美章网 资料文库 安全防范对数据中心设计的影响范文

安全防范对数据中心设计的影响范文

本站小编为你精心准备了安全防范对数据中心设计的影响参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

安全防范对数据中心设计的影响

《智能建筑与城市信息杂志》2014年第八期

1安全防范系统对园区物理防范的要求

1)园区周界宜采用防攀爬的围栏设计,数据中心区域临道路侧围栏宜采用混凝土防撞围栏,顶部布置电子围栏。2)园区主入口和机房区与办公区之间的联络通道口应设置液压升降防撞柱,防止车辆强行闯入。3)数据中心区域与园区其他区域的物理隔断宜结合绿化和地形布置,不宜采用简单的围栏设计。4)数据中心区域应实施严格的管理措施,并与园区的其他部分采取物理手段予以隔离,设置少量联络通道,通道口设置安检设施,仅授权人员才可进入。

2视频监控系统

视频监控系统是所有安全防范系统中最直观的,是能够让安保管理人员直接观察到安全防范区域现场状况的系统。视频监控系统对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行视频监视,实时地显示和记录被控现场或被控目标的详细情况,以便安保人员及时采取措施。视频监控系统对监控场所进行实时、有效地视频探测、监视、显示和记录,并具有报警和图像复核功能。同时,该系统还具有与入侵报警系统、出入口控制系统、火灾报警系统进行联动控制的功能,该系统还可与各数据中心的其他弱电子系统集成,以实现统一管理。视频监控系统由前端设备、传输介质、记录设备、显示设备、网络设备及中央控制设备组成。现场监控点主要包括摄像机、镜头、防护罩、安装支架等设备,分布在各监控区域。

2.1模拟视频监控系统和全数字视频监控系统的比较

随着技术的发展,视频监控系统从最初的模拟视频监控系统,逐渐融入了计算机技术、数字压缩技术和网络技术,如今已经发展成完善的数字视频监控系统。传统的模拟视频监控系统也称为闭路电视监控系统,英文缩写为CCTV。主要由系统前端的各类摄像机及其辅助设备(镜头、云台、电梯楼层显示器、防图1数据中心各区域安全防范等级关系高低防护级别主机房+ECC机电用房及IT人员通道其他区域建筑物外部区域实现联网,安防系统的信号同时接入数据中心监控中心(ECC)。数据中心区域及其支持区根据使用功能划分安全控制级别,数据中心区域根据用户需求和使用功能,不同安全防护级别的区域采取不同的安全防范技术措施并对各种拥有不同权限的人员进行相应授权。数据中心各区域安全防范等级关系如图1所示。护罩、支架等)、控制设备(矩阵及控制键盘)、显示设备(专业监视器)、图像记录设备(长延时录像机)等构成。为了将视频信号一分为二,还需要添加视频分配器。现在的全数字视频监控系统由系统前端的各类摄像机及其辅助设备(镜头、云台、防护罩、支架等)、控制设备(专业软件及服务器、工作站)、显示设备(专业监视器)、图像记录设备(磁盘阵列等各类网络存储设备)、传输网络(网络交换机及综合布线系统)等构成。1)从系统架构上来说,传统的模拟视频监控系统是星型结构,所有的摄像机都直接连接到视频管理矩阵,根据传输距离的不同可能会增加光端机等传输距离延伸设备。而数字视频监控系统的结构完全依赖于计算机网络系统,根据各个项目的具体情况(建筑物分布、监控点分布、网络架构等)会有所不同。传统的模拟视频监控系统在多客户端管理和多级管理方面有很大限制,而数字视频监控系统在这方面具有极大的灵活性,几乎不受限制。在结合计算机网络技术、软件技术和现代通信技术后,还能够在移动设备上(智能手机、平板电脑等)搭载软件客户端对数字视频监控系统进行管理、实时查看监控图像,这在传统的模拟系统上是无法想象的功能。2)在监控图像存储方面,模拟视频监控系统最初使用的是长延时录像机,采用盒式录像带作为存储介质。这样的存储方式在存储图像的清晰度、实时性和保存时间上都存在巨大缺陷。随着计算机和视频图像压缩技术的引入,硬盘录像机在模拟视频监控系统中得到了运用。虽然硬盘录像机的出现对长延时录像机+盒式磁带的存储方式存在弊端和缺陷有了一定程度的改善,但其在存储图像的安全性、存储方案的灵活性等方面还是未能完全解决,直到数字视频监控系统的出现,它在引入计算机系统的各类数据存储解决方案之后,其监控图像的储存功能需求才得到了比较好的满足。

