金融安防 | 数据中心园区安全防范及管理实践

数据中心是承载数字经济的关键基础设施，近年来各大中型银行机构均不断扩大数据中心建设规模，以支撑数字化转型发展的需要。在数据中心规模不断扩展的同时，其物理安全逐渐被行业所关注，安全防范体系在数据中心建设与运营中的作用更加凸显，本文将重点介绍银行数据中心园区的安防系统建设。

银行业数据中心安防领域相关规范主要包括《数据中心设计规范》《安全防范工程技术规范》《银行安全防范要求》《信息安全技术信息系统密码应用基本要求》及相关国家、行业标准等。各银行同业都根据相应规范并结合自身情况建立了安全防范体系和系统，通常包括园区周界、门禁系统、视频监控系统等，安防系统与银行访客授权系统、工单管理流程融合对接，以实现安全防范工作闭环管理。

近年来随着银行计算、存储、网络等设备的高速增长，部分银行数据中心的规模已从数万平米飞跃至数十万平米，这对于数据中心的安全防范能力提出了极高的要求：IT设备的数量增长导致变更、维护工作量和数据中心的人员出入需求大增；诸多银行同业在国内多地建设了大型数据中心园区，亟需建立稳定的安全保卫干部队伍、通畅易用的安防系统和标准统一的安防体系，以克服不同地区人员水平参差不齐的问题；外部局势的不稳定也要求我们对数据中心安全防范投入更多关注和资源。

光大银行根据上述标准并结合数据中心园区现场条件，建立了一整套完善的安防体系和安保制度，涵盖园区环境安全、物品和设施安全、人员出入安全、应急保障、安防整体评价等方面。

1.数据中心常规安防系统建设。光大银行数据中心园区采用四层防护体系，以最大程度降低各类内外部安全风险，确保银行业务持续稳定运行、数据安全。

第一层为数据中心园区周界，包括出入口道闸、视频监控及存储设备、围墙周界系统、车库管理系统、防冲撞系统，禁止非授权人员及车辆进入园区。

第二层为建筑物周界，包括建筑物出入口门禁、入侵检测系统、视频监控系统、数据中心大堂安检及防爆设施，对进入数据中心楼的人员及物品进行控制。

第三层为IT运维区域，在数据中心大堂通往IT运维区域设置防尾随门，并配备卡片+3D人脸双因子门禁系统。IT运维区域内不同功能的楼层和走廊也设置门禁系统，以控制不同职责的工作人员进出不同的机电维护区域。区域内全部出入口均设置入侵检测和视频监控。

第四层为机房模块、ECC总控中心、应急指挥中心。此部分区域是数据中心运行保障的核心，具有最高的防护等级，均配备卡片+3D人脸双因子门禁系统，区域内设置无死角视频监控系统（如图1所示）。

除采用人、物、技防手段建立数据中心园区四层防护体系之外，光大银行还通过电子巡更系统等手段规范运维人员、安检人员及其他工作人员的行为，确保安全防范制度标准的贯彻落实，并开展应对寻衅滋事和非法暴力闯入等情景的应急演练，验证数据中心安全防范系统的可靠性和各领域人员应急执行熟练程度。

2.人员出入精细化管理。除常规的数据中心安全防范系统外，光大银行还采取了多项措施确保数据中心内部人员按既定规则开展工作。

（1）严管门禁授权。数据中心门禁权限分为长期权限和临时权限两类，长期权限的授权遵循“工作相关，最小化授权原则”，门禁长期授权由专人定期审核，临时授权必须通过数据中心相关区域访问流程审批，审批完成后，按照到访时间段授权，时间到期后权限自动回收。

ECC区域通道与一般办公区使用闸机和人脸认证通道门进行物理隔离，通道权限和ECC门的权限分梯次授权，在保证生产事件运行处置效率的同时保证生产场所安全。

（2）尾随行为二次核验。除数据中心IT运维区域出入口设置防尾随旋转门外，数据中心机房模块还对可能的尾随行为进行二次核验。机房模块主入口采用人脸识别和加密门禁卡片双因子验证，对进入机房人员进行身份校验后，安防平台与机房模块内部的人脸识别摄像头联动，对进入机房的人员二次抓拍校验，校验失败时推送告警，防止发生尾随进入机房模块的行为。

（3）人员追踪及合规评价。随着数据中心规模的扩大，参与IT设备变更、维护的外部人员访问量大幅增长，安全管理挑战与日俱增。传统的纸质登记、人员陪同等线下访问安全管理方式已经不能满足数据中心安全管理要求。

光大银行的机房访问管理已全面实现自动化，涵盖身份验证、访问登记、访问限制、访问评价等多个方面，从而确保数据中心访问安全。数据中心应用人证比对技术，现场进行人、证和人脸识别的三重核验，保证访客身份真实有效。根据授权工单明确其访问权限，以确保只有具备相应权限的人员才能访问授权区域或设备。对人员进入非计划内机房区域、对非计划内的设备下架、对非计划内设备带出机房等场景进行监控和告警，并联动视频系统对现场情况进行实时抓拍，通过统一告警系统通知一线人员，依据预案进行实时处置，提高对数据中心内访问行为的感知及处置能力，进一步提升数据中心访问行为的安全性和合规性（如图2所示）。

（4）携带设备进出管理。为防止IT设备的非法出入，对入场IT设备均赋RFID标签并粘贴于外壳上，IT设备登记入库、带入机房上架领用、机房搬迁、出库报废的全生命周期均可追溯，避免非法领用或出库风险。IT设备及介质的正常出入需求均需登记，人员携带设备或介质进出数据中心时，进出行李均需由安保人员检查，进出人员须通过防尾随门称重系统检测，确保为同一人且出入时并未夹带。

3.安防网络及终端安全。为确保安防设施的安全，我行数据中心园区建立了独立的安防网络，与基础设施运维网、IT生产网络、互联网均实现隔离。并遵循信息系统等级保护相关要求，在安防系统终端集成了GB/T 37092二级及以上安全要求的加密算法，在终端设备与安全认证平台之间进行持续的双向认证，检查终端设备硬件信息及运算环境，以确保摄像头、门禁控制器等安全终端身份及数据来源的安全可信、系统管理员的真实有效、门禁系统进出记录数据和视频监控音像记录数据的完整可靠、通信数据和网络边界访问控制信息的准确机密。

坚实可靠的安全防范系统是银行数据中心安全稳定运行的重要保障，数据中心的安防体系建设也是一项长期的系统工程。面对诸多的不确定性和挑战，我们将不断尝试应用安全防范新技术和新产品，打造高科技的数据中心安全防范系统。期待人工智能、增强现实等技术能够在安全防范领域产生应用成果，提前识别和预警安全风险，并能够在确保可靠的同时，逐步降低人工参与比例，提升银行数据中心标准化管理水平、保障数据中心安全稳定运行，助力业务发展，服务广大客户。

（此文刊发于《金融电子化》2024年4月下半月刊）