智慧機(jī)房的規(guī)劃與建設(shè)

韓中豪

[摘 ? ?要]通過建設(shè)智慧機(jī)房，將智能感知、數(shù)圖融合、智能報(bào)警融入到傳統(tǒng)的機(jī)房中，提高醫(yī)院機(jī)房的容災(zāi)和預(yù)警能力，在保障機(jī)房?jī)?nèi)部軟硬件安全的同時(shí)，提高醫(yī)院的網(wǎng)絡(luò)安全防護(hù)等級(jí)。在醫(yī)院現(xiàn)有的傳統(tǒng)機(jī)房基礎(chǔ)上，通過對(duì)機(jī)房現(xiàn)有的系統(tǒng)架構(gòu)以及網(wǎng)絡(luò)架構(gòu)進(jìn)行深度分析，找出當(dāng)前機(jī)房在安全上存在的風(fēng)險(xiǎn)點(diǎn)。然后針對(duì)風(fēng)險(xiǎn)點(diǎn)結(jié)合智慧機(jī)房的解決方案對(duì)機(jī)房的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、環(huán)境安全、硬件安全進(jìn)行改造建設(shè)。通過梳理傳統(tǒng)機(jī)房軟硬件方面的風(fēng)險(xiǎn)點(diǎn)，同時(shí)結(jié)合智慧化的建設(shè)方案，大幅提高了機(jī)房的容災(zāi)預(yù)警能力。通過智慧機(jī)房的建設(shè)，降低了機(jī)房出現(xiàn)故障的風(fēng)險(xiǎn)，實(shí)現(xiàn)了機(jī)房智能化的管理，對(duì)醫(yī)院機(jī)房安全起了重大的作用。

[關(guān)鍵詞]智慧機(jī)房;容災(zāi);預(yù)警

[中圖分類號(hào)]R197.324;TP308 [文獻(xiàn)標(biāo)志碼]A [文章編號(hào)]2095–6487（2021）03–00–02

[Abstract]Objective through the construction of intelligent computer room， the intelligent perception， digital image fusion and intelligent alarm are integrated into the traditional computer room， so as to improve the disaster recovery and early warning ability of the hospital computer room， ensure the internal hardware and software security of the computer room， and also improve the network security protection level of the hospital. Methods on the basis of the existing traditional computer room in the hospital， through the in-depth analysis of the existing system architecture and network architecture of the computer room， find out the risk points of the current computer room in security. Then， aiming at the risk points， combined with the solution of smart computer room， the network security， data security， environmental security and hardware security of the computer room are reconstructed. Results by combing the risk points of traditional computer room software and hardware， and combining with the intelligent construction scheme， the disaster recovery and early warning ability of computer room was greatly improved. Conclusion through the construction of intelligent computer room， the risk of computer room failure is reduced， the intelligent management of computer room is realized， which plays an important role in the safety of hospital computer room.

[Keywords]smart computer room; disaster recovery; early warning

當(dāng)前，四川大學(xué)華西第二醫(yī)院機(jī)房的建設(shè)嚴(yán)格遵循國(guó)家標(biāo)準(zhǔn)規(guī)范，但是整體建設(shè)水平比較低，建設(shè)的模式比較傳統(tǒng)，安全防護(hù)能力水平較差。因此，對(duì)機(jī)房進(jìn)行優(yōu)化與升級(jí)改造，通過重新定義機(jī)房的用途，梳理現(xiàn)有的風(fēng)險(xiǎn)點(diǎn)，結(jié)合智慧機(jī)房方案改造機(jī)房，以達(dá)到提高機(jī)房容災(zāi)預(yù)警的能力。

1 機(jī)房架構(gòu)

網(wǎng)絡(luò)基礎(chǔ)建設(shè)情況：醫(yī)院網(wǎng)絡(luò)在物理上采用有線接入域，醫(yī)院服務(wù)器平臺(tái)和用戶接入網(wǎng)絡(luò)均為千兆網(wǎng)絡(luò)，醫(yī)院內(nèi)網(wǎng)和醫(yī)院互聯(lián)網(wǎng)采用物理隔離的方式。

