時間:2023-05-30 10:18:36
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇服務器維保服務,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:網絡基礎設施;網絡管理;基于角色的訪問控制;ITIL
1 概述
隨著國家教育戰略和社會的發展,四川廣播電視大學(以下簡稱“四川電大”)的信息化建設已經進入了一個新的時代。隨著信息化建設工作的推進,四川電大購入越來越多的網絡基礎設施,如何使用、管理和運維好這些網絡基礎設施,成為了一個亟待解決的課題。
近幾年,四川電大在網絡基礎設施方面投入了大量資金,校園網絡基礎設施得到加強,中心機房達到一定規模。截止2016年8月,校園網已實現中心機房萬兆雙鏈路核心,千兆網絡到桌面,出口帶寬達400兆,并新部署和改造了920個有線網絡接入點,新布設光纜達8公里,實現了弱電線路全部下地。校本部部署有128個無線AP,實現了主要辦公場所的無線網絡覆蓋,并實現了有線和無線接入的統一認證。中心機房實現了規劃、科學的功能區劃分,已有100余臺服務器、3套網絡存儲設備、2臺核心交換機、2臺高性能防火墻、2臺網絡行為管理、2臺負載均衡的規模。新建設的服務器虛擬化系統,也已于2016年初投入運行。
數量繁多的網絡基礎設施的新增,對我校網絡管理運維人員帶來了新的挑戰。結合工作中的實際情況,我們發現以往傳統的通過Excel表格統計各類網絡基礎設施的相關數據,再使用紙質筆記本記錄設備相關維護保修信息的手工式管理辦法,已經不能對現有的設備進行有效的管理。經過多次討論,我們認為有必要對現有的網絡基礎設施數據進行有效整合,包括:設備的硬件參數、軟件運行情況、IP的地址的分配、域名的分配、過往的運維情況、存放的位置等。因此,建立一個網絡基礎設施管理系統勢在必行。在數據整合的基礎上,通過數據和設備之間的關聯性分析,使網絡管理人員在工作過程中有據可循,提升管理的高效性和精確度,進而實現對現有設備的最優化使用、管理和運維。
眾多學者對網絡基礎設施管理系統的建設模式進行了研究。興嘎[1]在2011年就撰文介紹了智能基礎設施管理系統的相關概念,并對其進行了技術經濟分析。汲汾[2]在其碩士答辯論文中則詳細闡述了云計算環境下基礎設施管理系統的總體設計框架與實現思路。王玨、邱雪松[3]又對系統中核心的適配器技術進行了重點研究。上述研究成果都對四川廣播電視大學網絡基礎設施管理系統的設計和應用提供了有益的指導和幫助。
2 系統功能
從使用功能來看,該系統分為三個部分:其一是基礎設施的管理,對設備的相關信息進行添加、編輯、刪除;其二是數據統計,對導入系統的數據進行統計;其三是系統管理,對系統的設備、用戶、角色、功能節點進行管理。
2.1 基礎設施管理模塊
基礎設施管理又分為五個小模塊,分別是:服務器管理、交換機管理、域名管理、公網IP管理、維保管理。
服務器管理整合了:管理員、設備編號、用途、設備型號、存放地址、過保時間、服務器序列號、操作系統、CPU信息、內存條信息、硬盤信息、分配IP地址、服務器上的虛擬機以及維保記錄。
交Q機管理整合了:管理員、設備編號、設備類型、設備型號、存放地址、過保時間、端口信息、管理地址、維保記錄。
域名管理整合了:域名、公網IP、域名用途、到期時間、安全等級、等保時間、ISP、DNS解析、管理員、備案號、狀態。
公網IP管理整合了:公網IP、公網端口、內網IP、內網端口、狀態。
維保管理整合了:管理員、設備編號、設備類別、關鍵字、維保描述、維保公司、維保時間。
基礎設施管理模塊能對設備的上述信息進行刪除、修改和添加。
2.2 數據統計模塊
數據統計又分為四個小模塊:服務器統計、交換機統計、域名統計、IP地址統計。
此模塊能將管理模塊所錄入的數據進行統計,以柱狀圖、餅圖、折線圖、熱力圖等形式展現,或以Excel表格的形式導出。
2.3 系統管理模塊
系統管理模塊又分為四個小模塊:設備管理、用戶管理、角色管理、節點管理。
設備管理模塊,管理此系統中的所有設備信息。
用戶管理模塊,管理用戶的增加、刪除和編輯。
角色管理模塊,定義用戶角色,定義什么樣的角色有什么樣的權限。
3 權限設計
考慮到系統中管理的網絡基礎設施對四川電大整個網絡環境的安全管理工作至關重要,所以課題組對系統的權限管理部分進行了重點設計,以最大限度地保障信息的安全可控。
系統以RBAC[4](Role-Based Access Control,基于角色的訪問控制)為模型來構建。在RBAC中,權限與角色相關聯,用戶根據其職能職責被分配到指定的角色,從而獲得角色所具備的所有權限。權限可以根據需要很方便地向角色授予或從角色回收,角色與角色之間還可以建立關聯或繼承的關系以覆蓋更多現實中的客觀情況,這在很大程度上簡化了權限管理的工作。
用戶Help_user與角色Help_role通過映射表Help_user_role關聯,角色Help_role與權限Help_node通過映射表Help_access關聯,就是RBAC最簡易模型,基于角色的權限模型。
【關鍵詞】桌面云虛擬化刀片服務器
一、信息技術的發展加速刀片服務器應用
回顧互聯網資源配置的變遷過程,最早的服務器出現在網絡的客戶端/服務器(C/S)結構中,客戶端和服務器共同分擔處理任務。后來客戶端進一步變瘦,通過瀏覽器直接接入應用,即瀏覽器/服務器(B/S)結構。隨著互聯網應用的增多,多數機構、各個部門都架設了自己的服務器,導致服務器種類和數量出現井噴,如郵件服務器、數據服務器、安全服務器和視頻服務器等等。大量服務器運營和維護的負擔,以及高能耗又促使新型服務器的誕生。以減輕機構自身維護服務器的成本。
所謂刀片服務器(準確的說應叫做刀片式服務器blade server)是指在標準高度的機架式機箱內可插裝多個卡式的服務器單元,實現高可用和高密度。每一塊“刀片”實際上就是一塊系統主板。它們可以通過“板載”硬盤啟動自己的操作系統,如Windows NT/2000、Linux等,類似于一個個獨立的服務器,在這種模式下,每一塊母板運行自己的系統,服務于指定的不同用戶群,相互之間沒有關聯。由于每塊“刀片”都是熱插拔的,所以,系統可以輕松地進行替換,并且將維護時間減少。這些刀片服務器在設計之初都具有低功耗、空間小、單機售價低等特點,這些設計滿足了密集計算環境對服務器性能的需求.而從外表看,與傳統的機架式服務器/塔式服務器相比,刀片服務器能夠最大限度地節約服務器的使用空間和費用,并為用戶提供靈活、便捷的擴展升級手段。與相同計算能力的常規服務器相比,刀片式服務器可降低30%左右的能耗。
二、桌面云構建靈活高效企業辦公平臺
傳統桌面PC作為企業IT中的最普遍也是最重要的辦公設備,由于PC是一套獨立的系統,主要由使用者自行控制,難以集中管理與維護。在企業運轉中,越來越暴露出其弊端和不便,面臨著如下關鍵挑戰:信息易泄露,系統安全性低;管理難,維護煩,效率低;資源利用率低下,系統疊加復雜度高,投資收益率低;高能耗、高排放、運行成本高,企業、社會效益難提高。企業必須尋找一種靈活的基礎架構,來解決IT供需矛盾和企業信息安全問題。桌面云正是這樣一個最佳的云計算實踐,采用最新的云計算的技術和理念,引領著IT基礎架構的變革和創新。
桌面云解決方案是端到端一體化虛擬桌面解決方案。它是將桌面計算機的計算和存儲資源(包括CPU、硬盤、內存)集中部署在數據中心機房,通過虛擬化技術將物理資源轉化為虛擬資源;企業根據用戶的需求將虛擬資源集成為不同規格的虛擬機,向用戶提供虛擬桌面服務。
桌面云系統大大提升了資源的利用率,節省了資金投入。
降低了能耗需求,支持環保。傳統PC的功耗一般在200W以上,而桌面云系統平攤到每臺虛擬機的功耗一般為35W左右。考慮到桌面云系統的連續運行,在采用節能技術后,桌面云每臺虛擬機仍然可以節約70%以上的功耗。
簡化了IT管理。統一的運維平臺,使得桌面云可以快速發放業務、集中管理辦公系統的各類軟件,相對于傳統的PC辦公系統,桌面云的運維效率提升10倍以上。
三、刀片服務器構建IT虛擬化辦公新平臺
公司現有的刀片服務器E6000采用8U/10刀片架構,單框最大支持40個CPU,其超強的計算能力完全滿足公司現有業務應用對計算能力的要求。在E6000上可以非常流暢的運行VMware的虛擬化軟件。通過VMware,服務器物理資源被虛擬成多個虛擬機,提升系統資源利用率,減少物理設備數,降低系統復雜度。
P鍵詞:醫院信息系統;三級等保;信息安全
1 引言
隨著網絡與信息技術的發展,尤其是互聯網的廣泛普及和應用,網絡正深刻影響并改變著人類的生活和工作方式。越來越多的醫院建立了依賴于網絡的業務信息系統,比如HIS、OA、財務系統等等,它們提供了日常辦公所需的業務,便利了工作。互聯網對社會各行各業產生了巨大深遠的影響,與此同時,信息安全的重要性也在不斷提升。
醫院信息系統是醫院實現辦公電子化、網絡化、無紙化的重要平臺,同時也是開展日常工作的重要平臺。然而,近年來,隨著網絡信息安全的快速發展,安全威脅正在飛速增長,尤其混合威脅的風險,如黑客惡意攻擊、蠕蟲病毒、木馬等,有可能會給醫院的信息網絡和核心系統造成嚴重的破壞。所以,建設一個全面、安全的信息系統已刻不容緩。
2 系統現狀安全分析
醫院信息系統現狀拓撲圖如上圖1所示,從整個網絡拓撲圖可以看出,現階段醫院主要有兩個網絡出口,包括連接醫保專網及連接互聯網,互聯網區域主要提供給外端用戶通過VPN連接接入到內部服務器。在安全防護方面,除了在醫保專網的出口邊界區域部署有防火墻外,其他地方都沒有部署有相應的安全防護措施,主要表現在以下幾點:
1)網絡出口邊界區域缺少相應的入侵防護系統,無法對來自外部的蠕蟲、木馬、病毒、惡意軟件及僵尸網絡進行安全防護;
2)在互聯網邊界區域缺乏相應的防病毒系統,無法對來自互聯網的惡意代碼攻擊、病毒等進行檢測和攔截;
3)在內部網絡中缺乏相應的安全審計系統,無法對內部的網絡行為、服務器訪問操作行為等進行審計和日志記錄;
4)在Web類服務器前端缺少相應的Web安全防護設備,無法對針對Web服務器的SQL注入、跨站腳本(XSS)、跨站偽造攻擊等進行安全防護,同時缺乏相應的網頁防篡改系統;
網絡內部缺乏漏洞掃描設備,無法對內部服務器系統進行漏洞掃描及漏洞管理;
