发布时间:2026.03.24 11:43浏览次数:作者:INTCARD
Intcard信创、等保2级标准的IPv6人脸门禁一卡通系统投入运营
2025 年 12 月,北京保障房中心新总部办公楼正式投入使用。由仪创科技承建的人脸门禁一卡通综合管理系统,顺利完成信创适配、
等保 2.0 二级测评验收与 IPv6 双栈部署,成功打造企业总部智慧园区多模态统一身份通行标杆工程,实现全场景、高可靠、国产化、
合规化一体化运营。
一、项目概述
1.1 项目背景与建设目标
本项目面向智能楼宇与企业总部园区,构建集身份认证、通行管控、消费结算、车辆管理、访客管理、移动服务于一体的人脸门禁一卡通
综合管理平台。
系统全面适配国产化信创生态,严格遵循《网络安全等级保护 2.0(GB/T 22239-2019)》二级安全要求,原生支持IPv4/IPv6 双栈网络,
实现统一身份、
统一权限、统一数据、统一管理的智慧通行与安全管控目标。
系统以 “一卡通行、一脸通行、一码通行、一机通行” 为核心,融合智能卡、人脸识别、二维码、手机 NFC 四种识别介质,打通门禁、
通道、梯控、访客、消费、停车、微信小程序全业务链路,在满足日常办公、人员管理、安全防控、便捷服务的同时,完成全栈国产化
改造与等保合规加固,为园区提供稳定、安全、高效、可扩展的一体化身份通行能力。
1.2 合规与核心技术要求
• 信创合规:全栈适配国产操作系统、国产数据库、国产中间件,核心软硬件自主可控。
• 等保合规:按等保 2.0 二级标准完成物理、网络、主机、应用、数据、管理六面安全加固。
• 网络适配:原生支持 IPv4/IPv6 双栈运行,支持纯 IPv6 部署与平滑过渡。
• 业务全覆盖:统一平台 + 小程序 + 访客 + 门禁 + 通道 + 梯控 + 消费 + 停车全模块一体化。
• 多模态识别:支持智能卡、人脸、二维码、手机 NFC,覆盖全场景通行与消费。
二、系统整体架构设计
2.1 总体技术架构
系统采用“四层架构+双栈网络+信创底座”的整体设计,从上至下分为应用展示层、平台服务层、信创支撑层、终端设备层,
底层搭载IPv4/IPv6双栈网络,全面依托国产化软硬件底座,实现业务与合规深度融合。
2.1.1 终端设备层
包含人脸识别门禁一体机、通道闸机、梯控读卡器、人脸消费 POS 机、车牌识别终端、双屏访客一体机、手机 NFC 终端等前端设备。
全部采用国产主控芯片,支持 IPv6 接入、多模态识别、离线缓存、防拆报警、断网续传,保障极端网络环境下业务不中断。。
2.1.2 信创支撑层
系统核心运行底座,全部采用国产化产品:
国产服务器(鲲鹏 / 飞腾 / 海光)
国产操作系统(银河麒麟 / 统信 UOS)
国产关系型数据库(达梦 / 人大金仓)
国产应用中间件(东方通)
国产 Web 服务器与运行环境
2.1.3 平台服务层
以仪创 ACC 人脸手机聚合一卡通集成平台软件 V5.0为核心,提供统一身份管理、统一权限控制、人脸算法服务、数据存储服务、
日志审计服务、IPv6 网络适配服务、第三方接口对接服务,实现全业务模块联动与数据互通。
2.1.4 应用展示层
面向多角色提供统一入口:
• 管理平台(管理员 Web 端)
• 微信小程序 “掌上通 V5.0”(内部人员)
• 访客自助端(外来人员)
• 前端设备交互界面(终端本地)
• 实现多端同步、权限同步、数据同步、状态同步。
2.2 网络架构(IPv6/IPv4双栈并行)
系统采用双栈并行、优先 IPv6架构,兼顾新总部 IPv6 网络与存量系统兼容,实现平滑升级:
