一卡通系统设计建议方案
- 格式:doc
- 大小:78.00 KB
- 文档页数:16
平安金融大厦一卡通系统设计建议深圳达实智能股份有限公司目录1.1.一卡通厂家选择 (3)1.2.一卡通点位设计建议 (3)1.3.一卡通设计思路 (5)1.4.一卡通系统构成 (5)1.5.一卡通网络设计方案 (5)1.6.一卡通系统安全 (6)1.7.一卡通系统卡片选型 (8)1.8.主要设备选型 (8)1.8.1. IC发卡器 (8)1.8.2. 四门门禁控制器 (9)1.8.3. 考勤机 (9)1.8.4. 电梯控制器 (9)1.8.5. 消费机 (10)1.8.6. 挡车器 (11)1.8.7. 票箱 (11)1.9.系统主要功能 (12)1.9.1. 一卡通管理平台 (12)1.9.2. 门禁管理子系统 (12)1.9.3. 考勤管理子系统 (13)1.9.4. 消费管理子系统 (13)1.9.5. 电梯控制管理子系统 (14)1.9.6. 停车场管理子系统 (14)1.9.7. 巡更管理子系统 (15)1.9.8. 会议签到管理子系统 (15)1.1.一卡通厂家选择平安金融大厦作为深圳地标性建筑,建议对一卡通厂家选择有严格要求,保证产品的稳定和完善的售后服务,一卡通厂家选择建议如下:1)在中华人民共和国工商行政管理部门登记注册,注册资金人民币1000万元以上;具有计算机信息系统贰级(含贰级)以上集成资质2)一卡通系统和设备(门禁系统、考勤系统、消费系统、访客系统、停车场系统)必须具有自主知识产权(必须提供相关软件、硬件的专利证书)。
3)一卡通系统的加密方法具有相关自主知识产权(具有相关专利认证或第三方鉴定)4)厂家必须具有全国工业产品生产许可证;5)消费机产品必须具有中国国家强制性产品认证证书(CCC)。
6)门禁产品必须具有国家密码管理局颁发的“商用密码产品生产定点单位“证书;7)门禁产品具有公安部的安全技术防范产品生产登记批准书1.2.一卡通点位设计建议根据平安金融大厦的实际情况和我们的工程经验,平安金融大厦主要用于自用和租用,建议自用楼层和租用楼层分开管理,一卡通系统点位设计方案如下:●门禁系统:分为自用楼层和租用楼层,建议如下:➢自用楼层1)重要办公室:保证重要办公室的财产务、文件的安全,外人不能随意进入(如财务室、领导办公室、信息中心、计算机机房、监控室、消防管理中心等)。
2)大楼消防通道:保证整个办公区域的环境,防止外来人员通过消防通道进入大楼。
3)电梯前室:通过刷卡开门进入方式,将安全区域与非安全区域通过物理障碍分离开来。
4)电梯:对各个人员可以进入大楼的楼层进行控制,如访客不能随意达到领导办公层。
5)设备间:为了方便大楼设备检修和安全管理(如弱电间、电梯机房、通讯机房、配电间、变电站、发电机房、UPS电源房),保证大楼正常的办公需要。
6)在地下室与外围连接各紧急出入口:防止外来人员或没有经过授权的人员随意进出大楼。
➢租用楼层1)大楼消防通道:保证整个办公区域的环境,防止外来人员通过消防通道进入大楼。
2)设备间:为了方便大楼设备检修和安全管理(如弱电间),保证大楼正常的办公需要。
●电梯管理建议对电梯实现平安集团专用和租户使用分开管理,平安集团专用电梯必须刷卡才能使用,并在一楼平安集团专用电梯厅设置道闸,所有人员出入刷卡。
●访客管理建议在大楼一楼设置外来访客管理中心,实现平安集团和租户访客分开管理。
➢平安集团的访客所有平安集团的访客必须到访客管理中心登记,通过二代身份证读卡器读取第身份证数据,以此作为访客的基本资料进行发卡授权。
