時間:2023-05-30 10:18:36
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇服務(wù)器維保服務(wù),希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:網(wǎng)絡(luò)基礎(chǔ)設(shè)施;網(wǎng)絡(luò)管理;基于角色的訪問控制;ITIL
1 概述
隨著國家教育戰(zhàn)略和社會的發(fā)展,四川廣播電視大學(xué)(以下簡稱“四川電大”)的信息化建設(shè)已經(jīng)進入了一個新的時代。隨著信息化建設(shè)工作的推進,四川電大購入越來越多的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,如何使用、管理和運維好這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施,成為了一個亟待解決的課題。
近幾年,四川電大在網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面投入了大量資金,校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施得到加強,中心機房達到一定規(guī)模。截止2016年8月,校園網(wǎng)已實現(xiàn)中心機房萬兆雙鏈路核心,千兆網(wǎng)絡(luò)到桌面,出口帶寬達400兆,并新部署和改造了920個有線網(wǎng)絡(luò)接入點,新布設(shè)光纜達8公里,實現(xiàn)了弱電線路全部下地。校本部部署有128個無線AP,實現(xiàn)了主要辦公場所的無線網(wǎng)絡(luò)覆蓋,并實現(xiàn)了有線和無線接入的統(tǒng)一認(rèn)證。中心機房實現(xiàn)了規(guī)劃、科學(xué)的功能區(qū)劃分,已有100余臺服務(wù)器、3套網(wǎng)絡(luò)存儲設(shè)備、2臺核心交換機、2臺高性能防火墻、2臺網(wǎng)絡(luò)行為管理、2臺負(fù)載均衡的規(guī)模。新建設(shè)的服務(wù)器虛擬化系統(tǒng),也已于2016年初投入運行。
數(shù)量繁多的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的新增,對我校網(wǎng)絡(luò)管理運維人員帶來了新的挑戰(zhàn)。結(jié)合工作中的實際情況,我們發(fā)現(xiàn)以往傳統(tǒng)的通過Excel表格統(tǒng)計各類網(wǎng)絡(luò)基礎(chǔ)設(shè)施的相關(guān)數(shù)據(jù),再使用紙質(zhì)筆記本記錄設(shè)備相關(guān)維護保修信息的手工式管理辦法,已經(jīng)不能對現(xiàn)有的設(shè)備進行有效的管理。經(jīng)過多次討論,我們認(rèn)為有必要對現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)進行有效整合,包括:設(shè)備的硬件參數(shù)、軟件運行情況、IP的地址的分配、域名的分配、過往的運維情況、存放的位置等。因此,建立一個網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)勢在必行。在數(shù)據(jù)整合的基礎(chǔ)上,通過數(shù)據(jù)和設(shè)備之間的關(guān)聯(lián)性分析,使網(wǎng)絡(luò)管理人員在工作過程中有據(jù)可循,提升管理的高效性和精確度,進而實現(xiàn)對現(xiàn)有設(shè)備的最優(yōu)化使用、管理和運維。
眾多學(xué)者對網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)的建設(shè)模式進行了研究。興嘎[1]在2011年就撰文介紹了智能基礎(chǔ)設(shè)施管理系統(tǒng)的相關(guān)概念,并對其進行了技術(shù)經(jīng)濟分析。汲汾[2]在其碩士答辯論文中則詳細(xì)闡述了云計算環(huán)境下基礎(chǔ)設(shè)施管理系統(tǒng)的總體設(shè)計框架與實現(xiàn)思路。王玨、邱雪松[3]又對系統(tǒng)中核心的適配器技術(shù)進行了重點研究。上述研究成果都對四川廣播電視大學(xué)網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)的設(shè)計和應(yīng)用提供了有益的指導(dǎo)和幫助。
2 系統(tǒng)功能
從使用功能來看,該系統(tǒng)分為三個部分:其一是基礎(chǔ)設(shè)施的管理,對設(shè)備的相關(guān)信息進行添加、編輯、刪除;其二是數(shù)據(jù)統(tǒng)計,對導(dǎo)入系統(tǒng)的數(shù)據(jù)進行統(tǒng)計;其三是系統(tǒng)管理,對系統(tǒng)的設(shè)備、用戶、角色、功能節(jié)點進行管理。
2.1 基礎(chǔ)設(shè)施管理模塊
基礎(chǔ)設(shè)施管理又分為五個小模塊,分別是:服務(wù)器管理、交換機管理、域名管理、公網(wǎng)IP管理、維保管理。
服務(wù)器管理整合了:管理員、設(shè)備編號、用途、設(shè)備型號、存放地址、過保時間、服務(wù)器序列號、操作系統(tǒng)、CPU信息、內(nèi)存條信息、硬盤信息、分配IP地址、服務(wù)器上的虛擬機以及維保記錄。
交Q機管理整合了:管理員、設(shè)備編號、設(shè)備類型、設(shè)備型號、存放地址、過保時間、端口信息、管理地址、維保記錄。
域名管理整合了:域名、公網(wǎng)IP、域名用途、到期時間、安全等級、等保時間、ISP、DNS解析、管理員、備案號、狀態(tài)。
公網(wǎng)IP管理整合了:公網(wǎng)IP、公網(wǎng)端口、內(nèi)網(wǎng)IP、內(nèi)網(wǎng)端口、狀態(tài)。
維保管理整合了:管理員、設(shè)備編號、設(shè)備類別、關(guān)鍵字、維保描述、維保公司、維保時間。
基礎(chǔ)設(shè)施管理模塊能對設(shè)備的上述信息進行刪除、修改和添加。
2.2 數(shù)據(jù)統(tǒng)計模塊
數(shù)據(jù)統(tǒng)計又分為四個小模塊:服務(wù)器統(tǒng)計、交換機統(tǒng)計、域名統(tǒng)計、IP地址統(tǒng)計。
此模塊能將管理模塊所錄入的數(shù)據(jù)進行統(tǒng)計,以柱狀圖、餅圖、折線圖、熱力圖等形式展現(xiàn),或以Excel表格的形式導(dǎo)出。
2.3 系統(tǒng)管理模塊
系統(tǒng)管理模塊又分為四個小模塊:設(shè)備管理、用戶管理、角色管理、節(jié)點管理。
設(shè)備管理模塊,管理此系統(tǒng)中的所有設(shè)備信息。
用戶管理模塊,管理用戶的增加、刪除和編輯。
角色管理模塊,定義用戶角色,定義什么樣的角色有什么樣的權(quán)限。
3 權(quán)限設(shè)計
考慮到系統(tǒng)中管理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對四川電大整個網(wǎng)絡(luò)環(huán)境的安全管理工作至關(guān)重要,所以課題組對系統(tǒng)的權(quán)限管理部分進行了重點設(shè)計,以最大限度地保障信息的安全可控。
系統(tǒng)以RBAC[4](Role-Based Access Control,基于角色的訪問控制)為模型來構(gòu)建。在RBAC中,權(quán)限與角色相關(guān)聯(lián),用戶根據(jù)其職能職責(zé)被分配到指定的角色,從而獲得角色所具備的所有權(quán)限。權(quán)限可以根據(jù)需要很方便地向角色授予或從角色回收,角色與角色之間還可以建立關(guān)聯(lián)或繼承的關(guān)系以覆蓋更多現(xiàn)實中的客觀情況,這在很大程度上簡化了權(quán)限管理的工作。
用戶Help_user與角色Help_role通過映射表Help_user_role關(guān)聯(lián),角色Help_role與權(quán)限Help_node通過映射表Help_access關(guān)聯(lián),就是RBAC最簡易模型,基于角色的權(quán)限模型。
【關(guān)鍵詞】桌面云虛擬化刀片服務(wù)器
一、信息技術(shù)的發(fā)展加速刀片服務(wù)器應(yīng)用
回顧互聯(lián)網(wǎng)資源配置的變遷過程,最早的服務(wù)器出現(xiàn)在網(wǎng)絡(luò)的客戶端/服務(wù)器(C/S)結(jié)構(gòu)中,客戶端和服務(wù)器共同分擔(dān)處理任務(wù)。后來客戶端進一步變瘦,通過瀏覽器直接接入應(yīng)用,即瀏覽器/服務(wù)器(B/S)結(jié)構(gòu)。隨著互聯(lián)網(wǎng)應(yīng)用的增多,多數(shù)機構(gòu)、各個部門都架設(shè)了自己的服務(wù)器,導(dǎo)致服務(wù)器種類和數(shù)量出現(xiàn)井噴,如郵件服務(wù)器、數(shù)據(jù)服務(wù)器、安全服務(wù)器和視頻服務(wù)器等等。大量服務(wù)器運營和維護的負(fù)擔(dān),以及高能耗又促使新型服務(wù)器的誕生。以減輕機構(gòu)自身維護服務(wù)器的成本。
所謂刀片服務(wù)器(準(zhǔn)確的說應(yīng)叫做刀片式服務(wù)器blade server)是指在標(biāo)準(zhǔn)高度的機架式機箱內(nèi)可插裝多個卡式的服務(wù)器單元,實現(xiàn)高可用和高密度。每一塊“刀片”實際上就是一塊系統(tǒng)主板。它們可以通過“板載”硬盤啟動自己的操作系統(tǒng),如Windows NT/2000、Linux等,類似于一個個獨立的服務(wù)器,在這種模式下,每一塊母板運行自己的系統(tǒng),服務(wù)于指定的不同用戶群,相互之間沒有關(guān)聯(lián)。由于每塊“刀片”都是熱插拔的,所以,系統(tǒng)可以輕松地進行替換,并且將維護時間減少。這些刀片服務(wù)器在設(shè)計之初都具有低功耗、空間小、單機售價低等特點,這些設(shè)計滿足了密集計算環(huán)境對服務(wù)器性能的需求.而從外表看,與傳統(tǒng)的機架式服務(wù)器/塔式服務(wù)器相比,刀片服務(wù)器能夠最大限度地節(jié)約服務(wù)器的使用空間和費用,并為用戶提供靈活、便捷的擴展升級手段。與相同計算能力的常規(guī)服務(wù)器相比,刀片式服務(wù)器可降低30%左右的能耗。
二、桌面云構(gòu)建靈活高效企業(yè)辦公平臺
傳統(tǒng)桌面PC作為企業(yè)IT中的最普遍也是最重要的辦公設(shè)備,由于PC是一套獨立的系統(tǒng),主要由使用者自行控制,難以集中管理與維護。在企業(yè)運轉(zhuǎn)中,越來越暴露出其弊端和不便,面臨著如下關(guān)鍵挑戰(zhàn):信息易泄露,系統(tǒng)安全性低;管理難,維護煩,效率低;資源利用率低下,系統(tǒng)疊加復(fù)雜度高,投資收益率低;高能耗、高排放、運行成本高,企業(yè)、社會效益難提高。企業(yè)必須尋找一種靈活的基礎(chǔ)架構(gòu),來解決IT供需矛盾和企業(yè)信息安全問題。桌面云正是這樣一個最佳的云計算實踐,采用最新的云計算的技術(shù)和理念,引領(lǐng)著IT基礎(chǔ)架構(gòu)的變革和創(chuàng)新。
桌面云解決方案是端到端一體化虛擬桌面解決方案。它是將桌面計算機的計算和存儲資源(包括CPU、硬盤、內(nèi)存)集中部署在數(shù)據(jù)中心機房,通過虛擬化技術(shù)將物理資源轉(zhuǎn)化為虛擬資源;企業(yè)根據(jù)用戶的需求將虛擬資源集成為不同規(guī)格的虛擬機,向用戶提供虛擬桌面服務(wù)。
桌面云系統(tǒng)大大提升了資源的利用率,節(jié)省了資金投入。
降低了能耗需求,支持環(huán)保。傳統(tǒng)PC的功耗一般在200W以上,而桌面云系統(tǒng)平攤到每臺虛擬機的功耗一般為35W左右。考慮到桌面云系統(tǒng)的連續(xù)運行,在采用節(jié)能技術(shù)后,桌面云每臺虛擬機仍然可以節(jié)約70%以上的功耗。
簡化了IT管理。統(tǒng)一的運維平臺,使得桌面云可以快速發(fā)放業(yè)務(wù)、集中管理辦公系統(tǒng)的各類軟件,相對于傳統(tǒng)的PC辦公系統(tǒng),桌面云的運維效率提升10倍以上。
三、刀片服務(wù)器構(gòu)建IT虛擬化辦公新平臺
公司現(xiàn)有的刀片服務(wù)器E6000采用8U/10刀片架構(gòu),單框最大支持40個CPU,其超強的計算能力完全滿足公司現(xiàn)有業(yè)務(wù)應(yīng)用對計算能力的要求。在E6000上可以非常流暢的運行VMware的虛擬化軟件。通過VMware,服務(wù)器物理資源被虛擬成多個虛擬機,提升系統(tǒng)資源利用率,減少物理設(shè)備數(shù),降低系統(tǒng)復(fù)雜度。
P鍵詞:醫(yī)院信息系統(tǒng);三級等保;信息安全
1 引言
隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展,尤其是互聯(lián)網(wǎng)的廣泛普及和應(yīng)用,網(wǎng)絡(luò)正深刻影響并改變著人類的生活和工作方式。越來越多的醫(yī)院建立了依賴于網(wǎng)絡(luò)的業(yè)務(wù)信息系統(tǒng),比如HIS、OA、財務(wù)系統(tǒng)等等,它們提供了日常辦公所需的業(yè)務(wù),便利了工作。互聯(lián)網(wǎng)對社會各行各業(yè)產(chǎn)生了巨大深遠的影響,與此同時,信息安全的重要性也在不斷提升。
醫(yī)院信息系統(tǒng)是醫(yī)院實現(xiàn)辦公電子化、網(wǎng)絡(luò)化、無紙化的重要平臺,同時也是開展日常工作的重要平臺。然而,近年來,隨著網(wǎng)絡(luò)信息安全的快速發(fā)展,安全威脅正在飛速增長,尤其混合威脅的風(fēng)險,如黑客惡意攻擊、蠕蟲病毒、木馬等,有可能會給醫(yī)院的信息網(wǎng)絡(luò)和核心系統(tǒng)造成嚴(yán)重的破壞。所以,建設(shè)一個全面、安全的信息系統(tǒng)已刻不容緩。
2 系統(tǒng)現(xiàn)狀安全分析
醫(yī)院信息系統(tǒng)現(xiàn)狀拓?fù)鋱D如上圖1所示,從整個網(wǎng)絡(luò)拓?fù)鋱D可以看出,現(xiàn)階段醫(yī)院主要有兩個網(wǎng)絡(luò)出口,包括連接醫(yī)保專網(wǎng)及連接互聯(lián)網(wǎng),互聯(lián)網(wǎng)區(qū)域主要提供給外端用戶通過VPN連接接入到內(nèi)部服務(wù)器。在安全防護方面,除了在醫(yī)保專網(wǎng)的出口邊界區(qū)域部署有防火墻外,其他地方都沒有部署有相應(yīng)的安全防護措施,主要表現(xiàn)在以下幾點:
1)網(wǎng)絡(luò)出口邊界區(qū)域缺少相應(yīng)的入侵防護系統(tǒng),無法對來自外部的蠕蟲、木馬、病毒、惡意軟件及僵尸網(wǎng)絡(luò)進行安全防護;
2)在互聯(lián)網(wǎng)邊界區(qū)域缺乏相應(yīng)的防病毒系統(tǒng),無法對來自互聯(lián)網(wǎng)的惡意代碼攻擊、病毒等進行檢測和攔截;
3)在內(nèi)部網(wǎng)絡(luò)中缺乏相應(yīng)的安全審計系統(tǒng),無法對內(nèi)部的網(wǎng)絡(luò)行為、服務(wù)器訪問操作行為等進行審計和日志記錄;
4)在Web類服務(wù)器前端缺少相應(yīng)的Web安全防護設(shè)備,無法對針對Web服務(wù)器的SQL注入、跨站腳本(XSS)、跨站偽造攻擊等進行安全防護,同時缺乏相應(yīng)的網(wǎng)頁防篡改系統(tǒng);