• 核心网络:国产交换机 / 防火墙开启双栈,支持 IPv6 地址分配、路由转发、ACL 安全策略。
• 地址配置:终端支持静态 IPv6、DHCPv6、SLAAC 无状态自动配置,取消硬编码 IPv4。
• 网络隔离:一卡通专网与办公网逻辑隔离(VLAN+ACL),禁止外网直连与非授权访问。
• 通信机制:平台与终端同时支持 IPv4/IPv6,优先走 IPv6,自动切换备用链路,业务不中断。
2.3 数据架构
采用集中式数据存储架构,依托国产数据库统一存储人员信息、人脸模板、卡片信息、权限策略、通行 / 消费 / 停车 / 访客记录、
系统日志等全量数据。
• 敏感信息加密存储
• 日志独立存储、不可篡改
• 数据分类分级、可追溯可审计
• 满足等保 2.0 二级数据安全与留存要求
三、核心建设内容与功能设计
本系统核心建设内容为“1个统一平台+7大业务模块+1个移动端入口”,全模块联动,实现一卡通全场景覆盖,具体功能设计如下:
3.1 ACC人脸手机聚合一卡通集成平台软件ACC-SOFT5.0
作为整个系统的管理核心,采用B/S架构,适配国产浏览器访问,部署于国产化服务器与操作系统之上,所有操作基于Web端完成,
无需安装客户端,实现全业务模块的统一配置、统一管理、统一监控、统一审计。
核心功能
· 统一人员管理:支持内部人员信息批量导入、编辑、归档,人脸模板采集与上传,卡片信息绑定,人员分类分组管理
(员工、访客、运维、后勤等)。
· 统一权限管理:按人员、部门、区域、时段、设备维度精细化配置通行与消费权限,支持临时权限、定时权限、批量授权,
权限变更实时同步至前端终端。
· 设备集中管理:全前端设备(门禁、通道、梯控、消费、停车、访客)统一接入、在线状态监控、参数配置、远程升级、故障告警,
支持IPv6地址设备管理。
· 数据统计分析:生成通行报表、消费报表、停车报表、访客报表、设备运行报表,支持数据导出、筛选、查询,辅助管理决策。
· 日志管理中心:全量记录管理员操作日志、人员通行日志、设备告警日志、登录日志,日志留存不少于6个月,支持日志查询、
导出,满足等保二级审计要求。
3.2 手机小程序模块:掌上通V5.0
面向内部人员的轻量化移动端入口,基于微信小程序开发,无需下载安装,实现便捷自助服务与移动通行。
· 移动通行:生成动态通行二维码,支持北京市政交通手机NFC电子卡,实现扫码、NFC刷手机开门、过闸、乘梯。
· 人脸自助管理:自助上传、更新人脸照片,完成人脸模板注册,无需后台手动录入。
· 访客预约:提前为外来人员发起访客预约,填写访客信息、到访时间、访问区域,生成访客临时通行码。
· 记录查询:自助查询个人通行记录、消费记录、停车记录。
· 账户管理:消费账户充值、余额查询、卡片挂失与解挂。
3.3 访客管理模块V-SOFT 5.0
实现外来人员全流程规范化管理,杜绝外来人员随意出入,分为线上预约与线下自助登记两种模式,联动门禁、通道、
梯控实现临时通行管控。
· 访客登记:访客一体机现场身份证读取、人脸采集、信息录入,绑定被访人,审核通过后生成临时二维码/临时卡。
· 线上预约审核:内部人员小程序预约,管理员后台审核,审核通过后推送临时通行凭证至访客手机。
· 临时权限管控:访客权限绑定到访时间与访问区域,超时自动失效,支持手动注销。
· 访客记录留存:全量记录访客信息、到访时间、离开时间、通行区域,可追溯查询。
3.4 门禁管理模块A-soft 5.0
覆盖楼宇各楼层办公室、机房、楼道、重要房间等出入口,实现精准出入管控,支持多模态识别,适配IPv6网络接入。