網(wǎng)絡(luò)安全建設(shè)情況：醫(yī)院內(nèi)網(wǎng)和外網(wǎng)采用物理隔離，醫(yī)院內(nèi)網(wǎng)和辦公互聯(lián)網(wǎng)均為單獨(dú)的互聯(lián)網(wǎng)出口，內(nèi)網(wǎng)采用防火墻、網(wǎng)閘進(jìn)行安全隔離和訪問控制。

業(yè)務(wù)系統(tǒng)建設(shè)情況：醫(yī)院信息平臺(tái)采用企業(yè)級(jí)云平臺(tái)和虛擬存儲(chǔ)作為核心業(yè)務(wù)系統(tǒng)的載體，虛擬化云平臺(tái)提供整體的業(yè)務(wù)保障、數(shù)據(jù)備份、存儲(chǔ)數(shù)據(jù)，保障業(yè)務(wù)系統(tǒng)安全性、可靠性。核心網(wǎng)絡(luò)架構(gòu)基于IRF實(shí)現(xiàn)冗余性，保障網(wǎng)絡(luò)層面的連續(xù)性。數(shù)據(jù)庫(kù)服務(wù)器部署在虛擬化云平臺(tái)上，利用云平臺(tái)的可靠、安全、冗余、備份來(lái)保障系統(tǒng)的穩(wěn)定。

機(jī)房物理環(huán)境建設(shè)情況：已有機(jī)房采用傳統(tǒng)方式建設(shè)，不具備門禁訪問系統(tǒng)，無(wú)法對(duì)進(jìn)出人員進(jìn)行控制和記錄，同時(shí)機(jī)房?jī)?nèi)監(jiān)控存在盲區(qū)且機(jī)房配電設(shè)置不規(guī)范，存在安全隱患;機(jī)房?jī)?nèi)無(wú)動(dòng)力與環(huán)境監(jiān)測(cè)系統(tǒng)，無(wú)法及時(shí)掌握機(jī)房物理環(huán)境與動(dòng)力實(shí)時(shí)情況。機(jī)房?jī)?nèi)精密空調(diào)單機(jī)運(yùn)行，無(wú)備機(jī)、無(wú)應(yīng)急保障措施。院內(nèi)未采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，以及對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。當(dāng)檢測(cè)到攻擊行為時(shí)，無(wú)法記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，無(wú)法在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警功能;院內(nèi)終端和服務(wù)器之間采用防火墻做安全訪問過濾，根據(jù)各個(gè)樓層劃分不同網(wǎng)段和VLAN，現(xiàn)有網(wǎng)絡(luò)中具有堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、防火墻、SSlVPN進(jìn)行安全可靠的運(yùn)維，企業(yè)殺毒服務(wù)器針對(duì)內(nèi)網(wǎng)所有終端提供安全的終端環(huán)境。

醫(yī)院網(wǎng)絡(luò)架構(gòu)如圖1所示：

2 智慧機(jī)房改造模塊

2.1 環(huán)境動(dòng)力類監(jiān)測(cè)

傳統(tǒng)機(jī)房無(wú)法做到對(duì)機(jī)房?jī)?nèi)物理環(huán)境預(yù)警，例如機(jī)房?jī)?nèi)因?yàn)榫芸照{(diào)的運(yùn)行異常導(dǎo)致溫度過高或者因?yàn)闄C(jī)房有漏水情況無(wú)法及時(shí)排查而導(dǎo)致服務(wù)器以及存儲(chǔ)設(shè)備損壞，從而對(duì)醫(yī)院造成巨大損失。因此考慮增加溫濕度監(jiān)測(cè)和漏水監(jiān)測(cè)、煙霧監(jiān)測(cè)傳感器，實(shí)時(shí)監(jiān)控機(jī)房?jī)?nèi)物理環(huán)境的情況，實(shí)現(xiàn)提前預(yù)警。同時(shí)機(jī)房?jī)?nèi)還需要實(shí)時(shí)監(jiān)測(cè)并集中管控如UPS電源、市電箱中的參數(shù)情況，避免因?yàn)橥蝗粩嚯妼?dǎo)致機(jī)房?jī)?nèi)服務(wù)器宕機(jī)事件的發(fā)生。以上都是在物理環(huán)境方面比較嚴(yán)重的風(fēng)險(xiǎn)點(diǎn)，對(duì)此增加相應(yīng)的傳感器對(duì)機(jī)房?jī)?nèi)物理環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)預(yù)警，全面保障機(jī)房動(dòng)力與物理環(huán)境的安全。