網(wǎng)絡(luò)內(nèi)部缺乏漏洞掃描設(shè)備,無法對內(nèi)部服務(wù)器系統(tǒng)進行漏洞掃描及漏洞管理;
5)在內(nèi)部網(wǎng)絡(luò)缺乏相應(yīng)的運維審計系統(tǒng),無法針對內(nèi)部服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備及安全設(shè)備進行統(tǒng)一的安全運維;內(nèi)部重要服務(wù)器上沒有安裝防病毒系統(tǒng),無法對服務(wù)器進行安全防護,容易遭受病毒的攻擊。
3 建設(shè)思路
3.1 建設(shè)方法
信息安全體系框架是實施安全建設(shè)的靈魂和核心,它提供了構(gòu)建和管理信息系統(tǒng)安全性的理論指南、流程、工具和指標(biāo)。定義了全面風(fēng)險管理和安全措施部署的設(shè)計路線和方針。使信息系統(tǒng)安全建設(shè)在標(biāo)準(zhǔn)化和完備的設(shè)計依據(jù)中進行,使建設(shè)過程具體而可控。從而維護信息價值從輸入端至輸出端的可信性和可控性;形成完備的事前監(jiān)控預(yù)警、事中防御控制、事后審查追溯的防護機制。呈現(xiàn)持續(xù)改進的安全運行管理閉環(huán)。
醫(yī)院信息系統(tǒng)的信息安全建設(shè)會同時依據(jù)國家/行業(yè)政策標(biāo)準(zhǔn)的指導(dǎo),因而需要結(jié)合現(xiàn)實的業(yè)務(wù)特點與管理情況,構(gòu)建各類別各層面信息系統(tǒng)的差異化、本地化保護能力,并通過制訂運行管理策略,形成面向當(dāng)前安全措施及關(guān)鍵系統(tǒng)的運行配置、未知風(fēng)險的預(yù)警與控制情況。
適度化的安全建設(shè)思想能夠?qū)⑸鲜龅姆椒ㄕ撠灤┯谛畔①Y產(chǎn)的運行周期中,使各階段、各層面的安全機制相互補足而形成體系,避免了安全建設(shè)的重復(fù)實施和過度投資。
3.2 方案效果
在等級保護要求中,醫(yī)院信息系統(tǒng)安全提出網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵防護、惡意代碼防范(防病毒)、安全審計、漏洞管理、運維審計、安全集中管理等需求。本次信息系統(tǒng)安全建設(shè)需要完成以下目標(biāo):
1)邊界安全防護
在醫(yī)院專網(wǎng)互聯(lián)區(qū)邊界處部署防火墻,對內(nèi)部服務(wù)器進行基礎(chǔ)安全防護,實現(xiàn)邊界的網(wǎng)絡(luò)安全訪問控制,保證服務(wù)器的安全。(利舊)
2)惡意代碼防護
在醫(yī)院互聯(lián)網(wǎng)邊界處部署綠盟NF防病毒系統(tǒng)(NF),對來自外網(wǎng)的病毒文件進行安全攔截,保證內(nèi)部服務(wù)器的安全,實現(xiàn)內(nèi)部網(wǎng)絡(luò)的惡意代碼防護。
3)網(wǎng)絡(luò)入侵防護
在醫(yī)院服務(wù)器前端部署綠盟入侵防護系統(tǒng)(NIPS),對來自外網(wǎng)、專網(wǎng)及內(nèi)部用戶的木馬、病毒、蠕蟲以及各類網(wǎng)絡(luò)攻擊行為等進行攔截,保證內(nèi)部服務(wù)器的安全。
4)Web安全防護
在服務(wù)器區(qū)如果部署有Web類服務(wù)器系統(tǒng)(OA辦公系統(tǒng)等),需要在服務(wù)器前段部署Web應(yīng)用防護系統(tǒng)(WAF),對來自互聯(lián)網(wǎng)的針對Web應(yīng)用的攻擊進行安全防護,如SQL注入、跨站腳本、惡意掃描等攻擊進行阻斷防護,同時,在服務(wù)器上部署防篡改軟件系統(tǒng),對文件進行 安全保護。
5)安全審計系統(tǒng)
在醫(yī)院核心交換機處旁路部署安全審計系統(tǒng)(SAS),通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別,實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量,發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)網(wǎng)絡(luò)行為,實時報警響應(yīng),全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件,實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位,做到出現(xiàn)問題時有源可溯。
6)運維安全管理
在運維管理區(qū)部署安全運維堡壘主機(SAS-H),對日常所有網(wǎng)絡(luò)設(shè)備以及服務(wù)器等的運維進行詳細(xì)的記錄,保障系統(tǒng)運維的安全性。
7)系統(tǒng)安全管理
在醫(yī)院運維區(qū)處部署漏洞掃描系統(tǒng),可以利用漏洞掃描系統(tǒng)對網(wǎng)絡(luò)中的系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進行掃描,第一時間主動對網(wǎng)絡(luò)中的資產(chǎn)進行細(xì)致深入的漏洞檢測、分析,并給出專業(yè)、有效的漏洞防護建議,讓攻擊者無機可乘。
在醫(yī)院內(nèi)部服務(wù)器及主機部署防病毒軟件,可以有效地對內(nèi)部終端和服務(wù)器等進行病毒防護,保證系統(tǒng)不會因為受病毒感染而造成系統(tǒng)宕機、數(shù)據(jù)受損等嚴(yán)重事件。
8)集中安全管理
在運維管理區(qū)部署安全管理平臺(ESPC),對所有的安全設(shè)備進行統(tǒng)一管理,實現(xiàn)整個信息系統(tǒng)安全狀態(tài)的在線分析、在線監(jiān)控、在管理,提高安全管理效率。
3.3 項目效益
安全技術(shù)設(shè)施足以保障系統(tǒng)的核心區(qū)域,關(guān)鍵信息安全管理制度初步形成,并借助外力形成一定的安全支撐能力,整體信息系統(tǒng)安全和穩(wěn)定得到保證。
通過完善安全運維管理支撐體系,保證運維的安全、穩(wěn)定,使得醫(yī)院信息系統(tǒng)自身具有較高的安全運維能力。
信息系統(tǒng)符合三級等保標(biāo)準(zhǔn)關(guān)鍵要點的要求,確保信息系統(tǒng)通過等級保護測評(覆蓋等級保護基本80%以上要素,整個信息系統(tǒng)基本符合等級保護要求)。
4 總結(jié)
信息安全沒有絕對性,從技術(shù)復(fù)雜度來說,單一防護模式很容易被突破,只有實施多層防護,才能消除單點隱患。通過建立“一個中心下的三重防護體系”才能增加突破難度,降低安全風(fēng)險;做到全可達、全可控、全可查。層層防護旨在實現(xiàn)非法破壞“進不來”,即使進來也“拿不走”,即使拿走也“讀不懂”,即使有惡意行為也“跑不了”。
醫(yī)院信息系統(tǒng)的安全管理是一個不斷變化的管理過程,隨著時間的推移,管理理念、信息技術(shù)以及醫(yī)院信息化程度的不斷變化,醫(yī)院信息系統(tǒng)安全管理的發(fā)展思路也應(yīng)該要與時俱進的不斷變化,要根據(jù)階段性的信息安全目標(biāo)不斷的對安全管理體系加以校驗和調(diào)整,以保證醫(yī)院信息安全管理體系始終適應(yīng)和滿足實際情況的發(fā)展需要,只有做到這樣的管理模式,才能夠建設(shè)更健康的、合理的、有效地使醫(yī)院信息系統(tǒng)更安全。
參考文獻:
[1] 迪普科技助力新疆醫(yī)療系統(tǒng)[J]. 數(shù)字通信世界,2014(4).
關(guān)鍵詞:云膠片;互聯(lián)網(wǎng)+醫(yī)學(xué)影像;互聯(lián)網(wǎng)+醫(yī)療
目前國內(nèi)大多數(shù)醫(yī)院,給病人的影像檢查結(jié)果大都還是物理膠片,由于物理膠片與原始的DICOM影像相比沒有可操作性,不利于醫(yī)生對病情的判斷,往往病人重新拍片。目前放射科的放射設(shè)備均已經(jīng)接入PACS系統(tǒng),實現(xiàn)了DICOM上傳,可直接通過手機終端掃描影像報告單上的二維碼,查詢其影像報告并調(diào)閱到電子膠片圖像,極大地提高了醫(yī)療效率和改善了醫(yī)療服務(wù)質(zhì)量。
1云膠片系統(tǒng)架構(gòu)設(shè)計
1.1搭建院內(nèi)云膠片服務(wù)器
為了能及時、快速地把患者的檢查報告和影像資料同步到外網(wǎng)云膠片服務(wù)器,在內(nèi)網(wǎng)搭建了一個對應(yīng)的云膠片服務(wù)器作為中轉(zhuǎn)站,將云膠片數(shù)據(jù)實時推送至外網(wǎng)云膠片服務(wù)器,并且云膠片數(shù)據(jù)推送不會對院內(nèi)影像系統(tǒng)的數(shù)據(jù)產(chǎn)生影響。定時將院內(nèi)影像系統(tǒng)新增的檢查數(shù)據(jù)同步到內(nèi)網(wǎng)云膠片服務(wù)器的數(shù)據(jù)庫中,再由內(nèi)網(wǎng)云膠片服務(wù)器,定時向外網(wǎng)云膠片服務(wù)器推送檢查記錄和影像數(shù)據(jù)。
1.2內(nèi)外網(wǎng)數(shù)據(jù)交互
醫(yī)院信息網(wǎng)絡(luò)是所有網(wǎng)絡(luò)中安全性要求較高的網(wǎng)絡(luò)之一,因此醫(yī)院網(wǎng)絡(luò)系統(tǒng)由2部分構(gòu)成:一是用于日常醫(yī)療信息交換的業(yè)務(wù)網(wǎng),俗稱內(nèi)網(wǎng);二是可以及時獲取Internet信息資源的辦公網(wǎng),俗稱外網(wǎng)。醫(yī)院內(nèi)網(wǎng)是保障醫(yī)院業(yè)務(wù)開展的平臺,為了有效保障其安全,醫(yī)院進行了嚴(yán)格的內(nèi)、外網(wǎng)隔離,這2套網(wǎng)絡(luò)互不通訊。內(nèi)網(wǎng)相對安全,對保證醫(yī)院業(yè)務(wù)系統(tǒng)的安全穩(wěn)定的運行起到積極作用,需要建立內(nèi)外網(wǎng)數(shù)據(jù)交互區(qū)來解決內(nèi)、外網(wǎng)隔離的問題;搭建一個中轉(zhuǎn)服務(wù)器,用于內(nèi)外網(wǎng)之間的數(shù)據(jù)交互,院內(nèi)云膠片服務(wù)器先將膠片影像數(shù)據(jù)推送至內(nèi)外網(wǎng)數(shù)據(jù)交互區(qū),再由數(shù)據(jù)交互區(qū),將數(shù)據(jù)推送至外網(wǎng)云膠片服務(wù)器。
1.3外網(wǎng)數(shù)據(jù)傳輸
患者通過云膠片查看檢查影像資料時,是直接訪問外網(wǎng)的云膠片服務(wù)器的,而外網(wǎng)云膠片服務(wù)器接收到請求后直接返回相應(yīng)的影像資料信息,不會經(jīng)過醫(yī)院的內(nèi)網(wǎng),保證了內(nèi)網(wǎng)數(shù)據(jù)安全的同時,又提升了數(shù)據(jù)交互的效率。
2云膠片系統(tǒng)應(yīng)用
2.1線下檢查報告自助打印
檢查報告和膠片發(fā)放傳統(tǒng)的操作過程非常繁瑣,云膠片上線后,報告可在自助機上打印且不發(fā)放物理膠片。佛山市中醫(yī)院CT和MR登記處外各安裝了2臺自助報告打印機,患者可以到登記處自行打印紙質(zhì)報告,登記人員不需要整理報告和膠片發(fā)放給病人,大大減少了檢查科室登記人員的工作量,對于患者來說,能節(jié)省排隊取報告的時間,就大大縮短診時間。佛山市中醫(yī)院作為全國規(guī)模較大、以骨傷科著稱的大型三甲醫(yī)院,2020年云膠片報告數(shù)為107467份,使用云膠片后,節(jié)省了大量的膠片耗材,有利于環(huán)保。
2.2線上查看報告和影像
云膠片“線上領(lǐng)取,醫(yī)患共享”(見圖1)。云膠片平臺全面實現(xiàn)了傳統(tǒng)膠片及報告的電子化應(yīng)用,并能在第一時間反饋給患者及管轄醫(yī)生,患者無需到院,直接通過手機查看自己的檢查結(jié)果和完整的影像資料,避免現(xiàn)場排隊。患者關(guān)注醫(yī)院微信公眾號并綁定就診卡或住院號后,醫(yī)院會推送檢查報告結(jié)果消息,患者點開檢查報告結(jié)果消息鏈接就可以實現(xiàn)在手機上查看全部原始影像資料和文字報告。避免了患者多次往返醫(yī)院排隊領(lǐng)取紙質(zhì)報告和傳統(tǒng)膠片的情況。患者還可以通過微信等方式分享云膠片二維碼給醫(yī)生,醫(yī)生掃描患者分享的二維碼就可以在線查看到患者的影像資料和檢查報告。
2.3手術(shù)室電子閱片器
佛山市中醫(yī)院的20個手術(shù)室都有安裝云膠片電子閱片器,通過手工錄入患者信息或者掃描檢查報告上的二維碼來查看手術(shù)患者的檢查報告和檢查圖像,不需要跑到電腦前使用臨床影像查詢系統(tǒng)進行查看,而且電子閱片器是觸屏的,方便醫(yī)生操作,可以對圖像做三維重建(見圖2)。
2.4線上檢查結(jié)果通知
當(dāng)檢查診斷醫(yī)師提交保存檢查報告后,會通過微信公眾號、支付寶生活號或者以短信的形式推送消息到患者手機上,患者點開消息就可以使用云膠片查看檢查報告結(jié)果和影像資料,而且可以對影像進行縮放、移動、三維重建等操作,減少到醫(yī)院的次數(shù),患者無需在院排隊等待打印報告,檢查完就可以離開醫(yī)院,減少檢查時間。
2.5實現(xiàn)放射檢查信息共享
由于開啟了電子化服務(wù),患者可以通過移動終端隨時找到合適的醫(yī)生問診和會診,醫(yī)院之間的共享互認(rèn)變得可能;就診方便,不用攜帶厚重的膠片看診,只需帶上手機或者平板;云膠片避免重復(fù)檢查,節(jié)省醫(yī)療費用,滿足人民群眾多元化健康服務(wù)需求。
2.6優(yōu)化檢查流程
常規(guī)膠片服務(wù)模式下,患者需要按照流程進行開具檢查單、預(yù)約、繳費、排隊檢查、排隊領(lǐng)取結(jié)果等一系列步驟,導(dǎo)致患者就診時間較長,工作效率低下的同時還會對患者的治療時機造成一定的影響,加劇患者與醫(yī)院之間的關(guān)系。患者完成檢查后,需要到登記處外等候領(lǐng)取報告和膠片,診斷醫(yī)生提交報告后還需要文員打印紙質(zhì)報告和物理膠片,然后呼叫患者到登記處取報告,有時離院后還要再返回醫(yī)院取報告,多次往返醫(yī)院耗費時間和費用。有了云膠片,患者完成檢查就可以離開醫(yī)院,不需要等待領(lǐng)取紙質(zhì)報告和物理膠片,只需要通過醫(yī)院微信公眾號及時了解報告情況并查看結(jié)果,減少患者就診時間,提高患者就診滿意度。綜上研究,“互聯(lián)網(wǎng)+醫(yī)療”是互聯(lián)網(wǎng)在醫(yī)療行業(yè)的新應(yīng)用,云膠片使患者可通過手機查看檢查影像資料和電子報告,從而減少患者在院檢查時間;云膠片在患者轉(zhuǎn)診時可進行分享調(diào)閱。云膠片技術(shù)替代物理膠片是大勢所趨,“互聯(lián)網(wǎng)+醫(yī)學(xué)影像”的深度融合,能夠減輕患者負(fù)擔(dān),優(yōu)化就醫(yī)流程,提升患者的就醫(yī)體驗和改善醫(yī)療服務(wù)的質(zhì)量。
參考文獻
[1]邱晨飛.“互聯(lián)網(wǎng)+醫(yī)療”新應(yīng)用——暨我院全面啟用云膠片[J].計算機產(chǎn)品與流通,2018(6):278.
[2]柏志安,楊郁青,徐彥棟.基于HIE技術(shù)的集團醫(yī)院影像云平臺設(shè)計方案[J].中國數(shù)字醫(yī)學(xué),2017,12(6):88-90.
