中国人民银行福州中心支行 岑炜桦

基于自主可控技术的全省机房远程视频监视平台建设

中国人民银行福州中心支行 岑炜桦

为加强基层行计算机机房监控管理、完善机房非现场检查措施，人民银行福州中心支行克服整合、调试、协调、开发、实施等重重困难成功研发了基于自主可控技术的全省机房远程视频监视平台。该平台可以实时掌握各级机房运行状况，提供远程操作指导，并比对各级行提交的计算机机房人员进出、设备和网络巡查等信息，加强对各级行巡查工作的非现场监测管理，及时发现基层行机房运维管理方面的安全问题。通过定期通报检查结果等方式，有效增强了内控制度落实的技术管理力度，提升对基层行信息安全工作的管控能力，取得了很好成效。

自主可控；视频监视；系统建设

一、建设背景

福建省人民银行系统共有69家分支机构，各家分支机构均建有计算机机房，为日常办公和业务往来提供服务。各级机房由人民银行内部员工负责日常运维，人民银行福州中心支行（以下简称“福州中支”）负责指导全省机房建设和日常运维。2016年，为加强基层行计算机机房监控管理、完善机房非现场检查措施，福州中支自主研发了全省机房远程视频监视平台。

二、项目难点

与常规的新建项目相比，该项目是涉及全省各级机房软、硬件设施的综合性改造项目，从最初设计到最终投产运行历时近一年。回顾项目建设历程，该项目具有以下五大困难：

（一）整合难

项目实施前，各级机房均已配备了视频监视系统。为最大限度保护各单位已有投资，监视平台需整合4个品牌42种型号的硬盘录像机。这些设备品牌多、型号杂、使用时间长，大部分设备已无使用说明、无厂商维保、无技术支持，在开发过程中难以获得底层通讯协议，整合难度大。

（二）调试难

按照已有的职责分工，各级机房由各单位自行建设和运维，机房改造或设备更新无需福州中支审批同意。因此在项目建设过程中，各级机房往往会根据自身实际情况，自行更新设备，导致设备品牌和型号不断变化。往往福州中支花大力气调试成功了某个品牌某个型号的设备，结果该单位又换了个新品牌的设备，这样既造成了人力物力的浪费，也增大了监视平台的调试难度。

（三）协调难

实现机房远程视频监视，首先需将监视系统联网。各级机房的视频监视系统大多纳入了所在办公大楼的保卫监视系统，而保卫监视系统不仅监视机房，还监视了办公大楼的各个区域，部分单位的保卫监视系统还负责库房的视频监视。因此需要协调保卫部门同意联网。但福州中支的保卫部门不负责各单位的视频监视系统，需科技部门自行与各单位的保卫部门逐一协调，因此沟通协调的难度大。

（四）开发难

项目初期拟参照兄弟行做法由福州中支统一招标选定集成商负责平台开发和项目实施，但考虑到花费较大（人民银行某分行仅实现地市机房集中监控约需投资500万），改由福州中支自主研发。这是福州中支首次基于自主可控技术研发机房监控平台，涉及多种硬件的底层通讯协议，开发难度大。

（五）实施难

因该项目没有厂商到各单位现场实施，需依靠各单位的科技人员配合福州中支远程调试和实施。但各县级支行无专职科技人员，多由办公室或保卫人员兼任，缺乏计算机专业技术知识，部分人员不知道何为交换机、何为IP地址。同时因为科技工作是兼岗，他们配合调试的时间就很少，平均每人每天仅有半个小时能参与调试。在实施过程中，往往遇到刚调试了十几分钟，科技人员说要赶去开会，不能接着调试了；或者接下来几天科技人员要出差或休假需要提前调试，从而打乱了整体计划，延长了实施时间。

三、硬件架构

计算机机房视频监视平台采用“URL参数化”方式远程调阅各单位计算机机房大门、电源间和网络管理区视频，随时掌握各单位计算机机房场地状况。针对各单位现状，提出以下四种方案，由各单位自行选择实施。

