■ 郝大为 / 中国航发西航
安全是航空发动机企业生存发展的基础保障。基于信息化技术的安全防范体系建设、提升企业安全防范水平是保证企业正常运行发展的重要手段。健全的安防网络作为安防系统应用的基础,在现代社会的企业发展中发挥着不可或缺的作用,是构筑企业安全防范体系的重要组成部分。
在企业管理中,人力资源管理、成本管理和生产管理等一般都会受到重视,而安全防范系统建设则容易被忽视。如果没有安全、稳定的生产局面,企业的发展将是一句空话。要保证企业安全防范系统的高效、智能运行,就需要一套完整的安全防范网络提供技术支持。因此,加强企业安全防范网络建设的研究对于提高企业的管理水平有着十分重要的意义。
安全防范是指以维护企业安全为目的、以安全防范技术为先导、以人力防范为基础,通过视频监控、出入口控制、入侵报警等安全防范技术手段建立的一种具有探测、延迟、反应等有序结合的安全防范服务保障体系,为企业的稳定运行提供基础环境保障。
企业安全防范网络是为企业安防系统提供信息采集、传输、控制、显示、存储、处理等功能的综合专用网络。安防网络在企业安全防范体系中起着基础性支撑作用,要实现由不同设备、异构网络组成的各类安防子系统间的互联、互通、互操作,综合、高效地利用各种监控和报警的信息资源,在企业范围内建设一套安全、可靠、合理的安防网络,其目的是提高安防系统的综合防控能力,加强对安全防范目标的有效控制,最大限度地减少各种安全隐患、不断提高安全预防能力和相关部门处置突发事件的快速响应能力。
为保证企业安全防范网络的作用得以发挥,在建设时应遵循以下几个原则。
一是技术先进性和可靠性。安防网建设要符合发展趋势,技术先进、性能稳定,能与新技术新产品接轨,体现数字化、网络化、智能化的技术方向。可靠性方面主要体现在安防网络的物理隔离和用户权限的分级管理,要实现网络连接冗余、存储备份冗余,以及设备的自动巡检和报告机制。
二是成熟性和稳定性。从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,选用成熟的、模块化结构的产品,降低单点故障风险,保证系统稳定性和安全性,达到最大的平均无故障间隔。
三是经济性和完整性。在设计时,注重良好的产品性价比,节约企业投资。在保证经济性的同时,还要注意系统的完整性设计,具备完备的系统能力。
四是开放性和标准性。采用标准化设备,允许不同厂商标准化设备的兼容,从而使系统具有开放性。
五是可扩展性和易维修性。安防网建设要具备可扩展功能,需要考虑前端设备增加时主题架构的可扩展性。
企业安全防范网络主要由数据交换设备、网络存储设备和安防应用系统构成,如图1所示。
数据交换设备是指通过建立数据通信互联通路来进行大量的数据和指令交换的设备,安防网中所指的数据交换设备是实现网络数据交换的以太网交换机及传输光缆。目前,主流的企业安防网络采用3层架构,即核心层、汇聚层和接入层。其中,接入层到汇聚层的带宽设计为千兆,汇聚层到核心层的带宽为万兆,采用光纤传输模式(数据交换设备的主要架构情况如图2所示)。随着前端需求的不断增加,安防网交换机的数据转发能力也不断提高。
图1 安防网络结构示意图
安防网接入层交换机面向业务终端,主要为安防系统前端提供接入端口。在选择接入层交换机时,既要考虑网络的综合实用性,即根据安防网接入的监控、考勤、门禁、报警等业务数据量的大小,来选择满足所需交换容量、包转发率、带宽大小的交换机设备,也要根据接入层交换机数量大的特点,来考虑经济效益。因此在接入层设备采购时,可以选择数据链路层中较低端的交换机,而不是越高端越昂贵越好。
汇聚层交换机是安防网络核心层和接入层的汇聚点,主要用来减轻核心层设备的负荷,完成核心层设备与接入层设备的数据交互,在整体网络中起着上传下达的作用。根据其业务特点,汇聚层设备具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,同时还要具备网络隔离、分段的作用,因此汇聚交换机多采用支持3层交换技术和VLAN的交换机。
图2 数据交换设备架构示意图