關(guān)鍵詞:虛擬化技術(shù);虛擬服務(wù)器;虛擬化架構(gòu)系統(tǒng);中心機房
中圖分類號:TP308文獻標(biāo)識碼:A文章編號:1009-3044(2011)18-4308-02
1 傳統(tǒng)的中心機房管理模式
隨著社會的急遽發(fā)展,網(wǎng)絡(luò)平臺越來越彰顯出其不可或缺的重要地位。新功能不斷拓展,各種應(yīng)用軟件借助網(wǎng)絡(luò)平臺相繼實施,豐富的應(yīng)用給提供運行服務(wù)的中心機房提出了更高要求。
由于各應(yīng)用軟件彼此間操作系統(tǒng)的版本、開發(fā)的平臺和具體的應(yīng)用都有著很大不同,為避免應(yīng)用軟件交叉引起的軟故障,在傳統(tǒng)的中心機房管理模式中,往往給新增加的應(yīng)用系統(tǒng)單獨配置服務(wù)器,即用一臺服務(wù)器部署一種應(yīng)用軟件。這勢必導(dǎo)致服務(wù)器數(shù)量直線上升、維護量迅猛增加。毋庸諱言,隨著數(shù)字技術(shù)的普及與深化,傳統(tǒng)的中心機房管理模式已呈掣肘之勢。具體有:
1)隨著服務(wù)器數(shù)量的增加,服務(wù)器購置成本也相應(yīng)增高;
2)新應(yīng)用系統(tǒng)方案的實施包括了采購新服務(wù)器、安裝OS系統(tǒng)和應(yīng)用軟件等一系列工作流程,全程耗時較長;
3)有的應(yīng)用軟件運行時只占用很少的系統(tǒng)資源,對應(yīng)服務(wù)器的硬件資源大半處于閑置,得不到充分利用;
4)在對服務(wù)器硬件進行擴容時,其對應(yīng)的軟件業(yè)務(wù)系統(tǒng)將被迫中斷;
5)當(dāng)服務(wù)器系統(tǒng)出現(xiàn)故障時,服務(wù)器的修復(fù)工作,如恢復(fù)OS系統(tǒng)、應(yīng)用軟件、業(yè)務(wù)數(shù)據(jù)等,時間將長達數(shù)十小時;
6)當(dāng)服務(wù)器出現(xiàn)硬件故障時,因維保廠商提供并更換配件的周期難以控制,造成應(yīng)用系統(tǒng)的完全中斷,嚴(yán)重影響了業(yè)務(wù)的開展;
7)容災(zāi)可避免相關(guān)業(yè)務(wù)因服務(wù)器故障而隨之中斷,但是,容災(zāi)需要雙機熱備,所需資金量翻番;
8)服務(wù)器的增加帶來中心機房網(wǎng)絡(luò)節(jié)點的增加,故障節(jié)點也與之同比增加;
9)服務(wù)器的增加帶來服務(wù)器維護成本的增加,尤其是過保服務(wù)器的維保費用,所需不菲;
10)在人員配置不變的基礎(chǔ)上,應(yīng)用系統(tǒng)和服務(wù)器數(shù)量的增加,將帶來中心機房工作人員工作量的增加和工作效率的降低。
這些亟待解決的問題使中心機房應(yīng)對的環(huán)境變得日益復(fù)雜。服務(wù)器購置成本、硬件維護成本、軟件管理成本呈線性增長,服務(wù)器運行能耗及空調(diào)等機房附加能耗也急劇增加,原有的機房運行能力已經(jīng)難以滿足現(xiàn)有的運行需求,整個中心機房處于超負(fù)荷運行的混亂狀態(tài)。顯而易見,傳統(tǒng)的中心機房管理模式已經(jīng)跟不上時展的要求,對中心機房管理模式的變革勢在必行。在當(dāng)下,采用虛擬化技術(shù),打造虛擬化技術(shù)下的中心機房管理模式,應(yīng)該是解決這一系列問題的捷徑。
2 虛擬化技術(shù)下的中心機房管理模式
隨著計算機硬件的不斷發(fā)展,特別是多核CPU的出現(xiàn)和內(nèi)存、總線架構(gòu)的革新,使得虛擬化技術(shù)得到飛速發(fā)展。在一臺高性能多核服務(wù)器上創(chuàng)建多個虛擬機,可以完成傳統(tǒng)方式下多臺物理服務(wù)器才能完成的工作。
2.1 虛擬化架構(gòu)系統(tǒng)
一套完整的中心機房虛擬化架構(gòu)系統(tǒng)由若干個物理服務(wù)器上安裝的虛擬化主機程序、一個數(shù)據(jù)存儲系統(tǒng)、一個集中管理平臺三部分組成。
2.1.1 虛擬化主機程序
虛擬化主機程序是整個虛擬化架構(gòu)系統(tǒng)的基礎(chǔ)組成,也是核心部分。它是一個功能強大的虛擬層,采用基于底層硬件系統(tǒng)的軟件技術(shù),直接安裝在每一臺物理服務(wù)器的裸機上,其上再創(chuàng)建虛擬服務(wù)器。多臺虛擬服務(wù)器運行在一臺物理服務(wù)器上,這徹底顛覆了為多個應(yīng)用系統(tǒng)配置多臺物理服務(wù)器的傳統(tǒng)模式。
虛擬化主機程序負(fù)責(zé)分配硬件資源給各個虛擬服務(wù)器,根據(jù)不同應(yīng)用將物理服務(wù)器上的處理器、內(nèi)存、存儲器和網(wǎng)絡(luò)資源按需求劃分到各個虛擬服務(wù)器中。每個虛擬服務(wù)器之間關(guān)系就如同放置在中心機房中的物理服務(wù)器一樣,相對獨立、互不影響。對于使用者來說,虛擬服務(wù)器和物理服務(wù)器也沒有太大區(qū)別:在虛擬服務(wù)器上安裝配置Windows或Linux操作系統(tǒng),系統(tǒng)安裝完成后再安裝相關(guān)應(yīng)用軟件;單個虛擬服務(wù)器也能夠同時使用多個CPU,來支持諸如SQL數(shù)據(jù)庫、Exchange Server等需要強勁處理能力和巨大硬件資源的應(yīng)用系統(tǒng);虛擬化主機程序中還設(shè)有虛擬交換機功能,可以將虛擬服務(wù)器劃分到不同的網(wǎng)絡(luò)環(huán)境中。虛擬服務(wù)器的安裝方法、實際性能與物理服務(wù)器完全相同,具有良好的操控性。
與傳統(tǒng)的物理服務(wù)器相比,虛擬服務(wù)器可以針對不同應(yīng)用系統(tǒng)分配不同的硬件資源,做到物盡其用。通常說來,中心機房同一批次采購的物理服務(wù)器配置差別不大。但是,不同應(yīng)用軟件對服務(wù)器配置的要求卻并不一樣,如DNS服務(wù)只需要一個很低配置的服務(wù)器就能夠運行良好,而像SQL數(shù)據(jù)庫這樣高訪問率、高吞吐量的應(yīng)用軟件則需要高配置的服務(wù)器才能保證其穩(wěn)定運行。這就意味著一些配置要求不高的應(yīng)用軟件同樣也占用了一臺高配置的物理服務(wù)器,造成應(yīng)用硬件資源的大量浪費。物理服務(wù)器之間彼此獨立,即便其他服務(wù)器應(yīng)用硬件資源嚴(yán)重緊張,那些閑置的資源也無法調(diào)配給它們使用。采用虛擬化架構(gòu)系統(tǒng)后,虛擬化主機程序可以通過創(chuàng)建資源池為虛擬服務(wù)器在運行過程中實時調(diào)配硬件資源。若有虛擬服務(wù)器出現(xiàn)現(xiàn)時段硬件資源不足的情況時,可以借用一臺或多臺非滿負(fù)荷運行的虛擬服務(wù)器閑置資源,在線進行重新分配;待應(yīng)用運行壓力降低后,再將暫借的資源歸還給相應(yīng)的虛擬服務(wù)器,從而最大限度地提高這些虛擬服務(wù)器所在那臺物理服務(wù)器硬件資源的利用率。根據(jù)測試,傳統(tǒng)的物理服務(wù)器應(yīng)用方式,服務(wù)器硬件資源的平均利用率只有5%―15%;而采用虛擬化架構(gòu)系統(tǒng)整合、調(diào)配后,服務(wù)器硬件資源的平均利用率可以達到60%―80%。
2.1.2 數(shù)據(jù)存儲系統(tǒng)
虛擬化架構(gòu)系統(tǒng)中的虛擬服務(wù)器實際上由磁盤文件和配置文件組成,這些虛擬機文件存放在數(shù)據(jù)存儲系統(tǒng)中的虛擬存儲空間內(nèi)。數(shù)據(jù)存儲系統(tǒng)的創(chuàng)建又有本地存儲或共享存儲兩種類型。
本地存儲直接建立在安裝虛擬化主機程序的物理服務(wù)器上,由虛擬化服務(wù)器所配置的硬盤容量決定虛擬化存儲的空間大小。采用本地存儲方式,初期投入成本較低、結(jié)構(gòu)簡單,但擴展性和功能性不夠理想。
共享存儲需要借助專用的共享存儲設(shè)備,如SAN、ISCSI、NFS等。共享存儲設(shè)備和中心機房多臺安裝虛擬化主機程序的物理服務(wù)器建立連接后,便實現(xiàn)了共享存儲。在共享存儲設(shè)備上創(chuàng)建的虛擬存儲系統(tǒng)空間具有共享訪問的功能,同一時間多臺建立連接的服務(wù)器均可以同時訪問。共享存儲降低了對虛擬化服務(wù)器存儲的要求,讓虛擬化服務(wù)器專注于對應(yīng)用軟件的處理。在存儲容量不足的情況下,共享存儲設(shè)備還可以在線擴容。采用共享存儲方式,初期投入成本較高,結(jié)構(gòu)復(fù)雜,但其優(yōu)越的擴展性和功能性為虛擬化技術(shù)高級功能的實施打下了基礎(chǔ)。
2.1.3 集中管理平臺
為了對虛擬化架構(gòu)系統(tǒng)進行高效的管理和性能的監(jiān)控,中心機房需要配置一立的集中管理服務(wù)器,為所有安裝虛擬化主機程序的物理服務(wù)器搭建集中管理平臺。登陸集中管理平臺,可以對所有加入集中管理的虛擬化服務(wù)器進行一站式操作。
在集中管理平臺的檢測、協(xié)調(diào)下,虛擬化主機程序、共享數(shù)據(jù)存儲可以實現(xiàn)虛擬化技術(shù)中的高級功能,如虛擬資源動態(tài)分配、虛擬服務(wù)器動態(tài)遷移和故障切換保護等功能。利用共享存儲設(shè)備,集中管理平臺可以對相連接的跨物理服務(wù)器資源實施動態(tài)分配,使多臺物理服務(wù)器上的硬件資源完全共享;甚至可以對各虛擬服務(wù)器實施跨物理服務(wù)器的動態(tài)遷移,使服務(wù)器資源真正達到負(fù)載均衡。集中管理平臺不間斷地對中心機房進行實時監(jiān)測,當(dāng)物理服務(wù)器被檢測出有硬件故障時,集中管理平臺能夠迅速反應(yīng),將故障機上的虛擬服務(wù)器主動遷移到其他相連接的物理服務(wù)器上,實現(xiàn)了故障切換保護的自動化進程,保證了應(yīng)用系統(tǒng)的連續(xù)運行。
在虛擬化架構(gòu)系統(tǒng)中,虛擬化主機程序、數(shù)據(jù)存儲系統(tǒng)、集中管理平臺三部分緊密合作,為虛擬服務(wù)器穩(wěn)定、高效、安全的運行提供了堅實保證。
2.2 中心機房虛擬化應(yīng)用的優(yōu)勢與原則
對比傳統(tǒng)的中心機房管理模式,虛擬化技術(shù)下的中心機房管理模式具有無可比擬的優(yōu)越性:
2.2.1 降低運營成本
虛擬化架構(gòu)系統(tǒng)的應(yīng)用,充分利用了物理服務(wù)器的硬件資源,有效減少了物理服務(wù)器的數(shù)量。隨著物理服務(wù)器數(shù)量的減少,服務(wù)器購置成本、硬件維護成本、軟件管理成本、服務(wù)器運行能耗、空調(diào)等機房附加能耗等都相應(yīng)降低。
2.2.2 提高運營效率
傳統(tǒng)模式中,新應(yīng)用系統(tǒng)方案的實施需要服務(wù)器采購、安裝、調(diào)試等環(huán)節(jié)。虛擬化架構(gòu)系統(tǒng)中的虛擬服務(wù)器由若干個磁盤文件和配置文件組成,要創(chuàng)建新的虛擬服務(wù)器只需要直接復(fù)制這些文件。直接復(fù)制文件能夠快速部署新應(yīng)用系統(tǒng),大大降低了創(chuàng)建配置時間,有利于滿足客戶端需求,提高了運營效率。
2.2.3 提升服務(wù)水平
虛擬化架構(gòu)系統(tǒng)中高級功能的應(yīng)用,尤其是虛擬資源動態(tài)分配、虛擬服務(wù)器動態(tài)遷移、故障切換保護等功能,確保了應(yīng)用系統(tǒng)能夠獨立自主地連續(xù)、安全運行,使中心機房管理人員不再需要投入大量時間去維護硬件系統(tǒng)。而能夠?qū)⒅饕Ψ旁趯?yīng)用系統(tǒng)的維護中,從而有效提升客戶服務(wù)水平。
虛擬化架構(gòu)系統(tǒng)的應(yīng)用,能夠打造出生態(tài)、高效的中心機房環(huán)境。即便如此,對中心機房進行虛擬化改造也要遵循適度的原則,以“高穩(wěn)定、低成本”為最終目標(biāo):一是不能為了虛擬化而虛擬化,避免矯枉過正。要最大限度利用中心機房原有的設(shè)備及資源,嚴(yán)格按照物理機的方式進行管理,并充分考慮到虛擬化實施后的可擴展空間,以適應(yīng)未來技術(shù)的發(fā)展趨勢。二是不能一蹴而就,避免好大喜功。對中心機房服務(wù)器和應(yīng)用程序平臺要分批進行優(yōu)化整合,循序漸進。先對應(yīng)用壓力較小的服務(wù)器進行虛擬化架構(gòu),積累了足夠經(jīng)驗和應(yīng)對能力后,再逐步遷移應(yīng)用壓力大的服務(wù)器。
虛擬化技術(shù)作為一種新興的計算機技術(shù),是對技術(shù)、操作、應(yīng)用、管理,甚至是理念的根本轉(zhuǎn)變。在這種背景下,作為IT業(yè)界的領(lǐng)導(dǎo)者Intel、Amd不斷推出多核服務(wù)器和虛擬化架構(gòu)系統(tǒng),加上系統(tǒng)集成商的大力推進,使得虛擬化技術(shù)飛速發(fā)展,局域網(wǎng)的虛擬化應(yīng)用已成為計算機應(yīng)用研究的一個熱點,正在對傳統(tǒng)的中心機房管理模式提出挑戰(zhàn)。打造虛擬化技術(shù)下的中心機房管理模式,必將成為未來發(fā)展的趨勢,具有廣闊的應(yīng)用前景。
參考文獻:
[1] 英特爾開源軟件技術(shù)中心、復(fù)旦大學(xué)并行處理研究所.系統(tǒng)虛擬化――原理與實現(xiàn)[M].北京:清華大學(xué)出版社,2009.
[2] 英特爾開源軟件技術(shù)中心、復(fù)旦大學(xué)并行處理研究所.虛擬機系統(tǒng)與進程的通用平臺[M].北京:清華大學(xué)出版社,2009.
