景区(古镇)弱电系统建设总体方案

来源：爱go旅游网

景区弱电系统建设总体方案

1 目录

第一章系统概述 ............................................................................................................................. 4 1. 前言 ......................................................................................................................................... 4 2. 系统设计依据及原则 ............................................................................................................. 4 2.1. 设计依据 ...................................................................................................................... 4 2.2. 设计原则 ...................................................................................................................... 6 3. 系统设计需求分析 ................................................................................................................. 7 3.1. 系统设计需求分析 ...................................................................................................... 7 3.2. 技术路线需求分析 ...................................................................................................... 7 4. 系统工程建设需求分析.......................................................................................................... 8 4.1. 系统建设目标 .............................................................................................................. 8 4.2. 系统建设内容 .............................................................................................................. 8 第二章系统方案 ............................................................................................................................. 9 1. 光纤通信系统 ......................................................................................................................... 9 1.1 系统概述 ...................................................................................................................... 9 1.2 系统总体结构 .............................................................................................................. 9 1.3 系统建设内容 ............................................................................................................ 10 1.4 建设标准 .................................................................................................................... 10 1.5 光纤通信系统设计 .................................................................................................... 11 2. 计算机网络系统 ................................................................................................................... 13 2.1 概述 ............................................................................................................................ 13 2.2 需求分析 .................................................................................................................... 14 2.3 设计原则 .................................................................................................................... 18 2.4 设计标准 .................................................................................................................... 20 2.5 园区基础网系统设计 ................................................................................................ 20 2.6 园区网络安全系统设计 ............................................................................................ 68 3. 无线园区系统 ..................................................................................................................... 122 3.1 项目概述 .................................................................................................................. 122 3.2 项目需求 .................................................................................................................. 122 3.3 WLAN建设难度分析 ....................................................................................................... 123 4. 视频监控系统 ..................................................................................................................... 142 4.1 系统概述 .................................................................................................................. 142 4.2 系统设计结构 .......................................................................................................... 142 4.3 视频智慧安防系统指挥中心设计........................................................................... 144 4.4 前端子系统设计 ...................................................................................................... 145 4.5 前端点位布置原则 .................................................................................................. 146 4.6 系统功能说明 .......................................................................................................... 146 5. 周界报警系统 ..................................................................................................................... 148 5.1 系统概述 .................................................................................................................. 148 5.2 建设内容 .................................................................................................................. 148 5.3 系统设计 .................................................................................................................. 149 6. 电子巡更系统 ..................................................................................................................... 152 6.1 系统概述 .................................................................................................................. 152 6.2 建设内容 .................................................................................................................. 152

系统设计 .................................................................................................................. 153

7. 门禁管理系统 ..................................................................................................................... 155 7.1 系统概述 .................................................................................................................. 155 7.2 系统设计方案 .......................................................................................................... 156 7.3 系统功能特点 .......................................................................................................... 157 8. 停车管理系统 ..................................................................................................................... 170 8.1 系统概述 .................................................................................................................. 170 8.2 需求分析 .................................................................................................................. 170 8.3 设计内容 .................................................................................................................. 171 8.4 设计方案 .................................................................................................................. 171 8.5 系统功能 .................................................................................................................. 173 9. 接警应急指挥系统 ............................................................................................................. 175 9.1 建设背景 .................................................................................................................. 175 9.2 建设内容 .................................................................................................................. 176 9.3 接警应急指挥系统应用需求 .................................................................................. 178 9.4 总体方案 .................................................................................................................. 179 9.5 子系统建设方案 ...................................................................................................... 182 10. 数字广播系统 ..................................................................................................................... 193 10.1 系统概述 .................................................................................................................. 193 10.2 设计方案 .................................................................................................................. 198 10.3 系统功能 .................................................................................................................. 201 11. 无线对讲系统 ..................................................................................................................... 204 11.1 系统概述 .................................................................................................................. 204 11.2 设计方案 .................................................................................................................. 206 12. 运营管理中心 ..................................................................................................................... 207 12.1 系统概述 .................................................................................................................. 207 12.2 设计方案 .................................................................................................................. 208 12.3 效果示意图 .............................................................................................................. 208 13. LED大屏显示系统 .............................................................................................................. 210 13.1 系统概述 .................................................................................................................. 210 13.2 系统设计 .................................................................................................................. 214 14. 信息发布系统 ..................................................................................................................... 240 14.1 系统概述 .................................................................................................................. 240 14.2 需求分析 .................................................................................................................. 240 14.3 设计原则 .................................................................................................................. 242 14.4 设计方案 .................................................................................................................. 242 14.5 信息发布及查询互动系统 ...................................................................................... 244

6.3

第一章系统概述

1. 前言

2. 系统设计依据及原则 2.1. 设计依据

信息化建设项目建设，将遵循以下依据设计：《综合布线工程验收规范》GB50312-2007；《民用建筑电气设计规范》JGJ16-2008；

《电子信息系统机房施工及验收规范》GB50462-2008；《交流电气装置的接地设计规范》GB/T50065-2011；《视频安防监控系统工程设计规范》GB50395-2007 《安全防范工程验收规则》 GA/T308-2001 《工业电视系统工程设计规范》 GB50115-2009 《智能建筑设计标准》GB/T50314-2006 《入侵报警系统工程设计规范》GB50394-2007 《出入口控制系统工程设计规范》 GB50396-2007 《综合布线系统工程设计规范》GB50311-2007 《通信管道工程施工及验收规范》GB50374-2006 《通信用多模光纤系列》GB/T12357-2004

《通信用单模光纤系列》GB/T9771.1～9771.5-2000 《LED显示屏通用规范》SJ/T 11141-2012 《安全防范系统供电技术要求》GBT15408-2011 《软交换设备总体技术要求》YD/T 1434-2006；《电子信息系统机房设计规范》（GB 50174-2008）

中华人民共和国通信行业标准《通信局(站)电源系统总技术要求》 YD/T 1051-2000；

中华人民共和国通信行业标准《通信局（站）防雷与接地工程设计规范》 YD 5098-2005；

中华人民共和国通信行业标准《电信设备安装抗震设计规范》 YD 5059-2005；

中华人民共和国通信行业标准《通信工程建设环境保护技术暂行规定》YD5039-2009；

中华人民共和国国家标准《电磁辐射防护规定》GB8702-88；

中华人民共和国通信行业标准《宽带IP城域网工程设计暂行规定 YD/T 5117－2005》；

中华人民共和国通信行业标准《通信线路工程设计规范》YD5102-2010；中华人民共和国通信行业标准《通信线路工程验收规范》YD5121-2010；《民用闭路电视系统工程技术规范》GB50198-94；《中华人民共和国公共安全行业标准》GA/T 669-2008 《安全防范工作技术规范》GB50348-2004；《防盗报警控制器材通用技术条件》GB/12663-90；《防盗报警中心控制台》GB/T16572-1996；《报警图像信号有线传输装置》GB/T16677-1996；

《报警系统电源装置、测试方法和性能规范》GB/T15408-94；《安全防范工程程序与要求》GA/T75-94；《出入口控制系统技术要求》GA/T7394-2002；《厅堂扩声系统特性指标》GYJ25-86；《厅堂扩声特性测量方法》GB4959-95；《会议系统电及音频性能要求》GBJ76-84；《声系统设备互连用连接器的应用》GB/T14197-93；《声系统设备互连的优选配接值》GB/T14947-94；《视听系统设备互连用连接器的应用》GB/T15644-95；

《视听、视频和电视系统中设备互连的优选配接值》GB/T15859-1995；《声系统设备一般术语解释和计算方法》GB12060-89；《城市区域环境的噪声标准》GB3096-93；《民用建筑电气设计规范》JGJ/T16-92；《智能建筑设计标准》DBJ08-47-95；《通信设备汉语清晰度测试方法》SJ2467；

《火灾自动报警系统设计规范》GB50116-98；《安全防范系统通用图形符号》GA/T74-2000 《地下通信线缆敷设》图集 05X101-2

2.2. 设计原则

古镇智慧园区项目建设，将遵循以下原则：可靠性：

在信息系统中，可靠性至关重要。系统所采用的技术与产品必须是成熟和高质量的，当外界或内部条件发生突变时，系统能够经受住干扰和冲击，确保系统在运行期间不间断工作。

先进性：

采用先进的技术与设备，不仅应当采用先进的手段，更应当在世界范围内处于领先水平，而且应体现在相关技术上具有前瞻性。

安全性：

在物理设备上，各类线缆、设备辐射指标应达到相关的安全要求；在应用系统的设计上，适当采用信息加密、权限管理、访问控制等技术，确保信息安全。

标准性：

系统设计时，所采用的技术手段必须遵循业界标准，特别是要提供标准接口，使系统具有较高的灵活性，方便扩展及与其它系统互联；同时，标准性也为今后的升级或引进新技术提供了保障。

可维护性：

系统运行后，其管理（如设备的维护）是可操作的。这些管理、维护工作应尽可能简单、方便。这要求提供规范的系统与工程程序，提供智能化的软件或硬件模块。

开放性：

系统设计时，考虑提供丰富的二次开发接口，通过应用定制，其它外围系统可通过二次开发方便的调用平台视频资源，与平台软硬件设备实时交互，实现丰富的系统集成功能。

经济性：

采用功能合理，价格合适的产品。可再利用性：

充分考虑展会时的使用需求和展会后的系统重复利用需求，尽量减少临时性投入，系统规划设计和建设时考虑两方面的功能需求，避免会后重复建设，确保投资使用最大化。

3. 系统设计需求分析 3.1. 系统设计需求分析

为达到古镇智慧园区智能化、精细化管理、满足市民休闲的目标，要求管理者能够实时掌握园区内人流、物流、信息流等各方面信息，并根据信息来源和特点，迅速响应和指挥，各机构及服务供应商、合作伙伴协同合作。我方根据智慧游园和智慧城市的建设经验积累，将古镇建设成为一个可感知、可控、可管理的智慧园区。

系统建设利用当今先进的物联网、智慧城市的概念，进行园区信息化的系统方案设计。利用先进ICT技术支撑，通过云计算方式汇总系统运算和控制能力，共享园区会内部数据；通过分层建设，达到园区资源和社会资源的综合支撑。最终使游客享受便捷、优质的园区服务，使园区会的园区管理实现数字化；使园区相关职能部门能够实现管理现代化，游客游览实现智能化。

系统整体设计方案整体、全面、思路清晰、特色鲜明、技术先进，实现各子系统的数据集成、通信集成、信息共享、资源共享以及集中统一管理和调度，达到系统建设最终要求。

3.2. 技术路线需求分析

遵循以下主要技术路线：

 需求驱动，适度超前，注意展会应用和会后利用相结合，充分考虑性价比，依托当今先进的物联网及智慧城市技术，采用分层设计的方法，理清思路，逐层分析，确定功能。

 系统开发和运行以N层B/S架构为主，C/S架构为辅。  主要采用J2EE或者.NET的解决方案框架体系。

 采用SOA面向服务的体系结构来实现系统整合。

4. 系统工程建设需求分析 4.1. 系统建设目标

我方将结合信息化技术和现有管理体系，建设一套智能化的园区综合管理信息平台，为服务游客、媒体、贵宾、合作方等各类客户及园区管理提供先进的技术手段。形成集决策指挥、安全、宣传、服务、营销、管理、生态保护等功能于一体智能化系统。从而成为演绎园区主题的重要手段和基本保障。

4.2. 系统建设内容

古镇智慧园区项目建设，将实现系统总体架构设计和分系统设计；技术方案将实现整体、全面、思路清晰、特色鲜明、技术先进的最终目标要求。总系统将主要是涵盖如下内容和各个子系统，分别为：

1) 光纤通信系统 2) 计算机网络系统 3) 无线园区系统 4) 视频监控系统 5) 周界报警系统 6) 电子巡更系统 7) 门禁管理系统 8) 停车管理系统 9) 接警应急指挥系统 10) 数字广播系统 11) 无线对讲系统 12) 运营管理中心 13) LED大屏显示系统 14) 信息发布系统 15) 能耗监测系统 16) 环境监测系统

17) 机房建设系统 18) 电子政务云平台系统 19) 电子商务系统 20) 融资担保系统 21) 智慧社区管理系统 22) 智慧园区运营管理系统 23) 智慧园区经济信息库 24) 园区及企业服务云系统

第二章系统方案

1. 光纤通信系统 1.1 系统概述

古镇智慧园区项目光纤通信系统是实现各子系统互联互通的基础。服务于各类信息应用系统，为所有客户群提供物理通信链路。

1.2 系统总体结构

光纤通信系统为简化设计，采用分层设计的方法，依照实际应用，将光纤通信系统分为中继层、核心层、汇聚层、接入层四个层次。

中继层为中心机房至各运营商局端机房的中继光缆，中继光缆主要满足

宽带因特网访问、运营商2G/3G/4G基站通信承载链路、公安、政务、气象、银行等特定客户群专网通信需求。

核心层光纤实现中心机房至汇聚机房主干通信功能，是连接特色园通信干线光缆，承载视频、语音、数据等各类应用信息流，宜采用主、备线路实现安全通信。

汇聚层光纤实现各节点通信/弱电机房/弱电间连接到中心机房的汇聚功能。为保障安全通信，同时考虑性价比等因素，汇聚层光纤根据通信节点的地理位置及通信管网的分布，建设以中心机房为核心的光缆路由拓扑。

接入层光缆是指终端机房和用户设备终端之间的光缆，实现用户终端接入的接入层功能。对位于室外的视频监控终端、公共广播、显示大屏等设备，根据设备功能合理设计光纤芯数，采用主备的双路由保护。

1.3 系统建设内容

光缆的敷设方式采取灵活、可行和经济的原则。根据光缆路由，主干传输采用48芯光纤，支线光缆采用12芯光纤。

1.4 建设标准

中华人民共和国通信线路工程设计规范（YD5102-2010） YD5072—2005通信管道和光(电)缆通道工程施工规范 YD5039-1997 通信工程建设环境保护技术规定

中华人民共和国通信行业标准《通信线路工程设计规范》YD5102-2010；中华人民共和国通信行业标准《通信线路工程验收规范》YD5121-2010；中华人民共和国通信行业标准《光纤到户（FTTH）体系结构和总体要求》YD/T 1636-2007；

中华人民共和国通信行业标准《接入网技术要求-基于以太网方式的无源光网络（GPON）》YD/T 1250-2003；

原邮电部《通信规划设计手册》等其他相关规划设计规范；

1.5 光纤通信系统设计

1.5.1 光纤通信系统结构组成

光缆网是通信网重要的组成部分，作为通信网络中最基础的部分，它为各业务网提供了大容量、长距离、高可靠性的传输通道，同时也为各业务网向分组化、宽带化、智能化、移动化、服务差异化和终端多样化的方向发展提供了有力保证，在整个信息化项目的建设内容中光缆网是重中之重。

考虑各信息技术系统实际应用，结合当今信息技术的发展趋势，建议在全园区实施基于Fttx技术的全光纤网络，采用G比特无源光网络（GPON）技术组建通信网络。

为简化系统设计，采用分层设计的方法，依照实际应用，将光缆网分为中继层、核心层、汇聚层、接入层四个层次。

中继层为中心机房至各运营商局端机房的中继光缆。中继光缆主要满足宽带因特网访问、运营商2G/3G/4G基站通信承载链路、公安、政务、气象、银行等特定客户群专网通信需求。

核心层光纤实现中心机房至特色园机房的主干通信功能，是通信干线光缆，承载视频、语音、数据等各类关键应用信息流，宜采用主备份线路实现安全通信。

汇聚层光纤实现光纤到建筑或楼层（FTTB/FTTH）的光缆网架构。为节省光缆资源，利用GPON网络的技术优势，采用分光的方式（1：2，1：4，1：8,1:16）实现用户接入层的汇接。由于天府园区形状不规则，地势起伏，汇聚机房分布较分散，将所有汇聚机房按照环状拓扑组网比较困难，且通信管网的建设难度和投资都过高，建议采用环型拓扑和星型拓扑混合组网模式。按照汇聚机房地域分布，首先连接位于主要汇聚点的汇聚机房形成汇聚环，部分较分散汇聚机房以星型拓扑就近接入汇聚环，为保证可靠性，采用同路由主备方式布缆。

接入层线缆实现用户终端接入的接入层功能，考虑到目前终端设备接口大都为电口，建议接入层线缆根据终端的接口不同数据、语音采用5类非屏蔽双绞线实施水平综合布线。位于室外的视频监控终端、公共广播、显示大屏等设备，接入层线缆采用光纤接入，末端光电转换为相应设备接口对应的

电缆。

1.5.2 设计内容、范围

1.设计包含整个核心、主干光缆路由。 2.管道光缆的敷设安装与防护设计。 3.机房内部光缆的敷设安装与防护设计。 4.ODF架的配置与安装。

5.本设计与传输设备设计的分工以光纤分配架（ODF）上的光纤熔接头为界，熔接头以外由本设计负责，熔接头以内由传输设备安装工程设计负责。

6.本工程负责机房内部ODF架的配置与安装。 7.光缆金属构件防雷地线的安装。

8.光缆线路维护人员及维护工、器具的配置。

1.5.3 光缆设计的规则

1.5.3.1

设计原则

1.工程设计应做到技术先进，经济合理，安全可靠，能满足施工、生产和使用的要求。

2.工程设计要处理好局部与整体，近期与远期。采用新技术与挖潜等关系，明确本工程的配套工程与其他工程的关系。

3.设计单位应对设计文件的科学性、客观性、可靠性、公正性负责。

1.5.3.2

光缆设计路由的选择

光缆网络是传输网络建设的基础，其建设进度及网络完善程度直接关系到整个传输网络建设工程的进度及整体性能，是传输网络建设的重中之重。

核心层中继光缆是连接骨干节点的光缆，主要特点是传输流量大、安全性要求高，宜采用网状的结构。

汇接层光缆是连接汇聚点与骨干节点的光缆，应根据业务汇聚方向建立与上层骨干节点的直达路由，同时还应考虑在同层次节点间建设迂回保护路由，光缆网络宜采用 “环型”的结构。

对新建的节点应建设至少两条不同方向的光缆入局，以双路由的形式保证网络安全。

光缆要以管道方式进行敷设。

1.光缆路由选择以满足和保障通信需求及质量、使线路安全可靠、经济合理和便于维护、施工。

2.路由选择时，应以现有的地形、地物、建筑设施和即定的建设规划为主要依据，并应考虑有关部门发展规划的影响。

3.光缆路由须沿靠公路或大道并顺路取直，以方便施工维护，但尽可能避开在战时易遭轰炸的重要干线铁路、公路和重大军事目标。不应与高压输电线路和电气化铁路平行接近。

4.光缆路由应选择在地质稳固、地势较平坦的地段。在平原地区，要尽可能避开湖泊、沼泽、排涝蓄洪地带，尽量少穿越水塘、沟渠。通过山区时，宜选择在地势较平、石方工作量较少的地方，避开陡峭、沟壑、滑坡、泥石流，以及洪水危害、水土流失等地方。如需要通过时，应采取保护与可行的施工措施。

5.光缆路由穿越河流，在不太偏离路由走向的情况下，应尽量选择过桥或水流平缓、河床稳定、无抛锚、符合水底光缆安全要求的地方。

6.光缆线路遇到水库时，应在水库的上游通过。当需在下游通过时，必须考虑水库发生事故时的保护措施。光缆不应在水坝上或坝基下敷设。如需在此处敷设时，须经过工程主管单位和水坝主管单位共同批准。

7.光缆线路不宜穿越大的工业基地、矿区等。当必须通过时，应充分考虑工业建设或地层塌陷对线路的威胁并采取保护措施。

8.光缆线路不宜穿越与电路分配无关的城镇、村庄，不宜通过森林、果园、茶林、苗圃和其它经济林场，以避免赔偿费用太高和地下树根对光缆可能的危害。对于地面上的建筑设施和电力线、通信杆线，地下各种水、气、电管道和缆线等应尽量避开，须穿越时要保持足够的距离并采取保护措施。

9.光缆线路应避开强电影响、易受雷害、机械损伤、化学腐蚀、以及白蚁攻击的地方。当无法避开时，必须采取相对应的保护措施，确保通信线路的传输安全。

2. 计算机网络系统

2.1 概述

计算机网络系统是实现园区信息流转和数据共享的核心系统。根据用户实际应用安全性要求，计算机网统主要分为园区内网和园区综合通信服务网

两个承载不同应用的计算机网络系统。另外，如果园区需要有公安专网、气象专网、各银行专网等的接入，这些专网具备特殊的行业安全要求，一般按照各行业特殊安全要求，由运营商通过光纤专线直接接入到指定地点，各自完全独立，接入设备一般也由使用方自己负责提供，不与园区网络物理连接，架构相对简单，在光缆网和综合布线系统中考虑好线缆预留，具体实施中建设即可.

2.2 需求分析 2.2.1 方案制定目的

1. 建设有特色的、高效的网上专业应用，促进基础信息化(对内服务，包含OA,园区网络应用)；

2. 建设服务园区的网络推进基于公共服务的协同网络平台(对外的服务) 3. 整个的建设分为三个层面（基础环境、基础数据、应用服务），四个系统（基础环境系统、基础数据系统、基础应用系统、服务提供系统），两个支撑（安全支撑、运行维护支撑）的建设。对于IT基础架构来说主要是考虑建设覆盖园区的高速骨干网络系统、IDC数据中心、汇接中心的基础建设和协同办公、视频通讯、生产安防监控的应用，以及安全和管理的支撑建设。

2.2.2 目前数字化园区主要关注问题

1. 网络的智能化、可靠性、广覆盖要求：原有各自独立的路由、交换、安全、语音、视频等功能，现在都开始向融合方向发展，在这个演进发展趋势中，通用性的网络设备如何实现个性化、行业化的定制，成为网络智能化发展的方向，同时带来了集成化后的设备配置和管理方面的易用性要求；对于网络可靠性的保障，尤其是对核心层架构和设备的可靠性要求；对于在不同的环境下的接入技术的要求，如远距离的PON架构，解决布线困难的无线技术；网络对于多业务承载，需要逻辑隔离，并且端到端保障用户权限的控制等；

2. 数据中心的整合：应用系统将深度融合，数据高度集中，在数据大集中的过程中，区域原有分散建设的各自独立的异构系统需要进行整合，需要有一套标准化的技术和协议对整合后的平台进行规范，有利于后续业务的发展和扩张。在这样的数据大集中后，最大的挑战是随之带来的风险的大集中，

如何保障集中后数据访问的可靠、数据访问的安全，这不仅仅只需考虑网络，还有数据的备份和恢复，访问的安全控制等。

3. 协同办公：区域信息化能给区域效益带来极大提高，但仍然通讯系统之间的割裂，比如通讯录和电话，电话、即时消息和短信等，可以通过系统办公的系统，来完成通信资源的融合，使工作更高效.

4. 多媒体的建设：视频会议等多媒体网络技术的应用，可以很大的节省区域的日常业务成本，而园区内的监控部署（安防和生产），可以很好的预防区域生产事故的发生，更好的对现场进行远程控制。

5. 全网全方位的安全：当前的安全也已经从单一的对网络安全防护，扩展到全方位的安全规划，不仅原有的防火墙、IPS在融合，对员工的安全认证、管理也必须考虑，还要考虑环境的安全，供电、防潮、防进入等，这样才能构建一个真正意义上的安全环境。

6. 统一管理：诸多的网络设备、诸多的业务系统、诸多的访问用户，管理面临的是完全分散的，相互隔离的管理资源，如何简单的做到整体资源的统一管理，只有通过面向业务的管理方式，统一资源、业务、人贯穿到整个业务平台

2.2.3 实际需求解析

园区内、外应用网为智慧城市数字化园区各类信息技术系统提供基础通信功能，覆盖智慧城市全园区各个需要信息数据服务的终端和用户及数据中心，是本规划重点规划内容。智慧城市新建设园区内、外网。网络结构按照核心、汇聚层、接入层的层次化架构设计，采用双核心交换（热机备份）+GPON的结构。接入层利用GPON实现对语音、数据的综合接入，利用汇聚层与核心层设备把所有系统结合起来，达到互联互通。主干链路采取万兆接口，千兆下联（以后平滑到升级到万兆），双上联接入，实现主要点位千兆到桌面。系统需配置独立的网络管理系统、防火墙、入侵检测系统，确保网络安全，出口部署路由器可实现因特网接入和分支机构包括出差员工通过虚拟专有网接入。

4. 网络设计建设整体符合园区数字化、信息化、系统化、现代化的需要。要求通过先进成熟的网络技术、计算机信息技术、自控技术、现代化通信技术结合实际，完成建设一套先进、成熟、可靠、开放、实用的办公自动化及

信息系统。使之能够更好地提供信息化的服务。本次项目设计考虑到本次网络建设的需求，并且要满足未来几年办公网络络扩容升级的需求。

2.2.4 主要网络流量分析及测算 2.2.4.1

外网流量分析

1、办公系统数据流量

办公OA系统预计点数100个。数据流包括信息发送、邮件、文件流转等，OA系统连续数据流量不多，但是有一定的时敏感性，预计给每个OA点留1M带宽，累计约100M。 2、固定语音系统数据流量

园区固定电话（传真）系统预计装机量10个左右。电话语音经压缩后，占用带宽很低，给每个点留64K带宽，累计约640K。 3、门户网站

门户网站采用主机托管的方式委托新闻网提供服务，考虑到访问量较大，使用的服务器至少拥有一个千兆网卡，预留带宽200M。为了保证业务的可靠性，可以同时部署多台虚拟机提供门户服务。为提升用户访问体验，应考虑CDN的应用部署。

4、手机智慧导游系统及无线园区应用

手机智慧导游系统，持有智能手机的游客可以安装智慧城市手机智慧导游系统实现园区内的智能智能导缆、社交网络及互动参与等各类应用，手机智慧导游系统为手机应用APP开发完成后可在官方网站及园区内指定游客服务中心内下载安装，大量智能导游的服务集成在APP软件包中，不会产生网络流量，应用流量主要包括导航信息、文本信息推送、微博信息发布交流、手机照片、视频等上传，手机应用带宽控制在平均50K左右。 5、其他

园区内其他各种应用，如电瓶车管理调度、公交管理调度等各类管理信息系统，数据流主要为文本字符流，占用带宽都比较小，不会对园区网络带宽造成大的影响。

6、互联网访问出口带宽分析

园区互联网应用包括执委会日常办公互联网查询访问、信息发布，游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类互联网访问服务。其中执委会日常办公互联网访为需求时限为筹办期到智慧城市结束执委会解散全过程，数据流量包括网上信息查询、网页浏览、电子邮件等，用户数量筹建期100人左右，运营期200人左右，考虑到租用运营商线路费用建议租用50M宽带互联网访问专用线路，并根据互联网访问应用的不同，设置一定的带宽优先级保证，如：优先保证电子邮件数据带宽，限制下载、视频等应用。

游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类联网访问服务尽在展会开办期间使用，考虑到各自服务的客户群的不同，并考虑性价比，建议各申请独立的50M互联网访问链路，确保游客、管理部门都能进行顺畅的互联网访问，互不干扰。

外网流量序号 1 2 3 4 业务类型办公系统数据固定语音系统数据门户网站算法用户数×每个用户流量用户数×每门线路流量预估带宽预留总流量（预估） 100M 640K 50M 50M 手机智慧导游系统及无线园区应用用户数×每门线路流量总计约200M 表1- 1 外网流程分析汇总表

2.2.4.2 内网流量分析

1、公共广播系统数据流量

规划园区公共广播系统点位计算。按照语音/音乐CD级(128K, 16bit)标准计算，给每个点留128K带宽，累计约64M。 2、视频系统数据流量

规划中将部署室外及重点区域监控摄像头。如果全部并入网络，按照一个高清摄像头需要8M带宽计算，计算总共需要带宽。由于视频传输是时敏感传输，带宽利用率如果超过60％便会造成延迟、颤抖、拥塞等QoS不能满足需求的情况，所以实际预留带宽应该更大。视频还应考虑园区内视频会议、信息亭相关提供业务的带宽需求。 3、信息发布系统流量

园区信息发布系统信息流主要包括通知、公告等字符流、，也包括图像、宣传视频等展示信息。园区规划部署134余个信息发布终端，每个终端设计10M带宽流量，总计1.4G。

内网流量序号 1 2 3 总计业务类型公共广播系统数据视频系统数据信息发布系统算法点位总数×每个点位流量监控总数×每个点位流量发布信息点数×每点流量流量 64M 5.5G 1.4G 约7G 表1- 2内网流量分析统计表

2.3 设计原则

此次古镇智慧园区网建设要实现内部全方位的数据共享，应用三层交换，汇聚层及接入网采用GPON网络架构实现，提供全面的QoS保障服务，使网络安全可靠，从而实现管理、多媒体自动化，而且还要通过Internet提供可管理的应用，必须具备高性能、高安全性、高可靠性，可管理特性以及开放性、兼容性、可扩展性。

基于对古镇智慧园区网业务需求的深入理解，结合自身产品和技术特点，我公司推出了完善的古镇智慧园区网解决方案，为智慧城市提供“高扩展、多业务、高安全”的精品网络。

古镇智慧园区网建设遵循以下基本原则：

计算机网络系统，通过承载企业的多种业务，形成一个科技园区网络。园区网络设计必须适应当前信息化各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。

园区网通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用户。同时对于园区网而言，注重的是网络的简单可靠、易部署、易维护。园区网设计通常遵循如下原则：

层次化

将园区网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。

模块化

将园区网络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。

冗余性

关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。

安全隔离

园区网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对设备网、安防网进行物理隔离。

可管理性和可维护性

网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。

经济性和投资保护

应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高

效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。

2.4 设计标准

此次园区网络及网络安全主要以国家、行业相关规范和标准为设计标准及依据，具体如下：

➢ 《信息技术开放系统互连网络层安全协议》（GB/T 17963） ➢ 《信息安全技术信息系统通用安全技术要求》GB/T20271-2006 ➢ 《计算机信息系统安全》（GA 216.1－1999） ➢ 《信息技术设备的安全》GB4943-2001 ➢ 《计算机软件开发规范》（GB8566-88）

2.5 园区基础网系统设计 2.5.1 园区网系统拓扑图

2.5.2 园区外网

图1- 1 计算机网络系统外网整体构架图

2.5.3 园区内网

图3- 2计算机网络系统内网整体构架图

2.5.4 园区外部应用网络

2.5.5 园区外部网络逻辑架构及分层介绍

如图1-1所示，整个外部应用网络分为四层，分别为核心层、汇聚层、接入层、应用层。古镇智慧园区外部应用网络主要承载整个园区内各个办公区域使用INTERNET的需求，并且此网络还要作为无线园区的核心接入层。还有部分智慧“旅游”平台中的系统需要和网络进行连接及数据交换，也是此网络为基础传输的。整个网络由于涉及到与INTERNET连接，所以要充分的考虑网络接入的安全性和网络架构内部的安全防范措施。 1. 应用层

为园区提供所有相关公网及智慧旅游平台的应用服务，包含园区内各办公区域INTERNET接入，整个园区WLAN业务的核心接入区，还有其他园区智能化系统与公网连接的需求。 2. 接入层

负责将各种终端接入到园区网络，本次智慧城市将采用GPON的组网模式,对新建的7个分支机房进行光纤到楼（FTTB）的建设。部署了多台接入ONU，二层交换机、分光器。接入方式提供了三种模式，分别是ONU直接接入、ONU通过交换机连接接入和在OLT下级分光后接入ONU接入。如图1-1接入层模型。本次工程业务需求主要为高品质带宽的服务，为相关应用系统提供高速高效的网络传输保障。 3. 汇聚层

汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。本次建设OLT作为汇聚节点，在汇聚层部署了1台OLT并冷备了一台OLT设备来保证出现异常情况第一时间更换。承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（QualityofService）调度等各项跟用户和业务相关的处理。OLT，集中部署在中心机房。 4. 核心层

核心层负责整个园区办公网的高速互联，部署核心交换机作为热备，连接OLT和出口设备的枢纽，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。

2.5.5.1 园区出口

园区出口指园区网接入广域网和Internet的出口，园区互联网应用包括执委会日常办公互联网查询访问、媒体发布，游客智能手机智能导缆系统信息交流与发布以及媒体大厅媒体服务等三大类互联网访问服务。对流量的分析，建议租用200M宽带互联网访问专用线路，由于此次采用核心双链路结构，可以在备份链路上由运营商提供一条备份链路，链路带宽根据用户方要求来提供，建议在50M-100M之间。在整个网络中，根据互联网访问应用的不同，设置一定的带宽优先级保证，如：优先保证电子邮件数据带宽、智慧旅游平台数据传输等应用，限制下载、视频、园区无线AP接入数量等应用。

游客智能手机智能导览系统信息交流与发布等二大类联网访问服务，建议申请100M互联网访问链路，确保游客、管理部门都能进行顺畅的互联网访问，互不干扰。具体实施可以采用VLAN划分、IP规划、策略路由等手段实现。。

园区出口网关采用出口防火墙作为安全及路由设备，考虑到古镇智慧园区综合服务网内具备多种关键服务器、存储、数据库等核心设备，网路安全必须慎重考虑，规划设计在网络边界同时部署防火墙设备、入侵检测设备、上网行为管理设备等网路安全设备。

出口防火墙至WAN及Internet的接口，配置下一条路由。通过设置路由优先级，设置运营商的出口链路为等价路由，实现运营商的流量负载分担。通过设置路由优先级设置主、备运营商链路的路由，实现主链路故障时的备用链路倒换网络管理区域至核心交换机链路，配置静态路由。

2.5.5.2 互联区网络

根据接入类型及服务类型划分多个不同的互联接入区域： 1．Internet互联

园区外部用户（例如园区分支、出差员工等）通过Internet访问园区。Internet互联区包括出口防火墙设备。其中出口防火墙具备包括防火墙和IPS两项功能。

入侵检测系统IPS对掺杂在应用数据流中的恶意代码、攻击行为、DDOS攻击等进行侦测，并实时进行响应。

防火墙在网络层面，过滤非法流量、抵御外部的攻击，保护内部资源。防火墙和IPS本身都是重要的网络设备，而且其位置一般都是作为网络的出口。其位置和功能决定了防火墙和IPS设备应该具有非常高的可靠性。

为了保证Internet互联区域的可靠性，所有设备均需要成对部署，即：两台出口防火墙设备。

VPN接入区根据需要提供IPSec VPN和SSL VPN两种接入功能，解决移动用户的安全接入问题。可以部署独立的IPSec VPN网关和SSL VPN网关，也可以采用出口防火墙设备统一接入。

2．Extranet互联

合作单位用户通过广域网WAN或局域网访问园区。

由于Extranet区域属于企业外部用户通过WAN等方式接入的区域，从网络信任关系上讲，安全等级与DMZ相同，都属于非可信网络，不能直接与园区连接。访问权限应限制在本区域内部及DMZ区域，内网访问应严格控制。

业务隔离：同DMZ区域，主要提供对外服务，因此对该区域网络应与内网隔离，必要的业务可以通过严格控制访问DMZ区域。

防火墙：在网络层面，通过NAT技术隐藏内网拓扑，保护内部资源控制访问权限。 3．Intranet互联

园区内部用户访问园区内部或数据中心，称为Intranet互联。

网络方面主要考虑双线接入，核心网络设备的冗余备份。需要部署独立的互联接入设备并部署2台进行热备，保证设备的可靠性。

数据中心/服务器区域，出口交换机处部署防火墙设备进行安全检查和权限控制；接入层交换机处部署负载均衡器实现服务器资源的有效利用；数据中心出口交换机采用双链路接入园区核心层交换机，实现高可靠性。

2.5.5.3 DHCP设计

园区网中办公网络建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等设备使用。

1．DHCP园区部署基本架构

建议在园区数据中心或服务器区部署独立的DHCP Server。在汇聚层网关部署DHCP Relay指向DHCP Server统一分配地址。 2．DHCP部署基本原则

固定IP地址段和动态分配IP地址段保持连续。

按照业务区域进行DHCP地址的划分，便于统一管理及问题定位。

DHCP需要跨网段获得IP地址时，启动DHCP Relay功能。

启动DHCP安全功能，禁止非法DHCP Server的架设和非法用户的接入。 3.DHCP区域划分设计

外网主要业务有办公区域网络接入、园区无线AP接入、“智慧旅游”平台公网接入业务、其他外网接入业务等。这四大业务可以根据业务的实际情况进行DHCP池的划分。以下DHCP池规划为初步设计，二次深化设计时根据实际情况进行调整。

2.5.5.4 外网VLAN规划

VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将网络故障限制在VLAN范围内，增强了网络的健壮性。

VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势。

1. 控制广播风暴通过物理网络分段和VLAN逻辑分段两种方式。

2. 提高网络整体安全性，通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小。

3. 网络管理简单、直观，对于交换式以太网，如果对某些用户重新进行网段分配，需要网管员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，只需网管人员在网管中心对该用户进行VLAN网段的重新分配即可。