2.2数据中心视频监控系统的设计

数据中心的视频监控系统建议采用全数字视频安防监控系统,实现远程监控、远程管理、网络传输、集中存储等系统功能,满足对监控系统功能的需求,真正实现智能视频。选择百万像素高清摄像机及标清摄像机作为视频图像采集设备,利用视频专用网络通过TCP/IP协议传输到控制中心,实现视频集中存储。视频传输接入层为千兆交换,主干与核心均为千兆交换的视频专网。

2.2.1系统架构全数字视频监控系统由IP数字摄像机+网络传输+网络存储+数字化管理(包括操作、管理、存储等)+视频解码+数字显示的分布式网络视频监控系统组成。视频监控系统前端采用720P网络摄像机。视频监控系统的存储采用专用磁盘阵列存储设备,录像数据保存周期至少为30天,重要数据单独存储,部分有需要的数据可自定义存储更长时间。普通数据以30天为一个存储周期,重要数据以90天为一个存储周期。系统设计应按客户要求及实际情况确定。视频监控系统的控制由管理主机通过网络管理。视频监控系统的显示采用硬解压的数字显示方式。

2.2.2前端设备摄像机采用网络摄像机,带自动增益控制、逆光补偿、电子高亮度控制等。IP摄像机采用交换机PoE供电方式,同时考虑为系统预留单独UPS各楼层供电方式。

2.2.3传输线缆和网络摄像机布线纳入安全防范网络的综合布线系统,采用6类非屏蔽铜缆。系统摄像机到弱电间交换机传输线缆采用6类非屏蔽铜缆百兆接入,管理服务器采用千兆以太网,以保障大流量的视频数据网络传输。机房建筑的摄像机视频信号汇聚到弱电间,通过光纤连接至保安监控室。

2.2.4视频管理设备通过视频处理服务器和磁盘阵列进行录像和回放及储存。

2.2.5安全防范管理平台通过安装在视频处理服务器上的安全防范平台软件集中对门禁、视频安全防范监控和报警系统进行集中管理。

2.2.6安全防范显示单元网络传输的视频信号传输到安全防范监控中心,再通过视频解码器输出图像到综合显示单元,拼接屏可通过拼接墙处理器进行拼接、分割显示。监控中心应为上一级安全防范监控中心和ECC预留接口,必要的视频监控信号可同时引至上一级安全防范监控中心和ECC。

3出入口控制系统

出入口控制系统也被称为门禁系统,是数据中心园区安全防范系统的主要子系统。通过机电技术、软件技术、计算机网络技术、通信技术的结合实现对区域通行系统的管理。出入口控制系统由前端设备(身份识别设备、门禁点管理设备、接口模块、输入/输出扩展设备等)、控制设备(门禁控制器)、管理设备(专业软件、服务器、工作站等)组成。出入口控制系统根据人员被允许进入的区域分配不同的授权权限,并通过身份识别设备进行身份辨识,只有经过授权的人才能进入受控区域。出入口控制系统对防范区域内的出入通道进行智能管理。各门禁控制单元一般由门禁控制器连接读卡器、电控锁、出门按钮、玻璃破碎按钮(内侧)、门磁等组件构成。门禁控制器安装位置应靠近控制点,不同安全等级门禁不可共用控制器。所有控制器均可自主工作,以免发生故障影响整个系统;出入数据中心均需通过门禁管理系统授权,根据用户需求、平面规划的人流、物流通道及不同防护区设置相应的门禁点。出入控制系统应能满足以下功能:多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入/输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时将每道门的状态向控制中心报告;通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。可设置不同的门禁区域、门禁级别。可以与视频安防监控系统和入侵报警系统联动。

3.1数据中心应用的典型门禁系统功能

3.1.1双向刷卡门禁系统中最基础的门禁点设置为单向刷卡。但此种类型的门禁点只能管理从外部进入的人员,对于从内部退出的人员缺乏管理,如果有人尾随进入管理区域,则可以从内部自由外出,这在安全防范管理上是一个漏洞,因此,对于安保要求较高的区域应采用进出刷卡的门禁管理方式。