5)在內部網絡缺乏相應的運維審計系統,無法針對內部服務器、數據庫、網絡設備及安全設備進行統一的安全運維;內部重要服務器上沒有安裝防病毒系統,無法對服務器進行安全防護,容易遭受病毒的攻擊。
3 建設思路
3.1 建設方法
信息安全體系框架是實施安全建設的靈魂和核心,它提供了構建和管理信息系統安全性的理論指南、流程、工具和指標。定義了全面風險管理和安全措施部署的設計路線和方針。使信息系統安全建設在標準化和完備的設計依據中進行,使建設過程具體而可控。從而維護信息價值從輸入端至輸出端的可信性和可控性;形成完備的事前監控預警、事中防御控制、事后審查追溯的防護機制。呈現持續改進的安全運行管理閉環。
醫院信息系統的信息安全建設會同時依據國家/行業政策標準的指導,因而需要結合現實的業務特點與管理情況,構建各類別各層面信息系統的差異化、本地化保護能力,并通過制訂運行管理策略,形成面向當前安全措施及關鍵系統的運行配置、未知風險的預警與控制情況。
適度化的安全建設思想能夠將上述的方法論貫穿于信息資產的運行周期中,使各階段、各層面的安全機制相互補足而形成體系,避免了安全建設的重復實施和過度投資。
3.2 方案效果
在等級保護要求中,醫院信息系統安全提出網絡訪問控制、網絡入侵防護、惡意代碼防范(防病毒)、安全審計、漏洞管理、運維審計、安全集中管理等需求。本次信息系統安全建設需要完成以下目標:
1)邊界安全防護
在醫院專網互聯區邊界處部署防火墻,對內部服務器進行基礎安全防護,實現邊界的網絡安全訪問控制,保證服務器的安全。(利舊)
2)惡意代碼防護
在醫院互聯網邊界處部署綠盟NF防病毒系統(NF),對來自外網的病毒文件進行安全攔截,保證內部服務器的安全,實現內部網絡的惡意代碼防護。
3)網絡入侵防護
在醫院服務器前端部署綠盟入侵防護系統(NIPS),對來自外網、專網及內部用戶的木馬、病毒、蠕蟲以及各類網絡攻擊行為等進行攔截,保證內部服務器的安全。
4)Web安全防護
在服務器區如果部署有Web類服務器系統(OA辦公系統等),需要在服務器前段部署Web應用防護系統(WAF),對來自互聯網的針對Web應用的攻擊進行安全防護,如SQL注入、跨站腳本、惡意掃描等攻擊進行阻斷防護,同時,在服務器上部署防篡改軟件系統,對文件進行 安全保護。
5)安全審計系統
在醫院核心交換機處旁路部署安全審計系統(SAS),通過網絡數據的采集、分析、識別,實時動態監測通信內容、網絡行為和網絡流量,發現和捕獲各種敏感信息、違規網絡行為,實時報警響應,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位,做到出現問題時有源可溯。
6)運維安全管理
在運維管理區部署安全運維堡壘主機(SAS-H),對日常所有網絡設備以及服務器等的運維進行詳細的記錄,保障系統運維的安全性。
7)系統安全管理
在醫院運維區處部署漏洞掃描系統,可以利用漏洞掃描系統對網絡中的系統、網絡設備等進行掃描,第一時間主動對網絡中的資產進行細致深入的漏洞檢測、分析,并給出專業、有效的漏洞防護建議,讓攻擊者無機可乘。
在醫院內部服務器及主機部署防病毒軟件,可以有效地對內部終端和服務器等進行病毒防護,保證系統不會因為受病毒感染而造成系統宕機、數據受損等嚴重事件。
8)集中安全管理
在運維管理區部署安全管理平臺(ESPC),對所有的安全設備進行統一管理,實現整個信息系統安全狀態的在線分析、在線監控、在管理,提高安全管理效率。
3.3 項目效益
安全技術設施足以保障系統的核心區域,關鍵信息安全管理制度初步形成,并借助外力形成一定的安全支撐能力,整體信息系統安全和穩定得到保證。
通過完善安全運維管理支撐體系,保證運維的安全、穩定,使得醫院信息系統自身具有較高的安全運維能力。
信息系統符合三級等保標準關鍵要點的要求,確保信息系統通過等級保護測評(覆蓋等級保護基本80%以上要素,整個信息系統基本符合等級保護要求)。
4 總結
信息安全沒有絕對性,從技術復雜度來說,單一防護模式很容易被突破,只有實施多層防護,才能消除單點隱患。通過建立“一個中心下的三重防護體系”才能增加突破難度,降低安全風險;做到全可達、全可控、全可查。層層防護旨在實現非法破壞“進不來”,即使進來也“拿不走”,即使拿走也“讀不懂”,即使有惡意行為也“跑不了”。
醫院信息系統的安全管理是一個不斷變化的管理過程,隨著時間的推移,管理理念、信息技術以及醫院信息化程度的不斷變化,醫院信息系統安全管理的發展思路也應該要與時俱進的不斷變化,要根據階段性的信息安全目標不斷的對安全管理體系加以校驗和調整,以保證醫院信息安全管理體系始終適應和滿足實際情況的發展需要,只有做到這樣的管理模式,才能夠建設更健康的、合理的、有效地使醫院信息系統更安全。
參考文獻:
[1] 迪普科技助力新疆醫療系統[J]. 數字通信世界,2014(4).
關鍵詞:云膠片;互聯網+醫學影像;互聯網+醫療
目前國內大多數醫院,給病人的影像檢查結果大都還是物理膠片,由于物理膠片與原始的DICOM影像相比沒有可操作性,不利于醫生對病情的判斷,往往病人重新拍片。目前放射科的放射設備均已經接入PACS系統,實現了DICOM上傳,可直接通過手機終端掃描影像報告單上的二維碼,查詢其影像報告并調閱到電子膠片圖像,極大地提高了醫療效率和改善了醫療服務質量。
1云膠片系統架構設計
1.1搭建院內云膠片服務器
為了能及時、快速地把患者的檢查報告和影像資料同步到外網云膠片服務器,在內網搭建了一個對應的云膠片服務器作為中轉站,將云膠片數據實時推送至外網云膠片服務器,并且云膠片數據推送不會對院內影像系統的數據產生影響。定時將院內影像系統新增的檢查數據同步到內網云膠片服務器的數據庫中,再由內網云膠片服務器,定時向外網云膠片服務器推送檢查記錄和影像數據。
1.2內外網數據交互
醫院信息網絡是所有網絡中安全性要求較高的網絡之一,因此醫院網絡系統由2部分構成:一是用于日常醫療信息交換的業務網,俗稱內網;二是可以及時獲取Internet信息資源的辦公網,俗稱外網。醫院內網是保障醫院業務開展的平臺,為了有效保障其安全,醫院進行了嚴格的內、外網隔離,這2套網絡互不通訊。內網相對安全,對保證醫院業務系統的安全穩定的運行起到積極作用,需要建立內外網數據交互區來解決內、外網隔離的問題;搭建一個中轉服務器,用于內外網之間的數據交互,院內云膠片服務器先將膠片影像數據推送至內外網數據交互區,再由數據交互區,將數據推送至外網云膠片服務器。
1.3外網數據傳輸
患者通過云膠片查看檢查影像資料時,是直接訪問外網的云膠片服務器的,而外網云膠片服務器接收到請求后直接返回相應的影像資料信息,不會經過醫院的內網,保證了內網數據安全的同時,又提升了數據交互的效率。
2云膠片系統應用
2.1線下檢查報告自助打印
檢查報告和膠片發放傳統的操作過程非常繁瑣,云膠片上線后,報告可在自助機上打印且不發放物理膠片。佛山市中醫院CT和MR登記處外各安裝了2臺自助報告打印機,患者可以到登記處自行打印紙質報告,登記人員不需要整理報告和膠片發放給病人,大大減少了檢查科室登記人員的工作量,對于患者來說,能節省排隊取報告的時間,就大大縮短診時間。佛山市中醫院作為全國規模較大、以骨傷科著稱的大型三甲醫院,2020年云膠片報告數為107467份,使用云膠片后,節省了大量的膠片耗材,有利于環保。
2.2線上查看報告和影像
云膠片“線上領取,醫患共享”(見圖1)。云膠片平臺全面實現了傳統膠片及報告的電子化應用,并能在第一時間反饋給患者及管轄醫生,患者無需到院,直接通過手機查看自己的檢查結果和完整的影像資料,避免現場排隊。患者關注醫院微信公眾號并綁定就診卡或住院號后,醫院會推送檢查報告結果消息,患者點開檢查報告結果消息鏈接就可以實現在手機上查看全部原始影像資料和文字報告。避免了患者多次往返醫院排隊領取紙質報告和傳統膠片的情況。患者還可以通過微信等方式分享云膠片二維碼給醫生,醫生掃描患者分享的二維碼就可以在線查看到患者的影像資料和檢查報告。
2.3手術室電子閱片器
佛山市中醫院的20個手術室都有安裝云膠片電子閱片器,通過手工錄入患者信息或者掃描檢查報告上的二維碼來查看手術患者的檢查報告和檢查圖像,不需要跑到電腦前使用臨床影像查詢系統進行查看,而且電子閱片器是觸屏的,方便醫生操作,可以對圖像做三維重建(見圖2)。
2.4線上檢查結果通知
當檢查診斷醫師提交保存檢查報告后,會通過微信公眾號、支付寶生活號或者以短信的形式推送消息到患者手機上,患者點開消息就可以使用云膠片查看檢查報告結果和影像資料,而且可以對影像進行縮放、移動、三維重建等操作,減少到醫院的次數,患者無需在院排隊等待打印報告,檢查完就可以離開醫院,減少檢查時間。
2.5實現放射檢查信息共享
由于開啟了電子化服務,患者可以通過移動終端隨時找到合適的醫生問診和會診,醫院之間的共享互認變得可能;就診方便,不用攜帶厚重的膠片看診,只需帶上手機或者平板;云膠片避免重復檢查,節省醫療費用,滿足人民群眾多元化健康服務需求。
2.6優化檢查流程
常規膠片服務模式下,患者需要按照流程進行開具檢查單、預約、繳費、排隊檢查、排隊領取結果等一系列步驟,導致患者就診時間較長,工作效率低下的同時還會對患者的治療時機造成一定的影響,加劇患者與醫院之間的關系。患者完成檢查后,需要到登記處外等候領取報告和膠片,診斷醫生提交報告后還需要文員打印紙質報告和物理膠片,然后呼叫患者到登記處取報告,有時離院后還要再返回醫院取報告,多次往返醫院耗費時間和費用。有了云膠片,患者完成檢查就可以離開醫院,不需要等待領取紙質報告和物理膠片,只需要通過醫院微信公眾號及時了解報告情況并查看結果,減少患者就診時間,提高患者就診滿意度。綜上研究,“互聯網+醫療”是互聯網在醫療行業的新應用,云膠片使患者可通過手機查看檢查影像資料和電子報告,從而減少患者在院檢查時間;云膠片在患者轉診時可進行分享調閱。云膠片技術替代物理膠片是大勢所趨,“互聯網+醫學影像”的深度融合,能夠減輕患者負擔,優化就醫流程,提升患者的就醫體驗和改善醫療服務的質量。
參考文獻
[1]邱晨飛.“互聯網+醫療”新應用——暨我院全面啟用云膠片[J].計算機產品與流通,2018(6):278.
[2]柏志安,楊郁青,徐彥棟.基于HIE技術的集團醫院影像云平臺設計方案[J].中國數字醫學,2017,12(6):88-90.