（1）VLAN规划原则

根据区分业务VLAN、管理VLAN和互联VLAN按照业务区域划分不同的VLAN同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLAN。VLAN需连续分配，以保证VLAN资源合理利用预留一定数目VLAN方便后续扩展。

（2）VLAN功能划分

在FTTB组网模式中，VLAN划分推荐采用按业务规划VLAN的方式。

宽带业务：宽带业务数据包由ONU在用户接入端口进行VLAN封装，接入OLT。为防止ONU下挂的PC用户二层互通，建议ONU实施用户端口的二层隔离，同时利用DHCP relay、PPPoE+等功能，在BAS、SR上实现对接入用户的控制，满足一定的用户安全性要求。

VOIP业务：为保证语音的QOS，ONU对语音接入进行VLAN标签封装，同时可对语音数据包设置高优先级。在OLT上完成用户侧VLAN到网络侧VLAN的切换。如下图所示：

图3- 3OLT上完成用户侧VLAN到网络侧VLAN的切换示意图

（3）VLAN划分的策略

基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。

基于MAC地址的VLAN划分其实就是基于工作站与服务器的VLAN组合。在网络规模较小时，该方案亦不失为一个好方法，但随着网络规模的扩大，网络设备和用户的增加，则会很大程度上加大管理难度。

路由协议工作在网络层，相应的工作设备有路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

基于策略的VLAN划分是一种比较有效而且直接的方式。这主要取决于在VLAN划分中所采用的策略。

2.5.5.5 DNS规划建议

1.DNS服务器的角色划分

Master服务器：主服务器，作为DNS的管理服务器，可以增加、删除、修改域名，修改的信息可以同步到Slave服务器，一般部署1台。

Slave服务器：从服务器，从Master服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS服务，一般采用基于硬件的负载均衡器提供服务器集群的功能。一般部署2台从服务器。

Cache服务器：缓存服务器，用于缓存内部用户的DNS请求结果，加快后续的访问。一般部署在Slave服务器上。

2．DNS服务器的IP地址

Master服务器：采用园区外部应用网络地址。

Slave服务器：分配园区外部应用网络固定IP地址，并在负载均衡器上分配一个虚拟的园区外网地址。

Internet域名地址有两种方案：

一种是在防火墙上做NAT映射，把Slave服务器的虚拟地址映射为一个公网IP地址，用于外部Internet用户的访问。

另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户提供服务。 3．DNS可靠性设计

众多内部用户发送DNS请求，被均匀分担到Slave DNS1和DNS2。当Slave DNS1服务器故障后，所有的DNS请求被分发给Slave DNS2。最终DNS服务器必须与外部DNS通讯。

Master 服务器，建议放置在DMZ区域，并在同区内部建立Slave DNS服务器。如只对内提供服务的DNS服务器，可以作为二级的DNS服务器，放入其他非DMZ区域。

当所有的Slave DNS都故障后，用户发送的DNS请求无响应。用户就切换到备DNS，由Master DNS处理所有的请求。

2.5.5.6 路由设计

采用核心交换机作为路由和交换的分界点。这种设计方法有如下的优点：（1）路由配置简单

只需要在2台核心交换机上配置路由。接入和汇聚层只做二层交换，配置简单。便于采用接入交换机的“自动配置”功能，减少配置维护工作量。

（2）扩展性好

在同一个汇聚/核心交换机下的服务器扩容方便，并且随着业务的变化不需要更改网络的配置，即插即用。

2.5.5.7 OSPF规划

规划合理的RouteID，RouteID建议采用Loopback接口IP地址。出口防火墙和核心交换机之间网络作为OSPF的Area0，出口防火墙作为ASBR和ABR，核心交换机为ABR。

2.5.5.8 园区内部网络逻架构及分层介绍

整个外部应用网络分为四层，分别为核心层、汇聚层、接入层、应用层。古镇智慧园区内部应用网络是实现智慧城市数字化园区各种应用系统，提供各种信息化智能应用的核心承载网络，属于数字化园区关键支撑通信网路系统。

园区内网主要用于提供政务网访问和金宏收发文、自动化办公应用，设备网络、视频监控网络。主要用于筹建期以及运营期执委会相关职能部门与政府相关部门的沟通及整个园区内部主要应用系统网络，是物理隔离的专用网络，不与因特网有任何物理连接，使用者主要为政府相关部门借调人员及园区内各应用系统的负责维护人员。本网络应用较多，数据量较大，所以采用高端核心处理设备，并且根据实际情况规划各系统VLAN，便于各应用系统管理。

应用层

包含园区内的各应用系统，例如视频监控、公共广播、信息发布等系统。OLT通过ODN网络的分光，最终将光缆延伸到各系统应用的前端点位（例如安防监控点位、IP公共广播编码器等设备上去），连接GPON终端设备ONU。ONU提供1FE口（RJ45接头），最终利用网线将设备接入，分别连接各应用系统的前端点位。

ONU放置以各系统应用前端为单位，选用下行1FE端口的设备。接入层

负责将各种终端接入到园区网络，本次智慧城市将采用GPON的组网模式,对新建的14个场馆进行光纤到楼（FTTB）的建设。部署了多台接入ONU，二层交换机、分光器。接入方式提供了三种模式，分别是ONU直接接入、ONU通过交换机连接接入和在OLT下级分光后接入ONU接入。如图3-2接入层模型。本次工程业务需求主要为高品质带宽的服务，为相关应用系统提供高速高效的网络传输保障。接入层是最靠近用户的网络，为用户提供有线及WLAN多种接入方式，是终端接入网络的第一层。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。

汇聚层

汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。本次建设OLT作为汇聚节点，和外网汇聚层公用一台冷备OLT。承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（QualityofService）调度等各项跟用户和业务相关的处理。OLT，集中部署在园区地池服务中心机房，将终端送

上来的不同类型业务解调成以太业务，送入不同网络及不同的服务器，从而实现监控、背景音乐等应用系统实现整体的数据传输及控制。

核心层

核心层负责整个园区内网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。内部网络属于较安全的区域，是绿色区域，风险比较低。主要的安全风险来自内部网络自身的用户（如用户未经授权的存取）。在接入设备中，根据实际需求控制不同分支之间的数据互通的访问控制。通常情况下，核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和业务部门无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑企业内外部的业务流量。由于核心层设备的地位非常关键和重要，几乎所有业务信息的传递都要经过核心层，因此要求设备本身具备高性能之外还须具备很高的可靠性和安全性，此次部署两台高端交换机实现双机热备，保证核心层设备的高可用性。

2.5.5.9 IP地址设计

考虑到后期扩展性，在园区内部应用网络中的IP地址规划时主要以易管理为主要目标。内网IP地址原则上各应用系统的服务器，特殊终端设备（IP视频监控设备等）和生产设备建议采用静态IP。

IP地址规划对于网络系统设计与配置、应用效率、可维护性和可扩展性等方面都有很大影响，因此合理的IP地址分配是网络设计的重要目标之一。通常IP地址分配有如下原则：

（1）唯一性

一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。

（2）连续性

连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。

（3）扩展性

地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。

（4）实意性

好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。

智慧城市数字园区内部应用网络系统IP地址建议选用RFC1597文档中的私有B类IP地址，通过对智慧城市数字园区内网IP地址空间进行分配，实现最佳的网络内地址分配，从而达到最佳的业务流量分布。

FTTB组网场景下，IP地址规划时可充分利用私网地址进行独立规划，地址资源充足，地址分配整齐，减少了公网地址消耗，提高网络的安全性。IP地址规划建议按照PON端口划分网段；MDU和HGW管理IP统一网段，IAD和MDU内置话音统一网段。

IP地址规划时应考虑如下原则：（1）合理

相对于业务VLAN和业务接口（三层接口）而言，各设备的管理接口应使用独立的VLAN和IP网段。

（2）安全

IP地址应根据不同的业务进行划分。可采用动态分配IP地址，以加强结合动态分配机制的安全认证和管理，节省IP地址资源。

IP地址分配要尽量给每个区域内的设备或用户分配连续的IP地址空间；在每个地市中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

（3）可扩展

IP地址的规划与划分，即要满足当前对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段。IP地址的分配需要有足够的灵活性，能够满足各种用户接入如园区用户、专线用户等的需要：

对于普通园区工作人员用户，可仅分配私网IP地址满足相关业务浏览的需求。

（4）可维护

地址分配是由业务驱动，按照业务量的大小分配各地的地址段。

设备之间的通信、运维系统与设备之间的通信，在公有地址有保证的前提下尽量采用公有地址，如设备的loopback地址等，尽量不要采用与业务相关的地址进行运维方面的通信。

应尽量将网络中所有设备的运维管理地址分配在一个子网、一个VLAN，并与业务数据二层隔离。

2.5.5.10 GPON接入网

1.园区GPON接入层

接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层，一般部署二层设备，双归属到汇聚层两个不同的交换机。接入层除了需要部署丰富的二层特性外，还需要部署安全、可靠性等相关功能。

此次园区GPON网络的建设整个降低了原有采用交换接入所产生较高的费用，并且在接入层普遍采用光纤接入，这样也提高了整个网络的工作效率。园区外网OLT设备到核心层交换设备采用千兆互联（见图3-1）。园区内网OLT设备到核心层交换机采用万兆互联来保证整个园区内网业务的高速和高效性（见图（见图3-2）。

接入层方面，主要是把分散用户接入到网络中来，根据本次项目建设的特点，我们本着节约投资，优化网络架构的原则，打破传统的建设方案，采用GPON技术来进行设计。以下图3-5为GPON架构与传统交换机架构的对比图：

图3- 4 GPON架构与传统交换机架构的对比图

GPON工作原理

图3- 5GPON工作原理图

GPON 系统是点对多点的网络结构，如图所示，在 OLT 与 ONU 的下行通信中，网络采用广播通信方式，从 OLT 发出的数据信息通过分光器广播到下联的每个 ONU，这样每个 ONU 前端获得的信息都相同，然后通过 ONU 过滤功能，ONU 根据媒体访问控制(MAC)地址滤取属于自己的数据信息。

图3- 6 GPON 数据传输示意图

所示，GPON 系统在 ONU 与 OLT 的上行通信中采用 TDMA 的通信方式，OLT 为每个 ONU 分配了上行时隙，每个 ONU 在属于自己的时隙中传输数据，这样就能很好的解决不同 ONU 数据为争抢时隙而发生冲突的问题。

GPON 系统要能够完成上行数据的复用传输，就必须要对 ONU 进行测距，以便于对时延差异进行补偿。ONU 的一般的测距思想是：首先定义一个 OLT 到ONU 之间的逻辑距离，通过测距，进行时延补偿，通过给每个 ONU 导入一个均衡的时延，保证每个 ONU 到 OLT 的逻辑距离相等，之后可以方便的采用 TDMA方式正确的分配时隙。根据测距过程中 ONU 是否有数据发送，将测距分为两类：静态测距过程和动态测距过程。使用前者进行测距时，ONU 没有数据传输，多用于初始安装、新加入 ONU 等情况。使用后者进行测距时，ONU 会有数据传输。主要补偿光纤线路及器件的延时随环境和时间变化而发生的变化，这是在静态测距完成的基础上所做的一种动态性调整，贯穿整个系统过程。

2. 古镇智慧园区GPON网络设计 1. 园区内网GPON接入

园区内网OLT设备主要采用万兆端口与内网交换机进行连接，园区前端采用单口ONU设备直接与各应用系统前端设备进行连接。（主要涉及业务为园区内部视频监控、背景音乐等）。以下图3-8为园区内网GPON连接图。

图3- 7园区内网GPON连接图

园区内网GPON连接图 2. 园区外网GPON接入

园区外网OLT设备主要采用千兆接口与外网交换机连接，园区前端主要采用FTTB终端接入设备ONU（一般具有8/16/24口接入）。在此网内还包含园区WLAN的覆盖，与无线AP对接室外主要采用单口ONU进行前端AP设备接入。以下图3-9为园区内网GPON连接图。

图3- 8园区外网GPON连接图

园区外网GPON连接图

2.6 园区网络安全系统设计 2.6.1 需求分析

信息系统包括数十个业务信息系统的建设，是一个多主体、多关联的复杂系统，

信息系统业务能力下降或丧失，敏感数据泄漏或篡改，进而影响智慧城市建设和运营的顺利开展，并对社会秩序、公共利益和国家形象造成较大损害。这些信息安全威胁来自以下几个方面：

2.6.1.1 机房网络安全风险

机房网络存在如下安全风险：

对接入网络的设备缺乏控制，用户可以随意将终端接入网络，造成病毒、木马传播等安全风险。

攻击者利用网络结构设计缺陷旁路安全策略，未经授权访问机房网络。攻击者利用拒绝服务攻击工具，恶意地消耗机房网络资源，导致应用系统无法访问。

攻击者利用网络协议存在的漏洞进行可躲避检测的攻击（如碎片重组，协议端口重定位等）。

2.6.1.2 计算机安全风险

计算机终端和服务器存在如下安全风险：

攻击者利用通过恶意代码或木马程序，对服务器操作系统或应用系统进行攻击，造成信息泄露或系统故障。

内部人员利用技术或管理漏洞，未授权修改重要系统数据或修改系统程序。病毒、蠕虫感染和大规模爆发导致网络性能下降或瘫痪。

缺少统一的资产管理手段导致安全事件统一分析处理困难、风险管理实效、安全策略配置无法精细到设备和用户角色级、安全事故责任无法准确划分。

输入输出口不受控导致数据信息不受控。

2.6.1.3 缺乏统一监控管理的风险

智慧城市信息系统使用的终端主机、应用服务器、安全设备、网络设备众多，多种监控、安全设备整合难度大，产生的安全事件信息繁杂，数量大，可读性差，对安全策略制定以及应急响应很难起到完全监管作用；信息系统中的各种安全部件将产生众多安全事件，往往使安全管理员淹没于安全事件的海洋中；各安全部件本身的局限性造成的误报和漏报，容易导致真正的攻击被忽视；对未知攻击手段、病毒等不能实时监控、防范；各个应用服务子系统根据自身业务需求规划多个安全管理系统，难以实施统一安全策略。不能协同各安全部件对安全威胁做出实时响应。

2.6.1.4 需求

智慧城市信息系统为“涉及国家安全、社会秩序、经济建设和公共利益的信息系统”，受到破坏后，“会对国家安全、社会秩序、经济建设和公共利益造成较大损害”，应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。

功能需求

按照分域防护的原则，明确网络通信系统的各个域的边界，交换出入口，内部网络分区，将网络通信系统和计算机终端统一考虑，进行安全防护系统设计，形成一体化的安全防护能力。

(1) 机房网络安全防护需求

与园区网机房相关的安全需求主要有：     

网络边界防护；交换出入口控制；网络及终端接入控制；内部网络分区控制；防止网络入侵。

(2) 计算机安全防护需求

应对服务器和工作用计算机终端进行如下安全管理：       

计算机终端接入控制。移动存储介质管理控制。

应用程序安装、文件复制、服务端口、打印监控。 IP和MAC地址绑定、非法外联控制。补丁自动下载、修复。外设及硬件接口控制。

异常事件监控，包括资源使用、网络流量、异常进程等。

(3) 安全监控管理需求

应对全网集中监控与管理，主要包括：

 监控网络安全设备，收集信息系统中各种安全设备和应用系统的工作参数，

运行状态信息；



处理收集到的安全事件，综合安全态势，并以多形式、可视化的方式呈现给

信息安全管理人员；



接收信息安全管理人员的指令或根据对上述信息的处理结果向安全设备和应

用系统发出控制指令，监视指令执行的结果，保证网络安全设备按照相关的制度和策略要求工作；



通过对网络安全事件的有效积累和综合审计分析，在管理范围内实现安全事

件共享和设备联动，提升系统安全系数。

性能需求

信息安全综合管理系统的主要性能需求是： (1) 可维护性

建成系统应该易于操作和维护。系统管理员能够方便地对系统能够处理的数据对象类别、内容、业务规则、提示信息，以及各级操作员的操作权限、可操作范围等进行维护。

(2) 可扩充性

信息安全综合管理系统将分期逐步实施，因此，建成系统应具有良好的可扩充性。对系统功能的扩充不影响原有的系统的运行，系统升级要求平滑。

(3) 低耦合性

信息安全综合管理系统的建设和实施，应最低限度影响智慧城市业务系统的自身功能和运行效率。

建成系统具有以下主要性能指标：

1. 业务专网网络出入口访问控制处理能力可达1Gbps；

2. 能够在120秒内发现网络出入口的攻击行为、窃密行为，并实施阻断； 3. 业务专网对外数据交换的速率可达800Mbps； 4. 对联网使用的计算机及端口控制率可达100%；

5. 主要安全事件在1分钟内做出反应，联动安全设备实施相应的动作； 6. 系统运行平均无故障时间（MTBF）不少于6个月，故障恢复时间应少于1小时；

7. 能支持1500个用户同时在线使用信息安全综合管理系统。

2.6.2 总体要求

在系统建设过程中，充分考虑各层次的安全措施和安全技术手段，通过软硬件技术和安全管理手段以保证系统在安全稳定的环境中运行。通过机房管理、数据安全、权限控制等安全机制实现对数据和信息的合法化访问。

智慧城市信息系统安全体系如下：

2.6.2.1 技术方面

1、物理安全

（1）物理位置的选择

机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（2）物理访问控制

a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（3）防盗窃和防破坏

a) 应将主要设备放置在机房内；

b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 主机房应安装必要的防盗报警设施。（4）防雷击

a) 机房建筑应设置避雷装置； b) 机房应设置交流电源地线。（5）防火

机房应设置灭火设备和火灾自动报警系统。（6）防水和防潮

a) 水管安装，不得穿过机房屋顶和活动地板下； b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。（7）防静电

关键设备应采用必要的接地防静电措施。（8）温湿度控制

机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

（9）电力供应

a) 应在机房供电线路上配置稳压器和过电压防护设备；

b) 应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。（10）电磁防护

电源线和通信线缆应隔离铺设，避免互相干扰。 2、网络安全（1）结构安全

a) 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； b) 应保证接入网络和核心网络的带宽满足业务高峰期需要； c) 应绘制与当前运行情况相符的网络拓扑结构图；

d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。

（2）访问控制

a) 应在网络边界部署访问控制设备，启用访问控制功能；

b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。

c) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；

d) 应限制具有拨号访问权限的用户数量。（3）安全审计

a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

（4）边界完整性检查

应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。

（5）入侵防范

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

（6）网络设备防护

a) 应对登录网络设备的用户进行身份鉴别； b) 应对网络设备的管理员登录地址进行限制； c) 网络设备用户的标识应唯一；

d) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； e) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

f) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

3、主机安全（1）身份鉴别

a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；

b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

（2）访问控制

a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； b) 应实现操作系统和数据库系统特权用户的权限分离；

c) 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； d) 应及时删除多余的、过期的帐户，避免共享帐户的存在。（3）安全审计

a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；

b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。（4）入侵防范

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

（5）恶意代码防范

a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； b) 应支持防恶意代码软件的统一管理。（6）资源控制

a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录； b) 应根据安全策略设置登录终端的操作超时锁定； c) 应限制单个用户对系统资源的最大或最小使用限度。 4、应用安全（1）身份鉴别

a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；

c) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

（2）访问控制

a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； c) 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； d) 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

（3）安全审计

a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； b) 应保证无法删除、修改或覆盖审计记录；

c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。

（4）通信完整性

应采用校验码技术保证通信过程中数据的完整性。 5、数据安全及备份恢复（1）数据完整性

应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。（2）数据保密性

应采用加密或其他保护措施实现鉴别信息的存储保密性。（3）备份和恢复

a) 应能够对重要信息进行备份和恢复；

b) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。

2.6.2.2 管理方面

1、安全管理制度（1）管理制度

a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

b) 应对安全管理活动中重要的管理内容建立安全管理制度；

c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。（2）制定和发布

a) 应指定或授权专门的部门或人员负责安全管理制度的制定； b) 应组织相关人员对制定的安全管理制度进行论证和审定； c) 应将安全管理制度以某种方式发布到相关人员手中。（3）评审和修订

应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。

2、安全管理机构

（1）岗位设置

a) 应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责； b) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

（2）人员配备

a) 应配备一定数量的系统管理员、网络管理员、安全管理员等； b) 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。（3）授权和审批

a) 应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；

b) 应针对关键活动建立审批流程，并由批准人签字确认。（4）沟通和合作

应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通；

（5）审核和检查

安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

3、人员安全管理（1）安全意识教育和培训

a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； b) 应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒；

c) 应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训。（2）外部人员访问管理

应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。

5、系统运维管理（1）环境管理

a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理；

b) 应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；

c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

（2）设备管理

a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；

b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；

c) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现关键设备（包括备份和冗余设备）的启动/停止、加电/断电等操作；

d) 应确保信息处理设备必须经过审批才能带离机房或办公地点。（3）网络安全管理

a) 应指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；

b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；

c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；

d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； e) 应对网络设备的配置文件进行定期备份； f) 应保证所有与外部系统的连接均得到授权和批准。（4）系统安全管理

a) 应根据业务需求和系统安全分析确定系统的访问控制策略； b) 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

c) 应安装系统的最新补丁程序，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；

d) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定；

e) 应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

f) 应定期对运行日志和审计数据进行分析，以便及时发现异常行为。（5）恶意代码防范管理

a) 应提高所有用户的防病毒意识，告知及时升级防病毒软件，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；

b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录；

c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。（6）备份与恢复管理

a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等； b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等；

c) 应根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。

（7）安全事件处置

a) 应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； b) 应制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

c) 应记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生。

（8）应急预案管理

a) 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；

b) 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一

2.6.3 项目建设方案 2.6.3.1

建设目标

通过本项目的建设，将实现以下建设目标：

1）通过园区网络安全防护分系统的建设，为智慧城市建设安全的网络环境，为即将部署在园区网的业务信息系统提供基础的安全防护，搭建安全稳定的网络运行环境；

2）通过计算机安全防护分系统的建设，对现有办公终端计算机实现安全管理，保障工作用计算机终端的安全、可靠；

3）通过信息安全监控管理分系统的建设，初步形成智慧城市信息安全的整体防护体系。确保现有网络和信息系统的安全稳定运行，防范重大信息安全事件的发生，在信息安全事件发生后，能及时响应、协同处置、有效恢复；

4）通过对重要业务系统的安全性渗透测试，检验系统的抗攻击能力，及时发现业务系统存在的安全隐患并提出整改意见。

1、一个总目标

基于安全基础设施、以安全策略为指导，通过统一的安全管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，构建全面、完整、高效的省信息安全体系构架。从而在信息化整体发展的基础上，极大地提高智慧城市的整体安全等级，为保障智慧城市的健康发展提供坚实的信息安全保障。

2、两种手段：管理和技术

技术手段是安全保障的基础：通过在网络系统的各个层次采用相应的安全技术和安全产品，建立起智慧城市的安全技术防护体系；

管理手段是技术手段真正发挥效益的关键：通过建立并健全智慧城市信息安全管理系统，完善并监督技术手段的有效性。

管理措施的正确实施需要有技术手段来监管和验证。 3、三项主要指标

信息系统的整体安全性和可用性

针对智慧城市网络的各层次进行整体的安全防护，抵御外部的侵入，并对全网进行有效的管理，保证整个网络系统的安全可靠性，尽量避免人为因素和自然因素使系统运行受到影响。通过采取完善的安全防范措施，保证智慧城市各种相关的网络、主机以及应用系统具有相当的抗攻击性，能够检测并及时对各种攻击行为及时响应。

同时必须确保在安全产品接入以后，智慧城市原有的业务可以正常进行，传输速度上不会受到明显的影响；同时安全产品应该满足系统网络以及应用业务的性能需求，最大程度的保障智慧城市信息系统的可用性。

信息的安全性、保密性和可靠性

保证智慧城市的信息在存储或传输过程中保持不被修改、不被破坏和不丢失。信息的使用必须进行相关的授权。信息的传输和传播的过程必须进行相关的控制，监视和跟踪。

系统运行的可控性以及可管理性

能够对智慧城市整个网络和系统的相关状况进行实时的监控，对应用服务，数据和资源的使用进行监控。对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制。

通过建立统一的智慧城市的网络安全管理平台，实现对所有相关安全产品的监控与管理。同时建立智慧城市的信息安全管理体系，通过安全组织机构的建设、安全管理制度的完善，规范员工的行为；通过培训提高员工的安全意识和技术水平，实现技术与管理的结合，逐步建成健全智慧城市计算机网络与信息安全体系。

2.6.3.2 依据标准

本方案制作过程中主要参考了以下标准： ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢

ISO/IEC20000 IT服务管理国际标准体系（ITIL规范）

GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》 BS 17799:1999 《信息安全管理》

GB/T 20274-2006《信息系统安全保障评估框架》

GB 17859-1999 《计算机信息系统安全保护等级划分准则》 GB/T 19715.1-2005《信息技术信息技术安全管理指南》

GB/T 18336.1-2001 《信息技术安全技术信息技术安全性评估准则》 GB/T 16260-1996 《信息技术软件产品评价质量特性及其使用指南》 GB/T 17544-1998 《信息技术软件包质量要求和测试》

2.6.3.3 总体架构

本项目针对信息安全建设需求，重点建设园区网网络安全防护分系统，计算机终端安全防护分系统，信息安全监控管理系统。

园区网网络安全防护分系统包括域边界防护子系统、域内安全防护子系统、远程安全接入子系统、访问控制策略管理子系统和网络安全审计管理子系统。主要功能如下：

➢ ➢

边界防护子系统实现安全域边界、网络边界不同强度的访问控制功能；域内安全防护子系统按照分域管理的方法，实现安全域内的访问控制、安全

审计、入侵防范等功能；

➢ 接入；

➢ ➢

访问控制策略管理子系统实现对访问控制策略的制订、发布、执行等管理；网络安全审计管理子系统对网络数据流进行采集和分析，实现流量、协议等远程安全接入子系统实现通过互联网远程访问智慧城市业务信息系统的安全

网络数据的审计。

计算机安全防护分系统包括服务器安全防护子系统、终端身份认证系统、终端安全准入系统。主要功能如下：

➢

服务器安全防护子系统对各种应用服务器、数据库服务器进行管理控制，包

括安全策略配置发布、服务器注册信息审计和上报、系统安全防护、系统资源状态监控等；

➢

计算机终端安全防护子系统对业务专网内工作用计算机终端进行安全管理，

主要是系统关键操作的监控和管理；

➢

终端安全登录子系统通过强身份认证的方式，提升工作人员登录计算机终端

的安全性；

信息安全监控管理分系统由数据采集子系统、支撑子系统、安全域管理子系统、风险监控子系统、日志管理子系统、设备管理子系统等部分组成。主要功能如下：

➢ ➢

数据采集子系统通过多种采集方式实现对不同类型数据源的采集；

支撑子系统提供分系统自身使用管理、用户管理、预警管理、响应管理等平

台支撑功能；

➢ ➢

安全域管理子系统实现业务域配置、风险计算、结果呈献等功能；

风险监控子系统具备事件、资产和域的风险管理功能，包括风险计算、安全

响应和预警、结果呈献等；

➢

日志管理子系统实现了从原始日志产生、采集到日志综合分析处理和存储以

及基于日志的管理与审计；

设备管理子系统提供通用的、可扩展的设备控制框架，实现对相关设备进行手动或自动的控制

智慧城市的总体目标是建设一个先进的，覆盖所有业务领域、支持主要经营管理活动的信息系统，相应的，安全系统设计必须采取动态、科学的设计思想及原则，将信息安全系统规划成合理、科学的网络安全体系；在网络安全体系及安全管理体系上

有层次、有内容、有方法，设计方案上要有理论基础、整体安全规划设计及所提供的信息安全产品具有前瞻性，要将安全系统建设成为以安全管理平台为基础的、基于策略的、动态的、实时响应的信息安全系统。

2.6.3.4 网络结构与安全设计

智慧城市整体网络构架中，我们分为了4部分来分项设计网络安全环境，在园区总出口部署了防火墙、IPS和可信网络行为管理；在内网应用中部署了网络安全审计系统和统一安全监控平台系统；针对内网用户需求和应用服务器集群中分别划分了安全域级别，通过系统的重要性来确定优先级。

园区外网安全是整个智慧城市的重点防护区域，这个区域是整个园区和互联网的唯一出口，也是互联网黑客攻击的指向区域。

园区内网是整个智慧城市的所有应用系统大动脉，所有的园区应用系统都在这个网内，比如监控系统、公共广播，总控平台等系统。其中还涵盖了内网的上网用户，这部分的网络应用是最复杂也是最多的，为这部分人员提供了可信网络行为管理系统。

外网网络安全部署

图3- 9园区外网安全示意图

园区内网安全设备部署

图3- 10园区内网安全示意图

2.6.3.5 安全域划分

安全域设计原则

安全域的设计主要遵循以下设计原则：明确网络资源

事实上我们不能确定谁会来攻击系统，所以在制订安全策略和框架之初应当充分了解网络的内部构架，了解要保护什么，需要什么样的访问，以及如何协调所有的网络资源和访问。

确定网络访问点

网络管理员应当了解潜在的入侵者会从哪里进入系统。通常是通过网络连接、拨号访问以及配置不当的主机入侵系统。

限制用户访问的范围

应当在网络中构筑多道屏障，使得非法闯入系统者不能自动进入整个系统，尤其要注意网络中关键敏感地区的防范。

明确安全设想

每个安全系统都有一定的假设。一定要认真检查和确认安全假设，否则隐藏的问题就会成为系统潜在的安全漏洞。

实现深层次的安全

对系统的任何改动都可能会影响安全，因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性，而且不易影响系统的安全性。

安全域间的隔离防护

在各种网络设备如路由器、交换机等上进行相应的安全配置，能够提高全网在网络层的安全防御能力。

基于访问列表的安全防范策略，主要包括：设置内部各安全域之间的访问控制策略；

防止外部IP地址欺骗如非法内部IP、回环IP、广播IP等；防止外部非法探测；阻止对关键端口的非法访问；对内网重要服务器进行访问控制；

对于重要的安全域采用防火墙的方式加强防护。过滤的内容包括：IP、MAC、端口等。

园区外网安全示意图根据应用重要性和安全应用性考虑，按安全级别分成三个区域：

网络管理区域；网内用户区域；临时用户区域；区域划分设计

OLTOLT及分光器ONU内网用户区监控网ONU网络管理区ONUONU设备网临时用户区内网办公需求

图3- 11园区外网安全示意图

安全域划分图网络管理区域

网络管理区域，部署网络管理软件、安全事件监控系统管理中心；负责整个安全管理与安全维护功能，部署各种安全管理软件管理端软件系统。其区域禁止其他区域主机对该区域访问，该区域可以访问其他所有区域。（安全级别较高）

网内用户区域

网内用户主要是所有区域中访问综合应用平台等应用安全服务区域应用的用户，接入必须通过终端桌面和CA证书认证。通过限制来选择访问互联网，根据需要能够访问到应用服务器区域的指定系统服务。（安全级别中级）

临时用户区域

临时用户主要是智慧城市第三方人员、其他协助人员互联网上网。交换机Vlan和策略严格与其他区域进行隔离，只允许访问互联网区域。通过可信网络行为管理、接入认证进行严格限制，确保不影响其他区域网络的业务开展。（安全级别低级）

通过策略控制只允许被网管区访问，相对独立不受其他区域影响；应用服务器区域仅允许指定业务系统、指定服务器间与互联网数据安全交换，禁止通用协议通过，避免应用直接穿越网络边界，实现网络应用的有效隔离，降低来自互联网服务区对智慧城市业务专网的安全威胁；网管中心可以访问所有其他区域，但禁止其他区域主机

和服务器访问网管中心区域。终端用户通过终端管理和CA证书通过接入认证网关认证，才能有权访问应用服务器区域的综合应用业务。临时用户通过交换机VLAN和终端桌面管理进行访问控制，仅允许访问互联网资源，相对与其他区域进行隔离。

2.6.4 网络安全防护体系

为实现基础环境的安全保护功能，在园区网部署相应的安全设备，通过对安全设备的配置，实现安全区的划分及安全策略及安全保护的功能，主要部署在边界的安全设备有防火墙、入侵防护、流量控制、可信网络行为管理等设备。在内网中部署网络安全审计、安全事件统一管理平台，终端管理和CA认证。

边界防护系统

图3- 12 边界防护示意图

1. 防火墙系统

防火墙是部署在不同网络安全域之间的一系列部件的组合。它是信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离，以保护整个网络抵御来自其它网络的入侵者。如图3-18

网络访问控制策略管理主要完成域边界访问控制的管理，包括业务系统管理、访问控制设备管理、访问控制策略制定、访问控制策略发布、访问控制策略执行等功能。

应用服务器区域仅允许指定业务系统、指定服务器间与互联网数据安全交换，禁止通用协议通过，避免应用直接穿越网络边界，实现网络应用的有效隔离，降低来自互联网服务区对智慧城市业务专网的安全威胁；网管中心可以访问所有其他区域，但禁止其他区域主机和服务器访问网管中心区域。

通过对全网网络拓扑结构进行分析，确定需要进行访问控制的网络边界位置，并使用防火墙等边界访问控制系统，解决边界安全问题、实现各个安全域间的网络访问控制。

需要加强网络访问控制的网络边界包括以下几处：

1) 2)

接入域的网络边界；

建议在智慧城市接入域的网络边界，部署兆防火墙、采用透明模

式进行部署。

3) 4)

应用服务域边界；

对于外网应用服务域的系统应部署在防火墙DMZ区以加强保护。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。 2. 关键技术

 多核智能驾驭技术

新一代的防火墙产品具有3大技术特点：吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战，也正是基于此，防火墙过去饱尝性能瓶颈之苦。目前，X86平台常见的多核处理器是4核，而SoC多核平台已最高可达16核，单从CPU内核的数量上就已经高出4倍。不仅如此，Cavium多核芯片专为信息安全产品应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很易于达到电信级标准。

吞吐密集：针对信息安全产品应用特点，Cavium多核CPU设计了高达640Gbps的内部总线带宽，是目前4核 X86CPU最高总线带宽的6倍，充分保障高性能的可实现。片内集成了收发包模块，千兆、万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能和系统并行度，并最大限度的减少CPU在此方面的开销。不同于X86架构下需要用北桥、内存控制器实现内存操作，Cavium多核CPU片内集成了DDR2/RLDRAM2内存控制器，避免了内存成为平台性能的瓶颈。

运算密集： Cavium多核CPU可支持高达16个CPU核，每CPU核既可用于处理不同的业务又可统一调度协同运算，共同为运算提供澎湃动力。每CPU核集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再向X86架构下的多条指令实现一个功能，结合RISC CPU短指令集对于

多分支执行的优势，设备对于面向包处理的复杂应用层业务的运算效率提高了2-3倍。

虽然SOC多核硬件平台具备强大的性能优势，但X86平台属于通用硬件平台，具有开发难度小的优势，而SoC多核平台属于专用硬件平台，驾驭难度相当高。尤其是计算性能的提升，是否能随核数的增多而达到线性的增长。这其中需要在多核硬件的基础上作大量的原创性设计。

 事件关联分析技术与归并处理机制

对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对HTTP服务进行了慢速CGI扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。

针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。

 高速深层检测技术 1) 高精度应用层协议分析

2) 基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成；

3) 高效协议自识别算法。对于非周知端口的通信，需要通过内容识别其所属的协议类型。这一内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析和匹配算法的选择降低计算开销。

4) 多模匹配算法选择

实际上不存在一种普适的算法能够在各种情况下都有最佳表现，同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件（处理器）架构和匹配规则的分布类型，将其抽象为与匹配算法效能相关的若干关键参数，计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图，

配置管理层面控制层面服务层面匹配算法库模块WMWM改进1静态自适应模块规则树配置ACBMACBM改进1ACBM改进2静态特征统计模块静态算法选择决策模块自适应配置文件动态特征统计模块动态算法选择决策模块算法调度模块匹配文本算法统一调用模块匹配结果动态自适应模块反馈事件队列图3- 13自适应示意图

5) 最优规则树

特征匹配的过程不仅包括串匹配，还有对诸如地址、端口、协议类型等等许多协议字段的匹配。为了方便，我们将多个协议字段构成的模式称为多数据类型模式，与上面提到的串模式进行区分，串模式可以认为是多数据类型模式的一个子集。在以往的工作中，我们受AC算法的启发，将其扩展到多数据类型模式匹配，即将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

与串匹配不同的是，多数据类型模式中，每种数据类型的单次匹配开销是不同的，在实际运行中的命中几率也是不同的。同样是树型数据结构，其最佳效率和最差效率相差可能在一个数量级以上，如果能将低命中率、低匹配开销的工作尽可能提前，将会接近最佳的匹配效率。

