中國人民銀行福州中心支行 岑煒樺

基于自主可控技術的全省機房遠程視頻監(jiān)視平臺建設

中國人民銀行福州中心支行 岑煒樺

為加強基層行計算機機房監(jiān)控管理、完善機房非現(xiàn)場檢查措施，人民銀行福州中心支行克服整合、調(diào)試、協(xié)調(diào)、開發(fā)、實施等重重困難成功研發(fā)了基于自主可控技術的全省機房遠程視頻監(jiān)視平臺。該平臺可以實時掌握各級機房運行狀況，提供遠程操作指導，并比對各級行提交的計算機機房人員進出、設備和網(wǎng)絡巡查等信息，加強對各級行巡查工作的非現(xiàn)場監(jiān)測管理，及時發(fā)現(xiàn)基層行機房運維管理方面的安全問題。通過定期通報檢查結(jié)果等方式，有效增強了內(nèi)控制度落實的技術管理力度，提升對基層行信息安全工作的管控能力，取得了很好成效。

自主可控；視頻監(jiān)視；系統(tǒng)建設

一、建設背景

福建省人民銀行系統(tǒng)共有69家分支機構，各家分支機構均建有計算機機房，為日常辦公和業(yè)務往來提供服務。各級機房由人民銀行內(nèi)部員工負責日常運維，人民銀行福州中心支行（以下簡稱“福州中支”）負責指導全省機房建設和日常運維。2016年，為加強基層行計算機機房監(jiān)控管理、完善機房非現(xiàn)場檢查措施，福州中支自主研發(fā)了全省機房遠程視頻監(jiān)視平臺。

二、項目難點

與常規(guī)的新建項目相比，該項目是涉及全省各級機房軟、硬件設施的綜合性改造項目，從最初設計到最終投產(chǎn)運行歷時近一年?；仡欗椖拷ㄔO歷程，該項目具有以下五大困難：

（一）整合難

項目實施前，各級機房均已配備了視頻監(jiān)視系統(tǒng)。為最大限度保護各單位已有投資，監(jiān)視平臺需整合4個品牌42種型號的硬盤錄像機。這些設備品牌多、型號雜、使用時間長，大部分設備已無使用說明、無廠商維保、無技術支持，在開發(fā)過程中難以獲得底層通訊協(xié)議，整合難度大。

（二）調(diào)試難

按照已有的職責分工，各級機房由各單位自行建設和運維，機房改造或設備更新無需福州中支審批同意。因此在項目建設過程中，各級機房往往會根據(jù)自身實際情況，自行更新設備，導致設備品牌和型號不斷變化。往往福州中支花大力氣調(diào)試成功了某個品牌某個型號的設備，結(jié)果該單位又換了個新品牌的設備，這樣既造成了人力物力的浪費，也增大了監(jiān)視平臺的調(diào)試難度。

（三）協(xié)調(diào)難

實現(xiàn)機房遠程視頻監(jiān)視，首先需將監(jiān)視系統(tǒng)聯(lián)網(wǎng)。各級機房的視頻監(jiān)視系統(tǒng)大多納入了所在辦公大樓的保衛(wèi)監(jiān)視系統(tǒng)，而保衛(wèi)監(jiān)視系統(tǒng)不僅監(jiān)視機房，還監(jiān)視了辦公大樓的各個區(qū)域，部分單位的保衛(wèi)監(jiān)視系統(tǒng)還負責庫房的視頻監(jiān)視。因此需要協(xié)調(diào)保衛(wèi)部門同意聯(lián)網(wǎng)。但福州中支的保衛(wèi)部門不負責各單位的視頻監(jiān)視系統(tǒng)，需科技部門自行與各單位的保衛(wèi)部門逐一協(xié)調(diào)，因此溝通協(xié)調(diào)的難度大。

（四）開發(fā)難

項目初期擬參照兄弟行做法由福州中支統(tǒng)一招標選定集成商負責平臺開發(fā)和項目實施，但考慮到花費較大（人民銀行某分行僅實現(xiàn)地市機房集中監(jiān)控約需投資500萬），改由福州中支自主研發(fā)。這是福州中支首次基于自主可控技術研發(fā)機房監(jiān)控平臺，涉及多種硬件的底層通訊協(xié)議，開發(fā)難度大。

（五）實施難

因該項目沒有廠商到各單位現(xiàn)場實施，需依靠各單位的科技人員配合福州中支遠程調(diào)試和實施。但各縣級支行無專職科技人員，多由辦公室或保衛(wèi)人員兼任，缺乏計算機專業(yè)技術知識，部分人員不知道何為交換機、何為IP地址。同時因為科技工作是兼崗，他們配合調(diào)試的時間就很少，平均每人每天僅有半個小時能參與調(diào)試。在實施過程中，往往遇到剛調(diào)試了十幾分鐘，科技人員說要趕去開會，不能接著調(diào)試了；或者接下來幾天科技人員要出差或休假需要提前調(diào)試，從而打亂了整體計劃，延長了實施時間。

三、硬件架構

計算機機房視頻監(jiān)視平臺采用“URL參數(shù)化”方式遠程調(diào)閱各單位計算機機房大門、電源間和網(wǎng)絡管理區(qū)視頻，隨時掌握各單位計算機機房場地狀況。針對各單位現(xiàn)狀，提出以下四種方案，由各單位自行選擇實施。

1、利用現(xiàn)有計算機機房模擬視頻監(jiān)視系統(tǒng)拓樸圖。條件是現(xiàn)有硬盤錄像機應有網(wǎng)絡接口，能夠接入業(yè)務網(wǎng)運行，并且可以設置專用賬戶，開放指定區(qū)域監(jiān)視視頻調(diào)閱權限，如下圖所示：