· 四合一识别:人脸 / 刷卡 / 二维码 / NFC,支持活体检测。
· 安全策略:反潜回、防尾随、门磁告警、超时未关、防拆报警、胁迫报警。
· 离线运行:断网本地缓存权限,联网自动同步。
· 消防联动:火灾自动解锁,保障疏散安全。
3.5 通道管理模块GC-SOFT3.0
适配楼宇大堂、园区入口、大厅等速通门场景,实现人员快速有序通行,防止尾随闯入。
· 快速通行识别:人脸、刷卡、二维码、NFC快速核验,核验通过闸机开门,未授权人员禁止通行。
· 防尾随与异常告警:红外检测尾随行为,非法闯入、反向通行自动告警,闸机自动锁闭。
· 批量通行管控:支持上下班高峰时段批量通行,提升通行效率。
3.6 梯控管理模块ELV-SOFT5.0
实现电梯乘坐权限管控,杜绝无关人员随意乘坐电梯或到达非授权楼层,提升楼宇安全性。
· 楼层权限管控:按人员权限配置可到达楼层,刷卡/人脸/二维码核验后,仅开放授权楼层按钮。
· 直达与分层控制:支持刷卡直达目标楼层,无需手动按键,访客仅开放指定楼层。
· 消防联动:消防模式下,梯控自动失效,电梯回归首层,保障应急使用。
3.7 消费管理模块E-SOFT 5.0
覆盖园区食堂、便利店、小卖部等消费场景,实现一卡通消费结算,支持账户统一管理,杜绝现金交易,便捷高效。
· 多方式消费:刷卡、人脸、二维码消费,支持定额消费、自由金额消费。
· 账户管理:统一账户充值、补贴发放、余额查询、消费明细查询。
· 消费报表:统计每日、每月消费金额、消费人次,支持对账与数据导出。
· 离线消费:断网情况下支持离线记账,联网后自动同步数据,不影响正常消费。
3.8 停车管理模块P-SOFT 5.0
联动园区停车场系统,实现车辆进出自动识别、计费管理,与一卡通人员信息联动,内部车辆与访客车辆分类管控。
· 车牌自动识别:车牌识别一体机自动识别车牌,内部车辆自动放行,访客车辆登记放行。
· 停车计费:支持按时长计费、包月计费,内部员工车辆优惠或免费,访客车辆自动计费。
· 车位管理:剩余车位显示、车辆进出记录留存、异常车辆告警。
· 数据联动:停车记录同步至一卡通平台,与人员信息关联,可追溯查询。
四、信创国产化适配方案
本系统严格遵循国产化自主可控要求,全栈核心软硬件选用国产合规产品,完成全面适配兼容,无国外核心涉密组件,
具体适配清单如下:
4.1 硬件国产化适配
· 服务器:选用鲲鹏、飞腾、海光等国产处理器平台服务器。
· 前端终端设备:仪创的人脸识别一体机、门禁控制器、通道闸机、人脸消费POS机、双屏访客机,全部采用国产主控芯片。
· 网络设备:交换、防火墙、路由器选用华为、新华三、锐捷等国产品牌,支持IPv6 / 双栈 / 安全策略。
4.2 软件国产化适配
· 操作系统:服务器端适配银河麒麟、统信UOS等国产操作系统。
· 数据库:选用达梦、人大金仓等国产数据库,支持IPv6环境下数据读写与存储。
· 应用中间件:选用东方通国产中间件。
· 客户端/浏览器:适配国产浏览器,支持移动端国产系统适配。
五、等保2.0二级安全设计方案
本方案严格按照《网络安全等级保护2.0(GB/T 22239-2019)》二级标准进行安全加固,围绕物理安全、网络安全、主机安全、
应用安全、数据安全、安全管理六大维度开展,满足等保二级基础防护与合规要求。
5.1 物理安全
· 核心服务器、网络设备部署于专用机房,机房配备门禁管控,禁止无关人员出入。
· 前端终端设备具备防拆、防撬、防盗报警功能,触发告警实时上传平台。
5.2 网络安全