 智能内容过滤技术

依然遵循数据交换的大原则，依然采用大的缓冲区来交换数据，但是对缓冲区的形式作一个变换。程序在捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元（为了提高访问速度，采用内存边界对齐的数据单元，比如说2k字节一个单元），将从网卡读入的数据拷贝到这个缓冲区以后，捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。基于多目标分发的多线程连接级并行的内容分析子系统本质上是同时运行多个逻辑上独立的并行内容分析协议栈，结构框如图示。

内容还原与分析内容还原与分析处理线程处理线程数据分发线程从数据队列中取数据单元索引单元使用存储单元队列索引单元…索引单元存储单元存储单元...存储单元存储单元数据发送线程将待发送数据发送后数据单元返回给空闲队列索引单元索引单元…索引单元填充数据以后挂到数据队列上数据捕获系统从空闲队列中取空闲存储单元空闲存储单元队列

图3- 14并行内容分析协议栈

并行协议栈通过一个数据分发器将捕包系统捕获的网络数据包按照IP包首的源地址和目的地址对分发到相应的线程进行处理，并通过一个发送单元收集器完成数据单元的发送，数据发送完毕以后将发送单元占用的数据单元返回给空闲存储单元队列供数据捕获系统使用，让捕包系统重复利用这些单元，实现捕包到分析的零拷贝过程。

每一个内容分析线程均有一个私有的协议栈状态表和两个数据队列索引，其中协议栈状态表是协议栈在进行IP协议、TCP协议已经上层应用协议还原的时候用来保存上下文信息和暂存数据使用，而两个数据队列索引则分别用来存储待分析的数据块和已分析块。这样，任何一个协议栈线程在进行数据操作的时候都不会和其他协议栈线程共享数据块，避免协分析线程间的临界锁，提供整个系统的计算吞吐量。

此处的多目标分发机制具有如下特点：

 实现了内容分析子模块从数据分析过滤的零拷贝过程

 避免了核间和核内的临界锁，极大的提高了内容分析子系统的计算资源利用率  数据监控NetFlow技术

在对网络数据进行分析统计方面，NetFlow是一项关键技术，它能根据客户的要求总结流量统计数据，而这些数据对网络安全的管理、规划是非常有用的。它的价值在于：

 无需探针（probe）就能进行IP流量的流分析，而且对设备的性能影响很小；

 提供极为丰富和宝贵的数据，这些数据可用于网络安全的管理和规划；  将网络中的数据包识别为网络流的形式，从而无需再单独处理每个数据包，仅仅处理网络流中的第一个包即可。后面的包都作为该网络流的一部分。这种流线型的包处理方式提高了网络服务的能力。

NetFlow系统由流采集器、流收集器、NetFlow数据分析器三个部分组成，由于流采集器仅仅采集IP数据流的统计信息，更深入的分析由NetFlow数据分析器来完成，所以在网络上启用流采集功能后，对设备转发数据包的性能影响不大，在网络流量较大时，流采集器也能正常工作。例如启明星辰的天清汉马USG防火墙支持流采集器的功能，而安全管理平台则集成了流收集器和NetFlow数据分析器的功能，因此，利用启明星辰的天清汉马USG防火墙和安全管理平台，就能构建一个完整的NetFlow系统（以下简称“启明星辰NetFlow系统”）。

数图3- 15据字段分析图

上图最左边是输出报文的结构框架，右边则详细描述了各部分的内容（通过不同颜色来标识）。

 非法连接过滤技术

将系统获取的网络数据按标准的以太数据结构、IP数据结构、TCP/UDP数据结构，

并进行TCP的会话查找，每条会话相对应源和目的MAC地址、源和目的IP地址、源和目的端口地址、连接次数等。

将上述所获的网络连接信息放入网络连接知识库中，该缓冲区按照索引标识、源和目的地址进行合并存放，即相同的源和目的地址将该连接的发生次数进行累计计算。

当某一连接被释放，主动要求释放连接的一端发送TCP FIN数据包，监视整个连接的释放过程，如释放正常完成，在知识库中找到相对应的TCP会话，将连接发生的次数减1。这样可以始终保证知识库中存放的是发生频率最高的连接。

该算法会以1秒钟为单位时间，进行流量的统计，如果上1秒钟的流量大于事先约定的阀值，那么立即进入流量识别模式，如果连接请求可以在知识库搜索到，则直接放行，并记录放行的数据包数，否则以上1秒钟的流量作为样本，计算放行的概率。

作为拒绝服务攻击的主要手段SYN Flood攻击效果尤为显著，通常SYN Flood的防范方式为应用SYN Cookie机制。它的原理是:在TCP服务器收到TCP SYN包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值，并加载在所回应的SYN/ACK包中，在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

入侵防御系统

入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在很大的区别。

入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，通常以串行方式透明接入网络。和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御）。在本方案中入侵防御系统主要保护那些对外提供服务的业务系统的安全。

关键技术

天清NIPS采用了多种专利技术和创新技术，为确保多种安全能力的融合，性能的持续恒定起到了重要作用。

1、

基于行为分析的合法性检查技术

除去固有的特征字或关键字，每一个攻击或威胁都会有一系列的动作，例如修改系统注册表、终止进程、修改图标等，对于每一种操作系统，都会存在成千上万类似

的动作。通过对这些行为特征跟踪、分析、提炼，能够寻找出一定的规律，用于对未知病毒或威胁的检测，根据这个原理，启明星辰创新了基于行为分析的合法性检查技术，用于对未知威胁的检测和判断。具体可以从如下四个方面理解：

从异常的行为入手。对操作系统的主要行为进行统计，并对主要行为进行相应的监控和报警。例如修改Browser特性的必定要改注册表或者相关文件，所以我们可以通过对注册表进行监视和报警；对于很多网页木马之类的病毒必定有一个下载文件的过程，同时简单的会有一个相应处理的方式，可以对此类行为进行监视和报警；对于键盘操作进行记录的病毒必定会有一个对键盘进行消息处理进行监视的行为，我们也可以据此进行监视，看哪些软件进行此类处理，进而分析报警。

采用行为统计阈值技术。对于现在已知的各种入侵威胁和病毒等，把他们的各种行为进行分析、统计，给每种行为一种权值。

通过人工智能的方法进行训练。对于我们所给的权值有可能不太准确，可以利用人工神经网络中的学习算法让它调整权值等，从而达到一个准确的权值，进而正确的识别一个病毒。如图所示，每一种威胁进行都可以分解出若干有威胁的动作，在确定其是一种威胁的前提下将这些动作对应的阙值进行调整。在通过数万次的训练后，这些行为动作的阙值达到了一种相对准确的状态。

对未知威胁进行判断。当一个软体进入时，可以对其行为进行跟踪分解，并将其动作行为与知识库中的相应条目比对，得出每个行为动作的阙值，将所有动作的阙值相加，权值之和若达到一个给定的阈值就认为是一个入侵或病毒，否则就判断为正确数据。

基于行为分析的合法性检查技术给出了一种相对准确的对于未知攻击、威胁和病毒的检测方法，对于“Z-Day”类攻击具有很好的防范作用，是解决网络边界安全的重要技术创新。

下图为行为分析技术的逻辑图：

图3- 16行为分析技术逻辑图

2、

基于标签的融合式综合匹配技术

传统IPS的深度内容检测匹配整个数据流过滤过程可以抽象描述为下图所示：

设备采购管理中心设备安装调试制定前端设备安装布线方案安放电源LCD音视频线缆铺设网络接入LCD安装调试播放器安装调试安装调试资料的移交、培训验收、系统投运

图3- 17已有IPS系统匹配过程逻辑图

天清NIPS的特征匹配器采用多模串匹配算法，这种算法的匹配效率和特征关键的总数量相关性不大，和待过滤的数据流长短成正比关系。从图中可以看出，由于数据是串行穿过每个匹配器，从而导致了输入数据被多次匹配，从而降低了匹配效率。

扩展端口（EXP）扩展板串口（COM）接地线螺丝以太网接口（LAN）模拟环路中继（FXO）模拟用户接口（FXS）电源开关220V电源接口

图3- 18签的融合式综合匹配技术

基于标签的融合式综合匹配技术在结构上最大限度地融合了存在冗余功能的模块，从而避免了重复的数据还原、分析过程。同时将相关的特征码加上标签，输入同一个特征匹配器——融合式综合匹配器，融合后的过滤模块对输入的数据只匹配一次，匹配到关键字后，根据相应关键字的标签选择报警/响应方式。这一步避免了对同一数据流进行重复匹配过滤的操作。

3、

事件关联分析技术与归并处理机制

大规模网络的数据集中在一起分析，可以发现一些在局部网络无法检测的现象： 1）一对多的攻击现象

比如病毒发作时的传染行为，特点为一个源在一段时间内向多个目标发动攻击行为

2）多对一的攻击现象

比如分布式拒绝服务行为，对网络带宽较大主机而言，这是最有效的拒绝服务攻击方式

3）攻击传递现象

包括病毒的传染，以及黑客常用的手段：先攻击一台主机，再利用它攻击其它计算机，具有很强的隐蔽性

对于大规模的蠕虫类、病毒类和分布攻击事件，如果对事件的源、目的信息逐条记录，将产生大量的报警日志信息，这对系统的正常运行将产生不利影响。本系统支持对于事件的归并处理技术，即对于事件可采取按源地址归并、按目的地址归并、按源或目的地址归并的归并策略。这样既可以降低事件的报警频率、避免日志洪流的产生，又可以明确攻击发生的规模情况。

在极为罕见的情况下，如果发生海量事件生成，本系统将数据写入存储缓冲区中，供后期网络空闲时系统自动传输；如存储缓冲区满时，系统将采用按事件优先级的淘汰策略，首先淘汰低优先级事件的方式进行处理，以确保事件的优先存储。

4、

应用层协议类型识别技术

为了能够对应用层数据进行入侵检测、病毒检测以及内容过滤，我们首先需要识别应用层协议类型，然后才能针对不同的协议给出相应的具体处理方法。一般的协议类型识别方法是利用RFC规定的协议默认端口来判断协议的类型，然而，我们知道这种方法的准确性并不高，因此在我们的技术方案中，通过增加对后续数据报文内容的分析来综合判断协议类型，同时我们也在底层平台中设计了相应的处理机制，以支持对协议类型的综合判断。

在TCP/IP网络结构下，应用层的数据报文主要基于UDP和TCP两种传输层之上，下面将从这两个方面给出我们的技术方案。

 UDP数据

考虑到平台的性能和实际应用中，对于没有上下文信息的数据，比如IP分片、IP数据和UDP数据等，采用优先级按照插件优先级的顺序进行调用，根据高优先级的插件的返回结果决定当前数据是否提交低优先级的插件处理。例如，如果存在三个不同的IP层数据处理插件IPP1、IPP2，分别赋予三个插件优先级1，2。当监控平台捕获网络数据包A的时候，平台首先调用优先级最高的插件IPP1，如果IPP1处理完成后返回PASS指令，则将当前数据包继续提交插件IPP2，如果IPP1处理完成后返回的指令是DROP，则抛弃当前的数据包，不再提交优先级较低的IPP2处理。这种方式可以有效

避免同一数据包的重复处理，可以有效提高系统的整体性能。

 TCP数据

针对有上下文连接信息的TCP数据，采用竞争连接控制权的方式来决定处理插件。相对于网络层的协议而言，应用层的协议没有统一的表示来表明协议的类型。目前，除了少数的协议（如：DNS和SMTP协议）可以通过TCP连接的目的端口判定以外，其他的协议均可以变换连接的端口，比如HTTP协议虽然RFC规定默认情况下使用80端口，但是实际应用中，可以见到大量的网站采用其他端口，比如说1080，8080等。因此，对于应用层协议的判定，有必要通过对数据内容进行分析来进行协议识别。但是应用层协议种类繁多，内容复杂，并且更新很快，通过平台统一完成应用层协议的识别既复杂又降低了平台的通用性和可扩展性，因此将具体协议的识别交给进行相应协议处理的插件去完成，如图10所示，每个数据报文按自上而下的顺序依次传递给各插件进行处理。

扩展端口（EXP）扩展板串口（COM）接地线螺丝以太网接口（LAN）模拟环路中继（FXO）模拟用户接口（FXS）电源开关220V电源接口

图3- 19插件的组织结构

当底层平台捕获一个TCP连接的建立信息，平台将这个连接建立的信息提交所有的TCP协议处理插件进行处理，每个插件的处理过程如图2所示。所有的插件都必须对当前连接的内容进行处理，判定当前连接的类型是否是自己所能处理的协议。如果不是，则通过平台提供的函数DROP_ME通知平台放弃当前连接的处理权，如果插件识别出当前的连接的协议和他所能处理的协议吻合，插件通过函数KEEP_ME通知平台宣称自己对于当前连接的处理控制权，对于那些根据当前信息还不能进行有效判断的功能插件，则可以使用函数PEND_ME通知平台将自己挂在当前连接上等待进一步的更多的数据到来已完成有效的判断。通过不断到达的数据包驱动上述过程，可以找到当前连接的处理插件或者所有的插件均放弃对于当前连接的处理权，如果找到了当前连接的处理插件平台需要通知调用了PEND_ME的插件释放对于当前连接的控制并完成现场销毁。

由于可能出现在同一TCP连接中包含多个应用层协议的问题，比如说使用SOCKS代理进行HTTP访问的TCP连接，连接的前一部分是SOCKS协议，而连接的后一个部分则为标准的HTTP协议，平台提供函数RESTORE_ME函数允许插件在完成协议分析以后将连接控制权交还给平台让平台重新选择当前连接的处理插件。对于一个TCP连接，平台的状态转换图1所示。

青岛市有线电视网各汇聚层通信机房园区中心机房世园村中心机房汇聚层光缆园区EPON网络干线放大器ONUONU干线放大器各建筑物内有线电视系统各建筑物内有线电视系统青岛世园会有线电视系统拓扑示意图

图3- 20插件的处理过程

我们的方法给出了一种协议类型识别及内容分析的实现机制，它使得底层平台具有良好的通用性和可扩展性。通过这一机制，我们力图有效而准确地识别应用层协议类型，为进一步的协议内容分析提供必要的帮助和支持。

5、

高速深层检测技术

1) 高精度应用层协议分析

协议分析是深度检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精度。但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。我们将主要通过以下两方面来解决这一问题，

3) 高效协议自识别算法。对于非周知端口的通信，需要通过内容识别其所属的协议类型。这一内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析

和匹配算法的选择降低计算开销。

4) 多模匹配算法选择

由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法，并且在工业界得到了很好的应用，比如AC算法、WM算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上，在IA32架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。

现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有Aho-Corasick、Wu-Manber和ExB算法或它们的变种。

根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略缓存的性能开销。由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储器效能低造成系统整体的效能低下，绝大多数系统采用多级存储结构，增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中，数据结构非常庞大，并且匹配过程中不断在非连续的地址间跳转，此时高速缓存的命中率大幅下降，不考虑缓存开销显然已不能反映各算法在实际应用中的效能。

配置管理层面控制层面服务层面匹配算法库模块WMWM改进1静态自适应模块规则树配置ACBMACBM改进1ACBM改进2静态特征统计模块静态算法选择决策模块自适应配置文件动态特征统计模块动态算法选择决策模块算法调度模块匹配文本算法统一调用模块匹配结果动态自适应模块反馈事件队列图3- 21自适应示意图

静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line长度、L2Cache容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。

5) 最优规则树

6、

智能内容过滤技术

IPS设备内容分析子系统要充分发挥当前处理器所具备的多核能力。一个大的原则

就是数据交换过程中尽量避免核间和核内的临界锁以及字符串拷贝，所以数据的生产者和消费者应该使用一个大的缓冲区来交换数据。传统的做法就是把这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越就可以。在协议栈单线程的情况下这种方法没有问题，但是在多核以及SMP情况下，为了充分发挥硬件的计算能力，必须把内容分析过滤子系统多线程化（并行化）。

但是上述数据交换方式在内容分析多线程的情况下就出现了问题。当协议栈多线程的时候，必须使用专门的线程实现捕包程序捕获的数据包的分发，也就是把数据包分发到相应的线程进行处理。这样问题也就出现了：那个环形缓冲区的读指针不再正确。这是因为，为了避免拷贝操作，分发线程并没有将捕包程序捕获的数据进行拷贝以后再分发，而是直接对其指针进行操作，在这种情况下，分发程序是不知道协议栈什么时候能够分析完成并释放缓冲区的，因而分发程序不可以直接简单增加环形队列的读指针来申明当前缓冲区以消费完成，可以写入新的数据。又由于协议栈分析时多线程同时进行，没有办法确定每一数据包分析完成的时间，这样很难确定环形缓冲区的读指针了。

为此，天清NIPS采用了如下的解决方法：依然遵循数据交换的大原则，依然采用大的缓冲区来交换数据，但是对缓冲区的形式作一个变换。最初定义的是直接在缓冲区上定义读写指针将缓冲区当成环形队列使用，现在不同是缓冲区不再是一个环形队列，而被分成了独立的两部分：空闲缓冲区队列和已使用缓冲区队列。注意这里提到的两个缓冲区不是具体的数据缓冲区，而是保存数据缓冲区数据单元指针的指针列表。

捕包程序在捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元（为了提高访问速度，采用内存边界对齐的数据单元，比如说2k字节一个单元），将从网卡读入的数据拷贝到这个缓冲区以后，捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。分析线程在从缓冲区取数据的时候从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后直接将这个数据单元挂到待发送缓冲区队列就可以了，这样既避免的锁定，也避免了内存拷贝。而且可以充分利用缓冲区的空间。上述过程构成了本方案的多目标分发机制。

基于多目标分发的多线程连接级并行的内容分析子系统本质上是同时运行多个逻辑上独立的并行内容分析协议栈，结构框如图示。

图3- 22并行内容分析协议栈

此处的多目标分发机制具有如下特点：

 实现了内容分析子模块从数据分析过滤的零拷贝过程

 避免了核间和核内的临界锁，极大的提高了内容分析子系统的计算资源利用率 7、

数据监控NetFlow技术

 无需探针（probe）就能进行IP流量的流分析，而且对设备的性能影响很小；

NetFlow系统由流采集器、流收集器、NetFlow数据分析器三个部分组成，由于流采集器仅仅采集IP数据流的统计信息，更深入的分析由NetFlow数据分析器来完成，所以在网络上启用流采集功能后，对设备转发数据包的性能影响不大，在网络流量较大时，流采集器也能正常工作。例如启明星辰的天清入侵防御NIPS系统支持流采集器的功能，而安全管理平台则集成了流收集器和NetFlow数据分析器的功能，因此，利用启明星辰的天清入侵防御系统和安全管理平台，就能构建一个完整的NetFlow系统（以下简称“启明星辰NetFlow系统”）。

天清NIPS输出报文主要由两部分组成：报头和Flowset。Flowset是输出报文中紧随报头的部分，包含着收集器必须解析和翻译的信息。 Flowset有两种类型：模版Flowset和数据Flowset。模版Flowset描述了数据Flowset中使用的字段。每个数据Flowset则包含了一个或多个流的统计数据。当一个NetFlow收集器接收到一个模版Flowset，它会存储这个Flowset和输出源地址，这样当它收到后继的数据Flowset时，如果数据Flowset对应于此模版Flowset ID和源地址，那么它就能根据此模版Flowset定义的字段解析出这些数据。

图3- 23数据字段分析图

上图最左边是输出报文的结构框架，右边则详细描述了各部分的内容（通过不同颜色来标识）。

不难看出，NetFlow输出报文中包含许多有价值的流量统计数据，这些流信息充分揭示了有关网络使用的“4W”问题：

Which：哪一个用户（IP）使用了网络？ What：网络流量的类型是什么？

When：在什么时间使用网络，使用了多长时间？ Where：网络流量流向何处？

利用NetFlow数据分析器对这些数据进行统计分析，就能从中提取出网络流量特征，从而为网络管理员提供一张丰富而详尽的网络利用视图，为做网络安全管理与规划提供了事实依据。

8、

非法连接过滤技术

将系统获取的网络数据按标准的以太数据结构、IP数据结构、TCP/UDP数据结构，并进行TCP的会话查找，每条会话相对应源和目的MAC地址、源和目的IP地址、源和目的端口地址、连接次数等。

当某一连接被释放,主动要求释放连接的一端发送TCP FIN数据包,监视整个连接的释放过程,如释放正常完成,在知识库中找到相对应的TCP会话,将连接发生的次数减1.这样可以始终保证知识库中存放的是发生频率最高的连接.

该算法会以1秒钟为单位时间,进行流量的统计,如果上1秒钟的流量大于事先约定的阀值,那么立即进入流量识别模式,如果连接请求可以在知识库搜索到,则直接放行,并记录放行的数据包数,否则以上1秒钟的流量作为样本,计算放行的概率。

作为拒绝服务攻击的主要手段SYN Flood攻击效果尤为显著,通常SYN Flood的防范方式为应用SYN Cookie机制.它的原理是:在TCP服务器收到TCP SYN包时,不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值,并加载在所回应的SYN/ACK包中,在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

可信网络行为管理

可信网络行为管理系统是一种上网行为的智能管理系统，采用深层协议分析技术对流量、访问内容及上网行为进行监控。通过定义网络管理策略对内部网络行为进行规范和疏导，实现对信息网络的可信管理，使符合企业要求和利益的行为优先保障，而对于不恰当或对企业网络带来危害的网络行为通过阻断、流量限制及审计等方式加以限制，从而提高效率，保护核心资产和根本利益。

协助用户完成对智慧城市期间用户和临时用户上网行为做规范管理，依据组织架构和用户的职责制定相应的上网策略。通过自动识别与过滤，对网页浏览、IM通讯/P2P下载、网络电视/游戏、电子邮件/发帖等其它互联网应用进行管理和控制。

系统通过采用深层协议分析技术对流量、访问内容及上网行为进行监控。通过定义网络管理策略对内部网络行为进行规范和疏导，实现对信息网络的可信管理，使符合企业要求和利益的行为优先保障，而对于不恰当或对企业网络带来危害的网络行为通过阻断、流量限制及审计等方式加以限制，从而提高效率，保护核心资产和根本利益。

互联网上网行为管理 

网络资源的无监管使用，被大量不合理的视频、下载占用、甚至滥用，将阻

碍正常办公业务的进行

 

通过互联网使网内的机密信息外泄

互联网的无监控使用会导致严重安全隐患，钓鱼站点，病毒站点的访问将把

这些威胁的因素引入到公司的内部，这时我们在网关处部署的大量的被动防御设施将无能为力



非法/过激的言论，无知识产权信息的下载/发布将给智慧城市带来负面影响

2.6.4.1 网络监管与安全监督

A. 安全事件监控平台

中国电信根据现代安全技术发展的趋势和理念开发推出了安全运营管理平台，用于帮助企业实现安全事件和信息的有效管理及全面审计。安全运营管理平台针对大规模复杂系统网络而设计，可以通过多级部署实现对现有复杂网络的支持，广泛支持现有网络设备、安全设备、服务器、应用系统的事件收集及审计，提供强大的可视化事件分析能力。企业可以通过安全运营管理平台提供的从网络到设备直至应用系统的监控能力结合在对安全事件关联分析，从而实现企业信息系统的安全预警、入侵行为的及时发现和及时响应。

基于电信安全运维中心：SOC, Security Operations Center的整网安全事件监控机制。部署永安集团总部，在内网应用前端区部署一台安全事件监控平台MSSP，收集设备syslog日志，汇总到电信SOC安全分析中心，提供分析报告，安全服务支撑。

采用集中监控的形式，实现以下目标：安全事件收集，事件分析，状态监视，统计分析。

图3- 24工作模型

网内安全事件监控平台负责收集安全设备、服务器、交换机的日志信息通过加密隧道，传递到电信的安全监控中心专家分析库进行分析。

B. 全面的事件监视功能

安全运营管理平台不仅支持对各种网络设备、安全设备、服务器、应用服务的日志事件收集、监控，还支持对各种设备、服务器、应用服务的可用性监控、流量监控、性能监控（包括CPU使用率、内存使用率、磁盘空间使用率），强大全面的监视功能使得对于大型复杂网络中各种设备、系统的监管变得易如反掌。

C. 直观便捷的监控管理

安全运营管理平台除了提供友好的事件监控界面，还提供了资产状态监控拓扑和3D威胁趋势监控。

事件监视界面：

图3- 25事件监视界面

资产状态监控拓扑：

图3- 26资产状态监控

图3- 27 3D威胁趋势

D. 强大的关联分析

安全运营管理平台支持事件关联分析功能，有助于监控人员及时发现安全隐患，关联分析支持逻辑运算符、支持多条件组合关联、支持不同数据源的事件关联、支持事件与资产漏洞数据关联。

图3- 28关联分析

E. 多样的响应方式

安全运营管理平台根据定义的事件的危险级别采用颜色、声音、EMAIL、短信、自定义命令等多种告警方式。

F. 全面丰富的报表

安全运营管理平台在对收集的事件进行详尽的分析及统计的基础上支持丰富的报表，实现分析结果的可视化。帮助管理员对网络事件进行深度的挖掘分析，支持管理员从不同方面进行事件的可视化分析，提供了表格及多种图形表现形式（柱状图、曲线图），使管理员一目了然。并且支持报表导出成PDF、Word等格式。

图3- 29最近一周事件趋势

图3- 30最近一周安全事件

2.6.4.2 服务器应用负载均衡

流量管理系统可提供智能、具有适应性的解决方案来保护、优化和交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。

A. 其主要优势

定制增长计划，避免业务中断

先进的负载均衡能力和全面的状态监控可帮您无缝地添加更多服务器并对其流量进行管理

将应用速度提高3倍

减少流量，并且最大限度减轻瓶颈以及WAN，LAN和互联网时延对应用性能的影响保护您的应用和数据安全

从强大的网络和协议级安全到应用攻击过滤，可对运行业务的应用提供保护降低服务器，带宽和管理成本优化您现有的基础架构，并将应用交付整合到统一，易于管理的平台上，使您能够全面控制您的应用连接，数据包和有效负载

本地流量管理器可以将您的网络转变为灵活的应用交付基础架构。它是用户和应用服务器之间全代理，它创建了一个用于确保应用流量安全，并对应用流量进行优化和负载均衡的层次。这样，您便可以全面控制您的网络，您不但可以轻松添加服务器，消除业务中断，提高应用性能，还可以满足安全要求。

B. 降低服务器负载

提供全面的连接管理以及TCP和内容负载卸载能力，旨在优化服务器的性能，并且大大加快页面的加载速度。

主要包括以下几个方面：

1.内容转换：为将许多繁杂或者重复功能卸载到集中的高性能网络设备上提供了全面的完整的方案；

2.OneConnect：将数百万个请求汇聚为几百个服务器端的连接，确保后台服务器能够高效的处理这些链接，从而使服务器容量提高60%；

3.高速缓存：智能缓存功能通过将重复流量从Web和应用服务器上卸载，使的服务器能力提高9倍，从而实现显著的成本节约；

4.SSL加速和卸载每个设备提供了硬件加速方式的SSL加密，以消除应用服务器的SSL负担，通过加速设置和批量加密，企业可以更安全地将全部通信迁移到SSL，几乎不会导致应用性能下降和瓶颈。

C. 应用优化

提供了具有高度针对性的，集中而且高效的方式，用于降低流量，并且最大限度减轻互联网时延和客户端连接瓶颈对应用性能的影响。主要包括以下几个方面：

1.智能应用交换：拥有读取所以IP应用的独特能力，因此，它可以转换并且持续保留特定供应商的应用服务器（Microsoft，IBM，Oracle。SUN等）的独特信息；Web服务器应用的XML数据；或者指示移动/无线应用的定制数值。

2.智能压缩将应用性能提高至3倍，同时使带宽的使用量减少80%。使用业界标准的GZIP和DEFLATE压缩算法减少HTTP流量，通过更慢/低的带宽连接降低带宽消耗量，缩短用户下载时间。这一功能对于压缩多种类型的文件提供了丰富的支持能力，包括HTTP,XML,JavaScript，J2EE应用等。BIG-IP设备提供50M的免费压缩功能；

3.灵活的第7层速率整形通过为更高优先级的应用分配带宽，控制流量峰值，并且根据第4层或者第7层参数确定流量的优先级，保证最佳的应用性能。

4.TCP Express ：设备高度优化的TCP/IP堆栈（成为TCP Express）将领先的TCP/IP技术和最新的RFC的改进功能，与多项改进和扩展功能结合，最大限度降低了拥塞，丢包和恢复的影响。TCP Express可以屏蔽并且透明的优化服务器或者客户端上运行的原有的或者不兼容的TCP栈，这样可以使用户的性能提高2倍，并且使带宽效率提高4倍，同时降低您的服务器上的连接负载。

5.iSessions 作为数据中心之间的通信基础，iSessions可保护并且加速WAN上传送的数据。

6.WebAccelerator（插件模块）这是专门为Microsoft SharePoint，SAP，Oracle Portal，企业web应用和电子商务站点而定制的功能最强大的Web应用加速技术。

D. 应用安全

从强大的网络和协议级安全到应用攻击过滤，主要包括以下几个方面： 1．资源隐藏和内容安全：对所有的应用，服务器错误代码和真正的URL参考实现了虚拟化和隐藏，因为这些可能为黑客提供关于基础架构，服务及相关漏洞的信息。敏感的文档或内容将不允许离开您的站点。

2．定制的应用攻击过滤全面的检测和基于事件的策略为搜索，检测和应用多种规则阻止已知第7层攻击提供了显著增强的能力。还采用安全的应用模板阻止已知攻击和针对应用业务逻辑的攻击，额外的安全层可防止黑客，病毒和蠕虫，同时为合法的流量提供持续的服务。

3．基于防火墙功能—数据包过滤集成了一个控制点，用于定义和执行基于第4层的过滤规则（基于PCAP 类似于网络防火墙），以提高网络防护能力。

4．隔离协议攻击：提供了协议安全过滤（Protocol Sanitization）和全TCP终结（Full TCP Termination）来单独管理客户端和服务端连接，以保护所有后端系统和应用免遭恶意攻击。

5．网络攻击保护：可防护Dos攻击，SYN Flood以及其它基于网络的攻击。诸如SYNCheck等特性可为部署在设备后的服务器提供全面的SYN Flood保护。用Dynamic Reaping（回收空闲连接的一种自适应方法）过滤掉负载最重的攻击，同时为合法的连接提供不间断的服务。

6．有选择的加密：提供了选择性的加密算法，对数据进行整体，部分或有条件的加密，从而保护并优化不同用户之间的通信。

7．Cookie 加密透明地分配给合法用户的Cookie和其它令牌都经过加密，企业可获得针对全部带状态的应用（电子商务，CRP,ERP和其它关键业务应用）的卓越安全性，以及更高的用户身份信任度。

8．高级SSL加密标准：采用市场上最安全的SSL加密技术，支持更高标准的AES算法，而无需额外的处理成本。

9．先进的客户端验证模块（插件模块）提供到LDAP RADIUS和TACAS目录的顶级HTTP和其它流量类型的客户端验证，降低服务器和应用的负载，同时使您的服务器和应用免遭攻击。

E. 易于配置和管理

提供先进的工具，使其易于部署和管理，并且保证您的基础架构的灵活性和对其的控制力度。

统一架构为您提供了应用智能和灵活性，在控制应用和交付时，不会产生流量瓶颈。

1．采用TMOS架构，为最佳的应用交付提供了统一的系统，并帮您实现对所有业务的深入了解，可扩展性和控制；

2．快速应用代理通过TMOS架构，可以高效地隔离客户端和服务器端的流量，并且可使每个连接的设备分别保持最佳性能，在系统间进行通信转换，从而提高系统或IP应用的性能；

3．iRules和通用检测引擎融合了的可定制的iRules和通用检测引擎，为处理应用交付或流程中的应用流量提供了前所未有的控制能力。通过全面的有效负载检测和转换能力，事件驱动的iRules和会话感知的交换技术。

4． API和SDK帮助实现了第三方应用和自动通信，消除了繁琐的手工操作。 5．IPV6网关在IPV4和IPV6网络之间提供完整的IP转换和负载均衡能力，它可以支持用户迁移以及建立Ipv4和Ipv6混合主机资源。并使其易于管理，同时更为经济高效。

6．第2层和第3层协议：支持基础的第2层和第3层协议：STP,MSTP,RSTP,链路聚合，VLAN标记，QoS/ToS，第三方MIB支持：所有默认的Net-SNMP

7．高级路由（插件模块）对不同路由协议的支持使系统能够与其它设备共享路由信息，以实现更好的互操作性。支持的协议如下：边界网关协议（BGP&BGP4）;路由信息协议（RIPv1 RIPv2和RIPng）；开发最短路径优先（OSPF和OSPFv3）；以及中间系统-中间系统（IS-IS）

2.6.4.3 安全隔离与信息交换系统

利用网络隔离技术的访问控制产品，处于网络边界，连接两个或多个安全等级不同的网络，对重点数据提供高安全隔离的保护。

各政府部门对外提供各项便民服务的接口，内网数据必须部分要共享到外网。不同安全域之间进行数据交换的接口。与业务相关的其他政府部门之间进行数据交换的接口。

安全隔离与信息交换系统在以下四种网络环境下应用：不同的涉密网络之间；

同一涉密网络的不同安全域之间；

与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间。

安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。

安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。

图3- 31工作原理

技术特性

安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连，外网主机系统与外网相连，内/外网主机系统分别负责内外网信息的获取和协议分析，隔离交换矩阵根据安全策略完成信息的安全检测，内外网络之间的安全交换。整个系统具备以下技术特性：

多网络隔离的体系结构，通过专用硬件完成两侧信息的“摆渡”。被隔离网络之间任何时刻不产生物理连接。

内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSI模型的七层协议全部断开。

数据交换方式完全私有，不具备可编程性。

2.6.4.4 系统安全性渗透

A. 脆弱性扫描与分析

渐进式的扫描方法能够让智慧城市利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，智慧城市可检测的漏洞涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。

任务管理和策略管理功能，可以使用户的扫描操作变得更加方便和灵活。用户可以使用默认扫描策略或者自定义扫描策略，创建特定或者自动计划任务，调整扫描参数以提高扫描效率，甚至可以在同一个任务中对不同的对象采用不同的策略进行扫描，从而方便的实现更具针对性的脆弱性扫描。

在扫描任务执行的过程中，智慧城市就可以将扫描的过程信息、阶段性的扫描结果实时显示出来，并且可以生成在线报表。在扫描任务结束后，使用智慧城市的报表管理功能可以对扫描结果进行细致全面的分析，生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表。智慧城市的报表分漏洞扫描、资产统计和弱点评估3大类20多种，以统计、比较、交叉、评估、详述等多种方法对扫描结果进行分析

B. 脆弱性风险评估

智慧城市能够对漏洞、主机和网络的脆弱性风险进行评估和定性。

智慧城市采用最新的CVSS v2标准来对所有漏洞进行统一评级，客观的展现其危险级别。在此基础上，智慧城市利用漏洞的CVSS评分，综合被扫描资产的保护等级和

资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价，帮助用户明确主机和网络的脆弱性风险等级，制定出合理的脆弱性风险管理策略。

漏洞信息的描述中包含CVSS评分，主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现，并且对风险控制措施做出建议。

C. 弱点修复指导

通过CVSS评分，智慧城市能够直接给修复工作提供优先级的指导，以确保最危险的漏洞被先修复。下表显示了CVSS评分和修复工作优先级的关系，并给出推荐的修复工作时限：

CVSS分值 0～1 1～4 4～7 7～10 表3-1 优先级别 P4 P3 P2 P1 修补时间可以自由决定 2周最多1周最多3天漏洞修复工作的优先级别智慧城市的每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息，并提供修补方案，如系统加固建议、安全配置步骤、以及补丁下载链接等，这些信息可以帮助用户建立对漏洞的全面认识，正确完成弱点修复工作。

D. 安全策略审核

用户可以通过计划任务的定期执行，进行基于主机、网络和弱点的趋势对比分析，对风险控制策略和以往修复工作进行审核，以评价风险控制策略和脆弱性管理工作的有效性，为安全策略的调整提供决策支持。

另外，漏洞验证功能允许检查类用户对扫描到的漏洞进行审核，智慧城市提供部分常见漏洞的自动验证工具和手动验证方法，可以从过程和结果两方面保证漏洞验证的有效性。

E. 安全渗透检测

安全系统部署完毕进入试运行期前，应该进行完整的安全渗透检测，确保对系统的安全保障系统进行提前的检测。

渗透测试是在许可和可控的范围内，采取可控的，不造成不可弥补损失的黑客

入侵手段，对建设的网络和系统发起真正的攻击。目的是侵入系统并获取机密信息，将入侵的过程和细节产生报告，用户通过渗透测试了解系统存在的安全隐患，针对性的进行加固。

渗透测试是一种从攻击者角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。通常能以非常明显，直观的结果反映出系统存在的最脆弱点。

2.6.4.5 安全运行保障

A. 安全保障团队

为保证智慧城市网络安全运行保障，组织有完备的安全保障队伍，保障智慧城市期间的安全保障工作，主要分四级安全监控职守、安全事件分析、安全应急响应、安全运维审计队伍合力保障网络安全。