对访客进行确定并登记发卡,根据访客接待的部门设置访客到达的楼层,通过平安集团内部专用电梯到达,一般访客门禁权限只能到达大楼内公共区域,不能进入办公区。
如果需要进入内部办公场所,需要内部工作人员出门接待并登记后才能进入。
➢租户的访客访客可使用电梯自由到达租户楼层。
●考勤管理在大楼主要出入口安装考勤刷卡设备,员工上下班刷卡考勤签到,也可利用门禁点的刷卡数据实现;●巡更管理在大楼的重要区域设置巡更点,保安巡更时签到,建议利用大楼门禁点的刷卡设备实现,实现在线巡更;●停车管理在地下车库安装车辆道闸,实现内部车辆和外来车辆分开管理,优先满足保证内部车辆和租户停车设计方式如下:1)内部人员和外部人员分开管理的方式,内部人员管理层采用915M微波卡,其它人员采用企业卡刷卡方式。
2)外部访客人员采用取临时卡的方式,访客到专门外来访客停车通道取卡,然后刷卡进入停车场停车,离开时由保安收并代开道闸的方式。
3)在各进入停车场通道设置中文显示屏,可显示剩余车位,方便停车人员查看车位信息。
1.3.一卡通设计思路根据我们的一卡通设计经验和用户实际情况,对一卡通系统设计思路如下:1)以内部局域网为基础,一卡通系统利用内部网络实现数据管理和信息交互。
实现员工上班考勤管理、门禁控制、消费管理、电梯管理、停车管理、巡更管理。
2)所有的客户端软件连接到同一数据库,各个客户端软件的各中信息保存到一个数据库中,实现一卡通系统系统到“数据集中”。
3)各个系统操作员的权限由系统管理员授予,各个操作员根据权限可实现分级管理。
实现一卡通系统操作员权限的“集中管理”。
4)在每台管理工作站上安装一套管理软件,各个操作员登录系统是根据自己的权限选择进入的系统,无需每个应用模块单独安装客户端软件,实现”分散控制”。
1.4.一卡通系统构成一卡系统采用“1+N”模式,即“1个平台+N个子系统应用”。
在平台上可以根据需要增加用户应用子系统扩展而不需要改变平台,整个一卡通系统由管理平台、门禁管理子系统、考勤管理子系统、消费管理子系统、电梯控制管理子系统、停车场管理子系统、巡更管理子系统组成,各个子系统的所有数据保存在一个数据库中,各个子系统的管理员根据权限只能管理自己相关业务的数据,保证整个一卡通的数据安全。
1.5.一卡通网络设计方案一卡通系统网络基于大楼内部网络基础上,在交换机上为门禁一卡通系统采用划分VLAN方式进行建设,一卡通系统的各设备通过骨干交换网和中心服务器联结进行数据交换。
1.6.一卡通系统安全一卡通系统必须具有极为严密的密码体系,从硬件安全、数据安全、网络安全等各个环节均采取措施,保证系统的安全。
●密钥体系的安全(1)本系统采用达实公司的“智能卡一卡一密方法和系统”的专利技术,拥有完整严密的系统密钥体系,保证一卡通所有数据的安全。
(2)一卡通系统的母密钥由用户大楼掌控,在没有密钥的情况下,任何人(包括设备厂商)都不能获取一卡通系统的重要数据。
(3)每套智能卡系统只有一张系统母卡,出厂时含有1/2的主密钥,另1/2的主密钥在客户安装软件时生成。
软件的主密钥是分开生成的,也是唯一的,不可复制的。
●卡片的安全性(1)卡片使用有效期、电子钱包、身份和权限等信息均存储在卡片、读写卡机具中,在网络故障时可以独立完成卡片的合法性、有效性、可用性判断,进行电子钱包扣款、身份识别、权限判断操作。
(2)卡与读写器交换数据时采用13.56Mhz的射频信号,不易被截获,即使非法截获,也因无读写密码而不能访问卡内数据。
(3) 以一套有效的卡片密钥管理机制,有效地防止伪卡,只有本系统发行的卡片才能在本系统使用,非本系统发行的卡片不能在本系统使用。