3.1.2身份识别之生物识别身份识别装置根据使用环境安保需求的不同可有多种选择。现在的身份认证技术手段分为两类,一类为IC、ID及采用其他技术卡片认证;另一类为生物认证手段。最常见的识别技术及设备就是各类读卡器及配套的卡片。此类完全依赖于技术手段的身份识别技术,由于存在身份凭证遗失及携带方面的问题,易被人冒用,因此出现了生物识别技术。生物识别技术的身份验证手段无疑在便携性、避免遗失、被冒用等方面有很大改进,但由于此技术采集的是人体特征,因此,随着人体体型特征的变化,生物特征也会随之变化,也会出现识别率方面的问题。而且有些生物识别技术对人体有一定程度上的伤害,在广泛使用上会有一定的限制。生物识别技术是利用人体的部分特征作为每个人的识别手段,现在常见的有指纹、掌型、人脸、声纹、虹膜、视网膜、静脉等几种。其中,视网膜认证对于人体健康有损害,极少采用。而指纹、虹膜容易被复制,安全性较低。掌型、声纹、人脸识别容易受人体体型变化影响,产生误报,因此应用也不广泛。而静脉识别由于其选用的生物特征隐藏于皮肤下,且不易改变,因而被广泛采用。

3.1.3多人认证多人认证是指对于同一个门禁点需要多个持卡人进行身份认证才能够通行。此种设置多用于银行金库的门禁点管理,主要是为了防止内部人员相互串通,因此需要多个部门的人员共同监管,为了实现此目标因而需要多人管理。最为常见的是双人刷卡,由于某灾备中心的安全要求高,因此选用了三人认证的门禁点通行认证方式。

3.1.4中心复核由于采用的身份认证存在被盗用或伪造的可能性(卡片被盗、生物识别被假冒等),因此,为了提高系统的安全性,在门禁管理上宜采用系统前端认证与中心视频复核持卡人身份的措施来提高门禁管理系统的安全性。此项功能需要配合视频健康系统来实现。

3.1.5多门互锁在一些安保等级要求很高的区域,为防止有不法人员乘门禁点开发之际强行闯入,需设置一个缓冲区域。在进入受保护的区域之前需要先进入缓冲区域。待进入缓冲区的门禁点正常关闭之后,才能打开受保护区域的门禁点。对于一个比较大的应用场景来说,门禁系统仅具备双门互锁功能是不够的,例如某在建的大型数据中心项目具备多门互锁功能,通过软件设置后就能够独立完成5门互锁,不再需要安保人员的人工操作。

3.1.6访客管理对于一个企业来说没有访客是不可能的,尤其对于数据中心这样安全等级要求非常高的场所,访客的管理也是一个非常重要的隐患。因此对于访客的管理也格外的重要,不能让来访人员随意的通行各门禁区域,必须对其通行的门禁区域进行管理,并由接待人员进行陪防,确保数据中心的安全。

3.2入侵报警系统

为了防止非法入侵,数据中心应设置入侵报警系统。系统由前端探测器、传输线缆、各类防区模块、报警主机和响应的管理软件构成。入侵报警系统采用报警主机+总线传输+分布式地址模块+前端报警设备的模式。入侵报警主机能设定分时段设防和撤防,可与视频安防监控系统联动,启动摄像机对现场情况进行录像。该系统可与各数据中心的其他弱电子系统集成,实现统一管理。同时,该系统还预留有与当地110报警中心联网的接口。入侵报警系统通常包括两个部分,即防盗报警系统和周界防范报警系统。防盗报警系统和周界防范报警系统都使用同款报警主机、管理软件。这两个系统都是采用技术手段对非法入侵进行探测并向安保人员进行报警,区别在于防盗报警系统主要是针对建筑物内部来,而周界防范报警则是针对一个区域的周界进行防范。前者防范的是一个个区域,而后者防范的是一条连续的线。在数据中心建筑内部,微波/红外双鉴探测器是最常用的前端报警探测设备。双鉴探测器布置在机房层入口,探测器连接到地址模块后以RS485总线方式连通到安全防范管理中心的报警主机上,报警主机通过TCP/IP接口接入安全防范网络,由报警系统管理工作站实现监控中心对报警系统的集中管理。在机房楼一层紧急出入口内侧及屋顶层设备用房内建议设置微波/红外双鉴入侵探测器。建议机房楼一层外墙窗户处设置玻璃破碎报警器等报警装置,进一步防止对重要区的非法入侵。防盗报警系统在建筑内使用的入侵探测设备除了各类红外、微波、玻璃破碎探测器外,还有紧急报警按钮、震动探测器、门窗磁等。