關鍵詞:虛擬化技術;虛擬服務器;虛擬化架構系統;中心機房
中圖分類號:TP308文獻標識碼:A文章編號:1009-3044(2011)18-4308-02
1 傳統的中心機房管理模式
隨著社會的急遽發展,網絡平臺越來越彰顯出其不可或缺的重要地位。新功能不斷拓展,各種應用軟件借助網絡平臺相繼實施,豐富的應用給提供運行服務的中心機房提出了更高要求。
由于各應用軟件彼此間操作系統的版本、開發的平臺和具體的應用都有著很大不同,為避免應用軟件交叉引起的軟故障,在傳統的中心機房管理模式中,往往給新增加的應用系統單獨配置服務器,即用一臺服務器部署一種應用軟件。這勢必導致服務器數量直線上升、維護量迅猛增加。毋庸諱言,隨著數字技術的普及與深化,傳統的中心機房管理模式已呈掣肘之勢。具體有:
1)隨著服務器數量的增加,服務器購置成本也相應增高;
2)新應用系統方案的實施包括了采購新服務器、安裝OS系統和應用軟件等一系列工作流程,全程耗時較長;
3)有的應用軟件運行時只占用很少的系統資源,對應服務器的硬件資源大半處于閑置,得不到充分利用;
4)在對服務器硬件進行擴容時,其對應的軟件業務系統將被迫中斷;
5)當服務器系統出現故障時,服務器的修復工作,如恢復OS系統、應用軟件、業務數據等,時間將長達數十小時;
6)當服務器出現硬件故障時,因維保廠商提供并更換配件的周期難以控制,造成應用系統的完全中斷,嚴重影響了業務的開展;
7)容災可避免相關業務因服務器故障而隨之中斷,但是,容災需要雙機熱備,所需資金量翻番;
8)服務器的增加帶來中心機房網絡節點的增加,故障節點也與之同比增加;
9)服務器的增加帶來服務器維護成本的增加,尤其是過保服務器的維保費用,所需不菲;
10)在人員配置不變的基礎上,應用系統和服務器數量的增加,將帶來中心機房工作人員工作量的增加和工作效率的降低。
這些亟待解決的問題使中心機房應對的環境變得日益復雜。服務器購置成本、硬件維護成本、軟件管理成本呈線性增長,服務器運行能耗及空調等機房附加能耗也急劇增加,原有的機房運行能力已經難以滿足現有的運行需求,整個中心機房處于超負荷運行的混亂狀態。顯而易見,傳統的中心機房管理模式已經跟不上時展的要求,對中心機房管理模式的變革勢在必行。在當下,采用虛擬化技術,打造虛擬化技術下的中心機房管理模式,應該是解決這一系列問題的捷徑。
2 虛擬化技術下的中心機房管理模式
隨著計算機硬件的不斷發展,特別是多核CPU的出現和內存、總線架構的革新,使得虛擬化技術得到飛速發展。在一臺高性能多核服務器上創建多個虛擬機,可以完成傳統方式下多臺物理服務器才能完成的工作。
2.1 虛擬化架構系統
一套完整的中心機房虛擬化架構系統由若干個物理服務器上安裝的虛擬化主機程序、一個數據存儲系統、一個集中管理平臺三部分組成。
2.1.1 虛擬化主機程序
虛擬化主機程序是整個虛擬化架構系統的基礎組成,也是核心部分。它是一個功能強大的虛擬層,采用基于底層硬件系統的軟件技術,直接安裝在每一臺物理服務器的裸機上,其上再創建虛擬服務器。多臺虛擬服務器運行在一臺物理服務器上,這徹底顛覆了為多個應用系統配置多臺物理服務器的傳統模式。
虛擬化主機程序負責分配硬件資源給各個虛擬服務器,根據不同應用將物理服務器上的處理器、內存、存儲器和網絡資源按需求劃分到各個虛擬服務器中。每個虛擬服務器之間關系就如同放置在中心機房中的物理服務器一樣,相對獨立、互不影響。對于使用者來說,虛擬服務器和物理服務器也沒有太大區別:在虛擬服務器上安裝配置Windows或Linux操作系統,系統安裝完成后再安裝相關應用軟件;單個虛擬服務器也能夠同時使用多個CPU,來支持諸如SQL數據庫、Exchange Server等需要強勁處理能力和巨大硬件資源的應用系統;虛擬化主機程序中還設有虛擬交換機功能,可以將虛擬服務器劃分到不同的網絡環境中。虛擬服務器的安裝方法、實際性能與物理服務器完全相同,具有良好的操控性。
與傳統的物理服務器相比,虛擬服務器可以針對不同應用系統分配不同的硬件資源,做到物盡其用。通常說來,中心機房同一批次采購的物理服務器配置差別不大。但是,不同應用軟件對服務器配置的要求卻并不一樣,如DNS服務只需要一個很低配置的服務器就能夠運行良好,而像SQL數據庫這樣高訪問率、高吞吐量的應用軟件則需要高配置的服務器才能保證其穩定運行。這就意味著一些配置要求不高的應用軟件同樣也占用了一臺高配置的物理服務器,造成應用硬件資源的大量浪費。物理服務器之間彼此獨立,即便其他服務器應用硬件資源嚴重緊張,那些閑置的資源也無法調配給它們使用。采用虛擬化架構系統后,虛擬化主機程序可以通過創建資源池為虛擬服務器在運行過程中實時調配硬件資源。若有虛擬服務器出現現時段硬件資源不足的情況時,可以借用一臺或多臺非滿負荷運行的虛擬服務器閑置資源,在線進行重新分配;待應用運行壓力降低后,再將暫借的資源歸還給相應的虛擬服務器,從而最大限度地提高這些虛擬服務器所在那臺物理服務器硬件資源的利用率。根據測試,傳統的物理服務器應用方式,服務器硬件資源的平均利用率只有5%―15%;而采用虛擬化架構系統整合、調配后,服務器硬件資源的平均利用率可以達到60%―80%。
2.1.2 數據存儲系統
虛擬化架構系統中的虛擬服務器實際上由磁盤文件和配置文件組成,這些虛擬機文件存放在數據存儲系統中的虛擬存儲空間內。數據存儲系統的創建又有本地存儲或共享存儲兩種類型。
本地存儲直接建立在安裝虛擬化主機程序的物理服務器上,由虛擬化服務器所配置的硬盤容量決定虛擬化存儲的空間大小。采用本地存儲方式,初期投入成本較低、結構簡單,但擴展性和功能性不夠理想。
共享存儲需要借助專用的共享存儲設備,如SAN、ISCSI、NFS等。共享存儲設備和中心機房多臺安裝虛擬化主機程序的物理服務器建立連接后,便實現了共享存儲。在共享存儲設備上創建的虛擬存儲系統空間具有共享訪問的功能,同一時間多臺建立連接的服務器均可以同時訪問。共享存儲降低了對虛擬化服務器存儲的要求,讓虛擬化服務器專注于對應用軟件的處理。在存儲容量不足的情況下,共享存儲設備還可以在線擴容。采用共享存儲方式,初期投入成本較高,結構復雜,但其優越的擴展性和功能性為虛擬化技術高級功能的實施打下了基礎。
2.1.3 集中管理平臺
為了對虛擬化架構系統進行高效的管理和性能的監控,中心機房需要配置一立的集中管理服務器,為所有安裝虛擬化主機程序的物理服務器搭建集中管理平臺。登陸集中管理平臺,可以對所有加入集中管理的虛擬化服務器進行一站式操作。
在集中管理平臺的檢測、協調下,虛擬化主機程序、共享數據存儲可以實現虛擬化技術中的高級功能,如虛擬資源動態分配、虛擬服務器動態遷移和故障切換保護等功能。利用共享存儲設備,集中管理平臺可以對相連接的跨物理服務器資源實施動態分配,使多臺物理服務器上的硬件資源完全共享;甚至可以對各虛擬服務器實施跨物理服務器的動態遷移,使服務器資源真正達到負載均衡。集中管理平臺不間斷地對中心機房進行實時監測,當物理服務器被檢測出有硬件故障時,集中管理平臺能夠迅速反應,將故障機上的虛擬服務器主動遷移到其他相連接的物理服務器上,實現了故障切換保護的自動化進程,保證了應用系統的連續運行。
在虛擬化架構系統中,虛擬化主機程序、數據存儲系統、集中管理平臺三部分緊密合作,為虛擬服務器穩定、高效、安全的運行提供了堅實保證。
2.2 中心機房虛擬化應用的優勢與原則
對比傳統的中心機房管理模式,虛擬化技術下的中心機房管理模式具有無可比擬的優越性:
2.2.1 降低運營成本
虛擬化架構系統的應用,充分利用了物理服務器的硬件資源,有效減少了物理服務器的數量。隨著物理服務器數量的減少,服務器購置成本、硬件維護成本、軟件管理成本、服務器運行能耗、空調等機房附加能耗等都相應降低。
2.2.2 提高運營效率
傳統模式中,新應用系統方案的實施需要服務器采購、安裝、調試等環節。虛擬化架構系統中的虛擬服務器由若干個磁盤文件和配置文件組成,要創建新的虛擬服務器只需要直接復制這些文件。直接復制文件能夠快速部署新應用系統,大大降低了創建配置時間,有利于滿足客戶端需求,提高了運營效率。
2.2.3 提升服務水平
虛擬化架構系統中高級功能的應用,尤其是虛擬資源動態分配、虛擬服務器動態遷移、故障切換保護等功能,確保了應用系統能夠獨立自主地連續、安全運行,使中心機房管理人員不再需要投入大量時間去維護硬件系統。而能夠將主要精力放在對應用系統的維護中,從而有效提升客戶服務水平。
虛擬化架構系統的應用,能夠打造出生態、高效的中心機房環境。即便如此,對中心機房進行虛擬化改造也要遵循適度的原則,以“高穩定、低成本”為最終目標:一是不能為了虛擬化而虛擬化,避免矯枉過正。要最大限度利用中心機房原有的設備及資源,嚴格按照物理機的方式進行管理,并充分考慮到虛擬化實施后的可擴展空間,以適應未來技術的發展趨勢。二是不能一蹴而就,避免好大喜功。對中心機房服務器和應用程序平臺要分批進行優化整合,循序漸進。先對應用壓力較小的服務器進行虛擬化架構,積累了足夠經驗和應對能力后,再逐步遷移應用壓力大的服務器。
虛擬化技術作為一種新興的計算機技術,是對技術、操作、應用、管理,甚至是理念的根本轉變。在這種背景下,作為IT業界的領導者Intel、Amd不斷推出多核服務器和虛擬化架構系統,加上系統集成商的大力推進,使得虛擬化技術飛速發展,局域網的虛擬化應用已成為計算機應用研究的一個熱點,正在對傳統的中心機房管理模式提出挑戰。打造虛擬化技術下的中心機房管理模式,必將成為未來發展的趨勢,具有廣闊的應用前景。
參考文獻:
[1] 英特爾開源軟件技術中心、復旦大學并行處理研究所.系統虛擬化――原理與實現[M].北京:清華大學出版社,2009.
[2] 英特爾開源軟件技術中心、復旦大學并行處理研究所.虛擬機系統與進程的通用平臺[M].北京:清華大學出版社,2009.
