某金融數據中心綜合布線與安全防范系統設計及要點

許 斌 / 傅衛東

(中衡設計集團股份有限公司，江蘇 蘇州 215000)

某金融數據中心綜合布線與安全防范系統設計及要點

許 斌 / 傅衛東

(中衡設計集團股份有限公司，江蘇 蘇州 215000)

以某金融行業Tier Ⅳ級別的數據中心為例，重點對綜合布線、安防系統的設計要點進行了分析，為數據中心工程的技術發展及經濟適用性方面提供了合理的建議和參考。

數據中心 智能化 綜合布線 安防

1 概述

隨著金融行業信息化發展水平的不斷提升，金融行業信息化系統在業務發展、開發測試、會員托管、運維管理等方面對數據中心現有的網絡設備、服務器、存儲設備等設施都提出了更高的要求。如何依據金融機構的業務模式，建立符合該金融機構信息化的特點，以符合數據中心的發展模式，滿足及時、高效、有效、安全的IT運維管理的解決方案，是當前金融行業數據中心建設過程中的重點。

該金融數據中心共有6#與9#2棟樓，總建筑面積12 811.1m2。9#樓為主數據中心，其中一層為變配電所、電池間、UPS間等動力中心，二層為ECC總控中心及預留生產機房，三層為生產中心機房，四層為開發測試機房；6#樓為技術人員辦公用房及值班生產系統操作間。兩棟樓三層以連廊相通。本項目可規劃的機房面積約為1 960～2 240m2，可規劃機柜約為700～800個。本次主要以9#樓為例介紹綜合布線及安防系統的設計要點。

該金融交易中心的主營業務承載著國內某金融類的整個交易活動，其核心業務需滿足7×24h不間斷運行。在合理的經濟性前提下，本數據中心整體按TIA-942國際標準進行設計，其中承擔核心業務及會員托管業務的生產機房按TierⅣ級標準設計，開發測試機房按TierⅢ標準設計。

本數據中心建設過程分為兩期，智能化系統設計要充分考慮機房分期實施中弱電信息的連接和貫通，確保信息擴容的完整性。最終滿足數據中心對金融信息的風險可控、大數據分析、高傳輸、智能管理等更高的要求。

2 綜合布線系統設計

綜合布線系統是一個數據中心能成功交付到使用的重要基礎設施。如果在布線設計之初沒有對傳輸介質和架構的選擇進行全面考慮，則后期可能對網絡包延遲、丟包率等網絡性能造成非常重大的影響。從數據中心的全生命周期來看，綜合布線系統的生命周期最長，普遍在10年以上或者等同于建筑的生命，如果沒有正確合理的設計規劃，綜合布線系統將很難承受未來10年或更久的網絡運維需求。

綜合布線系統作為數據中心的基礎設施，需首先保障數據機房網絡設施的正常運行，同時還需保障辦公、視頻監控、設施運維、ECC中控等配套設施信息傳輸的需要。在進行布線規劃設計時，必須考慮到這兩類布線系統的獨立性與融合性。

數據中心未來發展對布線系統的需求主要包括三個方面：一是傳輸性能和可靠性，二是高密度的發展，三是模塊化靈活部署。科學規劃的布線系統可以讓數據中心控制成本的訴求事半功倍。

2.1綜合布線需求分析

1)生產業務綜合布線需求分析：數據機房的運營商接入需求；核心生產數據機房內的網絡布線需求；會員托管數據機房的運營商接入需求；開發測試數據機房內的網絡布線需求。

2)辦公OA綜合布線需求分析：IP電話、辦公數據網絡布線需求。

3)智能化設備綜合布線需求分析：視頻監控、門禁、其他智能化系統的網絡布線需求。

根據以上需求，本數據中心共規劃三套網絡布線：生產業務網絡、供辦公使用的OA網絡、智能化設備網絡。其中電話采用IP電話形式，納入OA網絡內。

2.2綜合布線設計規劃

2.2.1 生產業務綜合布線設計

本機房內綜合布線系統針對生產機房將采用TIA-942的TierⅣ標準設置，采用雙進線間-雙總配線間MDF-雙水平布線區HDA-網絡列頭柜ZDA-終端機柜的方式進行布線。針對非生產機房將采用TierⅢ標準設置，采用雙進線間-單總配線間MDF-單水平布線區HDA-網絡列頭柜ZDA-終端機柜的方式進行布線。

數據中心的運營商接入按3+1家運營商規劃設計。一層兩側各設1間運營商進線機房，確保每家運營商的進線機房處于兩個不同防火分區內，且相距20m以上。運營商進線由兩條不同的路由，經園區兩側兩個獨立的進線井，通過兩個方向進入運營商機房。

數據中心機房三層設置兩個核心網絡交換區(MDA)，且分別處于兩個不同的防火分區內。運營商進線機房至核心網絡交換區(MDA)的主干線路采用大對數多模光纖(10G)沿兩條不同防火分區的主干通道敷設，以保證主干線路的冗余。