通过建立四级监控中心体系实现客户网络设备和服务器、应用的监控：一级监控中心：为客户进行7X24小时的事件监控，对已有事件进行状态跟踪。二级分析中心：为客户提供专业的安全时间分析、并对现有安全弱点提供解决方案。

三级响应中心：配备专业的安全现场响应人员，定期的安全巡检。

四级审计中心：定期对安全运维事件审计、监督安全事件的处理和趋势分析。

图3- 32保障流程

B. 安全保障服务内容

1. 预先准备与计划 2. 检测与分析事件 3. 信息取证与追查 4. 通告发生的事件 5. 修复与加固受损系统 6. 监控与审查系统运行状态 7. 总结报告与更新安全策略

以最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的负面影响。

图3- 33服务内容说明

C. 安全保障服务方法 1. 准备与计划

1) 基于该事件可能的威胁建立一组合理的防御和控制措施方案确定处理问题必须的组织和人员

2) 启动文档记录（服务操作的每一步都必须详细记录，包括由何人收集、如何收

集、何时收集以及何人进行了访问。） 3) 建立一个支持事件响应活动的基础设施

4) 独立和安全的物理环境、优先的网络访问通道与权限、充足的应急资源（各种

利用工具、备份介质、监控系统等） 2. 检测与分析

1) 迅速创建2份完整系统备份（一份用来充当日后的举报证据，一份可用来做系

统恢复） 3. 初步评估：

1) 确定事件是已经发生了还是在进行当中

2) 根据严重程度和安全策略，判断是否需要通过让受影响的系统脱机将其隔离起

来

3) 估计事件的范围 4. 查找黑客踪迹

1) 检查审计日志是否存在异常活动（不正常连接、安全审计失败，失败的登录尝

试，非工作时间的活动）、日志不存在或日志有空缺 2) 检查黑客工具（密码破解工具、特洛伊木马等等） 3) 文件、目录和共享权限的更改

4) 检查是否有未经授权的应用程序被配置为自动启动 5) 检查帐户是否权限提高或有未经授权的组成员 6) 检查是否有未经授权的进程 7) 检查防火墙、IDS等系统日志 5. 扫描系统漏洞 1) 记录所发生的事件 6. 确认事件：

1) 确定是否属于安全事件

2) 确定攻击的类型、方式及严重程度 3) 确定攻击来源与意图

4) 识别所有受攻击的系统。如果发现其他系统，请重新调用检测步骤

5) 重新评估，如果必要，可以给事件重新指定优先级别、如有必要，通知NCSIRT

联络员寻求其它IT部门的技术支持与帮助、如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助 7. 日志提取： 1) 系统日志 2) 防火墙日志 3) 入侵检测日志

4) 其它日志审计

8. 设置诱饵服务器作为陷阱 1) 反向探测攻击者来源

2) 如有必要，通知NCSIRT联络员寻求其它IT部门的技术支持与帮助 3) 如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助 4) 确定证据是否得到保护 9. 通告与发布

1) 将检测与取证结果传达给NCSIRT联络员、信息交流官员和用户方有关的主管

人员。

2) 通知其它适合的机构。

3) 如有必要，根据法律顾问的指导，通知本地有关执法部门。 10. 修复与加固

1) 出具修复建议方案，并进行模拟测试，提交测试结果，在得到用户方的认可后

方可进行后续工作。

2) 考虑用新硬盘重建一个全新的系统（应将现有的硬盘卸下并保存起来，因为在

决定起诉攻击者时它们可以作为证据）。

3) 修改所有防火墙和路由器的过滤规则，拒绝来自疑似发起攻击的主机的所有的

流量

4) 封锁或删除被攻击的登陆帐号

5) 确保所有本地系统与服务的密码都换成与攻击发生之前不同的密码。还应更改

其它相关主机的帐户密码。 6) 关闭或修补被利用的服务与配置

7) 清除攻击方遗留下来的后门、木马等文件 8) 复原被篡改的文件权限与配置

9) 加固系统与服务配置，去除其它安全隐患 10) 提高系统或网络行为的监控级别

11) 利用经过验证的最近未受影响的备份有选择地把受侵害或被破坏的系统、应用、

数据等还原到它们正常的任务状态

12) 建立系统文件完整性校验数据库，并保存在安全的地方。在每次系统文件正常

更改后建立新的完整性校验数据库。

13) 验证系统功能，并根据历史基准数据比较系统性能

14) 如有必要，通知NCSIRT联络员寻求其它IT部门的技术支持与帮助 15) 如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助 11. 监控与审查

在安全应急事件处理完成后的72小时内，服务工程师根据需要从远程或本地继续监视客户系统运营情况（主要监视重复性攻击和由于遏制步骤所导致的错误配置），确保故障根本上得到解决，并填写监控报告。 12. 汇总与报告

1) 将所有笔记、记录汇编成一份综合性安全意外事件活动日志。

2) 分发给意外事件的参与者，以便审查和批准。（包括适用于司法的证据）。 3) 审查违反安全的原因，改善预防措施，防止未来再发生的意外事件和相关攻击。 4) 为管理或法律目的收集损失统计信息，帮助财务部门评估违反安全造成的代价。 5) 给管理层和其他关键人物准备报告，以解释事件发生的原因、违反安全造成的

代价以及未来如何预防。

6) 帮助客户更新和完善现有信息安全策略。

3. 无线园区系统

3.1 项目概述

随着信息化系统高速发展，无线网络的应用也越来越广泛，天府园区智慧城市是的重点项目，是市民旅游休闲的好去处，“无线园区”系统将是实现园区智能化游览服务、电子导游、掌上园区会等重要服务项目的基础通信网络建设内容之一。

随着无线通信技术的发展，3G/Wi-Fi/4G等高带宽通信网络的迅速建设，智能手机、平板电脑等智能终端和无线应用的普及，近年来国内宽带无线网络的普及度逐年提高，无线通信已经成为人们日常网络通信的重要方式，并在逐步取代传统的有线通信模式。针对天府园区智慧城市项目的需求，“无线园区”系统依托于园区GPON传输网络，建设覆盖全园区的WLAN无线通信系统，建成后系统将实现园区内所有移动终端的统一SSID无线接入、园区自动漫游、统一安全登录管理和认证等功能。

3.2 项目需求

无线建设项目需求如下：

(1) WLAN建设对天府园区智慧城市的重点区域实现覆盖，满足2万人在线的需求。 (2) 能帮助园区实现重要服务点、园区文化宣传，大力提升游客对园区了解和认识；

(3) 游客采用微信认证的方式接入园区无线，关注微信号获取免费上网权限； (4) 利用园区无线网络推出互动赢大奖的活动，游客可以互动. 3.3

WLAN建设难度分析 

设备要求

WLAN的覆盖需要将AP部署在室外环境，园区室外环境往往极端恶劣，常年风吹雨晒，这就要求室外AP能很好的支持防水、防潮、防雷、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用，需要有效避免室外恶劣天气和环境影响，不管是在潮湿的南方还是寒冷的北方都适用。



施工难度

室外AP的安装、线缆的部署等，相比于室内AP的施工难度要大很多，在设计、施工、安全及周围环境保护都有难度。另外，室外AP还需要做好防水、防雷措施。



投入产出比

园区Wi-Fi覆盖面积广，室外AP相比于室内AP价格稍高，若园区建设的WLAN网络仅仅是单向为游客提供免费Wi-Fi上网的话，难免会对园区的资金产生一定的压力。

因此，在建设园区WLAN的时候，需要考虑除了能给游客提供免费Wi-Fi上网之外，还能为园区提供什么效益，提供哪些价值。

3.3.1 设计原则



良好体验性

根据某报告显示，67.23%的人认为WIFI联网的最大问题是速度慢，62.05%的人吐槽WIFI连接麻烦需要密码。因此，园区部署的无线网络，必须从多方面考虑用户的体验性，不仅需要在上网过程中提供稳定、快速的互联网访问服务，保障游客使用无线网络上网时不掉线、不卡顿，满足日常上网应用，还需要在游客、园区员工无线接入时提供良好的认证方式，避免繁琐复杂的认证过程。



安全性

园区单位向游客提供的互联网上网服务必须满足公安部颁发的令第82号，即《计算机信息网络国际联网安全保护管理办法》的相关规定，要求记录并留存用户注册信息、记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施以及记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

此外，还要避免日益猖狂的虚假钓鱼WIFI，防止犯罪分子通过架设一个与园区WiFi热点同名的WiFi网络，吸引用户通过移动设备接入该网络，然后就可以通过分析软件窃取这些接入虚假WiFi热点用户的资料、银行账户、网络支付账户密码等。



可盈利性

园区单位花费大量的资金建设无线网络，为游客提供免费的WiFi上网服务，如果仅仅是提供单纯的上网服务，那么园区的投资并无多大的价值。

在这个移动互联网的时代，园区可以采用为游客提供免费的、稳定、快速的无线网络的同时进行广告投放、用户信息收集、用户行为习惯收集、大数据分析等商业模式，让部署的无线网络具有盈利性，为园区提供一个新的业务增长模式和利润创造点。



可扩展性

此次建设的无线网络在当前实际以及可见的未来发展的基础上建设高性价比的WLAN，为了保证无线网络的可扩展性，保护园区单位的投资，需要在方案构架、产品选型、系统容量与处理能力方面能升级换代，这样不仅能充分保护原有资源，而且具有较高的性价比。

3.3.2 解决方案 3.3.2.1

无线部署方案

1.超广的无线覆盖范围

园区室外区域采用电信技术室外AP进行Wi-Fi覆盖，室外AP发射功率高达500mW，可根据覆盖需求选择定向天线或者全向天线，使用定向天线可覆盖300-500米，使用全向天线可为150-200米范围内的游客提供Wi-Fi上网。

2.室外防雷设计

室外AP设备采用了IP 68最高防护等级的外壳设计，支持全封闭防水、防潮、防尘以及防火、防晒等，在极端恶劣的室外环境中仍可正常使用。

通过部署避雷针、天馈防雷器可有效避免室外AP被室外雷电击坏。通过部署网口防雷器可有效避免室外交换机被静电损坏。

室外AP的部署结构

3.无线呀园区拓扑结构

无线园区子系统拓扑结构WANInternet 园区外部园区内部防火墙USG-FW-4600EDMZ区内部服务区IP PBX入侵防御系统NIPS1080DWeb Email,DNS,elog服务器核心层可信网络行为管理G500-65-DC-50数据中心核心交换机S7706网管级认证无线控制器AC W908-A1000统一安全监控平台MSSPOLTMA5680T分光器汇聚层接入层ONUMA5620/HG8120RONUMA5620/HG8120RMA5620/HG8120RMA5620/HG8120RMA5620/HG8120RAP W615 V3AP W615 V3POE+交换机AP W615 V3AP W615 V3应用层全向吸顶天线AP W815N

3.3.2.2 园区营销增值

1.WiFi入口园区信息展示

在WiFi入口进行园区信息、园区活动、园区优惠等信息展示，用户连接园区WiFi时，会观看到推送的广告信息。

园区可以根据区域、子景点推送不同的WiFi入口广告，并且可以强制用户观看一定时间的广告之后才可以点击我要认证上网。

2.微信吸粉与微信营销

园区为游客提供免费的无线网络，游客通过关注园区微信公众号获得上网资格，园区在微信平台上园区地图导航、园区子景点电子讲解、在线购票、游玩攻略等，提高园区服务能力和吸引力。

游客通过微信认证后，可以获取到其微信号的openID，利用微信平台通过园区无线网络进行微信消息推送，电信提供多种信息推送方式，比如首次游玩、二次游玩、游客位置变更提示、定时提醒、天气预报等。

3.用户搜索行为精准营销

当游客使用园区WiFi时，用户搜索行为精准营销（关键字营销）会根据游客在百度、谷歌等网页搜索引擎或淘宝、京东等手机App内搜索的内容进行广告推送（需管理员设置好关键字组对应的广告，比如搜索“世界之窗”时推送世界之窗的门票优惠广告），推送形式支持网页内嵌banner广告、微信、短信三种方式。

4.用户应用行为精准营销

当游客使用园区WiFi上网使用应用或者APP的时候，电信应用行为的精准营销通过匹配用户在无线网络下使用的相关应用，根据预设置的应用标签进行广告推送，比如用户正在使用美团APP的时候，后台可以推送最近的餐厅信息。推送形式支持网页内嵌banner广告、微信、短信三种方式向上网用户推送精准营销广告。并且我们无线控制器也会记录用户的上网行为。进行一个top排行。 5.文件/APP本地缓存

当游客使用园区WiFi上网下载APP或者下载文件的时候，无线控制器会自动将其缓存，第二个用户在下载相同的APP或者文件的时候，直接从无线控制

器本地调取，节省了互联网的带宽资源，在一定程度上也提高了下载速度，提升了用户体验的。APP缓存更适合于园区采用APP认证或者采用APP推广方案时，能起到较好的效果。

3.3.2.3

1.在线购票

打造智慧园区

近年来，随着人们收入的增加，园区的游览人数逐年攀升，尤其是在长假期间，园区门票一票“难”求的情况尤为突出，不仅为游客造成不便，也影响了园区的门票收入。

关注园区微信平台后，游客可以在线选择门票类型，可以在线选择购买数量并在线支付，购买成功后系统会生成唯一的使用验证码和二维码供园区方进行门票使用核销。

游客通过微信支付购票，免去排队买票烦心事，对于园区来说也降低了人工成本。同时园区可以推出微信购票优惠活动，游客通过微信支付购票还有优惠，许多80、90后的游客尝鲜体验微信支付购票带来的快乐。

如果游客已经到了园区，也可通过园区各处设置的扫码墙、传单、展板等直接扫码购票，非常方便。 2.二维码自助入园

（1）园区微信入口

设立微信入口，强提示用户可微信入园。（2）扫码闸机

园区设置支持扫描的闸机，用户拿出微信端的电子门票为扫描后，闸机自动打开，游客即可入园。

3.游客照片自助打印

游客可利用微信照片打印机打印游玩的照片，进一步增加园区吸引力及口碑营销，打印步骤如下：

扫描二维码关注微信（可结合微信认证，关注微信即可上网），将照片发送到园区微信平台，等待打印并取照片。

4.智能导航

基于微信服务号的轻应用，可以将园区地图服务、路线导航服务、电子导游服务、地图定位服务等个性化服务纳入囊中，游客可以点击游览图可以打开园区电子游览图，可以基于电子游览图实现园区路径导航，可以查询地图兴趣点信息，如洗手间，小卖部，某个景点等的位置，可以根据目的地进行路线规划等，实现智慧园区、智能导航。

5.电子讲解

扫描景点语音解说二维码，系统将自动加载播放对应的解说音频或视频并在手机端播放，并且可以将园区语音解说分享给微信好友或分享到朋友圈。

3.3.2.4 大数据收集与分析

1.用户身份信息收集及客流量分析



游客身份信息收集

可以收集所有进入园区的游客的终端MAC地址、出现时间、驻留时长、出现次数（要求游客的手机打开WiFi功能），通过微信认证可以获取到游客的微信昵称、性别等信息，通过短信认证可获取到游客的手机号码。



客流量分析

在这个几乎人手一台手机的今天，识别手机也就识别了游客，电信技术拥有强大的客流分析系统，利用无线网络即可智能统计并分析客流情况，任何在信号覆盖范围内的开启WiFi的智能手机等移动设备，都可以被园区WiFi监测到并记录下来，包括手机MAC、出现时间、出现次数、驻留时长等，无需额外部署特殊设备。

客流量分析与统计包括：总游客数量、新游客数量、老游客数量、新注册上网游客量、接入用户数、游客二次重游比率、平均驻留时间、驻留时间分布。

园区经营者可以根据客流密度分析各子景点客流情况，通过返店率分析园区对老游客的吸引程度，如果老游客较少，可适当调整营销策略。 2.用户上网行为收集与分析



游客上网行为分析

记录游客使用的应用程序和访问的网站等上网行为，提供应用类型、URL、热门论坛、论坛热帖排行，可分析游客最爱使用的应用类型TOP；可以查看某类具体的应用类型的应用TOP；可以查看到具体哪些用户喜欢使用这种应用类型。

旅游交通TOP10展示

 游客搜索行为分析

记录所有游客在百度、谷歌、淘宝、搜索大全等所搜的关键字，系统会根据搜索次数进行统计排行，分析用户爱好，分析他们想要什么，喜欢什么，了解游客消费倾向。

3.用户画像分析



整体访客画像

访客画像功能是利用无线网络收集到用户数据（包括用户网络身份信息、网络访问行为、上网行为等信息），对所有用户的数据进行大数据分析的实际落地。利用一种非常形象、直观的画像方式呈现给商家，让商家了解自己顾客的客户群体、兴趣爱好、消费习惯等数据。

访客画像可以汇总用户的用户标签、轨迹分析、来访偏好、上网高峰时段、Wi-Fi使用时长分布、顾客归属地域分布、性别比例、终端类型分布、来访频次分布、驻留时间分布等数据分析。



单个访客画像

单个访客画像能够直观的表达出单个访客的画像情况，包含：归属地、应用标签、驻留时间、wifi使用时长、出现日期、出现时段、来访频次、活动时光轴、终端类型等。

3.3.2.5 优秀的无线上网体验

1.简易的无线接入



微信连WiFi

当用户接入无线网络后，终端自动弹出信息展示及“我要认证上网”页面，用户点击“我要认证上网”并选择微信连WiFi上网后，终端自动运行微信客户

端进行WiFi连接，用户点击“立即连接”即可成功连接WiFi。（在认证成功页面上，用户可一键勾选关注商家微信公众号）

微信连WiFi不仅可以让游客方便、快速的接入园区的无线网络，同时可以为园区提供园区展示、活动或优惠信息等，帮助园区推广微信公众号并增加关注量，搞定粉丝经济。



微信认证

用户接入无线后扫描园区公众号二维码，关注即可实现上网。

电信无线控制器内置微信认证、微信营销功能，无需关联额外的云平台即可实现微信认证及微信营销，避免因云平台不稳定而造成用户无法上网的问题。



短信认证

游客通过手机来获取验证码，轻松访问无线网络。

电信技术的短信认证可以做到一次认证，永久有效。游客首次来到园区并通过短信认证成功接入无线网络，游客第二次来的时候无需再次获取短信验证码即可接入无线网络。

不仅为园区节省了短信支出费用，同时也提高了用户的上网体验。

2.快速的无线上网

电信无线通过基于应用层的流量控制、应用层无线加速、智能负载均衡等多种技术保障园区游客无线上网时能够快速访问互联网，提高用户上网体验。



基于应用层的流量控制

基于应用层的流量控制可以帮助园区根据应用类型的不同来分配流量通道大小，保障重要日常业务的流量带宽，比如微信、QQ等IM聊天、网页浏览，同时园区可以为每一个AP或者AP组分配带宽大小，比如区域1分配20M带宽，再配合动态流量技术，最大化提高带宽价值。



应用层加速

应用层无线加速可以帮助园区解决因无法避免环境干扰导致的无线慢、传输效率低的问题，开启应用层加速后，可以对指定应用（比如园区官方网站）进行加速，提升1.5-4倍的传输速度。



智能负载均衡

在园区入口、活动区等无线用户集中的区域，往往会通过部署多台AP来保障用户的无线接入服务，如何让部署的AP能够物尽其用，让这些用户平均的连到AP上？

通过接入点负载均衡，可以基于无线接入点的工作情况进行负载均衡，比如接入用户数、信道利用率。平均分配每一个用户，确保每个无线用户都能获得畅快的上网体验，避免所有用户都连到同一个AP上导致造成资源浪费、用户上网体验不好的问题。

若部署的是双频AP，那么支持双频的移动终端会优先接入5G频段，结合接入点间负载均衡，平均分布每一个用户，保证每个接入点2.G/5G频段的用户均能享受良好的上网体验。 3.高可靠的无线网络

当AP与控制器的隧道断开后（控制器冗机故障），依然能保证在线用户的正常上网，并保证新用户也能通过认证连入无线网络。

如果园区的开放网络采用的是短信认证的接入方式，当短信网关失效后，通过认证服务器逃生功能，依然能保证新用户正常连入并正常访问互联网。

除此之外，园区可以通过部署2台控制器，实现双机热备冗余和网络负载均衡，提高网络性能的同时，增加网络可靠性，避免单点故障，让网络更快速、更稳定。

3.3.2.6 安全合规的无线网络

1.规范用户上网行为

园区为游客提供的免费无线网络属于面向群众开放的公共服务，因互联网资源丰富，但良莠不齐，园区作为提供互联网服务单位，有义务规范用户的上网行为。

通过电信控制器内置的全国最大的应用识别库和URL地址库，能精准识别1900多种网络应用和千万级的URL地址，可以有效过滤违法、违规、不良网页，净化网络环境；同时过滤钓鱼网站、恶意广告、垃圾博客，防止用户不慎访问不受信的网站带来的上当受骗。

2.用户上网行为记录

根据公安部发布的关于互联网安全保护技术措施的相关规定，加强和规范互联网安全保护工作，预防和制止网上违法犯罪活动，要求记录并留存用户注册信息，记录并留存用户账号、登录和退出时间、访问的互联网地址或域名、系统维护日志的技术措施；监测、记录网络安全事件等安全审计。

电信无线控制器内置安全审计功能，拥有公安部颁发的《计算机信息系统安全专用产品销售许可证》，可以记录用户的网页访问行为、网络发帖、邮件Email、IM聊天行为、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为，满足公安部第82号令。 3.防钓鱼Wi-Fi（可选）

钓鱼WiFi是黑客或不良分子在公共场所搭建“免费”WiFi，或者搭建与园区无线网络相似或相同的无线网络（SSID），诱使游客访问虚假的无线接入点，从而达到截获其账号、密码等信息的目的。这些钓鱼WiFi在一些咖啡厅、商场等公共场所使用公共WiFi上网没什么两样，用户一旦接入不安全的WiFi，在自己手机、电脑上输入的微博、网购、甚至网银的账号和密码，会完全显示在黑客的面前，除了个人的密码和账号，甚至连用户手机内的个人隐私也会暴露无遗，比如手机内的照片和通信录等。

我们致力于为用户提供最安全的无线网络，通过非法接入点反制（防钓鱼），AP会实时对周边的无线信号进行检测，对存在的钓鱼接入点、异常WiFi信号进行反制，防止游客误连入与园区一样或类似的Wi-Fi网络，避免上网用户的银行钱财、隐私信息被盗。 4.与网监平台对接

无线控制器支持审计功能，并且已经入围公安部互联网公共区域无线接入前端。能够作为前端审计设备和公安网监平台对接。比如：对接任子行、派博等。

3.3.2.7 简易的运维管理

1.AP统一集中管理

AP作为无线网络中最底层的接入设备，一个网络中往往会部署很多个AP，当AP数量庞大时，IT管理员则会重点考虑设备是否容易管理、后期维护等问题。

为园区提供瘦AP+无线控制器的网络架构进行无线部署，所有AP统一由无线控制器进行集中管理，由控制器统一下发配置，一次性配置一次性下发，实现AP端零配置。

IT管理员可以对AP进行分组管理，比如按照楼层划分AP组，方便IT管理员管理运维。

同时，IT管理员可在控制器上可统一查看所有AP的运行情况（如AP接入用户、AP带宽使用情况、设备利用率、AP在线情况等），当AP设备出现异常或故障时，会出现告警事件，帮助IT管理员及时排除问题。 2.分权管理



营销/IT分权管理

无线网络配置和营销功能管理往往属于不同的部门人员负责，即IT管理员负责网络配置、网络维护等工作，而营销部门则只负责营销广告、营销推广规则，传统的网络设备只支持统一管理员身份，营销人员拿着管理员的身份登陆

控制器管理后台，为了避免因不懂技术导致对网络配置进行改动后造成网络瘫痪、不可用的情况发生，有必要对IT管理和营销管理隔离开。

为此，电信技术将网络管理和营销独立开来，营销管理员只能登陆营销中心后台进行营销模板、营销推广规则等功能的修改，做到营销与IT“各自为政”。



管理员分权管理

当一台控制器下面管理多个分店的无线AP时，超级管理员可以分配不同的管理员分别管理各自分店的无线AP，甚至可以精细到对某AP分组有管理权限，该管理员可以在该AP分组上建立无线网络，能够激活、删除接入点，能够对AP的配置进行编辑修改。

除此之外，还可以指定管理员针对每个页面的只读或编辑权限，控制粒度到控制器上的各个页面，对某个页面没有读权限则登录时不显示。 3.可视化运维（热点地图、系统状态）



AP运维可视化

自定义地图，可以导入背景图，方便管理员实时查看AP的运行状态；在地图上可以查看AP当前在线用户、实时流速。



网络运行状态可视化

4.APP移动管理

随着移动互联网的发展，在管理控制器方面，电信也做出了创新，不但能够用电脑通过传统的web页面进行管理，而且最近电信也发布了无线网络通过手机APP（电信云助手）去管理，在安卓市场或者APP store都可以去下载，所以在管理无线网络方面，电信也走进了移动互联网化。电信云助手主要是为了帮助用户通过手机远程去管理无线控制器。园区网络管理员就可以随时随地的进行远程管理，从电脑面前解放出来。

4. 视频监控系统

4.1 系统概述

智慧安防系统作为一个重要的管理系统，辅助智慧城市管理者高效的对智慧城市进行实时数据收集，对治安进行管理。一个高效的智慧安防系统必须具备以下特点：设计点位覆盖面大；图像清晰度要求高清；平台功能完善，需与紧急报警求助、GIS、大屏等系统进行对接联动；存储时间长等。

本次系统具备以下几个特点：1）、点位覆盖面大；2）系统结构合理高效；3）平台功能完善；4）设备选型合理，性价比高；5）可维护性强；6）拓展性高；

4.2 系统设计结构

本次系统采用全数字高清监控平台，系统主要采用两种类型的高清数字摄像机:数字枪式摄像机、数字球式摄像机。

前端摄像机主要采用TCP/IP协议进行图像传输，传输介质为CAT6+8芯光纤，接入智慧城市安防网络。供电为集中供电，由就近服务区内的UPS配电输出柜为其供电。安装方式采用与报警求助共杆和灯杆共杆的方式安装，一部分摄像头借用照明灯杆进行安装，一部分与报警求助共杆安装；摄像机安装高度距地2800mm；设备箱：要求防水、防潮、防高温的功能；存储方式采用磁盘阵

列，存储格式为1080P，存储时间为1个月（30天），监控点位考虑预留相应的接口实现与公安智慧安防系统对接。

在本项目中，充分考虑到视频监控联网项目的系统需求，提出了一套完整的高可用性解决方案。本次解决方案系统主要由前端设备、EPON网络系统和智慧安防中心组成。前端设备包括摄像机和紧急求助设备。数字枪式摄像机和数字球式摄像机用于采集各监控点实时视频信号，可以由控制中心的计算机控制，用户可对球式摄像机进行水平360度，90度及变焦控制。前端摄像机通过网线连接到EPON网络系统上，编码压缩处理后的监控信息通过EPON通讯网络汇集到监控管理中心，监控中心能看到各监控点的实时状况，监控人员可通过监控中心局域网或 Internet 远程实时浏览视频图像、遥控云台摄像机。

EPON网络充当通讯网络，覆盖面广，采用点对多点的结构，可覆盖大范围用户；组网灵活，可根据监控点的布置来设计不同的组网结构；可拓展性强，EPON具有预留链路或接口，后期若需要可增加监控点，只需在前端布放短距离光缆，而后端无需增加任何硬件配置；同时提供高带宽和高可靠性，将来自前端摄像设备的数据透明传输到监控中心，同时也将来自监控中心的控制命令下达至前端摄像设备。

视频监视控制中心，主要由中心管理服务器、流媒体服务器、数字矩阵、磁盘阵列、报警联动主机和行为分析服务器等组成。中心管理服务器负责接收各监控点通过EPON 网络传输过来的视频信息，中心管理服务器可以通过液晶

显示大屏显示各现场监控点的图像信息，并进行控制信号的协调，视频数据可同时存入磁盘阵列，进行录像的存储、检索、回放、备份、恢复等。监控人员可以通过计算机访问存储服务器查询回放视频录像。采用矩阵控制器，通过计算机控制可实现视频切换、云台摄像机镜头的光圈、焦距、变倍，云台的上、下、左、右、自动或辅助控制远端的电源、摄像机开关等各种动作。视频监控信息采用EPON 网络传送，传递速度快，系统结构简单。观测数据传输至中心控制室进行计算分析、整理和记录，既方便又简捷。并可确保系统在各种恶劣天气情况下，都能正常运行，满足系统各种信号相互传输的准确性。

4.3 视频智慧安防系统指挥中心设计

智慧安防中心是监控体系的核心部分，具有最高的管辖范围和管理权限，接入下属所有智慧安防系统。智慧安防中心利用视频监控专用网络，汇接下属各服务区智慧安防系统，将所需的视频、音频、数据、报警信息进行传输、共享、切换；利用工作站根据授权进行远程调阅、查询、控制；实现互联、互通、互控，为领导决策、指挥调度、取证和处置公共突发事件提供及时、可靠的监控图像信息。

智慧安防中心智慧安防系统主要由中心管理服务器、流媒体转发服务器、数据库服务器、智能分析服务器、网络磁盘阵列、视频综合平台，高清解码器、网络设备及监控终端等组成。

主要实现以下功能：

具有监视、互联互控、录像调用等功能。

视频监控：实行24小时不间断监视，显示报警地点。

SOS求救：人员可通过报警装置呼叫管理中心，并具备通话功能。落水监测：监测亲水区域人员落水事件；人流统计：监测重点区域实时人流量；电子巡更：管理安防巡逻人员。

智慧安防中心可将所有监控点中任意调用图像切换至指挥中心显示系统进行显示。

智慧安防中心用户经权限服务器权限认证后可通过PC上的IE 浏览器调看其权限范围内的实时图像及录像资料。有控制权的用户还可对前端摄像机进行

控制。指挥中心网内的用户获取图像的流程为向转发服务器发送请求，由指挥中心的转发服务器企业索取图像并把所得到图像发送给用户。

可通过管理服务器对系统内的所有网络存储系统进行统一管理、查询和资料下载、回放等操作。

手机用户可通过主动注册服务器实时接收相关视频图像、数据等信息，并可以进行视频切换、云台及镜头控制等操作。

完成报警信息收集及处理，并对报警信息发送到大屏显示及通过报警主机，实时进行声光报警，此部分预留与报警系统的对接接口。

主要完成以下功能：

对智慧城市内的监控点进行信息采集、汇集、存储、显示、控制和上传；所有的新建图像处理都采用数字非压缩方式，清晰无延迟，保证图像在本地录像、输入输出切换控制和上传的质量，为后期的图像处理提供和高质量的信号。

对智慧城市内的报警信息进行信息采集、汇集、输出和上传；可通过软件平台完成报警信息收集及处理，并对报警信息进行收集，可预留接口，与报警系统进行对接，实现到大屏显示，并实时进行声光报警；及根据业务报警类型推送到智慧安防中心。

4.4 前端子系统设计

前端设备安装于智慧城市主要道路、游客、广场、水域周边、出入口、人流集中场所等场所。

在本期工程视频智慧安防系统对前端设备设计选型要求：

智慧城市内对清晰度的要求高，需要非常清晰的显示人物或物体的形体特征等细微部分。

由于需要全天候工作，要求摄像机必须具备全天监控的能力，同时必须具备超低照度的能力，需要红外灯等。

由于智慧城市内路段和边界环境光线比较差，这就需要摄像机能在极暗的环境下也能得到优质的画面，同时很多摄像机在光线比较弱的情况下，图像也会出现噪点，这就增加了存储设备的存储空间，这就要求摄像机在增强灵敏度的同时，具有良好的噪点消除功能。

前端设计模式采用IP网络摄像机接入模式，前端设备紧急求助报警系统由安防平台统一管理，统一将报警信息发送给视频智慧安防系统，联动视频图像和报警录像。

视频智慧安防系统是全新的数字视频智慧安防系统，数字视频智慧安防系统的前端包括高清数字摄像机、ONU设备、综合立杆、设备箱、供电、防雷等，160个监控点位与紧急求助共杆安装。

前端布点原则

根据本项目智慧城市信息化系统项目的视频智慧安防系统建设的需求，不但实时监控这些重点区域的重点部位，同时监控重点区域是否对非法入侵的行为及时报警制止；防止事故发生。

4.5 前端点位布置原则

由于智慧城市面积较大，为保证全面掌握智慧城市内情况，同时防止过度设计，导致投资升高，系统主要考虑主要在环形园区上每200米设置一个定向监控点位，通过接力方式实现对园区上的行人和自行车的无缝监控。一、二级驿站采用区域监控方式，每万平米设置4个可转向监控点位，对驿站区域内实现无死角监控。三级驿站每处设置4个可转向监控点位，分别设置在驿站院落进出口及内部关键部位，对驿站区域内实现监控。四级驿站每处设置2个可转向监控点位，分别设置在驿站院落进出口及内部关键部位，对驿站区域内实现监控。园区进出口每处设置一个定向监控点位，对进出园区的车辆及人员进行监控。商家自行建设的监控摄像头也可纳入安防智慧安防系统进行联网信息共享。

4.6 系统功能说明

4.6.1 能清晰监控到重要景观:

能够适应低照度或夜间的监控要求，摄像机应具有高清晰的画面和宽阔的动态范围，能全方位无盲区的监看景点情况。摄像机具有高清晰的画面和较宽阔的动态范围，能全方位无盲区的监看，并能观察到细部情况。

4.6.2 园区交通危险路段监控：

要求能实时，清楚的监控该点情况。由于是用于危险路段的监控，所有必须实施24小时全天候定点监控。

4.6.3 进出口要道和门禁监控

要求全天候24小时对各园区出入口的车辆、人员出入情况实行定点监控。随时掌握各点情况，为相关部门管理提供有效支持。

4.6.4 重点景点保护监控

对于园区内重点保护的景点进行24小时监控，防止人为原因对景点的破坏。

4.6.5 通信机房监控

要求在室内机房人员出入及关键设备区域情况实行定点监控，为相关部门管理提供有效支持。

4.6.6 停车场监控

要求全天候24小时对停车场停放和出入车辆情况实行监控，保证在低照度或夜间的监控。停车道进行固定监控，停车场全景监控要求全方位、无盲区。

4.6.7 视频传输部分

考虑到前端监控点分布得比较分散，而且距离还比较远，所以在视频图像传输上分别采用光传输设备。

4.6.8 视频存储设备部分

采用高性能的存储设备，要求具有存储容量大、存储信息多、信息管理与查询灵活、快捷、方便的等特点，实现与网络连接，允许授权的多媒体工作站通过视频管理服务器进行实时图像观看、历史图像查询、等操作。图像需保存一个月（30天），重要地点的图像须保存半年以上；而且录像文件可以导出，可以刻录成光盘。

4.6.9 防雷

由于系统的前端主要分布在室外，防雷是智慧安防系统正常安全运行的关键。既要防止直击雷（依靠合格的避雷针（带）系统），也要防止感应雷及雷击电磁脉冲（采用完善的综合防雷手段和安装电涌保护器（SPD）系统），二者有机结合，相互补充，构成一套完整的防雷体系。

4.6.10 网络化

授权用户可通过网络观看每个前端摄像机的实时、历史图像，以及实现对前端摄像机的控制。

4.6.11 模块化

指挥中心视频切换矩阵需要采用模块化设计，可根据实际情况来配置系统大小。

4.6.12 操作权限管理

操作权限按照操作员职能进行划分

管理员可对各分控中心的操作权限进行划分可对摄像机进行分组显示、分组控制。

5. 周界报警系统

5.1 系统概述

园区由于周边人流量大；结合地势平坦；造成周界防范压力大，防范困难。需要一套高性能的周界防范系统来保证园区的正常秩序，防止人为的非法闯入。

本次结合园区的实际地形情况，拟建立一套电子围栏系统，就是在基地的非出入通道的周边区域设置脉冲电子围栏主机，形成一道电子围墙进行防范和管理。所以电子围栏系统是第一道防线，也是最重要的一道防线。担负着基地的安全与保卫工作。

5.2 建设内容

本次系统共配置单防区脉冲主机及双防区脉冲主机，每个防区约100米采用4线制布放，由终端杆、中间杆、承立杆组成，其供电方式采用集中供电，结合就近园区规划内的配电箱等为其小范围集中供电。

以实现以下功能，远程控制：具备RS-485通信接口，总线制通信方式。通过控制键盘或控制软件，可实现远程防区布防、撤防、输出电压调整、报警响应时间调节、控制权限等功能

