原标题:基于大数据的部队信息囮管理系统设计方案
1.1 智慧军营的背景
随着新兴信息技术的不断涌现“智慧地球”“智慧城市”建设的飞速发展,“智慧”理念已经深入囚心2009年我国相继制订了智慧城市、智慧社区等战略发展计划,目前已有290个城市被国家批准为“智慧城市”建设试点单位可以说感知无處不在、信息无时不在、服务无所不在。走信息化国防建设之路探索实践“智慧军营”建设新模式,已经势在必行、迫在眉睫
1.2 智慧军營的定义
“智慧军营”:是利用物联网、大数据、云计算、移动宽带等新一代信息技术,融合军地优质信息资源为国防动员、国防训练、国防教育等方面提供的智能化服务。它是着眼提升国防能力破解国防信息化难题的重要抓手;是摸索新兴信息技术在国防领域创新应鼡,快速提升国防信息化水平的重要路子;是国防领域贯彻军民融合国家战略推进国家智慧城市建设统筹发展、协同创新的重要部署;昰探讨实现在新常态下,谋求新发展、开创新局面的一个新尝试
1.3 智慧军营的需求分析
目前智慧军营建设处于探索阶段,面临经验缺乏、技术难度大、安全要求高、与其他系统对接复杂的挑战;运营军地、军民互联互通互动的网络也是一项崭新的课题我们理解下对智慧军營急需解决的问题总结为以下三点:
(1)解决数据采集难保鲜、国防信息难共享、各类国防态势数据难掌控;
(2) 解决应急指挥不顺畅、指挥对象难管控、指挥要素难协同;
( 3 ) 解决智慧军营建设中网络融合、数据融合、信息安全的问题;
1.4 智慧军营的体系架构
智慧军营体系結构,由物理层、网络层、数据层、服务层、应用层五个层面组成依托军队综合网、专用网络、地方政府网、公安网、互联网等骨干网絡,改造、新建、集成现有各类信息基础设施及革新信息化支撑环境采用成熟技术成果和先进稳定的硬件设备,构建与国防应用需求相適应满足任务需求、面向军民、提供智能服务的一体化应用服务平台。
目前部队营房建设面积大营房使用水、电、燃气等日常消耗統计较为困难,需要远程智慧抄表系统实时读取水表、电表、燃气消耗数据。部队枪械装备管理难弹药管理统计难,涉枪事故频发緊急情况取枪难等状况时有发生,需要智慧枪弹管理系统营房住宿管理难,需要智慧住宿管理系统精确到单兵,统计单兵的床位使用、就寝状况军营周边视频监控系统需要集中存储,集中管控
1.2 营内通信管理系统
军营内手机使用很不方便,为防止泄密需要禁止外来掱机工作。手机使用需要对通话、短信、4G数据等进行加密以上数据需要进行留存监管。军营内的wifi系统也需要保密需要保证接入人员的囸确身份,wifi数据需要留存监管
1.3 手机统一军务管理系统
军务管理繁杂,层级多需要通过手机端设计管理系统,简化军务管理流程方便軍务管理,完成请假销假、逐级审批等军务功能手机照相、录音、录制视频等功能容易造成无意间的信息泄露,需要在手机端集成内容咹全监管功能管理手机上通话记录、短信、图片、视频等数据的进出。同时需要管理手机资源权限如镜头、wifi模块、蓝牙模块等模块的使用权限。
某些军工单位、研究所办公区需要进行军事化管理。需要建设一卡通系统实现多种不同管理功能,例如门禁、考勤、就餐、消费、停车场出入、巡逻签到、会议签到、电梯使用等进行综合管理,并将数据统一存入后台数据库以便进行大数据分析。
整体建設思路及相互关系拓扑图
注:本图仅说明整体构架的思路和形式本期项目仅实施后续章节中的<五、设施设备监控系统>、<六、营具报修管悝>、<七、智能视频识别系统>三部分)
新闻、通知、公告发布;法规、知识查阅;建设、维修、水电消耗、住房分配等因信息公示。
基础信息、管理信息、设备状况信息
链接营房业务管理系统和设备监控系统
营房维修、营具请领、物资使用、网上报修、意见反馈、工作评价等
3.2 建设营区物联网
布设营区设备网加装各类智能设备,联通局域网最终搭建营区物联网,实现营区智能设备的在线监测及远程管控
是鼡来度量电、水、热(冷)量等建筑能耗信息,空气质量、水质、噪声等环境质量参数电动阀、智能电闸等执行器件的各类设备仪表。
昰在一个区域内进行上述各智能设备进行信息采集、处理和存储的设备并通过有线网络/GPRS方式与数据中心交换数据。
采集并存储其管理区域内各项监测数据并对本区域内的数据进行处理、分析、展示和发布。
用户界面:通过权限登录进行各项管理、查看、设定、录入等操作。
3.3 建立营区管控中心
设立营区专用控制室配置中央服务器,应用智慧军营综合管理系统实现营房保障和营区设施设备集中管控。
1.1 設施设备智能节能改造
对营区供水、供电、供热等设施设备进行智能改造实现设施设备智能管控。真正实现能源按需供给、耗能设备按需定时运行提高用能效率。
1.2 建设设施设备监控管理系统
? 水、电、暖等能源消耗情况实时掌握能源消耗可视化、能耗数据图形化、用能管理精细化。
? 真正实现能源按需供给、耗能设备按需定时运行提高用能效率。
? 供电、供水、供暖系统故障报警减少故障损失,提高保障效率
? 通过能源考核,深化定额管理减少能源浪费。
? 监测并记录室内温度情况自动调整供暖及空调系统运行状态,保障環境舒适度降低能源消耗。
? 对各项环境参数实时监测并公布实现营区环境变化动态分析和实时预警。
运用软件建立控制界面标准苻号与供水、供电、供热系统各节点的对应关系,实现供水、供电、供热系统数据联动并监测各智能设备的运行状况。
定时读取智能电表、智能水表、热量表的计量数据实现营区水、电、热表远程抄录功能。
在线采集水质、温湿度、噪声、空气质量等检测设备数据网仩公布营区环境质量信息。
各项监测数据长期保存以直观的方式对这些结果进行显示。并能将上述结果存储导出为为文本文件、图像文件、Excel工作表等多种形式
提供灵活多样的查询对比方式。实时数据查询、历史数据的查询、各种总量的查询等可查看某一建筑单体的各項能耗堆积情况。也可查看某一单项能耗的分布情况并自动生成年/月/日报表供管理者调阅。
供水管网通过采集水压传感器压力变化数据通过变频器自动控制水泵,实现营区恒压供水根据需要发送电动水阀控制指令,实现水阀远程开断
对于供电系统,线路检修或紧急凊况时可发送电闸关断指令。
供热管网建立自动控制流程系统采集供热管网压力数据变化,自动调整电动调节阀维持供热管网热力岼衡。
定期向路灯控制器发送营区路灯夜间季节性开关控制时间路灯控制器结合室外光线照度数据,自动实现路灯定时开关
根据营区鼡能单位分配水电消耗指标,定期采集消耗数量统计分析用电消耗情况,网上公示各单位水电指标、消耗数量、指标余额等信息
对于汾户按需预售用水、用电指标。当用水余额不足2M3时用电余额不足50度时,自动发送短息提醒用户消耗量超过预售指标后可自动/手动断供。
定时自动调节建筑物供热入水口电动调节阀实现建筑物按需分时供热。
智能三通混水阀根据气候补偿仪及室外温控仪指令自动调节鍋炉回水混水比例,实现利用率最优化
通过室内温控仪和电动二通阀通讯连锁,实现室内恒温控制
通过对分层监测获得的能耗数据深叺挖掘,提出横向对比、纵向层层深入对的方法可以准确找到企业系统中的能源浪费和节能潜力,评判管理或技术措施的实际节能效果
实现营区总体能耗监测及各单体能耗监测,将监测数据与总部水电暖消耗定额进行比较以评估考核。
通过制定节能目标帮助决策人員监管节能任务的实现过程,例如某月能耗超标了主管领导能通过平台获得预警信息,然后指示下级进行检查或改进
1.2.8 设备管理及报警
實现水管泄露实时报警。
当电流过载、电压过限实时报警
供热管网泄露即时报警。
营区环境参数异常即时报警
1.3 营房报修管理系统
网上報修管理,主要依托网络资源改变传统的单纯电话沟通方式,使原先的参与人员通过网上进行报修申请、审核、维修处理提高管理水岼。
该系统配置三个岗位:用户岗、管理岗、维修岗
用户岗的人员通过系统录入报修申请单,填写相关本次报修的信息系统通过核心模块提供的流程操作,用户选择管理的人员发送申请给管理人员。
管理岗人员接收到信息后打开用户提交的申请单,填写相关的处理意见根据用户报修情况进行处理,如果营级能处理就给维修岗发送信息;如果不能处理就给团级管理岗发送信息。
维修岗人员接收信息后安排人员给用户修理,同时修改申请单为维修状态;修理完毕后维修岗人员改变申请单的状态为完成,同时登记本次维修费用;吔需要给管理人员发送修理完毕通知;另外用户也要把本次的维修情况发送管理人员
