网络运维 设备管控

如何实现网络安全监控运维?

智慧医院IT运维方案

智慧医院IT运维方案
    马上咨询

            随着医疗卫生体制改革不断深化,卫生行业信息化应用不断普及,大数据、AI、医疗物联网等技术的应用,快速推动“智慧医院”建设。以HIS(医院信息系统)、EMRS(电子病历系统)、PACS(影像归档和通信系统)、RIS(放射科信息管理系统)等为代表的IT系统逐步成为医院的核心资产,更终成为医疗服务的重要支撑。

            因此,其稳定与安全,直接关系到医院医疗工作的正常运行,一旦网络瘫痪,将会给医院和病人带来巨大的灾难和难以弥补的损失。

    第1章 智慧医院信息化建设背景

            政策是推动我国医疗信息化、智慧医疗发展众多因素中的重中之重。自2009年我国政府启动深化医疗体制改革措施后,政府陆续出台规范标准类、鼓励支持类等多种政策,指导医疗信息化高效有序推进;各省和地级市政府积更响应,颁布切实可执行的具体措施紧紧跟上。

            在医院评级、智慧医院建设与医院运营管理等内外部因素驱动下,医疗信息化市场呈繁荣增长态势,院内精细化运营,临床业务系统与新兴技术的结合,区域医疗系统互联互通,及数据实时共享是核心需求点,且建设重点从单一的信息化系统,逐步向场景化、平台化、生态化转变。与之而来的是5G、大数据、移动物联网、云计算等在医疗信息化建设中广泛应用,为智慧医院的建设和发展创造了更多的可能。

    第2章 智慧医院信息化运维痛点

            伴随智慧医院建设加速,医院在信息基础设施建设方面不断投入,智慧应用及各类设备、终端的数量出现爆发式增长,IT运行环境日趋复杂。医院的信息系统如HIS、LIS、CIS、RIS、PACS,NIS、EMR,DRGS等等信息系统越来越多,各类系统越发复杂,系统间的关联性逐渐加深,机房管理、系统监控,以及信息部门对内的运行维护工作面临越来越困难的局面。如何保障信息系统高可用、稳定与安全,已经成为医院领导和信息科负责人以及每一位信息科的工程师必须要考虑和解决的首要问题。

            长久以来,智慧医院信息化运维中存在着科室复杂、应用场景多、终端运维工作量大、软件系统兼容需求强等诸多痛点,对于技术设备的稳定性、连续性要求更高,具体表现在以下几方面:

    1. 智慧医院信息化建设中,已经完成大部分核心业务系统的建设,且配套一定规模的网络、服务器、动环等系统,但由于各厂商独立监控、数据割裂,形成烟筒式的运维孤岛。
    2. 目前主要采取人工巡检的方式进行运维,发现问题被动、滞后,无法保障业务的稳定连续运行,通过人工摸排,时间长、问题处理效率低下,运维管理工作成效不显著。
    3. 部分医院有动环、基础设施监控等管理系统,但由于医院业务系统复杂,易产生告警冗余,难以在告警风暴中判断故障根因。
    4. 缺乏对服务器CPU、内存等计算资源,磁盘空间、磁盘I/O等存储资源的监控管理,对系统应用节点和数据的各项性能参数配置等数据把控不足,难以实现科学规划扩容。
    5. 业务支撑系统日趋复杂,传统系统架构向混合云环境、微服务、容器架构转型,进一步增加IT系统的复杂度,运维难度激增。
    6. 设备厂商监控工具仅对设备状态进行检测,难以对核心业务系统(如:HIS、PACS等)进行全链路可用性监控分析。
    7. 缺乏必要的设备远程控制手段,简单的操作,如重启设备、重启进程均需在现场进行,运维效率低下。
    8. 传统数据中心和云数据中心同时存在,多张网络物理隔离,难以形成高效闭环,统一运维。
    9. 由于等保2.0提高了医院的信息化安全要求标准,部分医院需要根据相应安全评审要求,利用运维监控平台进行支撑。

    第3章 智和信通智慧医院信息化运维方案

            “IT转型”驱动智慧医院信息化建设,在智慧医院建设的过程中,运维管理也扮演着重要角色。一旦医院中的业务系统出现故障,甚至崩溃,医院运转很可能陷入瘫痪状态,轻则造成医患矛盾,重则耽搁治疗时机,因此,保障医院IT系统免于故障侵袭,保障医院各项运营系统高效、平稳、安全运行,成为运维人员艰巨的使命。