多级联网：通过控制键盘或控制软件，可实现多级联网；

防区扩展：可接入两路红外、门禁等报警设备的开关量信号BI-Polar：可实现前端围栏上每根线都有高压脉冲电，让入侵者无机可乘报警信号输出：可根据不同报警联动产品对报警输入信号的要求，选择常闭报警信号输出或常开报警信号输出掉电记忆：设备断电后，能记忆原有的工作状态操作简便：可本机实现高低压切换、布防、撤防等功能。

5.3 系统设计 5.3.1 系统总体构架

图5-1系统总体架构图

5.3.2 功能需求

 系统可以实现前端围栏上每根线都有高压脉冲，5KV～10KV的高压威慑

配合警示标示让入侵者望而生畏；

 系统具体防破坏及入侵报警功能，当前端合金线被剪断、短路或脉冲主

机被破坏时系统能发出报警信息；

 系统能输出报警信号，与警灯等报警设备联动，对意图入侵者产生威慑

感，从主观上遏止侵入者的信心；

 系统具备高低压工作状态的转换，满足不同时间和环境条件下不同等级

的防范需求；

 系统前端脉冲主机具备人机交互功能，可直观判定系统工作状态；  系统具备报警记录存储和查询功能，并能联动打印机适时打印报警记录；  系统具备强大的兼容性，系统平台能与视频、门禁、红外、火警、振动

光纤、泄漏电缆、静电感应等其他周界报警设备融合；

 系统具备通信功能，可在控制中心实现远程防区布防、撤防、输出电压

调整、报警响应时间调节、控制权限、脉冲频率调节等功能。可采用RS485或借助于光端机光纤通讯方式；

 系统能实现多级联网功能，能在控制中心上层搭建软件平台进行控制，

使多个报警系统通过网络组建一个强大的立体网络报警系统；  系统前端主机应具备多种电源供电方式，可选择交流或直流电源，方便

用户，环境适应能力要强；

 系统在供电电源断开的时候也能正常防范，能配备蓄电池，停电后能持

续工作24小时以上。

5.3.3 系统设计思想

 可靠性――采用成套系统设计方案，应用成熟可靠、性能稳定的设备和

配件，系统关键部分采用冗余设计，具备一定的容错能力及抗干扰能力；  实用性——能够最大限度的满足实际工作的要求，把满足用户的周界管

理作为第一要素进行考虑，采用集中管理控制的模式；

 先进性——采用的系统结构应该是先进的、开放的体系结构，并考虑系

统使用当中的科学性；

 经济性——在保证系统先进、可靠和高性能价格比的前提下，通过优化

设计达到最经济性的目标；

 可扩充性、可维护性——要为系统以后的升级预留空间，系统维护是整

个系统生命周期中所占比例最大的，要充分考虑结构设计的合理、规范对系统的维护可以在很短时间内完成；

 易操作、易管理――提供良好的操作界面，方便用户操作，提高系统自

动化管理能力，降低劳动强度。

5.3.4 系统设计依据

《脉冲电子围栏及其安装和安全运行》GB/T7946—2008 《安全防范工程技术规范》GB 50348-2004 《防盗报警控制器通用技术条件》GB 12663-2001 《入侵探测器第1部分：通用要求》GB 10408.1－2000 《安全防范系统验收规则》GA 308-2001 《安全防范工程程序与要求》GA/T 75-94 《入侵报警系统技术要求》GA/T 368-2001

《报警系统电源装置、测试方法和性能规范》GB/T 15408-1994 《安全防盗报警设备安全要求和试验方法》GB/T 16796-1997 《民用建筑电气设计规范》JGJ/T16-92

《电气装置安装工程接地装置施工及验收规范》GB6510-92 《工业企业通讯接地设计规范》GBJ79-85 《智能建筑弱电工程设计施工图集》GJBT-471 《智能建筑设计标准》GB/T50314-2000 《弱电工程通用技术标书》DG/TJ08-603-2002

《电气装置安装工程电缆线路施工及验收规范》GB50168-92 《建筑物防雷设计规范》GB50057-94 《安全防范工程程序与要求》GA/T75-94 《安全防范系统通用图形符号》GA/T74-2000 《建筑电气安装工程质量检验评定标准》GYT253-88 《安全标志及其使用导则》GB 2894-2008 《电业安全工作规程》DL408-91

5.3.5 系统功能要求与描述

电子围栏系统作为周界防范的第一道防线，具备以下功能：

 物理屏障：前端围栏按照不同的安装方式，在防范周界形成不同高度难以逾越的屏障，且前端合金线之间的间距在120～200mm之间，增加入侵者攀越或从导线中窜过的难度；

 电击防御：入侵者攀爬或破坏前端围栏时可系统产生5KV～10KV脉冲电

压，利用电击刺痛感威慑或强制终止入侵行为；

 探测报警：监测前端围栏在短路、断路或试图破坏等异常情况时输出报警信号；

 系统组网：备有通讯功能，能通过一级控制中心设备进行远程控制，并能通过二级软件搭建强大的立体网络报警平台；

 报警联动：支持与视频、灯光控制、门禁等报警设备的联动。

6. 电子巡更系统

6.1 系统概述

电子巡更管理系统是新型现代化安全管理系统，它结合计算机技术、网络通讯技术、自动控制技术和智能卡技术于一体，是实现安全防范管理的有效措施，已广泛应用于各大型重要场所。

电子巡更系统是监督考核巡逻人员工作情况的智能管理系统，由感应式智能巡逻管理系统软件、巡检器和各种射频卡构成。其基本的原理就是在巡逻线路上安装一系列代表不同地点的射频卡（又称感应卡），巡逻到各点时巡逻人员用手持式巡检器（相当于刷卡机）读卡，把代表该点的“卡号”和“读卡时间”同时记录下来。巡逻完成后巡检器通过通讯座把数据传给计算机软件处理，就可以对巡逻情况（地点、时间等）进行记录和考核。

6.2 建设内容

本次巡更采用离线式巡更系统，通过对未覆盖到的区域设计巡更点，具体数量可根据现场制定路线调整。

6.3 系统设计 6.3.1 系统总体构架

图6-1系统总体架构图1

图6-2系统总体架构图2

6.3.2 关键技术指标说明

在巡逻线路上安装一系列代表不同点的射频卡（又称感应卡），巡逻到各点时巡逻人员用手持式巡检器（相当于刷卡机）读卡，把代表该点的“卡号”和“读卡时间”同时记录下来。巡逻完成后巡检器通过通讯座把数据传给计算机软件处理，就可以对巡逻情况（地点、时间等）进行记录和考核。系统软件采用智能排班、自动数据处理及核查，一目了然地显示巡更人员是否按照要求

的时间、路线巡查，有没有未巡、漏巡、迟到、早到、顺序走错等情况，操作非常简单。可轻松地选择不同时间段，线路，巡逻点，巡逻人员等要素进行查询和统计，是真正具有全面管理功能的巡逻管理软件。传统签到方式电子巡逻方式巡逻棒与信息钮不易损坏，使用寿命大于5年。安装简单读取信息钮，操作简单，无法作弊使用材料笔纸等易损物，需定期更换安装工程简易，铁箱固定，易破坏操作方式过程繁琐，易作弊人工收记录的载体收，主管部门将巡逻器放置到通信座上，软应用方式收集记录，靠人的主观分析得出件自动采集数据，并进行科学结果，不能及时反应问题，且收合理的分析处理，及时反应问集处理敏琐管理方式易作弊，主观因素影响大题。客观真实，是考勤及评测的依据总结：对比可以看出，在几个方面电子巡逻系统更胜一筹。在成本方式：大量使用的信息钮成本低廉，而手动记录的纸张和安装的铁箱，成本高，且易损失。在管理上，传统方式需要大量人工，并且取得的成效不大，而电子巡逻依据高科技，更科学的，更先进的将这一技术应用到了社会的各个领域。 6.3.3 产品功能描述 ➢ 对巡逻人员工作进行全面监督；

➢ 管理者轻点鼠标即可查询到每一个巡逻人员的工作情况； ➢ 自动记录取巡逻信息； ➢ 科学管理和强化执行；

➢ 提高工作效率，节约生产成本；

➢ 考勤收入挂勾巡逻工作不到岗的现象得到有效控制； ➢ 降低领导审核巡逻人员工作情况的工作负担； ➢ 追踪巡逻人员工作情况，可以方便地打印出情况报表。 ➢ 减少财产意外损失，在节约成本的前提下增加了管理力

7. 门禁管理系统

7.1 系统概述 7.1.1 工程概况

随着高科技的蓬勃发展，智能化管理已经走进了人们的社会生活，适应信息的时代需要,作为跨世纪使用的建筑和办公环境,必须在功能上满足当前和未来发展的需求,成为文化和经济发展的基础。一卡通系统作为一项先进的高科技技术防范和管理手段已广泛应用，具有对园区的出入控制、实时监控、防盗报警、员工考勤等多种功能，它主要方便园区内部人员出入，杜绝外来人员随意进出，既方便了内部管理，又增强了内部的安全防范，可以提高园区工作人员工作效率，提升整个园区管理水平。

7.1.2 建设目标

便于加强园区的内部管理，一张感应卡可以代替办公室的所有门钥匙，并且具有不同的通过权限，只能在被许可的时间里进出办公室，而外来人员无卡则无法自行进入。IC卡管理的区域，即使保安不在，也不会给不法分子以可乘之机进入室内作案，也可以有效地将诸如传销等闲杂的业务员拒之门外，以免干扰正常的办公秩序。

所有的进出情况在电脑里都有记录，便于针对具体事情的发生时间进行查询，落实责任，便于为公安机关调查事件提供有效可靠的证据。

员工无法自行配置有效的IC卡，如果员工的感应卡遗失或者开除员工，可以在电脑系统内即时挂失，这样即使其他人捡到了该感应卡也无法进入办公室，这样相对与普通机械锁要方便得多也安全得多，不必为了安全起见重新换锁，为企业的每位员工重新配钥匙。对于自行离职员工未回收的感应卡采用禁用的方式，以后该人员在未经许可的前提下都无法进入办公室。回收的感应卡可以重新授权再次使用。

可以进行软件远程强制性操作，远程控制上锁或打开大门。如果您的办公室出现被盗窃等情况，控制室的保安接到报告后，可以在远程锁住大门，将盗窃分子锁在办公室内将其擒拿。

基于Windows的全中文操作系统，界面友好，操作方便简单。经过培训的普通员工就可以胜任相应管理软件操作。能够有效地和监控系统有机地结合起

来，安装快捷方便，节约成本。感应卡开门时无需将卡从钱包或提包里取出，使用起来方便卫生。

采用原装全天候门禁读卡器，防静电，确保系统的稳定运行。系统对设备的故障进行自检和跟踪监测,并有灯光提示,以便维护人员及时维修。系统运行时无需连接专用电脑，停电时系统信息不遗失，并可以配备UPS后备电源，维持系统的正常运作。而我们优质的产品和完善的售后服务体系免除您的后顾之忧。

7.1.3 设计依据

《国际综合布线标准》 ISO/IEC11801 《民用建筑电气设计规范》JGJ/T 16-92

《中华人民共和国安全防范行业标准》 GA/T74-94 《中华人民共和国公共安全行业标准》 GA/T70-94

7.2 系统设计方案 7.2.1 建设内容

门禁控制器：存储感应卡权限和刷卡记录，并处理所有读卡器上传信号，负责和计算机通讯和其他数据存储器协调，配合管理软件的智能处理中心。

读卡器：通过射频感应原理，识别感应卡内置加密卡号。感应卡：存储用户的不可复制和解密的卡号。

机箱电源：两路电源输出，一路给控制器和读卡器供电，一路给电锁供电；并且支持双路互锁保护，即防止主控电源异常后，电锁电源持续工作而引起的打不开门。

电锁：用于电力锁住门口。

管理软件：通过电脑对所有单元进行中央管理和监控，进行相应的时钟、授权、统计管理工作。

开门按钮：出门可以设置为按按钮出门。

电源：提供系统运作电源和电锁的执行结构的电源供应。

7.2.2 系统架构

系统架构图7-1

7.3 系统功能特点 7.3.1 身份识别模式

1> 模式一：单向刷卡感应模式（主要配套设备：读卡器＋控制器＋出门按钮＋电锁）

使用者在门外出示经过授权的感应卡，经门禁读卡器识别确认合法身份后，控制器驱动电锁开启放行，并记录进门时间。出门按出门按钮，打开电锁，直接外出。

适用于办公室大门入口或者安全级别一般的环境，可以有效地防止外来人员的非法进入。是最常用的管理模式。

2> 模式二：双向刷卡感应模式（主要配套设备：读卡器＋控制器＋读卡器＋电锁）

使用者在门外出示经过授权的感应卡，经读卡器识别确认身份后，控制器驱动电锁开启放行，并记录进门时间。使用者离开所控制的房间时，在门内同样要出示经过授权的感应卡，经读卡器识别确认身份后，控制器驱动电锁开门放行，并记录出门时间。

适用于安全级别较高的环境，不但可以有效地防止外来人员的非法进入，而且可以查询最后一个离开的人和时间，便于特定时期（例如失窃时）落实责任提供证据。例如：财务室等重要场所。 3> 模式三：卡＋密码模式

刷完卡后，必须输入正确的密码，才能开门。密码是个性化的密码，即一人一密码。这样做的优点在于，用于安全性更高的场合，即使该卡片给人拿到也无法进入，还需要输入正确的密码。并且可以方便地进行模式的设置，例如：对于同一个门，有些人必须卡+密码才允许进入，有些人可以刷卡，无需密码就可以进入，最高权限的人输入超级通行密码也可以放行。 4> 模式四：多卡模式

对于有特殊要求的环境，2至8张卡读卡开门，如设置某门为多卡读卡开门，5张才开。那么只要读5张合法卡（无须顺序）才可以开门。（多卡开门是最新的版本，比老版本容易操作，容易读卡开门，解决了过度严谨导致的功能不好用问题）。该模式功能特殊，可应用于例如，财务室，仓库、银行等对于安全要求特别高的场所， 5> 模式五：首卡模式

我们可以在软件里对需要的门设定首卡开门模式，即某道门只有读取指定卡（首卡）之后，其余合法卡读卡才能有效开门，例如，上班开启办公室门，只有管理人员读卡后，其他员工的合法卡才能相继读卡开门。 6> 模式六：手动输入卡号模式

当我们忘记带卡片时，这个功能就非常适用，我们可在密码键盘读卡器上输入自己卡片的卡号来开门，解决了忘记携带卡片的困扰。

7.3.2 功能特点

1>卡片出入控制管理

本系统标配容量5.2万张卡使用,并可扩展至10.4万卡片傲视同级别产品的海量存储能力，使其基本上百分之百的满足企业的门禁考勤管理需要。您可选用非接触IC感应卡,每张卡具有唯一性,最大程度的防止了代打卡。系统可任意对卡片的有效性、使用时间和使用地点进行设定，非属于此类持卡者被禁止访问。

2>语音提示指引功能

对于不同的操作行为，本系统都具有相对应的语音提示，例如，合法卡刷卡开门，语音喇叭会自动播报“谢谢”，非法卡读卡，则播报“该卡未注册”，以引起相关保安人员的注意。如果是卡加密码开门，读卡后会播报“请输入密码”等等。如此人性化的设计，在市场深受广大的用户赞扬。

3> 实时监控功能

办公室所有门的状态和行为，都可实时反映于控制室的电脑中，如门打开/关闭的状态，哪个人、什么时间、什么地点等。

4> 电子地图

门户的状态以图象显示方式显示，可实时反映于控制室的电脑中。 5> 数据存储

控制器的信息可以上传到控制计算机进行存储。（在脱机情况下，门禁控制器能保存数据200000条信息；在掉电的情况下，数据能保持10年）。

6> 高度自检功能

系统可通过管理软件对任意的门点进行远程设备状态自检，随时自行监测环境温度、输入电压稳定监测、运行稳定情况检测，降低人员维护成本，提高整体效力，是一款高性能、安全可靠的智能门禁控制器。

7> 消防联动功能

我们的控制器具备了报警输出和消防出入的接线端口。系统可通过消防驱动开关对系统启动消防联动功能，当楼层消防有消防告警时FC-8800自动将门打开，让人员方便疏散。消防关闭时自动恢复运转。并可以启动消防警笛和存储记录消防报警记录的时间。

8> 非法卡刷卡或非法闯入报警和防盗报警主机功能

当门禁系统某控制器有非法入门或有其它安全告警事件，即没有通过合法方式（刷卡按钮等）强行开门或者破门而入。系统软件监控界面会用红色的提示该报警信息的时间和位置，并驱动电脑音箱提醒值班人员注意。而FC-8800将自动启动自身告警电路，告警直到有保安人员确认后才关闭，告警方式：驱动警铃、供给其它安防设备信号或通过网络向管理计算机发出告警信息。接可以加装报警拨号器，报警后电话联线通知负责人。

9〉门长时间未关闭报警

门被长时间打开（打开多少秒才报警，这个时间可以自定义）忘记关门，系统软件监控界面会用红色的提示该开门超时报警信息的时间和位置，并驱动电脑音箱提醒值班人员注意。如果控制器接了报警输出及消防联动扩展板，还可以现场驱动报警器鸣叫，提醒相关人员关好门。该功能需要加装门磁或者选用带门磁反馈信号输出的电锁并连线到控制器。可以设置为报警多少秒或者一直报警直到门被关好。

10> 设备有效天数

该功能是为了满足收款需要，可设置设备运用有效天数，默认：65535（无限制使用），如果设置小于65535，设备将自动一天减一，运行到0时设备将停止门禁部分功能，而为0后可以再次调整有效天数。

11> 读卡拍照

该功能是在一些重要场所，安装视频监控配使用。起到人员读卡时同时拍照存图，用于日后查询。可以有效防止员工代打卡。备注：如工地已有监控枪存在，可使用我司的监控服务器(FC-801)来切换画面，硬盘录像机正常录像，

我们门禁软件业能监听到画面。如工地没监控枪，需得购买我司配置的网络监控枪（FC-804).为了让客户更好认识我司产品特点、我司给大家提供视频教学。

12> 读卡和出门开关、开门受时间段控制器

可以设置读卡和出门开关受时间段控制器，可设置64组开门时间段。在指定时间内合法卡和出门开关可以有效打开该门，过了时间段无效开门。

13> 防探测锁定

目前市面上有很多模拟卡号探察破解器，专门用于模拟各种卡号来探测门禁，实现破解开门，而针对该类仪器我们研发了“防探测锁定”功能，FC-8800所有设备带有该技术之后，可自行防探，让该类仪器无法有效探测。为您的环境安全加多一层保障。

14> 通信加密数据功能

设备和软件之间的通信进行数据加密，新采用的数据加密算法，让通信整个过程受到保护，系统更加安全。您或用户可以定义通信密码，有效防止监听通信内容。也可以各部门管理各部门的门禁，可以通过此密码来分开，各管理各的。

15〉带密码键盘的读卡器直接授权开门卡

可以在键盘读卡器直接输入管理密码与发卡代码或删卡代码，对卡进行发卡与删卡，无须电脑连接（让大系统调试时更加容易）。操作方式简洁，快速。

16〉软件远程管理

软件管理人员通过相关电脑上执行的开门指令，在电脑上远程开启或者关闭某个门，也可以通过通信命令的计算机或其它设备，将一个或多个门设置为常开（门开着一直不关），该功能特别适用于办公室大门在人员出入频繁的时候，避免门开开关关，影响进出。设置常开后，可以通过“远程关门”、“长按出门开关5秒”来解除常开。软件支持Internet远程门禁管理，可以管理其它城市的门禁系统，只要有地址与通信密码。

7.3.3 软件功能模块

对内部员工进行考勤管理，有效防止员工迟到、早退等行为发生，本套软件系统自带的考勤管理模块，在软件界面上的“考勤信息” 里面设置了门禁考勤机设置、考勤班次、自动排班、考勤人员、考勤排班表、节假日、请假类型、加班、请假、出差、签到、刷卡明细、考勤报表。

1〉门禁考勤机设置

点击软件菜单栏“考勤信息”下拉菜单“门禁考勤机”，如下图：

首先在做为考勤点的设备前打上钩，然后点击保存将此设备设为了考勤点。 2〉正常班考勤设置

考勤班次就是定义什么时候可以提前上班什么时候推迟下班等，可跟据不同的上班时间设置不同的班次，并可设置弹性时间。本套软件可设置个班多个考勤班次。

3〉设置考勤基本规则

（1）以下是按正常班班次上班时间设置进行说明。

正常班上班时间有4个时段可设置，可设置刷卡间隔：表示前后刷卡时间不能在15分钟以内；迟到多少分钟以内不算迟到：这是人性化管理的体现。例如，员工9:02打卡不计算为迟到； 9:04打卡计算迟到4分钟。若不需要计算工时，可将“迟到扣工时”前面复选框的钩去掉。

迟到多少分钟作（当前时段旷工、全天旷工、迟到时间记为旷工、不计算旷工）：上班10:00以后打卡，就计算当前时段旷工。

提前多少分钟离开不算早退：17：58打卡不计算为早退；17：56打卡计算早退4分钟。若不需要计算工时，可将“早退扣工时”前面复选框的钩去掉。

提前早退多少分钟作（当前时段旷工、全天旷工、迟到时间记为旷工、不计算旷工）：下班16：00以前打卡，就计算当前时段旷工。

上班提前多少分钟记为加班：8：01刷卡不记为加班，7：59刷卡记为加班1小时。

下班推后多少分钟记为加班：18：59刷卡不记为加班，19：01刷卡记为加班1小时。 (不可超过凌晨00:00点)。

如果有多次打卡上班以第一次打卡为准，下班以最后一次打卡为准。如果要修改班次数据，可点击选择要进行修改的班次。（2）多时段刷卡或加班设置

如果要进行多个时段打卡或加班设置，可按下图进行设置

4〉自动排班

设置完考勤班次后就进行班次的排班：我们在“自动排班模式”可选“按星期排班”或“灵活排班”；若按星期排班，在界面右侧根据每星期的上班班次和休息进行设置。

可设置，修改，删除多个排班

5〉设置考勤人员

考勤管理系统的操作人员，可自由设置需要考勤的员工，这样不需要的考勤的人员卡开门信息就不会存储在考勤记录里面。

6〉考勤排班表

点击软件菜单栏“考勤信息”下拉菜单的“考勤排班表”弹出界面如下：

7〉设置节假日

科学合理的解决了五一、十一等长假前后的班次调整问题，省去了以往必须手工输入的麻烦。科学地解决有些公司周六只上半天班的考勤问题。

8〉请假类型的设置

请假类别可以自行命名，管理更加灵活，统计结果更快捷更直观。

9〉加班、请假、出差登记（1）加班登记

选择要登记的加班人员，然后选择“加班时间”和输入加班原因。

（2）请假登记

选择请假的人员，设置请假人员的请假时间，请假类型以及填写请假原因。

10〉考勤报表

系统自动对员工的姓名、部门、刷卡的日期等资料进行统计，自动生成考勤报表自动统计每个员工的出勤天数、迟到、早退、旷工、请假等考勤数据。

11〉在线巡更功能

经过调查和充分论证，“智能巡检管理”能有效地监督和管理巡逻情况，可以准确地记录保安人员的巡逻时间、次数及线路，且具有布线灵活、操作简单和针对性强的特性，对于监督、规范和提高办公室保安部门工作极具借鉴价值。同时，“智能巡检管理”能够依托计算机信息网络，做到资源共享，具有极强的生命力和广阔的发展空间，正是新时期企业加强对保安部门防范工作的有利载体。

借助“智能巡检管理”，根据办公室的治安状况，通过对巡更点位置通盘规划，选择设定合理的巡逻路线。从而形成了一个“电子定点、以点串线，以线带面、点线面结合”的巡逻防控网络。使巡逻防范工作更加科学合理，防范水平趋于平衡。

在线巡更（巡检、巡逻、签到）管理系统是门禁系统附送的一款管理软件，客户安装门禁系统后无需增加额外的投资就可以享受这款软件带来的在线巡更（巡逻签到）管理功能，这个软件也可以独立使用。

您可以指定门禁系统的哪几个门做为巡更点用途，使用者在巡更点上刷卡，表明这个巡逻人员在某个时间到达了该地点。

 可以指定哪些人做为巡检人员，可以指定哪些门做为巡检点，操作员可以自行设置，巡检路线和巡检任务。

 可以生成巡检详细报表和统计报表。可以打印报表或者输出到Excel文件，可以分部门、分人员，按日期进行查询和打印。

 巡检详细报表中，显示巡检日期，巡检员姓名，计划巡检的时间，实际巡检的时间，是迟到、早到、还是漏检，巡逻地点名称，巡逻路线名称等。

 巡检统计报表可以显示某个月（某段时期）巡检员的迟到次数、早到次数、漏检次数、等统计信息。

 可以通过实时监控功能，实时观察巡检员何时到达何地点。 12〉防盗报警功能

这是门禁管理系统软件赠送的功能模块，我们的门禁控制器自带加强型消防报警联动（个别为扩展板），您只需自行另购红外探头、紧急开关、警笛等配件就可以低成本地实现操作方便的防盗报警功能。

此功能分四路接不同的设备，具备不同的功能：

 一路可以接：红外感应探头或者红外对射传感器、使其具备防盗感应功能，设防后，有人非法入侵就启动声光警笛报警。也可以接门磁，门磁安装在门窗上，有人非法打开门窗，予以报警。设防撤防比用密码和遥控器简单安全保密得多，只需连续刷卡三次即可设防撤防。

 一路可以接：煤气传感器（煤气泄露报警）、烟雾传感器（火灾报警）、玻璃破碎震动传感器（被破门而入报警）。

 一路可以接：紧急开关。屋内人员在受到入室抢劫等伤害时，可以按下紧急开关，通知中心管理保安人员，并启动警笛。

 一路可以接：防盗报警功能，可以连接门磁与红外感应器，在主人外出时可以设置进入防盗状态，进行防盗监视状态。

8. 停车管理系统

8.1 系统概述

园区运营期间届时将有大量的VIP车、固定车、内部车、旅游大巴车、散客车等车辆从四面八方蜂拥而至园区周边区域停车场，如何对这些车辆高效疏导、有序停放到指定的停车区域，解决停车管理难、效率低和收费失控等问题，作为本次设计智能停车场管理系统的目标。该系统采用先进技术和高度自动化的机电设备，并结合园区用户在停车场收费管理方面的需求，采用图形人机界面操作方式，具有操作简单、使用方便、功能先进等优点，车场使用者可以在最短的时间进入或离开停车场，以提高车库管理质量，取得高的经济效益和良好的社会效益。

8.2 需求分析

针对会期旅游车辆如何有序引导和高效管理车辆的停靠成为本次园区管理者的一个难题，为此建设一套智能停车场管理系统成为必要的选择。通过与园区微信公众号平台数据对接，即通过统一支付中心构成的共享能力中心，将停车信息平台、停车场管理平台、用户信息平台、数据处理平台打通，为游客和管理者提供透明、实时、便捷的智慧停车方式。

1、如何高效引导车辆根据不同车辆进入相应停车场？依据智能停车管理平台实时监控进出口画面和进出口系统正常运行情况以及进出口的停车场通道信息（包含网络状态、剩余容量、车牌信息、进出时间信息、收费信息等），通过微信公众号以及其他传播方式等将各个停车场情况（如停车场性质、剩余车位数量等）及时推送给前来游园的车主，引导车辆合理停放，解决停车难，减少拥挤。

2、如何提高收费效率，使车辆快速进出停车场？该系统设计采用自动车牌识别系统，识别率高，免去传统取卡刷卡带来的时间和人力浪费，加快进出速率，同时避免卡的折损、丢失、复制等；支持灵活、强大的计费规则，包括短时免费、阶梯、线性、周期封顶、日夜间、节假日、周内周末等，可定制对大车、小车实行不同收费规则；满足包括线上支付的多种支付方式，如微信、支付宝，可通过公众号、APP、扫码等进行方便的缴费，可绑定制刷银联卡、公交卡、打印票据等功能，满足车主多样化的需求，大大加快出口通行效率；

3、如何加强系统安全性及提升管理者的管理水平？停车场支持多级管理员分级管理，不同层级管理员、财务人员均有不同权限；（管理权限）停车场管理系统具有完备的数据统计、导出功能，包括进出车记录、收费记录、授权记录、优惠记录、收费规则设置等，同时可远程管理多个停车场，为车场管理者提供管理支持。

8.3 设计内容

本次园区停车场拟设计每个口采取双车道入场的设计方式，同时室外停车场设计一套诱导反寻系统。该系统由出入口管理站和计算机监控中心等几部分构成。停车场的出入口管理站设有地感线圈、道闸、车牌识别仪、中文电子显示屏、无牌车取票机和彩色摄像机，计算机监控中心包括计算机主机、显示器、诱导反寻系统等，采取就近建筑配电室取电的方式，数据通过园区光纤网络传输到核心机房的管理平台。

8.4 设计方案 8.4.1 车场入口

1. 安装200万高清车牌识别仪，采用视频方式触发抓拍；

2. 安装智能道闸，智能道闸下安装压力电波有效防砸，再辅助道闸下防砸

线圈，双重防砸确保车辆在道闸下的安全；

3. 安装合理间距的减速带，物理措施防止跟车造成的不安全以及车牌抓拍

不到，或者如果车流量大选择双条减速带；

8.4.2 车场出口

1.安装车牌识别仪+四行屏+语音一体机，采用视频方式触发抓拍； 2.安装高速道闸+道闸下防砸线圈；

3.安装合理间距的减速带，物理措施防止跟车造成的不安全以及车牌抓拍不到；

4.出口部署支付宝、微信线上支付二维码。

5.智能硬件：控制核心，支持故障状态远程监控及远程重启；根据出入口的分布和距离情况，选择合适规格和数量，并可放置在中心；

6.收费员触摸收费一体机：15寸，触控操作，实现出口现金收费后开闸、免费开闸、紧急开闸、进出口记录查询及收费；修正车牌以及输入免费开闸原因。

7.建设一套管理岗亭，满足管理者值班的需求。

8.4.3 诱导反寻系统

车位诱导反寻车系统是将机械、电子计算机、自控设备和智能识别算法等技术有机的结合起来，可实现车辆出入管理、自动计费存储数据、车位引导与反向寻车等功能。本系统提高了停车场的信息化、智能化管理水平，给车主提供一种更加安全、舒适、方便、快捷和开放的环境，实现停车场运行的高效化、节能化、环保化，降低管理人员成本、节省停车时间，使停车场形象更加完美。

8.5 系统功能 8.5.1 授权

支持丰富的不同类型的车辆授权，车辆类型VIP（内部车、特种车）、VIP（员工车）、VIP（免费车）、VIP（协议单位优惠车）、VIP（商户优惠车）、VIP（市民月租卡）等。

VIP车指的是：在系统中设置每个月的停车小时数，每月在停车小时数的范围内，每次出场自动抬杆放行自动从储时账户的余额中进行划扣，余额不足则按照临时车辆计费；主要针对旅游大巴等长期出入园区的车辆。

支持按要求填写到excel表格中车辆授权信息可批量导入；支持对所有授权类型的车可以设置其折扣值打折；

系统设置中可以配置：固定车位满时，授权车辆不允许进场、做为临时车进场或者在临时车位满时，是否允许临时车进场；

可以设置某种类型的车场在相应车场的入口是否限入：包括限入周期、限入类型、周期限制起始时间、周期限制结束时间、授权类型；已经授权的车辆的记录，包括该车辆的车主姓名、编号、收费类型、授权的生效时间和过期时间、共享车位数、剩余车位数、车牌号、允许的进车区域和出车区域，以及该车的账户余额、授权组等信息，可以通过姓名、卡片编号、模糊车牌号、住址4种不同的关键字进行查询并导出报表。

8.5.2 收费规则

强大的收费规则排列组合，支持各种复杂的周期封顶、日间夜间收费、阶梯收费、大小车收费、节假日及周内规则、跨时段停车叠加收费，以及各种特殊车辆的计费规则；

如规定时间段内免费通行，如：停车15分钟内出口免收费；

针对授权车辆存在周期固定封顶额度计费与周期临时计费到封顶额度计费规则；

停车费用折扣计算--针对授权组车辆可实现普通计费规则的折扣计费（具体折扣可由管理者制定）；

日间分段计费---日间时间段可由管理者设定，在该时间段内可分段计费；例如前30分钟计费5元，后每60分钟计费3元依次叠加；

夜间分段计费---夜间时间段可由管理者设定，在该时间段内也可分段计费。例如：每60分钟计费3元依次叠加计费或者封顶计费

跨时段叠加计费；

支持阶梯型收费规则：例如15分钟内免费，16分钟至2小时5元，2至4小时10元，4至8小时15元，8-12小时20元，12-24小时25元；

军警特殊车辆等特殊车辆通过审批勾选后，可针对此类型车辆实施免停车免费自动抬杆通行；

小车和大车可指定不同计费规则；

系统支持固定车辆提前授权为储值车辆，按照实际停放情况扣除费用的功能，满足在车位紧张的情况下，固定车辆利用先来先得的规则停放后根据实际使用情况扣减余额，体现公平原则，减少由于抢车位造成的费用纠纷；

8.5.3 记录及报表查询和导出

可查询周报、月报、收费明细并导出；“支付类型”目前包含现金，微信、支付宝、银联等，可根据实际项目情况和财务需要进行是否显示勾选；

可查询某个收费员在某个时间段内的收费总额、某个时间段内停车场中各种车辆的进出数据并导出；

可查询车辆进出车场的所有记录，包含车牌号、在车场的状态、进/出时间、停车时长、车辆类型、收费明细等相关信息，可以查看该车的进出口图像；

可以查询某个时间段内，各类型的车辆的进场流量数和出场流量数；收费终端免费放行车辆时，需将免费放行原因输入，可以免费开闸成功。支持自定义6种理由，并记录在进出车记录中以便管理者查询；

凡是需要充值的授权类型均可在授权信息->授权日志中查询到充值记录；可查看到电子优惠券系统成功下发到车场系统的电子优惠券，每张电子优惠券为一条记录，包括车牌号、类型、生效起始时间、生效结束时间、优惠券值、保存时间、使用时间、是否使用等，方便核对；

所查询到的记录可以excel的方式导出；

可根据项目具体需要，高级管理员可设置各项数据保存天数，超过设定的天数后系统自动删除保存的数据。

8.5.4 用户管理

系统具备默认的收费员、财务人员、一般管理员、高级管理员和系统管理员共5种角色，可以由高级管理人员各种角色、用户的权限设置，添加、修改和删除不同的账户。

所有类型的用户都可以登录iRain停车场管理系统的平板设备和web浏览器，但除收费员之外的其他类型的用户不能进行交接班业务，但可以收费，本班次收费金额可以在“收费统计”页面进行查询。

8.5.5 系统状态

可以通过web，查看智能硬件的资源占用情况：智能硬件的物理内存、cpu、系统开机运行天数、磁盘使用情况、进出口主从识别仪状态和数据库连接状态在内的10多项内容。

8.5.6 系统日志

系统日志中详细、准确地列出了哪个用户在什么“时间”什么“地点”在什么“设备”上，发生了什么“事件”；如哪个用户登录（login）、退出（logout）web页面和平板的事件，或者哪个收费员交接班（shift），打开或关闭入口限入功能。

8.5.7 车辆引导

向社会大众提供车位诱导、信息查询、手机支付、先行后付等服务数据接口。

9. 接警应急指挥系统

9.1 建设背景

随着全球化时代的来临，人类面临的发展机遇增多，但面临的挑战也在增加。各种传统的和非传统的、自然的和社会的安全风险交织并存，重大自然灾害和重大生产事故频繁发生，重大疫情传播范围扩大，能源资源紧缺和生态环境恶化，恐怖主义抬头。

近几年在我国连续发生的特大事件暴露出了很多应急管理和处置方面的矛盾和问题，特别是在应急指挥调度技术相对滞后。如调度手段太多，各种调度手段之间存在通信屏障，无法实现统一的指挥调度，无法实现分级调度和协调

各种现有应急平台等。如何解决上述问题，合理应对新社会条件下的突发事件，对政府的应急管理能力和处置能力提出了前所未有的挑战。

坚持预防与应急相结合，常态与非常态相结合，常抓不懈，防患于未然。为了进一步规范应对突发事件行为，建立健全统一高效、科学规范、反应迅速、处置有力的应急体制和应对机制，提高保障公共安全和应对突发事件的能力，最大程度的预防和减少突发事件及其造成的损害，保障人民群众的生命财产安全，维护公共安全和社会稳定，促进经济社会又好又快发展，园区急需充分利用现代信息技术，建设一个统一的智慧化接警应急指挥系统。

9.2 建设内容

项目管理对象覆盖四大类突发事件，即突然发生，造成或可能造成严重社会危害，需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。

9.2.1 指导思想

以中央提出的“科学发展观”为指导，按照以人为本和构建和谐社会的要求，不断创新城市管理体制、机制。借助现代信息技术，整合城市管理资源，紧密结合园区的实际，本着全面性、系统性、科学性、可操作性的总要求，遵循预防为主、常备不懈的方针，贯彻统一领导、分级负责、加强合作、整体联动、反应迅速、依靠科学、依法实施的原则，全面提高应对各种突发事件和抵御风险的能力，实现应急管理科学化、精细化和数字化。