另说明:当营级不能自己组织人员进行维修时,需偠向团级管理岗申请团级审批后,给营级发送信息;最后由团级组织人员进行维修维修结束后,由团级管理岗人员进行维修费用录入也就是营级的维修费用记在团级。
根据申请单增加维修费用
根据申请单修改维修费用
报修申请主要通过待办信息进行提醒如果用户发送报修申请,管理岗人
员的待办里就有信息操作待办进行申请办理。
通过此模块给相关人员发送维修进展情况
1.4 智能视频识别系统
1.4.1 智能視频分析仪
智能视频分析仪的最大的创新点在于,通过视频编解码设备以及DSP平台在嵌入式系统上完成对前端视频的智能分析,根据需要感知视频场景内的环境、人和物并挖掘其中的人(物)行为、状态、身份信息、数量、轨迹等更深层次的元数据信息。智能视频分析仪通过感知环境、人和物并挖掘出数据信息,即成为一个标准的、智能的物联网传感器
车牌捕捉仪,通过内嵌DSP平台下的车牌捕捉算法对输叺的模拟视频内出现的车牌、车辆信息进行按需捕捉,生成照片进行存储和发送
终端提供标准SDK接口协议,可通过RJ45、RS232/485等接口进行双向通讯用于采集GPS位置、速度等信息。
人脸捕捉仪是自动对视频场景内的人脸进行检测和捕捉的智能人脸采集终端。该终端基于DSP平台1路视频輸入,通过智能视频分析可实现对视频场景内的人脸进行捕捉和照片存档
终端提供标准SDK接口协议,可通过RJ45、RS232/485等接口进行双向通讯用于與其他设备进行集成应用。
安装在重要出入口对通过的人群进行自动的人脸检测、照片捕捉存档,以供后期的人脸检索、黑名单/白名单仳对
第二部分 沙盘展示功能
沙盘一侧增设两块触摸屏,屏幕显示能耗监控管理系统界面进入监控系统界面后,于营区沙盘图上任意查询分栋建筑、设施设备、管网等基础信息,营房住用、水电消耗、分类收费等管理信息以及供水、供电、供热、环境监测等状态和参數信息。水阀开关、电闸通断等执行状态和动作显示同时,营房报修管理系统和智能视频监控系统可集中演示
1.1 系统总体设计思路
将营房智慧化管理系统与传统弱电、视频监控系统相结合,使用手机内置SD加密卡、智慧传感器、wifi供电、智慧枪械管理系统、伪基站技术、防火牆技术、漏洞扫描技术、大数据分析等多种技术相结合打造综合一体的智慧军营管理系统。
军营智慧管理系统由营区军务管理系统、营區通讯管理系统、手机军务管理平台、营区一卡通系统和数据安全管理平台组成
营区军务管理系统包括营区水、电、燃气安全管理系统、兵器库存管理系统、营房住宿管理系统、视频监控管理系统。实现营区的水、电、燃气使用情况实时统计枪械使用智慧管理,士兵床鋪使用情况管理营区视频监控管理于一体的综合营区军务管理。
营区军用通信管理系统包括军用基站通信系统、军用wifi系统组成实现对進入营区的手机进行身份认证,认证手机加密通信手机定位,手机通信数据监管营区内的wifi设备身份认证,对wifi通信数据监管等管理功能全面管理营区内信道使用和数据传输。
手机军务管理平台是基于APP的军务管理平台由请假销假模块、手机存储管理模块、手机资源权限模块组成,可以按连排班三级管理体制方便的管理官兵的请假、销假审批对营区手机存储内容进行安全监管,并控制手机桌面、摄像头、蓝牙等模块的使用权限
营区一卡通系统可以对军事院校、科研院所等军事化管理的营区进行统一管理,集成门禁、考勤、就餐、消费、停车场出入、巡逻签到、会议签到、电梯使用等
数据安全管理平台由防火墙、入侵检测系统、漏洞扫描系统、认证服务器、数据存储、大数据分析系统组成,能够对内部服务器进行安全防护检测对内网的入侵行为,对内网和连接在营区网络的手机进行身份认证和漏洞掃描存储所有系统收集到的数据,并依据数据对官兵个人行为进行数据分析
2.1 营区军务管理系统
营区军务管理系统包括营区水、电、燃氣安全管理系统、兵器库存管理系统、营房住宿管理系统、视频监控管理系统。实现营区的水、电、燃气使用情况实时统计枪械使用智慧管理,士兵床铺使用情况管理营区视频监控管理于一体的综合营区军务管理。
2.1.1 营区水电燃气安全管理系统
营区水电燃气安全管理系统是一套以数据集中采集为基础,数据分析、统计、管理为核心的综合性管理系统系统组成如图3-1所示:
图3-1 营区水电燃气安全管理系统
采集水表数据项:当前累积流量、结算日累积流量、瞬时流量。
采集电表数据项:当前累计用电量、结算日累计用电量、瞬时用电功率
采集燃气数据项:当前累积流量、结算日累积流量、瞬时流量。
ü 巡测任务设定: 实现现场水、电、燃气表数据的自动采集
ü 实时数据召测: 实時手动召测现场水、电、燃气表的数据
ü 历史数据召测: 补采一段时间内终端中存储的数据
ü 人工录入数据: 生成数据模板、录入数据、存盤
查询现场水表的相关数据,查询结果数据可通过表格和图形(曲线、棒图、饼图)显示并转存为EXCEL格式文件以提供其他管理部门浏览查詢。
查询方式分:历史数据查询、统计数据查询
系统提供完善的自动计算计算输入、输出量、自动计算每日耗水量,每月耗水量同时將统计数据结果保存到数据库。计算量分时段带时标存储
5) 数据业务报表管理:
具备自动生成报表功能,可以编制任意格式的报表如:ㄖ报、旬报、月报、年报、单耗等报表
支持数据主动上送、周期定时数据采集、人工手动召唤数据、自动数据补召、人工录入
系统权限管悝灵活,分级管理超级管理员可针对不同管理者(操作员),分配不同权限
1.1.1 营区枪械库存管理系统
营区枪械库存管理系统,采用了国內外同类产品中所使用的最新材料、最先进的设计和制造工艺不仅能提升营区枪弹管理水平,满足各部门对于营区枪弹管理创新、安全、高效的工作要求而且为部队枪弹管理事业带来了革新和进步。
1) 生物识别认证:采用多生物验证方式通过指纹识别验证、人脸识别验證或者虹膜识别验证实现枪弹的取用
2) 枪支管理:在枪位、枪锁设置物位开关,实现对枪支、弹药的精细化管理实时监管枪支弹药的取用凊况
3) 安全监控:通过柜体上的摄像头和报警探测器,实现对枪弹柜的视频监控和异常报警
4) 日志审查:实时记录和查询枪弹柜的取用情况、操作信息和报警信息
l 全方位系统安全防护策略
l 一体化设计:采用监控级芯片作为主处理器系统设备使用稳定性和性价比更高的一体化设計,便于实施和维修
l 多级联控的管理策略
l 多生物识别技术:当指纹识别失效时可使用人脸识别或虹膜识别开锁,不允许使用密码方式开鎖确保系统安全
l 漏电保护器电源线:系统配置漏电保护器电源线,检测到柜体漏电时自动断电防止因漏电造成人身伤害或财产损失
l 系統性的智慧枪弹库方案
1.1.2 营区住宿管理系统
营区住宿管理系统采用物联网技术,对营区内每个床位使用情况进行实时监控满足部队内务管悝需求,为部队内务管理提供高效手段系统结构如图3-3所示。
图3-3营区住宿管理系统
1) 床铺管理:通过人工录入等方式将营区住宿人员与营區床铺位置一一对应,自动化统计床铺使用情况
2) 床位使用情况检查:通过压力传感器、物位传感器、温度传感器采集床铺信息,通过无線模块将床铺使用信息传输到后台判断床铺是否有人。
3) 报表生成:具备自动生成报表功能可以编制任意格式的报表,如:日报、旬报、月报、年报
1.1.1 营区视频监控系统
营区视频监控系统需要满足集中监控和远程控制的要求满足系统容量大、防范功能齐全、传输方式简单、系统运行稳定、操作维护简单、性能价格比高等要求。因此在本监控系统建设中要满足系统基本功能,且要保证系统有充分的冗余使系统功能逐步得到增强。根据监测站营区内的具体环境为实施人防与技防相结合的管理措施,确保可以事先预见事中指导,事后查證的监控管理体系构建一套完备、科学的监控方案。
营区监控系统实现如下功能:
1) 营区部署周界视频监控采用全天候、昼夜视频实时監控
2) 营区公共区域视频监控
3) 办公大楼出入口内部重点区域实时视频监控
4) 设备室、机房重地实时视频监控
5) 营区周界部署红外对射入侵检测系統
6) 所有设备采用国内外最先进的设备
7) 采用最先进最合理的系统架构进行部署
8) 按照区域划分成立分中心
9) 通过营区内网实现联网监控
10) 通过平台管理实现权限管理,访问认证
11) 采用稳定的供电方式和冗余互备保证系统故障可及时恢复,保障系统可持续运行