2、利用現(xiàn)有計算機機房數(shù)字視頻監(jiān)視系統(tǒng)。條件是現(xiàn)有硬盤錄像機應有足夠網(wǎng)絡接口，能夠接入業(yè)務網(wǎng)運行，并可以設置專用賬戶，開放指定區(qū)域監(jiān)視視頻調(diào)閱權限，如下圖所示：

若現(xiàn)有硬盤錄像機沒有多余的網(wǎng)絡接口，可通過路由交換一體機或路由器將硬盤錄像機的保衛(wèi)自建網(wǎng)IP地址一對一的轉(zhuǎn)換為業(yè)務網(wǎng)IP地址后再接入網(wǎng)絡，如下圖所示：

3、改造計算機機房模擬視頻監(jiān)視系統(tǒng)。條件是新增的硬盤錄像機應有網(wǎng)絡接口，能夠接入業(yè)務網(wǎng)運行，并且可以設置專用賬戶，開放指定區(qū)域監(jiān)視視頻調(diào)閱權限。

4、新建計算機機房視頻監(jiān)視系統(tǒng)。條件是新增的硬盤錄像機應有網(wǎng)絡接口，能夠接入業(yè)務網(wǎng)運行，并且可以設置專用賬戶，開放指定區(qū)域監(jiān)視視頻調(diào)閱權限。

四、軟件架構

計算機機房視頻監(jiān)視平臺基于自主可控的LAMP技術架構，該架構由Linux操作系統(tǒng)、Apache網(wǎng)頁服務器、MySQL數(shù)據(jù)庫服務器和PHP編程語言等四部分組成。其中，Linux是一種自由和開放源代碼的操作系統(tǒng)，本項目選用的CentOS操作系統(tǒng)是由社區(qū)支持的、免費的、安全的、穩(wěn)定的Linux發(fā)行版本。Apache網(wǎng)頁服務器是由社區(qū)負責開發(fā)和維護、自由、開源的軟件，是世界上使用最廣泛的網(wǎng)頁服務器。MySQL數(shù)據(jù)庫服務器是一個開放源代碼的關系數(shù)據(jù)庫管理系統(tǒng)，是目前最流行的開源數(shù)據(jù)庫。PHP編程語言是一種開源的通用計算機腳本語言，尤其適用于網(wǎng)絡開發(fā)并可嵌入HTML中使用。LAMP架構平臺對硬件資源要求較低，可安裝在普通PC服務器上，或虛擬服務器中運行。本項目的LAMP架構平臺搭建在數(shù)據(jù)中心的VMWare虛擬服務器中，安裝簡便、運行穩(wěn)定、易于維護。

五、實踐成效

（一）自主研發(fā)投資小

計算機機房視頻監(jiān)視平臺完全由福州中支自主研發(fā)，所有代碼均安全可控，無需依賴外部公司即可自行增刪功能、修補漏洞、迭代升級。避免了人民銀行在基礎工作和關鍵環(huán)節(jié)上受制于人，獲得了機房運維管理更多的主動權和話語權。

（二）不改變管理職責

建設計算機視頻監(jiān)視平臺不改變各單位現(xiàn)有計算機機房視頻監(jiān)視職責，即各單位的機房還是由各單位自行負責監(jiān)視，福州中支不負責各機房的日常視頻監(jiān)視。福州中支對業(yè)務網(wǎng)縱向防火墻進行設置，僅開放平臺訪問各級機房視頻監(jiān)視系統(tǒng)的權限。各級行為平臺設置專用用戶，僅開放指定區(qū)域監(jiān)視視頻調(diào)閱權限。

（三）實現(xiàn)監(jiān)控全覆蓋

計算機機房視頻監(jiān)視平臺覆蓋了全省人民銀行各級機房，實現(xiàn)了機房監(jiān)視無盲區(qū)。同時，監(jiān)視平臺集成在總行網(wǎng)管監(jiān)控系統(tǒng)上，福州中支科技人員只需登錄網(wǎng)管系統(tǒng)就可同時監(jiān)控全省各級機房設施、網(wǎng)絡設備和應用系統(tǒng)，地市級科技人員可經(jīng)福州中支授權后查看轄內(nèi)機房、網(wǎng)絡等運行狀態(tài)，實現(xiàn)監(jiān)控資源的高度整合，大大提高了工作效率。

（四）監(jiān)督檢查效果好

福州中支可借助平臺比對各級行提交的計算機機房人員進出、設備和網(wǎng)絡巡查等信息，加強對各級行巡查工作的非現(xiàn)場監(jiān)測管理，及時發(fā)現(xiàn)基層行機房運維管理方面的安全問題，如機房進出登記、網(wǎng)絡設備現(xiàn)場巡查、視頻監(jiān)視錄像保存時限等。通過定期通報檢查結(jié)果等方式，有效增強了內(nèi)控制度落實的技術管理力度，提升對基層行信息安全工作的管控能力。

[1]倪光南．信息安全“本質(zhì)”是自主可控[J]．中國經(jīng)濟和信息化,2013,5:18-19．

[2]李一．一種面向自主可控的企業(yè)應用集成框架[J]．金融電子化,2013,4:63-65．

[3]李國杰．為建立自主可控的計算機技術體系而奮斗[EB/OL]．

岑煒樺（1981－），男，福建福州人，計算機碩士，金融學碩士，現(xiàn)供職于中國人民銀行福州中心支行。