每個機房設置核心網絡交換/配線區(HDA)。從總配線間MDA-A/MDA-B分別用兩路24芯多模光纖連接至樓層各機房內核心配線區域HDA-A/HDA-B。光纖沿兩條不同防火分區的主干通道敷設，以保證主干線路的冗余。

各機房內部HDA-ZDA采用兩路12芯多模光纖進行連接，即各ZDA至HDA-A一路12芯光纖，至HDA-B一路12芯光纖。光纖分A/B兩路分線槽敷設。

ZDA至各終端服務器機柜采用24/36根六類銅纜及48芯光纖(主機區)進行連接。在每個服務器機柜后側安裝一個24口配線架。

萬兆多模及Cat6 UTP的線纜規格選型應根據核心業務系統的實際需求帶寬并展望未來大數據、大流量的增長可能性調整，也可多預留主干，以滿足40G的應用。

數據中心機房內部均為上走線方式，采用開放式橋架，于機柜前方上空放置橋架。樓內機房以外的封閉式機房內部架空橋架網格式(天花吊筋)綜合布線和弱電橋架分離,機房外光纜線纜 A/B路分開，機房內橋架統一，中間隔板分開。

該部分布線系統圖見圖1。

(2)地質災害中易發區(Ⅱ)。地質災害中易發區主要分布于尕巴松多西北部、唐谷鎮南部、河北鄉東北部中高山區，總面積3 784.41 km2，占總面積的75.52%，該區地貌單元為山前沖洪積傾斜平原區、中低山和中高山區。該區共發育地質災害點38處，泥石流災害最為發育。根據區內地質災害的發育及分布情況，可將該區劃分為2個亞區。

圖1 數據中心9#樓綜合布線系統圖

2.2.2 OA辦公網及智能化設備網綜合布線設計

9#樓一層弱電設備間到9#樓4個樓層弱電間A各布置一根12芯多模萬兆光纜及一根25對大對數UTP，作為預留模擬電話接入；PBX設置在6#樓三層；9#樓一層弱電設備間到9#樓4個樓層弱電間B各布置一根12芯多模萬兆光纜。6#樓MDF到9#樓一層弱電設備間布置4根6芯多模萬兆光纜(設備網)及4×25對三類大對數電纜。

9#樓一層弱電設備間到三層MDA-A和MDA-B各布置兩根12芯多模萬兆光纜，至四層MDA布置兩根12芯多模萬兆光纜。

6#樓MDF到9#樓3層MDA共布置2根12芯多模萬兆光纜；至4層MDA共布置9根12芯多模萬兆光纜。

該部分布線系統圖見圖1。

3 安全防范系統設計

數據中心的安全防范系統是保障機房安全的重要措施。常規數據中心需要防范兩類問題：1)防設備損壞：機房內放置的都是精密的信息化設備(如路由器、交換機、服務器等硬件)，不得隨意挪動或更改位置。2)防泄密：由于機房內存儲內容涉及商業機密，一旦泄露會造成無法估計的影響，需要對進出人員進行管制。

3.1風險防范等級及安全防范策略

本數據中心的安全防范系統應遵循如圖2所示的四級安全防范策略進行規劃設計。

圖2 四級風險防范級別示意圖

針對不同的風險防范級別，分別采用不同的技術防范措施和人員管理措施。

四級風險防范區域主要通過周界、道路防范措施對人員、車輛進行控制，并設置視頻監控系統及周界報警系統。

三級風險防范區域(入口緩沖區、登記受理區、電梯廳、樓梯等)主要對人員出入進行控制，采用出入口控制、視頻監控、防盜報警系統進行管理，并設置必要的安檢與反恐裝置。門禁系統以單向刷卡為主，特別的內部操作室設置嚴格的雙向門禁認證系統。

二級風險防范區域(機房間、設備間走道、辦公區)通過雙向刷卡的門禁系統、視頻監控、防盜報警系統經行管理，通過人員的權限設置來控制出入人員，設置防尾隨的安檢閘機，設置人員定位系統，并將監控與報警和門禁系統做聯動，門禁系統刷卡時增加密碼輸入措施。

一級風險防范區域(機房核心區、動力保障區、ECC控制中心)一般在二級防范區技術控制措施的基礎上進行強化，增加生物識別裝置等；視頻監控系統加強為無盲區配置，增加人物特征識別、重要物品移動識別等功能。

本工程在9#樓二層的ECC中控中心設置安防總控制中心，安防總控制中心能進行統一的監視、控制與管理，集中權限管理。

3.2視頻監控系統設計

視頻監控系統采用全數字架構，由數字彩色攝像機、網絡交換機、管理服務器、視頻存儲系統、磁盤陣列、編解碼器、監視器、視頻工作站及其他部件等組成。前端攝像機視頻信號就近分區接入至弱電井的接入交換機，核心交換機按分區分別設置在核心網絡機房A和核心網絡機房B。系統采用集中供電至各層弱電間(強電預留不間斷電源及市電回路)，經由網絡交換機POE供電模塊為各攝像機供電。