關鍵詞: 信息化建設;虛擬化;動態遷移;IT基礎架構
0 引言
隨著企業各類信息化的發展,信息化建設的不斷深入,當前的傳統模式與技術手段逐漸顯現出了一些問題:不斷增加的物理設備和有限存放空間的矛盾、維持運行環境的高能耗制冷設備成本、部署應用程序的兼容性問題,系統的可靠性和穩定性等,這些都將影響企業信息化建設的進程。雖然企業在不斷加大投入,但總體資源利用率始終處于較低的水平。與此同時,科技的日益發展,處理器的制造工藝不斷提升,架構變得越來越先進,核心數越來越多,處理器的計算能力與日劇增。為了提高資源的利用率,虛擬化技術應運而生。利用虛擬化技術可以對IT基礎設施進行整合、簡化管理、為信息應用提供很好的支撐。尤其是虛擬化動態遷移技術,在實際的應用中具有很強的實用性,能夠幫助我們在線維護、在線升級服務器,還可以用于負載均衡,容災等方面,極大的提高系統的綜合性能,提升系統可靠性、穩定性[1]。
1 服務器虛擬化概念
服務器虛擬機,就是對一臺物理服務器進行劃分,通過使用軟件模擬物理計算機,創建獨立的操作系統,邏輯上與主機服務器相隔離,使一臺物理服務器能夠支持多個操作系統的并發執行,多個虛擬機之間彼此隔離,無需再為一方面服務器利用率低而另一方面為了部署新的應用而不得不購買新服務器的情況而支付額外的成本[2][3]。服務器虛擬化技術可以整合降低工作負載,解決機群管理中動態切換服務、降低硬件成本的需求,幫助企業節省大量的資金。
對于管理員而言,虛擬機只是運行在物理計算機上的一個應用軟件,但是對于虛擬機中運行的應用程序而言,它就是一臺真正在工作的計算機。通過虛擬化技術可以擴大硬件的容量,簡化軟件配置過程,顯著地提高服務器的工作效率。目前,針對X86架構的虛擬化技術已經成為業界的焦點,被廣泛用于服務器領域。
2 服務器虛擬化的價值
2.1 現狀描述
隨著企業各種應用軟件的不斷引入,各類系統不斷的增加。出于操作系統版本的差異,軟件開發運行的平臺不同,開發商的不同,以及應用相互之間的協調和安全性方面的因素考慮,通常服務器都會采用獨立運行、集中管理的模式,這種方式可以有效的解決各系統之間因潛在的兼容性,避免可能引起的沖突,但由此也會使得大部分的服務器只運行單一的應用,產生大量服務器資源閑置的狀況。
一個比較明顯的問題就是,企業的某些關鍵應用由于用戶量的不斷增加,當前運行的服務器硬件平臺資源無法滿足日益增長的服務需求,導致運行速度十分緩慢,嚴重時甚至會導致服務器宕機,服務中斷的情況。考慮到這些系統的重要性,服務器硬遷移帶來風險,這種狀況很難得到改善。此相反的情況是那些最新購置的PC服務器,其處理器、內存和硬盤等各項指標都比以前有極大的提升,卻只是運行了一些負載很低的應用,服務器的平均CPU利用率不到10%。
還有就是隨著業務信息量的迅猛增長,現有的離散式IT系統結構,導致企業數據中心大多資源沒有得到充分利用,企業部門之間信息割裂,各部門之間無法有效的共享和傳遞信息,形成一個個信息孤島。因而,如何提供具有靈活性、可擴展性、高可用性的IT基礎設施架構,及時、可靠、動態管理整個業務數據信息,為不斷變化與增長的業務提供支持變得尤為重要。
2.2 應對現狀解決問題
上述中存在的問題,都可以通過虛擬化技術得到較好的解決。使用虛擬化技術最直接的優勢就是能夠最大程度的利用現有服務器硬件資源,幫助企業節省大量購置服務器的成本及機房的空間成本。虛擬化技術具有資源共享、負載動態優化、自動化管理、安全性、節省資金綠色環保、解決平臺依賴問題的優勢:
1)資源共享,通過利用虛擬化的技術,可以將企業的一些硬件資源包括服務器、網絡全部都整合起來,可以高效的利用這些資源,提高這些資源的利用率,減少資源的浪費。
2)我們可以利用虛擬化技術實現負載的動態優化。動態優化包含兩方面的內容:① 可以隨著業務系統的工作負載動態變化來調整資源的供給,正是有了虛擬化才使得這個實現能夠更加方便。② 從整個企業的數據中心資源利用率方面考慮,通過使用一些動態優化的算法就能夠將這些虛擬化的服務器在不同的資源、機器里面進行調配,減少物理機器的數量。
3)虛擬化技術還可以為我們帶來統一管理的好處。面對極其豐富多樣的基礎設施,中間件和操作系統等,一方面我們可以通過虛擬化技術實現對硬件屏蔽底層的差異,不管是系統管理員還是上層的服務,都可以用統一的方式使用下層的資源,讓管理和使用更加方便、高效。第二,利用虛擬化組件的技術可以將企業經常用的軟件、服務等做成一個虛擬組件模板,實現一次創建模板到處可以使用的便捷方式,效的加快業務交互過程,提高IT系統響應能力。第三,為了維護數量龐大的服務器群的運維管理成本也因為整合服務器提高管理效率而得以降低,由于減少了服務器,通過控制臺集中管理,簡化了管理任務,使管理工作變得輕松易行。
本文重點描述了根據公安部出臺的《信息安全技術信息系統安全保護定級指南》的要求,在醫院信息系統等級防護中應用堡壘機去解決與保護域內計算機系統資源實現身份鑒別認證,并提供有效可回溯的安全審計方式,讓醫院信息系統獲得最大的保障和管理應用效果。
關鍵詞:
信息系統;安全;堡壘機
1、現狀與要求
近年國家對企業的信息安全越來越重視,公安部及信息部等出臺了《信息安全技術信息系統安全保護定級指南》(以下簡稱《指南》),衛生部也出臺了《衛生行業信息安全等級保護工作的指導意見》對在建及已經運營的醫院信息系統進行檢查,要求重要信息系統其安全保護等級按照不低于三級進行建設。在《指南》中,要求信息系統必須建立及保存運維訪問的各種操作日志。《定指南》將系統劃分物理、網絡、主機、應用和數據安全及備份等幾大安全領域,其中幾大領域均涉及到了數據以及操作審計、操作人員身份鑒別等安全問題。
2、醫療信息安全領域存在的問題
醫院信息系統主要劃分為his,pacs,Lis等幾大子系統,其主要目標是支持醫院的行政與管理運作,減輕各事務處理人員勞動強度,輔助醫院高層對醫院運作進行管理決策,提高醫院工作效率,從而使醫院能夠獲得良好的社會與經濟效益。在對日常各系統的運維過程中,不同公司的維保人員有可能通過互聯網絡,在外地甚至在家對醫院的業務系統進行升級與維護,操作方式基本分散無序,普遍存在由于管理人員登陸帳號管理不規范、運維權限劃分不清晰、認證流程簡單、缺乏對運維過程的監控、無法控制運維的時間段等等問題,容易導致其運維行為可能存在誤操作、違規操作甚至惡意操作等現象,造成系統服務異常或宕機,病人數據信息被泄露或破壞。因此,進一步加強對擁有信息系統高級管理權限的運維操作人員的行為管理與監控,也是醫院信息安全發展的必然趨勢。
3、堡壘機在信息安全領域的應用
堡壘機,提供了在特定網絡環境下,為確保域內服務器、路由器等設備的安全運行,使用協議等方式,接管對終端目標設備的訪問界面,對其訪問行為進行安全審計與翻譯,集中管理、監控記錄運維過程的一種設備,確保域內網絡與數據不受破壞。堡壘機扮演了對信息系統和網絡、數據看門者的角色,所有對網絡關鍵設備、服務器以及數據庫的訪問,都要經過這個看門者的安全檢查。符合安全規定條件在命令和操作才可以從大門通過,這個看門人可以對這些命令和操作進行登記記錄,而某些非法訪問、惡意攻擊以及不合法命令則被阻隔于大門之外。因此,在提高醫院信息安全防護等級的過程中,使用堡壘機不僅可以實現用戶的身份鑒別、單點登陸、多因素安全認證,還可以將服務器、網絡路由設備、數據庫等資源的操作進行詳細的記錄并錄像,提供有效的安全審計查詢。堡壘機作為醫院信息系統等級保護安全體系中的一個環節,可以很方便地做到事中監控,事后找出問題根源。醫療單位要選擇一款好的堡壘機,要注意其生產廠家必須能在IT運維管理領域里,可以深刻感知醫療安全行業和國家的合規性規范及高安全性、高可用性和高可靠性需求,不斷創新發展,致力從事智能的自動化運維管理。醫院在選擇堡壘機廠商時要注意廠商是否具備快速響應能力及行業內口碑等,多了解其產品的行業經驗,注意了解廠商的是否有醫院信息安全領域的服務經驗及良好的服務質量,并建議選購前要做好堡壘機設備與醫院信息系統的兼容性測試,選擇良好的堡壘機廠商可以讓醫院醫療信息行業運維管理工作增值,這樣才能讓醫院醫療信息系統獲得最大的保障和應用效果。
4、堡壘機所應具備功能:
4.1單點登錄
堡壘機可通過保護域內的安全設備、數據庫、網絡設備等對堡壘機專用帳號的授權,支持針對一系列授權帳號的密碼定期變換,規范及簡化密碼管理流程。被授權的維護人員無需再記憶各種不同系統的密碼,即可通過堡壘機安全便捷地登錄被保護域內設備。
4.2帳號管理
針對保護域內的網絡設備、服務器及其他安全設備的各種帳號進行統一管理,監控授權訪問資源帳號的整個生命周期。可以根據運維人員的不同身份設計不同帳號角色,滿足審計及運維操作管理要求。
4.3身份認證
由堡壘機提供統一的認證入口,支持包括動態與靜態口令、硬件密鑰、生物指紋認證等多種認證模式對用戶認證。并要求可訂制接口,支持第三方認證服務;有效提高保護域內設備的安全型及可靠性。
4.4資源授權
針對訪問域內網絡設備、服務器、數據庫等根據ip協議類型、行為等多種要素進行授權操作
4.5訪問控制
保壘機能支持對不同用戶制定不同策略,有針對性地進行細粒度的訪問控制,有效禁止非法及越權訪問,最大限度地保護用戶資源的安全。
4.6操作審計
堡壘機能支持針對命令字符操作、圖形界面操作、文件傳輸操作等的多種行為的審計與錄像全程記錄,支持通過實時界面監控、對違規事件進行事中阻截。并能支持對指令信息的關鍵字搜索,精確定位錄像回放位置等功能。
5.堡壘機在醫院醫療信息系統安全的主要作用:
5.1從醫院來看:
通過堡壘機細粒度的安全管控策略,保證醫療信息系統的服務器、網絡設備、數據庫、安全設備等安全可靠運行,并可以在一定保障數據的隱私性與安全性,降低人為安全損失,保障醫療信息系統的運營效益。
5.2從信息系統管理員來看
可以將保護域內系統所有的運維賬號在堡壘機這個安全平臺上管理,讓管理更簡單有序,確保用戶擁有的權限是恰當的,只擁有完成任務所需的最小權限。
5.3權限控制:
通過堡壘機可以通過字符與圖形界面直觀方便的監控各種韻維訪問行為,及時發現與阻隔違規操作、權限濫用等。
5.4以普通用戶來看:
系統運維只需要記住一個自己的運維賬號和口令,登錄一次,就可以訪問個資源,大大降低工作復雜性,提高了效率。
作者:胡名堅 周春華 黃慧勇 單位:佛山市第一人民醫院計算機中心
參考文獻:
關鍵詞:機房設計;規劃管理;精密恒溫恒濕空調
中圖分類號:TP308 文獻標識碼:A 文章編號:1009-2374(2012)32-0074-02
2009年3月,我公司成功重組為由鐵道部控股的合資鐵路公司,新公司成立后,如何保障現有運輸生產業務正常運行,實現有效調度指揮和生產管理應用服務迫在眉睫,經過鐵路局專家組的項目論證,在新公司建設總部機房,完成對兩省分部機房的業務數據匯總傳輸,以達到統一指揮、有效管理的目的。作為某合資鐵路公司信息技術中心主任,我主要負責總部機房的設計工作。
1 機房建設的原則
根據鐵路運輸行業的性質,需要建設的機房等級為B類。經現場考察,考慮電力、水源、自然環境清潔的因素,遠離強振源和強噪聲源,避開強電磁場干擾,遠離粉塵、油煙、有害氣體等影響。我們確定的機房位于公司總部4樓,使用面積180平方米。根據機房工程項目的建設需要和鐵路運輸信息管理系統及調度指揮系統的各種業務應用需求,針對鐵路行業專業特點,考慮未來快速增長的實際情況,設計原則應該是高質量、安全、實用和易于管理,同時提供較高的擴展性。
機房建設依據國家有關標準,充分利用、整合現有資源,按照“實用可靠、有效適度、經濟節約、技術先進”的總體原則實施。在機房設計、建設過程中還充分考慮方便今后的運行維護,并能有效降低機房運行及維護成本。機房建設的具體原則主要包括:
高安全性。充分考慮并采取有效措施防止火災、電力故障、通信故障、漏水、雷擊、非法入侵等造成的安全事故。
高可靠性。采取有效措施提高平均無故障時間(MTBF),降低平均修復時間(MTTR),提高運維管理水平。
標準化和規范化。在數據中心機房設計和建設過程中,基于有關國家標準和國際標準,堅持統一標準、規范的原則,從而為未來的業務發展、設備擴容奠定基礎。
可擴展性。機房必須具有良好的可擴展性,能夠根據今后信息化發展及技術進步的需要,提供設備擴容、技術升級、設備更新的靈活性。
先進性。在綜合考慮成本、效益的前提下,盡可能采用先進、成熟的技術和設備,保證既能滿足當前的需求,又能兼顧未來業務和技術發展的需要。
實用性。機房的設計和工程建設要充分考慮功能的實用性,要以充分滿足技術、管理需求為前提。
可管理性。采用的各類機房設備應具有智能化、可管理的能力,同時通過建立全面、完善的集中監控和管理系統,實時監控機房的運行狀況,及時發現異常情況和故障,提高機房運行的安全性和可靠性。機房的各類設備、設施要便于維護。
經濟性。在進行工程設計和建設過程中,在充分滿足需求的前提下,應努力節約成本,降低建設費用。同時,還應綜合考慮能以較低的成本、較少的人員投入來維持今后的日常運行,降低運行成本。
人機工程。機房設計和建設過程中應根據人機工程原理,考慮機房工作人員的便利、舒適。
環保節能。采用環保材料、加強環保措施、避免環境污染;采用節能設備、重視節約能源。
2 機房安全方面
供電方面,我們按照《供配電系統設計規范》(GB50052-1995)的要求,購置艾默生電源柜,對機房采用雙路供電方式,一路鐵路運輸生產專用的電力貫通線,一路市電,電力貫通線用于保障列車運行信號和微機連鎖,可靠性較高,作為主用線路,出現突發性故障時,艾默生電源柜提供的自動切換開關可以迅速地切換到市電供電。購買兩臺艾默生40kVA實現ups冗余供電,提供合適的輸出電壓。在公司樓外部署發電機,提供長期停電時的應急發電。