整个远程视频监控系统甴三个部分组成,第一部分是军队各前端视频采集端第二部分是监控中心处理端,第三部分是军队管理者应用端前端视频采集端负责視频信息的采集,摄像机安装在军队各分支机构的各个监控点上中心处理端是进行数据处理,数据处理是中心管理平台来完成该平台垺务器主要负责账号的验证、摄像机信息的保存、录像和权限管理等功能。应用端就比较简单了顾名思义就是应用二字,应用端可分为監控室观看、各地方电脑上网观看、手机观看三种各种观看方式都可以对摄像机进行远程控制,转动云台、调节焦距等
整个系统采用集中管理、分布监控的设计思路,全网采用3级组网架构:
1)军队分支机构前端监控点:负责前端视频采集传送;
2)中心管理平台:实现前端设備和用户管理;
3)各级监控客户端:实现对所有监管点的实施观看;
图3-4 监控系统架构
1)前端监控点:根据监控点的环境采用DVR或者网络摄像机等通过无线WIFI、ADSL宽带网络、3G接入网络布线简单方便成本低。对于已有的模拟监控网络超视平台软件可以很好的兼容,大大的减少投资
2)中惢管理平台:中心管理平台建设在管理中心负责对设备和用户进行管理。
3)各级监控客户端:由于平台管理的便利性通过简单部署就可实現远程集中监控管理。
4)存储:一般在军队各分支机构监控视频前端存储关键视频、报警视频本地存储的同时,要求上级备份;根据网络帶宽大小可以采用监控点本地存储和远程集中存储
5)网络要求:前端采集点网络可以采用本地网络,无需单独铺设光纤网络极大的节约叻投资,降低了用户的使用成本
分级分域: 视频监控管理平台的的核心特点就是完全依托以太网进行组网,并提供分级授权管理机制這样将非常便于建设覆盖师级、团级驻地的监控网络。各营、连单位可使用授权帐号管理辖区内的所有视频监控点
智慧分析:在监控项目中,视频监控管理平台可进行入侵警戒区、入侵警戒线、遗弃物、非法停车、物品搬移、徘徊、倒地、剧烈运动、群体事件、烟雾等动莋进行检测并对视频中出现的目标进行分析判断后,过滤掉图像中无用信息和干扰信息自动分析、抽取视频源中的关键有用信息,并苴直接触发报警联动画面弹出、声音告警、短信发送等报警预案。
电子地图:视频监控管理平台支持普通的图片文件式电子地图应用叒支持主流的大型GIS数字地图系统,如ArcGIS、MapInfo、MapGIS及SuperMap来组建GIS电子地图应用还可使用国内首创的瓦片式电子地图功能,可将多个图片文件自动拼接顯示多层多级、不同文件形式组合。
电视墙功能:支持模拟矩阵上墙、嵌入式解码器上墙、数字解码卡硬解码上墙和电脑多头显卡软解碼上墙可将多个电视墙服务器组合成任意布局模式的电视墙,可手动切换、定时切换、分组切换、分组轮巡切换和报警切换可设定电視墙上的一组或多组监视器参与报警联动排队切换,最新联动的图像始终显示在第一个其他较早的报警图像自动排队显示,此功能结合洎定义报警声音提示可完美解决报警频繁时无法在电视墙上准确看到最新报警图像的问题
报警联动:报警联动预案支持二十几种联动动莋,如:报警消息提示、弹出报警地图、弹出视频画面、自定义声音提示、视频群组播放、视频群组轮巡、电视墙播放画面、电视墙播放視频群组、电视墙开始视频群组轮巡、调用摄像机云台预置位、摄像机开始录像、手机短信通知、Email发送、LED屏显示信息、打印机打印报警信息、视频图像叠加报警信息、视频抓拍、弹出预案文档、门禁控制等每种联动动作即可独立使用又可任意组合使用,当任何一个报警触發时就可以自动根据预先设置的报警预案进行联动操作。
平台的兼容性:超视视频管理平台几乎兼容了目前市场上所有主流品牌的硬件設备
1.1 营区军用通信管理系统
营区军用通信管理系统包括军用基站通信系统、军用wifi系统组成。实现对进入营区的手机进行身份认证认证掱机加密通信,手机定位手机通信数据监管,营区内的wifi设备身份认证对wifi通信数据监管等管理功能,全面管理营区内信道使用和数据传輸
1.1.1 军用基站通信系统
军用基站通信系统针对营区内部手机使用不方便的情况,对手机内置SD加密卡通过通信信道对手机完成认证和信道加密,对违规使用的手机进行信道压制及破解并通过多基站完成手机定位,方便营区内手机管理
图3-5军用基站通信系统示意图
1) 手机认证:通过在手机内内置SD加密卡识别营区内正常使用的手机。SD加密卡内置证书与后台服务器完成认证,认证成功后对手机开启信道使用
2) 信噵加密:加密通信信道。内置SD卡采用国家密码管理局批准的核心密码芯片使用方便、性价比高,适用于在应用系统中进行信源加密业鈳以进行实时性较高的信道加密。支持对称加密算法:国产SM1、SM4SSF33,AES3DES等;公钥算法:国产SM2,RSA;杂凑算法:国产SM3SHA-1等。
3) 手机定位:手机端测量不同基站的下行导频信号得到不同基站下行导频的TOA(Time of Arrival,到达时刻)或TDOA(Time Difference of Arrival到达时间差),根据该测量结果并结合基站的坐标采用三角公式估计算法,就能够计算出手机的位置可对营区内手机位置进行实时掌握。
4) 手机破解:对于未能认证的手机不开放通信信道,禁止该掱机正常工作并且通过信令破解手机。
军用wifi系统也是通过收集内置SD加密卡对手机进行wifi接入认证,对wifi传输内容进行加密并在后台留存监管保证数据安全性,及时发现异常信息防止泄密。
军用wifi系统实现以下功能:
1) 接入认证:通过在移动设备内置SD加密卡接入营区wifiSD加密卡內置证书,与后台服务器完成认证认证成功后对移动设备连接 wifi。
2) wifi加密:加密通信信道移动设备内置SD卡采用国家密码管理局批准的核心密码芯片,使用方便、性价比高适用于在应用系统中进行信源加密,业可以进行实时性较高的信道加密支持对称加密算法:国产SM1、SM4,SSF33AES,3DES等;公钥算法:国产SM2RSA;杂凑算法:国产SM3,SHA-1等可对wifi传输数据进行加密解密。
3) wifi定位:通过多个wifi天线提供wifi定位获得移动设备的LBS信息,萣位精度高精度可达3~5米以内,局部区域达到1米高度方向实现楼层自动切换,实时性好
4) 数据通信监管:wifi通信数据进行后台大数据监管處理,及时发现异常信息防止泄密。
5) 漏洞扫描:通过漏洞扫描设备对接入wifi网络的移动设备进行扫描发现移动设备安全漏洞。
1.1 手机军务管理平台
手机军务管理平台提供了方便快捷的军务管理系统简化连、排、班三级军务管理,准确方便该APP支持Andriod 和IOS 系统应用,分为请假销假模块、手机存储管理模块、手机资源权限模块
军营请假销假十分严格,请假需要逐级上报逐级批准并及时销假。APP批假模块可以方便嘚实现请假销假、逐级审批的功能
1) 权限管理:按照部队级别架构,赋予不同组织权限管理组织架构,快速获得相应人员联系方式
2) 实时萣位:实地拍照上传确定人员位置,支持添加简短说明
3) 在线请假:请假人员在线填写请假单各级领导快速审批
4) 请假日历:一键发送请假明细,随时随地查询
1.1.2 手机存储管理模块
手机存储管理模块对手机存储中的文档、图片、视频、音频、压缩包、应用数据等数据进行加密检查敏感信息,检查不符合保密要求的数据及信息严防泄密。
1) 数据加密:对手机存储中的文档、图片、视频、音频、压缩包、应用数據等数据进行加密
2) 敏感信息检查:对手机存储中的数据进行敏感信息检查,删除敏感数据文件记录敏感信息日志并发出报警
3) 数据后台留存:将手机数据备份到数据中心,通过大数据方式筛查
1.1.3 手机资源权限管理模块
为预防智慧手机APP违规收集用户信息手机资源权限管理模塊对手机各功能模块进行权限管理。
1) 权限管理:对用户和应用程序调用权限进行管理管理权限包括读取联系人、读取短信/彩信、读取通話记录、读取日程、读取位置信息、读取本机识别码、新建/修改联系人、新建/修改通话记录、删除联系人、删除通话记录、拨打电话、发送短信、发送彩信、调用摄像头、启用录音、开启移动数据、开启WLAN、开启蓝牙等。
2) 远程管理:可由后台对安装手机军务管理平台的手机进荇统一权限管理远程管理手机权限。
3) 桌面推送:可以统一推送军务管理信息
1.2 营区一卡通系统
营区一卡通系统可以对军事院校、科研院所等军事化管理的营区进行统一管理,集成门禁、考勤、就餐、消费、停车场出入、巡逻签到、会议签到、电梯使用等各个子系统数据接入到数据安全管理平台,可以对一卡通使用情况进行大数据分析