關(guān)鍵詞: 信息化建設(shè);虛擬化;動態(tài)遷移;IT基礎(chǔ)架構(gòu)
0 引言
隨著企業(yè)各類信息化的發(fā)展,信息化建設(shè)的不斷深入,當(dāng)前的傳統(tǒng)模式與技術(shù)手段逐漸顯現(xiàn)出了一些問題:不斷增加的物理設(shè)備和有限存放空間的矛盾、維持運行環(huán)境的高能耗制冷設(shè)備成本、部署應(yīng)用程序的兼容性問題,系統(tǒng)的可靠性和穩(wěn)定性等,這些都將影響企業(yè)信息化建設(shè)的進程。雖然企業(yè)在不斷加大投入,但總體資源利用率始終處于較低的水平。與此同時,科技的日益發(fā)展,處理器的制造工藝不斷提升,架構(gòu)變得越來越先進,核心數(shù)越來越多,處理器的計算能力與日劇增。為了提高資源的利用率,虛擬化技術(shù)應(yīng)運而生。利用虛擬化技術(shù)可以對IT基礎(chǔ)設(shè)施進行整合、簡化管理、為信息應(yīng)用提供很好的支撐。尤其是虛擬化動態(tài)遷移技術(shù),在實際的應(yīng)用中具有很強的實用性,能夠幫助我們在線維護、在線升級服務(wù)器,還可以用于負(fù)載均衡,容災(zāi)等方面,極大的提高系統(tǒng)的綜合性能,提升系統(tǒng)可靠性、穩(wěn)定性[1]。
1 服務(wù)器虛擬化概念
服務(wù)器虛擬機,就是對一臺物理服務(wù)器進行劃分,通過使用軟件模擬物理計算機,創(chuàng)建獨立的操作系統(tǒng),邏輯上與主機服務(wù)器相隔離,使一臺物理服務(wù)器能夠支持多個操作系統(tǒng)的并發(fā)執(zhí)行,多個虛擬機之間彼此隔離,無需再為一方面服務(wù)器利用率低而另一方面為了部署新的應(yīng)用而不得不購買新服務(wù)器的情況而支付額外的成本[2][3]。服務(wù)器虛擬化技術(shù)可以整合降低工作負(fù)載,解決機群管理中動態(tài)切換服務(wù)、降低硬件成本的需求,幫助企業(yè)節(jié)省大量的資金。
對于管理員而言,虛擬機只是運行在物理計算機上的一個應(yīng)用軟件,但是對于虛擬機中運行的應(yīng)用程序而言,它就是一臺真正在工作的計算機。通過虛擬化技術(shù)可以擴大硬件的容量,簡化軟件配置過程,顯著地提高服務(wù)器的工作效率。目前,針對X86架構(gòu)的虛擬化技術(shù)已經(jīng)成為業(yè)界的焦點,被廣泛用于服務(wù)器領(lǐng)域。
2 服務(wù)器虛擬化的價值
2.1 現(xiàn)狀描述
隨著企業(yè)各種應(yīng)用軟件的不斷引入,各類系統(tǒng)不斷的增加。出于操作系統(tǒng)版本的差異,軟件開發(fā)運行的平臺不同,開發(fā)商的不同,以及應(yīng)用相互之間的協(xié)調(diào)和安全性方面的因素考慮,通常服務(wù)器都會采用獨立運行、集中管理的模式,這種方式可以有效的解決各系統(tǒng)之間因潛在的兼容性,避免可能引起的沖突,但由此也會使得大部分的服務(wù)器只運行單一的應(yīng)用,產(chǎn)生大量服務(wù)器資源閑置的狀況。
一個比較明顯的問題就是,企業(yè)的某些關(guān)鍵應(yīng)用由于用戶量的不斷增加,當(dāng)前運行的服務(wù)器硬件平臺資源無法滿足日益增長的服務(wù)需求,導(dǎo)致運行速度十分緩慢,嚴(yán)重時甚至?xí)?dǎo)致服務(wù)器宕機,服務(wù)中斷的情況。考慮到這些系統(tǒng)的重要性,服務(wù)器硬遷移帶來風(fēng)險,這種狀況很難得到改善。此相反的情況是那些最新購置的PC服務(wù)器,其處理器、內(nèi)存和硬盤等各項指標(biāo)都比以前有極大的提升,卻只是運行了一些負(fù)載很低的應(yīng)用,服務(wù)器的平均CPU利用率不到10%。
還有就是隨著業(yè)務(wù)信息量的迅猛增長,現(xiàn)有的離散式IT系統(tǒng)結(jié)構(gòu),導(dǎo)致企業(yè)數(shù)據(jù)中心大多資源沒有得到充分利用,企業(yè)部門之間信息割裂,各部門之間無法有效的共享和傳遞信息,形成一個個信息孤島。因而,如何提供具有靈活性、可擴展性、高可用性的IT基礎(chǔ)設(shè)施架構(gòu),及時、可靠、動態(tài)管理整個業(yè)務(wù)數(shù)據(jù)信息,為不斷變化與增長的業(yè)務(wù)提供支持變得尤為重要。
2.2 應(yīng)對現(xiàn)狀解決問題
上述中存在的問題,都可以通過虛擬化技術(shù)得到較好的解決。使用虛擬化技術(shù)最直接的優(yōu)勢就是能夠最大程度的利用現(xiàn)有服務(wù)器硬件資源,幫助企業(yè)節(jié)省大量購置服務(wù)器的成本及機房的空間成本。虛擬化技術(shù)具有資源共享、負(fù)載動態(tài)優(yōu)化、自動化管理、安全性、節(jié)省資金綠色環(huán)保、解決平臺依賴問題的優(yōu)勢:
1)資源共享,通過利用虛擬化的技術(shù),可以將企業(yè)的一些硬件資源包括服務(wù)器、網(wǎng)絡(luò)全部都整合起來,可以高效的利用這些資源,提高這些資源的利用率,減少資源的浪費。
2)我們可以利用虛擬化技術(shù)實現(xiàn)負(fù)載的動態(tài)優(yōu)化。動態(tài)優(yōu)化包含兩方面的內(nèi)容:① 可以隨著業(yè)務(wù)系統(tǒng)的工作負(fù)載動態(tài)變化來調(diào)整資源的供給,正是有了虛擬化才使得這個實現(xiàn)能夠更加方便。② 從整個企業(yè)的數(shù)據(jù)中心資源利用率方面考慮,通過使用一些動態(tài)優(yōu)化的算法就能夠?qū)⑦@些虛擬化的服務(wù)器在不同的資源、機器里面進行調(diào)配,減少物理機器的數(shù)量。
3)虛擬化技術(shù)還可以為我們帶來統(tǒng)一管理的好處。面對極其豐富多樣的基礎(chǔ)設(shè)施,中間件和操作系統(tǒng)等,一方面我們可以通過虛擬化技術(shù)實現(xiàn)對硬件屏蔽底層的差異,不管是系統(tǒng)管理員還是上層的服務(wù),都可以用統(tǒng)一的方式使用下層的資源,讓管理和使用更加方便、高效。第二,利用虛擬化組件的技術(shù)可以將企業(yè)經(jīng)常用的軟件、服務(wù)等做成一個虛擬組件模板,實現(xiàn)一次創(chuàng)建模板到處可以使用的便捷方式,效的加快業(yè)務(wù)交互過程,提高IT系統(tǒng)響應(yīng)能力。第三,為了維護數(shù)量龐大的服務(wù)器群的運維管理成本也因為整合服務(wù)器提高管理效率而得以降低,由于減少了服務(wù)器,通過控制臺集中管理,簡化了管理任務(wù),使管理工作變得輕松易行。
本文重點描述了根據(jù)公安部出臺的《信息安全技術(shù)信息系統(tǒng)安全保護定級指南》的要求,在醫(yī)院信息系統(tǒng)等級防護中應(yīng)用堡壘機去解決與保護域內(nèi)計算機系統(tǒng)資源實現(xiàn)身份鑒別認(rèn)證,并提供有效可回溯的安全審計方式,讓醫(yī)院信息系統(tǒng)獲得最大的保障和管理應(yīng)用效果。
關(guān)鍵詞:
信息系統(tǒng);安全;堡壘機
1、現(xiàn)狀與要求
近年國家對企業(yè)的信息安全越來越重視,公安部及信息部等出臺了《信息安全技術(shù)信息系統(tǒng)安全保護定級指南》(以下簡稱《指南》),衛(wèi)生部也出臺了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》對在建及已經(jīng)運營的醫(yī)院信息系統(tǒng)進行檢查,要求重要信息系統(tǒng)其安全保護等級按照不低于三級進行建設(shè)。在《指南》中,要求信息系統(tǒng)必須建立及保存運維訪問的各種操作日志。《定指南》將系統(tǒng)劃分物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)安全及備份等幾大安全領(lǐng)域,其中幾大領(lǐng)域均涉及到了數(shù)據(jù)以及操作審計、操作人員身份鑒別等安全問題。
2、醫(yī)療信息安全領(lǐng)域存在的問題
醫(yī)院信息系統(tǒng)主要劃分為his,pacs,Lis等幾大子系統(tǒng),其主要目標(biāo)是支持醫(yī)院的行政與管理運作,減輕各事務(wù)處理人員勞動強度,輔助醫(yī)院高層對醫(yī)院運作進行管理決策,提高醫(yī)院工作效率,從而使醫(yī)院能夠獲得良好的社會與經(jīng)濟效益。在對日常各系統(tǒng)的運維過程中,不同公司的維保人員有可能通過互聯(lián)網(wǎng)絡(luò),在外地甚至在家對醫(yī)院的業(yè)務(wù)系統(tǒng)進行升級與維護,操作方式基本分散無序,普遍存在由于管理人員登陸帳號管理不規(guī)范、運維權(quán)限劃分不清晰、認(rèn)證流程簡單、缺乏對運維過程的監(jiān)控、無法控制運維的時間段等等問題,容易導(dǎo)致其運維行為可能存在誤操作、違規(guī)操作甚至惡意操作等現(xiàn)象,造成系統(tǒng)服務(wù)異常或宕機,病人數(shù)據(jù)信息被泄露或破壞。因此,進一步加強對擁有信息系統(tǒng)高級管理權(quán)限的運維操作人員的行為管理與監(jiān)控,也是醫(yī)院信息安全發(fā)展的必然趨勢。
3、堡壘機在信息安全領(lǐng)域的應(yīng)用
堡壘機,提供了在特定網(wǎng)絡(luò)環(huán)境下,為確保域內(nèi)服務(wù)器、路由器等設(shè)備的安全運行,使用協(xié)議等方式,接管對終端目標(biāo)設(shè)備的訪問界面,對其訪問行為進行安全審計與翻譯,集中管理、監(jiān)控記錄運維過程的一種設(shè)備,確保域內(nèi)網(wǎng)絡(luò)與數(shù)據(jù)不受破壞。堡壘機扮演了對信息系統(tǒng)和網(wǎng)絡(luò)、數(shù)據(jù)看門者的角色,所有對網(wǎng)絡(luò)關(guān)鍵設(shè)備、服務(wù)器以及數(shù)據(jù)庫的訪問,都要經(jīng)過這個看門者的安全檢查。符合安全規(guī)定條件在命令和操作才可以從大門通過,這個看門人可以對這些命令和操作進行登記記錄,而某些非法訪問、惡意攻擊以及不合法命令則被阻隔于大門之外。因此,在提高醫(yī)院信息安全防護等級的過程中,使用堡壘機不僅可以實現(xiàn)用戶的身份鑒別、單點登陸、多因素安全認(rèn)證,還可以將服務(wù)器、網(wǎng)絡(luò)路由設(shè)備、數(shù)據(jù)庫等資源的操作進行詳細(xì)的記錄并錄像,提供有效的安全審計查詢。堡壘機作為醫(yī)院信息系統(tǒng)等級保護安全體系中的一個環(huán)節(jié),可以很方便地做到事中監(jiān)控,事后找出問題根源。醫(yī)療單位要選擇一款好的堡壘機,要注意其生產(chǎn)廠家必須能在IT運維管理領(lǐng)域里,可以深刻感知醫(yī)療安全行業(yè)和國家的合規(guī)性規(guī)范及高安全性、高可用性和高可靠性需求,不斷創(chuàng)新發(fā)展,致力從事智能的自動化運維管理。醫(yī)院在選擇堡壘機廠商時要注意廠商是否具備快速響應(yīng)能力及行業(yè)內(nèi)口碑等,多了解其產(chǎn)品的行業(yè)經(jīng)驗,注意了解廠商的是否有醫(yī)院信息安全領(lǐng)域的服務(wù)經(jīng)驗及良好的服務(wù)質(zhì)量,并建議選購前要做好堡壘機設(shè)備與醫(yī)院信息系統(tǒng)的兼容性測試,選擇良好的堡壘機廠商可以讓醫(yī)院醫(yī)療信息行業(yè)運維管理工作增值,這樣才能讓醫(yī)院醫(yī)療信息系統(tǒng)獲得最大的保障和應(yīng)用效果。
4、堡壘機所應(yīng)具備功能:
4.1單點登錄
堡壘機可通過保護域內(nèi)的安全設(shè)備、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對堡壘機專用帳號的授權(quán),支持針對一系列授權(quán)帳號的密碼定期變換,規(guī)范及簡化密碼管理流程。被授權(quán)的維護人員無需再記憶各種不同系統(tǒng)的密碼,即可通過堡壘機安全便捷地登錄被保護域內(nèi)設(shè)備。
4.2帳號管理
針對保護域內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器及其他安全設(shè)備的各種帳號進行統(tǒng)一管理,監(jiān)控授權(quán)訪問資源帳號的整個生命周期。可以根據(jù)運維人員的不同身份設(shè)計不同帳號角色,滿足審計及運維操作管理要求。
4.3身份認(rèn)證
由堡壘機提供統(tǒng)一的認(rèn)證入口,支持包括動態(tài)與靜態(tài)口令、硬件密鑰、生物指紋認(rèn)證等多種認(rèn)證模式對用戶認(rèn)證。并要求可訂制接口,支持第三方認(rèn)證服務(wù);有效提高保護域內(nèi)設(shè)備的安全型及可靠性。
4.4資源授權(quán)
針對訪問域內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等根據(jù)ip協(xié)議類型、行為等多種要素進行授權(quán)操作
4.5訪問控制
保壘機能支持對不同用戶制定不同策略,有針對性地進行細(xì)粒度的訪問控制,有效禁止非法及越權(quán)訪問,最大限度地保護用戶資源的安全。
4.6操作審計
堡壘機能支持針對命令字符操作、圖形界面操作、文件傳輸操作等的多種行為的審計與錄像全程記錄,支持通過實時界面監(jiān)控、對違規(guī)事件進行事中阻截。并能支持對指令信息的關(guān)鍵字搜索,精確定位錄像回放位置等功能。
5.堡壘機在醫(yī)院醫(yī)療信息系統(tǒng)安全的主要作用:
5.1從醫(yī)院來看:
通過堡壘機細(xì)粒度的安全管控策略,保證醫(yī)療信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行,并可以在一定保障數(shù)據(jù)的隱私性與安全性,降低人為安全損失,保障醫(yī)療信息系統(tǒng)的運營效益。
5.2從信息系統(tǒng)管理員來看
可以將保護域內(nèi)系統(tǒng)所有的運維賬號在堡壘機這個安全平臺上管理,讓管理更簡單有序,確保用戶擁有的權(quán)限是恰當(dāng)?shù)模粨碛型瓿扇蝿?wù)所需的最小權(quán)限。
5.3權(quán)限控制:
通過堡壘機可以通過字符與圖形界面直觀方便的監(jiān)控各種韻維訪問行為,及時發(fā)現(xiàn)與阻隔違規(guī)操作、權(quán)限濫用等。
5.4以普通用戶來看:
系統(tǒng)運維只需要記住一個自己的運維賬號和口令,登錄一次,就可以訪問個資源,大大降低工作復(fù)雜性,提高了效率。
作者:胡名堅 周春華 黃慧勇 單位:佛山市第一人民醫(yī)院計算機中心
參考文獻:
關(guān)鍵詞:機房設(shè)計;規(guī)劃管理;精密恒溫恒濕空調(diào)
中圖分類號:TP308 文獻標(biāo)識碼:A 文章編號:1009-2374(2012)32-0074-02
2009年3月,我公司成功重組為由鐵道部控股的合資鐵路公司,新公司成立后,如何保障現(xiàn)有運輸生產(chǎn)業(yè)務(wù)正常運行,實現(xiàn)有效調(diào)度指揮和生產(chǎn)管理應(yīng)用服務(wù)迫在眉睫,經(jīng)過鐵路局專家組的項目論證,在新公司建設(shè)總部機房,完成對兩省分部機房的業(yè)務(wù)數(shù)據(jù)匯總傳輸,以達到統(tǒng)一指揮、有效管理的目的。作為某合資鐵路公司信息技術(shù)中心主任,我主要負(fù)責(zé)總部機房的設(shè)計工作。
1 機房建設(shè)的原則
根據(jù)鐵路運輸行業(yè)的性質(zhì),需要建設(shè)的機房等級為B類。經(jīng)現(xiàn)場考察,考慮電力、水源、自然環(huán)境清潔的因素,遠離強振源和強噪聲源,避開強電磁場干擾,遠離粉塵、油煙、有害氣體等影響。我們確定的機房位于公司總部4樓,使用面積180平方米。根據(jù)機房工程項目的建設(shè)需要和鐵路運輸信息管理系統(tǒng)及調(diào)度指揮系統(tǒng)的各種業(yè)務(wù)應(yīng)用需求,針對鐵路行業(yè)專業(yè)特點,考慮未來快速增長的實際情況,設(shè)計原則應(yīng)該是高質(zhì)量、安全、實用和易于管理,同時提供較高的擴展性。
