论文部分内容阅读
随着医院信息化建设的快速发展,医院各类IT设备及系统变得越来越繁多复杂,随着设备使用时间的增长,发生故障的频率也在逐步上升,当IT系统一旦发生故障,对管理决策与运行带来的负面作用与影响也越来越大。作为全院负责信息系统运行维护的信息化部门,其主要核心工作就是保障信息系统、网络及配套硬件设备的正常运转。目前IT硬件设备以往主要依赖“带内管理+现场管理”的维护模式,在维护人员数量有限的情况下,难以应对不断增长的设备数量,也无法满足日益提高的维护要求为解决IT设备管理和维护中遇到的难题,迫切需要寻找有效的技术手段,以提升维护质量、管理效率并减少人力消耗。为此我们结合OOBI (Out-of-Band Infrastructure)带外架构技术,设计了一套适合医院IT运维的统一监控平台,实现了信息化设备7X24小时实时监控、自动巡检、告警推送、自动修复等功能,从而提高医院信息化部门的管理和服务水平、提升IT运维工作效率,提高医院各个部门的满意度。
一、系统设计
(一)设计思路
国内大部分医院网络一般分为三张网,分别是内网、外网和设备网,三张网络通过逻辑隔离、物理隔离的方式进行隔离。
内网,主要承载医院的医疗核心业务,例如HIS、LIS、PACS、EMR等业务系统,内网承載数据传输的任务,要求高宽带、大容量和高速率,并需考虑未来扩容、带宽升级。因此是网络建设的重点。
外网,可作为行政办公,也可承载对外发布、互联网等业务,随着“互联网+”以及智慧医院等的发展,外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网,但是因为存在对外和互联网互通,因此十分注重安全,且接入终端及数据流特点也更为复杂,因此存在接入终端层面的安全管理需求。同时,医院外网是医院对外的形象窗口,必须重视其建设规划。
设备网,主要承载医院视频监控,门禁、IPTV等等业务,对网络要求低于内网,一般关注稳定性,通常可以采用二层组网。
基于上述网络拓扑结构,我们设计了一套基于带外架构技术OOBI (Out-of-Band Infrastructure)的统一监控平台。带外架构技术是指通过专门的监控通道实现对医院信息化设备的监控和管理,实现对现有的关键业务服务器和网络设备进行集中控管;同时统计监控平台实现统一监控的数据与业务数据分开传输,即在这个监控通道中,只传输监控管理数据、统计信息、监控信息等。监控管理数据与业务数据分离,可以提高统一监控管理的效率与可靠性,也有利于提高统一监控管理数据的安全性。
(二)系统拓扑结构
该平台具有如下特点:
零影响 基于带外架构技术的统一监控平台可以通过设备的管理口实现监控和管理,不仅不需要在每台设备上安装代理软件,减少对操作系统的影响,实现与操作系统的无关性。
全面性:基于带外架构技术的统一监控平台可以实现远程的设备自动上线、资产管理、保修管理、电源管理、虚拟KVM等功能。而且网络中一旦出现故障节点(如:关键业务服务器无法访问、网络链路中断、网络设备出现故障),可以通过统一监控平台带外管理方式对故障设备进行故障排除,而且带外管理不受网络连通性的影响,保证用户在第一时间发现问题、解决问题,以避免经济损失。
跨平台:基于带外架构技术的统一监控平台带外监控管理实现对各个品牌各型号的服务器、网络设备、存储设备、机房动环设备等硬件运行状态进行实时的监测。网络管理工程师无论是在办公室,还是在异地出差,只需要在内外网防火墙上针对带外管理系统开放443 (https)安全端口,就可通过SSL128位加密或Modem拨号的方式,便捷、安全的登录到系统中的管理层设备上,与此同时管理层设备可以直接连接到接入层设备所控制的服务器和网络设备,对被管理的服务器或者网络设备进行BIOS或者Console级别的深层控制。
(三)系统功能
整个平台设计有六个主要功能模块,具体如下表:
二、系统应用效果
目前平台已在部分医院开始运行,在试运行过程中,为使用人员及运维人员提供了以下的便捷和帮助。
(一)提高了故障处理能力