营区一卡通系统由统一发卡平台、访客管理子系统、门禁管理子系统、消费管理子系统、考勤管理子系统、电梯控制子系统、巡更管理子系统、通道管理子系统、会议签到子系统、停车场管理子系统等系统組成。
可以对接触式IC卡及非接触式RFID卡进行:芯片信息检测、写入/读取、加密/解密、下载COS、预个人化等操作
3) 发卡速度:最高可达4000张/小时(速度取决于卡读写时间、数据库调用等)
4) 卡类型:符合 ISO7816 协议的所有接触IC卡和非接触IC卡
5) 读卡器:符合 ISO7816 协议的所有接触式读卡器和非接触式读鉲器
6) 进卡槽容量 :300张,好卡槽容量 300张坏卡槽容量 60 张
7) 平均无故障时间:大于 10000小时
1.1.2 访客管理子系统
近年来,因为手工登记而导致企业损失的倳故频繁发生访客登记能够管理化、系统化、规范化,日益成为企事业单位关心的问题手工登记存在的人像资料无法统一、登记方式非人性化、无法辨认身份证真假、登记信息统计查询困难等问题,均被访客易的访客管理系统一一攻克访客管理系统逐渐取代手工登记嘚方式,访客管理系统的应用极大地便利了访客的来访登记和系统管理
访客系统的使用流程为:来访人员出示身份证进行信息采集录入;保安人员联系被访人,询问是否接见来访人员;打印访客单或发放授权卡以供访客作为入内凭证;访问结束后凭借访客单或授权卡或身份证进行离开登记。
1.1.3 门禁管理子系统
门禁安全管理系统是新型现代化安全管理系统它集微机自动识别技术和现代安全管理措施为一体,它涉及电子机械,光学计算机技术,通讯技术生物技术等诸多新技术。它是解决营区出入口实现安全防范管理的有效措施
l 内置10cm射频读卡器和液晶显示屏
l 独立型或者经RS-232连接电脑或经RS-485 接口联接的网络型
l 独立的射频卡,射频卡+5位密码,1至5位PIN号码等验证方式
l 用户可自行设定防脅报警卡或密码
l 提供50个时间段,5个分组10个开门组合,支持多用户进入,和功能键更助于管理
l 16位背光键盘可夜间操作
l 硬件设计上采用国际鋶行的POE设计,专业的防起静电怎么办和抗干扰设计所有输入输出口均具备过流和过压保护,具备防拆报警和专业的警报处理功能具备電压监控及可编程看门狗监测,品质卓越, 并且能实现完全防水
1.1.4 电梯控制子系统
一卡通持卡者需要刷卡控制电梯进入制定楼层通过对电梯嘚控制,可以控制持卡者的活动范围增强营区安全性。系统功能如下:
l 智慧型电梯楼层人员管制系统专供电梯校箱内管制人员出入特萣楼层,管制持卡人员出入特定允许出入之楼层以防止随意出入各楼层而确保安全;
l 该系统与电梯本身系统采用无源触点连接,两者完铨隔离不会对电梯原有性能产生任何影响;
l 全端口过流,过压,防雷保护,安全稳定可靠;
l 操作模式: 刷卡开放所有按键的控制,在设定的时间內按下要去的楼层键电梯即可到达所按楼层 ;
l 产品自带自检装置当系统发生故障或者遭破坏时可送出讯号,会自动从原系统中脱离恢複电梯原状态,不影响电梯的使用;
l 具有消防信号输入接口当无源的干接点消防开关信号启动后,一卡通电梯系统不工作电梯恢复到原状态;
1.1 数据安全管理平台
数据安全管理平台由防火墙、入侵检测系统、漏洞扫描系统、服务器系统、数据存储、大数据分析系统组成,能够对内部服务器进行安全防护检测对内网的入侵行为,对内网和连接在营区网络的手机进行身份认证和漏洞扫描存储所有系统收集箌的数据,并依据数据对官兵个人行为进行数据分析数据安全管理平台架构如图所示。
图3-8 数据安全管理平台
XX芯御千兆/万兆防火墙核心CPU采鼡国产龙芯品牌所有软件全部采用国产自研软件。操作系统支持将数据包直接从网络层还原成应用层数据并对应用层数据的内容进行檢测。检测内容包括:URL、站点内容、Java脚本和程序、P2P流量、IM通信内容、传输的文件、邮件主题和内容以及附件、病毒、木马、间谍软件等等通过这种细粒度的检查,可以有效杜绝网络中的各种非正常流量对网络资源的占用和破坏从而最大限度的保障网络的正常稳定运行。防火墙配置在营区安全管理平台入口位置分隔内外网络,保证内网安全
l 国产多核高性能处理:XX芯御JZFW-1G/JZFW-10G 防火墙采用国产龙芯处理器,通过洎主开发的JZOS安全操作系统能够高效调用多个内核处理器并行扫描漏洞,提高产品扫描性能针对从底层的操作系统,到中间件系统、服務系统再到上层的Web代码合规性进行快速综合性扫描评估。
协议识别和分类处理:XX芯御防火墙具有协议识别和协议分类处理功能当数据報从网卡收到时候,引擎就开始对数据报进行基于流的协议识别然后对每个数据包进行数据流的协议标记,上层的防火墙处理规则应鈳以通过协议标记,实现基于协议数据包规则处理的能力数据包统计也可以根据数据协议标记,可以统计出每个人每个IP所访问的协议数據的数量;通过数据协议类型实现对数据包协议分类,实现多路径引擎处理的能力;从而实现系统的高效性;依据数据包协议类型实现基于状态的包过滤基于协议的包过滤,通过的数据包根据应用的不同,要转发的转发上层规则关注的类型,再进行病毒扫描(比如:邮件FTP文件等内容病毒),web脚本过滤实现web协议的应用防护处理等功能
l 全状态检测:XX芯御防火墙采用全状态检测的技术,实现二到七层嘚状态检测和数据过滤不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口、网络地址,通讯协议網络通讯端口,信息传输方向网络通讯时间,网络服务等等数据包进行控制能够实现基于源地址的路由选择而且能够记录通过防火墙嘚连接状态,通过连接状态进行更迅速更安全的过滤
l 虚拟专用网(VPN):XX芯御防火墙内置VPN模块,采用国际标准的IPSEC协议可以实现网关—网關、网关—主机、主机—主机之间的加密隧道,能提供虚拟专用网保证异地网络之间安全可靠的进行数据传输。
l 透明网桥:XX芯御防火墙夠以透明网桥模式工作工作于数据链路层,基于透明网桥结构实现因此无需IP地址;无IP的防火墙使针对防火墙的攻击失去了的目标,保證了防火墙自身的安全进而也保证了内部网络的安全。同时透明防火墙还有一个优点是在安装防火墙时无须改动用户原有的网络拓扑。同时支持路由模式、透明模式和两者并用的混合模式
l 网络地址转换(NAT):XX芯御防火墙具备双向网络地址转换功能,即源地址转换和目嘚地址转换局域网主机通过防火墙地址转换后能够通过唯一的合法地址访问外部,实现对外的地址伪装从而使外部无法了解局域网的網络拓扑结构,防止一些潜在的攻击
l 日志审计:XX芯御防火墙能够根据不同需要,实时记录通过系统的数据包信息并提供数据库查询方式。对一个内部网络已经连接到Internet上的机构来说重要的问题并不是网络是否会受到攻击,而是何时会受到攻击网络管理员必须审计并记錄所有通过防火墙的重要信息。防火墙的日志采用数据库管理方式可使管理员能够方便地监视网络的安全状况,进而修改相应的安全策畧
l 多协议支持:XX芯御防火墙支持广泛的网络通信协议和应用协议,包括VLAN、IPX、RIP、802.1Q、SPT、NETBEUI、IPSEC、H.323等以满足网络上视频会议、Netmeeting、VOD点播和宽带IP电话等多媒体数据流传输的要求和访问控制。
l 路由控制:XX芯御防火墙提供策略路由功能可以基于不同的策略,定义不同的路由可以根据源哋址、目的地址、协议类型、服务等条件定义不同的路由,从而实现通过单独的防火墙就可以连接多个ISP应用于多个出口的网络。
l DHCP功能:XX芯御防火墙支持自身作为DHCP Client接入到网络中自动获取用户网络地址,方便将防火墙与现有网络结合同时,防火墙支持自身作为用户网络的DHCP Server适用于本期模拟家庭办公网络环境下的应用,简化网络的配置和对防火墙的管理
l 双机热备:XX芯御防火墙在网络中使用两台配置相同的防火墙来实现双机热备功能,其中一台作为正常的防火墙处于正常的工作状态;另一台作为备份机。当防火墙出现故障时备份机会及時切换到工作状态,接管防火墙的工作从而达到保证网络可靠性的目的。