空調采用精密恒溫恒濕空調,按照《通風與空調工程施工及驗收規范》(GB50243-1997),采用上通風方式安裝設置,這種方式的優點是空調所需加濕給水管和凝結水排管均明線布置,一旦有漏水現象,可以快速發現,及時排除,避免采用下送風方式時,加濕給水管和凝結水排管布置在活動地板下,出現問題不易發現,造成安全隱患。缺點是送風管和送風口的安裝布置施工難度較高,因與空氣流動特性相矛盾,容易引起房間下部溫度偏高。但對于運輸生產來說,安全是最重要的,經過統一規劃,協調布置,上送風方式為安全生產提供有效保障。
防雷系統根據《建筑物防雷設計規范》(GB50057-94)設計安裝,機房接地根據《電子信息系統機房設計規范》(GB50174-2008)設計,交流工作地、直流工作地、保護地、防雷地共用一組接地裝置,接地電阻
小于1Ω,接地系統的連接方式采用輻射式。
另外,消防系統采用七氟丙烷氣體滅火系統,氣瓶間設置在機房外,采用管網式結構,在機房天花板設置噴嘴,火災報警系統由消防控制箱、煙感、溫感聯網組成。
3 機房實用方面
根據機房實用性要求,我們把機房規劃為中心服務器區、數據存儲區、托管服務器區、核心網絡區、線路設備區、安全系統區和設備配線區七個區域。
在中心服務器區部署了運輸管理信息系統所需的各種應用服務器和門戶網站服務器;在數據存儲區安裝了中心存儲設備,主要包括磁盤陣列和磁帶庫;在托管服務器區安裝不具備運維條件的小站服務器;在核心網絡區安裝了路網核心路由器、多層交換機等設備;在線路設備區安裝了華為optix metro 1000系列OLT和ONU設備;在安全設備區部署了聯想網御VSR系列防火墻;在設備配線區安裝了ODF和DDF。
4 機房可管理方面
根據《智能建筑設計技術》(GBJ232-82),我們選用了美國ALC智能自動系統監控方案,對自動消防報警系統、門禁系統等進行監控,監控中心設置在信息中心值班室,發生報警事件時,ALC系統會及時提示,值班人員可根據系統提供的信號發生地點、信號類別和原因做出相應處理。
根據需要,我們制定了相應的機房管理制度,如《機房出入等級制度》、《機房巡視制度》等,并嚴格制度落實,列入考核。
5 實施效果及改進措施
提高運維精細化管理水平交通設施管理和故障處理一般都有一定的流程和制度,但沒有配套的技術手段的支持,流程和制度往往難以真正地得到高效貫徹執行。系統將規范交通設備的管理,實現交通設施設備從購買、入庫、使用、維修、報廢的全生命周期管理,降低設施的養護成本;規范交通設備運維工作中故障處理流程,規范交通設施故障發生、故障恢復、故障維修、修復確認、維修完成后故障單信息完善、故障延期修復報備等環節;落實養護相關的制度,并可針對各個環節進行考核,從而提高交通設施的運維管理水平和效率。提高運維效果評價科學性怎樣評價運維系統使用后的效益?需要看它給正在運行中的系統和設備帶來哪些改變,這些改變是積極的還是糟糕的。系統從不同用戶所關注的問題入手,依據需求結合實際數據設計相關的考核指標。考核指標從三個角度來進行評價分析:從系統設備健康水平,從運營方和養護方的管理服務水平,從系統產生的經濟效益角度。通過運維管理系統自動記錄的過程數據來多角度統計分析,量化表達各種考核指標,能夠提高運維效果評價的科學性。智能交通設施管理系統集成了中間件、GIS、FLEX和視頻識別等先進技術,實現了三個層次共32項主體功能,下一章節將會對系統設計和實現進行簡要闡述說明。
設施運維系統及評價體系的設計和實現
1系統架構設計
智能交通設施綜合管理系統分為狀態信息采集層、智能分析報警層和人機交互界面三層,對應的系統軟件架構分三層設計:信息采集、智能報警分析、平臺系統。如圖(1)所示。信息采集層負責設施運行信息的自動化采集,向智能報警分析和平臺系統提供基礎數據。它直接或間接通過設施提供的標準接口或系統接口采集相關狀態、性能、配置等運行數據,數據內容包括:服務器告警信息、服務器性能、應用軟件狀態、網絡設備運行信息、網絡拓撲信息、機房動力環境監控信息、外場設備狀態和采集信息等。信息采集方式可集中和相結合,使采集軟件靈活部署。智能報警分析層負責分類匯總信息采集層采集到的數據,通過報警閥值和報警規則預處理后生成基礎事件,不同來源的事件經過過濾,同類事件經過壓縮,相關聯的事件經過根源分析,獲得用戶所需的根源報警,根據報警事件重要程度進行分級,整個過程實現了向平臺系統提供設施的智能報警。平臺系統層圍繞設施運維應用,實現各種業務功能,具體業務功能包括:資源管理、日常養護、日常監控、應急保障、業務報表、系統評價。系統的用戶角色分為養護公司、運維管理人員、運行管理人員和部門領導四類。各角色主要業務職責如下:(1)養護公司:綜合報警監控的確認巡檢;故障報修登記、設備報修簽收、設備維修結果登記等;(2)運維管理人員:設備報修簽發、設備維修結果審核、設備報修擱置列表管理、設備停用管理,設備生命周期管理;設備基礎信息采集入庫及維護、機房設備位置、端口、接線、IP、VLAN等資源信息采集入庫及維護;(3)運行管理:內外場設備報警查看處置;(4)部門領導:對各崗位操作情況進行統計考核。
2設施信息采集
狀態信息采集層主要實現外場設備狀態信息采集、內場設備狀態信息采集、機房環境監控信息采集,所有采集的信息會接入消息總線中間件并存入歷史數據庫,為進一步智能報警分析提供數據支持。(1)外場設備狀態信息采集:系統通過接口協議,實現對信號機、電子警察、監控攝像機、卡口、情報板、車檢器等外場智能交通設備運行狀態信息采集;(2)內場設備狀態信息采集:通過IBMTIVOLI智能基礎設施管理軟件實現對服務器、交換機、數據庫、應用軟件等內場設備運行狀態信息采集;(3)機房環境監控信息采集:通過接口協議采集機房溫濕度計、UPS、配電柜、空調、消防、門禁和地漏報警信息。
3智能報警分析
智能報警分析層根據采集的狀態信息,經過壓縮過濾和算法分析,可以綜合判斷故障根源,為快速處置和問題診斷提供參考。(1)報警事件壓縮過濾:根據采集到的狀態數據和維護人員指定的報警規則,生成基礎事件。對于同一種設備的同一種事件,由于事件產生的渠道不同,會生成多條重復的報警信息,比如通過交換機主動上傳的trap事件,和根據交換機的狀態數據生成的事件可能會出現重復報警的情況,對這種事件進行過濾。對于某種瞬間發生或者處在報警邊界值的事件,可能會頻繁的生成和消失,這樣就會產生很多重復無用的事件。為了避免這種情況,通過設置平滑周期,對這種事件的生成進行壓縮。(2)事件根源分析:通常情況下,在生成的眾多單點事件中,往往是由其中的某幾個根源事件導致的,根據單點事件之間的邏輯關系和被管對象之間的物理拓撲關系,依次遞歸查找,根節點對應的事件,即為根源事件。(3)事件分級:報警事件級別分四級普通事件:需要養護人員關注,事件作用一般為預防提醒非關鍵設備某些指標工作異常,但設備還能工作,不影響其他設備。警告事件:需要設備管理員和養護人員關注,事件作用一般為提醒非關鍵設備工作異常或不能工作,但不影響其他設備。嚴重事件:需要值班員關注,告知設備管理員。事件作用一般為關鍵設備工作異常或不能工作,影響分系統內局部設備。致命事件:需要值班員關注,及時電話通知設備管理員和養護人員。事件作用一般為關鍵設備工作異常或不能工作,影響全局設備或全系統正常運行。智能報警分析應用場景示例,如圖(4)所示。
4運維管理應用
運維管理應用主要實現日常監控、日常養護、應急保障、資源管理、生命周期管理和業務報表分析統計等功能。(1)日常監控:通過機房模擬圖、二維或三維地圖監控外場設備,以列表和圖表的形式展示設備運行的實時信息,報警事件產生,自動定位故障設備,按照報警級別,啟動關聯預案,監控人員按照預案處置。如圖(5)所示。(2)日常養護:日常養護工作通常有設備定期巡檢、臨時故障維修、搶修,養護中要遵循養護制度,養護過程需要規范,設計了養護流程管理。它支持多崗位跨網絡協同工作流程化管理,包括故障報修登記、故障簽發管理、任務簽收管理、維修結果登記、維修結果審核、擱置列表管理和歸檔列表管理等。如圖(6)所示。為養護更加便捷和使用系統更方便,引入了手持終端。如圖(7)所示。圖(7)(3)應急保障:在突發重大事故或災害的情況下,保障各系統正常運行,需要應急保障手段,系統提供一些輔助,主要有各類災害事故預案模型演練、培訓,應急設施資源的查詢,預案相關人員組織。如圖(8)所示。(4)資源管理:基于自主開發的GIS支撐管理平臺和Flex機房管理功能對內外場設備位置、端口、接線等空間和屬性信息進行協同維護管理。(5)生命周期管理:對設備安裝、建設交付使用、每次維護、到最終報廢進行全生命周期過程記錄和管理。(6)業務報表:對系統資源情況、設備資產保值、監控設備性能、設備故障、養護記錄數據、各職責崗位績效考核、等多方面進行綜合統計分析。
5系統評價分析
系統相關的用戶大致分為三類:投資方、運營管理方、養護公司。三者都有對使用該系統期望和訴求。投資方的訴求:建設這套系統后,今后的運維養護能否更省錢,能否為運維養護提供長久支持;運營管理方的訴求:養護效率、質量、養護水平得到提高,人均臺班費用得到控制,自身的管理改進和提高,運營管理取得的成績可以量化,能更好的為業務部門提供系統保障;養護公司的訴求:能更省時省力的完成工作,能更好的響應運營方的要求。針對這些訴求,結合運維的信息,制定了對應的評價指標,指標從三個方面回答用戶的訴求:資金成本、運維服務水平、系統健康水平。(1)資金成本=節省的養護人工成本+節省的設備成本,節省的養護人工成本核心指標是人均的費效比和設備養護率。設備養護率隨著養護的年限逐年增長,可以根據實際設備使用環境,同行業水平,結合系統記錄的養護記錄制定,一般第一年0.4,保修期內,每年增長0.1,過保修期每年增長0.2,以3年保修期計算,到第5年設備養護率達到1,這意味著過保的設備5年后的養護頻率要大于1。人均的費效比=人工總花費/(人均出工時間×養護團隊人數)。節省的養護人工成本=(今年的人均費效比-上年人均費效比)×(今年設備養護率/上年設備養護率)×上年人工總花費。節省的設備成本的核心指標是過保設備每年的折舊價值和當年設備過保的備件花費。過保設備每年的折舊價值根據設備的使用環境和it設備折舊值制定,it設備一年質保,5年報廢,一般過保設備每年的折舊價值為:設備采購價格×0.2。設備過保的備件花費是指設備過保后,維修的備件花費。節省的設備成本的公式:Σ(單個過保設備每年的折舊價值-當年單個設備過保的備件花費)。(2)運維服務水平=運維管理績效×50%+養護服務水平×50%,運維管理績效的核心指標是養護任務的完成率;養護服務水平的核心指標是養護任務質量平均得分、養護任務規定時間完成率和養護培訓成績。養護任務質量得分最高不超過100分,每次養護任務由審核人員根據養護制度要求和養護結果綜合評分。養護培訓成績由運營公司組織養護人員學習和考試評分。運維管理績效=養護任務的完成率×100。養護服務水平=養護任務質量平均得分×40%+養護任務規定時間完成率×100×40%+養護培訓成績×20%。(3)系統健康水平=設備總完好率×100,設備總完好率是指所有設備完好工作時間的比率。設備總完好率=Σ(單個設備實際完好工作時間/單個設備理論要求完好工作時間)。評價的指標結果通過圖表的方式直觀表現,如圖(9)所示。
系統項目實施效果
(1)使用這套系統后,可量化從養護資金使用效率、養護成本、養護運營績效、系統運行穩定等多方面帶來的改變。(2)通過設定指標,從管理績效、成本核算等方面量化考核運營公司。(3)設施全生命周期的管理,對設施質量評估提供了數據支持,對設施資產進行了優化配置。(4)以規范的方式管理養護數據,在管理過程中能方便的統計分析系統的不穩定點,排查系統隱患,保障系統運行穩定。(5)綜合的智能報警,提高了故障排查效率;報警預案、報警聯動,加快了故障的響應速度。(6)強化了養護制度的管理,對養護安全、養護紀律起到規范、督導作用。(7)應急搶修的管理、手持設備應用、各種應急養護預案的培訓和演練,為應急保障提供了技術支持。(8)手持終端設備的應用,使得養護全過程信息直達、高效、迅速,系統提供更有力信息支持。(9)規范的管理養護數據、落實養護制度、養護應急預案的培訓等,使得養護知識、養護經驗共享,提高養護服務水平。
關鍵詞:綠色機房;節能;機房改造
中圖分類號:TP308文獻標識碼:A文章編號:1009-3044(2012)08-1944-02
Improvement ProjectStudy of Large-scale Green Energy Saving Computer Room
ZENG Zhi-long1, LU Chang2
(1.Institute of Mathematical Information Industry of Zhejiang Ocean University, Zhoushan 316000, China; 2.Public Experiment Center of Zhejiang Ocean University, Zhoushan 316000, China)
Abstract: The scale of the public computer room is large in the University generally, the annual electricity consumption of resources is also very prominent, but in fact the computer room has great energy saving space. By researching of the current structure and operation mode, analysis ofinfrastructure and management model, proposed improvedprojects, and provides a practical method for building the large computer room of the green energy, provided a reference model.