1、利用现有计算机机房模拟视频监视系统拓朴图。条件是现有硬盘录像机应有网络接口，能够接入业务网运行，并且可以设置专用账户，开放指定区域监视视频调阅权限，如下图所示：

2、利用现有计算机机房数字视频监视系统。条件是现有硬盘录像机应有足够网络接口，能够接入业务网运行，并可以设置专用账户，开放指定区域监视视频调阅权限，如下图所示：

若现有硬盘录像机没有多余的网络接口，可通过路由交换一体机或路由器将硬盘录像机的保卫自建网IP地址一对一的转换为业务网IP地址后再接入网络，如下图所示：

3、改造计算机机房模拟视频监视系统。条件是新增的硬盘录像机应有网络接口，能够接入业务网运行，并且可以设置专用账户，开放指定区域监视视频调阅权限。

4、新建计算机机房视频监视系统。条件是新增的硬盘录像机应有网络接口，能够接入业务网运行，并且可以设置专用账户，开放指定区域监视视频调阅权限。

四、软件架构

计算机机房视频监视平台基于自主可控的LAMP技术架构，该架构由Linux操作系统、Apache网页服务器、MySQL数据库服务器和PHP编程语言等四部分组成。其中，Linux是一种自由和开放源代码的操作系统，本项目选用的CentOS操作系统是由社区支持的、免费的、安全的、稳定的Linux发行版本。Apache网页服务器是由社区负责开发和维护、自由、开源的软件，是世界上使用最广泛的网页服务器。MySQL数据库服务器是一个开放源代码的关系数据库管理系统，是目前最流行的开源数据库。PHP编程语言是一种开源的通用计算机脚本语言，尤其适用于网络开发并可嵌入HTML中使用。LAMP架构平台对硬件资源要求较低，可安装在普通PC服务器上，或虚拟服务器中运行。本项目的LAMP架构平台搭建在数据中心的VMWare虚拟服务器中，安装简便、运行稳定、易于维护。

五、实践成效

（一）自主研发投资小

计算机机房视频监视平台完全由福州中支自主研发，所有代码均安全可控，无需依赖外部公司即可自行增删功能、修补漏洞、迭代升级。避免了人民银行在基础工作和关键环节上受制于人，获得了机房运维管理更多的主动权和话语权。

（二）不改变管理职责

建设计算机视频监视平台不改变各单位现有计算机机房视频监视职责，即各单位的机房还是由各单位自行负责监视，福州中支不负责各机房的日常视频监视。福州中支对业务网纵向防火墙进行设置，仅开放平台访问各级机房视频监视系统的权限。各级行为平台设置专用用户，仅开放指定区域监视视频调阅权限。

（三）实现监控全覆盖

计算机机房视频监视平台覆盖了全省人民银行各级机房，实现了机房监视无盲区。同时，监视平台集成在总行网管监控系统上，福州中支科技人员只需登录网管系统就可同时监控全省各级机房设施、网络设备和应用系统，地市级科技人员可经福州中支授权后查看辖内机房、网络等运行状态，实现监控资源的高度整合，大大提高了工作效率。

（四）监督检查效果好

福州中支可借助平台比对各级行提交的计算机机房人员进出、设备和网络巡查等信息，加强对各级行巡查工作的非现场监测管理，及时发现基层行机房运维管理方面的安全问题，如机房进出登记、网络设备现场巡查、视频监视录像保存时限等。通过定期通报检查结果等方式，有效增强了内控制度落实的技术管理力度，提升对基层行信息安全工作的管控能力。

[1]倪光南．信息安全“本质”是自主可控[J]．中国经济和信息化,2013,5:18-19．

[2]李一．一种面向自主可控的企业应用集成框架[J]．金融电子化,2013,4:63-65．

[3]李国杰．为建立自主可控的计算机技术体系而奋斗[EB/OL]．

岑炜桦（1981－），男，福建福州人，计算机硕士，金融学硕士，现供职于中国人民银行福州中心支行。