韩中豪

[摘    要]通过建设智慧机房，将智能感知、数图融合、智能报警融入到传统的机房中，提高医院机房的容灾和预警能力，在保障机房内部软硬件安全的同时，提高医院的网络安全防护等级。在医院现有的传统机房基础上，通过对机房现有的系统架构以及网络架构进行深度分析，找出当前机房在安全上存在的风险点。然后针对风险点结合智慧机房的解决方案对机房的网络安全、数据安全、环境安全、硬件安全进行改造建设。通过梳理传统机房软硬件方面的风险点，同时结合智慧化的建设方案，大幅提高了机房的容灾预警能力。通过智慧机房的建设，降低了机房出现故障的风险，实现了机房智能化的管理，对医院机房安全起了重大的作用。

[关键词]智慧机房;容灾;预警

[中图分类号]R197.324;TP308 [文献标志码]A [文章编号]2095–6487（2021）03–00–02

[Abstract]Objective through the construction of intelligent computer room， the intelligent perception， digital image fusion and intelligent alarm are integrated into the traditional computer room， so as to improve the disaster recovery and early warning ability of the hospital computer room， ensure the internal hardware and software security of the computer room， and also improve the network security protection level of the hospital. Methods on the basis of the existing traditional computer room in the hospital， through the in-depth analysis of the existing system architecture and network architecture of the computer room， find out the risk points of the current computer room in security. Then， aiming at the risk points， combined with the solution of smart computer room， the network security， data security， environmental security and hardware security of the computer room are reconstructed. Results by combing the risk points of traditional computer room software and hardware， and combining with the intelligent construction scheme， the disaster recovery and early warning ability of computer room was greatly improved. Conclusion through the construction of intelligent computer room， the risk of computer room failure is reduced， the intelligent management of computer room is realized， which plays an important role in the safety of hospital computer room.

[Keywords]smart computer room; disaster recovery; early warning

當前，四川大学华西第二医院机房的建设严格遵循国家标准规范，但是整体建设水平比较低，建设的模式比较传统，安全防护能力水平较差。因此，对机房进行优化与升级改造，通过重新定义机房的用途，梳理现有的风险点，结合智慧机房方案改造机房，以达到提高机房容灾预警的能力。

1 机房架构

网络基础建设情况：医院网络在物理上采用有线接入域，医院服务器平台和用户接入网络均为千兆网络，医院内网和医院互联网采用物理隔离的方式。

网络安全建设情况：医院内网和外网采用物理隔离，医院内网和办公互联网均为单独的互联网出口，内网采用防火墙、网闸进行安全隔离和访问控制。

业务系统建设情况：医院信息平台采用企业级云平台和虚拟存储作为核心业务系统的载体，虚拟化云平台提供整体的业务保障、数据备份、存储数据，保障业务系统安全性、可靠性。核心网络架构基于IRF实现冗余性，保障网络层面的连续性。数据库服务器部署在虚拟化云平台上，利用云平台的可靠、安全、冗余、备份来保障系统的稳定。

机房物理环境建设情况：已有机房采用传统方式建设，不具备门禁访问系统，无法对进出人员进行控制和记录，同时机房内监控存在盲区且机房配电设置不规范，存在安全隐患;机房内无动力与环境监测系统，无法及时掌握机房物理环境与动力实时情况。机房内精密空调单机运行，无备机、无应急保障措施。院内未采取技术措施对网络行为进行分析，以及对网络攻击特别是新型网络攻击行为的分析。当检测到攻击行为时，无法记录攻击源IP、攻击类型、攻击目标、攻击时间，无法在发生严重入侵事件时提供报警功能;院内终端和服务器之间采用防火墙做安全访问过滤，根据各个楼层划分不同网段和VLAN，现有网络中具有堡垒机、日志审计、数据库审计、防火墙、SSlVPN进行安全可靠的运维，企业杀毒服务器针对内网所有终端提供安全的终端环境。

医院网络架构如图1所示：

2 智慧机房改造模块

2.1 环境动力类监测

传统机房无法做到对机房内物理环境预警，例如机房内因为精密空调的运行异常导致温度过高或者因为机房有漏水情况无法及时排查而导致服务器以及存储设备损坏，从而对医院造成巨大损失。因此考虑增加温湿度监测和漏水监测、烟雾监测传感器，实时监控机房内物理环境的情况，实现提前预警。同时机房内还需要实时监测并集中管控如UPS电源、市电箱中的参数情况，避免因为突然断电导致机房内服务器宕机事件的发生。以上都是在物理环境方面比较严重的风险点，对此增加相应的传感器对机房内物理环境进行实时监控、实时预警，全面保障机房动力与物理环境的安全。