四級風險防范區域采用室外低照度彩色槍式/全球攝像機進行監控。

三級風險防范區域采用雙鑒探測器(出入口)+單向門禁(出入口)+室內彩色槍式或半球攝像機進行監控。

二級風險防范區域采用雙向門禁+定點彩色攝像機進行監控。

一級安全防護區采用雙向門禁(入口門禁設生物識別+讀卡技術/出口讀卡)+出入口及機柜前后定點彩色攝像機進行監控。

其中門禁、入侵報警系統與監控實時聯動，發生異常時，安防控制中心的監控墻畫面自動彈出對應視頻畫面。

該部分系統圖見圖3。

圖3 視頻監控及入侵報警系統圖

3.3入侵報警系統設計

入侵報警系統主要由前端探測器、報警主機以及通訊路由三部分組成。負責建筑內外各個點、線、面和區域的偵測任務，通過總線方式連接防區模塊，防區模塊可以通過地址碼將所有探測器一一區分出來，每個防護區應與此區域內的攝像機進行聯動。

四級風險防范區域：在圍墻上布設高壓脈沖圍欄子系統。

三級風險防范區域：在首層出入口、每層樓梯口、每層電梯前室設置雙鑒探測器。

二級風險防范區域：在機房間、設備間走道、辦公區的出入口設置雙鑒探測器。

一級風險防范區域：在機房核心區、動力保障區的出入口設置雙鑒探測器。

該部分系統圖見圖3。

3.4出入口控制與一卡通系統設計

由門禁控制讀卡器、出門按鈕、機電一體鎖、門磁、門禁管理主機等組成。管理主機設安防總控中心，各區域控制器采用TCP/IP與服務器通信，所有控制器均可自主工作，根據風險防范級別要求在不同的防護區之間設置相應的門禁點；出入口控制系統采用IC卡、生物識別等復合技術。

三級安全防護區：主要出入口設置單向IC讀卡設備+電子門鎖進行防范。

二級防護區: 安裝雙向IC讀卡器+機電一體鎖,讀卡設備設置在房間外，兼顧闖入報警功能。

一級防護區：數據機房人員入口設置雙向門禁：安裝生物識別+IC卡復合型設備+出口安裝IC讀卡器+機電一體鎖設備。

門禁和附近的監控攝像機聯動，當發生門被強行打開或打開超時報警時，安防控制中心的監控墻畫會自動彈出對應視頻畫面。

門禁系統兼容數據中心的消費、停車、考勤等功能，建立統一的一卡通系統平臺。

該部分系統圖見圖4。

圖4 出入口控制與一卡通系統圖

3.5安全防范集成管理系統設計

安全防范集成管理系統通過標準、開放的通信接口和協議，將安全防范各個子系統聯網，并集成到統一的管理平臺中，實現安防總控中心對數據中心信息安全的系統集成和自動化管理。

系統集成平臺具有實時、靈活的聯動功能，能實現多種安全防范策略：視頻圖像分析、電子地圖報警、歷史圖像查詢、報警/事件與視頻系統復核、應急指揮、遠程管理等。系統留有與公安110報警中心聯網的通信接口。

該部分系統圖見圖5。

圖5 安全防范集成管理系統圖

4 其他智能化子系統

該數據中心的其他智能化子系統還有：1)建筑設備自控系統，包含冷熱源系統、空調系統、環境監測系統；2)ECC控制中心系統：包含中控系統、音視頻切換系統；3)數據機房動力環境監控系統。

5 結束語

綜合布線和安防系統作為數據中心基礎設施中的重點內容，建設期規劃設計的合理性和適用性對于保障數據中心基礎設施的可靠運行和便捷運

維，起著舉足輕重的作用。

希望通過本次對該Tier Ⅳ級別的金融數據中心的綜合布線和安防系統設計要點的介紹，能為今后同行在類似數據中心工程的設計工作方面提供借鑒和參考。

[1] 郭辰. 金融業數據中心機房綜合布線設計[J]. 信息安全與技術,2014，5(4):91-93.

[2] 王炳南. 數據中心機房綜合布線的設計與思考[J]. 智能建筑電氣技術,2011, 05(5):4-7.

[3] 陳宏,王志強. 數據中心的安全防范系統[J]. 智能建筑與城市信息,2012(4)：24-27.

DesignandKeyPointsofGenericCablingandSecuritySysteminaFinancialDataCenter

Xu Bin / Fu Weidong

Taking a financial industry Tier IV level data center as an example, the key points of the design of integrated wiring and security system are analyzed, some suggestions and references for the reasonable technical and economic aspects of the data center project.

data center, intelligent, generic cabling system, security system