许 斌 / 傅卫东

(中衡设计集团股份有限公司，江苏 苏州 215000)

某金融数据中心综合布线与安全防范系统设计及要点

许 斌 / 傅卫东

(中衡设计集团股份有限公司，江苏 苏州 215000)

以某金融行业Tier Ⅳ级别的数据中心为例，重点对综合布线、安防系统的设计要点进行了分析，为数据中心工程的技术发展及经济适用性方面提供了合理的建议和参考。

数据中心 智能化 综合布线 安防

1 概述

随着金融行业信息化发展水平的不断提升，金融行业信息化系统在业务发展、开发测试、会员托管、运维管理等方面对数据中心现有的网络设备、服务器、存储设备等设施都提出了更高的要求。如何依据金融机构的业务模式，建立符合该金融机构信息化的特点，以符合数据中心的发展模式，满足及时、高效、有效、安全的IT运维管理的解决方案，是当前金融行业数据中心建设过程中的重点。

该金融数据中心共有6#与9#2栋楼，总建筑面积12 811.1m2。9#楼为主数据中心，其中一层为变配电所、电池间、UPS间等动力中心，二层为ECC总控中心及预留生产机房，三层为生产中心机房，四层为开发测试机房；6#楼为技术人员办公用房及值班生产系统操作间。两栋楼三层以连廊相通。本项目可规划的机房面积约为1 960～2 240m2，可规划机柜约为700～800个。本次主要以9#楼为例介绍综合布线及安防系统的设计要点。

该金融交易中心的主营业务承载着国内某金融类的整个交易活动，其核心业务需满足7×24h不间断运行。在合理的经济性前提下，本数据中心整体按TIA-942国际标准进行设计，其中承担核心业务及会员托管业务的生产机房按TierⅣ级标准设计，开发测试机房按TierⅢ标准设计。

本数据中心建设过程分为两期，智能化系统设计要充分考虑机房分期实施中弱电信息的连接和贯通，确保信息扩容的完整性。最终满足数据中心对金融信息的风险可控、大数据分析、高传输、智能管理等更高的要求。

2 综合布线系统设计

综合布线系统是一个数据中心能成功交付到使用的重要基础设施。如果在布线设计之初没有对传输介质和架构的选择进行全面考虑，则后期可能对网络包延迟、丢包率等网络性能造成非常重大的影响。从数据中心的全生命周期来看，综合布线系统的生命周期最长，普遍在10年以上或者等同于建筑的生命，如果没有正确合理的设计规划，综合布线系统将很难承受未来10年或更久的网络运维需求。

综合布线系统作为数据中心的基础设施，需首先保障数据机房网络设施的正常运行，同时还需保障办公、视频监控、设施运维、ECC中控等配套设施信息传输的需要。在进行布线规划设计时，必须考虑到这两类布线系统的独立性与融合性。

数据中心未来发展对布线系统的需求主要包括三个方面：一是传输性能和可靠性，二是高密度的发展，三是模块化灵活部署。科学规划的布线系统可以让数据中心控制成本的诉求事半功倍。

2.1综合布线需求分析

1)生产业务综合布线需求分析：数据机房的运营商接入需求；核心生产数据机房内的网络布线需求；会员托管数据机房的运营商接入需求；开发测试数据机房内的网络布线需求。

2)办公OA综合布线需求分析：IP电话、办公数据网络布线需求。

3)智能化设备综合布线需求分析：视频监控、门禁、其他智能化系统的网络布线需求。

根据以上需求，本数据中心共规划三套网络布线：生产业务网络、供办公使用的OA网络、智能化设备网络。其中电话采用IP电话形式，纳入OA网络内。

2.2综合布线设计规划

2.2.1 生产业务综合布线设计

本机房内综合布线系统针对生产机房将采用TIA-942的TierⅣ标准设置，采用双进线间-双总配线间MDF-双水平布线区HDA-网络列头柜ZDA-终端机柜的方式进行布线。针对非生产机房将采用TierⅢ标准设置，采用双进线间-单总配线间MDF-单水平布线区HDA-网络列头柜ZDA-终端机柜的方式进行布线。

数据中心的运营商接入按3+1家运营商规划设计。一层两侧各设1间运营商进线机房，确保每家运营商的进线机房处于两个不同防火分区内，且相距20m以上。运营商进线由两条不同的路由，经园区两侧两个独立的进线井，通过两个方向进入运营商机房。

数据中心机房三层设置两个核心网络交换区(MDA)，且分别处于两个不同的防火分区内。运营商进线机房至核心网络交换区(MDA)的主干线路采用大对数多模光纤(10G)沿两条不同防火分区的主干通道敷设，以保证主干线路的冗余。

