基于帶外架構(gòu)技術(shù)的醫(yī)院IT運(yùn)維 統(tǒng)一監(jiān)控平臺(tái)的實(shí)現(xiàn)與應(yīng)用

晏侃

隨著醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院各類IT設(shè)備及系統(tǒng)變得越來(lái)越繁多復(fù)雜，隨著設(shè)備使用時(shí)間的增長(zhǎng)，發(fā)生故障的頻率也在逐步上升，當(dāng)IT系統(tǒng)一旦發(fā)生故障，對(duì)管理決策與運(yùn)行帶來(lái)的負(fù)面作用與影響也越來(lái)越大。作為全院負(fù)責(zé)信息系統(tǒng)運(yùn)行維護(hù)的信息化部門，其主要核心工作就是保障信息系統(tǒng)、網(wǎng)絡(luò)及配套硬件設(shè)備的正常運(yùn)轉(zhuǎn)。目前IT硬件設(shè)備以往主要依賴“帶內(nèi)管理+現(xiàn)場(chǎng)管理”的維護(hù)模式，在維護(hù)人員數(shù)量有限的情況下，難以應(yīng)對(duì)不斷增長(zhǎng)的設(shè)備數(shù)量，也無(wú)法滿足日益提高的維護(hù)要求為解決IT設(shè)備管理和維護(hù)中遇到的難題，迫切需要尋找有效的技術(shù)手段，以提升維護(hù)質(zhì)量、管理效率并減少人力消耗。為此我們結(jié)合OOBI （Out-of-Band Infrastructure）帶外架構(gòu)技術(shù)，設(shè)計(jì)了一套適合醫(yī)院IT運(yùn)維的統(tǒng)一監(jiān)控平臺(tái)，實(shí)現(xiàn)了信息化設(shè)備7X24小時(shí)實(shí)時(shí)監(jiān)控、自動(dòng)巡檢、告警推送、自動(dòng)修復(fù)等功能，從而提高醫(yī)院信息化部門的管理和服務(wù)水平、提升IT運(yùn)維工作效率，提高醫(yī)院各個(gè)部門的滿意度。

一、系統(tǒng)設(shè)計(jì)

（一）設(shè)計(jì)思路

國(guó)內(nèi)大部分醫(yī)院網(wǎng)絡(luò)一般分為三張網(wǎng)，分別是內(nèi)網(wǎng)、外網(wǎng)和設(shè)備網(wǎng)，三張網(wǎng)絡(luò)通過(guò)邏輯隔離、物理隔離的方式進(jìn)行隔離。

內(nèi)網(wǎng)，主要承載醫(yī)院的醫(yī)療核心業(yè)務(wù)，例如HIS、LIS、PACS、EMR等業(yè)務(wù)系統(tǒng)，內(nèi)網(wǎng)承載數(shù)據(jù)傳輸?shù)娜蝿?wù)，要求高寬帶、大容量和高速率，并需考慮未來(lái)擴(kuò)容、帶寬升級(jí)。因此是網(wǎng)絡(luò)建設(shè)的重點(diǎn)。

外網(wǎng)，可作為行政辦公，也可承載對(duì)外發(fā)布、互聯(lián)網(wǎng)等業(yè)務(wù)，隨著“互聯(lián)網(wǎng)+”以及智慧醫(yī)院等的發(fā)展，外網(wǎng)的建設(shè)也越來(lái)越受到醫(yī)院的重視。外網(wǎng)穩(wěn)定性和保密性的要求一般低于內(nèi)網(wǎng)，但是因?yàn)榇嬖趯?duì)外和互聯(lián)網(wǎng)互通，因此十分注重安全，且接入終端及數(shù)據(jù)流特點(diǎn)也更為復(fù)雜，因此存在接入終端層面的安全管理需求。同時(shí)，醫(yī)院外網(wǎng)是醫(yī)院對(duì)外的形象窗口，必須重視其建設(shè)規(guī)劃。

設(shè)備網(wǎng)，主要承載醫(yī)院視頻監(jiān)控，門禁、IPTV等等業(yè)務(wù)，對(duì)網(wǎng)絡(luò)要求低于內(nèi)網(wǎng)，一般關(guān)注穩(wěn)定性，通?？梢圆捎枚咏M網(wǎng)。