2.2 安防類監(jiān)測(cè)

醫(yī)院機(jī)房存有大量患者的基本信息、病歷數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)。保護(hù)機(jī)房數(shù)據(jù)安全是醫(yī)院信息管理人員的首要職責(zé)，不允許出現(xiàn)任何問題。因此對(duì)于機(jī)房要做到無(wú)死角的監(jiān)控，對(duì)于關(guān)鍵數(shù)據(jù)的服務(wù)器以及存儲(chǔ)區(qū)域還需要設(shè)有紅外報(bào)警功能，當(dāng)陌生人進(jìn)入機(jī)房后尤其是進(jìn)入關(guān)鍵數(shù)據(jù)區(qū)域，要對(duì)該人員的所有行為進(jìn)行實(shí)時(shí)錄像同時(shí)推送通知消息到管理人員手機(jī)、郵箱或者微信，管理人員可以實(shí)時(shí)查看到進(jìn)入該區(qū)域人員的監(jiān)控視頻，對(duì)該人員在服務(wù)器及存儲(chǔ)上的操作行為全部記錄存檔，從而以最高程度保障機(jī)房的數(shù)據(jù)安全。同時(shí)要給機(jī)房增加帶有人臉識(shí)別功能的門禁系統(tǒng)，人臉識(shí)別的門禁系統(tǒng)相較于傳統(tǒng)的鑰匙門鎖可以實(shí)現(xiàn)控制、鑒別和記錄進(jìn)入機(jī)房的人員信息，也可以大幅簡(jiǎn)化機(jī)房維護(hù)人員日常的工作內(nèi)容。

2.3 網(wǎng)絡(luò)類監(jiān)測(cè)

院內(nèi)網(wǎng)絡(luò)每天都面臨著成百上千次的黑客攻擊，當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)如何定位到問題的源頭以及問題的發(fā)生點(diǎn)至關(guān)重要，因此在網(wǎng)絡(luò)安全改造上需要增加對(duì)網(wǎng)絡(luò)設(shè)備、線路、主機(jī)狀態(tài)、資源狀態(tài)的監(jiān)測(cè)服務(wù)，當(dāng)監(jiān)測(cè)服務(wù)發(fā)現(xiàn)網(wǎng)絡(luò)異常情況時(shí)會(huì)進(jìn)行主動(dòng)告警，實(shí)時(shí)記錄告警的具體信息。具體實(shí)現(xiàn)方式是將探針部署于核心網(wǎng)絡(luò)匯聚點(diǎn)，內(nèi)外網(wǎng)服務(wù)器、網(wǎng)絡(luò)（安全）設(shè)備、部分線路等，達(dá)到實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警異常信息，做到告警的問題可追溯，可解決。

通過對(duì)機(jī)房增加環(huán)境動(dòng)力類、安防類、網(wǎng)絡(luò)類三大類監(jiān)測(cè)，實(shí)現(xiàn)對(duì)機(jī)房的智慧化管理，讓醫(yī)院信息管理人員對(duì)機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全由完全被動(dòng)的巡檢轉(zhuǎn)換為主動(dòng)的、可視化的、智能化的管理。智慧機(jī)房系統(tǒng)模塊如圖2所示。