機房建設(shè)依據(jù)國家有關(guān)標(biāo)準(zhǔn),充分利用、整合現(xiàn)有資源,按照“實用可靠、有效適度、經(jīng)濟節(jié)約、技術(shù)先進”的總體原則實施。在機房設(shè)計、建設(shè)過程中還充分考慮方便今后的運行維護,并能有效降低機房運行及維護成本。機房建設(shè)的具體原則主要包括:
高安全性。充分考慮并采取有效措施防止火災(zāi)、電力故障、通信故障、漏水、雷擊、非法入侵等造成的安全事故。
高可靠性。采取有效措施提高平均無故障時間(MTBF),降低平均修復(fù)時間(MTTR),提高運維管理水平。
標(biāo)準(zhǔn)化和規(guī)范化。在數(shù)據(jù)中心機房設(shè)計和建設(shè)過程中,基于有關(guān)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn),堅持統(tǒng)一標(biāo)準(zhǔn)、規(guī)范的原則,從而為未來的業(yè)務(wù)發(fā)展、設(shè)備擴容奠定基礎(chǔ)。
可擴展性。機房必須具有良好的可擴展性,能夠根據(jù)今后信息化發(fā)展及技術(shù)進步的需要,提供設(shè)備擴容、技術(shù)升級、設(shè)備更新的靈活性。
先進性。在綜合考慮成本、效益的前提下,盡可能采用先進、成熟的技術(shù)和設(shè)備,保證既能滿足當(dāng)前的需求,又能兼顧未來業(yè)務(wù)和技術(shù)發(fā)展的需要。
實用性。機房的設(shè)計和工程建設(shè)要充分考慮功能的實用性,要以充分滿足技術(shù)、管理需求為前提。
可管理性。采用的各類機房設(shè)備應(yīng)具有智能化、可管理的能力,同時通過建立全面、完善的集中監(jiān)控和管理系統(tǒng),實時監(jiān)控機房的運行狀況,及時發(fā)現(xiàn)異常情況和故障,提高機房運行的安全性和可靠性。機房的各類設(shè)備、設(shè)施要便于維護。
經(jīng)濟性。在進行工程設(shè)計和建設(shè)過程中,在充分滿足需求的前提下,應(yīng)努力節(jié)約成本,降低建設(shè)費用。同時,還應(yīng)綜合考慮能以較低的成本、較少的人員投入來維持今后的日常運行,降低運行成本。
人機工程。機房設(shè)計和建設(shè)過程中應(yīng)根據(jù)人機工程原理,考慮機房工作人員的便利、舒適。
環(huán)保節(jié)能。采用環(huán)保材料、加強環(huán)保措施、避免環(huán)境污染;采用節(jié)能設(shè)備、重視節(jié)約能源。
2 機房安全方面
供電方面,我們按照《供配電系統(tǒng)設(shè)計規(guī)范》(GB50052-1995)的要求,購置艾默生電源柜,對機房采用雙路供電方式,一路鐵路運輸生產(chǎn)專用的電力貫通線,一路市電,電力貫通線用于保障列車運行信號和微機連鎖,可靠性較高,作為主用線路,出現(xiàn)突發(fā)性故障時,艾默生電源柜提供的自動切換開關(guān)可以迅速地切換到市電供電。購買兩臺艾默生40kVA實現(xiàn)ups冗余供電,提供合適的輸出電壓。在公司樓外部署發(fā)電機,提供長期停電時的應(yīng)急發(fā)電。
空調(diào)采用精密恒溫恒濕空調(diào),按照《通風(fēng)與空調(diào)工程施工及驗收規(guī)范》(GB50243-1997),采用上通風(fēng)方式安裝設(shè)置,這種方式的優(yōu)點是空調(diào)所需加濕給水管和凝結(jié)水排管均明線布置,一旦有漏水現(xiàn)象,可以快速發(fā)現(xiàn),及時排除,避免采用下送風(fēng)方式時,加濕給水管和凝結(jié)水排管布置在活動地板下,出現(xiàn)問題不易發(fā)現(xiàn),造成安全隱患。缺點是送風(fēng)管和送風(fēng)口的安裝布置施工難度較高,因與空氣流動特性相矛盾,容易引起房間下部溫度偏高。但對于運輸生產(chǎn)來說,安全是最重要的,經(jīng)過統(tǒng)一規(guī)劃,協(xié)調(diào)布置,上送風(fēng)方式為安全生產(chǎn)提供有效保障。
防雷系統(tǒng)根據(jù)《建筑物防雷設(shè)計規(guī)范》(GB50057-94)設(shè)計安裝,機房接地根據(jù)《電子信息系統(tǒng)機房設(shè)計規(guī)范》(GB50174-2008)設(shè)計,交流工作地、直流工作地、保護地、防雷地共用一組接地裝置,接地電阻
小于1Ω,接地系統(tǒng)的連接方式采用輻射式。
另外,消防系統(tǒng)采用七氟丙烷氣體滅火系統(tǒng),氣瓶間設(shè)置在機房外,采用管網(wǎng)式結(jié)構(gòu),在機房天花板設(shè)置噴嘴,火災(zāi)報警系統(tǒng)由消防控制箱、煙感、溫感聯(lián)網(wǎng)組成。
3 機房實用方面
根據(jù)機房實用性要求,我們把機房規(guī)劃為中心服務(wù)器區(qū)、數(shù)據(jù)存儲區(qū)、托管服務(wù)器區(qū)、核心網(wǎng)絡(luò)區(qū)、線路設(shè)備區(qū)、安全系統(tǒng)區(qū)和設(shè)備配線區(qū)七個區(qū)域。
在中心服務(wù)器區(qū)部署了運輸管理信息系統(tǒng)所需的各種應(yīng)用服務(wù)器和門戶網(wǎng)站服務(wù)器;在數(shù)據(jù)存儲區(qū)安裝了中心存儲設(shè)備,主要包括磁盤陣列和磁帶庫;在托管服務(wù)器區(qū)安裝不具備運維條件的小站服務(wù)器;在核心網(wǎng)絡(luò)區(qū)安裝了路網(wǎng)核心路由器、多層交換機等設(shè)備;在線路設(shè)備區(qū)安裝了華為optix metro 1000系列OLT和ONU設(shè)備;在安全設(shè)備區(qū)部署了聯(lián)想網(wǎng)御VSR系列防火墻;在設(shè)備配線區(qū)安裝了ODF和DDF。
4 機房可管理方面
根據(jù)《智能建筑設(shè)計技術(shù)》(GBJ232-82),我們選用了美國ALC智能自動系統(tǒng)監(jiān)控方案,對自動消防報警系統(tǒng)、門禁系統(tǒng)等進行監(jiān)控,監(jiān)控中心設(shè)置在信息中心值班室,發(fā)生報警事件時,ALC系統(tǒng)會及時提示,值班人員可根據(jù)系統(tǒng)提供的信號發(fā)生地點、信號類別和原因做出相應(yīng)處理。
根據(jù)需要,我們制定了相應(yīng)的機房管理制度,如《機房出入等級制度》、《機房巡視制度》等,并嚴(yán)格制度落實,列入考核。
5 實施效果及改進措施
提高運維精細(xì)化管理水平交通設(shè)施管理和故障處理一般都有一定的流程和制度,但沒有配套的技術(shù)手段的支持,流程和制度往往難以真正地得到高效貫徹執(zhí)行。系統(tǒng)將規(guī)范交通設(shè)備的管理,實現(xiàn)交通設(shè)施設(shè)備從購買、入庫、使用、維修、報廢的全生命周期管理,降低設(shè)施的養(yǎng)護成本;規(guī)范交通設(shè)備運維工作中故障處理流程,規(guī)范交通設(shè)施故障發(fā)生、故障恢復(fù)、故障維修、修復(fù)確認(rèn)、維修完成后故障單信息完善、故障延期修復(fù)報備等環(huán)節(jié);落實養(yǎng)護相關(guān)的制度,并可針對各個環(huán)節(jié)進行考核,從而提高交通設(shè)施的運維管理水平和效率。提高運維效果評價科學(xué)性怎樣評價運維系統(tǒng)使用后的效益?需要看它給正在運行中的系統(tǒng)和設(shè)備帶來哪些改變,這些改變是積極的還是糟糕的。系統(tǒng)從不同用戶所關(guān)注的問題入手,依據(jù)需求結(jié)合實際數(shù)據(jù)設(shè)計相關(guān)的考核指標(biāo)。考核指標(biāo)從三個角度來進行評價分析:從系統(tǒng)設(shè)備健康水平,從運營方和養(yǎng)護方的管理服務(wù)水平,從系統(tǒng)產(chǎn)生的經(jīng)濟效益角度。通過運維管理系統(tǒng)自動記錄的過程數(shù)據(jù)來多角度統(tǒng)計分析,量化表達各種考核指標(biāo),能夠提高運維效果評價的科學(xué)性。智能交通設(shè)施管理系統(tǒng)集成了中間件、GIS、FLEX和視頻識別等先進技術(shù),實現(xiàn)了三個層次共32項主體功能,下一章節(jié)將會對系統(tǒng)設(shè)計和實現(xiàn)進行簡要闡述說明。
設(shè)施運維系統(tǒng)及評價體系的設(shè)計和實現(xiàn)
1系統(tǒng)架構(gòu)設(shè)計
智能交通設(shè)施綜合管理系統(tǒng)分為狀態(tài)信息采集層、智能分析報警層和人機交互界面三層,對應(yīng)的系統(tǒng)軟件架構(gòu)分三層設(shè)計:信息采集、智能報警分析、平臺系統(tǒng)。如圖(1)所示。信息采集層負(fù)責(zé)設(shè)施運行信息的自動化采集,向智能報警分析和平臺系統(tǒng)提供基礎(chǔ)數(shù)據(jù)。它直接或間接通過設(shè)施提供的標(biāo)準(zhǔn)接口或系統(tǒng)接口采集相關(guān)狀態(tài)、性能、配置等運行數(shù)據(jù),數(shù)據(jù)內(nèi)容包括:服務(wù)器告警信息、服務(wù)器性能、應(yīng)用軟件狀態(tài)、網(wǎng)絡(luò)設(shè)備運行信息、網(wǎng)絡(luò)拓?fù)湫畔ⅰC房動力環(huán)境監(jiān)控信息、外場設(shè)備狀態(tài)和采集信息等。信息采集方式可集中和相結(jié)合,使采集軟件靈活部署。智能報警分析層負(fù)責(zé)分類匯總信息采集層采集到的數(shù)據(jù),通過報警閥值和報警規(guī)則預(yù)處理后生成基礎(chǔ)事件,不同來源的事件經(jīng)過過濾,同類事件經(jīng)過壓縮,相關(guān)聯(lián)的事件經(jīng)過根源分析,獲得用戶所需的根源報警,根據(jù)報警事件重要程度進行分級,整個過程實現(xiàn)了向平臺系統(tǒng)提供設(shè)施的智能報警。平臺系統(tǒng)層圍繞設(shè)施運維應(yīng)用,實現(xiàn)各種業(yè)務(wù)功能,具體業(yè)務(wù)功能包括:資源管理、日常養(yǎng)護、日常監(jiān)控、應(yīng)急保障、業(yè)務(wù)報表、系統(tǒng)評價。系統(tǒng)的用戶角色分為養(yǎng)護公司、運維管理人員、運行管理人員和部門領(lǐng)導(dǎo)四類。各角色主要業(yè)務(wù)職責(zé)如下:(1)養(yǎng)護公司:綜合報警監(jiān)控的確認(rèn)巡檢;故障報修登記、設(shè)備報修簽收、設(shè)備維修結(jié)果登記等;(2)運維管理人員:設(shè)備報修簽發(fā)、設(shè)備維修結(jié)果審核、設(shè)備報修擱置列表管理、設(shè)備停用管理,設(shè)備生命周期管理;設(shè)備基礎(chǔ)信息采集入庫及維護、機房設(shè)備位置、端口、接線、IP、VLAN等資源信息采集入庫及維護;(3)運行管理:內(nèi)外場設(shè)備報警查看處置;(4)部門領(lǐng)導(dǎo):對各崗位操作情況進行統(tǒng)計考核。
2設(shè)施信息采集
狀態(tài)信息采集層主要實現(xiàn)外場設(shè)備狀態(tài)信息采集、內(nèi)場設(shè)備狀態(tài)信息采集、機房環(huán)境監(jiān)控信息采集,所有采集的信息會接入消息總線中間件并存入歷史數(shù)據(jù)庫,為進一步智能報警分析提供數(shù)據(jù)支持。(1)外場設(shè)備狀態(tài)信息采集:系統(tǒng)通過接口協(xié)議,實現(xiàn)對信號機、電子警察、監(jiān)控攝像機、卡口、情報板、車檢器等外場智能交通設(shè)備運行狀態(tài)信息采集;(2)內(nèi)場設(shè)備狀態(tài)信息采集:通過IBMTIVOLI智能基礎(chǔ)設(shè)施管理軟件實現(xiàn)對服務(wù)器、交換機、數(shù)據(jù)庫、應(yīng)用軟件等內(nèi)場設(shè)備運行狀態(tài)信息采集;(3)機房環(huán)境監(jiān)控信息采集:通過接口協(xié)議采集機房溫濕度計、UPS、配電柜、空調(diào)、消防、門禁和地漏報警信息。
3智能報警分析
智能報警分析層根據(jù)采集的狀態(tài)信息,經(jīng)過壓縮過濾和算法分析,可以綜合判斷故障根源,為快速處置和問題診斷提供參考。(1)報警事件壓縮過濾:根據(jù)采集到的狀態(tài)數(shù)據(jù)和維護人員指定的報警規(guī)則,生成基礎(chǔ)事件。對于同一種設(shè)備的同一種事件,由于事件產(chǎn)生的渠道不同,會生成多條重復(fù)的報警信息,比如通過交換機主動上傳的trap事件,和根據(jù)交換機的狀態(tài)數(shù)據(jù)生成的事件可能會出現(xiàn)重復(fù)報警的情況,對這種事件進行過濾。對于某種瞬間發(fā)生或者處在報警邊界值的事件,可能會頻繁的生成和消失,這樣就會產(chǎn)生很多重復(fù)無用的事件。為了避免這種情況,通過設(shè)置平滑周期,對這種事件的生成進行壓縮。(2)事件根源分析:通常情況下,在生成的眾多單點事件中,往往是由其中的某幾個根源事件導(dǎo)致的,根據(jù)單點事件之間的邏輯關(guān)系和被管對象之間的物理拓?fù)潢P(guān)系,依次遞歸查找,根節(jié)點對應(yīng)的事件,即為根源事件。(3)事件分級:報警事件級別分四級普通事件:需要養(yǎng)護人員關(guān)注,事件作用一般為預(yù)防提醒非關(guān)鍵設(shè)備某些指標(biāo)工作異常,但設(shè)備還能工作,不影響其他設(shè)備。警告事件:需要設(shè)備管理員和養(yǎng)護人員關(guān)注,事件作用一般為提醒非關(guān)鍵設(shè)備工作異常或不能工作,但不影響其他設(shè)備。嚴(yán)重事件:需要值班員關(guān)注,告知設(shè)備管理員。事件作用一般為關(guān)鍵設(shè)備工作異常或不能工作,影響分系統(tǒng)內(nèi)局部設(shè)備。致命事件:需要值班員關(guān)注,及時電話通知設(shè)備管理員和養(yǎng)護人員。事件作用一般為關(guān)鍵設(shè)備工作異常或不能工作,影響全局設(shè)備或全系統(tǒng)正常運行。智能報警分析應(yīng)用場景示例,如圖(4)所示。
4運維管理應(yīng)用
運維管理應(yīng)用主要實現(xiàn)日常監(jiān)控、日常養(yǎng)護、應(yīng)急保障、資源管理、生命周期管理和業(yè)務(wù)報表分析統(tǒng)計等功能。(1)日常監(jiān)控:通過機房模擬圖、二維或三維地圖監(jiān)控外場設(shè)備,以列表和圖表的形式展示設(shè)備運行的實時信息,報警事件產(chǎn)生,自動定位故障設(shè)備,按照報警級別,啟動關(guān)聯(lián)預(yù)案,監(jiān)控人員按照預(yù)案處置。如圖(5)所示。(2)日常養(yǎng)護:日常養(yǎng)護工作通常有設(shè)備定期巡檢、臨時故障維修、搶修,養(yǎng)護中要遵循養(yǎng)護制度,養(yǎng)護過程需要規(guī)范,設(shè)計了養(yǎng)護流程管理。它支持多崗位跨網(wǎng)絡(luò)協(xié)同工作流程化管理,包括故障報修登記、故障簽發(fā)管理、任務(wù)簽收管理、維修結(jié)果登記、維修結(jié)果審核、擱置列表管理和歸檔列表管理等。如圖(6)所示。為養(yǎng)護更加便捷和使用系統(tǒng)更方便,引入了手持終端。如圖(7)所示。圖(7)(3)應(yīng)急保障:在突發(fā)重大事故或災(zāi)害的情況下,保障各系統(tǒng)正常運行,需要應(yīng)急保障手段,系統(tǒng)提供一些輔助,主要有各類災(zāi)害事故預(yù)案模型演練、培訓(xùn),應(yīng)急設(shè)施資源的查詢,預(yù)案相關(guān)人員組織。如圖(8)所示。(4)資源管理:基于自主開發(fā)的GIS支撐管理平臺和Flex機房管理功能對內(nèi)外場設(shè)備位置、端口、接線等空間和屬性信息進行協(xié)同維護管理。(5)生命周期管理:對設(shè)備安裝、建設(shè)交付使用、每次維護、到最終報廢進行全生命周期過程記錄和管理。(6)業(yè)務(wù)報表:對系統(tǒng)資源情況、設(shè)備資產(chǎn)保值、監(jiān)控設(shè)備性能、設(shè)備故障、養(yǎng)護記錄數(shù)據(jù)、各職責(zé)崗位績效考核、等多方面進行綜合統(tǒng)計分析。