9.2.2 建设原则

1、以人为本，减少危害的原则

始终把保护人民群众生命财产安全作为建设智慧化接警应急指挥系统的出发点和落脚点，秉承生命至上的理念，坚持预防为主，预防与应急相结合，完善监测和预警机制，努力把应急管理各项工作落到实处。

2、分级管理、全面协同的原则

区委、区政府统一领导全区应急管理工作，属地为主、专业处置、分级响应、逐级提升，形成区镇两级管理、各部门分类指挥的突发事件应对体系；强化统筹协调、各方协作的工作机制和管理与技术创新相匹配的互动机制，优化应急管理流程，建立智慧化的应急管理的运转体系。

3、统一标准、整合资源的原则

参照相关行业标准，统一信息系统建设，提高智慧化接警应急指挥系统的兼容性、开放性、可靠性和安全性。充分利用现有资源和技术储备，推进应急系统资源整合和信息共享，实现部门、条块、军地之间的协调联动，避免重复投资建设。

9.2.3 建设目标

基于移动通信、电子政务等网络，综合运用物联网、云计算、地理信息和 WEBGIS 等先进技术，按照应急总体预案和专项预案，区分消防、防疫、防汛、清雪、安全生产、群体性事件、反恐等突发事件，建设智慧化的接警应急指挥系统。在梳理工作流程的基础上，针对不同类型的事件设计不同的指挥程序，要从事件预警着手，开拓多渠道信息获取路径，根据事件类别触发不同的处理规程，下达处理指令，应急队伍迅速赶赴现场实施处置，处置后启动事件调查程序并开展善后处理。建设应急物资储备库、移动指挥车、应急专家库、医疗资源库等应急基础资源，整合3D地理信息系统、人口信息系统、交通实时路况、移动视讯系统、信息发布系统等信息系统。通过移动视讯系统，事件现场情况可以及时向应急指挥中心报告，指挥中心通过各资源库、信息系统、应急预案，及时向事件现场调配资源、发送信息和指令，现场指挥人员根据指挥中心的指令合理实施现场指挥。

9.2.4 建设任务

为达到接警应急指挥系统的总体目标，项目的建设任务可分为应用系统建设和运行环境建设两大部分。

9.2.4.1 应用系统建设

应用系统建设是指支撑应急指挥业务运行所用到的应用系统。包括： 1、接处警系统 2、通讯指挥调度系统 3、预案知识库系统 5、视频监控系统

9.2.4.2 运行环境建设

满足应急指挥业务需要的软硬件、网络环境，包括：

1、连接监督、指挥中心和专业部门的有线网络 2、连接手机终端和平台的无线网络

3、满足应用系统运行需要的软、硬件环境（服务器、存储设备、基础软件平台，应用软件平台、平台安全等）

4、应急指挥中心的办公场地

9.3 接警应急指挥系统应用需求 9.3.1 总体需求

城市接警应急指挥系统，就是将公安、消防、急救、交警、公共事业、城建、武警、军队等部门以及车辆、物资、人员等相关资源纳入到一个统一的指挥调度系统，在市民求助或者有重大灾难性事件发生时，为市民提供相应的紧急救援服务，从而为城市的公共安全提供强有力的保障。

城市接警应急指挥系统是一项利国利民的工程，随着我国城市管理模式逐步与国际接轨，应用高科技管理城市的方法逐步引入中国。城市接警应急指挥系统是城市现代化发展程度的标志之一，是政府处理公共突发事件的有效指挥系统。通过对现有各应急系统的整合与完善，建立统一的应急指挥调度平台，形成智能化的应急网络体系，实现跨地区、跨部门、跨警区以及不同警种之间的统一指挥协调，快速反应、统一应急、联合行动，真正实现社会服务的联动，有效应对突发性公共事件，切实保障人民群众的健康与生命安全，是现代化城市管理的需要，是城市政府实现职能转变，进行社会管理和公共服务的需要。

9.3.2 应用系统需求分析

本项目部署于资阳市中心城区北部，整体方案需对园区内发生的各种公共事件进行应急处置，提供一体化综合应急调度系统。当园区出现应急事件时，系统能够提供快速响应，并触发相应的应急预案流程。

项目中支持功能如下： 1、提供接处警系统 2、短信子系统 3、地理信息子系统 4、接处警全过程平台录音 5、有线、无线调度系统

6、专家预案系统

7、接口子系统（提供对接交通、天网、人口信息、重点场所、出租车管理等系统）

8、数据库子系统

根据项目的需求情况，我们还需要一个智能应用集成平台，平台可以满足用户对城市应急指挥调度平台提出的各项要求，可以支持多媒体业务融合，支持在应急场景下对多种不同通信网络下的终端调度，融合调度多种制式的通信终端，打破信息孤岛；平台不仅能够提供语音平台解决，还可以提供视频能力接入，实现音视频联动调度。

9.4 总体方案 9.4.1 方案规划

本系统主要是为进一步建立、健全突发事件预警和应急保障机制，有效应对各种突发事件、恐怖事件和自然灾害等紧急状况。通过建立起一套统一指挥、反应灵敏、协调有序、运转高效的预警和应急机制，不断提高反恐处突的通信保障水平。该系统主要是在出现恐怖袭击、突发事件时，按照部门的预设的应急预案处理各种紧急状况，并可在突发事件现场组建前方指挥部，实现现场指挥调度。系统可将有线通信、各种制式的无线集群通信、公共电话网络、计算机通信、视频通信、卫星通信设备、无线图像传输设备融合到在多媒体调度平台上，实现前方指挥部与后方指挥部之间的视频、语音、数据通信。它是政府机关信息处理与调度中心。

该系统主要集成了软交换技术、呼叫中心技术、多媒体调度、广播技术、监控技术、视频会议技术、视频监控技术、无线图像传输技术、计算机应用技术、无线集群通信技术、卫星通信技术等。主要核心技术和创新是将有线通信系统、移动通信系统、公安电话通信系统、公安视频会议系统、视频监控通信系统、无线集群通信系统与多媒体指挥调度系统进行联网，实现多网融合，统一调度，并通过专网实现与市政府的其他系统互联，保证该系统在任何时间、任何地点、任何天气情况下都可采用现有的任何终端实现语音通信，并便于市政府领导在出现紧急状况时可通过任何终端实现紧急调度工作；在特殊场所，可安装视频监控探头，调度中心平时可通过调度系统监控远端现场，一旦发现

现场出现应急事件时，可在当时视频画面上直接呼叫与这一路视频图像所捆绑的语音终端，出警人员可快速到达现场，对应急事件实时相应处置。

9.4.2 业务流程

业务流程示意图

9.4.3 逻辑结构

逻辑结构图

9.4.4 拓扑结构

拓扑结构图

9.5 子系统建设方案 9.5.1 功能架构

功能架构图

9.5.2 接处警系统 9.5.2.1

系统简介

接处警系统融合了现代通讯、计算机网络、计算机电话集成（CTI）、数据库管理和地理信息系统（GIS）等先进技术，实现“三台合一”（将 110 报警服务台、119 报警服务台和 122 报警服务台合并为一个统一的报警服务台）报警电话的接警、处警和指挥调度过程自动化。

接警中心统一接听和处理市民的报警、求助电话，处警中心接收接警中心转发的警情数据，并借助地理信息系统（GIS）的定位、空间分析功能，对所有的资源和警力通过一体化的数据传输和通讯调度台进行统一管理、指挥和调度。

9.5.2.2

业务流程

1、报警接入

利用电信、移动、联通等公网或专用的通信网实现 110、119、122 的报警接入。可识别和显示主叫号码、用户名称、装机地址等报警用户信息。

2、警情识别

自动或人工实现 110、 119、 122 报警类型识别，实现恶意骚扰电话的拦截。

3、警情记录

提供 110、 119、 122 接处警信息的录入登记、归档、保存、查询功能。 4、处警调度

利用有线、无线通讯或计算机网络，通过话音通信、数据通信实现 110、119、122 处警命令的下达，可以实现一警多处，多部门协调出警。

5、出警反馈

出警人利用有线、无线通讯或计算机网络向指挥中心反馈出警情况，接警员进行反馈信息登记、保存，可查询以往反馈信息。

6、数字录音

实现报警电话、有/无线处警调度电话的数字录音，以及录音信息的存储、查询、播放等功能。

接处警系统工作流程图

9.5.2.3 系统功能

1、接处警功能

集中受理 110、119、122 紧急电话报警，对所有紧急电话报警进行统一的自动呼叫分配，对 119 报警电话设置优先处置，确保即使在接警处于高峰期时，119 报警电话不受影响；与公共电信网的连接具有备份路由，保证在主路由设备出故障的情况下紧急电话报警能够分配到接警席位上；自动显示主叫用户电

话号码、机主名称、装机地址；能够拦截错误呼叫及恶意骚扰电话；重复报警时，自动给出提示信息；自动记录紧急电话受理全过程的语音信息；自动识别重要用户来电号码，并自动提示信息。

2、辅助调度功能

根据被叫号码弹出相应的接警单（110、119、122 接警单）；可通过转接功能完成 110、119、122 自动或手动分至各个坐席；摘机前显示主叫号码的“三字段”信息；通过设置可灵活地修改与录音、地图的连接；110、119、122 之间的接警单转换；手动形成 110、119、122 接警单；显示指定时间段的接报警信息列表及处理状况；可通过设置筛选条件显示全部或部分及某种状态的接警列表；具有有线、无线调度功能；服务器和程控交换机时间同步，各个接警席的 PC 机时间和服务器时间同步，保证在整个系统中只有一个时间。

3、通信调度功能

监听、强插、强拆和挂机回叫；单呼、组呼和会议电话功能，能实现不少于四方的多方通话；席间互转、代答；接处警席位单呼、组呼无线移动台；无线移动台呼叫席位接处警席位。

4、数字录音功能

多路实时自动录音和手动/自动录音；1 路或多路实时并行放音；、自动或人工并行数据转储和备份，容量不低于 2500 小时；放音音量和语速调节；线路录音开关设置；自动生成并通过网络传输记录序号；原始记录无权用户不可修改；按记录序号、日期、时间、来话号码等条件检索回放，实现接处警录音文件与接警单实现关联查询；当记录信息超过设定的存储容量时，给出提示信号。

5、信息处理功能

信息快速检索查询；接处警信息的归类和建档；接处警信息的统计、制表、打印；接处警信息的整理和网上发布。

6、系统管理和维护功能

席位上岗、离岗登录；用户权限登记、设置；查询、统计、管理用户进入系统后的操作；系统基础信息的维护；实时监控有线线路、无线通信信道的工作状态和系统中各个功能模块的运行情况，在发生故障及意外情况时，及时报警；设置 IP 和用户的双向认证。

7、地理信息子系统功能

配合 110、119、122 接处警,实时地动态显示紧急电话报警点的地理位置和相关信息；与 AVL 系统结合，为车辆自动定位系统显示移动警车的实时位置（实时运行轨迹）；与图象监控系统结合，配合图像监控系统直观地选择监控点摄像机云台；与预案系统相配合，生成事件处置方案，辅助指挥调度人员进行决策与指挥调度；地图漫游、地图放大、地图缩小、信息查询、地图标注、图层控制、更新显示、显示全图；可进行地理信息的数据维护；当报警进入时，根据主叫用户电话号码、机主名称、装机地址等信息，在地图上自动定位报警地点；测量地图上任意两点间或一条连续路线间的距离；自动计算从处警单位到案发地点的最佳或最短行车路径；点击地图上的案件标识，查询并显示相关案件的详细信息；根据案发地点和警力分布情况，自动确定案件的管辖部门；在电子地图上直观了解案发地周围的环境、交通状况、警力分布、消防水源等处警相关信息；点击地图上的电话图标、单位图标等，显示相关单位的相关电话号码，并自动拨号。输出打印选定的地图信息。

9.5.3 通讯指挥调度系统

通讯指挥调度系统分为数字调度系统和计算机辅助调度系统两部分。 1、数字调度系统

数字调度系统完全综合了调度机和大型局用交换机的优点，不仅具有调度机的内外线调度功能、排队功能、录音功能，而且综合了局用交换机强大的交换、组网能力，提供给用户众多新业务、数字业务，为控制中心操作人员提供一个强大和调度平台。主要功能包括：

（1）调度直呼分机，呼叫中继（2）调度呼分机多方通话，组织会议

（3）调度应答分机与外线用户，电脑话务、中继汇接（4）调度智能应答分机或中继呼叫，计费系统（5）集呼、选呼、组呼，远程维护

（6）调度强拆、强插、监听用户或中继，调度台的测试、对讲、清铃、蜂音

（7）分机出局局向限制功能，出局缩位拨号功能（8）分机弹性编码设置，显示主叫号、主叫岗位名称

（9）用话机有紧呼键即能达到紧呼功能，分机等级设置、模拟中继类型设置、离位服务设置

（10）视频联动，夜服功能，语音信箱 2、计算机辅助调度系统

计算机辅助调度系统主要包括GIS系统平台和预案指挥调度子系统。它可以和其他业务的GIS图层数据库实现关联，通过对数据的时空分析和综合信息的全面掌控，研究制定指挥行动方案；还可以与社会联动单位的预案系统实现整合，完成应急处置预案的制定、演习和完善工作，有效地提高应急处置能力和工作效率。

9.5.4 预案知识库系统 9.5.4.1

系统简介

预案知识库系统通过统一的界面和接口，将预案需要的功能模块统一管理起来，是面向各级指挥中心，对预案进行数字化管理的系统，通过系统可以对应急预案事件进行管理，制定突发公共事件应急预案、专项应急预案和应急保障预案，为应急救援工作提供指导。

9.5.4.2 系统功能

1、预案管理（1）预案制定

按照国家、资阳市预案制定标准，提供总体预案、专项预案、部门预案、地方预案、企事业单位预案五个层次的预案模版，同时提供向导式的预案制定工具。

（2）预案调整

结合处理事件的响应、过程和结果，智能的建议预案的修改。

（3）部门关联审查

将新建预案和主责部门、预测部门和保障部门的预案进行关联审查，检查相关处置部门职能的冲突和空缺。

（4）能力关联审查

检验各级政府部门在应对各种事件时所拥有的人力、物力、组织、机构等处置要素的完备性、协调性以及最大程度减轻灾害损失的综合能力，检查预案的内容和现有处置能力的匹配。

（5）一键式预警联动

依据公共事件即将造成的危害程度、发展情况和紧迫性等因素，连接预警模型，按照一般（Ⅳ级）、较重（Ⅲ级）、严重（Ⅱ级）、特别严重（Ⅰ级）四个预警级别，通过短信、邮件、传真、电话自动通知相关负责人，将危险消灭在萌芽状态。

（6）一键式预案响应

依据各种可能造成的危害程度、波及范围、影响力大小、人员及财产损失等情况，在启动预案的同时，并从中提取出案(事)件发生时间、地点、性质、通信联系方式、案情简要描述等关键信息，通过短信、邮件、传真、电话自动通知相关负责人，实现人员、物资的快速部署。

（7）日常演练

能够最大程度的模拟现实，考虑到演习人员和演习对象的承受能力，周密设计，精心组织，避免或减少由演习带来的公众恐慌和社会压力，尤其不能造成不应有的诱发事故，导致人员生命财产损失。同时节约演练的高额成本。实现事件处置队伍的单项演练、组合演练、全面演练和演练总结。

（8）战术标绘

当发生重大事件的时候，通过战术标绘工具发布形成战术标绘图。 2、关联搜索（1）搜索设置

输入搜索名称、周期，选择年、月、日、时、分、秒；选择搜索方式；输入数据库连接参数。

（2）文件分类及权限设置

维护文件的分类名称；选择系统用户组的权限；刷新显示文件树形结构和权限。

（3）文件信息维护

维护文件信息，包括标题，关键字，文件内容，附件，分类方式。（4）文件查询

输入查询条件，在文件表中检索符合条件的记录，单击某一文件显示文件详细信息。

（5）知识地图查询

在文件表中检索此文件分类名称的全部文件，显示查询结果，单击某一文件显示文件详细信息。

（6）同义词维护

输入词汇群组选择一个词汇群组，输入同义词，保存词汇群组，保存同义词。

3、专家定位（1）信息收集

通过手工录入和关联搜索，将相关的专家进行各种相关信息的采集。（2）查询/修改

通过各种方式实现对专家的查找。（3）信息分析

对各类的专家进行统计分析（4）选择专家

能够根据事故的地点、起因和事件的演变过程，自动的现实相关专家查找。

9.5.4.3 技术实现

1、工作流技术

利用工作流引擎，实现了对政府处置体系的领导组织结构、处置工作流程改变时的自适应。工作流引擎可以实现各类处置工作领导组织结构的建立；处置工作流程的建模、执行、监控、分析、度量和优化。其利用可视化的流程设计工具，进行处置指挥过程的建模；其支持串行、并行、分支、汇合、循环、同步、子流程等流程逻辑结构，可以满足各类处置指挥复杂流程建模的需要；内含分布式技术，可以实现跨部门、跨地理范围的多流程协作和流程自动化；

利用图形化的流程监控工具，可以实现即时动态监控、跟踪流程执行状态和相关数据。

2、预案预配置技术

预案是针对设定的灾害事故的不同类型、规模及保护对象情况，合理使用救援力量，正确采用各种战术、技术，成功地实施减灾救援行动，最大限度地减少伤亡，降低财产损失而制定的。是处置指挥战斗中实行计划指挥的依据。通过工作流引擎将各类灾难的预案中的领导体系、组织结构、人物角色、工作流程等环节中涉及到的各类领导和工作人员的各种联系方式，比如：手机、座机、传真、邮件和其他通信设备，预制到系统中。在灾难来临时，可以通过“一键触发”，通过XML转换引擎和通信接口，将信息和政令分级别发给不同的人员，帮助政府快速、敏捷应对灾难。

3、XML转换技术

XML转换引擎和通信接口技术打破网络、区域、部门的限制，集成了GSM、GPRS、CDMA、视频、PSTN等协议和技术。在灾难发生时，将信息转化成每种接收设备都可以识别和接收的信息，根据预案自动启动手机短信、邮件系统、有线无线电话系统、视频会议、可视电话、传真等多种已有的、实时的通讯和处理方式，分级别将相关信息通知各负责人和相关工作人员，帮助政府以最短时间形成有效的组织和力量，在第一时间采取措施处理灾情。

4、动态跟踪反馈技术

有效、快速的应对灾难，不仅需要高效的组织、协同一致的工作、科学的决策、快速的响应，也需要将现场情况及时动态的反馈到指挥中心，方便领导指挥调度和科学决策。预案管理中利用各种通信接口、XML转换引擎、GIS服务引擎，实现对现场信息的动态跟踪反馈，并且通过“一键触发”，时时将现场、指挥中心和其他领导、部门紧密联系起来，实现统一指挥、统一行动、协调工作，提高处置效率和打到最好的处置效果。

9.5.5 视频监控系统 9.5.5.1

系统简介

视频监控系统以一套基于IP网络，集视频调度、视频监控、语音调度、数据呈现等功能于一体的多媒体通信系统。系统采用软交换技术和分布式架构设

计，以综合接入、互联互通、多级联网的系统平台特性，针对应急指挥和调度协同的管理需求，构建一套功能完善、便捷可靠、扩展性强、使用安全的综合视频通信平台。系统采用模块化接入设计，整体系统结构灵活多样，支持多种不同品牌视频编码器，支持视频智能分析及监控报警联动，实现与无线通信系统、卫星通信系统进行对接，支持与SIP电话、可视电话、视频会议等进行互联、互通。系统支持海量规模应用、支持多级组网、系统互联、多级组会、集中管理等多级联网功能。

大屏幕系统

9.5.5.2

系统功能

1、应急快速指挥

借助系统所具有的多级别指挥、多单位协同的指挥调度能力，平台将各级指挥中心、多个协同单位与前方多方现场连为一体。结合现场实时事态变化，实时地进行音视频信息的多方交流，进行多方决策及远程支援。

系统可支持通过预置各种快呼预案，支持视频调度及语音调度，支持单点指挥、多点指挥、多组指挥、多级指挥、插入指挥调度、强拆指挥调度、越级指挥调度、视频广播等多种指挥模式，确保指挥通信的快速、准确、高效。系统根据应急管理流程机制所配置制订的内部所独具的多种级别和权限模式设置，各级指挥员或管理者通过指挥调度终端可以向下级发布指挥和调度命令，上下

级各个部门、各级领导与下属之间可以实时地进行音、视频信息的双向交流，进行问题讨论和协同处置应急事件。

当重点危险源现场发生意外事故或设备发生故障，现场人员不能解决，各级领导和相关专家又不能及时赶到现场，此时可以利用系统的指挥调度功能实时的监视现场情况，并与现场人员进行语音实时交流，共同指导现场进行意外事故的处理，大大节省时间，提高工作效率。

2、重大危险源视频监控

系统的监控接入管理能力能够支持多家厂商的监控设备，兼容高清、标清、普清等多种视频码流，各级指挥中心利用本系统提供的功能，对各重大危险源进行视频监视，实现多路现场画面灵活切换、对远端摄像云台遥控，方便地组合显示多路视频画面等功能。

3、视频报警联动

当现场环境发生变化，环境采集设备可以将变化的过程和数值实时上传到指挥中心。借助报警系统，将现场传感器的报警信号输入监控系统中监控前端的报警输入口，通过报警联动服务器，完成报警联动的过程。重大危险源报警后，可以自动在指挥中心大屏幕上突出显示出该重大危险源现场的图像，同时以多级报警联动的方式进行应急联动指挥。

4、扩展互通

系统能够支持与标准H.323视频会议系统、VOIP语音电话、可视电话、专业数据影像、无线集群等业务的互联互通，可实现音视频信息的共享，实现将多平台的音视频汇集到指挥调度系统中，并能够将自身的信息资源共享上传给上级指挥中心，实现真正的多平台互联互通、统一化联网应用。

5、重点危险源录像

为了实现对重点危险源的现场情况进行实时录像，报警联动录像、指挥过程录像，系统采用集中录像的方式，各单位可以在其权限内，通过VOD点播的方式回放录像，调看权限范围内的录像文件，包括对重大危险源的本地实时录像。

6、移动指挥及无线视频接入

由于地理环境的复杂，目前部分有限网络没有到达危险源区域，为了将危险源区域的图像实时上传，系统将使用无线传输的技术。该系统可以支持多种

无线信道的接入，如卫星、微波、3G等，可以灵活地配置。无线视频接入系统设备将主要部署在多辆移动指挥车内，通过车内移动指挥终端设备、音视频输入输出设备、无线通信设备等，实现远程移动可视化指挥调度功能、远程视频浏览功能等功能，这样实现现场随时随地与指挥中心的音视频双向互通，达到信息交互的完整和准确。

10. 数字广播系统

10.1 系统概述 10.1.1 建设概况

智慧城市数字广播系统设计是为了智慧城市游客提供日常自动化的背景音乐、业务寻人通知播报、紧急疏散、紧急调度、引导游览的。背景音乐要求能够根据智慧城市各区域不同环境及气氛播放不同的音乐内容，达到同时播放多路音源，本地可以灵活插播、寻人广播、应急广播等措施，完成背景音乐的要求后，安全指导性的紧急广播也是非常重要，若大的项目要能够实现与消防中心自动联动报警，紧急时刻本地子系统或者呼叫站能及时触发紧急广播，并结合总控端给来的信号能通过广播指导疏散游客至安全场所，同时对其他的不同项目又不会造成大面积的恐慌，所以采用数字式的邻层报警方式，同时子系统或者副控可以达到集中总控及灵活分控的目的。所以，这决定了系统的设计要求达到清晰、智能、安全、可靠。在设计中，从全方位着眼考虑，扬声器的布局要求与项目周围环境、空间的融合，有效利用声音的反射和折射，为音乐和声音的传播，配置更合理的安装角度和距离。

IP网络广播系统，采用了当今世界广泛使用的TCP/IP网络技术, 将音频信号以标准IP包形式在局域网和广域网上进行传送，是一套纯数字传输的双向音频扩声系统。彻底解决了传统广播系统存在的音质不佳，维护管理复杂，缺乏互动性等问题。该系统设备使用简单，安装扩展方便，只需将音频终端接入计算机网络即可构成功能强大的数字化广播系统，每个接入点无需单独布线，真正实现计算机网络、数字视频监控、公共广播的多网合一。

功能方面：可独立控制每个终端播放不同的内容；

传输方面：音频传输距离无限延伸，可运行在跨网关的局域网和Internet网上，支持大范围的重要型应用，实现快速、可靠的信息沟通；

音质方面：终端输出音质接近CD级(44.1K, 16bit), 满足对声音质量要求较高的场合；

可靠性方面：服务器与IP网络主控机(嵌入式操作系统)提供双重保险，如一方故障，另一方可接管所有终端，确保系统基本功能正常运行。主控机与终端均采用工业级芯片，全天24小时工作，完全不受病毒侵扰。借助于成熟的以太网络硬件，整套系统无需额外的线路维护。

10.1.2 需求分析

1. 前端音箱分布要求

综合考虑到人流量、性价比、人流在项目内的分布特点等因素，本规划设计数字广播前端点位分布主要分为：项目内园区出入口、驿站出入口、广场、特色项目、园区休息区、主要建筑物内等区域设置等人员可能停留区域部署，室外音箱根据位置的不同，可以采用防水音柱、草坪美化音箱等多种方案。

2. 终端与分区设计要求

1）、根据各个主题项目的功能主旨和地理位置划分，结合项目运维管理需求，初步设计根据7个分机房的位置进行分区广播。

2）、自由组合分区功能：同时终端和分区可任意组合，通过控制软件界面实现随时重组，而无须另行布线。

3. 传输网络设计要求

系统主干广播网络线采用数字化网络传输。

1）、采用网络化广播系统，利用现有局域网并实现多网合一，充分利用项目计算机网络架构，采用IP网络数字广播系统进行设计。

2）、突破传统公共广播只能下传和只能由机房集中控制的格局，具有互动功能，终端具有点播和控制及无线遥控功能。

3）、在局域网和广域网可接入的任何地方可实现远程控制。

4. 消防报警联动功能要求

系统分区与防火分区采用一致性，当发生火灾时，消防报警主机将相应的区域报警信号传送至本系统，系统平时控制中心处于热备状态，一旦发生紧急

情况，即可受控于消防联动信号，不论系统处于任何状态，根据预选设定都可马上进入全区报警或N+1至N+4邻层报警。系统可根据预先设定音频信号(双语音播放)，将相应的音频信号播放至发生火灾区域，以方便工作人员及旅客能够快速的选择合适的通道进行逃难，避免最大程度的损失和人员伤亡（备注：本系统消防音频信号可以根据需要录制相应的声音，如二层楼发生火灾，可以录制“二楼发生火灾，请往二楼中梯逃生”等最佳提示，以方便人员快速撤离）。

5. 平台设计要求

1）、可实现多种音频源，如DVD、MP3、数字广播等多媒体音频数据，定时循环播放、多套节目播出、分控点广播讲话和消防报警联动功能，以及其他辅助应用。

2）、主控室：广播主控室设在项目综合指挥中心内，实现全项目范围及指定分区的公共广播，消防报警器放在综合指挥中心和各特色园和片区广播控制室（各汇聚弱电机房），当有报警信号时，指定终端自动播放报警铃声。

3）、分控点：在各分区可选配安装IP网络寻呼话筒，比操作工作站电脑更简便，通电后2秒钟即可广播讲话，从而实现各片区、场独立通话、背景音乐播放等功能。

4）、系统可设置一个主控室和多个分控室，主控室可控制所有系统设备，具有最高权限，能够对系统进行分区、全区广播讲话，音乐播放等功能，同时其可给分控授权操作，分控操作员只能控制授权的操作，并且不同权限的用户其有优先等级，以方便使用者更好的管理广播系统。

5）、经过授权的领导可以无需到广播控制中心，只要在自己的电脑安装广播专用分控软件，经计算机的麦克风可实现远程讲话，可以对全区，分区，分组讲话，也可以通过电脑上传自己制作的节目，通过广播专用软件编辑程序可定时播放音频节目，实现定时定区域的播放操作，实现无人职守功能，如按时间作息表制作好程序后，系统将自动执行定时程序。

10.1.3 设计原则

1）、先进性和可扩展性

现代信息技术的发展，新产品、新技术层出不穷。因此本系统在投资费用许可的情况下应充分利用现代最新技术，以使系统在尽可能长的时间内与社会

发展相适应。但由于现代科学技术的飞速发展，故必须充分考虑今后的发展需要，设计方案必须具备前瞻性和可扩展性。这种可扩展性不仅充分保护了投资，而且具有较高的综合性能价格比。本设计对此均作了充分考虑，选用了先进的IP网络数字广播系统，极便于系统的扩展和升级。

2）、科学性和规范性

数字广播系统与一般音响系统不同，是一个先进复杂的综合性系统工程，必需从系统设计开始，包括施工、安装、调试直到最后验收的全过程，都严格按照国家有关的标准和规范，做好系统的标准化设计和科学的管理工作。

3）、安全性和可靠性

数字广播系统的建设，直接影响着使用效果、项目外部形象及投资回报，因此系统设计必须安全、可靠，应充分考虑采用成熟的技术和产品，系统建设从线路敷设、设备安装、系统调试以及对使用方人员的技术培训等方面，都必满足可靠性的要求。

4）、系统配置经济性

遵循数字广播系统选用设备的性能和价格之比达到最佳的原则，保证数字广播系统配置具有很高的经济性和实用性，综合吸取当前国内外数字广播系统的先进技术的特点，确保设备先进、格调高雅、音质优美、功能强大，操作简单。

10.1.4 设计依据

系统实施所涉及的技术标准和规范，产品标准和规范，工程标准和规范，验收标准和规范等必须符合国际、国家和省有关条例及规范，至少应包括：

1）、模拟节目信号 GB6278-86

2）、声系统设备互联的优选方法 GB/T14197-93 3）、厅堂扩声特性测量方法 GB4959-95 4）、厅堂扩声系统声学特性指标 GYJ25-86

5）、厅堂扩声系统声学特性指标与测量方法 WH01-93 6）、会议系统电及声频性能要求 GB/T15381-94

7）、客观评价厅堂语言可懂度的“RASTI”法 GB/T14476-93 8）、厅堂混响时间测量规范 GBJ76-84

9）、《火灾自动报警系统施工及验收》 GBJ50166-92

10）、《民用建筑电器设计规范》 JGJ/T16-92 11）、《民用建筑电缆电视系统工程技术规范》 GBJ-89

12）、《电网电源供电的家用和类似一般用途的电子及有关设备的安全要求》GB8898-88

13）、《建筑设计防火规范》 GBJ16-37

10.1.5 设计范围

针对项目实际情况及各个分区的技术要求要求，我公司成立专门项目小组并对现场多次实地勘察，组织具有多年设计和施工经验的项目技术人员，编制了一套整体的技术解决方案。

1）、充分考虑项目公共广播分区系统应和整个项目的生态及高科技相结合，结合甲方要求进行需求性设计，音频系统设计不仅仅只是为了满足公共广播的基础功能，而是应该建设成为一套全方位、人性化、数字式的综合性音频系统，以公共广播、语音通讯系统的功能为基础设计。总体以互联网IT技术及普通音频线缆为主要传输介质，采用TCP/ IP作为主干，构架起整个项目的多个平台点，确保项目每个分控中心都能收到总控中心广播系统的控制，并为后续提供无限的扩容空间。

2）、项目数字广播系统建成后，向公共场所及特定区域提供可靠的、高质量的背景广播。该系统平时勃发播放背景音乐及业务广播，当发生突发公共紧急事件时，分控系统为总控系统留有最高权接口，广播权通过总控的指令强行切换至紧急广播状态，总控中心设备具有最高优先控制级别，7分区公共广播的播放内容，由总控的指令实现强行切换，并以最大音量同时向紧急广播区域播放不同的紧急广播（疏散与警告信息）内容。

3）、公共广播中的应急广播，兼容多国语言播放，可选择多种语言编辑警告内容和疏散信息，编辑完成后以数码的方式记录在长期存储的介质内。

4）、系统各分区背景广播的选择可根据各片区的功能特点，通过各个分控中心控制主机从音乐源中任意选择适合本区的音乐内容，保证不同的分区同时可放送不同的背景广播节目，并通过控制主机将音量调整到合适水平，输出至相应前置功放。

5）、项目项目数字广播系统集成项目广播、背景音乐、应急广播等多种功能于一体，实现项目内无人值守的全自动广播。

10.2 设计方案 10.2.1 系统总体拓扑图

消防信号输入分控机房话筒IP消防智能接口数字调谐器CD/DVD/MP3播放器中心机房调音台IP网络控制中心协议转换器分控机房分控机房计算机通讯子系统网络适配器网络适配器网络适配器网络适配器（对接室内消防广播）前级功放前级功放前级功放原系统功放无源音箱无源音箱………………无源音箱各场馆自己内部公共广播系统分区1分区2其他馆-广播分区场馆内其他广播系统………等合计18个广播分区

10.2.2 点位分布设计

由于项目展区属于公共园区，综合考虑到人流量、性价比、人流在项目内的分布特点等因素，本规划设计数字广播系统主要项目内园区出入口、驿站出入口、广场、特色项目、园区休息区、主要建筑物内等区域设置等人员可能停留区域部署，室外音箱根据位置的不同，可以采用防水音柱、草坪美化音箱等多种方案。对于建筑物周边、广场、出入口等人员停留区域，根据建筑物类型和人流预估，设计音箱数量。

1）、数字广播系统点位分布

根据项目特点，我们把整个项目分7个广播分区，共安装音柱数量为500个，草地音箱为200个。

2）、线路传输合理使用

布线设计说明：定压分区广播布线，采用无源音箱，布放1条总线，音箱并接方式连接后端功放。

布线方式：总控制中心至每个分控中心采用总控现有的IP网络，每个分控室至前端喇叭使用音频线。

布线种类：RVVP2*2.5护套线。传输方式：

IP网络广播基于现有总控计算机网络建设，安装时无需单独布线，基于IP网络的节目传送，是真正意义数字网络广播，系统模拟部分采用有线定压传输方式，传输电压70V/100V。

对线路衰耗要求：

广播功放不同于HI-FI功放。其最主要的特征是具有70V和100W恒压输出端子。这是由于广播线路通常都相当长，须用高压传输才能减小线路损耗。

广播功放的最重要指标是额定输出功率。应选用多大的额定输出功率，须视广播扬声器的总功率而定。对于广播系统来说，只要广播扬声器的总功率小于或等于功放的额定功率，而且电压参数相同，即可随意配接，但考虑到线路损耗、老化等因素，应适当留有功率余量。按照‘规范’的要求，功放设备的容量（相当于额定输出功率）一般应按下式计算：

P=K1．K２．Σ P0 （2）Ｐ－功放设备输出总电功率（Ｗ）

P0－每一分路（相当于分区）同时广播时最大电功率 P0＝Ｋi．Ｐi

Ｐi－第i分区扬声器额定容量Ｋi－第i分区同时需要系数：服务性广播客房节目，取0.2～0.4 背景音乐系统，取0.5~0.6 业务性广播，取0.7~0.8

火灾事故广播，取1.0

Ｋ1－线路衰耗补偿系数：１.26~1.58 Ｋ2－老化系数：1.2~1.4

据此，如果是背景音乐系统，广播功放的额定输出功率应是广播扬声器总功率的1.3倍左右。

但是，所有数字广播系统原则上应能进行灾害事故紧急广播。因此，系统须设置紧急广播功放。对于全区域报警的广播系统,紧急广播系统功放的额定输出功率应>=广播扬声器总功率的1.3倍,对于设置了N+1~~N-1紧急广播的系统.根据‘规范’要求，紧急广播功放的额定输出功率应是广播扬声器容量最大的三个分区中场声器容量总和的1.5倍。广播功放的种类和型号有很多种,选择哪种规格，取决广播系统的具体结构和投资。

10.2.3 节目源设计

1）、数字调音台：直播室内主播与编辑节目通过数字调音台混音输出； 2）、数字协调器：用于收听特点节目和重要广播； 3）、DVD播放器：用于播放高品质音乐节目；

4）、数字音乐播放器：用于比方内置的MP3音乐，并可编程定时播放。 5）、其他子系统对接系统，如项目智能自控平台。用于业务性广播：

提供寻呼麦克风，可以选择任意区域或全区进行业务或者信息广播。内置高音质拾头以改善话音、音质以及语言清晰度。麦克风呼区按照广播分区进行划分。操作时，选择所寻呼的区域，系统将自动中断被选区域的音乐节目，播送被寻呼区域的广播内容。