3.3周界防范技术手段

对于数据中心园区的围栏/围墙,周界防范报警是重要的安全防范技术措施。它防范的是一条线,有多种的技术手段防范入侵。设计人员应根据用户的具体情况选用适合的周界防范报警技术手段。

3.3.1红外对射探测器红外对射探测器都是成对设置,一个发射端一个接收端。发射端不间断的发射不可见的红外光束,由接收端接收。如果有物体遮挡了红外光束,则接收端就发出警报。从原理上我们可以很容易知道除了人以外的小鸟、树叶等遮挡了红外光束都会引发报警,误报率很高。此外阳光照射也会引发误报,因此该种探测器已经逐渐被淘汰。

3.3.2一体化红外光栅一体化红外光栅可以视为红外对射探测器的一种升级产品。红外对射通常是两光束或四光束,是可在墙头安装的小巧设备。而一体化红外光栅则是落地安装的柱状产品。通常来说,一体化红外光栅的高度都在2m以上,内部安装的红外对射光束可以根据用户需求,通过光束模块的增减调整,其报警的准确性和防范距离都远优于红外对射探测器。但其造价高昂,仅在核电等高安全等级的场所使用。

3.3.3高压脉冲电网高压脉冲电网是众多周界防范技术手段中唯一的主动防御技术。该技术是通过在围墙顶端平行设置间距为20cm左右的合金丝4~6根,通过发出高压脉冲电信号(600V~1200V、持续时间为十余毫秒)来防范和检测是否有入侵行为发生。如果有人直接触摸合金丝,则会遭受电击导致肢体暂时麻痹,从而终止入侵行为,如果合金丝被剪断或两根合金丝短路都会触发报警。此种技术具有造价低、有威慑力而防范效果较好等优势在近几年得到广泛使用。不过此技术会破坏景观,在一些对环境景观要求高的场合不宜使用。

3.3.4光纤震动探测器光纤震动探测器分为定位型和防区型两类,都要配合铁丝围栏或其他固定的物体使用。通过将光纤固定在铁丝围栏上,当有人翻越铁丝围栏或破坏铁丝围栏等入侵事件发生时,光纤会发生挤压、变形、震动。在系统终端管理软件上,通过智能算法就可以知道是哪个部位发生了挤压、变形、震动,从而准确知道入侵事件发生的位置。所不同的是依据其精确程度和应用场合的区别,可分为定位型和防区型两种。

3.3.5张力铁丝围栏同样的,张力铁丝也需要配合铁丝围栏使用。在铁丝围栏上间距为15~20cm水平布设张力铁丝,通过张力传感器来感应张力铁丝的张力。如果有人破开铁丝网入侵,则必然会影响张力铁丝的张力,从而引发张力传感器报警。此种技术的缺陷在于气候变化(温度引发的热胀冷缩、大风引起的铁丝围栏震动)可能引起的误报。

3.3.6微波对射探测器与红外对射探测器类似的微波对射探测器也是成对使用,采用一发一收两个终端。通过发射端发射的微波信号,在发射和接收端之间形成一个纺锤型的微波场。如有人通过该微波场则会干扰之前稳定的微波场,触发报警。微波对射探测器的抗天气干扰能力很强,但因造价较高仅在核电厂、军事基地等场合应用。

3.3.7震动电缆震动电缆也称麦克风电缆,需配合铁丝围栏或围墙栅栏使用。通过在铁丝围栏或围墙栅栏上安装震动感应电缆来检测入侵破坏行为产生的震动,从而引发报警。

3.3.8泄露电缆通过在地下埋设两根平行的埋地电缆(一发一收),形成一个立体的感应电磁场。如果有入侵者(车辆、行人)闯入该感应电磁场则会引起接收电缆收到的信号变化,如果超出设定的变化范围,则会触发报警。由于埋设在地下,泄露电缆工作时不受天气变化影响,对景观也没有破坏,但其造价较高。

3.3.9埋地压差探测系统埋地压差探测是依靠在地下20~25cm深处埋设两根平行的水管,正常情况下,由压差调节装置调节,保证两管的压力平衡。如果有入侵行为发生,其对地面产生的压力会导致两根水管中的压力产生变化。通过检测这两根水管所受压力,系统就可以判别是否有入侵行为发生。由于埋设在地下,压差探测系统工作时不受天气变化影响,对景观也没有破坏,但其造价较高。其缺陷在于仅适用于较为松软的地面环境,比如草地、沙石地、粘土地等。