基于上述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，我們?cè)O(shè)計(jì)了一套基于帶外架構(gòu)技術(shù)OOBI （Out-of-Band Infrastructure）的統(tǒng)一監(jiān)控平臺(tái)。帶外架構(gòu)技術(shù)是指通過(guò)專門的監(jiān)控通道實(shí)現(xiàn)對(duì)醫(yī)院信息化設(shè)備的監(jiān)控和管理，實(shí)現(xiàn)對(duì)現(xiàn)有的關(guān)鍵業(yè)務(wù)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行集中控管;同時(shí)統(tǒng)計(jì)監(jiān)控平臺(tái)實(shí)現(xiàn)統(tǒng)一監(jiān)控的數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開(kāi)傳輸，即在這個(gè)監(jiān)控通道中，只傳輸監(jiān)控管理數(shù)據(jù)、統(tǒng)計(jì)信息、監(jiān)控信息等。監(jiān)控管理數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離，可以提高統(tǒng)一監(jiān)控管理的效率與可靠性，也有利于提高統(tǒng)一監(jiān)控管理數(shù)據(jù)的安全性。

（二）系統(tǒng)拓?fù)浣Y(jié)構(gòu)

該平臺(tái)具有如下特點(diǎn)：

零影響 基于帶外架構(gòu)技術(shù)的統(tǒng)一監(jiān)控平臺(tái)可以通過(guò)設(shè)備的管理口實(shí)現(xiàn)監(jiān)控和管理，不僅不需要在每臺(tái)設(shè)備上安裝代理軟件，減少對(duì)操作系統(tǒng)的影響，實(shí)現(xiàn)與操作系統(tǒng)的無(wú)關(guān)性。

全面性：基于帶外架構(gòu)技術(shù)的統(tǒng)一監(jiān)控平臺(tái)可以實(shí)現(xiàn)遠(yuǎn)程的設(shè)備自動(dòng)上線、資產(chǎn)管理、保修管理、電源管理、虛擬KVM等功能。而且網(wǎng)絡(luò)中一旦出現(xiàn)故障節(jié)點(diǎn)（如：關(guān)鍵業(yè)務(wù)服務(wù)器無(wú)法訪問(wèn)、網(wǎng)絡(luò)鏈路中斷、網(wǎng)絡(luò)設(shè)備出現(xiàn)故障），可以通過(guò)統(tǒng)一監(jiān)控平臺(tái)帶外管理方式對(duì)故障設(shè)備進(jìn)行故障排除，而且?guī)夤芾聿皇芫W(wǎng)絡(luò)連通性的影響，保證用戶在第一時(shí)間發(fā)現(xiàn)問(wèn)題、解決問(wèn)題，以避免經(jīng)濟(jì)損失。

跨平臺(tái)：基于帶外架構(gòu)技術(shù)的統(tǒng)一監(jiān)控平臺(tái)帶外監(jiān)控管理實(shí)現(xiàn)對(duì)各個(gè)品牌各型號(hào)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、機(jī)房動(dòng)環(huán)設(shè)備等硬件運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)測(cè)。網(wǎng)絡(luò)管理工程師無(wú)論是在辦公室，還是在異地出差，只需要在內(nèi)外網(wǎng)防火墻上針對(duì)帶外管理系統(tǒng)開(kāi)放443 （https）安全端口，就可通過(guò)SSL128位加密或Modem撥號(hào)的方式，便捷、安全的登錄到系統(tǒng)中的管理層設(shè)備上，與此同時(shí)管理層設(shè)備可以直接連接到接入層設(shè)備所控制的服務(wù)器和網(wǎng)絡(luò)設(shè)備，對(duì)被管理的服務(wù)器或者網(wǎng)絡(luò)設(shè)備進(jìn)行BIOS或者Console級(jí)別的深層控制。