2.2 安防类监测

医院机房存有大量患者的基本信息、病历数据、财务数据。保护机房数据安全是医院信息管理人员的首要职责，不允许出现任何问题。因此对于机房要做到无死角的监控，对于关键数据的服务器以及存储区域还需要设有红外报警功能，当陌生人进入机房后尤其是进入关键数据区域，要对该人员的所有行为进行实时录像同时推送通知消息到管理人员手机、邮箱或者微信，管理人员可以实时查看到进入该区域人员的监控视频，对该人员在服务器及存储上的操作行为全部记录存档，从而以最高程度保障机房的数据安全。同时要给机房增加带有人脸识别功能的门禁系统，人脸识别的门禁系统相较于传统的钥匙门锁可以实现控制、鉴别和记录进入机房的人员信息，也可以大幅简化机房维护人员日常的工作内容。

2.3 网络类监测

院内网络每天都面临着成百上千次的黑客攻击，当网络受到攻击时如何定位到问题的源头以及问题的发生点至关重要，因此在网络安全改造上需要增加对网络设备、线路、主机状态、资源状态的监测服务，当监测服务发现网络异常情况时会进行主动告警，实时记录告警的具体信息。具体实现方式是将探针部署于核心网络汇聚点，内外网服务器、网络（安全）设备、部分线路等，达到实时监测、实时告警异常信息，做到告警的问题可追溯，可解决。

通过对机房增加环境动力类、安防类、网络类三大类监测，实现对机房的智慧化管理，让医院信息管理人员对机房安全、数据安全、網络安全由完全被动的巡检转换为主动的、可视化的、智能化的管理。智慧机房系统模块如图2所示。

3 应用效果

3.1 规范院内巡查制度，提高信息管理部门巡查效率

通过智慧机房的建立，基本废弃了原有的比较单一的机房巡检工作。由线上与线下巡查相结合的方式代替之前传统的物理巡查。通过培训使用、规范使用，院内也逐步完善了新的巡查制度，让信息管理人员更全面、更清晰地知道每日的巡查内容，巡查的目的，也更准确地做好巡查记录，大幅提高了信息管理部门巡检的效率，降低了因人为巡检疏忽而发生潜在风险。在一定程度上，智慧机房让医院的巡查制度更加成熟。

3.2 提高机房预警能力，减轻信息管理部门工作压力

智慧机房的建立大幅提高了机房内物理环境和虚拟环境的安全，同时还具备了预警告警的能力，让可能发生的风险提前被扼杀。一直以来医院的数据中心机房都是信息管理人员的核心命脉，总期望着永不宕机，永不发生故障。在建设智慧机房之后，信息管理人员可以主动了解到医院网络、数据安全方面的薄弱点，可以做到有的放矢地提升医院的机房安全。智慧机房的预警告警能力极大地减轻了信息管理部门人员身体上和身心上的压力。

3.3 通过可视化管理，提高信息管理部门的综合运维管理能力

智慧机房建设前，医院信息管理人员的日常运维工作就是走到机房检查每台服务器的运行指示灯，绿色即正常;检查UPS电源，无报错即正常;检查精密空调，制冷即正常;检查业务系统，运行不卡顿即网络正常。日常的巡检都是点到点、单一、无思考的工作。在智慧医院建立后，信息管理人员可以通过接收主动的消息推送，可以在可视化的管理平台上查看机房内的设备和网络的运行状况，可以在科室内大屏幕上实时查看动态更新的机房内部参数。让信息管理人员按照规范、按照流程和制度，有目的、有思考地全面掌控着医院的机房动态，保障医院业务运行不中断、数据不丢失。

4 结论

主要讨论了利用信息化的手段，同时结合智慧化的方案改造并升级医院的机房，最终通过智慧机房的建设，降低了医院信息管理人员的工作压力，规范了工作的流程，提高了综合运维的工作能力，为医院机房安全提供了有力保障。

需要注意的是，智慧机房的建立虽然可以主动预警潜在和正在发生的风险，替代传统的巡检方式，但是在实际运行中还需要不断优化和总结。在机房的安全上没有绝对的防御，外界技术在不断更新，信息管理人员也需要不断学习，不断地升级防御策略，只有这样才能保证医院的数据安全和网络安全。

参考文献

[1] 赵建军.高校智慧机房建设前瞻与探讨[J].数码世界，2021（3）：46-47.

[2] 陈江明.智慧机房系统设计[J].中国高新科技，2020（9）：35-36.