Key words: green computer room; energy conservation; computer room transformation
我校公共機房總共分為15個房間,擁有900臺學生機,規模龐大,每年消耗大約50萬度電,占機房運行總投入的15%左右,是一個用電大戶,然而隨著綠色節能環保理念的深入,如何構建節能型的綠色機房成為機房建設中重點考慮問題,充分挖掘節能潛力,能夠為學校節省巨大的資源投入,并且,在節約能源的同時,還不能犧牲教學效果與機房性能。
1存在問題
經過對本校機房的各個節能點進行研究分析,在當前存在的問題中,有些是因為前期建設的時候沒有充分考慮綠色節能的方案,有些是因為疏于管理維護,從基礎建設到運維管理都存在許多問題,對資源造成了較大的浪費,歸納如下:
1)電源線路結構單一,無法做到靈活精細地獨立控制機房。
在進行基礎電路布置的時候,采取了單線的總控模式,沒有相對于單獨子機房進行細分規劃,開的時候一起開,關的時候一起關。這種方式導致了無人上機時候,顯示器處于待機狀態,特別是對于大量使用還沒有更換的CRT顯示器,以單臺待機狀態顯示器1天消耗10W計算,機房一年運行以300天計,一年消耗的總電量是300×10×900=2700(KW),而且,這無形之中提高了室內溫度,也造成空調運行的攜帶浪費。
2)服務器不間斷運行,利用率低。
高校公共機房的服務器與提供商業服務的服務器有所區別,很多機器無需提供7*24小時的不間斷服務,只是在授課期間開啟相應服務即可,在無人值守機房管理的模式下,服務器基本上長年累月開啟,按照常規運行300W功率計算,有10臺服務器,1天空余運行時間10小時,1年將耗電365×10×10×300=10950KW。如何讓服務器在不需要的時候能停止對電能的消耗是節能的一個關鍵點。
3)服務器等設備應用分散,利用率不高。
很多服務器單獨運行某個應用,但其實隨著硬件技術的發展,特別是新購的服務器性能都很強勁,服務器CPU的利用率基本上只有5%左右,所以沒有充分挖掘服務器的性能,設備越分散,耗能越多。
4)空調設備長年累月運行,浪費巨大。
空調設備功率大,運行時間長,學生機房的空調設備還可以通過日常管理來減少使用,但是對于主控機房,因為采用無人值守的方式,空調必須常年累月運行,甚至在室外溫度低于0度的情況下仍然進行制冷,耗電量非常驚人。
5)設備老化,CRT和舊型號主機的大量使用。
CRT顯示器因為輻射大、耗電高已經被廠商淘汰,機房卻仍在大量使用,舊型號的機器缺少綠色節能技術,甚至在無負載的情 況下,照樣耗電嚴重。
6)管理松散,沒有針對性的制度措施。
管理制度沒有及時更新,缺乏與時俱進的管理思想,缺乏常規性合理性的操作,導致很多設備沒有及時切斷電源。
2方案研究和實現方法
針對以上的情況分析,結合已有的技術手段,通過采取以下措施進行改進。
1)合理規劃機房空間,細化機房各供電線路,為精細化管理提供基礎條件。在暑期機房空閑時間,把整體機房分割成以房間為單位的子機房,重新鋪設改造供電線路,在主控機房電源控制箱中,設置單獨控制開關,人為控制電源。在具體操作過程中,機房管理人員可以針對具體機房課表,對不上課的機房切斷電源,避免因為待機而造成的電源浪費[4]。
2)利用BIOS設定和執行腳本命令進行自動開關機。
對于學生端電腦,可以借助機房信息管理系統來實現定時關機,我們事先安排好課表,當課程結束的時候,管理系統會自動發送關機指令到客戶端,并正常關閉電腦。對于服務器,我們可以利用BIOS程序(主板底層的參數設置系統)設置,定時進行開機操作。開機后,參考開機后的畫面熱鍵提示,進入setup設置后,尋找類似于“Resume By Alarm”的設置選項,固定設置每天開機的時間,設置好保存并退出即可。進入系統之后,為了自動執行各類應用,應該把相應服務或者程序設置為自啟動模式,省卻每次人為的操作。
針對Windows的操作系統,我們可以從網上下載定時關機的小軟件來解決定時關機的問題,也可以通過編寫腳本來實現,以每天21:30關機為例,運行代碼如下:at 21:30 /every:M,T,W,Th,F,S,Su shutdown -s -t 120,這樣就可以實現定時關機了。
3)整合現有資源,挖掘高性能服務器等設備的潛力,提供盡可能多的應用。
借鑒當前流行的云計算模式,對當前的服務器進行有效整合,發揮規模化效應,充分挖掘高性能服務器的潛力,運用虛擬化技術,讓盡可能少的設備運行盡可能多的應用服務,提高使用的效率。對于當前硬件的性能,我們可以設置多個虛擬機,同時提供不同的應用服務,讓CPU和內存的使用率維持在50%以上,當然,不能過度使用,否則會明顯延長訪問響應時間[1]。
4)衡量一次性投入精細空調設備與普通空調的成本和長期運行產生的費用,確定購置方案。
精細空調的節能效果非常好,但是采購成本是普通空調的幾十倍,它的產能必須要經過長時間的運作才能體現。所以在采購前,要充分做好調研工作,如果機房運行時間在6年以上,可以考慮采購,否則只會增加成本投入[2][3]。
5)針對老舊的耗能產品,只有更換成新出的節能產品才能有效節省用電,但是介于機房已有模式和資金問題,我們無法一次性解決。在今后采購設備的時候,應該把綠色節能指標納入招標要求,在滿足使用性能的同時,可以傾向于那些具有節能技術的產品。
6)從管理層面,確定相關制度來保障。
技術只是一種保障的手段,但更多的時候需要制度的有效執行,制定機房相應管理守則,常態化規范化對節能進行管理,通過巡視、記錄等方式對需改進點進行人為干預操作,是保證建設綠色節能機房的關鍵因素。
3結論
計算機機房經過改造后,運行半年以來,平均比以前節約用電10度,耗能節省了20%,成功地實現了綠色節能機房的改造,成為全校的節能冠軍。各個高校可以參照本校的實際情況,對現有的機房進行改造,一定可以挖掘出更多的節能空間。
參考文獻:
[1]耿英保.淺議計算機機房節能[J].中國集體經濟科技研發,2006(6).
[2]周航.通信機房節能熱管理設計探討[J].電信工程技術與標準化,2009(3).
關鍵詞:教育數據中心;安全運維;技術體系
中圖分類號:TP393 文獻標志碼:B 文章編號:1673-8454(2016)19-0005-06
一、省級數據中心的整體架構
近年來,福建省教育管理信息中心從更高層次上將過去以單位建設和運營的傳統信息系統整合成以省級為單位的數據中心,形成資源共享、互聯互通、服務整合的有機整體,省級數據中心實現虛擬化和動態管理,為本省提供教育管理信息系統運行的云服務平臺,承載和滿足國家教育管理公共服務平臺在省級教育行政部門的部署和運行,集成和支撐省本級各類教育基礎數據庫和各類教育管理信息系統,服務于所轄區域內教育行政部門和學校的信息化管理業務應用。
整體設計架構如圖1所示。
隨著教育管理信息系統的建成,各級各類教育部門對信息系統的依賴程度將會越來越高,逐步形成覆蓋各級各類教育的學生、教師和學校及資產等方面的海量信息,這對維持教育管理信息系統安全穩定運行,保障教育管理信息安全提出了更高的要求
二、省級數據中心安全防護的變化
利用云計算技術,省級數據中心實現了計算資源、網絡資源、存儲資源的虛擬化和服務化,同時數據中心的安全威脅和防護要求也產生了新的變化。云計算帶來的一個最明顯的變化就是計算網絡的邊界發生了改變,諸多的業務系統運行在數據中心云服務平臺上,保障數據中心的業務連續性和進行災難恢復將是一個巨大的挑戰,任何一個機械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制,就很有可能造成整個數據中心的崩潰。
1.安全防護對象擴大
安全風險并沒有因為虛擬化而消失或規避。盡管單臺物理服務器可以劃分成多臺虛擬機使用,但是每臺虛擬機上承載的業務和服務和傳統單臺服務器承載的基本相同,同樣虛擬機面臨的安全問題跟單臺物理機也是基本相同的,如對業務系統的訪問安全、不同業務系統之間的安全隔離、操作系統和應用程序的漏洞攻擊等。
數據中心需要防護的對象范圍也擴大了。安全防護需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件,由于 vcenter等本身所處的特殊位置和在整個系統中的重要性,如果漏洞沒能及時修復,這必定會給虛擬化平臺帶來一定的安全風險,一旦攻擊者獲得虛擬化平臺的管理權限,將可以隨意訪問任意一臺虛擬機,服務器的業務數據也就沒有任何安全性可言了。
2.威脅擴散速度快
在虛擬化環境中,同一臺物理服務器上的不同虛擬機之間的通訊是基于服務器內部的虛擬交換網絡解決,相鄰虛擬機之間的流量交換不通過外部的網絡交換機,此時外部的網絡安全工具也都無法監測到物理服務器內部的流量。其中任何一臺虛擬機存在安全漏洞被攻擊控制后,攻擊者可通過這臺虛擬機入侵同一臺服務器上的其他虛擬機。
虛擬機可以根據實際需求在不同物理機之間進行動態遷移,這可能會讓一些重要的虛擬機遷移到不安全的物理機上,或者一些測試用的虛擬機與重要的虛擬機遷移到同一虛擬局域網,從而帶來安全風險。
3.病毒掃描風暴
完成服務器虛擬化之后,為了保護虛擬服務器的安全運行,要在每一臺虛擬機上安裝防病毒等安全軟件,每臺虛擬機因此要消耗相同的CPU、內存等硬件資源,常規防病毒掃描和病毒碼更新等也需要占用大量資源,這樣隨著虛擬機數量的增加,后端存儲的負荷隨之變大從而影響到系統的運行速度。
虛擬機的初衷是綠色環保,低碳節能,沒有業務運行的時候可以關閉虛機,業務恢復時開啟虛機,但關閉期間病毒代碼是無法更新的,如果多臺虛擬機同時開機更新防病毒軟件的病毒碼,這時網絡帶寬也有較大影響。如果所有虛擬機上的防病毒軟件設置定期掃描或更新,將會引起“防病毒風暴”,影響服務器應用程序的正常運行。
三、省級數據中心安全運維技術體系構建
依據國家等級保護的有關標準和規范,以省級教育數據中心基礎環境的安全防護需求為出發點,根據云計算虛擬化的特點和風險狀況,同時參考傳統“進不來,拿不走,看不到,改不了,走不脫”的防御要求,分別從事前監控、事中防護和事后審計三個角度進行考慮,采用分區分域、重點保護的原則,對數據中心網絡和業務應用系統進行分區分域防控,對承載的國家教育管理公共服務平臺、本級應用系統和重點區域進行重點的安全保障,根據業務應用系統面臨的實際安全威脅,采用適當的安全保障措施,建立覆蓋物理、網絡、主機、存儲、數據庫、應用的整體信息安全防護技術支撐環境,提升數據中心的抗攻擊能力,維持國家教育管理信息系統穩定運行,保障教育管理信息安全。
1.物理層
(1)機房安全
機房是數據中心重要的基礎設施,服務器設備、網絡設備和存儲設備等是數據中心機房的核心設備。這些設備運行所需要的環境因素,如供電系統、空調系統、消防系統、機房與監控系統是數據中心機房重要的物理基礎設施。福建省級教育數據中心前身是省教育廳信息中心機房,由服務器機房、網絡機房、控制室、配電機房四部分組成,現有數據中心使用面積達115平方米,安裝了機房智能、供配電、通風,環境監測、防雷接地、門禁等子系統,滿足機房建設的相關標準和要求,符合信息安全等級保護三級的合規要求。
(2)資產管理
數據中心管理關鍵在于立足全局,明了擁有的資源,知曉設備放置在哪里,它們是如何連接到一起的。準確的資產數據是數據中心日常運維的基礎之一,隨著數據中心的設備數據增加,資產信息的準確性顯得更加重要。對已有的虛擬機、物理設備和應用系統進行標記,例如業務IP、管理地址、外網映射、對外開放端口、VPN情況、資源情況、域名、相應特殊策略及對系統的簡短描述。
2.網絡層
(1)安全區域的劃分
為保障數據中心整體結構安全,將安全區域劃分作為安全運維技術體系設計的首要任務。數據中心的網絡構成非常龐大,支撐的應用系統也非常復雜,因此采用基于安全域的辦法是非常有效的,結合數據中心的基礎環境及業務系統的實際情況和特點,以安全保障合理有效為原則,將信息系統網絡劃分為多個相對獨立的安全區域,根據各個安全區域的功能和特點選擇不同的防護措施。
省級教育數據中心既承載著國家教育管理信息系統,又為自建應用系統提供運營支撐。根據安全等級保護要求完成安全區域劃分,分別設置外網接入區、骨干網絡區、前置服務區、應用服務區、數據庫區及運維區等,同時在應用服務區里根據應用對象劃分了教育部系統區、廳主要應用區、其他應用區,結合各個安全區域的業務特點設計保護措施和安全策略,這大大提升了安全防護的有效性,也體現出重點區域重點防范的建設原則。