统一监控平台是基于国际先进的OOBI(Out-of-Band Infrastructure)带外架构技术研发的新一代网络集中运维管理系统,通过对IT设备的专用管理端口集中联网形成一个独立于数据网络之外的专用管理网络。运维管理人员通过专用管理网络对机房网络设备、服务器设备、电源系统进行集中管理和远程维护。即使在数据网络发生故障或者设备宕机情况下,运维管理人员仍然通过统一监控平台到达故障设备进行远程管理和维护,提高网络系统的延续性和可用性,大大提高医院IT网络突发故障的应急处理能力。
(二)运维审计功能
运维管理人员登录统一监控平台系统,通过统一的管理界面对分布式网络系统IT设备进行集中管理和维护,统一监控平台系统对所有运维管理人员的管理维护数据进行集中记录。记录内容包括管理员身份信息、登录时间、操作内容、退出时间等信息。
(三)精细化运维管理
统一监控平台系统具有权限分级管理,端口分组管理,设备分组管理功能,通过上述功能对运维管理人员身份、管理权限、管理范围进行严格界定,不同级别管理员登陆系统后只能看到有管理权限和监控权限的设备列表。分工精细责任明确。
(四)强健的安全特性
统一监控平台系统支持128-bit、SSHv2、SSLv3数据加密技术,运维管理人员的所有管理控制信息都将以加密方式传送到被管理设备,确保管理数据安全。统一监控平台系统支持LDAP、SecurID等身份认证系统,通过以上身份认证系统对运维管理人员的身份、管理权限、管理范围进行界定,防止未经授权用户非法访问。IP地址过滤技术可自由定义允许访问的IP地址列表或不允许访问的IP地址列表,根据访问控制IP地址表进行过滤或拦截用户访问。
三、不足和展望
统一监控平台目前已经实现信息化设备的统一监控,但是随着5G技术、WIF16技术、物联网技术等新技术的推广和使用,医院对统一监控平台系统又提出了需求,包括扩大平台的监控范围、监控颗粒度、告警收敛等,因此还需要进一步完善平台功能。
四、总结
根据初步应用的体会,医院IT运维统一监控平台的运行有助于解决医院运维管理工作中的不规范、资产管理混乱等现象,简洁方便的人机交互界面,让用户便于使用,提高了对各种信息设备进行监控的效率,对于不同身份登录的用户,提供不同的权限,保证了信息的安全性,通过对现有工作流程的优化、细化,和资产管理、知识库等技术性文档的数据共享,使该平台除了能满足运维工作管理需求外,还能提供技术支持和解决方案,提高工程师的工作效率,提升用户满意度,在医疗行业中有广阔的应用前景。
一、系统设计
(一)设计思路
国内大部分医院网络一般分为三张网,分别是内网、外网和设备网,三张网络通过逻辑隔离、物理隔离的方式进行隔离。
内网,主要承载医院的医疗核心业务,例如HIS、LIS、PACS、EMR等业务系统,内网承載数据传输的任务,要求高宽带、大容量和高速率,并需考虑未来扩容、带宽升级。因此是网络建设的重点。
外网,可作为行政办公,也可承载对外发布、互联网等业务,随着“互联网+”以及智慧医院等的发展,外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网,但是因为存在对外和互联网互通,因此十分注重安全,且接入终端及数据流特点也更为复杂,因此存在接入终端层面的安全管理需求。同时,医院外网是医院对外的形象窗口,必须重视其建设规划。
设备网,主要承载医院视频监控,门禁、IPTV等等业务,对网络要求低于内网,一般关注稳定性,通常可以采用二层组网。
基于上述网络拓扑结构,我们设计了一套基于带外架构技术OOBI (Out-of-Band Infrastructure)的统一监控平台。带外架构技术是指通过专门的监控通道实现对医院信息化设备的监控和管理,实现对现有的关键业务服务器和网络设备进行集中控管;同时统计监控平台实现统一监控的数据与业务数据分开传输,即在这个监控通道中,只传输监控管理数据、统计信息、监控信息等。监控管理数据与业务数据分离,可以提高统一监控管理的效率与可靠性,也有利于提高统一监控管理数据的安全性。