    智和信通智慧医院信息化运维方案

            随着智慧医院运维对象、范围、深度和实现目标的改变,医院IT运维正在向一体化、自动化、智能化等方向转变,北京智和信通智慧医院信息化运维方案应运而生,通过对各类网络场景下的跨域资源整合,对医院分布在各个区域的IT设施、业务系统、机房动环(运行状态、健康状况、能耗情况)等统一监测保障IT基础设施和业务应用的安全、稳定、可靠运行,并利用运维数据资源对业务运营与决策提供有力支持。

    3.1.网络隔离架构可视化

            医院网络架构中涉及的软硬件环境技术复杂,厂商众多。北京智和信通通过网络架构拓扑可视化能力,将网络数据从离线表格转移至平台内,从静态的网络架构数据转化为动态智能拓扑,通过树形、平面结构联动展示设备间链接关系,通过按片区、按地域、按层级等多种布局方式划分网络,实现全网设备、资源、链接关系、IP等实时更新、快速定位。

    医院内外网隔离拓扑示意图

            医院的网络建设多为内网、外网、设备网、无线网、数据中心网等并行的结构,本方案通过拓扑视图的能力,内外网混合的情况下,方案通过内网渗透,打破内外网隔离限制,在拓扑中集中展示双网结构,展现设备实时状态,使用不同颜色、粗细、图标表示被管理对象的状态信息,助力运维人员实时了解网络架构及全网运行状态,快速感知资源、链路、流量等异常信息。

    3.2.数据中心IDC机房可视化

            以2.5D管理视图对数据中心机房运行情况和机柜及各类设备进行统一、全方位、多层次的综合管理,实时分析资源当前性能和运行状态,直观反映资源的动态变化对支撑业务的影响,清晰直观地掌握机房运营中的有效信息。实现透明化与可视化的信息传递,提升机房资产数据的可用性、实用性和使用效率。

    2.5D机房监控示意图

    3.3.更广泛设备、资源类型监控

            针对智慧医院网络内防火墙、VPN、上网行为管理等安全设备和网络设备、主机存储、数据库、中间件、虚拟化、云、应用系统、机房动力环境系统、专业医疗设备等联网设施全方位监控和管理。屏蔽厂商、型号差异,掌握智慧医院网络整体运行情况和运行效能,能高效、快速、精准进行故障定位诊断。


    资源可视化监控

            方案实现网络设备信息高频采集,并结合智能算法,实现对整体网络架构、设备运行状态、业务可用状态的实时信息采集和感知。

    设备资源可视化显示

    视频设备集中监控

            轻松对接多品牌、型号摄像头,融合网络高清、智能分析、多级管控为一体。通过网络拓扑一键自动发现生成能力,直接生成视频系统可视化拓扑,通过定时轮询和事件上报进行可用性和健康度检查。实现对视频画面自动侦测、自动提取,主动监控发现和分析出摄像机设备常见的故障,如设备不连通、画面偏色、信号缺失、清晰度异常、亮度异常等问题和原因,并及时在拓扑图中显示出当前视频监控的可用情况。

    视频监控效果示意图

    端到端全链路监控

            从整体维度到局部维度展示智慧医院网络内设备链路各项指标,整体可观测、可告警、可分析、可统计。

    链路综合信息示意图

    设备模型库监管无限制

            方案采取用户自定义设备类型及其设备资源的方式,赋予用户自定义适配设备的能力,更大可能地支持对不同设备类型的支持。通过自定义设备类型及其设备资源,提高智和网管平台的管理范围,真正实现了对设备及其资源的化管理,达到管控万物的目标。


    3.4.全覆盖IT资源自动巡检

            信息中心的日常运维工作中需要各类报表记录设备情况,向领导汇报工作内容,采取传统的人工巡检,尤其是应用巡检,缺乏统一的规范、标准,导致巡检的范围和深度都存在一定的局限性,并且是基于人工的手工统计,工作效率比较低,同时耗费较大的人力资源。

            本方案依托平台将以前依赖手工进行的日常巡检转换为自动化、定时执行的巡检策略。制定统一的巡检指标、巡检方式、巡检频度等,保证巡检标准化、巡检范围、巡检深度;通过设计巡检作业、数据采集方式、自动化作业调度等实现日常巡检的自动化,代替手工工作,提高效率的同时,解放管理人员。


    3.5.实时故障预警,及时洞察异常信息

            方案通过统一的故障管理平台,将各个模块中的监控信息统一采集、分析,对分散在医院各个楼宇、楼层、科室的设备进行集中管理,支持对医院自助挂号机、自助付款机等各种自助设备进行故障监控和性能数据采集;对医院所有无线AC和AP进行性能故障监控和诊断,确保医院各种分散的智能终端统一管理、正常运转。

