基于自主可控技術的全省機房遠程視頻監視平臺建設

中國人民銀行福州中心支行 岑煒樺

基于自主可控技術的全省機房遠程視頻監視平臺建設

中國人民銀行福州中心支行 岑煒樺

為加強基層行計算機機房監控管理、完善機房非現場檢查措施，人民銀行福州中心支行克服整合、調試、協調、開發、實施等重重困難成功研發了基于自主可控技術的全省機房遠程視頻監視平臺。該平臺可以實時掌握各級機房運行狀況，提供遠程操作指導，并比對各級行提交的計算機機房人員進出、設備和網絡巡查等信息，加強對各級行巡查工作的非現場監測管理，及時發現基層行機房運維管理方面的安全問題。通過定期通報檢查結果等方式，有效增強了內控制度落實的技術管理力度，提升對基層行信息安全工作的管控能力，取得了很好成效。

自主可控；視頻監視；系統建設

一、建設背景

福建省人民銀行系統共有69家分支機構，各家分支機構均建有計算機機房，為日常辦公和業務往來提供服務。各級機房由人民銀行內部員工負責日常運維，人民銀行福州中心支行（以下簡稱“福州中支”）負責指導全省機房建設和日常運維。2016年，為加強基層行計算機機房監控管理、完善機房非現場檢查措施，福州中支自主研發了全省機房遠程視頻監視平臺。

二、項目難點

與常規的新建項目相比，該項目是涉及全省各級機房軟、硬件設施的綜合性改造項目，從最初設計到最終投產運行歷時近一年。回顧項目建設歷程，該項目具有以下五大困難：

（一）整合難

項目實施前，各級機房均已配備了視頻監視系統。為最大限度保護各單位已有投資，監視平臺需整合4個品牌42種型號的硬盤錄像機。這些設備品牌多、型號雜、使用時間長，大部分設備已無使用說明、無廠商維保、無技術支持，在開發過程中難以獲得底層通訊協議，整合難度大。

（二）調試難

按照已有的職責分工，各級機房由各單位自行建設和運維，機房改造或設備更新無需福州中支審批同意。因此在項目建設過程中，各級機房往往會根據自身實際情況，自行更新設備，導致設備品牌和型號不斷變化。往往福州中支花大力氣調試成功了某個品牌某個型號的設備，結果該單位又換了個新品牌的設備，這樣既造成了人力物力的浪費，也增大了監視平臺的調試難度。

（三）協調難

實現機房遠程視頻監視，首先需將監視系統聯網。各級機房的視頻監視系統大多納入了所在辦公大樓的保衛監視系統，而保衛監視系統不僅監視機房，還監視了辦公大樓的各個區域，部分單位的保衛監視系統還負責庫房的視頻監視。因此需要協調保衛部門同意聯網。但福州中支的保衛部門不負責各單位的視頻監視系統，需科技部門自行與各單位的保衛部門逐一協調，因此溝通協調的難度大。

（四）開發難

項目初期擬參照兄弟行做法由福州中支統一招標選定集成商負責平臺開發和項目實施，但考慮到花費較大（人民銀行某分行僅實現地市機房集中監控約需投資500萬），改由福州中支自主研發。這是福州中支首次基于自主可控技術研發機房監控平臺，涉及多種硬件的底層通訊協議，開發難度大。

（五）實施難

因該項目沒有廠商到各單位現場實施，需依靠各單位的科技人員配合福州中支遠程調試和實施。但各縣級支行無專職科技人員，多由辦公室或保衛人員兼任，缺乏計算機專業技術知識，部分人員不知道何為交換機、何為IP地址。同時因為科技工作是兼崗，他們配合調試的時間就很少，平均每人每天僅有半個小時能參與調試。在實施過程中，往往遇到剛調試了十幾分鐘，科技人員說要趕去開會，不能接著調試了；或者接下來幾天科技人員要出差或休假需要提前調試，從而打亂了整體計劃，延長了實施時間。

三、硬件架構

計算機機房視頻監視平臺采用“URL參數化”方式遠程調閱各單位計算機機房大門、電源間和網絡管理區視頻，隨時掌握各單位計算機機房場地狀況。針對各單位現狀，提出以下四種方案，由各單位自行選擇實施。

