智慧機房的規劃與建設

韓中豪

[摘 ? ?要]通過建設智慧機房，將智能感知、數圖融合、智能報警融入到傳統的機房中，提高醫院機房的容災和預警能力，在保障機房內部軟硬件安全的同時，提高醫院的網絡安全防護等級。在醫院現有的傳統機房基礎上，通過對機房現有的系統架構以及網絡架構進行深度分析，找出當前機房在安全上存在的風險點。然后針對風險點結合智慧機房的解決方案對機房的網絡安全、數據安全、環境安全、硬件安全進行改造建設。通過梳理傳統機房軟硬件方面的風險點，同時結合智慧化的建設方案，大幅提高了機房的容災預警能力。通過智慧機房的建設，降低了機房出現故障的風險，實現了機房智能化的管理，對醫院機房安全起了重大的作用。

[關鍵詞]智慧機房;容災;預警

[中圖分類號]R197.324;TP308 [文獻標志碼]A [文章編號]2095–6487（2021）03–00–02

[Abstract]Objective through the construction of intelligent computer room， the intelligent perception， digital image fusion and intelligent alarm are integrated into the traditional computer room， so as to improve the disaster recovery and early warning ability of the hospital computer room， ensure the internal hardware and software security of the computer room， and also improve the network security protection level of the hospital. Methods on the basis of the existing traditional computer room in the hospital， through the in-depth analysis of the existing system architecture and network architecture of the computer room， find out the risk points of the current computer room in security. Then， aiming at the risk points， combined with the solution of smart computer room， the network security， data security， environmental security and hardware security of the computer room are reconstructed. Results by combing the risk points of traditional computer room software and hardware， and combining with the intelligent construction scheme， the disaster recovery and early warning ability of computer room was greatly improved. Conclusion through the construction of intelligent computer room， the risk of computer room failure is reduced， the intelligent management of computer room is realized， which plays an important role in the safety of hospital computer room.

[Keywords]smart computer room; disaster recovery; early warning

當前，四川大學華西第二醫院機房的建設嚴格遵循國家標準規范，但是整體建設水平比較低，建設的模式比較傳統，安全防護能力水平較差。因此，對機房進行優化與升級改造，通過重新定義機房的用途，梳理現有的風險點，結合智慧機房方案改造機房，以達到提高機房容災預警的能力。

1 機房架構

網絡基礎建設情況：醫院網絡在物理上采用有線接入域，醫院服務器平臺和用戶接入網絡均為千兆網絡，醫院內網和醫院互聯網采用物理隔離的方式。

網絡安全建設情況：醫院內網和外網采用物理隔離，醫院內網和辦公互聯網均為單獨的互聯網出口，內網采用防火墻、網閘進行安全隔離和訪問控制。

業務系統建設情況：醫院信息平臺采用企業級云平臺和虛擬存儲作為核心業務系統的載體，虛擬化云平臺提供整體的業務保障、數據備份、存儲數據，保障業務系統安全性、可靠性。核心網絡架構基于IRF實現冗余性，保障網絡層面的連續性。數據庫服務器部署在虛擬化云平臺上，利用云平臺的可靠、安全、冗余、備份來保障系統的穩定。

機房物理環境建設情況：已有機房采用傳統方式建設，不具備門禁訪問系統，無法對進出人員進行控制和記錄，同時機房內監控存在盲區且機房配電設置不規范，存在安全隱患;機房內無動力與環境監測系統，無法及時掌握機房物理環境與動力實時情況。機房內精密空調單機運行，無備機、無應急保障措施。院內未采取技術措施對網絡行為進行分析，以及對網絡攻擊特別是新型網絡攻擊行為的分析。當檢測到攻擊行為時，無法記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，無法在發生嚴重入侵事件時提供報警功能;院內終端和服務器之間采用防火墻做安全訪問過濾，根據各個樓層劃分不同網段和VLAN，現有網絡中具有堡壘機、日志審計、數據庫審計、防火墻、SSlVPN進行安全可靠的運維，企業殺毒服務器針對內網所有終端提供安全的終端環境。

醫院網絡架構如圖1所示：

2 智慧機房改造模塊

2.1 環境動力類監測

傳統機房無法做到對機房內物理環境預警，例如機房內因為精密空調的運行異常導致溫度過高或者因為機房有漏水情況無法及時排查而導致服務器以及存儲設備損壞，從而對醫院造成巨大損失。因此考慮增加溫濕度監測和漏水監測、煙霧監測傳感器，實時監控機房內物理環境的情況，實現提前預警。同時機房內還需要實時監測并集中管控如UPS電源、市電箱中的參數情況，避免因為突然斷電導致機房內服務器宕機事件的發生。以上都是在物理環境方面比較嚴重的風險點，對此增加相應的傳感器對機房內物理環境進行實時監控、實時預警，全面保障機房動力與物理環境的安全。