            实现整个智慧医院网络中各种事件信息、设备故障、网络异常、流量异常等告警,以智能化手段进行标准化的分析、压缩、并归关联等,通过多种方式实时传达告警信息,保证落实到指定人员进行处理,为智慧医院网络提供主动式的故障解决方案。

            采集智慧医院网络内所有联网设备,如存储、服务器、路由器、交换机、防火墙、虚拟化、云、机房动环、医疗设施等设备、资源、应用、服务等状态信息,通过对告警机制以及阈值的设置,即时获取准确的告警信息,快速定位告警设备,提升告警处理效率,降低因设备故障带来的损失。

    3.6.业务可用性管理

            医院是一个有机整体,各业务、部门之间,“人”“事”“物”之间存在密切联系,其业务流程囊括了预约挂号系统、电子病历系统、检验化验系统、影像平台系统、财务信息系统等一系列相关系统,需要同时对接患者、医生、医院各科室等多个端口,作为医院运行的神经中枢。对各系统的稳定性要求更高,一旦某套系统出现故障,会整体业务流程造成影响。本方案支持对接医院等多部门业务系统,将医院不同业务,不同部门等数据统一整合管理,为管理决策研判提供客观的数据支持和依据。

    智慧医院业务看板示意图

            通过构建业务系统与部门、IT资源及关键指标的关联关系,整合前端、应用、后台任务、外部服务、数据库及基础设施,直观呈现面向服务的业务系统体系架构;业务数据可视化能力,既可集中呈现业务数据的用户体验状态,也可以基于应用、设备实时监控、呈现业务各节点的实时运行状态,包括用户体验、节点可用性、节点负载等状态信息。

    业务拓扑示意图

    3.7.IP资产监管

            智慧医院网络安全一直是其运维工作的重中之重,一旦出现非法接入更易出现严重威胁,因此对接入网络中的IP、终端更需严加管理,本方案支持端到端规划、部署、管理和监控IP 地址。

            可手动、自动获取子网信息,并根据网络结构对子网信息进行管理。定时获取全网的MAC-IP信息,并自动保存,可根据MAC或IP对在线设备进行查询,以端口图的形式显示当前网段内端口的使用情况。总览IP网络全局,掌握“IP容量”薄弱点。

            方案支持通过追踪IP地址的历史关联MAC、接入设备/端口变更记录等与规划绑定MAC、规划接入设备/端口进行对比分析,当与规划不一致时生成一条异常记录,从而审核IP/MAC是否正确使用。

            l通过黑白名单功能用来检测用户所关心的设备是否在网络中出现及出现时间。支持配置黑名单或白名单,智能划拨规划表中的IP、MAC设置为白名单策略,对非法接入设备进行告警处置。

            对全网MAC和IP进行配对绑定,并周期性对MAC-IP进行检测。自动将规划表中的IP-MAC设置为绑定关系,自动扫描在线终端,当IP-MAC的绑定关系发生冲突时产生告警,保证入网终端安全可信。

    3.8.全网带宽、流量监控与回溯分析

            方案基于海量流量数据的存储挖掘,实现对网络流量的侦测分析。通过网络流量分析技术,采集、分析、存储所有网络流量,回溯分析数据包特征、异常网络行为,以多维数据分析和深度挖掘为手段,实现数据包层面的流量追踪,发现潜伏于网络中的未知攻击。

            提供设备、接口、IP、服务、应用、会话等层级的带宽监控,实时监控带宽使用趋势与带宽占用分布,并通过图表展示,快速识别网络带宽滥用,分析高带宽使用情况,识别带宽消耗较大的应用程序、服务、协议或 IP 地址,避免网络容量过载,并提升更终用户网络体验。

            将采集到的网络流量数据进行整合分析,通过强大的可视化能力对有效信息进行呈现,从流量利用方面为网络和业务稳定提供支撑。

    3.9.跨厂商设备集中配置管理

            政府部门的信息化建设的扩大,不光是基础设施包括软件应用层方面的需求也急剧扩大,网络承载的业务经常发生变更,面对业务的变更运维工程师往往要对大量设备进行操作,而不同批次购置的设备,品牌、型号不尽相同,运维人员需要在多个管理平台来回切换,此时如果依靠工程师逐一登录设备进行命令下发、策略配置,将产生大量重复性的工作,不但导致运维效率低下,也不可避免地产生人为配置错误。