(2)外網接入區
主要實現網絡出口及出口的安全管理、帶寬管理、負載均衡控制。根據外網接入區的特點分析和需求分析,對該區域進行邊界的防護,以及對入侵事件的深度檢測及防護,抗拒絕服務攻擊以及流量分析構成完善的防護系統。
A.實現邊界結構安全。數據中心有多條ISP鏈路,包括移動、聯通、電信等。通過互聯網邊界部署鏈路負載均衡設備避免因ISP鏈路故障帶來的網絡可用性風險和解決網絡帶寬不足帶來的網絡訪問問題。根據業務的重要次序進行帶寬分配優先,保證在網絡發生擁堵的時候優先保護重要業務,保證網絡各個部分的帶寬滿足業務高峰期需要。
B.實現邊界訪問控制。在互聯網邊界部署邊界萬兆防火墻,一方面滿足數據中心萬兆網絡環境需求;另一方面滿足互聯網邊界移動、電信、聯通等線路接入以及對流經防火墻的數據包提供明確的拒絕或允許通過的能力、提供細粒度的訪問控制,并滿足網絡層面抗攻擊能力。防火墻詳細記錄了轉發的訪問數據包,便于管理人員進行分析。同時在防火墻配置會話監控策略,當會話處于非活躍一定時間或會話結束后,防火墻自動將會話丟棄,訪問來源必須重新建立會話才能繼續訪問資源。
C.實現邊界惡意代碼防范。在互聯網邊界部署防病毒網關,采用透明接入方式,在最接近病毒發生源安全邊界處進行集中防護,對夾雜在網絡交換數據中的各類網絡病毒進行過濾,對網絡病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進行全面的攔截。截斷了病毒通過網絡傳播的途徑,凈化了網絡流量,滿足三級等級保護中實現邊界惡意代碼防范的要求。
D.實現邊界安全審計。在互聯網邊界部署上網行為管理系統,滿足為單位內部用戶提供內網用戶上網行為合規性檢查,提供用戶上網行為日志記錄,不合規上網行為阻斷等功能。
(3)骨干網絡區
核心交換區連接數據中心內部各個功能分區,是整個運行網數據中心的核心,其功能是高速可靠地交換數據,需要具備高性能、高可靠。各個功能分區匯聚位置采用獨立的匯聚交換機去實現。
A.實現邊界訪問控制。通過數據中心核心交換機配置防火墻板卡和IPS板卡,為數據中心的網絡應用提供主動、實時的防護,監測網絡異常流量,自動對各類攻擊性的流量進行實時阻斷,增強數據中心穩定性、可靠性、安全性。
B.數據中心萬兆匯聚防火墻具備虛擬防火墻功能,通過將數據中心萬兆匯聚防火墻虛擬成應用服務器區邊界防火墻,為應用服務器區/數據庫服務器區/運維管理區邊界提供細粒度的訪問控制能力,實現基于源/目的地址、通信協議、請求的服務等信息的訪問控制,防止終端接入區用戶非法訪問應用服務器區的資源,并且利用防火墻的多個端口,將實現多個區域的有效隔離。
3.平臺層
云安全技術多集中在虛擬化安全方面。虛擬化環境下計算、存儲、網絡結構、服務提供模式等的改變,帶來了應用進程間的相互影響更加難以監測和跟蹤,數據的隔離與訪問控制管理更加復雜,傳統的分區域防護界限模糊,對使用者身份、權限和行為的鑒別、控制與審計變得更為重要等一系列問題,對安全提出了更高的要求。
(1)防火墻
傳統的網絡安全設備無法查看虛擬機內的網絡通信,因而無法檢測或抑制源于同一主機上的虛擬機的攻擊。針對服務器虛擬化面臨的風險,通過部署與VMware虛擬化環境底層系統無縫集成的無安全防護系統,減少物理和虛擬服務器的攻擊面。使用雙向狀態防火墻對服務器防火墻策略進行集中式管理,阻止拒絕服務攻擊,實現針對虛擬交換機基于網口的訪問控制和虛擬系統之間的區域邏輯隔離,構建虛擬化平臺的基礎架構多層次的綜合防護。
以透明方式在VMware vSphere虛擬機上實施安全策略,按照最小授權訪問的原則,細化訪問控制策略,嚴格限制訪問虛擬機宿主機和虛擬機的訪問IP 地址、協議和端口號,保障虛擬機在動態環境中的安全。
(2)防惡意軟件
為了確保虛擬化平臺及虛擬機的安全運行,必須部署必要的安全工具,在虛擬機上安裝網絡殺毒軟件和惡意代碼查殺程序,防止虛擬機遭受病毒及惡意代碼的侵襲,設置病毒和惡意代碼查殺策略。及時更新病毒庫和惡意代碼庫,保證病毒和惡意代碼及時被清除。
無安全模式以一臺物理機為管理單位,無需在每個虛擬機中部署安全防護程序,集中一臺虛擬安全服務器中部署運行,隨時在線升級和維護,分時掃描各應用服務器虛擬機,對虛擬環境的性能不會造成顯著影響,從而避免了“防病毒風暴”等現象。
(3)補丁程序更新
虛擬化平臺由于自身設計的缺陷,也存在安全隱患。要保證虛擬機的安全,必須及時為虛擬機進行漏洞修補和程序升級。即便如此,仍然存在安全隱患,原因在于虛擬機系統的補丁可能落后于更新,而且承載不同操作系統的虛擬機可能遲滯不同級別的補丁和更新。所以當其他虛擬機受到保護時,這些還沒有更新補丁,容易受到安全威脅的機器就會影響其他虛擬機的安全。
4.系統層
安全測試與風險評估。在部署信息系統前,對承載應用系統的數據庫、中間件進行安全配置,并在系統正式上線運行前進行安全測試與風險評估,對于發現的問題整改完成后再行上線,避免應用系統帶病運行造成后期整改困難。
(1)部署漏洞掃描系統
如果說防火墻和網絡監視系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。采用最新的漏洞掃描與檢測技術,包括快速主機存活掃描技術、操作系統識別技術、智能化端口服務識別技術、黑客模擬攻擊技術、入侵風險評估技術等多種掃描技術的綜合應用,快速、高效、準確地發現系統安全隱患并在短時間內修復漏洞,最大限度地降低系統安全風險,消除安全隱患。
(2)服務器加固系統
操作系統核心加固通過對操作系統原有系統管理員的無限權力進行分散,使其不再具有對系統自身安全構成威脅的能力,實現文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務強制訪問控制、三權分立的管理、管理員登錄的強身份認證、文件完整性監測等功能,從而達到從根本上保障操作系統安全的目的。此外,內核加固模塊穩定的工作于操作系統下,提升系統的安全等級,為用戶構造一個更加安全的操作系統平臺。
5.應用層
(1)應用服務區劃分
應用服務區主要承載運行環境內的應用服務器,包括教育部應用的oracle、weblogic等中間件服務器等。核心區通過獨立的防火墻設備接入應用服務區。
根據應用系統承載不同的應用,實現不同的功能,不同的管理模式,不同的應用系統劃分為不同的保護等級,應用服務區分為教育部應用區(三級)、廳主要應用區(三級)、市縣應用區(二級)。
(2)前置服務區
提供Web服務的服務器被放置在前置服務區,主要運行網站等互聯網應用。在前置服務器區邊界部署Web應用防火墻,能夠滿足為前置服務器區邊界提供強制訪問控制能力以及能夠提供應用層針對網站攻擊防護能力。事前,Web應用防火墻提供Web應用漏洞掃描功能,檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當前的安全熱點問題,網頁篡改及網頁掛馬,提供診斷功能,降低安全風險,維護網站的公信度。從而更有效地對廳網站進行全面的保護,有效降低安全風險。通過部署Web應用防火墻彌補防火墻、IPS在應用層方面薄弱的防護能力。
6.數據層
(1)數據庫安全審計
數據庫服務區承載了運行環境下核心應用系統的核心數據庫。目前共3套核心Oraclerac集群服務器。在數據庫服務器區接入交換機旁路部署兩臺數據庫審計系統,通過技術手段并結合管理制度,能夠確保數據庫服務器區的數據庫系統的信息安全;能夠及時發現非法用戶以及黑客對數據庫錯誤操作和非法操作,并進行及時阻斷;能夠對數據庫查詢和修改等操作進行記錄,并能提供事后追溯;能夠檢測和分析數據庫應用系統存在的BUG,并能提供相關報表信息;對所有數據庫操作可實現字段級的細粒度審計,便于數據庫管理。
(2)數據傳輸安全
保障業務數據在傳輸過程中的完整性與保密性。一方面,在外網接入區邊界部署IPSECVPN實現在省級數據中心與教育部數據中心進行數據傳輸時,通過VPN技術措施進行傳輸加密,實現數據通信加密安全;另一方面,在前置服務器區部署SSLVPN實現在福建省教育廳數據中心服務器與外部出差、外部辦公人員應用終端之間進行數據傳輸時,通過SSLVPN技術措施實現數據傳輸的加密,實現數據通信加密安全。
(3)數據容災備份
備份是用戶保護計算機中重要數據信息的最佳方式。通過Symantec Netbackup實現本地統一備份以及遠程數據復制歸檔的功能,并且在本地配備重復數據刪除功能,通過重刪后的數據進行遠程數據復制歸檔,從而降低數據的傳輸大小以及對傳輸帶寬的要求。實現省級教育數據中心的各類結構化、非結構化數據的本地數據備份,制定備份策略,備份服務器將自動進行數據的增量備份與全備份操作;實現各類數據的異地歸檔備份數據級容災,能夠在數據中心生產數據以及其備份數據均產生問題時,通過容災機房實現遠程歸檔備份的數據還原操作;實現教育數據中心關鍵系統的獨立部署以及本地數據備份,大大提高系統的數據安全性。
7.運維層
(1)安全運維管理平臺
安全運維管理平臺的主要監控對象包括各省級教育數據中心所轄硬件設備(網絡設備、安全設備和服務器等)和應用系統,主要實現的功能包括:資產管理、性能監控、信息安全告警管理、信息安全事件審計、信息安全風險管理、工單管理、通告管理及多級聯動等主要功能。
按照教育部安全運維管理平臺統一配置規范、統一接口標準建設省級安全運維管理平臺,一方面負責采集分析省級教育數據中心網絡設備、安全設備、服務器、中間件的性能指標,實現省級數據中心基礎環境的業務可用性集中監測與管理;另一方面收集匯總本級環境中的安全事件并進一步通過關聯分析實現對部署在本級的國家教育管理信息系統的整體安全運行態勢進行集中監控、分析與管理。最終省級安全運維管理平臺通過IPSecVPN構建的數據加密傳輸通道上報業務可用性運行狀態、重大信息安全風險、重要信息安全事件及信息安全審計分析報告等數據信息至中央級安全運維管理平臺,實現對全國教育信安全事件的集中監測、上報與響應。
(2)應用安全監測與預警平臺
應用安全監測與預警平臺以應用系統為對象,對應用系統進行漏洞監測、實時掛馬監測、關鍵字監測、可用性監測、事后篡改監測、安全告警與安全勢態跟蹤,實現對應用系統的可用性、脆弱性和內容安全性進行監測、預警。
統一部署的應用安全監測預警管理平臺,實現對部署于數據中心的國家教育管理信息系統及自建系統進行應用安全監測與管理;并通過本平臺上報國家教育管理信息系統的重大安全風險、重要安全事件及應用系統安全審計分析報告等數據信息。
(3)安全運維審計
在運維管理區部署運維審計系統,邏輯上將人與目標設備分離,建立“人-〉主賬號(堡壘機用戶賬號)-〉授權―>從賬號(目標設備賬號)的模式;在這種模式下,基于唯一身份標識,通過集中管控安全策略的賬號管理、授權管理和審計,建立針對維護人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計管理,實現對各種運維加密/非加密、圖形操作協議的命令級審計。通過細粒度的安全管控策略,保證服務器、網絡設備、數據庫、安全設備等安全可靠運行,降低人為安全風險,避免安全損失。堡壘機不僅能記錄操作痕跡,還能回放記錄,追溯責任,定位問題,運維審計結果能以各種報表形式展現,滿足不同人員的需求。
四、結束語
安全運維是確保信息系統正常運行的必要環節,也是信息系統生命周期中的一個長期工作。省級教育數據中心安全運維技術保障體系依托統一身份認證管理平臺,通過分級和分域進行安全管理與保障,實現各個分域子網安全,實現基于安全域的安全互聯、接入控制與邊界安全防護,構建安全管理中心,提供安全管理、安全監控、安全審計、容災備份、應急響應等安全服務手段,保證數據中心計算環境安全,保證承載的國家教育管理公共服務平臺和本級各類教育管理信息系統的運行,最終形成“安全開放、等級保護、按需防御”的等級化安全保障體系,服務于所轄區域內教育行政部門和學校的信息化管理業務應用。
參考文獻:
[1]教育部教育管理信息中心.國家教育管理公共服務平臺省級數據中心建設指南(印發稿)[Z].2013.