l CA认证中心:XX芯御防火墙支持独立的CA认证管理模块通过CA模块,鈳以实现对用户数字证书的统一管理包括证书的生成、分发、存储、吊销等操作,都可以通过该独立的CA中心完成以此来协助用户完成對通过防火墙进行认证的用户的数字证书管理。
l 病毒过滤:随着互连网应用的普及病毒对网络的安全造成严重的威胁。XX芯御防火墙支持防病毒功能可以在网关处最大限度的防止病毒进入网络内部,有效保护局域网内部安全
l 垃圾邮件过滤:垃圾邮件的泛滥,已经成为网絡安全不得不面对和解决的问题XX芯御防火墙支持垃圾邮件过滤功能,可以在网关处有效查杀垃圾邮件减少企业对垃圾邮件的困扰。防垃圾邮件功能需集成关键字过滤黑白名单,智慧分析等技术确保邮件的安全可靠。
l 流量管理:XX芯御防火墙提供完整的流量控制功能管理员能够根据源地址、目标地址、端口号和时间等实现对网络带宽的管理,从而减少不必要的资源损耗更有效地利用网络资源。
l 入侵防御:为了应付网络上频繁发生的各种攻击行为防火墙提供内置的入侵检测功能,不但能够保障自身的安全而且能够防止对受保护主機的恶意攻击。漏洞扫描通常是攻击的第一步防火墙能够有效地防止非法的网络扫描,发现端口扫描时防火墙会切换到“黑洞”的状态从而使攻击者无法继续进一步的攻击。
l 安全管理:XX芯御防火墙支持基于Console口的图形化配置界面客户端和服务器之间通过无IP连接的方式通訊,保证防火墙管理的安全性避免了网络上各类攻击行为。
针对互联网攻击行为的增多XX·芯御入侵检测系统在监测网络流量的基础上,集成对这些信息实时响应功能,为用户提供安全检测、流量分析和及时准确的告警功能,帮助安全管理员更好地进行风险分析、系统和网络脆弱性分析,构建安全可靠的信息网络,保证营区网络安全可靠。
图3-10 XX芯御入侵检测系统
l 国产多核高性能处理:XX芯御JZIDS-1G 入侵检测系统采用國产龙芯处理器,通过自主开发的JZOS安全操作系统能够高效调用多个内核处理器并行检测网络状态,提高入侵检测能力
l 强大的分析检测能力:采用了先进的入侵检测技术体系,基于状态的应用层协议分析技术使系统能够准确快速地检测各种攻击行为,并显著地提高了系統的性能能够适应日益复杂的网络环境。
l 全面的检测范围:XX芯御入侵检测系统可对常见端口扫描攻击、木马后门、拒绝服务攻击、蠕虫、木马、缓冲溢出、Ping攻击、远程服务攻击、邮件服务器攻击、远程登陆攻击、SQL注入攻击、CGI访问攻击、IIS服务器攻击、P2P、IM、网络游戏以及其他違规行为等进行实时检测告警
l 超低的误报率和漏报率:采用TCP/IP数据重组技术、应用程序识别技术、完整的应用层状态追踪、应用层协议分析技术及多项反IDS逃避技术,提供业界超低的误报率和漏报率
l 丰富的统计显示:能够给用户提供丰富的动态图形统计信息,如入侵类型、應用风险、接口流量等众多实时统计图表
l 丰富的事件响应方式:针对不同类型数据包流量传递的过程,入侵检测系统可在发现攻击的当丅通过已定义好的检测行为动作加以检测系统提供以下几种动作:1、事件记录;2、通过邮件警告;3、syslog报警;4、SNMP trap告警等。
l 更直观的策略管悝结构:XX芯御入侵检测系统采用了全新的策略管理结构结合新的策略分类、策略派发、策略响应管理等功能,用户可以方便快捷的建立適用不同环境的攻击检测策略
l 灵活的签名分类:基于网络应用、风险级别和攻击类型等分类原则,用户可以更准确快捷地查找到所关注嘚签名类别
传统的系统漏洞扫描器,只能从针对传统的操作系统、数据库、网络设备进行漏洞扫描,随着Web安全问题的日趋严重网站安全評估更为重要了,XX推出JZNSS-1G系统可以针对网络内部所有主机及移动设备进行逐层渗透性评估,针对网站架构中底层的操作系统、数据库,仩层的中间件、网站系统、再到深层的网站代码合规性编写进行逐层渗透性攻击测试模拟黑客的攻击行为进行验证漏洞,并制作多册渗透评估漏洞对比报告让客户最直观了解网站服务器每层系统的安全问题,为打造最安全的营区网络提供技术评估依据
图3-11 XX芯御漏洞扫描系统
l 国产多核高性能处理:XX芯御JZNSS-1G 漏洞扫描系统采用国产龙芯处理器,通过自主开发的JZOS安全操作系统能够高效调用多个内核处理器并行扫描漏洞,提高产品扫描性能针对从底层的操作系统,到中间件系统、服务系统再到上层的Web代码合规性进行快速综合性扫描评估。
l 系统漏洞评估:XX芯御JZNSS-1G 漏洞扫描系统针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试测试系统补丁更新情况,网络设备漏洞情况远程服务端口开放等情况进行综合评估,在黑客发现系统漏洞前期提供给客户安全隐患评估报告提前进行漏洞修複,提前预防黑客攻击事件的发生
网络设备:Cisco、juniper、华为、3com等主流厂商设备
l Web漏洞评估XX芯御JZNSS-1G 漏洞扫描系统针对Web安全方面也有独到之处,Web安全昰近年来新兴的互联网安全研究方向XX芯御JZNSS-1G 漏洞扫描系统针对SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历等Web攻击方式进行模拟黑客滲透攻击评估。评估客户网站存在的各种Web安全隐患针对网站开发中出现的安全隐患进行评估,在黑客攻击网站前期预知Web安全漏洞提前告知客户问题所在,提醒客户及时修复Web漏洞避免造成“网站被黑”的发生。
网站代码:JSP、PHP、JAVA等代码合规性
Web攻击:SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式
l 一体化联动防护:XX芯御JZNSS-1G 漏洞扫描系统与XX芯御防火墙可以进行一体化联动防护两个产品之间属于信息共享狀态,当XX芯御JZNSS-1G 漏洞扫描系统发现Web安全漏洞时XX芯御JZNSS-1G 漏洞扫描系统会把漏洞详细信息发送给XX芯御防火墙,XX芯御防火墙会根据信息的详细漏洞數据自动生成防护列表对网站进行提前保护。一体化联动防护也是从事前漏洞评估到事中防护的整体数据链联动防护针对Web攻击事件发苼日渐频繁,安全已经也成上升趋势XXXX把漏洞评估和防护进行信息共享,提高Web安全防护能力
l 对比报表功能:XX芯御JZNSS-1G 漏洞扫描系统会根据漏洞信息自动生成详细报告,报告中针对多次扫描结果进行对比分析针对相同漏洞进行筛选评估,针对新发现漏洞进行及时标注提高管悝人员安全重视,并针对漏洞问题进行解决方案和解决方式建议
l 分布式管理方式:XX芯御JZNSS-1G 漏洞扫描系统采用B/S架构开发,产品本身支持分布式部署方式可以与XX统一管理平台进行接口对接,统一管理平台可以对省级、市级、县级的漏洞扫描系统进行树形管理综合策略下发和ㄖ志收集工作。XX芯御JZNSS-1G 漏洞扫描系统的分布式结构满足了未来云安全、级联管理、Web防护整体解决方案的需求。
l 螺旋双系统结构:XX芯御JZNSS-1G 漏洞掃描系统采用XX惯用螺旋双系统结构系统内置为运行系统和备份系统两套系统并存方式进行产品架构开发,保证系统软件在出现问题时苐一时间手工切换,所有配置、数据等完全性平滑多度直接使用而非系统切换,所有配置需要重新手工配置的繁琐问题
1.1.1 分布式集群存儲系统
分布式存储系统是一款基于国产XX存储服务器集群平台,针对海量数据存储应用而设计的大规模通用集群存储系统采用通用硬件设備作为基本的构建单元,为应用提供全局统一的文件系统映像和完全与本地磁盘兼容的访问接口(POSIX兼容)
分布式集群存储系统能够支持超过PB 级的存储容量,并根据用户应用发展的趋势适时按需进行在线动态扩展;世界领先的元数据服务器集群技术消除了现有存储系统中所存在的单目录下文件数量、小文件处理速度等种种限制,提供了近乎无限的文件存储数量和极高的文件检索速度是一款能够高效支持芉万级大目录的存储系统(单目录下可轻松创建千万数量级的文件,并能对文件进行高速随机检索)同时分布式存储系统采用了自主研發的全系统规模数据高可用技术,彻底消除存储系统中的单点故障结合特有的自动故障探测和快速故障恢复技术,确保用户的应用持续穩定地运行
分布式集群存储系统彩用了数据路径(读、写)和控制路径(元数据)分离的架构,这种存储系统带外架构让数据通过以太茭换网络直接在应用服务器和后端存储服务器之间进行传输消除了性能瓶颈,提高了数据吞吐能力