5系統(tǒng)評價分析
系統(tǒng)相關(guān)的用戶大致分為三類:投資方、運營管理方、養(yǎng)護公司。三者都有對使用該系統(tǒng)期望和訴求。投資方的訴求:建設(shè)這套系統(tǒng)后,今后的運維養(yǎng)護能否更省錢,能否為運維養(yǎng)護提供長久支持;運營管理方的訴求:養(yǎng)護效率、質(zhì)量、養(yǎng)護水平得到提高,人均臺班費用得到控制,自身的管理改進和提高,運營管理取得的成績可以量化,能更好的為業(yè)務(wù)部門提供系統(tǒng)保障;養(yǎng)護公司的訴求:能更省時省力的完成工作,能更好的響應(yīng)運營方的要求。針對這些訴求,結(jié)合運維的信息,制定了對應(yīng)的評價指標(biāo),指標(biāo)從三個方面回答用戶的訴求:資金成本、運維服務(wù)水平、系統(tǒng)健康水平。(1)資金成本=節(jié)省的養(yǎng)護人工成本+節(jié)省的設(shè)備成本,節(jié)省的養(yǎng)護人工成本核心指標(biāo)是人均的費效比和設(shè)備養(yǎng)護率。設(shè)備養(yǎng)護率隨著養(yǎng)護的年限逐年增長,可以根據(jù)實際設(shè)備使用環(huán)境,同行業(yè)水平,結(jié)合系統(tǒng)記錄的養(yǎng)護記錄制定,一般第一年0.4,保修期內(nèi),每年增長0.1,過保修期每年增長0.2,以3年保修期計算,到第5年設(shè)備養(yǎng)護率達到1,這意味著過保的設(shè)備5年后的養(yǎng)護頻率要大于1。人均的費效比=人工總花費/(人均出工時間×養(yǎng)護團隊人數(shù))。節(jié)省的養(yǎng)護人工成本=(今年的人均費效比-上年人均費效比)×(今年設(shè)備養(yǎng)護率/上年設(shè)備養(yǎng)護率)×上年人工總花費。節(jié)省的設(shè)備成本的核心指標(biāo)是過保設(shè)備每年的折舊價值和當(dāng)年設(shè)備過保的備件花費。過保設(shè)備每年的折舊價值根據(jù)設(shè)備的使用環(huán)境和it設(shè)備折舊值制定,it設(shè)備一年質(zhì)保,5年報廢,一般過保設(shè)備每年的折舊價值為:設(shè)備采購價格×0.2。設(shè)備過保的備件花費是指設(shè)備過保后,維修的備件花費。節(jié)省的設(shè)備成本的公式:Σ(單個過保設(shè)備每年的折舊價值-當(dāng)年單個設(shè)備過保的備件花費)。(2)運維服務(wù)水平=運維管理績效×50%+養(yǎng)護服務(wù)水平×50%,運維管理績效的核心指標(biāo)是養(yǎng)護任務(wù)的完成率;養(yǎng)護服務(wù)水平的核心指標(biāo)是養(yǎng)護任務(wù)質(zhì)量平均得分、養(yǎng)護任務(wù)規(guī)定時間完成率和養(yǎng)護培訓(xùn)成績。養(yǎng)護任務(wù)質(zhì)量得分最高不超過100分,每次養(yǎng)護任務(wù)由審核人員根據(jù)養(yǎng)護制度要求和養(yǎng)護結(jié)果綜合評分。養(yǎng)護培訓(xùn)成績由運營公司組織養(yǎng)護人員學(xué)習(xí)和考試評分。運維管理績效=養(yǎng)護任務(wù)的完成率×100。養(yǎng)護服務(wù)水平=養(yǎng)護任務(wù)質(zhì)量平均得分×40%+養(yǎng)護任務(wù)規(guī)定時間完成率×100×40%+養(yǎng)護培訓(xùn)成績×20%。(3)系統(tǒng)健康水平=設(shè)備總完好率×100,設(shè)備總完好率是指所有設(shè)備完好工作時間的比率。設(shè)備總完好率=Σ(單個設(shè)備實際完好工作時間/單個設(shè)備理論要求完好工作時間)。評價的指標(biāo)結(jié)果通過圖表的方式直觀表現(xiàn),如圖(9)所示。
系統(tǒng)項目實施效果
(1)使用這套系統(tǒng)后,可量化從養(yǎng)護資金使用效率、養(yǎng)護成本、養(yǎng)護運營績效、系統(tǒng)運行穩(wěn)定等多方面帶來的改變。(2)通過設(shè)定指標(biāo),從管理績效、成本核算等方面量化考核運營公司。(3)設(shè)施全生命周期的管理,對設(shè)施質(zhì)量評估提供了數(shù)據(jù)支持,對設(shè)施資產(chǎn)進行了優(yōu)化配置。(4)以規(guī)范的方式管理養(yǎng)護數(shù)據(jù),在管理過程中能方便的統(tǒng)計分析系統(tǒng)的不穩(wěn)定點,排查系統(tǒng)隱患,保障系統(tǒng)運行穩(wěn)定。(5)綜合的智能報警,提高了故障排查效率;報警預(yù)案、報警聯(lián)動,加快了故障的響應(yīng)速度。(6)強化了養(yǎng)護制度的管理,對養(yǎng)護安全、養(yǎng)護紀(jì)律起到規(guī)范、督導(dǎo)作用。(7)應(yīng)急搶修的管理、手持設(shè)備應(yīng)用、各種應(yīng)急養(yǎng)護預(yù)案的培訓(xùn)和演練,為應(yīng)急保障提供了技術(shù)支持。(8)手持終端設(shè)備的應(yīng)用,使得養(yǎng)護全過程信息直達、高效、迅速,系統(tǒng)提供更有力信息支持。(9)規(guī)范的管理養(yǎng)護數(shù)據(jù)、落實養(yǎng)護制度、養(yǎng)護應(yīng)急預(yù)案的培訓(xùn)等,使得養(yǎng)護知識、養(yǎng)護經(jīng)驗共享,提高養(yǎng)護服務(wù)水平。
關(guān)鍵詞:綠色機房;節(jié)能;機房改造
中圖分類號:TP308文獻標(biāo)識碼:A文章編號:1009-3044(2012)08-1944-02
Improvement ProjectStudy of Large-scale Green Energy Saving Computer Room
ZENG Zhi-long1, LU Chang2
(1.Institute of Mathematical Information Industry of Zhejiang Ocean University, Zhoushan 316000, China; 2.Public Experiment Center of Zhejiang Ocean University, Zhoushan 316000, China)
Abstract: The scale of the public computer room is large in the University generally, the annual electricity consumption of resources is also very prominent, but in fact the computer room has great energy saving space. By researching of the current structure and operation mode, analysis ofinfrastructure and management model, proposed improvedprojects, and provides a practical method for building the large computer room of the green energy, provided a reference model.
Key words: green computer room; energy conservation; computer room transformation
我校公共機房總共分為15個房間,擁有900臺學(xué)生機,規(guī)模龐大,每年消耗大約50萬度電,占機房運行總投入的15%左右,是一個用電大戶,然而隨著綠色節(jié)能環(huán)保理念的深入,如何構(gòu)建節(jié)能型的綠色機房成為機房建設(shè)中重點考慮問題,充分挖掘節(jié)能潛力,能夠為學(xué)校節(jié)省巨大的資源投入,并且,在節(jié)約能源的同時,還不能犧牲教學(xué)效果與機房性能。
1存在問題
經(jīng)過對本校機房的各個節(jié)能點進行研究分析,在當(dāng)前存在的問題中,有些是因為前期建設(shè)的時候沒有充分考慮綠色節(jié)能的方案,有些是因為疏于管理維護,從基礎(chǔ)建設(shè)到運維管理都存在許多問題,對資源造成了較大的浪費,歸納如下:
1)電源線路結(jié)構(gòu)單一,無法做到靈活精細(xì)地獨立控制機房。
在進行基礎(chǔ)電路布置的時候,采取了單線的總控模式,沒有相對于單獨子機房進行細(xì)分規(guī)劃,開的時候一起開,關(guān)的時候一起關(guān)。這種方式導(dǎo)致了無人上機時候,顯示器處于待機狀態(tài),特別是對于大量使用還沒有更換的CRT顯示器,以單臺待機狀態(tài)顯示器1天消耗10W計算,機房一年運行以300天計,一年消耗的總電量是300×10×900=2700(KW),而且,這無形之中提高了室內(nèi)溫度,也造成空調(diào)運行的攜帶浪費。
2)服務(wù)器不間斷運行,利用率低。
高校公共機房的服務(wù)器與提供商業(yè)服務(wù)的服務(wù)器有所區(qū)別,很多機器無需提供7*24小時的不間斷服務(wù),只是在授課期間開啟相應(yīng)服務(wù)即可,在無人值守機房管理的模式下,服務(wù)器基本上長年累月開啟,按照常規(guī)運行300W功率計算,有10臺服務(wù)器,1天空余運行時間10小時,1年將耗電365×10×10×300=10950KW。如何讓服務(wù)器在不需要的時候能停止對電能的消耗是節(jié)能的一個關(guān)鍵點。
3)服務(wù)器等設(shè)備應(yīng)用分散,利用率不高。
很多服務(wù)器單獨運行某個應(yīng)用,但其實隨著硬件技術(shù)的發(fā)展,特別是新購的服務(wù)器性能都很強勁,服務(wù)器CPU的利用率基本上只有5%左右,所以沒有充分挖掘服務(wù)器的性能,設(shè)備越分散,耗能越多。
4)空調(diào)設(shè)備長年累月運行,浪費巨大。
空調(diào)設(shè)備功率大,運行時間長,學(xué)生機房的空調(diào)設(shè)備還可以通過日常管理來減少使用,但是對于主控機房,因為采用無人值守的方式,空調(diào)必須常年累月運行,甚至在室外溫度低于0度的情況下仍然進行制冷,耗電量非常驚人。
5)設(shè)備老化,CRT和舊型號主機的大量使用。
CRT顯示器因為輻射大、耗電高已經(jīng)被廠商淘汰,機房卻仍在大量使用,舊型號的機器缺少綠色節(jié)能技術(shù),甚至在無負(fù)載的情 況下,照樣耗電嚴(yán)重。
6)管理松散,沒有針對性的制度措施。
管理制度沒有及時更新,缺乏與時俱進的管理思想,缺乏常規(guī)性合理性的操作,導(dǎo)致很多設(shè)備沒有及時切斷電源。
2方案研究和實現(xiàn)方法
針對以上的情況分析,結(jié)合已有的技術(shù)手段,通過采取以下措施進行改進。
1)合理規(guī)劃機房空間,細(xì)化機房各供電線路,為精細(xì)化管理提供基礎(chǔ)條件。在暑期機房空閑時間,把整體機房分割成以房間為單位的子機房,重新鋪設(shè)改造供電線路,在主控機房電源控制箱中,設(shè)置單獨控制開關(guān),人為控制電源。在具體操作過程中,機房管理人員可以針對具體機房課表,對不上課的機房切斷電源,避免因為待機而造成的電源浪費[4]。
2)利用BIOS設(shè)定和執(zhí)行腳本命令進行自動開關(guān)機。
對于學(xué)生端電腦,可以借助機房信息管理系統(tǒng)來實現(xiàn)定時關(guān)機,我們事先安排好課表,當(dāng)課程結(jié)束的時候,管理系統(tǒng)會自動發(fā)送關(guān)機指令到客戶端,并正常關(guān)閉電腦。對于服務(wù)器,我們可以利用BIOS程序(主板底層的參數(shù)設(shè)置系統(tǒng))設(shè)置,定時進行開機操作。開機后,參考開機后的畫面熱鍵提示,進入setup設(shè)置后,尋找類似于“Resume By Alarm”的設(shè)置選項,固定設(shè)置每天開機的時間,設(shè)置好保存并退出即可。進入系統(tǒng)之后,為了自動執(zhí)行各類應(yīng)用,應(yīng)該把相應(yīng)服務(wù)或者程序設(shè)置為自啟動模式,省卻每次人為的操作。
針對Windows的操作系統(tǒng),我們可以從網(wǎng)上下載定時關(guān)機的小軟件來解決定時關(guān)機的問題,也可以通過編寫腳本來實現(xiàn),以每天21:30關(guān)機為例,運行代碼如下:at 21:30 /every:M,T,W,Th,F,S,Su shutdown -s -t 120,這樣就可以實現(xiàn)定時關(guān)機了。
3)整合現(xiàn)有資源,挖掘高性能服務(wù)器等設(shè)備的潛力,提供盡可能多的應(yīng)用。
借鑒當(dāng)前流行的云計算模式,對當(dāng)前的服務(wù)器進行有效整合,發(fā)揮規(guī)模化效應(yīng),充分挖掘高性能服務(wù)器的潛力,運用虛擬化技術(shù),讓盡可能少的設(shè)備運行盡可能多的應(yīng)用服務(wù),提高使用的效率。對于當(dāng)前硬件的性能,我們可以設(shè)置多個虛擬機,同時提供不同的應(yīng)用服務(wù),讓CPU和內(nèi)存的使用率維持在50%以上,當(dāng)然,不能過度使用,否則會明顯延長訪問響應(yīng)時間[1]。
4)衡量一次性投入精細(xì)空調(diào)設(shè)備與普通空調(diào)的成本和長期運行產(chǎn)生的費用,確定購置方案。
精細(xì)空調(diào)的節(jié)能效果非常好,但是采購成本是普通空調(diào)的幾十倍,它的產(chǎn)能必須要經(jīng)過長時間的運作才能體現(xiàn)。所以在采購前,要充分做好調(diào)研工作,如果機房運行時間在6年以上,可以考慮采購,否則只會增加成本投入[2][3]。
5)針對老舊的耗能產(chǎn)品,只有更換成新出的節(jié)能產(chǎn)品才能有效節(jié)省用電,但是介于機房已有模式和資金問題,我們無法一次性解決。在今后采購設(shè)備的時候,應(yīng)該把綠色節(jié)能指標(biāo)納入招標(biāo)要求,在滿足使用性能的同時,可以傾向于那些具有節(jié)能技術(shù)的產(chǎn)品。
6)從管理層面,確定相關(guān)制度來保障。
技術(shù)只是一種保障的手段,但更多的時候需要制度的有效執(zhí)行,制定機房相應(yīng)管理守則,常態(tài)化規(guī)范化對節(jié)能進行管理,通過巡視、記錄等方式對需改進點進行人為干預(yù)操作,是保證建設(shè)綠色節(jié)能機房的關(guān)鍵因素。
3結(jié)論
計算機機房經(jīng)過改造后,運行半年以來,平均比以前節(jié)約用電10度,耗能節(jié)省了20%,成功地實現(xiàn)了綠色節(jié)能機房的改造,成為全校的節(jié)能冠軍。各個高校可以參照本校的實際情況,對現(xiàn)有的機房進行改造,一定可以挖掘出更多的節(jié)能空間。
參考文獻:
[1]耿英保.淺議計算機機房節(jié)能[J].中國集體經(jīng)濟科技研發(fā),2006(6).
[2]周航.通信機房節(jié)能熱管理設(shè)計探討[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2009(3).
