锐取机房人机界面监控解决方案应用于国内某核电站机房

【项目背景】

　　随着核电业务的发展，信息技术在核电企业内部的不断普及和深入，核电生产对信息系统的依赖程度越来越高，信息系统能否安全、稳定的运行将直接影响核电生产的安全和稳定，因此，网络与信息安全已经成为保障核安全有机的组成部分，而其重要程度将随着信息技术的普及和发展日益增强。

　　国内某在建核电站，一期工程共四台百万千瓦级机组，定位为核电第二代加改进，综合国产化率达到80%，具有国际同类型在役核电站的先进水平。该核电站网络机房是核电站与集团总部及对外信息交换的核心枢纽，其安全性至关重要。

【挑战】

　　目前机房监控解决方案：采用“摄像头+硬盘录像机”的视频监控解决方案；
　　可解决的问题：可记录谁（Who)、什么时间(When)进入了机房；
　　存在的漏洞：不能记录他在机房人机界面处（TELNET终端、KVM控制台等）具体做了哪些操作（What)。

　　假设一个机构外部或内部人员进入机房，并在计算机上进行了非法的操作，现有的机房视频监控系统是无法及时发现及进行事后追溯的；有些服务器上虽然安装基于软件的日志及监控系统 ，对于外部人员可能是有效的，但对于掌握高级管理权限的内部人员，操作日志可能会被清除，软件监控可以被Disable，无法对内部人员进行有效监控。

　　这些漏洞对于机房的“内部控制”无疑是缺失的一个环节，无法满足核安全文化强调的四个“凡事”的要求，即 “凡事有章可循，凡事有人负责，凡事有据可查，凡事有人监督”。

　　如何构建独立的机房安全监控体系，完善机房“内部控制”，成为核电IT管理者面临的挑战！

【解决方案】

1、组网说明

　　经过考察对比，该核电站采用锐取机房人机界面监控解决方案来构建核电机房安全监控体系。锐取是业内领先的可视化信息记录与传播的产品和解决方案的提供商，可满足包括机房在内的各种场景下的可视化信息记录与传播的需要。

　　锐取机房人机界面监控解决方案实现了机房内的关键可视化信息（人、人机界面）的全面的记录，可构建完善的、独立的机房安全监控体系。本项目拟采用当前监控行业中的领先技术实现对机房人机界面监控和记录，可同步监控和记录机房内的视音频和人机界面处的操作，实现对“谁（Who）何时（When）进入机房并进行了什么操作（What）”的全面监控和记录，极大地完善机房的内控机制，保障核电项目的信息安全。

机房人机界面监控组网图

　　如上图所示，该机房分为设备间和操作间，小型机等主机系统安装在设备间内，平时工作人员通常在操作间内通过Telnet终端及KVM控制台等方式访问主机系统进行操作，这些Telnet终端、KVM控制台即为机房内人与机器打交道的“人机界面”。

在锐取机房人机界面解决方案中，系统主要由以下五部分组成：

　·VGA编码器：
　　在系统负责VGA信号的采集、编码和传送。VGA编码器从服务器、Telnet终端、KVM控制台等人机界面处接入VGA信号，并通过VGA编码器的环回输出将VGA送到原来的显示器上。VGA编码器将接入的VGA信号编码后通过IP网络发送到后台的实时监控及录制等模块。

　·视音频编码器：
　　在系统中负责机房内视音频信号的采集，并将采集的信号通过IP网络发送后后台的实时监控及录制等模块。

　·实时监控模块

实时监控软件截屏

　　实时监控模块为软件，运行在Windows2000/XP/2003平台之上，通过该软件可以多画面的形式（1/4/9画面）观看前端VGA编码器采集的VGA信号，该模块通常提供给机房管理人员使用。管理人员通过该软件，即可观看到机房内任何一个服务器、KVM操作台所显示的人机界面，不用到现场，即可实时观看到机房内操作人员的所进行的任何操作，并且通过该软件可以对VGA编码器的参数进行修改设置。

　·后台录制模块
　　后台录制模块专用硬件服务器，基于WEB界面进行管理控制，可接收前端视音频编码器、VGA编码器采集的信号，并进行实时同步录制。录制采用ASF格式，存储在服务器上，可供后期检索浏览使用，实现“人”及所做“操作”的同步回放，真实准确还原现场实景。

　·领导监控模块
　　领导监控模块为软件，操作界面类似实时监控模块，机房管理部门的领导可以通过该软件实时监控进入机房内的人员及其所做操作。