· 一卡通专用网络与办公网、外网逻辑隔离,通过VLAN划分与ACL策略限制访问。
· 部署国产防火墙,关闭非业务必要端口,禁止外网直接映射前端设备与平台。
· 平台与终端通信采用加密传输,远程管理采用HTTPS加密协议,禁止明文管理。
· IPv6网络配置安全策略,防范地址冲突与非法接入,保障网络传输稳定。
5.3 主机与应用安全
· 服务器操作系统强化加固,关闭不必要服务与端口,定期更新补丁。
· 平台账号实行角色分权管理,分为管理员、操作员,权限最小化分配。
· 账号启用强密码策略,密码具备复杂度要求,登录失败多次自动锁定,禁止默认弱口令。
· 重要操作(权限修改、数据删除、设备配置)全程留痕,不可随意删除。
· 平台具备登录告警、异常操作告警、设备故障告警功能,支持实时提醒。
5.4 数据安全
· 人员人脸信息、卡片信息、账户信息等敏感数据加密存储,防止数据泄露。
· 数据库定期自动本地备份,备份文件加密留存,支持故障快速恢复。
· 操作日志、通行日志、告警日志独立存储,留存时间不少于6个月,支持追溯查询。
5.5 安全管理
· 制定配套安全管理制度,包括账号管理、设备运维、日志审计、应急处理制度。
· 建立日常运维巡检机制,定期检查设备运行、网络状态、数据备份情况。
· 制定故障应急处理预案,针对网络中断、设备故障、系统异常场景,快速响应恢复。
六、IPv6网络适配专项设计
6.1 核心IPv6适配能力
· 系统平台与前端终端全面支持IPv4/IPv6双栈协议,可同时在两种网络环境下运行,平滑过渡。
· 终端支持IPv6静态地址配置、DHCPv6有状态地址分配、SLAAC无状态地址自动配置,适配不同IPv6网络环境。
· 取消所有硬编码IPv4地址,支持IPv6地址设备接入与管理。
· 日志系统支持IPv6地址记录、查询、筛选,完整留存IPv6网络下的操作与通行数据。
6.2 IPv6网络部署要点
· 核心交换机、防火墙开启IPv6功能,配置IPv6网段与路由策略,保障IPv6网络通畅。
· 双栈环境下,系统优先选用IPv6网络通信,IPv4作为备用链路,提升网络兼容性。
· IPv6网络部署完成后,开展连通性、稳定性、兼容性测试,确保全业务正常运行。
传统 IPv4 门禁系统升级到 IPv6,是终端硬件、嵌入式固件、管理平台、网络、安全、运维全栈的系统性改造,核心是实现双栈兼容、
平滑迁移、业务不中断。
总结而言,最大的难点在于“牵一发而动全身”。升级不仅是更换地址格式,更是对系统网络架构、安全模型、代码质量、
测试体系和运维能力的一次全面考验。许多问题在纯IPv4环境下从未暴露,会在双栈或纯IPv6的复杂交互中显现出来。因此,充分的规划、
分段实施以及严格的测试是攻克这些难点的关键。
七、项目成果与总结
本项目建成的信创、等保 2 级、IPv6 人脸门禁一卡通系统,在北京保障房中心新总部成功落地并投入正式运营,实现四大核心目标:
1、 全栈国产化:硬件、软件、系统全面自主可控。
2、 等保二级合规:六面安全加固,通过官方测评验收。
3、 IPv6 原生支持:双栈并行、优先 IPv6,平滑升级无风险。
4、 全业务一体化:统一平台覆盖门禁、通道、梯控、访客、消费、停车、小程序。
系统实现同城异地四个办公区集中管控,大幅提升园区安全管理水平、降低运维成本、优化人员通行体验,完全满足信创、等保、IPv6 三重合规要求,
成为企业总部智慧园区一卡通升级改造的标杆案例。
010-82601155 18610565818 15901027878
1051081155
sales@intcard.com.cn