学校门禁系统建设指南(试行)

学校门禁系统建设指南(试行)一、建设目标与适用范围本指南为各级各类学校（含中小学、幼儿园、普通高等学校、职业院校、技工院校）门禁系统新建、改扩建工程提供建设规范与实施指导，旨在构建精准、高效、安全的人员车辆流动管控体系，满足平安校园建设要求。核心建设指标为：人员身份核验准确率不低于99.5%，高峰时段单通道通行速度不低于1人/秒，出入口高峰拥堵等待时间不超过10秒，异常事件告警响应延迟不超过3秒，日志数据留存符合国家相关规定。本指南试行期间，各地可根据学校规模、地域环境、管理需求调整技术参数，优先选择符合国家公共安全标准、兼容现有智慧校园架构的方案。二、分层分类需求分析（一）校园对外出入口需求根据教育部《中小学幼儿园安全防控专项行动方案》要求，中小学、幼儿园实行全封闭管理，校门区域需实现100%人员进校核验，无人工值守时段自动管控，严禁无授权人员进入。开放型高等院校、职业院校需兼顾通行效率与安全管控，满足师生日常快速通行、外来人员有序管理的双重需求，支持高峰时段（上下课、上下学）大流量通行。（二）校内重点区域需求1.学生生活区：学生宿舍出入口需实现晚归、不归自动统计，异常情况推送宿管与辅导员，女生宿舍区域需支持非授权男性闯入自动告警；教工宿舍需满足家属临时授权通行需求。2.科研与涉密区域：危化品实验室、生物安全实验室需执行双人双锁准入要求，单人核验无法开门，进出记录需全量留存；涉密科研场所、档案室需实现多因子核验，权限分级管控，非工作时段进入需全程审批留痕。3.公共教学区：图书馆、体育馆需支持师生刷脸快速进入，对接校园卡消费系统、座位预约系统，实现一体化通行。（三）特殊场景需求临时进校的施工人员、参展人员、访客需支持临时权限快速生成，到期自动失效；进出校园的物资车辆、校车需实现车牌自动识别快速通行，外来车辆需实现预约准入、离场登记；疫情防控等特殊时期需对接属地卫健部门数据，自动核验健康状态、核酸检测时效，异常人员自动拦截告警。三、系统总体架构设计校园门禁系统采用“感知层-网络层-平台层”三层架构设计，满足兼容性、扩展性、安全性要求：（一）感知层由前端身份核验设备、道闸控制设备、感应检测设备组成，负责采集人员、车辆身份信息，上传平台完成核验，接收平台指令执行开闸动作。感知层设备需支持离线运行，断网状态下可本地存储不少于7天的进出记录，联网后自动同步至平台。（二）网络层依托校园专网实现数据传输，严禁涉密区域设备接入公共无线网络，户外设备接入需采用VPN加密传输；网络带宽要求：主干网带宽不低于1000Mbps，单台前端设备接入带宽不低于10Mbps，满足高清人脸图像传输、实时数据交互需求。（三）平台层分为本地部署、混合部署两种模式：中小学、幼儿园涉密信息较多，人员生物信息要求本地存储，采用“本地部署+云端备份”模式；高等院校可采用“核心数据本地部署+非核心访客数据云部署”的混合模式。平台需预留标准接口，对接现有校园一卡通系统、智慧校园管理平台、属地教育部门平安校园平台、公安天网系统，接口规范符合GB35114-2017《公共安全视频监控联网信息安全技术要求》、GB/T35273-2020《信息安全技术个人信息安全规范》要求。四、前端设备选型与部署规范（一）设备选型标准1.校园出入口人行门禁设备：人脸核验一体机需符合GA/T1093-2013《人脸识别门禁一体机通用技术要求》，活体检测准确率不低于99.9%，可有效防御照片、视频、3D面具攻击；支持戴口罩人脸识别，识别准确率不低于95%；镜头分辨率不低于200万像素，宽动态范围不低于120dB，可适应逆光、背光、低光照场景；工作温度范围覆盖-25℃~60℃，户外设备防护等级不低于IP65；北方冬季最低气温低于-20℃的区域，需选配备加热模块的低温款设备，南方多雨区域需额外做防水密封处理。闸机选型：中小学、幼儿园优先选择三辊闸、全高一字闸，具备防尾随、防翻越功能，防止幼儿私自跑出校园；高等院校优先选择摆闸、翼闸，满足大流量快速通行需求。