2.2 安防類監測

醫院機房存有大量患者的基本信息、病歷數據、財務數據。保護機房數據安全是醫院信息管理人員的首要職責，不允許出現任何問題。因此對于機房要做到無死角的監控，對于關鍵數據的服務器以及存儲區域還需要設有紅外報警功能，當陌生人進入機房后尤其是進入關鍵數據區域，要對該人員的所有行為進行實時錄像同時推送通知消息到管理人員手機、郵箱或者微信，管理人員可以實時查看到進入該區域人員的監控視頻，對該人員在服務器及存儲上的操作行為全部記錄存檔，從而以最高程度保障機房的數據安全。同時要給機房增加帶有人臉識別功能的門禁系統，人臉識別的門禁系統相較于傳統的鑰匙門鎖可以實現控制、鑒別和記錄進入機房的人員信息，也可以大幅簡化機房維護人員日常的工作內容。

2.3 網絡類監測

院內網絡每天都面臨著成百上千次的黑客攻擊，當網絡受到攻擊時如何定位到問題的源頭以及問題的發生點至關重要，因此在網絡安全改造上需要增加對網絡設備、線路、主機狀態、資源狀態的監測服務，當監測服務發現網絡異常情況時會進行主動告警，實時記錄告警的具體信息。具體實現方式是將探針部署于核心網絡匯聚點，內外網服務器、網絡（安全）設備、部分線路等，達到實時監測、實時告警異常信息，做到告警的問題可追溯，可解決。

通過對機房增加環境動力類、安防類、網絡類三大類監測，實現對機房的智慧化管理，讓醫院信息管理人員對機房安全、數據安全、網絡安全由完全被動的巡檢轉換為主動的、可視化的、智能化的管理。智慧機房系統模塊如圖2所示。

3 應用效果

3.1 規范院內巡查制度，提高信息管理部門巡查效率

通過智慧機房的建立，基本廢棄了原有的比較單一的機房巡檢工作。由線上與線下巡查相結合的方式代替之前傳統的物理巡查。通過培訓使用、規范使用，院內也逐步完善了新的巡查制度，讓信息管理人員更全面、更清晰地知道每日的巡查內容，巡查的目的，也更準確地做好巡查記錄，大幅提高了信息管理部門巡檢的效率，降低了因人為巡檢疏忽而發生潛在風險。在一定程度上，智慧機房讓醫院的巡查制度更加成熟。

3.2 提高機房預警能力，減輕信息管理部門工作壓力

智慧機房的建立大幅提高了機房內物理環境和虛擬環境的安全，同時還具備了預警告警的能力，讓可能發生的風險提前被扼殺。一直以來醫院的數據中心機房都是信息管理人員的核心命脈，總期望著永不宕機，永不發生故障。在建設智慧機房之后，信息管理人員可以主動了解到醫院網絡、數據安全方面的薄弱點，可以做到有的放矢地提升醫院的機房安全。智慧機房的預警告警能力極大地減輕了信息管理部門人員身體上和身心上的壓力。

3.3 通過可視化管理，提高信息管理部門的綜合運維管理能力

智慧機房建設前，醫院信息管理人員的日常運維工作就是走到機房檢查每臺服務器的運行指示燈，綠色即正常;檢查UPS電源，無報錯即正常;檢查精密空調，制冷即正常;檢查業務系統，運行不卡頓即網絡正常。日常的巡檢都是點到點、單一、無思考的工作。在智慧醫院建立后，信息管理人員可以通過接收主動的消息推送，可以在可視化的管理平臺上查看機房內的設備和網絡的運行狀況，可以在科室內大屏幕上實時查看動態更新的機房內部參數。讓信息管理人員按照規范、按照流程和制度，有目的、有思考地全面掌控著醫院的機房動態，保障醫院業務運行不中斷、數據不丟失。

4 結論

主要討論了利用信息化的手段，同時結合智慧化的方案改造并升級醫院的機房，最終通過智慧機房的建設，降低了醫院信息管理人員的工作壓力，規范了工作的流程，提高了綜合運維的工作能力，為醫院機房安全提供了有力保障。

需要注意的是，智慧機房的建立雖然可以主動預警潛在和正在發生的風險，替代傳統的巡檢方式，但是在實際運行中還需要不斷優化和總結。在機房的安全上沒有絕對的防御，外界技術在不斷更新，信息管理人員也需要不斷學習，不斷地升級防御策略，只有這樣才能保證醫院的數據安全和網絡安全。

參考文獻

[1] 趙建軍.高校智慧機房建設前瞻與探討[J].數碼世界，2021（3）：46-47.

[2] 陳江明.智慧機房系統設計[J].中國高新科技，2020（9）：35-36.