關(guān)鍵詞:教育數(shù)據(jù)中心;安全運維;技術(shù)體系
中圖分類號:TP393 文獻標(biāo)志碼:B 文章編號:1673-8454(2016)19-0005-06
一、省級數(shù)據(jù)中心的整體架構(gòu)
近年來,福建省教育管理信息中心從更高層次上將過去以單位建設(shè)和運營的傳統(tǒng)信息系統(tǒng)整合成以省級為單位的數(shù)據(jù)中心,形成資源共享、互聯(lián)互通、服務(wù)整合的有機整體,省級數(shù)據(jù)中心實現(xiàn)虛擬化和動態(tài)管理,為本省提供教育管理信息系統(tǒng)運行的云服務(wù)平臺,承載和滿足國家教育管理公共服務(wù)平臺在省級教育行政部門的部署和運行,集成和支撐省本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng),服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。
整體設(shè)計架構(gòu)如圖1所示。
隨著教育管理信息系統(tǒng)的建成,各級各類教育部門對信息系統(tǒng)的依賴程度將會越來越高,逐步形成覆蓋各級各類教育的學(xué)生、教師和學(xué)校及資產(chǎn)等方面的海量信息,這對維持教育管理信息系統(tǒng)安全穩(wěn)定運行,保障教育管理信息安全提出了更高的要求
二、省級數(shù)據(jù)中心安全防護的變化
利用云計算技術(shù),省級數(shù)據(jù)中心實現(xiàn)了計算資源、網(wǎng)絡(luò)資源、存儲資源的虛擬化和服務(wù)化,同時數(shù)據(jù)中心的安全威脅和防護要求也產(chǎn)生了新的變化。云計算帶來的一個最明顯的變化就是計算網(wǎng)絡(luò)的邊界發(fā)生了改變,諸多的業(yè)務(wù)系統(tǒng)運行在數(shù)據(jù)中心云服務(wù)平臺上,保障數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性和進行災(zāi)難恢復(fù)將是一個巨大的挑戰(zhàn),任何一個機械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制,就很有可能造成整個數(shù)據(jù)中心的崩潰。
1.安全防護對象擴大
安全風(fēng)險并沒有因為虛擬化而消失或規(guī)避。盡管單臺物理服務(wù)器可以劃分成多臺虛擬機使用,但是每臺虛擬機上承載的業(yè)務(wù)和服務(wù)和傳統(tǒng)單臺服務(wù)器承載的基本相同,同樣虛擬機面臨的安全問題跟單臺物理機也是基本相同的,如對業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、操作系統(tǒng)和應(yīng)用程序的漏洞攻擊等。
數(shù)據(jù)中心需要防護的對象范圍也擴大了。安全防護需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件,由于 vcenter等本身所處的特殊位置和在整個系統(tǒng)中的重要性,如果漏洞沒能及時修復(fù),這必定會給虛擬化平臺帶來一定的安全風(fēng)險,一旦攻擊者獲得虛擬化平臺的管理權(quán)限,將可以隨意訪問任意一臺虛擬機,服務(wù)器的業(yè)務(wù)數(shù)據(jù)也就沒有任何安全性可言了。
2.威脅擴散速度快
在虛擬化環(huán)境中,同一臺物理服務(wù)器上的不同虛擬機之間的通訊是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決,相鄰虛擬機之間的流量交換不通過外部的網(wǎng)絡(luò)交換機,此時外部的網(wǎng)絡(luò)安全工具也都無法監(jiān)測到物理服務(wù)器內(nèi)部的流量。其中任何一臺虛擬機存在安全漏洞被攻擊控制后,攻擊者可通過這臺虛擬機入侵同一臺服務(wù)器上的其他虛擬機。
虛擬機可以根據(jù)實際需求在不同物理機之間進行動態(tài)遷移,這可能會讓一些重要的虛擬機遷移到不安全的物理機上,或者一些測試用的虛擬機與重要的虛擬機遷移到同一虛擬局域網(wǎng),從而帶來安全風(fēng)險。
3.病毒掃描風(fēng)暴
完成服務(wù)器虛擬化之后,為了保護虛擬服務(wù)器的安全運行,要在每一臺虛擬機上安裝防病毒等安全軟件,每臺虛擬機因此要消耗相同的CPU、內(nèi)存等硬件資源,常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源,這樣隨著虛擬機數(shù)量的增加,后端存儲的負(fù)荷隨之變大從而影響到系統(tǒng)的運行速度。
虛擬機的初衷是綠色環(huán)保,低碳節(jié)能,沒有業(yè)務(wù)運行的時候可以關(guān)閉虛機,業(yè)務(wù)恢復(fù)時開啟虛機,但關(guān)閉期間病毒代碼是無法更新的,如果多臺虛擬機同時開機更新防病毒軟件的病毒碼,這時網(wǎng)絡(luò)帶寬也有較大影響。如果所有虛擬機上的防病毒軟件設(shè)置定期掃描或更新,將會引起“防病毒風(fēng)暴”,影響服務(wù)器應(yīng)用程序的正常運行。
三、省級數(shù)據(jù)中心安全運維技術(shù)體系構(gòu)建
依據(jù)國家等級保護的有關(guān)標(biāo)準(zhǔn)和規(guī)范,以省級教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護需求為出發(fā)點,根據(jù)云計算虛擬化的特點和風(fēng)險狀況,同時參考傳統(tǒng)“進不來,拿不走,看不到,改不了,走不脫”的防御要求,分別從事前監(jiān)控、事中防護和事后審計三個角度進行考慮,采用分區(qū)分域、重點保護的原則,對數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進行分區(qū)分域防控,對承載的國家教育管理公共服務(wù)平臺、本級應(yīng)用系統(tǒng)和重點區(qū)域進行重點的安全保障,根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的實際安全威脅,采用適當(dāng)?shù)陌踩U洗胧⒏采w物理、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護技術(shù)支撐環(huán)境,提升數(shù)據(jù)中心的抗攻擊能力,維持國家教育管理信息系統(tǒng)穩(wěn)定運行,保障教育管理信息安全。
1.物理層
(1)機房安全
機房是數(shù)據(jù)中心重要的基礎(chǔ)設(shè)施,服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備等是數(shù)據(jù)中心機房的核心設(shè)備。這些設(shè)備運行所需要的環(huán)境因素,如供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、機房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機房重要的物理基礎(chǔ)設(shè)施。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機房,由服務(wù)器機房、網(wǎng)絡(luò)機房、控制室、配電機房四部分組成,現(xiàn)有數(shù)據(jù)中心使用面積達115平方米,安裝了機房智能、供配電、通風(fēng),環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng),滿足機房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求,符合信息安全等級保護三級的合規(guī)要求。
(2)資產(chǎn)管理
數(shù)據(jù)中心管理關(guān)鍵在于立足全局,明了擁有的資源,知曉設(shè)備放置在哪里,它們是如何連接到一起的。準(zhǔn)確的資產(chǎn)數(shù)據(jù)是數(shù)據(jù)中心日常運維的基礎(chǔ)之一,隨著數(shù)據(jù)中心的設(shè)備數(shù)據(jù)增加,資產(chǎn)信息的準(zhǔn)確性顯得更加重要。對已有的虛擬機、物理設(shè)備和應(yīng)用系統(tǒng)進行標(biāo)記,例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對系統(tǒng)的簡短描述。
2.網(wǎng)絡(luò)層
(1)安全區(qū)域的劃分
為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全,將安全區(qū)域劃分作為安全運維技術(shù)體系設(shè)計的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大,支撐的應(yīng)用系統(tǒng)也非常復(fù)雜,因此采用基于安全域的辦法是非常有效的,結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實際情況和特點,以安全保障合理有效為原則,將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個相對獨立的安全區(qū)域,根據(jù)各個安全區(qū)域的功能和特點選擇不同的防護措施。
省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng),又為自建應(yīng)用系統(tǒng)提供運營支撐。根據(jù)安全等級保護要求完成安全區(qū)域劃分,分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運維區(qū)等,同時在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū),結(jié)合各個安全區(qū)域的業(yè)務(wù)特點設(shè)計保護措施和安全策略,這大大提升了安全防護的有效性,也體現(xiàn)出重點區(qū)域重點防范的建設(shè)原則。
(2)外網(wǎng)接入?yún)^(qū)
主要實現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點分析和需求分析,對該區(qū)域進行邊界的防護,以及對入侵事件的深度檢測及防護,抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護系統(tǒng)。
A.實現(xiàn)邊界結(jié)構(gòu)安全。數(shù)據(jù)中心有多條ISP鏈路,包括移動、聯(lián)通、電信等。通過互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風(fēng)險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進行帶寬分配優(yōu)先,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù),保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。
B.實現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻,一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求;另一方面滿足互聯(lián)網(wǎng)邊界移動、電信、聯(lián)通等線路接入以及對流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細(xì)粒度的訪問控制,并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包,便于管理人員進行分析。同時在防火墻配置會話監(jiān)控策略,當(dāng)會話處于非活躍一定時間或會話結(jié)束后,防火墻自動將會話丟棄,訪問來源必須重新建立會話才能繼續(xù)訪問資源。
C.實現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān),采用透明接入方式,在最接近病毒發(fā)生源安全邊界處進行集中防護,對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾,對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進行全面的攔截。截斷了病毒通過網(wǎng)絡(luò)傳播的途徑,凈化了網(wǎng)絡(luò)流量,滿足三級等級保護中實現(xiàn)邊界惡意代碼防范的要求。
D.實現(xiàn)邊界安全審計。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng),滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查,提供用戶上網(wǎng)行為日志記錄,不合規(guī)上網(wǎng)行為阻斷等功能。
(3)骨干網(wǎng)絡(luò)區(qū)
核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個功能分區(qū),是整個運行網(wǎng)數(shù)據(jù)中心的核心,其功能是高速可靠地交換數(shù)據(jù),需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨立的匯聚交換機去實現(xiàn)。
A.實現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機配置防火墻板卡和IPS板卡,為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動、實時的防護,監(jiān)測網(wǎng)絡(luò)異常流量,自動對各類攻擊性的流量進行實時阻斷,增強數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。
B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能,通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻,為應(yīng)用服務(wù)器區(qū)/數(shù)據(jù)庫服務(wù)器區(qū)/運維管理區(qū)邊界提供細(xì)粒度的訪問控制能力,實現(xiàn)基于源/目的地址、通信協(xié)議、請求的服務(wù)等信息的訪問控制,防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源,并且利用防火墻的多個端口,將實現(xiàn)多個區(qū)域的有效隔離。
3.平臺層
云安全技術(shù)多集中在虛擬化安全方面。虛擬化環(huán)境下計算、存儲、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變,帶來了應(yīng)用進程間的相互影響更加難以監(jiān)測和跟蹤,數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜,傳統(tǒng)的分區(qū)域防護界限模糊,對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更為重要等一系列問題,對安全提出了更高的要求。
(1)防火墻
傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看虛擬機內(nèi)的網(wǎng)絡(luò)通信,因而無法檢測或抑制源于同一主機上的虛擬機的攻擊。針對服務(wù)器虛擬化面臨的風(fēng)險,通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護系統(tǒng),減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對服務(wù)器防火墻策略進行集中式管理,阻止拒絕服務(wù)攻擊,實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離,構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護。
以透明方式在VMware vSphere虛擬機上實施安全策略,按照最小授權(quán)訪問的原則,細(xì)化訪問控制策略,嚴(yán)格限制訪問虛擬機宿主機和虛擬機的訪問IP 地址、協(xié)議和端口號,保障虛擬機在動態(tài)環(huán)境中的安全。
(2)防惡意軟件
為了確保虛擬化平臺及虛擬機的安全運行,必須部署必要的安全工具,在虛擬機上安裝網(wǎng)絡(luò)殺毒軟件和惡意代碼查殺程序,防止虛擬機遭受病毒及惡意代碼的侵襲,設(shè)置病毒和惡意代碼查殺策略。及時更新病毒庫和惡意代碼庫,保證病毒和惡意代碼及時被清除。
無安全模式以一臺物理機為管理單位,無需在每個虛擬機中部署安全防護程序,集中一臺虛擬安全服務(wù)器中部署運行,隨時在線升級和維護,分時掃描各應(yīng)用服務(wù)器虛擬機,對虛擬環(huán)境的性能不會造成顯著影響,從而避免了“防病毒風(fēng)暴”等現(xiàn)象。
(3)補丁程序更新
虛擬化平臺由于自身設(shè)計的缺陷,也存在安全隱患。要保證虛擬機的安全,必須及時為虛擬機進行漏洞修補和程序升級。即便如此,仍然存在安全隱患,原因在于虛擬機系統(tǒng)的補丁可能落后于更新,而且承載不同操作系統(tǒng)的虛擬機可能遲滯不同級別的補丁和更新。所以當(dāng)其他虛擬機受到保護時,這些還沒有更新補丁,容易受到安全威脅的機器就會影響其他虛擬機的安全。
4.系統(tǒng)層
安全測試與風(fēng)險評估。在部署信息系統(tǒng)前,對承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進行安全配置,并在系統(tǒng)正式上線運行前進行安全測試與風(fēng)險評估,對于發(fā)現(xiàn)的問題整改完成后再行上線,避免應(yīng)用系統(tǒng)帶病運行造成后期整改困難。
(1)部署漏洞掃描系統(tǒng)
如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。采用最新的漏洞掃描與檢測技術(shù),包括快速主機存活掃描技術(shù)、操作系統(tǒng)識別技術(shù)、智能化端口服務(wù)識別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險評估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用,快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間內(nèi)修復(fù)漏洞,最大限度地降低系統(tǒng)安全風(fēng)險,消除安全隱患。
(2)服務(wù)器加固系統(tǒng)
操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進行分散,使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力,實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務(wù)強制訪問控制、三權(quán)分立的管理、管理員登錄的強身份認(rèn)證、文件完整性監(jiān)測等功能,從而達到從根本上保障操作系統(tǒng)安全的目的。此外,內(nèi)核加固模塊穩(wěn)定的工作于操作系統(tǒng)下,提升系統(tǒng)的安全等級,為用戶構(gòu)造一個更加安全的操作系統(tǒng)平臺。
5.應(yīng)用層
(1)應(yīng)用服務(wù)區(qū)劃分
應(yīng)用服務(wù)區(qū)主要承載運行環(huán)境內(nèi)的應(yīng)用服務(wù)器,包括教育部應(yīng)用的oracle、weblogic等中間件服務(wù)器等。核心區(qū)通過獨立的防火墻設(shè)備接入應(yīng)用服務(wù)區(qū)。
根據(jù)應(yīng)用系統(tǒng)承載不同的應(yīng)用,實現(xiàn)不同的功能,不同的管理模式,不同的應(yīng)用系統(tǒng)劃分為不同的保護等級,應(yīng)用服務(wù)區(qū)分為教育部應(yīng)用區(qū)(三級)、廳主要應(yīng)用區(qū)(三級)、市縣應(yīng)用區(qū)(二級)。
(2)前置服務(wù)區(qū)
提供Web服務(wù)的服務(wù)器被放置在前置服務(wù)區(qū),主要運行網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。在前置服務(wù)器區(qū)邊界部署Web應(yīng)用防火墻,能夠滿足為前置服務(wù)器區(qū)邊界提供強制訪問控制能力以及能夠提供應(yīng)用層針對網(wǎng)站攻擊防護能力。事前,Web應(yīng)用防火墻提供Web應(yīng)用漏洞掃描功能,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當(dāng)前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風(fēng)險,維護網(wǎng)站的公信度。從而更有效地對廳網(wǎng)站進行全面的保護,有效降低安全風(fēng)險。通過部署Web應(yīng)用防火墻彌補防火墻、IPS在應(yīng)用層方面薄弱的防護能力。
6.數(shù)據(jù)層
(1)數(shù)據(jù)庫安全審計
數(shù)據(jù)庫服務(wù)區(qū)承載了運行環(huán)境下核心應(yīng)用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務(wù)器。在數(shù)據(jù)庫服務(wù)器區(qū)接入交換機旁路部署兩臺數(shù)據(jù)庫審計系統(tǒng),通過技術(shù)手段并結(jié)合管理制度,能夠確保數(shù)據(jù)庫服務(wù)器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全;能夠及時發(fā)現(xiàn)非法用戶以及黑客對數(shù)據(jù)庫錯誤操作和非法操作,并進行及時阻斷;能夠?qū)?shù)據(jù)庫查詢和修改等操作進行記錄,并能提供事后追溯;能夠檢測和分析數(shù)據(jù)庫應(yīng)用系統(tǒng)存在的BUG,并能提供相關(guān)報表信息;對所有數(shù)據(jù)庫操作可實現(xiàn)字段級的細(xì)粒度審計,便于數(shù)據(jù)庫管理。
(2)數(shù)據(jù)傳輸安全
保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面,在外網(wǎng)接入?yún)^(qū)邊界部署IPSECVPN實現(xiàn)在省級數(shù)據(jù)中心與教育部數(shù)據(jù)中心進行數(shù)據(jù)傳輸時,通過VPN技術(shù)措施進行傳輸加密,實現(xiàn)數(shù)據(jù)通信加密安全;另一方面,在前置服務(wù)器區(qū)部署SSLVPN實現(xiàn)在福建省教育廳數(shù)據(jù)中心服務(wù)器與外部出差、外部辦公人員應(yīng)用終端之間進行數(shù)據(jù)傳輸時,通過SSLVPN技術(shù)措施實現(xiàn)數(shù)據(jù)傳輸?shù)募用埽瑢崿F(xiàn)數(shù)據(jù)通信加密安全。
(3)數(shù)據(jù)容災(zāi)備份
備份是用戶保護計算機中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實現(xiàn)本地統(tǒng)一備份以及遠程數(shù)據(jù)復(fù)制歸檔的功能,并且在本地配備重復(fù)數(shù)據(jù)刪除功能,通過重刪后的數(shù)據(jù)進行遠程數(shù)據(jù)復(fù)制歸檔,從而降低數(shù)據(jù)的傳輸大小以及對傳輸帶寬的要求。實現(xiàn)省級教育數(shù)據(jù)中心的各類結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地數(shù)據(jù)備份,制定備份策略,備份服務(wù)器將自動進行數(shù)據(jù)的增量備份與全備份操作;實現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級容災(zāi),能夠在數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)以及其備份數(shù)據(jù)均產(chǎn)生問題時,通過容災(zāi)機房實現(xiàn)遠程歸檔備份的數(shù)據(jù)還原操作;實現(xiàn)教育數(shù)據(jù)中心關(guān)鍵系統(tǒng)的獨立部署以及本地數(shù)據(jù)備份,大大提高系統(tǒng)的數(shù)據(jù)安全性。
7.運維層
(1)安全運維管理平臺
安全運維管理平臺的主要監(jiān)控對象包括各省級教育數(shù)據(jù)中心所轄硬件設(shè)備(網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等)和應(yīng)用系統(tǒng),主要實現(xiàn)的功能包括:資產(chǎn)管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計、信息安全風(fēng)險管理、工單管理、通告管理及多級聯(lián)動等主要功能。
按照教育部安全運維管理平臺統(tǒng)一配置規(guī)范、統(tǒng)一接口標(biāo)準(zhǔn)建設(shè)省級安全運維管理平臺,一方面負(fù)責(zé)采集分析省級教育數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件的性能指標(biāo),實現(xiàn)省級數(shù)據(jù)中心基礎(chǔ)環(huán)境的業(yè)務(wù)可用性集中監(jiān)測與管理;另一方面收集匯總本級環(huán)境中的安全事件并進一步通過關(guān)聯(lián)分析實現(xiàn)對部署在本級的國家教育管理信息系統(tǒng)的整體安全運行態(tài)勢進行集中監(jiān)控、分析與管理。最終省級安全運維管理平臺通過IPSecVPN構(gòu)建的數(shù)據(jù)加密傳輸通道上報業(yè)務(wù)可用性運行狀態(tài)、重大信息安全風(fēng)險、重要信息安全事件及信息安全審計分析報告等數(shù)據(jù)信息至中央級安全運維管理平臺,實現(xiàn)對全國教育信安全事件的集中監(jiān)測、上報與響應(yīng)。
(2)應(yīng)用安全監(jiān)測與預(yù)警平臺
應(yīng)用安全監(jiān)測與預(yù)警平臺以應(yīng)用系統(tǒng)為對象,對應(yīng)用系統(tǒng)進行漏洞監(jiān)測、實時掛馬監(jiān)測、關(guān)鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測、安全告警與安全勢態(tài)跟蹤,實現(xiàn)對應(yīng)用系統(tǒng)的可用性、脆弱性和內(nèi)容安全性進行監(jiān)測、預(yù)警。
統(tǒng)一部署的應(yīng)用安全監(jiān)測預(yù)警管理平臺,實現(xiàn)對部署于數(shù)據(jù)中心的國家教育管理信息系統(tǒng)及自建系統(tǒng)進行應(yīng)用安全監(jiān)測與管理;并通過本平臺上報國家教育管理信息系統(tǒng)的重大安全風(fēng)險、重要安全事件及應(yīng)用系統(tǒng)安全審計分析報告等數(shù)據(jù)信息。
(3)安全運維審計
在運維管理區(qū)部署運維審計系統(tǒng),邏輯上將人與目標(biāo)設(shè)備分離,建立“人-〉主賬號(堡壘機用戶賬號)-〉授權(quán)―>從賬號(目標(biāo)設(shè)備賬號)的模式;在這種模式下,基于唯一身份標(biāo)識,通過集中管控安全策略的賬號管理、授權(quán)管理和審計,建立針對維護人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計管理,實現(xiàn)對各種運維加密/非加密、圖形操作協(xié)議的命令級審計。通過細(xì)粒度的安全管控策略,保證服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行,降低人為安全風(fēng)險,避免安全損失。堡壘機不僅能記錄操作痕跡,還能回放記錄,追溯責(zé)任,定位問題,運維審計結(jié)果能以各種報表形式展現(xiàn),滿足不同人員的需求。
四、結(jié)束語
安全運維是確保信息系統(tǒng)正常運行的必要環(huán)節(jié),也是信息系統(tǒng)生命周期中的一個長期工作。省級教育數(shù)據(jù)中心安全運維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺,通過分級和分域進行安全管理與保障,實現(xiàn)各個分域子網(wǎng)安全,實現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護,構(gòu)建安全管理中心,提供安全管理、安全監(jiān)控、安全審計、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段,保證數(shù)據(jù)中心計算環(huán)境安全,保證承載的國家教育管理公共服務(wù)平臺和本級各類教育管理信息系統(tǒng)的運行,最終形成“安全開放、等級保護、按需防御”的等級化安全保障體系,服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。
參考文獻:
[1]教育部教育管理信息中心.國家教育管理公共服務(wù)平臺省級數(shù)據(jù)中心建設(shè)指南(印發(fā)稿)[Z].2013.