配置标准：每1000名在校生配置不少于2个人行核验通道，确保高峰时段等待时间不超过10秒。2.校内重点区域门禁设备：普通室内门禁（办公室、教室）可采用刷卡+二维码核验，每套成本较低，满足基本管控需求；学生宿舍出入口采用人脸+刷卡双核验，支持晚归自动统计；危化品实验室采用双门互锁门禁系统，必须双人同时核验通过才能开启内门，设备防护等级不低于IP54，日志留存周期不低于3年；涉密场所采用人脸+刷卡+密码多因子核验，连续3次核验失败自动锁定通道并触发告警。3.车辆出入口道闸设备：车牌识别摄像机识别准确率不低于99.8%，识别响应时间不超过0.3秒，支持无牌车扫码入场；道闸起落时间不超过1.5秒，具备地感检测+遇阻反弹双重防砸车功能，户外设备防护等级不低于IP54；直杆道闸适配车道宽度不超过4.5米，折杆道闸适配宽度不超过6米，广告道闸适配宽度不超过4米。（二）部署规范1.位置要求：户外人脸核验设备镜头需避开强光直射，镜头中心安装高度控制在1.2米~1.5米，适配不同身高人员核验；人行通道两个闸机通道的中心间距不小于1.2米，避免行人通行拥挤；车辆出入口车道宽度不小于3米，道闸安装位置距离前方停车线不小于2米，避免车辆撞杆。2.区域隔离：中小学、幼儿园出入口需设置学生专用通道与访客临时通道，物理隔离避免交叉，访客通道设置独立的登记核验区域，紧邻安保值班室；幼儿园出入口闸机高度需防止幼儿钻越，缝隙宽度不大于8厘米，避免幼儿卡伤。3.管线部署：户外管线采用镀锌钢管防护，埋地深度不小于0.7米，做好防水封口；室内管线沿墙、顶桥架布设，隐藏式处理，避免影响校园环境；管线穿越防火分区处需做防火封堵，符合消防规范要求。五、权限管理与核心功能要求（一）权限分级管理建立三级权限管理体系，明确权责：1.超级管理员：由学校安保部门指定专人担任，负责全系统参数配置、人员信息全量维护、日志查询导出、权限审批，仅超级管理员可修改系统配置、导出生物信息；2.部门管理员：由二级学院、实验室、后勤部门指定专人担任，仅可负责本部门管辖区域的人员权限分配、异常信息查询，无法修改系统核心配置；3.普通用户：仅可查询本人进出记录，无法修改信息、查看他人数据。权限分配规则：在职在校师生员工授予长期权限，每学年开学统一更新一次信息，离职、退学、毕业1个工作日内注销权限；临时施工人员权限有效期最长不超过180天，访客权限有效期最长不超过7天，到期自动失效；危化品实验室、涉密区域仅开放工作时段通行权限，非工作时段进入需提前线上申请，经部门负责人与安保部门双重审批后开通临时权限，全程留痕。（二）核心功能要求1.身份核验与黑名单管理：支持人脸、校园卡、二维码、指纹、密码多种核验方式，支持多因子组合核验；建立黑/白名单数据库，公安通报涉恐、涉稳人员、被列入校园禁入名单的人员，核验时自动触发声光告警，同步推送安保管理人员手机APP，10秒内完成告警推送。2.数据统计与轨迹追溯：自动按日、周、月统计各区域人员进出流量，识别高峰时段，生成管控报表；所有进出日志留存周期：公共区域不少于1年，重点区域不少于3年，访客信息不少于3个月；发生突发事件后，支持按人员、时间、区域快速检索，10分钟内导出完整人员进出轨迹，满足应急追溯需求。3.多系统联动：对接校园消防报警系统，发生火灾、地震等突发事件时，所有区域门禁自动解锁，保障人员疏散；对接校园监控系统，异常告警事件发生时，自动弹出对应区域监控画面，触发不间断录像存档；对接疫情防控数据系统，自动核验体温、健康码、核酸检测时效，异常人员自动拦截，禁止通行；对接访客预约系统，访客线上预约、被访人审批后，自动生成临时通行权限，无需现场人工登记。4.访客全流程管理：支持微信公众号、小程序线上预约，也支持安保现场登记，临时权限可通过二维码、临时人脸授权实现通行，访客离开后自动注销权限，所有访客信息全量留存，满足溯源要求。