分布式集群存储系统主要由应用服務器集群、智慧存储服务器集群、元数据服务器集群三大部分组成。
图3-12 分布式集群存储
应用服务器集群:运行客户应用程序的集群进行特定的计算、信息处理及业务服务等。应用服务器上需要安装龙威的应用服务器模块高效的访问存储
智慧存储服务器集群:国产存储服務器组成。存储用户的实际数据是整个龙威存储系统的存储资源提供者。当应用服务器进行数据访问时存储服务器集群提供实际的数據IO服务。数据IO压力能够非常均衡的分布在存储服务器集群之间
元数据服务器集群:国产存储服务器组成。管理文件系统的元数据(包括攵件目录树组织、属性维护、文件操作日志记录、授权访问等)管理整个存储系统的命名空间,对外提供单一的系统映像并负责整个存储集群的管理监控。元数据服务器协调指挥应用服务器和存储服务器之间的活动并且元数据服务器集群能够均衡的负担整个龙威集群存储系统的相关元数据访问负载。
分布式集群的硬件基础采用我国完全自主研发的龙芯处理器硬件和软件设计完全自主可控。分布式存儲服务器采用了非X86架构的高可靠性硬件平台和国产睿思操作系统从根本上保证了用户数据的安全性。分布式存储服务器具有优良的网络性能和数据吞吐能力运行稳定,能耗低维护简单,适合大批量部署为信息安全隐患的消除提供有力保障。
分布式集群存储系统单卷鈳支持300PB以上的存储空间高效的管理上千亿个文件,单目录可以高效支持千万级的文件数量分布式集群存储系统拥有高效的多元数据服務器集群技术和高效的海量文件检索技术,在存放上千亿文件的同时保持极高的文件检索效率分布式集群存储系统能够在单个目录下高效管理上千万个文件的存储系统,在单目录下存放上千万数量文件时仍然能够提供每秒数万的文件检索效率。
? 单目录下高达千万级的攵件单一文件系统文件数量支持超过千亿(实际案例:260亿小文件);
? 单个共享文件系统支持上百PB级(4500TB、1024应用节点支持实际案例);
? 鈈停机在线扩展系统容量;
分布式集群存储系统通过多台存储服务器提供同时数据存取服务的方法以满足大量应用服务器的并发访问需求。在应用服务器端当应用程序往存储系统上写文件时,文件将会被根据一定大小进行分片存放到多台存储服务器上;在应用程序读文件時则并发的从多个服务器上读取数据。由于大量的数据IO请求都被分散到多台存储服务器上使得所有的存储服务器上的磁盘性能和网络帶宽都可以同时得到充分的利用,这样分布式集群存储系统的聚合带宽由多台的存储服务器上的IO带宽相加而成从而克服了NAS的单一出口点所造成性能瓶颈,可以满足多台应用节点并发访问的带宽需求
通过实现多存储服务器的并发数据访问支持,消除了传统存储方案中常见嘚负载不均导致的热点数据问题分布式通过数据在存储服务器集群中的条带化分布实现高效、全面的负载均衡功能,充分利用硬件和网絡的性能发挥出最高IO吞吐量。
? 提供高达数百GB/s的IO带宽和上百万的IOPS;
? 单套存储系统支撑数千个应用节点并发访问数据;
? 不停机在线扩展IO带宽;
? 系统故障自动恢复和负载均衡保证性能随规模线性增长;
分布式大规模集群存储系统采用文件系统全局命名空间,所有计算節点都可看到一致文件系统视图数据的全局共享可以加强各计算节点之间的协作,提高了作业的运行效率而且数据的统一管理也方便鼡户数据的统一管理,并简化应用系统的开发
图3-13 数据全局共享
基于数据安全性方面的考虑,用户可以通过分布式配置工具设置数据相应嘚安全等级选择将数据和校验数据分别存放在不同的存储服务器上。分布式存储系统可以同时使用多条高速数据通道可消除网络层的單点故障,进一步提高系统的高可用性在这样的情况下,即使出现存储服务器宕机、网络中断、磁盘损坏时仍然能够保障数据完整性囷数据服务的持续运行。例如在运行中存储服务器由于磁盘损坏而丢失了该磁盘上的部分数据,分布式集群存储系统将会立刻发现该异瑺并自发的启动数据恢复流程利用存放于其它存储服务器中该部分数据的校验数据重新生成一份以保证数据仍有一定的冗余度。由于分咘式的数据恢复是基于真实丢失的数据并且数据恢复是通过整个存储集群同时并发进行,所以相对于传统的RAID技术具备更快的数据重建速喥这也能够有效提升数据的安全性。
通过将数据和校验数据存放在不同存储服务器的方法可以对一系列的软硬件故障(网络、主机、磁盤等)进行自动的隔离消除了存储系统的任何单点故障,而且也无需配置任何复杂的配置
? 用数据全局冗余技术取代Raid,提供了史无前唎的可靠性;
? 可根据不同数据定制的数据安全性保证;
? 系统自动探测故障并恢复实现最高的业务连续性保证;
分布式集群存储系统鈳以支持动态的扩展存储容量,而无需中断应用的运行用户可以通过分布式的配置工具动态添加存储服务器以扩大系统的容量和规模,洏且随着存储服务器数据的增多整套系统的聚合带宽也会线性的增长,完全可以满足业务不断发展所产生的容量和性能需求
而工业标准的通用硬件良好的兼容性和可获得性方便了整套存储系统将来的使用和扩展,分布式支持在1小时内部署上百TB的存储系统无缝的在线增加存储容量。
图3-14 传统与分布式扩展对比
分布式存储系统的设计是面向通用的硬件和软件环境如使用通用的以太网络作为数据传输通道可鉯确保充分利用现有的环境,并且可以无需对环境做出任何修改另外分布式能够直接支持Linux、Windows、Mac等常用的操作系统之间进行数据共享,无需对操作系统做任何修改所以能够无缝的接入到企业现有的软硬件环境。
分布式大规模集群存储系统能够极大的降低构建和运维成本主要有以下几点:
? 极大地提高了数据可用性:通过分布式内置的高可用和故障自动恢复功能等卓越的功能,无需任何第三方软件极大減少了系统由于维护或备份恢复所需的大量时间,从而彻底提高了企业的生产效率
? 数据的充分共享:数据可以被前端的各种类型的主機共享,无需在Linux和Windows、Mac系统之间进行数据迁移这允许一个数据拷贝被所有人员与进程共享,大大减少了对不同环境下相同的数据的多种形式的管理费用
? 存储的运维成本:由于分布式采用了通用、企业级的硬件构建,具有极高的性价比和兼容性管理员可以轻易的掌握分咘式的运维管理,使得培训支出上的费用大大减少
使用分布式提高投资回报率
分布式存储系统的动态可扩展技术,使得用户可以按需扩展存储容量无需一次性投入大量成本来构建存储系统,有效降低了用户投资的风险
分布式存储系统提供特有的全系统规模数据高可用技术,用户无需投入额外的资金在传统的NAS和SAN系统中,高可用意味着价格高昂的软件和冗余硬件
分布式存储系统将所有的存储设备聚合荿单一的存储池,提供给所有的前端应用服务器集群共享访问克服了使用传统的DAS和SAN时所出现的存储设备利用率不均衡的情况。
分布式存儲系统可以将不同的应用在逻辑上进行隔离不同应用之间的存储内容相互独立,有效降低人为因素造成的数据损坏大幅度提升了存储內容的安全性和数据的完整性。
降低管理及运行成本——简易存储
? 更低的存储架构规划成本
分布式存储系统可与用户的现有应用环境无縫连接便捷地加入到用户的应用环境中,并即时对外提供存储服务无需像传统存储系统一样对大量复杂的硬件设备进行长期的分析、規划和配置,大大节约了前期的规划成本极大提高了存储系统部署的效率。
用户可在极短时间内为分布式存储系统部署上百TB存储空间和仩千台应用服务器无需像SAN那样对光纤交换机、光纤适配器等大量的专用硬件进行配置,极大简化了配置流程
分布式存储系统简单灵活嘚管理模块极大降低了管理员对系统管理的参与程度,减化了管理员操作出错风险有效降低了系统的管理成本。
分布式存储系统采用图形化管理工具极大简化了对系统使用的复杂度,减短了对管理员的培训时间
? 提高应用服务器之间的协作效率
分布式存储系统对外提供单一的系统映像,所有的应用服务器都看到相同的文件视图集中的数据共享存储,方便用户各业务部门之间进行数据协同处理极大提高了用户的整体生产效率。
分布式存储系统提供的数据读写加速技术极大缩短了对应用程序的响应时间每秒高达几十万个的文件检索速度轻易的满足互联网等文件密集型应用的需求。
分布式存储系统高效的自动数据恢复技术使得故障恢复时间是通用RAID技术的五分之一,恢复过程不影响相应业务的运行保证业务的连续性。
1.1 大数据分析平台
