锐取机房人机界面监控解决方案

项目背景

    随着核电业务的发展，信息技术在核电企业内部的不断普及和深入，核电生产对信息系统的依赖程度越来越高，信息系统能否安全、稳定的运行将直接影响核电生产的安全和稳定，因此，网络与信息安全已经成为保障核安全有机的组成部分，而其重要程度将随着信息技术的普及和发展日益增强。

    国内某在建核电站，一期工程共四台百万千瓦级机组，定位为核电第二代加改进，综合国产化率达到80，具有国际同类型在役核电站的先进水平。该核电站网络机房是核电站与集团总部及对外信息交换的核心枢纽，其安全性至关重要。

【挑战】 

    目前机房监控解决方案：采用“摄像头+硬盘录像机”的视频监控解决方案；

    可解决的问题：可记录谁（Who、什么时间When进入了机房；

    存在的漏洞：不能记录他在机房人机界面处（TELNET终端、KVM控制台等）具体做了哪些操作（What。
假设一个机构外部或内部人员进入机房，并在计算机上进行了非法的操作，现有的机房视频监控系统是无法及时发现及进行事后追溯的；有些服务器上虽然安装基于软件的日志及监控系统 ，对于外部人员可能是有效的，但对于掌握高级管理权限的内部人员，操作日志可能会被清除，软件监控可以被Disable，无法对内部人员进行有效监控。

    这些漏洞对于机房的“内部控制”无疑是缺失的一个环节，无法满足核安全文化强调的四个“凡事”的要求，即 “凡事有章可循，凡事有人负责，凡事有据可查，凡事有人监督”。

    如何构建独立的机房安全监控体系，完善机房“内部控制”，成为核电IT管理者面临的挑战！

【解决方案】

1、组网说明

    经过考察对比，该核电站采用锐取机房人机界面监控解决方案来构建核电机房安全监控体系。锐取是业内领先的可视化信息记录与传播的产品和解决方案的提供商，可满足包括机房在内的各种场景下的可视化信息记录与传播的需要。

    锐取机房人机界面监控解决方案实现了机房内的关键可视化信息（人、人机界面）的全面的记录，可构建完善的、独立的机房安全监控体系。本项目拟采用当前监控行业中的领先技术实现对机房人机界面监控和记录，可同步监控和记录机房内的视音频和人机界面处的操作，实现对“谁（Who）何时（When）进入机房并进行了什么操作（What）”的全面监控和记录，极大地完善机房的内控机制，保障核电项目的信息安全。

图 机房人机界面监控组网图

    如上图所示，该机房分为设备间和操作间，小型机等主机系统安装在设备间内，平时工作人员通常在操作间内通过Telnet终端及KVM控制台等方式访问主机系统进行操作，这些Telnet终端、KVM控制台即为机房内人与机器打交道的“人机界面”。

    在锐取机房人机界面解决方案中，系统主要由以下五部分组成：

    VGA编码器：

    在系统负责VGA信号的采集、编码和传送。VGA编码器从服务器、Telnet终端、KVM控制台等人机界面处接入VGA信号，并通过VGA编码器的环回输出将VGA送到原来的显示器上。VGA编码器将接入的VGA信号编码后通过IP网络发送到后台的实时监控及录制等模块。

     视音频编码器：

    在系统中负责机房内视音频信号的采集，并将采集的信号通过IP网络发送后后台的实时监控及录制等模块。
     实时监控模块

图：实时监控软件截屏

    实时监控模块为软件，运行在Windows2000/XP/2003平台之上，通过该软件可以多画面的形式（1/4/9画面）观看前端VGA编码器采集的VGA信号，该模块通常提供给机房管理人员使用。管理人员通过该软件，即可观看到机房内任何一个服务器、KVM操作台所显示的人机界面，不用到现场，即可实时观看到机房内操作人员的所进行的任何操作，并且通过该软件可以对VGA编码器的参数进行修改设置。

    后台录制模块

    后台录制模块专用硬件服务器，基于WEB界面进行管理控制，可接收前端视音频编码器、VGA编码器采集的信号，并进行实时同步录制。录制采用ASF格式，存储在服务器上，可供后期检索浏览使用，实现“人”及所做“操作”的同步回放，真实准确还原现场实景。

    领导监控模块

    领导监控模块为软件，操作界面类似实时监控模块，机房管理部门的领导可以通过该软件实时监控进入机房内的人员及其所做操作。

 
2、系统功能

    实时监控

高清晰度（VGA信号分辨率最高支持1400X1050、视频清晰度最高支持1080P

多画面浏览（1/4/6/8/9/16画面）,切换灵活

多级权限控制，满足多人并发监控；

意外情况实时报警（信号丢失报警、连接中断等）

树状目录资源管理

同步录制
智能编码优化技术（静止屏幕极低码率录制）

标准格式存储（ASF

日志记录（设备异常，报警规则触发等

检索审计

按时间检索

按主机IP及编号检索

3、特点优势

    安全：

    无需在用户的服务器上安装任何软件，对用户的业务系统无任何影响，确保用户计算机上的信息安全；

　　独立：

　　相对于机房内的主机系统完全独立，真正做到第三方独立监控，便于IT审计；

    简单：

    即插即用，无需对机房设备做预先的设置，不需要对防火墙策略进行调整；

    适用性强：

    可配合运行任何操作系统的机房设备进行工作，包括Windows、Linux/Unix，OS/2以及Mac等。

    实时性高：

    采用高性能DSP芯片，VGA信号编码效率高，时延小，可满足实时监控需要。

 
【价值】

     锐取机房人机界面监控解决方案有效解决了现有机房监控系统的漏洞，实现对“谁（Who）何时（When）进入机房并进行了什么操作（What）”的全面监控和记录，极大地完善机房的内控机制，保障核电项目的信息安全。该项目已成功实施，运行近半年以来，效果良好。