[2]曾德華.省級數據中心建設目標、內容框架與實施管理[J].中國教育信息化,2013(13):8-9.
[3]安宏.國家教育管理信息系統信息安全保障體系建設[J].中國教育信息化,2013(13):16-19.
[4]鄧高峰,高四良,李玉龍.服務器虛擬化安全問題分析及防護措施[J].計算機安全,2014(8):30-32.
關鍵詞:云計算;服務器虛擬化;數據中心
DOIDOI:10.11907/rjdk.161896
中圖分類號:TP3-0
文獻標識碼:A 文章編號文章編號:16727800(2016)011020602
0 引言
數據中心(DC)是企業或單位的智力支持部門,其重要性毋庸置疑。在傳統的數據中心,存放著大量服務器、存儲設備、網絡設備;一整套完備的制冷、消防、環境監測、安防監控等系統,對整個企業的正常運轉發揮著重要作用。數據中心業務增長日益加快,對運維人才的要求也不斷提高。為保障系統正常運轉,既要加大軟硬件設備投入力度,也要注重運維管理人才培養。傳統企業CTO因行業背景及所處地域或企業文化影響,面對這種變革,往往慢上半拍,當其反應過來已落后行業或主流社會一大截。服務器虛擬化技術的出現為解決眼前困局開辟了一條嶄新通道。
虛擬化由來已久,在早期的IBM 7044計算機上已有其應用,之后IBM相繼開發了型號為Model 67的System/360主機。直至今天,在最新的IBM小型機POWER8系列主機上還能發現它的身影,可以說大型計算機、小型計算機與生俱來就擁有虛擬化技術。Model 67主機通過虛擬機監視(Virtual Machine Monitor)虛擬所有的硬件接口,高效利用直接運行在底層的硬件部分,使得可以同時運行多個虛擬設備,進而進一步演化發展,通過虛擬機技術,可以有效實現多個操作系統的同時使用;之后在RISC服務器與小型機上陸續開始采用虛擬化技術來提高計算機的使用頻率,盡可能發揮計算資源的計算能力。這種設計思想在今天看來是具有前瞻性和創新性的,也為虛擬化技術的實現奠定了堅實基礎。IBM在1999年提出的邏輯分區概念,直到發展成動態邏輯分區(DLPAR)技術,在不中斷運行的情況下進行資源分配,使得系統管理更加輕松,更有效地利用資源,降低總成本。
在對傳統數據中心進行服務器虛擬化進而為云計算作升級準備時,IT人員必須了解關于服務器虛擬化技術的基本概念及原理,特別是該技術存在的風險。因此,有必要深入分析數據中心服務器虛擬化的優勢及不足。
1 服務器虛擬化技術優勢
(1)成本低。
成本降低是服務器虛擬化技術帶來的顯著效果。最常見的場景是硬件大量減少,比如服務器數量減少,通過成熟的服務器虛擬化技術,將IT開銷縮減60%~80%是很平常的。服務器數量可能只需要原來的1/10。而原有的服務器變成虛擬服務器,從而減少了硬件。與此同時由于硬件的減少,為硬件提供保障的如制冷、消防設施、安保、環境監控等多項設施需求也隨之降低,進而降低了整體IT成本。而在管理上對服務器的遷移、數據的備份、計算資源的擴展卻會更加靈活高效。
據谷歌公布的數據顯示,谷歌數據中心能源消費達到2.6億瓦特,這相當于弗吉尼亞州首府里士滿或者加州歐文市家庭用戶的所有用電量,或者說,這相當于一座標準核電站1/4的輸出功率。通過服務器虛擬化技術可以有效降低電能消耗實現“低碳”排放,進而朝著“綠色計算”這個方向邁進一步。
諸如此類的多種開銷的減少,最終會體現在經濟效益上。設備的減少意味著更少的能耗開支,空間的減少意味著更少的租賃費用。所有這一切都說明虛擬化技術在成本控制上有更大優勢,同時也為“綠色地球”作出貢獻。
(2)資源共享。
服務器虛擬化技術的運用,將一些硬件資源包括服務器、存儲空間、網絡全部都整合起來,可以高效地加以利用,提高資源利用率,減少資源浪費。利用虛擬化技術實現負載的動態優化,動態優化包含兩方面的內容:由于應用系統的負載是變化的,應用虛擬化技術可以靈活地根據負載需求靈活調整服務器計算資源來提供服務。通過使用動態優化算法就能夠充分利用未使用的計算能力和空間。
(3)可靠性高。
在傳統的IT架構中,為提高可靠性通常是將整個系統置于商用集群環境中[1],金融、政府、電信等關鍵領域都應用了這一場景。正因為這些應用需求,造就了對IOE的依賴和制約,也對今天的“去IOE運動”起到了一定的推動作用。集群的使用盡可能地提高了系統可靠性,但是集群環境是昂貴的,其維護也非常困難。通過虛擬化方法能夠非常靈活地提高可靠性,它是在Hypervisor層次上進行保護,而不是在應用層上,并且它能夠非常容易地去實現保護。比如虛擬化軟件自帶的HA工具集能夠簡單快捷地實現業務需求,同時兼顧了靈活的擴展性,使得服務器的可靠性得以提高,相應軟件的可靠性也相應得以提高。
(4)靈活性強。
在傳統的IT環境中,應用系統的增加、升級、維護等工作,需要對OS和軟件進行安裝或維護。這項工作需要大量的時間和精力,通過虛擬化技術能夠簡單靈活地快速完成,不需要考慮準備新的硬件設備,只需要在資源池中給應用系統增加或修改業務系統所需要的計算資源即可。
2 服務器虛擬化技術不足
隨著技術的飛速發展及海量數據的激增,服務器虛擬化技術以其獨特優勢在各數據中心正在替代傳統的、龐大的服務器系統。服務器虛擬化技術的擴展性、靈活性、環保性備受人們青睞,但其也具有兩面性,因此帶來了不少問題。
(1)物理故障危害大。
在傳統IT架構中,如果一臺服務器出現硬件故障導致其不能正常工作,通常啟用備用服務器就能使業務在較短時間內恢復,而不會影響部署在其它服務器上的服務。但是在虛擬化環境中,如果出現硬件故障,就意味著所有部署在該物理機上的所有服務都將因此故障而不能提供服務。在這種環境中,硬件故障帶來的危害更大。
(2)應用場景局限性。服務器虛擬化技術并不是萬能的,在傳統的X86架構中通過虛擬化的方法,將廉價服務器組合成一個集群,盡可能發揮服務器的效率,降低IT成本。然而在一些非常高端的應用中,它對服務器計算資源的消耗極大,需要頻繁訪問內存和硬盤。對于這樣的高端應用,應該將其放到真正的物理機中運行而不是虛擬環境中,只有這樣才能更好地保障應用的實現。
(3)排錯過程更復雜。現有成熟的服務器虛擬化商用解決方案中,一旦出現故障或錯誤將給IT管理人員帶來較大風險,這種風險不僅僅存在于故障本身,同時也體現在排除這種故障或錯誤所需要的成本上。其中復雜的排錯過程和專業的技術要求都會給每個管理者帶來困擾。
3 主流服務器虛擬化產品
3.1 VMware虛擬化技術
VMware虛擬化[2]將操作系統從運行它的底層硬件中抽離出來,并為操作系統及其應用程序提供標準化的虛擬硬件,從而使得多臺虛擬機能夠在一臺或者多臺共享處理器上同時獨立運行。借助虛擬化技術,客戶可以輕松將多臺不同服務器的工作負載整合到更為可靠并且性能更高的平臺上。VMware虛擬化技術在服務器虛擬化領域可以說是首屈一指,有大量用戶采用其服務器虛擬化產品。
3.2 微軟虛擬化技術
微軟具有全面而靈活的端到端的解決方案,其投入不僅僅局限于服務器虛擬化,通過System Center實現整合和管理,在客戶中進行廣泛的推廣與部署。虛擬化技術的關鍵在于普及化,微軟有很好的平臺,有助于推動該技術的普及化。
3.3 Citrix虛擬化技術
Citrix Systems技術[34]使得數字辦公無處不在,極大提高了工作效率。通過與世界一流業界伙伴攜手合作,Citrix解決方案為企業級用戶實現應用、遠程訪問、移動辦公以及業務一致性等卓越功能,極大提升了企業的IT投資回報和生產效率。它擁有開源的服務器虛擬化平臺XEN,但其主要優勢在于桌面虛擬化業務。
4 結語
隨著虛擬化、云計算技術的快速發展,越來越多的應用和業務都承載于這些新技術之上。傳統數據中心的技術變革勢不可擋,在此背景下選擇適合自己的服務器虛擬化技術是每一個IT技術管理者必須思考的問題。本文對主流服務器虛擬化技術進行了詳盡闡述,并對傳統數據中心技術變革的若干問題進行深入研究,同時總結了服務器虛擬化技術的優勢與不足。虛擬化是大勢所趨,企業應當從自己的實際情況出發,綜合考慮虛擬化帶來的各種影響,找到適合自己的模式。
參考文獻:
[1] LEANDRO CARVALHO.HyperV 3.X虛擬化技術企業現場實戰[M].臺灣:胡為君,譯.峰資訊,2013.
[2] [法]ERIC MAILL,RENFRANOIS MENNEC,馬博峰.VMware虛擬化技術指南[M].北京:機械工業出版社,2013.