[2]曾德華.省級數(shù)據(jù)中心建設(shè)目標(biāo)、內(nèi)容框架與實施管理[J].中國教育信息化,2013(13):8-9.
[3]安宏.國家教育管理信息系統(tǒng)信息安全保障體系建設(shè)[J].中國教育信息化,2013(13):16-19.
[4]鄧高峰,高四良,李玉龍.服務(wù)器虛擬化安全問題分析及防護措施[J].計算機安全,2014(8):30-32.
關(guān)鍵詞:云計算;服務(wù)器虛擬化;數(shù)據(jù)中心
DOIDOI:10.11907/rjdk.161896
中圖分類號:TP3-0
文獻標(biāo)識碼:A 文章編號文章編號:16727800(2016)011020602
0 引言
數(shù)據(jù)中心(DC)是企業(yè)或單位的智力支持部門,其重要性毋庸置疑。在傳統(tǒng)的數(shù)據(jù)中心,存放著大量服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備;一整套完備的制冷、消防、環(huán)境監(jiān)測、安防監(jiān)控等系統(tǒng),對整個企業(yè)的正常運轉(zhuǎn)發(fā)揮著重要作用。數(shù)據(jù)中心業(yè)務(wù)增長日益加快,對運維人才的要求也不斷提高。為保障系統(tǒng)正常運轉(zhuǎn),既要加大軟硬件設(shè)備投入力度,也要注重運維管理人才培養(yǎng)。傳統(tǒng)企業(yè)CTO因行業(yè)背景及所處地域或企業(yè)文化影響,面對這種變革,往往慢上半拍,當(dāng)其反應(yīng)過來已落后行業(yè)或主流社會一大截。服務(wù)器虛擬化技術(shù)的出現(xiàn)為解決眼前困局開辟了一條嶄新通道。
虛擬化由來已久,在早期的IBM 7044計算機上已有其應(yīng)用,之后IBM相繼開發(fā)了型號為Model 67的System/360主機。直至今天,在最新的IBM小型機POWER8系列主機上還能發(fā)現(xiàn)它的身影,可以說大型計算機、小型計算機與生俱來就擁有虛擬化技術(shù)。Model 67主機通過虛擬機監(jiān)視(Virtual Machine Monitor)虛擬所有的硬件接口,高效利用直接運行在底層的硬件部分,使得可以同時運行多個虛擬設(shè)備,進而進一步演化發(fā)展,通過虛擬機技術(shù),可以有效實現(xiàn)多個操作系統(tǒng)的同時使用;之后在RISC服務(wù)器與小型機上陸續(xù)開始采用虛擬化技術(shù)來提高計算機的使用頻率,盡可能發(fā)揮計算資源的計算能力。這種設(shè)計思想在今天看來是具有前瞻性和創(chuàng)新性的,也為虛擬化技術(shù)的實現(xiàn)奠定了堅實基礎(chǔ)。IBM在1999年提出的邏輯分區(qū)概念,直到發(fā)展成動態(tài)邏輯分區(qū)(DLPAR)技術(shù),在不中斷運行的情況下進行資源分配,使得系統(tǒng)管理更加輕松,更有效地利用資源,降低總成本。
在對傳統(tǒng)數(shù)據(jù)中心進行服務(wù)器虛擬化進而為云計算作升級準(zhǔn)備時,IT人員必須了解關(guān)于服務(wù)器虛擬化技術(shù)的基本概念及原理,特別是該技術(shù)存在的風(fēng)險。因此,有必要深入分析數(shù)據(jù)中心服務(wù)器虛擬化的優(yōu)勢及不足。
1 服務(wù)器虛擬化技術(shù)優(yōu)勢
(1)成本低。
成本降低是服務(wù)器虛擬化技術(shù)帶來的顯著效果。最常見的場景是硬件大量減少,比如服務(wù)器數(shù)量減少,通過成熟的服務(wù)器虛擬化技術(shù),將IT開銷縮減60%~80%是很平常的。服務(wù)器數(shù)量可能只需要原來的1/10。而原有的服務(wù)器變成虛擬服務(wù)器,從而減少了硬件。與此同時由于硬件的減少,為硬件提供保障的如制冷、消防設(shè)施、安保、環(huán)境監(jiān)控等多項設(shè)施需求也隨之降低,進而降低了整體IT成本。而在管理上對服務(wù)器的遷移、數(shù)據(jù)的備份、計算資源的擴展卻會更加靈活高效。
據(jù)谷歌公布的數(shù)據(jù)顯示,谷歌數(shù)據(jù)中心能源消費達到2.6億瓦特,這相當(dāng)于弗吉尼亞州首府里士滿或者加州歐文市家庭用戶的所有用電量,或者說,這相當(dāng)于一座標(biāo)準(zhǔn)核電站1/4的輸出功率。通過服務(wù)器虛擬化技術(shù)可以有效降低電能消耗實現(xiàn)“低碳”排放,進而朝著“綠色計算”這個方向邁進一步。
諸如此類的多種開銷的減少,最終會體現(xiàn)在經(jīng)濟效益上。設(shè)備的減少意味著更少的能耗開支,空間的減少意味著更少的租賃費用。所有這一切都說明虛擬化技術(shù)在成本控制上有更大優(yōu)勢,同時也為“綠色地球”作出貢獻。
(2)資源共享。
服務(wù)器虛擬化技術(shù)的運用,將一些硬件資源包括服務(wù)器、存儲空間、網(wǎng)絡(luò)全部都整合起來,可以高效地加以利用,提高資源利用率,減少資源浪費。利用虛擬化技術(shù)實現(xiàn)負(fù)載的動態(tài)優(yōu)化,動態(tài)優(yōu)化包含兩方面的內(nèi)容:由于應(yīng)用系統(tǒng)的負(fù)載是變化的,應(yīng)用虛擬化技術(shù)可以靈活地根據(jù)負(fù)載需求靈活調(diào)整服務(wù)器計算資源來提供服務(wù)。通過使用動態(tài)優(yōu)化算法就能夠充分利用未使用的計算能力和空間。
(3)可靠性高。
在傳統(tǒng)的IT架構(gòu)中,為提高可靠性通常是將整個系統(tǒng)置于商用集群環(huán)境中[1],金融、政府、電信等關(guān)鍵領(lǐng)域都應(yīng)用了這一場景。正因為這些應(yīng)用需求,造就了對IOE的依賴和制約,也對今天的“去IOE運動”起到了一定的推動作用。集群的使用盡可能地提高了系統(tǒng)可靠性,但是集群環(huán)境是昂貴的,其維護也非常困難。通過虛擬化方法能夠非常靈活地提高可靠性,它是在Hypervisor層次上進行保護,而不是在應(yīng)用層上,并且它能夠非常容易地去實現(xiàn)保護。比如虛擬化軟件自帶的HA工具集能夠簡單快捷地實現(xiàn)業(yè)務(wù)需求,同時兼顧了靈活的擴展性,使得服務(wù)器的可靠性得以提高,相應(yīng)軟件的可靠性也相應(yīng)得以提高。
(4)靈活性強。
在傳統(tǒng)的IT環(huán)境中,應(yīng)用系統(tǒng)的增加、升級、維護等工作,需要對OS和軟件進行安裝或維護。這項工作需要大量的時間和精力,通過虛擬化技術(shù)能夠簡單靈活地快速完成,不需要考慮準(zhǔn)備新的硬件設(shè)備,只需要在資源池中給應(yīng)用系統(tǒng)增加或修改業(yè)務(wù)系統(tǒng)所需要的計算資源即可。
2 服務(wù)器虛擬化技術(shù)不足
隨著技術(shù)的飛速發(fā)展及海量數(shù)據(jù)的激增,服務(wù)器虛擬化技術(shù)以其獨特優(yōu)勢在各數(shù)據(jù)中心正在替代傳統(tǒng)的、龐大的服務(wù)器系統(tǒng)。服務(wù)器虛擬化技術(shù)的擴展性、靈活性、環(huán)保性備受人們青睞,但其也具有兩面性,因此帶來了不少問題。
(1)物理故障危害大。
在傳統(tǒng)IT架構(gòu)中,如果一臺服務(wù)器出現(xiàn)硬件故障導(dǎo)致其不能正常工作,通常啟用備用服務(wù)器就能使業(yè)務(wù)在較短時間內(nèi)恢復(fù),而不會影響部署在其它服務(wù)器上的服務(wù)。但是在虛擬化環(huán)境中,如果出現(xiàn)硬件故障,就意味著所有部署在該物理機上的所有服務(wù)都將因此故障而不能提供服務(wù)。在這種環(huán)境中,硬件故障帶來的危害更大。
(2)應(yīng)用場景局限性。服務(wù)器虛擬化技術(shù)并不是萬能的,在傳統(tǒng)的X86架構(gòu)中通過虛擬化的方法,將廉價服務(wù)器組合成一個集群,盡可能發(fā)揮服務(wù)器的效率,降低IT成本。然而在一些非常高端的應(yīng)用中,它對服務(wù)器計算資源的消耗極大,需要頻繁訪問內(nèi)存和硬盤。對于這樣的高端應(yīng)用,應(yīng)該將其放到真正的物理機中運行而不是虛擬環(huán)境中,只有這樣才能更好地保障應(yīng)用的實現(xiàn)。
(3)排錯過程更復(fù)雜。現(xiàn)有成熟的服務(wù)器虛擬化商用解決方案中,一旦出現(xiàn)故障或錯誤將給IT管理人員帶來較大風(fēng)險,這種風(fēng)險不僅僅存在于故障本身,同時也體現(xiàn)在排除這種故障或錯誤所需要的成本上。其中復(fù)雜的排錯過程和專業(yè)的技術(shù)要求都會給每個管理者帶來困擾。
3 主流服務(wù)器虛擬化產(chǎn)品
3.1 VMware虛擬化技術(shù)
VMware虛擬化[2]將操作系統(tǒng)從運行它的底層硬件中抽離出來,并為操作系統(tǒng)及其應(yīng)用程序提供標(biāo)準(zhǔn)化的虛擬硬件,從而使得多臺虛擬機能夠在一臺或者多臺共享處理器上同時獨立運行。借助虛擬化技術(shù),客戶可以輕松將多臺不同服務(wù)器的工作負(fù)載整合到更為可靠并且性能更高的平臺上。VMware虛擬化技術(shù)在服務(wù)器虛擬化領(lǐng)域可以說是首屈一指,有大量用戶采用其服務(wù)器虛擬化產(chǎn)品。
3.2 微軟虛擬化技術(shù)
微軟具有全面而靈活的端到端的解決方案,其投入不僅僅局限于服務(wù)器虛擬化,通過System Center實現(xiàn)整合和管理,在客戶中進行廣泛的推廣與部署。虛擬化技術(shù)的關(guān)鍵在于普及化,微軟有很好的平臺,有助于推動該技術(shù)的普及化。
3.3 Citrix虛擬化技術(shù)
Citrix Systems技術(shù)[34]使得數(shù)字辦公無處不在,極大提高了工作效率。通過與世界一流業(yè)界伙伴攜手合作,Citrix解決方案為企業(yè)級用戶實現(xiàn)應(yīng)用、遠程訪問、移動辦公以及業(yè)務(wù)一致性等卓越功能,極大提升了企業(yè)的IT投資回報和生產(chǎn)效率。它擁有開源的服務(wù)器虛擬化平臺XEN,但其主要優(yōu)勢在于桌面虛擬化業(yè)務(wù)。
4 結(jié)語
隨著虛擬化、云計算技術(shù)的快速發(fā)展,越來越多的應(yīng)用和業(yè)務(wù)都承載于這些新技術(shù)之上。傳統(tǒng)數(shù)據(jù)中心的技術(shù)變革勢不可擋,在此背景下選擇適合自己的服務(wù)器虛擬化技術(shù)是每一個IT技術(shù)管理者必須思考的問題。本文對主流服務(wù)器虛擬化技術(shù)進行了詳盡闡述,并對傳統(tǒng)數(shù)據(jù)中心技術(shù)變革的若干問題進行深入研究,同時總結(jié)了服務(wù)器虛擬化技術(shù)的優(yōu)勢與不足。虛擬化是大勢所趨,企業(yè)應(yīng)當(dāng)從自己的實際情況出發(fā),綜合考慮虛擬化帶來的各種影響,找到適合自己的模式。
參考文獻:
[1] LEANDRO CARVALHO.HyperV 3.X虛擬化技術(shù)企業(yè)現(xiàn)場實戰(zhàn)[M].臺灣:胡為君,譯.峰資訊,2013.
[2] [法]ERIC MAILL,RENFRANOIS MENNEC,馬博峰.VMware虛擬化技術(shù)指南[M].北京:機械工業(yè)出版社,2013.