六、数据安全与隐私保护校园门禁系统存储大量师生生物识别信息，必须严格符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》要求，落实以下规范：（一）收集合规：收集人脸等生物识别信息前，必须明确告知收集目的、用途、存储期限，获得本人同意，未成年人需获得监护人书面同意，不得强制收集生物信息，可提供刷卡、密码等替代核验方式；不得收集与门禁管控无关的个人信息，不得超出约定范围使用生物信息。（二）存储安全：生物识别信息必须采用非对称加密算法加密存储，核心加密密钥存储在本地服务器，不得存储在第三方云平台，严禁向任何第三方机构、企业提供师生生物信息，公安机关依法调取需做好登记留痕；师生离职、毕业、退学后1个月内，必须彻底删除所有生物识别信息，包括本地存储与异地备份的信息。（三）传输与访问安全：所有数据传输采用HTTPS加密协议，防止数据被窃取篡改；严格落实访问控制，仅超级管理员可访问生物信息库，所有查询、导出、修改操作都留下操作日志，日志留存不少于1年；每年开展一次网络安全等级保护测评，存储1000人以上生物信息的校园门禁系统，安全保护等级不低于第三级，不足1000人的不低于第二级。（四）定期安全检测：每季度开展一次系统漏洞扫描，及时修复安全漏洞，每半年开展一次渗透测试，防止黑客入侵窃取数据，严禁使用存在已知安全漏洞的老旧设备与系统。七、施工与验收规范（一）施工要求施工前需开展现场勘查，结合学校建筑布局、人流走向确定设备安装位置与管线走向，避开高压线路、易燃易爆存储区域；校园施工优先安排在寒暑假、周末进行，减少对正常教学秩序的影响；施工过程中破坏墙面、地面的，完工后必须恢复原状，符合校园环境要求；所有施工材料、设备必须符合国家环保标准，避免甲醛等有害气体超标影响师生健康。（二）验收标准1.功能验收：随机抽取100名不同年龄段、不同面部特征（戴眼镜、留胡须等）的测试人员，核验准确率不低于99.5%为合格；开展活体攻击测试，使用照片、手机视频、3D面具攻击，通过率不超过1%为合格；测试消防联动、告警联动功能，所有联动动作响应延迟不超过3秒为合格；测试道闸防砸功能，三次测试都能正常触发防砸动作即为合格。2.安全验收：核查个人信息保护措施落实情况，检查加密存储、权限管理等制度，核查网络安全等级保护测评报告，符合要求即为合格。3.文档验收：施工单位需提供完整的竣工文档，包括施工图、设备合格证、说明书、测试报告、操作手册、保修凭证，所有文档存档留存。验收合格后，由学校、施工单位、监理单位三方签字出具验收合格报告，验收不合格限期整改，重新组织验收。八、运维管理与应急处置（一）日常运维管理1.设备保养：户外人脸设备每周清洁一次镜头，避免灰尘遮挡影响识别准确率；每月检查一次线路紧固情况、设备供电情况；每季度校准一次识别参数；每年对道闸机械结构做一次润滑保养，检查磨损情况，及时更换老化零部件；设备使用年限超过8年的，强制报废更新，避免元器件老化导致准确率下降、故障频发。2.人员管理：学校需配备至少1名专职或兼职门禁系统管理员，负责日常信息更新、故障上报、简单故障处理，管理员需经过厂家操作培训，考核合格后上岗。3.数据备份：本地数据每日自动备份，每周异盘备份，每月异地备份，保证系统故障后数据可完整恢复，备份数据同样落实加密存储要求。（二）应急处置1.常见故障处置：设备断网时，离线设备可正常运行，不支持离线的设备立即开放人工核验通道，安排安保人员值守，1小时内完成故障修复；设备停电时，备用电源续航不低于8小时，满足正常管控需求，停电超过8小时的，安排安保人员24小时值守。2.数据安全事件处置：发生数据泄露、黑客入侵事件时，立即断开系统网络，防止泄露范围扩大，第一时间上报学校网信部门、属地教育行政部门、公安机关，启动应急预案，排查泄露人员范围，通知受影响人员，采取必要补救措施，配合公安机关调查。3.突发事件疏散处置：发生火灾、地震等突发事件，系统自动解锁所有门禁，自动解锁失败的，管理员立即远程解锁，安保人员第一时间到达现场破拆解锁，保障疏散通道畅通。九、建设预算参考根据不同规模学校的建设需求，预算参考如下：1.小型学校（在