3.3.10视频移动侦测技术视频移动侦测技术在模拟监控时代就已经出现,由于当时技术条件限制,该技术没有得到广泛发展及应用。随着模拟监控系统中引入硬盘录像机,在硬盘价格还较为高昂的情况下,出现了第一个比较普遍的移动侦测技术——视频动态侦测。该技术在监控画面中没有移动物体时不记录监控图像,从而节省硬盘空间。在现在看来,这只是一个非常低级、没有多少技术含量的动态侦测,无法与如今的视频移动侦测技术相提并论。视频移动侦测技术发展到了今天,其功能的丰富程度已经远远超过周界防范系统的需求。在周界防范的应用上,通过在周界围墙附近架设监控摄像机,对围墙实现无漏洞无死角的监控,并在系统后端通过软件对周界摄像机发来的监控图像进行分析以判断是否有人入侵或是干扰信号,如树枝晃动、小动物闯入等。

3.4巡更系统

巡更系统通常包括在线式和离线式两种。在线式巡更系统是通过在巡更路线上布设巡更信息点,每个信息点有独立的ID编号。巡更人员通过信息采集器采集信息点的编号,在与时间信息关联后,当巡更人员回到安保中心,将巡更采集到的数据信息上传到软件中,即可生成巡逻记录,判断是否有巡更时间过快、过慢、线路偏差、漏过巡更点等违规事件发生。从上面的描述可知,在巡更人员回到安保中心上传巡更记录之前是无法知道其巡更状态,因此就出现了在线式巡更系统。在线式巡更系统通常是利用门禁读卡器作为巡更点,巡逻人员手持巡更卡片在巡更点的读卡器上刷过,则安保中心的门禁管理软件界面上就会实时出现该条信息,所以在巡逻的过程中就可以得知安保人员是否存在巡逻违规的情况。由于门禁系统仅在建筑物内部或外墙上布设门禁点,因此在一些大范围的区域内想要通过门禁系统来实现在线巡更是不现实的,于是就出现了利用手机网络来传输巡更信息的在线式巡更系统。该种巡更系统广泛使用在输油管线巡逻中。巡更人员手持带有SIM卡的巡检器沿巡更路线巡逻,每经过一个巡更点时,读取的巡更点信息(巡更点ID、时间等)均通过短信息的方式通过手机通信网络传输回安保中心,从而实时的了解巡更人员是否按时、按线路进行巡逻。如果发现异常事件,也可与内置的事件信息匹配后及时发送回控制中心。

4安全防范集成管理系统

综合安全防范集成管理系统通过统一的系统平台将安全防范各个子系统联网,包括视频安防监控系统、入侵报警系统、出入口控制管理、电子巡更系统,均通过以太网集成,实现分控中心对相关建筑内整体信息的系统集成和自动化管理。安全防范信息综合管理系统具有标准、开放的通信接口和协议,以便进行综合系统集成,系统留有与公安110报警中心联网的通信接口。同时,系统作为整个园区安全防范系统的子系统,留有与园区安全防范系统联网的通信接口,可以实现部分信息的共享。系统集成平台具有快速的联动功能,可实现多种安全防范策略,包括视频图像管理、电子地图、历史图像查询、报警/事件与视频安防监控系统复核、远程管理及指挥等。安防各子系统之间的联动要求能够实现如下功能:1)出入口控制系统与视频安防监控系统联动:当发出报警后,系统自动联动相应的摄像机,在显示器上自动切换到该报警位置的图像,自动启动录像等。2)出入口控制系统与消防系统联动:发生紧急情况时,门禁系统能接受消防系统的联动信号,自动释放电子锁。3)入侵报警系统与视频安防监控系统联动:当探测器发出报警后,系统自动联动相应的摄像机,在显示器上自动切换到该报警位置的图像,自动启动录像等。4)入侵报警系统与门禁管理系统联动:对与报警事件相关的出入口通道联动控制(如关闭、不允许刷卡进出等)。

5结束语

数据中心的安全运维贯穿于数据中心整个生命周期,本文主要是从技术防范的角度阐述了数据中心安防系统的设计。数据中心的安全防范还应统筹考虑人员防范和物理防范,例如在物理防范方面,数据中心所选地址的安全性、周边安全界限、人流物流的线路规划、建筑空间和平面的区划、入口和通道的设置、门窗墙的设计等都是应该充分考虑的安全防范因素。

作者:戴缨单位:天津惠普数据中心设计工程有限公司