(5) 根据持卡人的不同身份,对卡片采用分类管理,授予不同权限和功能,增强安全性。
(6) 每张卡有唯一的序列号,卡在本系统内使用前要先注册发行。
每张已发行的IC卡的注册号、门禁权限和消费权限等信息被事先下载到本系统的机具内的注册表、权限表内。
●设备终端件的安全性(1)设备终端在载入密钥管理系统指定的密钥和算法后,能够对卡进行安全认证。
保证仅有本系统授权的卡片才能在IC卡终端设备上正常使用。
(2)所有的设备终端在接入系统时,都必须经过IC卡管理平台的授权(接入授权)才能使用,平台拒绝未经授权的IC卡终端设备接入。
(3)设备终端按注册和权限信息处理刷卡行为。
本系统硬件机具不识别未注册发行的空卡(发卡器除外),其它系统发行的卡,被列入黑名单和无权限的卡也不能正常使用。
(4)每台设备终端均有唯一的地址号,计算机与设备终端之间的数据通讯采用带地址和通讯口令的通讯协议,只有地址和通讯口令均核对无误时才可访问机具内的数据。
(5)设备终端对传入传出的数据均经贴时间标签和DES加密后传送,以防被窃取、更改、破译。
(6)设置不同权限的系统管理操作卡对设备终端进行不同层次功能的操作,如系统卡,子系统卡,管理员卡、操作员卡等。
(7)设备终端传输的数据采用加密形式,保护敏感信息。
(8)设备终端可附加密码键盘,由持卡人输入密码进行校验。
●网络访问的安全性本系统通常会设计到两种网络环境,一种是基于传统的工业总线如RS485网络,一种是通用的TCP/IP通信数据网。
1)基于RS485的通信网络本一卡通系统使用的RS485网络是为本系统专门建设的,与其它网络是物理隔离的,可以防止非法窃听;即使被窃听,由于本系统的RS485通信协议是私有的协议,信息也无法被直接读取。
2)基于TCP/IP的通信网络采用VLAN划分专网,使一卡通系统与内部网络逻辑隔离,使一卡通系统的网络与其它的数据网络分离,保证数据传输的安全性。
●数据传输的安全性应用系统、硬件机具对传入传出的数据均经DES加密后传送,以防被窃取和更改。
●工作站接入的安全性(1)所有工作站需要在IC卡管理平台的授权后才能入网,入网工作站要经过身份认证才能使用,防止用户私自把设备接入一卡通专网使用或修改一卡通系统的重要数据。
(2)本系统的每个工作站配有一个USB加密狗,狗内注册有运行密码、软件功能授权信息和软件发行信息,防止非授权工作站侵入本系统。
●应用系统的安全性(1) 多级密钥管理,通过建立应用系统唯一性标识符,可以防止其它非本系统的卡片、机具和软件,甚至管理平台混入本系统使用。
(2) 通过系统子卡控制一卡通子系统机具工作参数的设置,能有效防止其他人员改变机具的配置。
(3) 本系统的每个工作站配有一个USB软件受权狗,狗内注册有运行密码、软件功能授权信息和软件发行信息,防止非授权工作站或非授权人员侵入本系统。
(4) 应用系统的操作功能采用分级、分组授权,如察看、设置、增减等,未被授权的功能在该工作站上不可见,更不可用,杜绝越权操作使用。
(5) 系统中每一个操作员都有自己的帐号和密码。
启动软件时必须登陆验证。
(6) 所有操作都有日志跟踪。
1.7.一卡通系统卡片选型根据平安金融大厦的实际情况,建议卡片采用密码CPU卡,实现身份识别、电子钱包和综合管理等多种功能。
同时可考虑系统支持手机卡功能,领导层门禁、停车可采用远距离自动感应方式,方便领导使用。
1)内部人员卡:记载有个人身份信息和储值金额,可实现门禁、考勤、消费、停车管理的IC卡,2)临时人员卡:发放给外来临时人员,实现某些子系统应用功能,如停车管理等。