            用户可通过网页对智和网管平台进行访问,通过对纳入监控的设备进行单独、批量的配置操作,设备策略远程配置管理,可以自动批量进行设备配置修改,并可对设备配置进行备份、对比、恢复,宕机后设备配置可快速复原,保障设备及时恢复运行,提升配置效率、质量和安全性。

            通过批量作业并行处理能力,实现多设备并发批处理操作。通过自动化流程,将简单的设备控制操作在大批量设备进行执行,并对执行过程进行监督,对执行结果进行检查。在安全合规的前提下,将运维人员从整体的变更流程及变更内容的准备中解脱出来,实现网络变更、设备配置自动化。

            针对不同类型的设备,支持进行各种控制、配置操作。

    • 对服务器/主机/虚拟化,支持一键开关机、进程管理、应用管理、容量管理等
    • 对交换机/路由器,支持ACL、QoS、流量策略、端口策略等
    • 对安全设备,支持防护管理、认证管理、NAT管理、VPN管理、内容控制等
    • 对数据库/中间件,支持空间管理、池管理、会话管理、连接控制等
    • 对传输设备,支持终端管理、链路管理、信号控制、功率配置等
    • 对其他设备,支持结合用户实际场景,通过拖拽流程的方式实现自定义管控策略

            支持不同厂商,如Cisco、HP、Nortel、Juniper、3Com、D-link、Foundry、Dell、Proxim、NetScreen、华为、H3C、锐捷、中兴等多家厂商的网络设备。

    3.10.全场景自动化运维

            医院在加速诊疗的同时,须实现信息化系统与终端的“快速响应”“快速部署”“快速上线”“快速运维”,本方案基于日常运维场景提供自动化的部署手段,同时可通过面向复杂运维场景、跨平台、跨系统的自动化作业的调度和编排,大幅提升运维交付效率,降低运维成本。

            方案将智慧医院网络运维中涉及的服务、命令、操作、执行组件化、策略化,将需要进行的运维服务、操作等以组件、策略的形式托管至平台中进行维护和管理,通过简单灵活地编排能力,使用者可以选择业务场景所需地测,通过可视化拖拽的编排方式进行组合,即可完成应用场景端到端的图形化编排,最后以多种方式触发执行即可完成期望的运维变更任务,从而实现高效、稳定、安全的智能运维。

            将人工运维与故障自愈结合,无需针对告警进行手动处置,只需预编排告警处理流程,平台根据场景自动触发,实现故障自愈。

            通过实时发现告警,进行预诊断分析,判断告警类型和级别,如果是一般告警,平台进行自动恢复,如果是严重复杂告警则通过告警通知、运维工单等形式通知运维管理人员,进行人工处理

            自动化运维编排,可实现完全根据用户场景,定制化设计运维剧本,真正将运维任务托管至平台,解放人力。

    • 开发环境自动化,如软件代码自动化更新、自动化编译、自动化打包、自动化发布预警生产环境。
    • 应用发布自动化,如服务自动化升级、软件自动化部署等。
    • 故障自愈能力,如网口异常自动关闭、磁盘爆满自动清理、非法设备入侵阻断、CPU空间不足自动重启等。
    • 定时服务重启,如在工作日每天晚上定时关闭应用,每天早上自动重启应用等。
    • 智能批量设备管控,如批量设备策略执行,当设备的配置状态不一时,能够基于当前设备自身的状态自动决策适合于本设备的管控操作等。
    • 定期设备健康状况自检,如定期设备健康状态自检、服务运行状态自检等。
    • 基于HTTP接口自动化,如基于HTTP接口的工单自动化、审批自动化、业务自动化等。
    • 高可用服务自动切换,如主备数据库运行状况自检异常自动切换,服务运行状态检查主备切换等。
    • 虚拟化、云服务资源自动化扩容,如在虚拟化环境资源不足时自动化根据实际情况进行扩容。
    • 日常运维自动化,如自动化定期执行批处理cmd\sh脚本、自动化定期数据清洗、自动化定期环境检查并导出报表等。

    3.11.可视化数据分析

            利用图形、图表、图表等易于理解的形式,提取和分析大量复杂的智慧医院网络中各类运维数据,呈现分析结果,从而帮助运维人员在短时间内更好地理解和获得更多的信息,帮助运维部门能够实时了解业务和其所依赖IT资源的运行状况,以及提供系统运维和优化的指示和依据。