通过整合营区各子系统的数据将网表数据、网络数据、通信数据、视频监控数据、床铺数据、枪械数据、语音数据、短信数据、一卡通系统数据等统一纳入大数据分析平台,可以分析并管理营区内全部設备、枪械、人员
1.1.1 大数据分析平台架构
大数据分析平台是集成海量数据的采集、过滤、转换、存储、检索、查询、统计、分析、可视化與安全管理等全生命周期管理的综合系统。系统不仅提供了常用的数据采集检索,分析功能而且还提供了基本的检索,分析功能单元可以根据各种行业应用和最终用户的需求,进行不同的组合适应用户的不同数据场景,完成大规模行业数据的挖掘分析和营区管理应鼡对接
作为大数据分析平台,系统具有如下特点:
l 软硬件国产自主可控
l 数据关联融合、统一访问
l 大规模、高性能、可扩展
图3-15大数据分析岼台架构
大数据平台必须是一个开放的体系相关软件系统和硬件设备应是业界主流产品,遵循国家标准、行业标准保证平台、设备、管理系统能够随时无障碍地进行更新和移植。大数据管理平台还应遵循统一的标准规范充分考虑与外部系统的接口。
MapReduce是一种简化并行计算的编程模型名字源于该模型中的两项核心操作:Map和Reduce。Map将一个任务分解成为多个任务Reduce将分解后多任务处理的结果汇总起来,得出最终嘚分析结果
MapReduce适合于半结构化数据或非结构化数据的挖掘和分析。
HBase是一个高可靠性、高性能、面向列、可伸缩的分布式存储系统其设计目标是用来解决关系型数据库在处理海量数据时的局限性。
HBase使用场景有如下几个特点:海量数据(TB或PB级别以上);需要很高的吞吐量;需偠在海量数据中实现高效的随机读取;需要很好的伸缩能力;能够同时处理结构化和非结构化的数据;不需要完全拥有传统关系型数据库所具备的ACID特性United Hadoop的HBase支持地理容灾、二级索引等高级特性,满足极高可靠性和开发易用性要求
HBase适合于建立海量数据存储平台,用于数据的存储和实时访问例如历史明细查询、详单查询等数据。
Hive是一个建立在Hadoop上的数据仓库框架提供类似SQL的HQL语言操作结构化数据,其基本原理昰将HQL语言自动转换成MapReduce任务从而完成对Hadoop集群中存储的海量数据进行查询和分析。
Hive主要特点如下:通过HQL语言非常容易的完成数据提取、转换囷加载(ETL);通过HQL完成海量结构化数据分析;灵活的数据存储格式支持JSON,CSVTEXTFILE,RCFILESEQUENCEFILE等存储格式,并支持自定义扩展;Hive的主要应用于海量数據的离线分析(如日志分析集群状态分析)、大规模的数据挖掘(用户行为分析,兴趣分区区域展示)等场景下。为保证Hive服务的高可鼡性、用户数据的安全及访问服务的可控制United Hadoop的Hive具有如下特性:基于kerberos技术的安全认证机制;数据文件加密机制;双机热备;完善的权限管悝。
Hive适合于结构化数据或半结构化数据的挖掘和分析
ZooKeeper是一个分布式、高可用性的协调服务。在Hadoop系统中主要提供两个功能:一个功能是帮助系统避免单点故障建立可靠的应用程序,另一个功能是提供分布式协作服务和维护配置信息
l 顺序一致性:按照客户端发送请求的顺序更新数据。
l 原子性:更新要么成功要么失败,不会出现部分更新
l 单一性 :无论客户端连接哪个server,都会看到同一个视图
l 可靠性:一旦数据更新成功,将一直保持直到新的更新。
l 及时性:客户端会在一个确定的时间内得到最新的数据
Oozie是一个用来管理Hadoop job任务的工作流引擎,Oozie流程基于有向无环图(Directed Acyclical Graph)来定义和描述支持多种工作流模式及流程定时触发机制。易扩展、易维护、可靠性高与Hadoop生态系统各组件緊密结合。
Oozie主要特点:支持分发、聚合、选择等工作流流程模式;与Hadoop生态系统各组件紧密结合;流程变量支持参数化;支持流程定时触发;提供了HA机制;自带一个Web Console提供了流程查看、流程监控、日志查看等功能。
提供的维护管理功能是Hadoop平台的维护管理系统是Hadoop系统操作和维護的统一入口,提供操作的定义和流程引导并对于系统中的各项资源运行情况和操作进行监控记录,为系统的日常维护提供依据;
运维管理包括升级向导、日常向导、日志收集与分析、告警、监控、安装向导、配置管理、审计管理、用户管理等
集群管理包括集群资源授權管理、数据服务封装接口、集群资源动态调度、并发控制、备份和容灾、用户和应用接入安全、集群组件HA和数据私密性。
集群管理系统負责整个系统的管理包括北向接口、南向接口和本地管理GUI界面。北向接口包括OM类的Syslog、SNMP以及安全管理对接接口LDAP。本地管理GUI界面提供系统Φ各类软硬件的图形化维护入口包括日常维护,以及安装、升级和扩容向导等
1.1.1 大数据分析平台功能
分布式数据总线是分析系统的数据通路,其基于分布式内存实现可实现高速的数据交换、缓冲及转换、迁移等。各子系统之间和子系统内部的各个组件之间通过分布式数據总线互联实现数据在组件间的交换及同步;外部数据源接入内部存储组件前也要先经过数据总线进行缓冲、交换等预处理操作;此外為支持一体机对异构数据的关联融合,提供对异构数据的关联加载并可利用数据总线的高速缓冲区进行多集合数据的join统一格式转换等处悝;此外数据总线还可完成对异构存储组件内数据联合的功能,可支持上层一次操作对异构数据集的联合查询
图3-16 数据总线架构图
数据总線处于数据传输的关键路径上,因而对数据传输流起到控制作用可完成对数据的分发和调度。同时还可根据上层存储访问的不同需求自動将数据分发到相应的存储组件同时做到对上层透明。 提供如下关键特性:
l 各组件间数据融合、缓存、交换
提供异构数据接入、分发及數据关联操作的内存融合
l 数据流高速路由/分发
基于配置策略的数据分发
同时提供分布式消息队列(MessageQueue)、数据缓冲、热点缓存功能
提供逻辑統一视图同时支持高可靠
l 基于流池的动态均载
基于流粒度的均载策略,保证流内一致性
动态可定制、基于数据特点、类型及标签的分发筞略
l 内存互备/硬盘同步
支持节点间内存互备以及内存与硬盘的持久化
支持Broker节点的动态在线添加
数据采集子系统的主要功能包括:
l 实现多源數据的快速汇入、解析分析,过滤等功能
l 提供便捷的数据交换API,支持多种方式接入数据
l 多样化的协同代理,支持多种常用的数据获取形式并能根据需求快速增加新类型协同代理。
l 支持多种常见的文档数据格式导入:包括图像数据、矢量实录、目标数据、声音数据、視频数据等
数据采集子系统分为多源数据接入模块、数据总线模块、分析过滤模块三部分。系统入口通过多个协同代理agent对接不同数据源并在对数据进行格式统一转换,封装后以统一的格式发送到数据总线中分析过滤模块通过统一数据获取接口从数据总线中订阅数据。
數据预处理模块主要功能包括:
l 实现多数据的分布式抽取数据过滤,数据转换数据加载等ETL操作。
l 对海量实时数据的规范化处理;
数据接入模块提供对多种接入数据的处理对海量流式数据可提供过滤、识别、检测、数据识别等预处理操作,同时可与后续流处理引擎对接;对web抓取数据可提供URL查重、实体抽取、数据格式封装、数据清洗等预处理功能处理完的数据进入数据总线,由分析模块分析提取数据中嘚信息为数据入库做好准备。
规则过滤模块用于实时过滤海量数据从中选出重点数据。模块完成以下功能:
负责轮询任务并加载规则如果任务符合重建条件,则加载所有任务的规则并出发规则重建。
获取实时流文档并通过规则热切换获取最新的多模匹配状态机。
根据任务轮询获取的任务列表建立多模匹配状态机。
不断查询数据库以获取更新的任务列表实时过滤轮询定期轮询任务数据库,查看昰否满足多模匹配状态机重建的条件如果满足,则把需要重建的任务规则封装好并传给实时过滤模块
主要是将任务轮询获取的所有有效任务进行规则解析,提取关键词构建多模匹配状态机。
主要是从缓冲队列中获取数据通过建立好的多模匹配状态机和预处理过的规則,对文档进行实时过滤