每个机房设置核心网络交换/配线区(HDA)。从总配线间MDA-A/MDA-B分别用两路24芯多模光纤连接至楼层各机房内核心配线区域HDA-A/HDA-B。光纤沿两条不同防火分区的主干通道敷设，以保证主干线路的冗余。

各机房内部HDA-ZDA采用两路12芯多模光纤进行连接，即各ZDA至HDA-A一路12芯光纤，至HDA-B一路12芯光纤。光纤分A/B两路分线槽敷设。

ZDA至各终端服务器机柜采用24/36根六类铜缆及48芯光纤(主机区)进行连接。在每个服务器机柜后侧安装一个24口配线架。

万兆多模及Cat6 UTP的线缆规格选型应根据核心业务系统的实际需求带宽并展望未来大数据、大流量的增长可能性调整，也可多预留主干，以满足40G的应用。

数据中心机房内部均为上走线方式，采用开放式桥架，于机柜前方上空放置桥架。楼内机房以外的封闭式机房内部架空桥架网格式(天花吊筋)综合布线和弱电桥架分离,机房外光缆线缆 A/B路分开，机房内桥架统一，中间隔板分开。

该部分布线系统图见图1。

(2)地质灾害中易发区(Ⅱ)。地质灾害中易发区主要分布于尕巴松多西北部、唐谷镇南部、河北乡东北部中高山区，总面积3 784.41 km2，占总面积的75.52%，该区地貌单元为山前冲洪积倾斜平原区、中低山和中高山区。该区共发育地质灾害点38处，泥石流灾害最为发育。根据区内地质灾害的发育及分布情况，可将该区划分为2个亚区。

图1 数据中心9#楼综合布线系统图

2.2.2 OA办公网及智能化设备网综合布线设计

9#楼一层弱电设备间到9#楼4个楼层弱电间A各布置一根12芯多模万兆光缆及一根25对大对数UTP，作为预留模拟电话接入；PBX设置在6#楼三层；9#楼一层弱电设备间到9#楼4个楼层弱电间B各布置一根12芯多模万兆光缆。6#楼MDF到9#楼一层弱电设备间布置4根6芯多模万兆光缆(设备网)及4×25对三类大对数电缆。

9#楼一层弱电设备间到三层MDA-A和MDA-B各布置两根12芯多模万兆光缆，至四层MDA布置两根12芯多模万兆光缆。

6#楼MDF到9#楼3层MDA共布置2根12芯多模万兆光缆；至4层MDA共布置9根12芯多模万兆光缆。

该部分布线系统图见图1。

3 安全防范系统设计

数据中心的安全防范系统是保障机房安全的重要措施。常规数据中心需要防范两类问题：1)防设备损坏：机房内放置的都是精密的信息化设备(如路由器、交换机、服务器等硬件)，不得随意挪动或更改位置。2)防泄密：由于机房内存储内容涉及商业机密，一旦泄露会造成无法估计的影响，需要对进出人员进行管制。

3.1风险防范等级及安全防范策略

本数据中心的安全防范系统应遵循如图2所示的四级安全防范策略进行规划设计。

图2 四级风险防范级别示意图

针对不同的风险防范级别，分别采用不同的技术防范措施和人员管理措施。

四级风险防范区域主要通过周界、道路防范措施对人员、车辆进行控制，并设置视频监控系统及周界报警系统。

三级风险防范区域(入口缓冲区、登记受理区、电梯厅、楼梯等)主要对人员出入进行控制，采用出入口控制、视频监控、防盗报警系统进行管理，并设置必要的安检与反恐装置。门禁系统以单向刷卡为主，特别的内部操作室设置严格的双向门禁认证系统。

二级风险防范区域(机房间、设备间走道、办公区)通过双向刷卡的门禁系统、视频监控、防盗报警系统经行管理，通过人员的权限设置来控制出入人员，设置防尾随的安检闸机，设置人员定位系统，并将监控与报警和门禁系统做联动，门禁系统刷卡时增加密码输入措施。

一级风险防范区域(机房核心区、动力保障区、ECC控制中心)一般在二级防范区技术控制措施的基础上进行强化，增加生物识别装置等；视频监控系统加强为无盲区配置，增加人物特征识别、重要物品移动识别等功能。

本工程在9#楼二层的ECC中控中心设置安防总控制中心，安防总控制中心能进行统一的监视、控制与管理，集中权限管理。

3.2视频监控系统设计

视频监控系统采用全数字架构，由数字彩色摄像机、网络交换机、管理服务器、视频存储系统、磁盘阵列、编解码器、监视器、视频工作站及其他部件等组成。前端摄像机视频信号就近分区接入至弱电井的接入交换机，核心交换机按分区分别设置在核心网络机房A和核心网络机房B。系统采用集中供电至各层弱电间(强电预留不间断电源及市电回路)，经由网络交换机POE供电模块为各摄像机供电。