(二)系统拓扑结构
该平台具有如下特点:
零影响 基于带外架构技术的统一监控平台可以通过设备的管理口实现监控和管理,不仅不需要在每台设备上安装代理软件,减少对操作系统的影响,实现与操作系统的无关性。
全面性:基于带外架构技术的统一监控平台可以实现远程的设备自动上线、资产管理、保修管理、电源管理、虚拟KVM等功能。而且网络中一旦出现故障节点(如:关键业务服务器无法访问、网络链路中断、网络设备出现故障),可以通过统一监控平台带外管理方式对故障设备进行故障排除,而且带外管理不受网络连通性的影响,保证用户在第一时间发现问题、解决问题,以避免经济损失。
跨平台:基于带外架构技术的统一监控平台带外监控管理实现对各个品牌各型号的服务器、网络设备、存储设备、机房动环设备等硬件运行状态进行实时的监测。网络管理工程师无论是在办公室,还是在异地出差,只需要在内外网防火墙上针对带外管理系统开放443 (https)安全端口,就可通过SSL128位加密或Modem拨号的方式,便捷、安全的登录到系统中的管理层设备上,与此同时管理层设备可以直接连接到接入层设备所控制的服务器和网络设备,对被管理的服务器或者网络设备进行BIOS或者Console级别的深层控制。
(三)系统功能
整个平台设计有六个主要功能模块,具体如下表:
二、系统应用效果
目前平台已在部分医院开始运行,在试运行过程中,为使用人员及运维人员提供了以下的便捷和帮助。
(一)提高了故障处理能力
统一监控平台是基于国际先进的OOBI(Out-of-Band Infrastructure)带外架构技术研发的新一代网络集中运维管理系统,通过对IT设备的专用管理端口集中联网形成一个独立于数据网络之外的专用管理网络。运维管理人员通过专用管理网络对机房网络设备、服务器设备、电源系统进行集中管理和远程维护。即使在数据网络发生故障或者设备宕机情况下,运维管理人员仍然通过统一监控平台到达故障设备进行远程管理和维护,提高网络系统的延续性和可用性,大大提高医院IT网络突发故障的应急处理能力。
(二)运维审计功能
运维管理人员登录统一监控平台系统,通过统一的管理界面对分布式网络系统IT设备进行集中管理和维护,统一监控平台系统对所有运维管理人员的管理维护数据进行集中记录。记录内容包括管理员身份信息、登录时间、操作内容、退出时间等信息。
(三)精细化运维管理
统一监控平台系统具有权限分级管理,端口分组管理,设备分组管理功能,通过上述功能对运维管理人员身份、管理权限、管理范围进行严格界定,不同级别管理员登陆系统后只能看到有管理权限和监控权限的设备列表。分工精细责任明确。
(四)强健的安全特性
统一监控平台系统支持128-bit、SSHv2、SSLv3数据加密技术,运维管理人员的所有管理控制信息都将以加密方式传送到被管理设备,确保管理数据安全。统一监控平台系统支持LDAP、SecurID等身份认证系统,通过以上身份认证系统对运维管理人员的身份、管理权限、管理范围进行界定,防止未经授权用户非法访问。IP地址过滤技术可自由定义允许访问的IP地址列表或不允许访问的IP地址列表,根据访问控制IP地址表进行过滤或拦截用户访问。
三、不足和展望
统一监控平台目前已经实现信息化设备的统一监控,但是随着5G技术、WIF16技术、物联网技术等新技术的推广和使用,医院对统一监控平台系统又提出了需求,包括扩大平台的监控范围、监控颗粒度、告警收敛等,因此还需要进一步完善平台功能。
四、总结
根据初步应用的体会,医院IT运维统一监控平台的运行有助于解决医院运维管理工作中的不规范、资产管理混乱等现象,简洁方便的人机交互界面,让用户便于使用,提高了对各种信息设备进行监控的效率,对于不同身份登录的用户,提供不同的权限,保证了信息的安全性,通过对现有工作流程的优化、细化,和资产管理、知识库等技术性文档的数据共享,使该平台除了能满足运维工作管理需求外,还能提供技术支持和解决方案,提高工程师的工作效率,提升用户满意度,在医疗行业中有广阔的应用前景。