用于专业性播音：

拟建立专业播音室，每个分控直播室包括：4台电脑、3套电容吊麦、3套头戴监听耳机、1台耳机分配器、1台调音台、1组监听音箱，用于广播运营单位和项目文化部管理者使用。

10.2.4 线路管道敷设要求

随建筑施工同步敷设管道时，有条件的应将管道敷设在建筑体内，并要求按建筑敷设规范选用管道的材料和敷设方式，对不便敷设在建筑体内的管道，

宜采用镀锌钢管、PVC管，封闭金属线槽或封闭PVC线槽（各管线之间应该有20公分以上的间隔）。

对大型系统的主干线，应采用封闭金属桥架敷设，强电和弱电桥架应严格分开（不得与照明、电力线同线槽敷设），分别走各自的弱电井。

10.2.5 防雷接地要求

雷电及电气干扰，对公共广播的恶性影响很大，会造成交流噪声和设备芯片老化甚至烧焦，因此，严格的系统防雷接地，除了保护设备之外，还起到净化音质的作用。接地装置可以集中接至建筑体的防雷保护系统。

机房强电要有严格的接地措施，并配有漏电保护开关供电源时序器(或电源管理器)接线，其接地电阻不大于4欧姆。

室内广播设备、机柜设专用地线接至接地装置，其接地电阻不大于4欧姆。

10.3 系统功能 10.3.1 数字化网络传输

系统为数字化数字广播系统建设，系统基于以太网，采用TCP/IP协议方式传输，可实现跨网段控制、监控和多用户管理,并且可以与视频监控系统进行联动控制管理。在网络通畅情况下，主控室通过广播专用软件可监控系统运行状况 (即能监控：网络适配器的工作状态和连接方式)，以方便工厂系统管理人员能够快速的了解广播运行情况，并且广播专用软件可以设置广播监听专用终端，通过软件操作可以实时的监听任意一个终端设备的工作状态，如音量大小、播放内容等，分控广播系统采用传统智能广播系统进行传输，使系统更稳定可靠性；

10.3.2 广播系统具有高度可靠性

为网络广播系统为了确保系统的绝对稳定性，功放的冗余性设计有：a、功放的功率是以扬声器的总功率乘1.3倍作为冗余。

10.3.3 系统具有主控和分控控制功能

系统可设置一个主控室和多个分控室，主控室可控制所有系统设备，具有最高权限，能够对系统进行分区、全区广播讲话，音乐播放等功能，同时其可给分控授权操作，分控操作员只能控制授权的操作，并且不同权限的用户其有优先等级，以方便使用者更好的管理广播系统；

10.3.4 具有将模拟信号转数字信号功能

系统实现数字化传输，避免传统音频广播线路传输衰减与噪音，让声音能够达到CD级高保真音质，同时系统支持各种音频格式的数据网络传送（MP3、MP2、AAC、WAV），具有完善的网络适应能力，并且系统可以实时的采集外接设备自用电台、录音机卡座、CD播放器、MP3播放器、麦克风音频信号后压缩成高保真音质数据流存储至服务器，并可按要求同时转播到指定的终端设备，用于插播外接节目广播及广播通知等，系统服务器具有扩展四块声卡以采集外控音源，即终端设备可以单独接收服务器的个性化播放节目。

10.3.5 系统具有50级用户权限设置

经过授权的领导可以无需到广播控制中心，只要在自己的电脑安装广播专用分控软件，经计算机的麦克风可实现远程讲话，可以对全区，分区，分组讲话，也可以通过电脑上传自己制作的节目，通过广播专用软件编辑程序可定时播放音频节目，实现定时定区域的播放操作，实现无人职守功能，如按时间作息表制作好程序后，系统将自动执行定时程序；

10.3.6 自由组合分区功能

每台网络适配器可通过广播专用软件可以对每个适配器进行管理控制，可将不同的网络适配器组合成不同的大区域，以适合系统更好管理，如将每栋大楼组合成为一个大区域，这个系统组合灵活，无需进行物理线路更改，只需软件操作。

10.3.7 背景音乐和消防联动语音报警功能

系统分区与防火分区采用一致性，当发生火灾时，消防报警主机将相应的区域报警信号传送至本系统，系统平时控制中心处于热备状态，一旦发生紧急情况，即可受控于消防联动信号，不论系统处于任何状态，根据预选设定都可马上进入全区报警或N+1至N+4邻层报警。系统可根据预先设定音频信号(双语音播放)，将相应的音频信号播放至发生火灾区域，以方便工作人员及旅客能够快速的选择合适的通道进行逃难，避免最大程度的损失和人员伤亡；（备注：本系统消防音频信号可以根据需要录制相应的声音，如二层楼发生火灾，可以录制“二楼发生火灾，请往二楼中梯逃生”等最佳提示，以方便人员快速撤离，

并且功能房，如客房区域有独立音量控制器处将强制音量控制打开，以播放相应音频信号；）

10.3.8 定时节目播放

IP网络广播的每个网络适配器T-6701都具有独立的IP地址，可以单独接收服务器T-6700XA的个性化定时播放节目，定时播放的操作，也可以通过电脑在网上设置上传节目等，利用此功能可以实现一些固定的音乐播放，如的一些宣传广告语等音频信号。

10.3.9 领导网上讲话

IP网络广播能够实现领导网上讲话，领导无需到广播中心，通过与系统服务器连接的任意一台计算机，便可以经计算机的麦克风实现远程讲话，可以对全区，分区，分组讲话。此功能应用于逢年过节或特殊时期，领导需要进行问候祝福或紧急通知，其无需到广播室，通过自己办公室分控电脑则可实现广播讲话。

10.3.10 音频实时采播

IP广播节目实时采播功能，能够将：自用电台、录音机卡座、CD播放器、MP3播放器、麦克风等节目实时采集实时压缩成高音质数据流存储到服务器，并可按要求同时转播到指定的网络适配器，用于插播外接节目广播及广播通知等。

10.3.11 自由点播

可通过遥控器控制分布在每个点的网络适配器完成音频服务器中资料库的任意点播。操作简单方便，只需要用红外遥控器选择相应的节目内容，播放即可。此功能可以根据不同的区域，管理人员自行选择自己喜好的音乐节目，如候不同区域选择的音乐可以不一样的。

10.3.12 音频触发启动设备

IP网络广播的网络适配器，提供音频触发接口或自带触发电源。广播讲话的声音及音乐接入网络适配器时，可以根据语音信号的有无，自动切换功放或有源音箱的电源，或联动其它设备正常广播，此功能应用主要是提高设备使用寿命，避免网络适配器和功放长时间通电，电子元器件老化，减少寿命。

10.3.13 数字音源库

系统资源服务器可存储数千小时以上的音乐节目或语音节目。用户可以根据实际情况扩充存储空间或更换服务器，或提升系统性能。

10.3.14 广播监听

系统可设IP网络音箱作为系统监听使用，实现单点选择监听功能，实现机房对各个点实时的监控。

10.3.15 节目播放方式及音量调节

系统每一项播放功能都有节目播放方式及音量大小的调节功能。

11. 无线对讲系统

11.1 系统概述 11.1.1 概述

根据国家无线通信系统的规范标准，在园区内建设一套标准无线通信系统。为了解决园区的无线通信问题，满足单呼，组呼，自由编队，终端管理，必须建立一套实用、功能强大的通信系统。依托数字通信系统先进的无线通信技术，强大的调度功能、及成熟的部门编号应用方案。本系统可以无线覆盖整个园区，在园区内实现系统的多组通话以及统一指挥调度功能。

数字技术的引入高质量高保真的数字语音通话，实现个呼、组呼、设备远程监控、双时隙通话、短数据传输（短信息）等功能。该通信系统具有反应快捷、功能强大、一呼百应等通信优势。

11.1.2 设计原则

依据目前的现状，设计针对世园会的数字无线对讲通信系统解决方案，该方案遵循以下设计原则：

a) 先进性原则：

根据高起点、高标准要求、采用国际上先进的数字移动通信标准技术、自动化控制技术和管理技术，选用当前具有国际先进水平和成熟的商品化产品，满足应用及远程网络管理需求。

系统整体上从资源配置（包括硬设备，技术手段）到功能用途等均有一定的领先水平。

b) 实用性原则

根据世园会的管理性质，必须强调系统的实用性，包括系统的硬件平台及应用软件，保证系统有良好的综合性能，同时系统应具有较高的应用效率。

c) 可靠性原则：

系统建设并投入使用后，将成为用户日常通信中不可缺少的工具，系统瘫痪的后果是难以想象的，因此系统必须稳定地连续运作，在单设备稳定运行前提下，着重考虑集成系统的容错设计，保证整个系统地稳定性。

系统的各项资源包括硬设备等的可靠性有一定的高标准，工作稳定，易于维护；在出现硬件故障时，要有可靠的备用手段。

d) 科学性原则

数字无线对讲通信系统是当今世界上较先进的通讯系统，应保证各工作单元相互之间协调一致、稳定运行、信息交互畅通，并有一定容错和抗毁能力；产品符合国际、国内有关工作标准。

e) 技术成熟性原则：

系统应尽量采用先进成熟的技术，使之建成后就能投入实际使用，达到设计的使用效果。

f) 易用性及可维护性

为使各控制中心和基站建成后，能方便地使用与管理。设计中优先考虑系统地易用性，即使用方便、简明易学、便于维护；对系统中关键设备应具有自检和自动恢复、断电保护、故障自动报警或隔离等功能。

g) 可扩展原则：

系统总体架构合理，设计容量适度，并且有可扩展性，在保护投资的前提下可增加资源扩容，包括通信覆盖及距离的增加。

11.1.3 需求分析

1、此次新建的整套系统，包括基站和手持终端均为数模兼容的，很好地实现了设备从模拟向数字的平滑过渡。

2、应急时所有站下的手持对讲机能够一呼百应，确保值班领导能够呼叫所有人员。

3、数字终端具有很强的抗干扰能力，不会受干扰频率和非法电台的影响。

11.2 设计方案 11.2.1 系统总体构架

此次无线对讲系统项目主要由以下四部分构成：

1）、基站设备：主要由数字中继台、电源、合路器、分路器、双工器、机柜、天馈设备等组成；数字中继台的作用主要是进行无线信号的覆盖，发射基站信号，使对讲机能收到清晰语音。同时能够接收到对讲机的语音及数据信号，并进行转发，实现网络内的互联互通；电源是将220V交流电转换成13.8V直流电后，给数字中继台供电；合路器是将三台数字中继台的发射端合成一路后，统一接入到双工器上；分路器是将三台数字中继台的接收端合成一路后，统一接入到双工器上；双工器是将经过合路器、分路器后的接收、发射合成一路，出来直接连接馈线做室内布线；

2）、光纤链路设备：可以利用现有的光纤链路（四芯单模光纤即可，如果没有需要再单独配置），确保光纤铺设到中心机房、A5服务区、起龙山、C3服务区、凤凰台区域，实现近端机与四台远端机的连接。

3）、手持终端设备：采用PD700数字对讲机，实现无线信号的收发，语音的呼出呼入。

11.2.2 方案整体设计

根据无线对讲的通信需求，建议使用数字通信系统，以保障园区内部露天部分的信号覆盖，使其内部管理、维护以及保安、保洁等人员享有方便、快捷地通讯。

覆盖网络应考虑的几个重点:

1、覆盖网络必须对外界的干扰小,并且不易受到其他同类设备的干扰。 2、在周围大量存在无线覆盖网络和对讲机应用的地段,不仅要考虑通信的覆盖面,同时也要考虑到无线电干扰的存在性 ,必须依靠更合理的设计来避免互相的干扰问题。

无线对讲系统，整体设计如下：

1、必须保证各个区域中都获得最佳的接通率。

2、考虑到无线电发射的电磁干扰对办公和辅助设备以及人体的影响，层内的场强和功率必须控制在最低的范围内。

3、整个指挥中心大楼内无干扰的100毫瓦的低辐射功率控制，对室外的信号泄漏低于标准要求的100米以内。在室内区域采用吸顶室内天线来实现狭小区域的信号覆盖，每套天线覆盖的区域互相连接，实现信号的无缝隙覆盖。

数字无线对讲系统，具体的方案为：

根据园区要求，我们拟选择以下工程方案：采用中转基站工作模式，其具有设备简单、无人值守、工作稳定可靠等的优点。

系统基站增加了手持机的通信范围和能力，快速、简便、经济地解决特殊的覆盖范围的问题，它为建立满足多种频段与功率等级要求的转发器提供了灵活的解决方案，该系统安装方便、结实耐用，在任何苛刻环境下更能体现优越性能，可适用于多种场合。

实现全自动无人值守：工作人员可以在覆盖范围内进行呼叫通话，不需专人值班，无需传话，直接对讲。

11.2.3 频率资源规划

我方建议在整个数字无线对讲通信系统内使用三对400MHz频点，这样能够有效的提高站点间的频率间隔，充分避免同频率干扰。

11.2.4 对讲机房设计

建议园区机房要做统一规划，以便今后扩容后系统设备的整齐和美观，最大程度保持一致性。机房需要有稳定电源供电、良好的通风性能、设备可进行接地等必要的机房条件。

12. 运营管理中心

12.1 系统概述

运营管理中心是通过多种方法分析，对于整个园区运行状态，一目了然。通过这些分析为服务资源、业务流程进行调整优化，提升办事效率及满意度，运行管理中心是指挥调度中枢，也是接待嘉宾的窗口。

新型智慧园区建设的关键是信息互联互通，消除 \" 信息孤岛 \"，打通信息壁垒，避免重复建设。智慧园区 \" 运营管理中心 \" 可视化集成平台是新型智

慧园区建设全生命周期的 \" 最后一公里 \"，打通了整个园区中政府、城市治理、社会民生、企业经济信息互联互通 \" 大动脉 \"。

12.2 设计方案

运营管理中心建设主控西安市LED大屏系统，建设机房服务群以及办公坐席。整个建设体现出运营中心场地装修级服务，面积300平方米左右，集中展现整个园区的信息化建设成果。

分为大屏功能服务区，机房服务区和坐席管理区。 12.3

效果示意图

13. LED大屏显示系统

13.1 系统概述 13.1.1 概述 13.1.1.1 项目背景

打造一套园区的LED大屏显示系统综合服务平台，不仅可以将所有需要发布的信息都可以在第一时间编辑、制作、传输并发布到指定屏幕上显示，大大降低了人力发布的工作量，缩短了发布流程，提升发布效率和正确性，而且借助其统一管理平台根据需要可通过所有LED显示终端播放相同的内容，达到资源共享；也可播放不同的内容，实现个性化管理，这不仅节省了人力成本，也降低了维护成本，更重要的是使园区信息化水平大幅提高，管理更加方便、灵活，大大提高园区信息化水平。

1.园区内部共享与交流平台：以内部园区文化宣传、知识共享和管理LED大屏显示系统为目标，与园区办公自动化与管理信息化平台结合，提供园区内不同区域不同地点的定向LED大屏显示系统平台。

2.游客服务平台：通过完善的LED大屏显示系统，让游客及时掌握园区动态，提供园区及周边的交通、人流等信息，方便游客游览。

13.1.1.2 系统简介

LED大屏显示系统是一个用于数字化媒体内容发布与播出的专业系统，该系统可以替代张贴海报等旧有的宣传方式，将需要宣传和发布的内容以数字化的方式编辑制作，通过网络化的方式传输到指定的宣传发布点进行播出，并以信息化方式进行集中管理，以达到信息的定向发布、实时更新和集中管理目的。

系统结构示意图如下：

图1-1：系统结构示意图

13.1.2 需求分析 13.1.2.1 项目需求

本项目要求实现：

一套依托园区光纤网络，采用先进的数字编解码和传输技术，软、硬件相结合的系统，以前瞻性、拓展性、先进性、实用性为设计思路，采用集中控制、统一管理的方式，将视音频信号、图片、字幕等多媒体信息通过网络平台传输到显示终端。同时，采用分布式、高度灵活的部署方式。为游客提供及时园区周边综合信息（交通信息、酒店信息、运营指令、路面情况、气象资料）、园区旅游服务资讯（各景点介绍，天气预报、园区交通信息、医疗救助等服务信息），从而服务游客。

13.1.2.2 需求分析

根据项目需求分析后，整体解决方案满足如下要求：

1、文本信息：提供实时文字、普通编制文字的发布显示，包括编辑的文字内容等，同样，系统支持紧急插播的文本内容，如紧急发文或工作通知等；

2、图片信息：提供图片形式的发布显示，包括普通图片或PPT图片等图片形式，此外，系统还支持园区发布的个性化图片形式，如实现引导功能的电子地图等特殊图片格式；

3、视频信息：满足园区内部制作的园区宣传片等视频播放功能； 4、权限功能：系统提供具备多级特定自定义权限功能。

13.1.3 设计原则

1、可靠性

系统可靠性的设计关系到电子屏的使用寿命和保护用户投资的目的。

➢ 保证所提供的所有设备是全新的、从未使用过的。

➢ 保证采用先进的技术、优质的原材料和零部件、一流的工艺、严格的质量管理为用户提供技术先进、质量上乘、外表美观，并且完全符合合同规定的质量、规格、性能要求的产品。

➢ 保证所提供的设备,包括主要设备及元器件在正确安装、正常使用和维护

保养的情况下，能达到规定的性能和寿命。

➢ 设计采用超大规模集成电路和超大规模可编程集成电路以克服过多的小规模集成电路给系统带来的不稳定性，保证系统的可靠性。

➢ 对系统进行全面的配电安全设计和监控保护。 ➢ 高水平、强有力的设计队伍。 ➢ 完善的售后服务体系。 2、可容错性

➢ 元器件采用高速大规模CMOS器件，极强抗干扰容错能力。 ➢ 数据保存采用各种容错措施。 ➢ 程序误操作，实时提示。 3、可维修性

➢ 模块化结构设计，设备更换简单、快捷。 ➢ 电路设计简洁、干净，故障容易判断、处理。

➢ 全彩色显示模块由像素组成，像素排列十分整齐，由于是长方形显示模块，很容易从屏体背后将显示模块拆卸下来，方便维修。

➢ 显示屏由单元模组组成，模块化结构设计，方便安装、调试和维修。控制系统的计算机网络设备和相关的弱电设备集中安放在控制室，方便日常操作和设备管理。

4、可扩展性

➢ 标准化接口设计，控制系统升级不会影响显示系统改造。 ➢ 标准化、模块化软件设计，可随操作系统升级。 5、防高温

电子屏工作时的热源主要是夏天的太阳辐射能、电源转换效率等原因产生的热能。针对性的解决方法如下：

➢ 采用浅色装饰材料以减少太阳能的辐射； ➢ 采用高转换效率的开关电源，以减少产生的热能；

➢ 采用低电压恒流驱动LED灯，以减少在限流电阻上产生的热能； ➢ 驱动电路采用低功耗的CMOS集成电路，降低功耗；

➢ 在屏体底部采用轴流风机向屏体内吹入环境自然空气，在的顶部设置出风孔，达到强制屏体内部形成空气对流散热去湿的目的；

6、防水防尘防腐蚀

潮湿、雨水、灰尘、酸雨等是电子产品的最大敌人，处理方法如下： ➢ 利用屏体工作时产生的热量和通过强制措施产生的空气对流达到屏体内部干燥的目的

➢ 采取单元箱体用防水胶圈对LED模组和箱体衔接部分进行密封，箱体侧面设置防水槽，箱体之间使用玻璃胶密封等措施达到防雨水的目的

➢ 所有元件与电路板之间采用直接焊接，尽量避免使用接插件，从而避免灰尘和潮湿的影响，对于必要的接插件，采用耐腐蚀的密封式接插件。

7、防雷和防火

➢ 良好地线系统、避雷装置接地保护及防雷保护

➢ 从目前防直击雷器件的使用情况看，避雷针、网带、法拉弟笼防止建筑物遭直击雷侵害效果较好。

8、防触电

➢ 在配电箱中，对每一路馈入屏体的交流电，均通过空气漏电开关保护。 ➢ 采用电子屏专用开关电源，它具有电源噪声滤波器、开机延时启动、雷击保护、过流保护、过压保护、漏电保护等功能，体积小、功率大。

➢ 系统现场布线、信号线与交流电源（动力线）严格分开。 9、电磁兼容性

➢ 在开关电源电流的馈入端加装L CΠ 型滤波网络，确保开关噪声不对电网造成污染。

➢ 电源电路采用专用的LED电子屏电源及屏蔽措施：雷击保护电路——电源噪声滤波器——开关稳压电源——过流保护——过压保护标准程式。

➢ 电源、电路的良好电磁屏蔽。

➢ 板内、板间、机箱间的接口电路隔离和抗干扰设计。

➢ 为了系统可靠性，电源采取了降额使用的措施，预留充分余量（用30A的电源提供20A的负载）。

➢ 对外接口采用平衡电流驱动。

13.1.4 设计标准

➢ 架构上的先进性，可扩展的应用部署灵活。 ➢ 易于部署和维护，系统模块化结构。

➢ 统一互联管理，支持分布式多级部署结构。

➢ 融合网络传输，支持各种承载网络，适应各种联网技术。

➢ 简单便捷的操控，采用B/S架构，开放式的友好界面，让信息管理发布

简单便捷。

➢ 向现场的受众提供出色数字媒体内容的解决方案。 ➢ 基于网络向各种显示终端进行实时广播传输。

13.2 系统设计 13.2.1 系统拓扑图

图1-2：LED大屏显示系统拓扑图

如上图所示，显示系统为同步显示系统，同步即后台服务器操作终端显示器上的内容可完全同步地在大屏上显示，这种结构的显示屏由大屏控制器、控制卡、屏体等组成，相互连接的关系如图所示，图中控制主机为一台PC计算机，内含专用显卡、采集卡。

控制主机一方面负责显示内容的信息收集，并将待显示的内容按LED屏要求的特定格式和一定的播出顺序在全彩LED大屏显示器上显示；另一方面交显

示器上显示的画面通过采集卡，向控制卡上发送，采集卡是用于显示卡到LED屏之间的接口卡，通过该卡，显示屏上的数据，实时向大屏传送，控制卡接受到来自采集卡的信号，将接收到的信息自动分配到LED显示屏的每个显示单元，并向显示屏提供完成显示所需要的各种信号。使LED显示屏体可再现色彩逼真、动态感强的画面。屏体是LED最终显示单元，它由LED显示模块框架、电源和各种信号连线而构成。

13.2.2 系统详细方案 13.2.2.1 系统组成

LED彩色户外大屏显示系统主要由中心控制计算机及应用软件、数据采集发送卡、数据采集接收卡、控制器、视频处理器、音响系统、大屏箱体支架、光传输设备、通信控制系统、配电系统等构成。

本项目为模块化结构，由若干独立子系统标准化的模块单元、系统软件、控制软件、结构框架、外装饰及综合布线等，经系统集成而成。大致可分为以下几个部分：

◇ LED全彩色显示屏屏体 ◇ 通信控制系统 ◇ 音视频控制系统 ◇ 低压配电集散控制系统 ◇ 屏幕的结构、外装饰和安装 ◇ 系统控制软件

13.2.2.2 视频播出方式

实时显示彩色视频信号，实时现场转播；转播有线电视；播放录像机、影碟机、摄像机等视频节目；具有视频画面上叠加文字信息，全景、特写、慢镜头、拖拽影像等特技效果的编辑和播放功能。

1. 支持CRT同步显示，显示计算机各种文字信息、图形、图像 2. 支持各种输入方式

3. 实时显示真彩色视频图像，实现现场转播 4. 转播广播电视、卫星电视及有线电视信号

5. 支持电视、数字摄像机、影碟等视频信号的即时播放（VCR、VCD、DVD、LD）

6. 支持PAL、NTSC、SECAM等各种制式

7. 具有电视画面上叠加文字信息，全景、特写、慢镜头、特技等效果的实时编辑和播放（需另外配置非线性编辑设备）

8. 具有同时播放多画面文字及图形的功能

13.2.2.3 信息处理功能

1、视频：能够播放来自各种设备的视频信号，并能随时无缝切换不同视频源，多路视频源可通过多媒体控制器同时监控和切换，并可多视频画面进行缩小、放大、切割等操作；

2、文字：可播放多种文本格式的文件和各种字体、字型，能够实现翻页、移动、旋转、飘雪、滚屏、闪烁等多种文字显示形式，能够进行叠加、任意插入等操作；

3、图像：可播放主流格式的图形、图像文件。如：BMP、JPG、TGA、GIF等；

4、动画：能播放Animator Pro、3DMAX、Flash等软件制作的二维、三维动画，并支持用压缩卡采集的AVI、MEPG信号，软件包具有方便的界面接口，丰富的素材库、形体库和先进的渲染技术；

5、音乐：支持声卡及DVD-ROM等多媒体设备，可播放CD、WAV、MID、MP3等声音文件，还可简单进行音频编辑；

6、操作：开发工具基于Windows XP/7等多媒体平台，所见即所得，采取图标工具栏，无需编程；

7、接口：支持多种媒体平台和外围设备，具备标准的网络接口，通过网络接口卡与各类网络数据库、局域网、远程设备进行联机操作；

13.2.2.4 LED全彩色显示屏体

LED显示屏屏体及管芯概述

近年来，户外全彩LED电子显示屏以其亮度高、色彩鲜艳等特点，作为继电视、广播、报纸、杂志之后的另类媒体，被广泛地应用于广场、机场、车站、港口、体育中心等公共场所。但随着人们对一块块显示屏开播喝彩声的消失，

令人惋惜的现实无情地展现在了大众面前：昔日亮丽无比的电子显示屏在使用几年后，亮度大幅度衰减，色彩严重失真，电路被腐蚀、老化带来的火灾隐患到了令人发指的地步。一块块电子显示屏变成了一片片破旧不堪的黑色补丁，贴在各大城市的显要之处，既浪费了投资，又影响了市容。究其根源就在于LED电子显示屏制造厂家对光材料的选用不严谨，对屏体的防护不重视。实际上国内各大家电生产厂家已经给LED电子显示屏制造行业积累了丰富的切实可行的现成法宝：高质量的制造+细致入微的防护。

有鉴于此，本次户外全彩LED电子显示屏设计目标是： ➢ 高可靠性保证其在户外长久稳定工作；

➢ 高保真性保证其色彩还原最大程度地与PAL/NTSC色度空间持久相交； ➢ 灰度深处理及运动补偿保证视频图像清晰、连续为确保达到以上目标，

我们在设计上从以下几个方面着手：

➢ 严格按照色度空间表选择LED光材料，确保色彩还原的失真度最小； ➢ 严格按照LED衰减曲线设定工作点，确保LED与PAL/NTSC色度空间持

续相交；

➢ 吸取数字电视应用技术，加强灰度深处理和运动补偿，确保视觉效果； ➢ 室外显示屏根据白天和夜晚等室外环境变化自动调节亮度。

➢ 采用独有的驱动设计，对屏体进行全方位防护，包括防雷击、防静电、

防腐、防水、防潮、防温等，同时对开关电源更换低温管、硅胶处理进行二次防护措施。下面对以上几点进行说明：

严格按照色度空间表选择LED光材料，确保色彩还原的失真度最小

图1-3：色彩失真度

为确保LED度色度空间最大程度地与PAL/NTSC相交，依据色度空间图(Chromaticity Diagram)，我们选择的红绿兰色坐标顺次是R1、G2、W1。

以上选择解决不了两个色度空间的差集部份，因此还需对其进行空间变换，以确保将视频图像高保真地在LED显示屏上再现出来。如下图所示：

图12-4：色彩空间转换

同时由于LED驱动电流大小会影响波长，为确保色彩还原的失真度最小，必须依据正向电流与LED波长的曲线，设定LED的工作点。

严格按照LED衰减曲线设定工作点，确保LED与PAL/NTSC色度空间持续相交

图1-5：LED衰减曲线

LED波长越小，能量越大，其衰减也就越快。因此在实际中，红色的LED呈现的是一条平稳的衰减曲线，绿色的衰减曲线下降的就稍快一些，而兰色的衰减曲线在1000小时时就产生了严重的下降。这样即是在电子显示屏刚投入使用时表现有较好的白平衡效果，快则三、五个月，慢则一、二年，由于红绿兰的衰减特性不一致，电子显示屏的白平衡也就会被严重破坏。

本设计采用专用的LED恒流源芯片，将其设定在稳定的恒流区，锁定LED工作点，以尽可能地延缓绿、兰LED的衰减速度，尤其是延缓兰LED的衰减速度，以确保预先设定的LED与NTSC/PAL色度空间持续相交。

图1-6：相对发光强度

另一方面，红色LED的亮度对于温度的变化是相当敏感的（如上图所示），在白平衡的动态调整中，必须考虑到以环境温度参数为自变量之一，自动选择最合适的红色匹配曲线。否则由于户外温度的变化，电子显示屏的白平衡效果就会出现时好时坏的现象。我们通过两种办法来实现它：第一在主控机上预装有经验选择曲线，以人工方式直接选择；第二在屏体安装环境监测模块，由灰度控制系统自动选择匹配曲线。对于显示效果要求高的某些户内显示屏，与温度相关的控制功能亦可以省略，但对于户外显示屏，则是必不可缺的。

吸取数字电视应用技术，加强灰度深处理和运动补偿，确保视觉效果该系统的LED电子显示屏，充分吸取了现代数字电视技术，除具备常规的控制功能外，另具备梳状滤波运动补偿功能，从而产生清晰、细腻图像的同时，仍不错过各种运动的精彩瞬间。因为一般显示屏对运动图像的表现效果不理想，通常在运动的图像中很容易出现锯齿、抖动现象，影响画面的清晰度，如高速度的滑冰运动，运动员的手臂摆动速度很快，若没有梳状滤波和运动补偿处理，高速运动的手臂很难被看清楚。在视频前端我们选用了PHILIP专为HDTV开发的前端处理芯片，实现了梳状滤波和运动补偿处理，明显地改善了显示效果。下图是不采用相关技术和采用相关技术的对比图。

图1-7：未采用图片图1-8：采用图片针对LED显示屏的单点工作的特性，我们还采用了二级运动补偿技术。在每一块灰度控制板上，由FPGA/CPLD控制两级缓存，实现图像分块后二次复合时运动补偿处理—即EDTV技术，一方面实现了相邻帧的复合处理，另一方面在显示屏水平和垂直方向实现了一幅完整画面的同时再现，既增加了图像的清晰度，又消除了两幅相邻图像之间产生的串扰。实现该功能的主要手段是通过双存贮器，我们在灰度控制系统中以六片大容量的SRAM为基本组件，将图像分解为数块后以并行方式对其进行高速处理运算。其效果示意图如下：

图1-9：增强清晰度电视技术

为确保图像的清晰度和画面的景深，我们还采用了16位灰度深处理技术。以GAMMA曲线和经验数据模型为算法依据，在所划分的8位子亮度空间里，均具有256级的灰度控制能力，再将相邻的子亮度空间合并为一个完整的视频表现空间，从而获得细腻的灰度表现力，提高画面的清晰度和景深。要达到此目

的，GAMMA曲线的数学模型必须是基于16Bit的，为此我们专门开发了基于此数学模型的GAMMA生成器，可针对单个基色进行不同GAMMA值的运算及测试。最终选定的GAMMA曲线由主控系统中的专用FPGA进行选择后与当前图像进行运算变换，运算后的图像由双缓存管理系统处理。

依据电子显示屏的类型或应用场合不同，我们提供10Bit或12Bit以上的处理能力。下图展示了当采用10Bit灰度深处理技术时LED灰度层次的变化示意图。

图1-10：10Bit与8Bit灰度深处理技术对比

对于亮度不高的户外显示屏，我们均采用大于12Bit的处理技术。在环境亮度较高的情况下，10Bit已基本可满足视觉要求，但当环境亮度较低的情况下（如夜晚），10Bit仍有大块的黑色盲区，对显示效果有较严重的影响，而在同样的情况下，12Bit只有微弱的黑色小块，对显示效果的影响也不明显，所以户外屏采用12Bit的处理技术是必要的。

室外显示屏根据白天和夜晚等室外环境变化自动调节亮度。

视频灰度非线性校正是人眼能舒适地观看显示屏的关键。无论是在电视机、计算机监视器和其它任何显示设备中几乎都需使用该技术，这是由人眼的视觉特性决定的。

首先没有经灰度校正的LED屏，显示会显得生硬、层次感差，看起来很不舒服，长时间观看甚至会对人眼造成伤害，只有经灰度校正后的LED显示屏才会显得纹理清晰，亮度柔和，灰度级过渡平缓。

其次由于白天和夜晚等室外环境，亮度差异巨大。我们实现显示屏从全黑至全亮多级自动/手动调节。而且，这一调节是分色的，即红、绿、兰分别可调，这样我们就可以在各种环境下创造出更逼真的色彩还原，以致白天亮度有时不

够屏幕内容看不清：夜幕亮度偏高浪费电能，我们控制系统可以由硬件系统实现高性能的视觉校正控制。

另外，由于LED本身的发光特性和电视机、计算机监视器(CRT)的发光特性不一样，简单地将在CRT上应用的非线性了校正算法和反T校正算法直接应用到LED显示屏上是十分不科学的，会严重影响LED显示屏的图像质量，使观看效果更差。

从常识可知，当电视在阳光充足的室内环境中的观看效果没有在无阳光的环境中观看舒适。这是由于在环境不同时,简单的灰度校正是无法满足人眼需求的，同样LED显示屏更是如此，由于用户不可能随便的移动该设备，因此必须使LED显示屏在各种环境下均能舒适地观看。在各种环境下的正常显示体现了一个公司完善的设计和较高的设计水平。

由目前对人眼的视觉特性研究可知如下原理：人眼的主观亮度与光强为非线性关系(如下图所示)

图1-11：人眼的主观亮度与光强为非线性关系

人眼在环境亮度较低时，对比度的响应比在高亮度环境中敏锐；有背景光时，对比灵敏度与光强的线性关系范围大大减小。

为了保证在各种环境下保证显示效果，我们设计的控制系统具有多条不同的校正曲线，最大校正深度达1024，校正是由硬件完成的，完全不影响灰度级的现实。同时，红、绿、兰3个基色的视觉校正是分开独立选择的，以实现不同环境下的最佳显示效果。

刷新率和稳定性：我们选择显示屏刷新频率为150Hz，显示屏换帧频提高至60帧/秒。完全满足了显示视频图像的要求，保证了运动图像的强烈动感，

且使整个画面无抖动、水波纹、频闪等不良现象。使画面犹如“灯箱效果”般稳定。

平整度：采用特殊的焊接工艺，保证发光管排列完全一致；采用显示模块方案，显示模块由塑料模具形成，完全保证平整。

为了保证在各种环境下保证显示效果，并完全响应世园会户外全彩LED屏幕安装工程的要求，采用如下管芯：

10000点/㎡－红管采用台湾晶元管芯（全晶元），点间距：10mm，以确保屏幕色彩的高纯度和一致性：

ⅰ 绿管：（晶元） ⅱ 蓝管：（晶元）

ⅲ 在整屏灯管使用上，波长控制在2.5nm范围内 ⅳ 在亮度上保证整屏亮度大于7500mcd（仕兰） ⅴ 在静电上保证抗静电能力大于1000V

采用独有的驱动设计，对屏体进行全方位防护，包括防雷击、防静电、防腐、防水、防潮、防温等，同时对开关电源更换低温管、硅胶处理进行二次防护措施。

户外LED电子显示屏的工作环境既恶劣又复杂，防护稍有不当就会对显示屏造成致命伤害。真正有效的防护不是在显示屏安装完毕后才去实现的，而是在设计阶段就必须精心考虑。现国内大多的LED显示屏生产厂家仍在采用大板模块式驱动结构，虽也叫做模块化结构，但实际上其可防护性是极差的。不要说防腐、防潮、散热，即是防水也很难实现，由此形成了国内已建户外LED电子显示屏故障多、怕雨、怕热、怕尘、怕风的通病，维护成本极高，寿命奇短。

采用独有的驱动设计—模块级恒流驱动方案。它能够很容易实现全方位防护措施：通过特殊硅胶处理，既能很好地达到防腐、防水、防潮的目的，又能充分利用其极好的散热特性，将驱动部分产生的热量迅速传递消化。更由于我们选用了专用的户外LED恒流驱动芯片，可轻松承受高温环境的考验。在25℃和60℃两种条件下的测试结果表明，该恒流芯片能够承受3KV的静电冲击，当其表面温度上升到125℃时，连续工作168小时而无一失效点。

在雷击防护措施中，我们主要采取外部无源保护、内部防护、接地防护。

在0级保护区即外部作无源保护，主要有避雷针（网、线、带）和接地装置（接地线、地极）。如电子显示屏所依附的建筑物本身已具备良好的0级保护区防护设施，电子显示屏工程中可不必重复建设。

在电源和信号入口处的防护措施中，我们选用了德国OBO公司的专用防护产品。其防护指标符合以下规范：GR 1089, ITU K.20&K.21, IEC 950, UL 1459&1950 和FCC Part 68。