核心层交换机下连汇聚层交换机,上连存储服务器等设备,是整个网络的支撑脊梁和数据传输通道和整个安防网络系统的核心,重要性不言而喻。在企业安防网中,核心层交换机压力为视频监控图像数据和融合安防网考勤、报警、门禁、访客、人员通道、消防等数据之和,所以在选择安防网核心交换机时,必须具备数据交换的高安全性,数据传输的高效性和可靠性,对数据错误的高容错性以及数据管理方面的便捷性和高适应性等性能。作为整个安防网络的“大脑”,核心层交换机一旦出现故障,将造成大面积断网的严重后果。因此必须选择多机集群、双机热备、负载均衡等部署结构,通过数据分流、虚拟扩展、冗余备份等技术手段,减少单台设备的负载压力,提升整体业务处理能力,确保核心交换层的安全性、高效性、容错性,保障企业安防网的稳定运行。
传输光缆在传输方式上具有安全、可靠、稳定、高效、高保真、长距离性和高性能等优点,企业普遍选择传输光缆作为安防网的主干链路,所以安防网传输光缆的合理铺设是安防网建设的前提基础。与企业网建设原则相同,为保障安防系统的可靠性和安全性,安防网应有独立的管线和组网。因此,安防网建设应铺设独立安防网专用传输光缆管线,达到安防网与园区数据网物理分开的保密需求,更好地保障设备和传输链路物理隔离的安全策略。在建设过程中,企业还要根据自身情况,在光纤芯数满足线路冗余的同时,根据安防网络的规模来选择光缆规格。
网络存储设备是基于网络磁盘阵列设计思想的新型存储设备,它具有双通道结构。与传统服务器存储相比,数据不需要经过服务器的多次存储转发,能充分利用存储子系统的带宽。网络存储通过建立存储子系统与客户之间的直接联系通道,将服务器排除在数据传输路径之外,提高了存储系统的性能。在硬件上,既可以是附属于服务器的一个存储设备,又可以是一个独立的网络存储节点;在软件上,它既可以处理服务器的服务请求,又可以处理网络通道的服务请求。
图3 网络存储设备架构图
安防网存储设备主要服务于视频监控这类数据存储量要求较高的的安防应用系统,为实现各监控点在分控中心进行集中存储、在总中心进行冗余存储和管理而设计,并能够向总控中心、区域分控中心、分控客户端等用户提供历史视频检索回放等服务。现行企业安防网络一般采用在存储局域网络(IP SAN)集中存储的架构,如图3所示。
安防应用系统主要包括视频监控系统、入侵报警系统、门禁控制系统和电子巡更系统。
视频监控系统主要由前端采集设备、传输线路、转换设备和管理控制设备组成,目的是监控企业重点部门或重要场所的实时状况,企业可通过视频监控系统获得有效数据、图像或声音信息,对突发性异常事件的过程进行及时的监视和记忆,用以及时高效地指挥和迅速响应、布置警力、处理案件等。
入侵报警系统主要由前端设备、传输设备、处理/控制/管理设备和显示/记录设备部分构成,用于企业重要地点和区域的布防。可根据企业安全防范要求,利用传感技术、电子信息技术探测并指示非法侵入的行为、处理和发出报警信息。对设防区域的非法入侵、盗窃、破坏、抢劫等行为,进行实时有效的探测与报警。
门禁系统可通过RS-485总线控制方式或TCPP/IP方式联网,由读卡器、控制器、电磁锁、识别卡和计算机控制器组成,主要用于各出入口的出入控制和身份识别。
电子巡更系统是一种通过巡更机读卡,巡更软件分析处理,对巡查情况(人员、地点、时间、事件等)进行记录和考核的应用系统。
考勤管理系统是一套管理公司员工上下班考勤记录等相关情况并进行智能分析的管理系统,是考勤软件与考勤硬件结合的产品,掌握并管理企业的员工出勤动态。
通过上述建设,企业安全防范网络应达到以下效果和目标:安防网采用独立管线自成体系,满足安全性、可靠性要求;安防网百兆端口接入、千兆到汇聚、万兆到核心,完全能承载满负荷的安防应用系统的数据通信要求,同时满足未来更多业务接入的可扩展性;核心将会采用交换机集群技术,保障整网核心的可靠;不同业务流、不同地点、不同的VLAN网段的划分,既保障了信息安全,又提高了性能。
数字化的安防系统采用模块化、开放式结构,具备低成本、高效能、易扩展、易维护、集成化的特点,尤其适合于在大中型企业推广应用。随着安防网络建设研究的不断深入,将逐步提高安防系统的工作效率,优化安全管理的实施流程,降低安全管理的人防成本,成为企业可视信息管理系统的重要组成部分,企业现代化管理的重要信息化手段。