    智慧医院网络大屏示意图

    3.12.资产生命周期管理

            方案通过全栈合一的智和网管平台,将资产与运维结合,动态感知纳入监控的资产运行状态,并对资产运行情况进行分析,通过状态数据采集分析,预估资产将面临的风险,驱动资产维护保养。

     

           方案通过资产管理模块将资产实物与运维数据库一一对应,将为政务资产提供更加便捷高效资产生命周期管理,资产跟踪、维护和统计分析。从资产入库、领用、变更、维修、调拨、到报废处置,资产每一步操作均实现完整记录,支持追溯,通过平台实现资产整个生命周期的全流程闭环管理,使得IT资产每一次生命周期变更,都有流程可依、都有迹可循,从而实现IT资产监管。

    3.13.快速建设运维工单体系

            通过方案实现运维工单“无纸化”,支持于设备和故障管理页面快速创建工单,把控故障处理进度,通过工单平台简化故障处理流程,形成自动化故障处理机制,并在每个处理流程的节点上责任到人,实现在快速响应故障的同时,实现兼顾运维流程管控。

    业务工单示意图

            通过建立工单服务基准,预设工单在不同优先级、不同状态时,受理人应该响应的时间及未响应时的处理方式,生成工单自动化处理规则,并以多种方式进行通知,避免时响应提升全流程服务管理质量。

    第4章 自主研发安全可控 适配国产信创环境

            信创产业包含了从IT底层的基础软硬件到上层应用软件的全产业链的安全可控,涵盖了应用软件、信息安全、IT基础设施、基础软件四个领域。其中,基础软件是信息系统更核心的部件,是保障信息系统安全的重要阵地和防线,其创新应用与自主可控关系到国家安全和利益,也是产业自主发展的基础。

            本方案支持部署运行在中标麒麟、银河麒麟、红旗Linux等国产操作系统,支持在达梦、金仓、神州等国产数据库进行数据存储,通过东方通等国产中间件提供对外服务[8],支持龙芯、申威等国产CPU架构,并实现对国产化CPU、服务器、数据库、中间件等IT软硬件设备的综合监控与运维管理。

    第5章 方案应用价值

            2019年网络安全等级保护2.0标准正式发布;卫生部下发《卫生行业信息安全等级保护工作的指导意见》的通知,明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。通过部署本方案,不仅满足医院在等保2.0政策下的需求,也为医院来带卓多效益。

    一体化管理

    • 多院区、跨地域网络集中管理,全网性能、流量实时监控
    • 覆盖联网设备,无品牌型号限制
    • 真正网络架构可视化

    实时监控,即时告警

    • 实时监控整体网络运行状况
    • 一键定位故障,快速根因排查
    • 实现无人值守的故障自愈

    数据可视、合理管理业务

    • 海量运维数据,聚合分析,打破数据孤岛
    • 打破物理、地域限制,端到端监控业务
    • 巡检、合规配置,一站式安全运维

    资产盘点,运营分析

    • 设备运行周期运维情况分析,设备运行状况实时可知
    • 现网设备统一盘点,资产信息一目了然

    第6章 标杆案例

            智和信通智慧医院网络运维方案成果,其可靠性在智慧医院网络大规模、高复杂地网环境下得到了验证,并得到用户的充分认可。

    6.1.某医院双网隔离监控运维项目

            某医院在网络建设的过程中,为加强信息化建设,充分发挥电子病历信息化作用,依据更新的信息化标准与规范,采取建设内网和外网两个网络,内外网互相不能访问的建设方案,这对后期运维提出了更高要求。

    项目需求

    • 内外网采用同一套网络运维系统进行统一管理;
    • 能够基于图形化界面清晰呈现出设备网络的链路关系;
    • 支持多种告警方案,支持通过钉钉进行告警;
    • 可以自动对设备进行巡检;
    • 支持对终端设备进行入网监测,查看联网设备IP。

    项目实施

            北京智和信通双网隔离方案采取核心网络部署综合网管,其余网络部署代理采集的方式实现。通过采集器可实现网络内设备自动发现,并识别设备的厂商和型号。

    • 平台基于图形化的方式展现拓扑,在自动搜索完设备之后软件自动呈现拓扑。
    • 在原有声光、右键、短信、微信告警通知的基础上,增加钉钉告警的能力,满足用户需求。
    • 提供自定义巡检策略的能力,通过配置故障巡检、策略巡检、统计报表等,实现全自动化智能运维。
    • 采取黑白名单策略,用户通过配置黑名单或白名单,对接入终端进行监测,配合安管功能,对非法接入设备进行处理。