3 應(yīng)用效果

3.1 規(guī)范院內(nèi)巡查制度，提高信息管理部門巡查效率

通過智慧機(jī)房的建立，基本廢棄了原有的比較單一的機(jī)房巡檢工作。由線上與線下巡查相結(jié)合的方式代替之前傳統(tǒng)的物理巡查。通過培訓(xùn)使用、規(guī)范使用，院內(nèi)也逐步完善了新的巡查制度，讓信息管理人員更全面、更清晰地知道每日的巡查內(nèi)容，巡查的目的，也更準(zhǔn)確地做好巡查記錄，大幅提高了信息管理部門巡檢的效率，降低了因人為巡檢疏忽而發(fā)生潛在風(fēng)險(xiǎn)。在一定程度上，智慧機(jī)房讓醫(yī)院的巡查制度更加成熟。

3.2 提高機(jī)房預(yù)警能力，減輕信息管理部門工作壓力

智慧機(jī)房的建立大幅提高了機(jī)房?jī)?nèi)物理環(huán)境和虛擬環(huán)境的安全，同時(shí)還具備了預(yù)警告警的能力，讓可能發(fā)生的風(fēng)險(xiǎn)提前被扼殺。一直以來(lái)醫(yī)院的數(shù)據(jù)中心機(jī)房都是信息管理人員的核心命脈，總期望著永不宕機(jī)，永不發(fā)生故障。在建設(shè)智慧機(jī)房之后，信息管理人員可以主動(dòng)了解到醫(yī)院網(wǎng)絡(luò)、數(shù)據(jù)安全方面的薄弱點(diǎn)，可以做到有的放矢地提升醫(yī)院的機(jī)房安全。智慧機(jī)房的預(yù)警告警能力極大地減輕了信息管理部門人員身體上和身心上的壓力。

3.3 通過可視化管理，提高信息管理部門的綜合運(yùn)維管理能力

智慧機(jī)房建設(shè)前，醫(yī)院信息管理人員的日常運(yùn)維工作就是走到機(jī)房檢查每臺(tái)服務(wù)器的運(yùn)行指示燈，綠色即正常;檢查UPS電源，無(wú)報(bào)錯(cuò)即正常;檢查精密空調(diào)，制冷即正常;檢查業(yè)務(wù)系統(tǒng)，運(yùn)行不卡頓即網(wǎng)絡(luò)正常。日常的巡檢都是點(diǎn)到點(diǎn)、單一、無(wú)思考的工作。在智慧醫(yī)院建立后，信息管理人員可以通過接收主動(dòng)的消息推送，可以在可視化的管理平臺(tái)上查看機(jī)房?jī)?nèi)的設(shè)備和網(wǎng)絡(luò)的運(yùn)行狀況，可以在科室內(nèi)大屏幕上實(shí)時(shí)查看動(dòng)態(tài)更新的機(jī)房?jī)?nèi)部參數(shù)。讓信息管理人員按照規(guī)范、按照流程和制度，有目的、有思考地全面掌控著醫(yī)院的機(jī)房動(dòng)態(tài)，保障醫(yī)院業(yè)務(wù)運(yùn)行不中斷、數(shù)據(jù)不丟失。

4 結(jié)論

主要討論了利用信息化的手段，同時(shí)結(jié)合智慧化的方案改造并升級(jí)醫(yī)院的機(jī)房，最終通過智慧機(jī)房的建設(shè)，降低了醫(yī)院信息管理人員的工作壓力，規(guī)范了工作的流程，提高了綜合運(yùn)維的工作能力，為醫(yī)院機(jī)房安全提供了有力保障。

需要注意的是，智慧機(jī)房的建立雖然可以主動(dòng)預(yù)警潛在和正在發(fā)生的風(fēng)險(xiǎn)，替代傳統(tǒng)的巡檢方式，但是在實(shí)際運(yùn)行中還需要不斷優(yōu)化和總結(jié)。在機(jī)房的安全上沒有絕對(duì)的防御，外界技術(shù)在不斷更新，信息管理人員也需要不斷學(xué)習(xí)，不斷地升級(jí)防御策略，只有這樣才能保證醫(yī)院的數(shù)據(jù)安全和網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 趙建軍.高校智慧機(jī)房建設(shè)前瞻與探討[J].數(shù)碼世界，2021（3）：46-47.

[2] 陳江明.智慧機(jī)房系統(tǒng)設(shè)計(jì)[J].中國(guó)高新科技，2020（9）：35-36.