（三）系統(tǒng)功能

整個(gè)平臺(tái)設(shè)計(jì)有六個(gè)主要功能模塊，具體如下表：

二、系統(tǒng)應(yīng)用效果

目前平臺(tái)已在部分醫(yī)院開(kāi)始運(yùn)行，在試運(yùn)行過(guò)程中，為使用人員及運(yùn)維人員提供了以下的便捷和幫助。

（一）提高了故障處理能力

統(tǒng)一監(jiān)控平臺(tái)是基于國(guó)際先進(jìn)的OOBI（Out-of-Band Infrastructure）帶外架構(gòu)技術(shù)研發(fā)的新一代網(wǎng)絡(luò)集中運(yùn)維管理系統(tǒng)，通過(guò)對(duì)IT設(shè)備的專用管理端口集中聯(lián)網(wǎng)形成一個(gè)獨(dú)立于數(shù)據(jù)網(wǎng)絡(luò)之外的專用管理網(wǎng)絡(luò)。運(yùn)維管理人員通過(guò)專用管理網(wǎng)絡(luò)對(duì)機(jī)房網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、電源系統(tǒng)進(jìn)行集中管理和遠(yuǎn)程維護(hù)。即使在數(shù)據(jù)網(wǎng)絡(luò)發(fā)生故障或者設(shè)備宕機(jī)情況下，運(yùn)維管理人員仍然通過(guò)統(tǒng)一監(jiān)控平臺(tái)到達(dá)故障設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù)，提高網(wǎng)絡(luò)系統(tǒng)的延續(xù)性和可用性，大大提高醫(yī)院IT網(wǎng)絡(luò)突發(fā)故障的應(yīng)急處理能力。

（二）運(yùn)維審計(jì)功能

運(yùn)維管理人員登錄統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)，通過(guò)統(tǒng)一的管理界面對(duì)分布式網(wǎng)絡(luò)系統(tǒng)IT設(shè)備進(jìn)行集中管理和維護(hù)，統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)對(duì)所有運(yùn)維管理人員的管理維護(hù)數(shù)據(jù)進(jìn)行集中記錄。記錄內(nèi)容包括管理員身份信息、登錄時(shí)間、操作內(nèi)容、退出時(shí)間等信息。

（三）精細(xì)化運(yùn)維管理

統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)具有權(quán)限分級(jí)管理，端口分組管理，設(shè)備分組管理功能，通過(guò)上述功能對(duì)運(yùn)維管理人員身份、管理權(quán)限、管理范圍進(jìn)行嚴(yán)格界定，不同級(jí)別管理員登陸系統(tǒng)后只能看到有管理權(quán)限和監(jiān)控權(quán)限的設(shè)備列表。分工精細(xì)責(zé)任明確。

（四）強(qiáng)健的安全特性

統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)支持128-bit、SSHv2、SSLv3數(shù)據(jù)加密技術(shù)，運(yùn)維管理人員的所有管理控制信息都將以加密方式傳送到被管理設(shè)備，確保管理數(shù)據(jù)安全。統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)支持LDAP、SecurID等身份認(rèn)證系統(tǒng)，通過(guò)以上身份認(rèn)證系統(tǒng)對(duì)運(yùn)維管理人員的身份、管理權(quán)限、管理范圍進(jìn)行界定，防止未經(jīng)授權(quán)用戶非法訪問(wèn)。IP地址過(guò)濾技術(shù)可自由定義允許訪問(wèn)的IP地址列表或不允許訪問(wèn)的IP地址列表，根據(jù)訪問(wèn)控制IP地址表進(jìn)行過(guò)濾或攔截用戶訪問(wèn)。

三、不足和展望

統(tǒng)一監(jiān)控平臺(tái)目前已經(jīng)實(shí)現(xiàn)信息化設(shè)備的統(tǒng)一監(jiān)控，但是隨著5G技術(shù)、WIF16技術(shù)、物聯(lián)網(wǎng)技術(shù)等新技術(shù)的推廣和使用，醫(yī)院對(duì)統(tǒng)一監(jiān)控平臺(tái)系統(tǒng)又提出了需求，包括擴(kuò)大平臺(tái)的監(jiān)控范圍、監(jiān)控顆粒度、告警收斂等，因此還需要進(jìn)一步完善平臺(tái)功能。

四、總結(jié)

根據(jù)初步應(yīng)用的體會(huì)，醫(yī)院IT運(yùn)維統(tǒng)一監(jiān)控平臺(tái)的運(yùn)行有助于解決醫(yī)院運(yùn)維管理工作中的不規(guī)范、資產(chǎn)管理混亂等現(xiàn)象，簡(jiǎn)潔方便的人機(jī)交互界面，讓用戶便于使用，提高了對(duì)各種信息設(shè)備進(jìn)行監(jiān)控的效率，對(duì)于不同身份登錄的用戶，提供不同的權(quán)限，保證了信息的安全性，通過(guò)對(duì)現(xiàn)有工作流程的優(yōu)化、細(xì)化，和資產(chǎn)管理、知識(shí)庫(kù)等技術(shù)性文檔的數(shù)據(jù)共享，使該平臺(tái)除了能滿足運(yùn)維工作管理需求外，還能提供技術(shù)支持和解決方案，提高工程師的工作效率，提升用戶滿意度，在醫(yī)療行業(yè)中有廣闊的應(yīng)用前景。