按地系统进行防护是极重要的环节，因所有防雷系统都需要通过接地系统把雷电流泄入大地，从而保护设备和人身安全。如果接地系统做得不好，不但会引起设备故障，烧坏元器件，严重的还将危害工作人员的生命安全。另外还有防干扰的屏蔽问题，防静电的问题都需要通过建立良好的接地系统来解决。

直流开关电源是整个电子显示屏工作的中心部份。无论是明韦还是衡孚，其直流开关电源均非针对户外恶劣环境而设计，因此有必要对其运行二次防护处理。在电路防护方面上采用与恒流驱动板同样的防护措施；同时应更换其开关管，以提供更宽的温度适用范围。LED电子显示屏的技术仍在迅猛地发展进步，作为专业的研发和制造厂家，我们将持之以恒地致力于技术的进步和产业的发展中，为用户创造更好、更满意的LED电子显示屏。

13.2.2.5 通信控制系统

本项目设计采用系统集成的思维方式来规划整个LED显示系统。

屏幕控制系统采用开放的计算机局域网络技术，能够将当今许多成熟的数字技术引入大屏幕显示系统，如数据库技术、网络通讯技术、网络互联技术、信息自动化处理技术、接口技术、多媒体技术。

网络互联技术可以和未来的网络系统相连，包括局域网和广域网等，将信息按要求的格式实时显示到大屏幕上。

通过多媒体视频控制技术，可以方便地将多种形式的视频信息源引入计算机网络系统，如广播电视和卫星电视信号、摄像视频信号、录像机VCD视频信号、计算机动画信息等，因而可以实现下列功能：

• 实时显示彩色视频图像，实现现场转播 • 转播广播电视及卫星电视

• 电视、摄像、影碟等视频信号的即时播放

• 电视画面上叠加文字信息，全景、特写、慢镜头、特技等效果的实时编辑和播放（需另加非线性编辑系统）

• 具有同时播放多窗口画面及文字的功能计算机网络系统各部分的功能简述如下：服务器

服务器是LED屏幕系统局域网的数据中心和文件中心，其上存放着各种信息数据和显示指令数据，向网络上其他工作站提供文件服务和数据共享服务。工作站和工作站之间数据的交换也是经由服务器实现。和其他网络系统如裁判系统等的通过服务器实现。

控制计算机

屏幕控制机控制其对应的显示屏的显示效果。它可以自动运行一个不断循环的程序，根据给定的节目单去服务器上取得相关的显示数据，也可以人工干预，产生屏幕上的显示效果。屏幕上像素和屏幕控制显示器相应区域上像素一一对应，直接映射。

系统控制机

操作员可以通过系统控制机控制显示屏电源开关，并且实时监控显示屏出现的各种故障，如过压、欠压、过流、漏电、温度、烟雾等。另外操作员还可以通过系统控制机控制视频切换矩阵，用来选择不同的视频源节目。

13.2.2.6 低压配电集散控制系统

利用工业PLC控制技术和网络数据通讯技术，可使电力的开关与控制实现集中指挥，分散局部控制。采用这种控制方式操作员可在网络工作站上向屏幕系统下达开关指令信号，控制屏幕电源的开关。如果供电系统发生故障，各状态信号也能返送回网络系统，操作员通过网络可监视电路工作情况。

另外，配电系统设计采用双电源互为备份控制方式，当其中一组供电电压低于阀值（如185伏）时，配电系统将及时切换至另外一组供电电源，不会影响系统的正常运行。PLC系统能及时将配电故障信息通报给系统操作员，以便及时处理故障。概括性的讲，该配电系统的主要特点有：

• 三相五线制供电

• 将采用一根独立于保护地的信号地线，供集散控制系统PLC和网络设备使用。

• 配电柜由一台PLC控制。他们分步将显示屏幕开通，以抑制开关电源启动时的冲击电流，减少对电网的干扰。

• PLC接收网络控制工作站发来的指令信号，产生各种动作逻辑，并且能够将各主要触点的故障信息返送回网络系统，以便网络系统实施对供电回控制和监测。

• 配电柜中配备检修时的断路装置和手动开关装置。

• 配电柜配备过流、短路、断路、过压、欠压、温度过高等保护措施，也配备相应的故障指示装置。

• 网络供电保护设备UPS断电供电时间至少二十分钟，以便发生电力故障时，有足够的时间让系统操作员执行正确的处理动作。

• 配电设计采用三相配平衡方案，保证零线漏电流为零。

13.2.2.7 音视频控制系统

LED大屏幕显示系统具有多种视频、音频输入源，系统采用视音频编码器阵对视音频源进行管理。

编辑部分通过一台编辑机按照客户进行编辑，然后通过网络将编辑好的文件传输给播出机，按照预定方式进行播放。多路音视频控制台可通过播出机串口实现无人值守自动播放功能并可根据客户预先编排好播放顺序播放各种视频。

13.2.2.8 屏幕的结构、外装饰和安装

1、钢结构加工制作： 1.1 材料检验

钢结构制作与安装需要用的钢材，必须由供应部门提供合格证明及有关技术文件。钢结构所用钢材的质量必须严格遵守国家有关的技术标准、规范和设计要求的规定。并按照有关的实验操作规程进行试验，提出准确可靠的数据，确保工程质量。

配件、连接材料（焊条、焊丝和焊剂，高强度螺栓、普通螺栓及铆钉等）和涂料均应具有质量合格证，并应符合设计要求和现行国家技术标准的规定。

1.2材料矫正

钢结构制作工艺中矫正是关键的工序，是确保钢结构制作质量重要环节。对于各种型材，如变形超标，下料前应以矫正。

制作钢结构的钢材矫正应用平板机、型钢矫直机矫正和人工矫正，矫正后钢材表面，不应有明显的凹面或损伤，划痕深度不大于0.5mm。人工矫正钢板时，应根据变形情况，确定锤击顺序。

1.3放样

1.3.1放样前应该核对施工图、熟悉工艺标准、掌握各部件的精确尺寸严格控制尺寸精度；

1.3.2度量工具必须经法定计量单位校验

1.3.3放样应以施工图的实际尺寸1：1的大樯放出有关的节点，连接尺寸，作为控制号料、弯制上、剪切、铣刨、钻孔和组装等的依据。

1.3.4放样样板制作：样板采用厚度0.3mm的薄铁皮制作，应考虑切割、焊接、铣、刨及火煨等加工余量。样板上应标记切线、孔径、上下、左右、反正的工作线和加工符号（如弯曲、铲、刨等），注明规格、数量、及编号，标记应细小清晰。

1.3.5放样应在放样平台上进行，平台必须平整稳固。放样平严禁受外力冲击，以免影响平台的水平度。放样时首先应在平台上弹出垂直交叉基线和中心线，依次放出构件各节点的实样

1.4 号料：

号料前应详细熟悉样板上的符号和号料的数量。板材号料应号出基准检查线；号孔应号规孔线。号料后应在零件上注明零件的编号、数量、加工方法等，并应根据零件不同的材料统一采用不同颜色标注。号料应依据施工工艺要求预留切割和边缘加工的余量，以及焊接收缩余量。

1.5切割

本工程钢板切割均采用气割的方法。在气割钢板和型材时，厚度在14mm以下时缝宽为2mm；厚度在16～20mm以下时缝宽为2.5mm，气割后的钢板和型钢的气割面的平面度和割纹深度以及局部缺口深度都必须符合《钢结构工程施工质量验收规范》（GB50202-2001）的规定。

1.6加工

为了消除切割后钢材硬化或产生淬硬层，以保证构件连接触严密；平整和其焊接坡口的加工质量。所以需要对切割后钢材的边缘进行加工，以确保加工的精度。边缘加工的宽度、长度、边直线度、相邻两边夹角、加项垂直度以及加工表面粗糙度都必须符合《钢结构工程施工质量验收规范》（GB50205-2001）的规定。

1.7制孔：采用钻孔的方法

钻孔是在钻床上进行。为了确保指控的质量应预先在零件上冲成或钻成小孔，待结构装配时，将孔扩钻至设计孔径，确保孔壁不受损伤达到孔壁光滑。为了确保控制孔群的质量，应预先预先制成钻模，严格控制孔群的位置，制孔时将钻模覆在零件上钻孔。所有制孔的质量应符合《钢结构工程施工质量验收规范》（GB50205-2001）的规定。

1.8焊接

1.8.1严禁使用药皮脱落或焊芯生锈的焊条、受潮结块的焊剂。焊丝、焊钉使用前应清除油污、铁锈。

1.8.2焊接钢梁采用门式自动埋弧进行焊接；柱梁连接板加肋板采用手工焊接。使用门式自动焊应满足以下两点：

（1）焊接后边缘30-50mm范围内的铁锈、毛刺污垢等必须清除干净，以减少产生焊接气孔等缺陷的因素。

（2）引弧板应与母材材质相同，焊接坡口形式相同，长度应符合标的规定；使用手工电弧应满足以下规定：使用状态良好、规能齐全的电焊机，选用的焊条需用烘干箱进行烘干。

1.8.3需要弯曲的槽钢和钢管用滚板机滚制，滚制的槽钢和钢管弧度应符合图纸要求，如果弧度有偏差，应进行矫正。

1.9 组装

1.9.1钢结构组装前，应按施工图、施工方案及其下料单，清点和检查加工件的材质、规格、数量和加工质量，并将组件连接接触部位和沿焊缝边边缘每边30～50mm范围内的铁锈、毛刺、污垢等清除干净。

1.9.2组装平台及拼装模具应经测平，组装平台平面高低差不应超过4mm，并加以固定。构件的组装应在部件的组装、焊接、矫正后进行，以保证构件组装的精度。

1.9.3组装时应进行零件组装的调整定位，以防止过大的外力强行组队，避免构件内产生附加应力、产生疲劳或裂纹等缺陷。

1.9.4组装时应防止焊接变形。为了保证焊接结构的质量，防止焊接产生应力、变形和裂纹等缺陷，所以本工程在组装焊接时，选择对称法的施焊顺序，焊缝不布置的位置采用两边对称，尽量减少焊缝和不等规格或异种钢材相焊；采用较大的夹具将焊件固定以增加罕见的刚度；采取反变形的措施，即在焊前进行组装，先将焊件向与焊接后产生变形相反的方向进行认为的适量变形，以达到焊后抵消变形的目地。

1.10矫正：组合因焊接产生的变形，本工程采用机械和高温加热矫正调直，进行热矫正时，加热温度不应超过900℃，加热矫正后应自然冷却，字矫正过程中，不得损坏钢材材料组织。

1.11除锈、施涂

1.11.1本工程采用机械抛丸除锈。除锈采用准用除锈设备，进行抛射除锈可以提高钢材的疲劳强度和抗腐能力。对钢材表面硬度也有不同程度的提高，

有利于漆膜的符合不需增加外加的涂层厚度。除锈使用的磨料必须符合质量标准和工艺要求，施工环境相对湿度不应大于85%。

经除锈后的钢材表面，如在涂底漆前已返锈，需重新除锈。 1.11.2施涂：

本工程施涂的方法采用喷涂法。喷涂顺序为：先上后下、先难后易、先左后右、先内后外，以保持涂层厚度均匀一致，不漏涂。

钢材除锈竟检查合格后，在表面涂完底漆。存放在厂房外，则应在当班漆完底漆。尤其应按设计要求配套使用，第一遍底漆干燥后，再进行中间漆和面漆的涂刷，保证涂层厚变达到设计要求。尤其在涂刷过程中应均匀，不流坠。

施工准备

1)根据设计图纸要求，选用油漆。 2)准备除锈机械，涂刷工具。

3)涂装前钢结构、构件已检查验收，并符合设计要求。

4)防腐涂装作业在公司油漆厂区进行，油漆厂区具有放火和通风措施，可防止发生火灾和人员中毒事故。

工艺流程基本清理→涂装涂装施工 1．基本清理：

a .钢结构工程在涂装前先检查钢结构制作，安装是否验收合格。刷前将需涂装部位的铁锈、焊缝药皮、焊接飞溅物、汕污、尘土等杂物清理干净。

b.为保证涂装质量，采用自动喷丸除锈机进行喷丸除锈。该除锈方法是利用压缩空气的压力，连续不断地用钢丸冲击钢构件的表面，把钢材表面的铁锈、汕污等杂物清理干净，露出金属钢材本色的一种除锈方法。这种方法效率高，除锈彻底，比较先进的除锈工艺。

2.涂装：

a. 调和汕漆，控制汕漆的粘度、稠度、稀度、兑制时充分的搅拌，使油漆色泽、粘度均匀一致。

b.刷第一层油漆时涂刷方向应该一致，接搓整齐。

c.待第一遍干燥后，再刷第二遍，第二遍涂刷方向与第一遍涂刷方向垂直，这样会使漆膜厚度均匀一致。

d.涂刷完毕后在构件上按原编号标注：重大构件还需要标明重量、重心位置和定位标号。

3．涂层检查与验收：

a.表面涂装施工时和施工后，对涂装过的工件进行保护，防止飞扬尘土和其他杂物。

b.涂装后处理检查，应该是涂层颜色一致，色泽鲜明，光亮，不起皱皮，不起疙瘩。

4．成品保护：

a.钢构件涂装后加以临时围护阁度，防止踏踩，损伤涂层。

b.钢构件涂装后，在4小时之内遇有大风或下雨时，则加以覆盖，防止粘染尘土和水气，影响涂层的附着力。

c.涂装后的构件需要运输时，要注意防止磕碰，防止在地面拖拉，防止涂层损坏。

d.涂装后的钢构件勿接触酸液体，防止咬伤涂层。 1.11.3需要焊接的部位留出50mm左右不用喷涂。 1.12运输、检验、编号等

在钢结构制作加工完后，应立即组织有关单位进行检验，验收合格后放可进行编号装车发送。

在吊装和运输过程中，应采取措施防止预制件变形和预制件表面油漆损坏。运输路线事先勘察，要保证运输车辆能够通过。同时请有关单位协调市内通行手续。

1.13钢结构安装

根据本工程的结构形式，钢结构安装的工艺流程为：

图12-12：钢结构安装工艺流程图

1.13.1安装前的准备

钢结构安装前应按构件明细表核对构件的材质、规格及外观质量，检验零部件的技术文件（合格证、实验、测试报告以及设计文件、设计要求、结构实验结果的文件），符合设计要求，并经用户和监理单位办理验收、签字手续后，方可进行安装。

对于制作中遗留的缺陷和运输中产生的变形，均应矫正后才能安装。钢结构在吊装前应将表面的油污、泥沙和灰尘等清除干净。

本工程吊装采用50t的吊车进行吊装，钢结构运输均采用汽车运输。现场加工所需的小型机具（具体见施工机具一览表）均已经准备到位。在吊装前编制可行的吊装方案，并经监理等有关单位的审定批准。

钢结构构件的对方场地应平整坚实，无积水：堆放构件下应铺设垫木。堆放的构件按种类、型号、安装顺序编号分区放置。

A.螺栓预埋安装

螺栓加工好经验收符合质量要求后，立即进行安装。在安装时严格按图纸的尺寸要求，为了保证螺栓在浇捣混凝土时不发生偏移，在浇筑混凝土基础前，应用定性卡盘将预埋螺栓按设计要求位置卡住，在加固螺栓时采用钢板凿孔固定“（钢板孔的位置必须和螺栓的位置一致）所有的螺栓固定好后用塑料薄膜保护好，并涂刷防滑汕，防止生锈。

B.钢结构安装前，经抄平放线，严格控制基础部位与支撑面的纵横线和标高，并进行验收，提出验收合格报告资料。验收内容包括基础坐标和标高、轴线以及螺栓尺寸，保证以上内容符合规范和图纸要求。并清理作业面，确保基础顶面及支撑面洁净，严禁有杂物和污染。

1.13.2钢结构吊装：

本工程采用50吨吊车进行安装本工程吊装时采用多吊点。起吊和评议应缓慢。现场吊装临时缆风采用拉条固定。

钢柱安装：吊装前首先确定构件吊点位置，确定绑扎方法，吊装时做好防护措施。钢柱起吊后，当柱脚距地脚螺栓约30~40CM时扶正，使柱脚的安装孔对准螺栓，缓慢落钩就位。经过初校待垂直偏差在20MM内，拧紧螺栓，临时固定即可脱钩。

钢框架吊装：钢梁吊装在柱子复核完成进行，钢梁吊装时采用两点对称绑扎漆雕久违、、就位安装。钢梁漆雕后距柱基准面100MM时徐徐慢就位，待钢梁吊装就位后进行对接调整校正，然后固定连接。钢梁框架吊装时随吊随用经纬仪校正，有偏差随时纠正。

拉条安装：檩条截面娇小，中连较轻，采用一钩多吊或成片吊装的犯法吊装。檩条的校正主要是间距尺寸及自身平直度。间距检查用样杆顺着檩条杆件之间来回移动，如有误差，进行教正。平直度用拉线和钢尺检查校正。

安装校正

钢柱校正：钢柱垂直度校正用经纬仪或吊线锤检验，当有偏差时采用千斤顶进行校正，标高校正用前进顶将底座少许抬高，然后增减垫板厚度，柱脚校正无误后立即紧固地脚螺栓，待钢柱整体校正无误后在柱脚底板下浇注细石混凝土固定。

钢框架校正：钢亮轴线和垂直度的校正，校正采用千斤顶和倒链进行，校正后立即进行固定。

1.13.3高强螺栓施工施工工序

高强螺栓在施工前必须有材质证明书（质量保证书）必须在使用前做复试。高强螺栓设专人管理妥善保管，不得乱扔乱放，在安装过程中，不得碰伤螺栓及污染脏物，以防扭距系数发生变化。高强螺栓要防潮、防腐蚀。

安装螺栓时应用光头撬棍及冲钉对正上下（或前后）连接板的螺孔，使螺栓能自由投入。

若连接板螺孔的误差较大时应检查分析酌情处理，若属调整螺孔无效或剩下局部落空位置不正，可使用电动绞刀或手动绞刀进行打孔。在同一连接面上。高强螺栓应按同一方向投入，高强螺栓安装后应当天终拧完毕。

1.13.4钢结构刷漆

钢结构在工厂已刷底漆，钢结构安装合格后，首先对在现场焊接的焊缝及周围采用手工进行除锈处理，除锈处理合格经认可，刷底漆。钢结构在刷面漆之前，应全面检查，对在运输或安装过程中汕漆损坏部位进行修补，同时在刷面漆之前，用应棉纱头清理钢结构表面的油污和灰尘等。

2.主要技术措施

本工程施工中应遵照建筑工程质量验收规范和建筑工程安全操作规程的规定外，还必须做到以下几点：

2.1加强对工程质量管理的措施：

2.1.1加强对施工人员的质量意识教育，进一步提高全体施工人员对“质量第一“的认识。

2.1.2建筑工程质量保证体系。落实各部门各级岗位责任制，螺丝国家的规范、规程、工艺标准的贯彻执行落实重点工程施工技术措施的制定，开展创优活动。坚持建立健全工程技术档案管理。

2.1.3加强对工程质量进行跟踪检评，实行工程质量奖罚办法。

2.1.4严格资料管理制度，每一道工序完成后即使办理隐蔽记录和验评表。 2.1.5建立质量控制点，抓住关键部位，预防质量通病发生，在分项施工中，工序交接中，检查部位验收重要落实质量目标责任制。

2.1.6做好分布分项工程的技术交底和工序大街及工种间的配合，质检员勤检查、勤纠错，不合格不能进入下道工序施工，做好质量检查和记录及评定。

2.1.7工程技术资料必须与施工同步，做到及时准确、真实、完整，杜绝漏项，错项、漏签、评定错误出现，实行按分部分项会签审查，保证资料全面准确反映工程质量状况。

2.2保证工程质量技术措施： 2.2.1钢结构制作：

此结构所选用的钢材必须有出厂合格证及原始资料，同时要求进厂的钢材必须经复试合格后方可使用。选择性能良好，使用功能齐全的加工设备，要求厂内制作采用单面45度坡口对接，焊条应具备有出厂合格证或材质报告，要求电焊条使用前应用烘干箱进行烘干，使用埋弧焊接选用的焊丝及焊剂必须与所用的母材相配套。

此钢构件制作完成后需进行抛丸除锈，要求除锈后24小时之内涂上底漆，底漆采用喷刷，要求保证尤其的漆膜厚度满足设计要求。钢结构在施工前应严格按照图纸要求进行1：1的放样，并对放样结果进行复核，严格控制尺寸的精度。型钢在焊接时坡口形式及加工精度、组对要求、坡口与两侧的清理必须符合规范的规定。螺旋的形式、规格和技术要求必须符合设计和有关标准规定。且实验结果必须符合钢结构用的螺栓技术标准规定。方可使用。严格控制钢结构构件的集合尺寸和节点间距尺寸，发现问题应及时调整后再吊装。为了防止和低效焊接变形，焊前装配时将工件向与焊接变形相反方向预留偏差。严格控制焊接顺序防止变形。构件变形翘曲必须进行校正。严格控制安装工艺、精心施工、精心操作。所有操作人员必须严格按技术、质量、安全交底内容执行，要求焊接人烟必须持证上岗。

钢结构为提高制孔精度采用钻模制孔。钻套用中碳钢制成，必须进行卒火处理，钻模内孔直径应比设计径大0.3MM，钻模厚度不宜过大一般用15MM左右。为了保证制作精度，钢构件下料时要预放收缩量，预放量视工件大小而定，一般中间在40～60MM，又大又长的工件要预防80～100MM。指定合理的焊接顺序是不可少的，当几种焊缝要施焊时，应先焊收缩变形较大的横缝。焊接型钢的主焊缝应在组装加劲肋板零件之前焊接。主焊衡焊接顺序应该按焊后变形需要考虑其焊接顺序应交错进行。

2.2.2钢结构安装：

钢结构吊装过程严格执行《GB50205—2001钢结构施工及验收规范》。开工前必须对基础纵横轴线及水平标高、钢构件外行尺寸、焊接质量进行复验合格后施工。施工前必须进行技术交底。施工时特工种上岗人员必须有劳动局颁发的上岗证书。测量仪器唏嘘经过计量检定为合格的一起方可使用。施工中坚持三检（自检，互检，专业检）制度，严格工序质量检验。

2.3雨天施工

雨天施工期间，要求场地排水畅通，道路通行无阻，对香肠所有的雨水井排水沟设专人经常清理和疏通。施工现场的各种机械、电气均应设有防雨措施，机座应保持一定的高度，电闸箱、电焊机等应加防雨罩，一面受水浸泡。脚手架、上料操作平台、斜道等雨天要及时清扫，做好安全防滑措施。做好雨季施工物资的准备。

2.4工程降低成本措施

工程开工前进行图纸的专业会审和综合会审，将设计中的有关问题解决在工程开工之前。施工总平面图布置尽可能地利用永久性设施。

加强节点考核管理，即使发现问题。严格执行限额领料制度，节约原材料，降低工程成本。加强周转材料的管理，及时做好挥手、整修、保管工作，延长周转次数，提高周转率。合理地安排机械进退长时间，提高机械使用率，节约机械台班费用。统筹的安排减少雨季施工，节约雨季施工的措施费用。

13.2.2.9 系统控制软件

该系统控制软件可以远程发布播放方案、监控播放及屏体状态、远程控制屏体亮度、电源开关等。该系统安装部署简单，只需要将终端显示屏接入互联网，并通过浏览器将终端注册到服务平台，就可以通过管理中心软件远程管理

终端显示屏，可以根据应用情况，分组管理终端显示屏，实现远程发布媒体及播放方案、监控屏体状态、远程控制屏体亮度、电源开关等操作。具体功能如下：

1、节目制作

a) 对播放内容可指定播放日期、星期、时间段，以精确控制任意时段的播放内容；

b) 支持视频、文本、走马灯、模拟时钟、数字时钟、倒计时、天气预报、温湿度等多种媒体形式；

2、节目发布

a) 上传、下载过程支持断点续传；

b) 对已经存在的终端媒体，不需要重复发布； c) 支持立即发布和定时发布； 3、方案回读

a) 回读终端正在播放的方案； b) 根据业务需求修改该方案； 4、播放监控

a) 支持按日期查看终端桌面截图；

b) 支持按日期查看显示屏端网络摄像头拍摄的图片； 5、紧急插播 a) 紧急插播清单； b) 紧急插播文本； 6、终端控制

a) 给终端显示屏发送命令，可设置立即或定时执行，命令包括：音量调节、

零度调节、媒体清理、电源管理、终端锁定等； b) 查询命令执行结果；

7、监控管理

a)支持终端显示屏硬件状态查看，包括：系统工作状态、电压、温度等。

b)终端故障告警 c)终端故障统计

d)支持终端操作系统状态查看，包括cpu、内存、磁盘等； 8、日志管理

a)支持日志查看、导出到excel文件； b)简单日志统计功能：单个媒体播放次数等；

13.2.2.10 系统防护设计方案

1. 模组封装

模组采用单灯封装，正面采用进口防护胶进行灌封，有效地保护了单灯，模组背面的电路及其驱动电路均涂刷三防漆，其作用：防水、防尘、防静电。解决了大气水份、雾气及其它不利环境因素对模组的影响。

在模组与箱体的结合面上，每个模组均配有橡胶密封垫圈，其作用是：防水、防尘。

2. 模组装配

在模组与箱体装配过程中，还涂刷专用防水胶，其作用：防水、防尘。 3.箱体防水

箱体表面进行防腐、防水等处理；金属表面进行喷砂处理，起到除锈作用；在金属表面进行氧化镀（喷）锌处理，形成电势保护，防止表面防锈和防腐；在表面烤漆处理；再在表面进行防酸树脂处理，有效的防止酸雨的腐蚀。

4. 散热和通风

先进箱体的导热设计：为使箱体内形成有效的空气对流，达到散热的目的，在每个箱体内部的下方，均布两个进气口，在箱体上部装有两台低压直流风机，向外部排风，加大箱体内空气的流动速度，实现有效的通风、散热。并且进气口与出气口均采用百叶窗的形式，保证在良好的风冷散热下，防止雨水的进入。

5. 防尘措施

进气口安装有过滤网，有效的防止较大颗粒灰尘进入箱体内部，保证电子元件正常工作。

6. 软启动电源技术

可在软件控制下使大屏的电流消耗缓慢上升，避免猝发的大电流冲击供电系统。

7. 防雷电措施：做到屏体接地连接主体结构接地部分，防止屏体被雷击而损坏。

13.2.2.11 特点与优势

1.先进的控制系统具有多种先进技术，所有的信息输入均通过高性能的主控制器进行采集、数字处理，以专用超大规模集成电路中央处理为核心，配备高速存储电路，专用数字处理电路，使其具有质量高性能强等诸多优点。配电系统具有综合保护功能，对过压、过流、欠压、缺相、短路等异常情况具有监测、自动保护功能

2.视频双重处理：显示屏控制系统具有纯视频处理和计算机信息处理双重处理性能。使播放图像信息更清晰和灵活。

3.采用静态恒流驱动，保证显示屏的高质量。

4.屏蔽线传输数字视频信号：抗干扰性强，传输速率高、传输距离远。 5.亮度多级可调，操作简单，使用方便。

6.高质量的显示单元：采用进口超高亮LED管和超大规模集成电路组成了高亮度、宽视角、性能稳定的显示单元，用多年的生产和制造经验精心设计以及严格的工艺要求制作的显示屏单元箱体，具有安装、运输方便，防潮、防尘、防霉、防腐蚀、防震、封装严密、抗风性能强等诸多优点，而且可适应较高的温度和湿度环境，并能24小时全天候工作。易于安装维护的积木式屏体结构，使其具有独特的优异性能。

7.强大的网络控制功能：显示控制系统具有良好的网络通信、遥控和自检性能，可实现自动控制和远程网络控制，显示网络信息。

8.独特的白平衡校正系统，以使三种基色达到理想的配比值，实现最佳的视觉效果，并保证了显示屏的白色持久不变。

9.多种输入及良好的兼容性：系统设有多种信号输入接口，可输入PAL、NTSC、SECAM电视制式信号，并自动识别，又可完成3/4或9/16图像的处理。标准的计算机显示接口和支持多种显示分辨率使其具有良好的兼容性。

10.系统能实现显示屏的自动或手动开关屏

11.系统能实现显示屏亮度的自动和手动调整功能，并具有精确的非线性校正，能补偿人眼对亮度的非线性感光特性

12.能实现动态白平衡，在10-100%的动态亮度下，色温波动不大于50K 13.系统对红、绿、蓝的亮度分别控制调整，实现不同条件下的色差修正，使显示屏能适应各种环境播放

14. 信息发布系统

14.1 系统概述

打造一套园区（以下简称“园区”）的信息发布系统服务平台，不仅可以将所有需要发布的信息都可以在第一时间编辑、制作、传输并发布到前端设备上显示，大大降低了人力发布的工作量，缩短了发布流程，提升发布效率和正确性，而且借助其信息发布中央控制系统端软件根据需要制作、播放相同的内容，达到资源共享；实现个性化管理，这不仅节省了人力成本，也降低了维护成本，更重要的是使园区信息化水平大幅提高，管理更加方便、灵活，此外，系统与显示载体配套使用，其强大的功能能够为园区创造出一道亮丽的风景线，大大提高园区的形象及档次。本次设计目标主要为园区打造以下两大功能区域发布平台：

信息发布平台：以园区文化宣传、科普教育、关键景点、园区动态、发布公告、商业宣传等重要信息静态发布为目标。

信息查询平台：在兼顾信息发布功能的基础上，增加游客互动功能。让游客或消费者可以通过室内触摸查询一体机的互动及时掌握园区动态，提供园区及周边的地图引导，旅游线路规划、对关键景点采用图文、视频、语音三位一体的自动讲解，让游客在休息之余，提前欣赏园区人物美景，提升游客游览体验感。

14.2 需求分析

依照建设要求，作为园区的信息发布综合服务平台，提供导航导引、信息发布、广告宣传等相关的信息服务。具体从以下几个方面的需求进行规划设计。

➢ 提高园区信息发布效率

随着各类园区信息化建设的发展，各个不同类型和规模的园区都有越来越多的信息发布需求，以提升园区形象与服务水平。通过信息化、智慧化、网络化的信息发布系统，完全可以替代各个类型的大型园区以往的打印海报、张贴宣传单等落后宣传手段，所有需要发布的信息都可以在第一时间编辑、制作、传输并发布到指定屏幕上显示，大大降低了人力发布的工作量，缩短了发布流程，提升发布效率和正确性。

➢ 提高园区信息化水平

动态视频比静态公告更能吸引人们的眼球，因此通过色彩丰富的液晶发布一体机发布多媒体信息和各类公告已被越来越多的园区认可。信息发布系统不仅可以在一个画面的不同区域中同时播放视频、图片和文字等信息，可极大提高园区的信息发布水平和宣传管理水平。

信息发布系统是一套网络化、智慧化的产品，可实现集中统一管理和统一远程维护,即一个中心控制所有终端播出内容，还可以对任何一台播放器进行远程配置、开关机、重启等操作。系统可同时管理上百台甚至上千台机器，这是现有PC系统不可企及的。统一化管理也包括内容统一管理，即根据需要可通过所有播放器播放相同的内容，达到资源共享；也可播放不同的内容，实现个性化管理，这不仅节省了人力成本，也降低了维护成本，更重要的是使园区信息化水平大幅提高，管理更加方便、灵活，也更加现代化。

➢ 提升园区形象

美观大方的显示载体通常被放在园区售票处、服务中心、主要场馆处等人流比较集中的出入口处，就像人的面孔一样，留给游客或消费者的第一印象非常重要。

➢ 完备的集中化管理体系

很多大型园区一般都有展厅，有的展厅规模较大，其园区内划分的功能区域繁杂，有的展厅规模较小，因此园区管理单位、各个展厅对于不同地点和位置的屏幕具有不同的信息发布需求。

➢ 播出内容的安全性

考虑到园区的信息发布面向公众，要求准确可靠，因此其信息发布系统无论从系统结构、网络结构，到设备硬件设计、软件功能设计，都必须优先考虑安全性需要；其播出内容必须保证正确、准确、可靠、合法，不会因为操作人

员失误或者黑客非法攻击，而导致发布错误的或者非法的信息。信息发布系统充分考虑系统安全性，从原始内容上传、内容编辑制作、内容传输到内容播出，在整个信息发布流程的每个环节都提供了安全保证。

14.3 设计原则

1. 简单方便

采用人性化的操控介面，使参观者用最自然的肢体语言与系统进行交互。 2. 数据流畅

由于本系统数据量大，这就要求数据加载要快，运行流畅，响应时间快。界面美观时尚，内容重点突出，具有较强的视觉冲击力和内容的吸引力，使观众在较短的时间内，即可获得优异的互动体验和丰富的内容反馈。 3. 内容丰富

通过增强现实、虚拟拍照等多种形式和平易近人的操作方法，力求全方位的、多角度的向参观者介绍园区。 4. 多媒体设计严谨、美观

含多媒体导览系统架构设计，2设计，展馆多媒体内容制作，附属多媒体内容制作，

5. 个性化设置处理

多点位的个性化设置，设置第二语种（英语）处理。

14.4 设计方案

1、点位规划

本次拟初步规划建设信息发布系统一套，主要分布于人员密集区域，满足及时将园区景点介绍、天气、线路、节目等信息以文字、图片、视频等方式及时面向游客发布。

线缆敷设方式：室内发布系统通过所在单体建筑内部网络连接到智慧园区综合服务平台；室外发布则通过园区光缆网实现数据互通。

供电：采用就近供电的原则。 2、系统架构

信息发布系统是一个用于智慧化媒体内容发布与播出的专业系统，该系统可以替代张贴海报、播放录像带/光盘等旧有的宣传方式，将需要宣传和发布的

内容以智慧化的方式编辑制作，通过网络化的方式传输到指定的宣传发布点进行播出，并以信息化方式进行集中管理，以达到信息的实时发布、更新和集中管理目的。

该系统采用B/S架构，使管理平台与服务器相对分离，用户只需通过互联网或园区内部专用网登陆服务器端即可完成内容设计并发布，节目通过园区网络传输到各播放终端。

系统拓扑示意图如下：

信息发布系统为端到端的分布式、网络化系统，在逻辑上系统可以分为3层结构：

1、信心发布管理中心：对多媒体信息发布的播出内容、播出设备、播出系统的进行控制与管理的中枢。

这个发布中心可以是一个总的管理中心，并且操作员可以在任意位置登录系统并进行远程的系统管理。

2、信息承载网络：为信息发布提供传输和管理通道的网络。

信息承载网络可以是各种类型的网络，包括局域网、专用网络、无线网络、ADSL接入网络、CDMA/GPRS接入网络、卫星网络等，并且支持多种网络组合形成的复杂网络结构。

3、信息发布终端：负责接收信息发布中心发布的内容，如图片、文字、视频、音频等，以单体或组合播放的形式在指定显示屏幕上播出。

14.5 信息发布及查询互动系统 14.5.1 园区实况

实时展示当前园区的实时人数、停车场剩余车位数、天气、空气质量等信息。

14.5.2 .园区风采

以文字、图片、视频等多媒体形式进行园区简介，各风景点和标志性建筑的介绍等。

14.5.3 地图展现

园区的地核心段及周边区域的地理底图为默认为艺术画也可进行三维和矢量地图切换，超出核心区域范围外的地图采用地理信息平台框架地图展现。

14.5.4 园区周边

提供园区周边旅游资源查询，包括概览介绍、景点一览，吃住行游购娱等各个方面，方便快捷地向游人提供旅游实时信息及吃、住、行、游、购、玩等六方面信息的即时查询服务等旅游信息反馈功能。

14.5.5 园区信息

用于展示通过后台实时发布的园区信息、政务信息、通知通告等。

14.5.6 服务设施

可在GIS地图上显示各服务设施、设备的位置及状态等信息，以公厕为例园区内的洗手间信息以列表形式和GIS两种形式展示。点击某个洗手间后，进入洗手间的详细信息，主要有位置信息、路线指引、实时坑位等信息。

14.5.7 后台接口

后台通过与管理平台接口，可获取实时在园人数、停车场剩余空位数据、环境监测等信息。

14.5.8 后台内容管理

本模块针对多点触控系统中的内容管理、内容更新以及备份等。系统采用B/S体系结构，采用浏览器模式供管理人员进行管理操作。

本模块可实现信息内容的即时发布，同时信息发布功能还能实现对一台或一组触摸查询机的信息发布展示。友好的界面让信息发布傻瓜化，可以轻轻松松的把你拍摄的视频、图片、文字用三维特效的方式展示给游客。用户通过后台内容管理可将互动界面对应的展示模块进行自定义操作，包括：添加、删除、修改。更新后的互动界面即时显示，方便、快捷。

14.5.9 其他功能

支持时间显示、万年历；具有数据卡保护功能。支持屏保；自动开、关机、电源开关保护。支持多种播放方式、影音格式。支持任意画面切割；模组化设计。支持远程/本地管理，采用集中管理。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文