1、利用現有計算機機房模擬視頻監視系統拓樸圖。條件是現有硬盤錄像機應有網絡接口，能夠接入業務網運行，并且可以設置專用賬戶，開放指定區域監視視頻調閱權限，如下圖所示：

2、利用現有計算機機房數字視頻監視系統。條件是現有硬盤錄像機應有足夠網絡接口，能夠接入業務網運行，并可以設置專用賬戶，開放指定區域監視視頻調閱權限，如下圖所示：

若現有硬盤錄像機沒有多余的網絡接口，可通過路由交換一體機或路由器將硬盤錄像機的保衛自建網IP地址一對一的轉換為業務網IP地址后再接入網絡，如下圖所示：

3、改造計算機機房模擬視頻監視系統。條件是新增的硬盤錄像機應有網絡接口，能夠接入業務網運行，并且可以設置專用賬戶，開放指定區域監視視頻調閱權限。

4、新建計算機機房視頻監視系統。條件是新增的硬盤錄像機應有網絡接口，能夠接入業務網運行，并且可以設置專用賬戶，開放指定區域監視視頻調閱權限。

四、軟件架構

計算機機房視頻監視平臺基于自主可控的LAMP技術架構，該架構由Linux操作系統、Apache網頁服務器、MySQL數據庫服務器和PHP編程語言等四部分組成。其中，Linux是一種自由和開放源代碼的操作系統，本項目選用的CentOS操作系統是由社區支持的、免費的、安全的、穩定的Linux發行版本。Apache網頁服務器是由社區負責開發和維護、自由、開源的軟件，是世界上使用最廣泛的網頁服務器。MySQL數據庫服務器是一個開放源代碼的關系數據庫管理系統，是目前最流行的開源數據庫。PHP編程語言是一種開源的通用計算機腳本語言，尤其適用于網絡開發并可嵌入HTML中使用。LAMP架構平臺對硬件資源要求較低，可安裝在普通PC服務器上，或虛擬服務器中運行。本項目的LAMP架構平臺搭建在數據中心的VMWare虛擬服務器中，安裝簡便、運行穩定、易于維護。

五、實踐成效

（一）自主研發投資小

計算機機房視頻監視平臺完全由福州中支自主研發，所有代碼均安全可控，無需依賴外部公司即可自行增刪功能、修補漏洞、迭代升級。避免了人民銀行在基礎工作和關鍵環節上受制于人，獲得了機房運維管理更多的主動權和話語權。

（二）不改變管理職責

建設計算機視頻監視平臺不改變各單位現有計算機機房視頻監視職責，即各單位的機房還是由各單位自行負責監視，福州中支不負責各機房的日常視頻監視。福州中支對業務網縱向防火墻進行設置，僅開放平臺訪問各級機房視頻監視系統的權限。各級行為平臺設置專用用戶，僅開放指定區域監視視頻調閱權限。

（三）實現監控全覆蓋

計算機機房視頻監視平臺覆蓋了全省人民銀行各級機房，實現了機房監視無盲區。同時，監視平臺集成在總行網管監控系統上，福州中支科技人員只需登錄網管系統就可同時監控全省各級機房設施、網絡設備和應用系統，地市級科技人員可經福州中支授權后查看轄內機房、網絡等運行狀態，實現監控資源的高度整合，大大提高了工作效率。

（四）監督檢查效果好

福州中支可借助平臺比對各級行提交的計算機機房人員進出、設備和網絡巡查等信息，加強對各級行巡查工作的非現場監測管理，及時發現基層行機房運維管理方面的安全問題，如機房進出登記、網絡設備現場巡查、視頻監視錄像保存時限等。通過定期通報檢查結果等方式，有效增強了內控制度落實的技術管理力度，提升對基層行信息安全工作的管控能力。

[1]倪光南．信息安全“本質”是自主可控[J]．中國經濟和信息化,2013,5:18-19．

[2]李一．一種面向自主可控的企業應用集成框架[J]．金融電子化,2013,4:63-65．

[3]李國杰．為建立自主可控的計算機技術體系而奮斗[EB/OL]．

岑煒樺（1981－），男，福建福州人，計算機碩士，金融學碩士，現供職于中國人民銀行福州中心支行。