； 6.报警中心具备语音/警笛/警灯提示；

篇8：MES系统安全方案设计

1. 网络结构。

要建立MES系统, 首先应该搭建好一个基础生产网络平台, 经过前期的调研, 长庆石化公司共有常减压、催化裂化等10套DCS控制系统、3套外围小型PLC系统及1套总线系统需要接入生产网络进行数据采集。DCS、PLC系统交换机、Buffer数采机、生产网三层交换机、专网防火墙等硬件设备通过生产网将采集数据上传至位于办公网络的MES服务器群, 我们根据数采实际需求搭建公司三级交换的MES生产网。

2. 网络访问安全设计。

针对这些网络安全问题, 我们设计如下网络安全设计方案:首先是在BUFFER机安装双网卡, 网卡B与DCS/PLC系统相连, 网卡A与生产网络接入层交换机Z2928相连, Z2928上联至生产网核心交换机Z8905, 然后通过防火墙接入办公网的实时数据库PHD服务器。由于有双网卡的隔离, 就把生产网和控制系统隔离开来, 这样从硬件层面来说可以避免两个网内的计算机对控制系统直接进行攻击。

网络安全设计方案中最关键的是在生产网络和办公网络之间连接处放置一台硬件防火墙, 增加访问控制列表, 只允许办公网的MES服务器网段访问, 提高MES服务器的安全性。关闭相关网络接口和协议, 只允许特定的通讯端口1521、3100、54***等通讯。做单项传输策略隔离, 确保只有生产数据单向传送到办公网, 办公网无法传送数据到生产网, 当办公网爆发病毒时, 自动阻断了企图从办公网传播到生产网上的病毒会话, 也就保证了生产控制系统不会受到办公网的不良影响。

二、系统软件安全设计

除从网络上杜绝了MES系统的安全故障, 还要防范系统内软件造成的安全漏洞。

1. 操作系统安全设置。

操作系统的安全设置, 主要涵盖了系统补丁升级、病毒防护的部署、访问规则、WIN2003安全设置这几个方面。

1) 部署Windows补丁分发服务器, 对数据库服务器PHD采用自动补丁升级, 以无人值守的方式完成操作系统补丁的实时更新。

2) 禁用或删除不是应用必须的默认账号, 及时清除不再使用的用户账号。

3) 把共享文件的权限从“everyone”组改成“Authenticated Users”。

4) 删除系统所有的不必要的文件共享, 限制用户对共享文件的访问权限。使用NTFS文件系统。

5) 关闭不必要的服务。除非应用需要, 否则PHD服务器上应关闭以下服务:Messenger、Spooler、Routing and Remote Access、Clip Book Server服务。

6) 如果不需要就应关闭系统的默认共享。

7) 禁止ADMIN$缺省共享、禁止C$、D$一类的缺省共享。

完成了以上的系统基本设置, 再通过IPsec来制定BUFFER机与MES服务器之间的访问规则。通过创建IP安全策略, 将相关联的BUFFER机和MES服务器IP地址和端口加入策略中, 最终实现操作系统的自身安全防护。