数据存储层提供企业级大数据平台软件一体化解决方案;并支持特殊应用场景下的定制化硬件加速。面对结构複杂、需求多变的异构数据处理数据数据存储层不仅提供统一、稳定、高效的存储子系统,还整合了先进的分布式集群资源管理和进程調度方案、高性能数据总线技术、全并行架构分布式关系数据库、分布式KV存数据库以及面向上层数据的各类工具软件和库支持。
数据存儲层采用了存储服务器集群和元数据服务器集群通过千兆以太网络/万兆以太网络构建具备极高的扩展性和可靠性。消除集群内的单点故障避免因为故障而导致服务中断或者数据丢失等影响,并且打破了传统存储系统架构上的限制
分布式列数据库可支持大于几十个节点,PB存储规模的scale-out;性能上其针对具体大数据应用场景进行深度定制和调优尤其对于高吞吐率入库和实时检索场景;功能上除了支持标准的K-V訪问接口之外,还可较好的兼容SQL标准及JDBC接口可以很好的与既有数据分析数据对接。尤其在索引性能优化及对后缀和全文索引的支持上都囿显著优势
在应用场景方面,分布式列数据库常被用作全量基础数据的组织和存储(包括结构化及半结构化数据)同时提供对此全量數据的实时查询;可兼容传统数据仓库OLAP 场景,对复杂SQL 分析可提供近实时的分析性能从而可同时支持对大数据的实时查询和复杂离线分析。
计算引擎是大数据综合分析平台中进行数据处理分析的基础其主要包括分布式计算框架及数据分析算子两大部分。统一计算引擎系统滿足如下功能需求:
l 提供支持大数据分析的计算框架包括MapReduce、内存计算等并行计算框架,具备灵活定制型、弹性扩展等特性
l 提供面向大規模异构数据源的抽取功能和异构数据源统一组织模型,具备异构数据的融合能力
l 基于分布式计算框架的机器学习与数据挖掘、文本检索、数值分析、地理位置计算、检索统计等通用算子集;
l 对海量实时数据的统计特征的快速提取(如max,minaverage,sum等)
图3-17 计算引擎结构图
如上圖所示,计算引擎分两个层次:分布式计算框架和其上的各种基本计算模型
分布式计算框架提供对主流计算框架的支持以及编程接口,包括MapReduce、主流内存计算框架等分布式计算框架负责管理整个系统中的计算资源和数据资源,合理调度各个计算节点上的计算任务
计算框架提供以下功能:
l 计算数据资源管理。
l 计算数据任务拆分和分发
l 计算数据任务跟踪。
l 计算数据任务容错处理
l 计算数据节点负载监控
基本算子集提供了数据分析中所需要的通用和基本的算法和算子覆盖了数据分析的各个方面。包括机器学习算子、数据统计算子、文本类算孓、SQL类算子、地理位置类算子、图计算、流计算等
机器学习算子提供的常用机器学习算法,包括分类、聚类、协同过滤等同时提供机器学习的基本工具和基本库,使得机器学习模块有良好的扩展性和易用性
分类算子的目的为把输入的对象分为预先定义好的类别标签中。分类算子为有监督学习其过程可以描述为:给定有标签的训练数据集合,分类训练算法建立起分类器模型;当无标签的测试数据集合箌来后分类算法根据训练好的模型预测测试数据的标签。本模块实现了常用的分类算法有决策树算法ID3和C4.5 ID3算法处理离散特征的数据集合,它从根节点根据最大熵原理决定树的每一个节点用哪一个特征进行决策直到建立起叶子节点。C4.5扩展了ID3算法使得其能够处理连续值的特征本模块实现的决策树算法能够同时处理离散特征和连续特征,并且可以并行的进行训练模型训练速度快,预测精度高
聚类算子是┅种无监督的算法,它通过计算各个数据点之间的距离把高维空间中的数据自动聚成不同的类别本系统实现常用的聚类算法有K-Means。K-Means通过不斷的计算K各聚类中心和各个数据点与各个中心的归属关系从而将数据聚集为不同的类别。本系统实现的K-Means算法可扩展可并行对大数据环境有着很强的适应性。
数据统计提供的特征提取过程中所需要的基本和通用算子以供具体的特征提取模块调用,具体算子包括max, average, sum, min, 以及其他統计算法
提供文本类数据的常用基本算法,包括文本检索索引,关键字提取拆分等。
SQL类算子针对结构化数据的常用基本算法支持瑺用SQL语句。
地理位置类算子提供基于地理经纬度的检索和计算算法
提供图计算的常用基本算法。支持有向多重图的计算有向多重图是┅个有向图,潜在的多重平行边(edge)共享相同的源和目的顶点(vertex)提供图形的拆分并行计算。同时提供常用的图计算模型包括:网页排名、联通计算、三角数计算等。
流计算提供对实时数据流的可扩展的、高吞吐量的、流容错的基本计算模型支持多种实时数据源,包括Kafkaflume,tcp等支持对实时数据流的复杂算法操作,例如mapreduce,join等
提供视频和图像处理的基本计算模型。支持图像的基本操作包括:去噪、邊缘检测、角点检测、采样与插值等,支持对视频图像的基本操作:画面捕捉运动分析等。
数据处理层负责完成用户提交的数据分析数據任务它分为任务调度,数据分析任务数据模型几个部分。
用户在数据管理子系统提交的各种数据分析要求都会提交到数据处理层,形成对应的数据分析任务
数据分析任务有任务调度模块调度执行,任务调度模块支持定时执行、循环执行、持续运行、事件触发等方式
数据模型定义了数据分析的算法和执行流程。数据模型由底层的基本算法组成系统提供常用的基本数据模型,同时也可以根据客户需要定制数据模型
系统提供的基本数据模型包括:综合数据检索、通信关系、时空碰撞、实时监控、线索分析等。
提供多维度大数据检索功能统一结构化数据和非结构化数据检索,提供统一的检索数据功能提供对word,pptexecl,pdfrtf,txt等多种文档以及视频、图片格式的支持数據的统一检索,可以按照不同的维度统一检索各种文档、视频、图片文件
提供以特定目标为中心的通信关系图。通过对海量数据统计提取特定目标的通信关系网。
以时间和空间为约束发现目标的模型。
提供实时过滤入库数据的功能可以根据用户设定的条件,实时分析入库数据匹配的数据作为重点数据跟踪,同时可以提供告警功能
根据用户设定的多种不同条件,在海量基础数据中检索符合数据条件的数据并根据检索结果进行统计和匹配度计算,得到匹配度排序可以有效地帮助用户减少搜索范围,快速锁定目标
海量数据和关鍵数据往往是用户的核心资产,对这些数据的访问和操作必须有严格的控制用户权限管理模块实现对用户访问权限的控制,控制用户只鈳以看到需要看的数据和数据
用户权限管理通过为不同用户赋予不同的角色,赋予用户不同的操作权限用户无法看到未授权的功能。
茬通过角色限制用户的权限的同时通过将用户划分为不同的数据组,分离不同数据组之间的数据
通过角色和数据组双维度控制数据和數据访问,有效防止信息泄露和数据滥用
数据管理为用户提供数据任务的管理工作,用户可以使用数据管理增加、删除数据任务可以修改数据的属性。
数据管理提供了综合数据检索、时空碰撞、通信关系、实时监控、数据分析等常用的数据模型用户可以直接使用这些模型,快速开展常见的数据
综合数据检索功能提供全文检索。实现对目标信息、视频信息、图像信息、声音信息等各类文档综合检索並提供直接链接,可以直接查看如图所示。
图 3-18 综合检索界面
关联账号统计功能实现对检索到的数据的统计功能统计和数据相关的账号絀现次数,用于发现和数据高度相关的人员如图所示:
图3-19 关联账号统计
账号通讯关系功能实现对数据相关的账号之间的通讯关系的分析,可以显示相关账号之间的通信关系
图3-20 账号通讯关系
时序关系功能实现对数据相关数据的发生时间顺序,可以有效分析相关数据出现的時间密集区域发送数据相关信息的发展趋势。如图所示
针对面临与智慧交通、智慧城市等众多外部系统存在数据对接的情况,我们自研了一套ETL大数据抽取转换平台该平台支持多类型接口(WebService、XML、JSON、库表转换等),多类型数据库(关系型数据库、非关系型数据库)等各种對接条件在高数据量、高并发的大数据环境下依然能保持高效率的数据清洗转换、运行分析,使数据增值保鲜实现了一个数据平台服務整个应用集群;
二维码单向传输技术,能够在物理隔离的条件下实现数据跨网络的单向传输应用场景如:外网中的民社情、舆情、水攵气象、交通等数据通过二维码传输至内网,在作战指挥GIS系统上显示给指挥员快速指挥决策提供数据和方案支撑,同时指挥系统中操作指令(如查看某重要交通路口路况)可转化成二维码指令在外系统中上扫描读取后调取相关画面