四级风险防范区域采用室外低照度彩色枪式/全球摄像机进行监控。

三级风险防范区域采用双鉴探测器(出入口)+单向门禁(出入口)+室内彩色枪式或半球摄像机进行监控。

二级风险防范区域采用双向门禁+定点彩色摄像机进行监控。

一级安全防护区采用双向门禁(入口门禁设生物识别+读卡技术/出口读卡)+出入口及机柜前后定点彩色摄像机进行监控。

其中门禁、入侵报警系统与监控实时联动，发生异常时，安防控制中心的监控墙画面自动弹出对应视频画面。

该部分系统图见图3。

图3 视频监控及入侵报警系统图

3.3入侵报警系统设计

入侵报警系统主要由前端探测器、报警主机以及通讯路由三部分组成。负责建筑内外各个点、线、面和区域的侦测任务，通过总线方式连接防区模块，防区模块可以通过地址码将所有探测器一一区分出来，每个防护区应与此区域内的摄像机进行联动。

四级风险防范区域：在围墙上布设高压脉冲围栏子系统。

三级风险防范区域：在首层出入口、每层楼梯口、每层电梯前室设置双鉴探测器。

二级风险防范区域：在机房间、设备间走道、办公区的出入口设置双鉴探测器。

一级风险防范区域：在机房核心区、动力保障区的出入口设置双鉴探测器。

该部分系统图见图3。

3.4出入口控制与一卡通系统设计

由门禁控制读卡器、出门按钮、机电一体锁、门磁、门禁管理主机等组成。管理主机设安防总控中心，各区域控制器采用TCP/IP与服务器通信，所有控制器均可自主工作，根据风险防范级别要求在不同的防护区之间设置相应的门禁点；出入口控制系统采用IC卡、生物识别等复合技术。

三级安全防护区：主要出入口设置单向IC读卡设备+电子门锁进行防范。

二级防护区: 安装双向IC读卡器+机电一体锁,读卡设备设置在房间外，兼顾闯入报警功能。

一级防护区：数据机房人员入口设置双向门禁：安装生物识别+IC卡复合型设备+出口安装IC读卡器+机电一体锁设备。

门禁和附近的监控摄像机联动，当发生门被强行打开或打开超时报警时，安防控制中心的监控墙画会自动弹出对应视频画面。

门禁系统兼容数据中心的消费、停车、考勤等功能，建立统一的一卡通系统平台。

该部分系统图见图4。

图4 出入口控制与一卡通系统图

3.5安全防范集成管理系统设计

安全防范集成管理系统通过标准、开放的通信接口和协议，将安全防范各个子系统联网，并集成到统一的管理平台中，实现安防总控中心对数据中心信息安全的系统集成和自动化管理。

系统集成平台具有实时、灵活的联动功能，能实现多种安全防范策略：视频图像分析、电子地图报警、历史图像查询、报警/事件与视频系统复核、应急指挥、远程管理等。系统留有与公安110报警中心联网的通信接口。

该部分系统图见图5。

图5 安全防范集成管理系统图

4 其他智能化子系统

该数据中心的其他智能化子系统还有：1)建筑设备自控系统，包含冷热源系统、空调系统、环境监测系统；2)ECC控制中心系统：包含中控系统、音视频切换系统；3)数据机房动力环境监控系统。

5 结束语

综合布线和安防系统作为数据中心基础设施中的重点内容，建设期规划设计的合理性和适用性对于保障数据中心基础设施的可靠运行和便捷运

维，起着举足轻重的作用。

希望通过本次对该Tier Ⅳ级别的金融数据中心的综合布线和安防系统设计要点的介绍，能为今后同行在类似数据中心工程的设计工作方面提供借鉴和参考。

[1] 郭辰. 金融业数据中心机房综合布线设计[J]. 信息安全与技术,2014，5(4):91-93.

[2] 王炳南. 数据中心机房综合布线的设计与思考[J]. 智能建筑电气技术,2011, 05(5):4-7.

[3] 陈宏,王志强. 数据中心的安全防范系统[J]. 智能建筑与城市信息,2012(4)：24-27.

DesignandKeyPointsofGenericCablingandSecuritySysteminaFinancialDataCenter

Xu Bin / Fu Weidong

Taking a financial industry Tier IV level data center as an example, the key points of the design of integrated wiring and security system are analyzed, some suggestions and references for the reasonable technical and economic aspects of the data center project.

data center, intelligent, generic cabling system, security system