文 / 中国光大银行信息科技部综合智能管控平台项目组:彭晓、王岗、李安怀、代亮、陈勇
数据中心是商业银行的核心生产场所之一,重要程度高,同时也是人员、设备和作业密集型场所,固有风险高。另一方面,常规的管控手段单一、效率不高、精细度低,导致物理安全管控能力不能适应业务发展的需要,风险敞口有扩大趋势,运维安全矛盾逐步凸显。因此,我们迫切需要应用更先进的技术手段,打造更智能的管控平台,提升物理访问安全的效率和质量,实现少人甚至是无人化的基础运维。
数据中心物理安全管控现状和目标
数据中心是人员和设备密集型场所,也是大量运维活动的承载场所,加强数据中心物理访问安全管理是保障安全稳定运营的核心工作之一。由于技术手段和基础条件的限制,常规的物理安全管控效率和质量均存在不足,离精细化管理仍有较大差距。具体表现在:全面识别能力较差,如人员身份的全程识别、作业人员的风险程度、作业行为符合基线标准等;实时感知能力较弱,如无法实时感知违规捎带人员进入、在非作业区滞留、设备是否非法移动等;缺乏有效控制手段,门禁、视频和人员陪同是常用的方法,响应速度慢,处置手段少且孤立,执行效果差,资源消耗大;无法回溯和审计,行为没有记录,无法还原事件场景,无法进行后评价,无法回溯和追责,威慑力弱;安全管理方式过于简单,没有与运维场景融合,无法根据不同的运维场景进行适配和调整,导致安全不足或过度。
为做好物理访问安全管理,需从人员、设备和作业行为三个维度同时推进。通过流程、技术、平台建设,丰富技术控制手段;通过数据交互实现系统联动,将线下行为进行数字化改造;引入智能算法,提升作业调度的科学性,实现访问安全与运维场景相协调,达到识别精准、感知丰富、控制及时和审计的目标,实现监管控防一体化运维理念在物理安全领域落地。
平台的整体架构和功能
参照物联网系统典型的三层架构:感知层、网络层和应用层,我们设计了综合智能安全管控平台的整体架构如下图。
图 安全管控平台的整体架构
感知层主要是能够感知和识别物体,由各种具有感知能力的设备组成,强调的是物联网中“物”的层面。本项目中我们广泛应用了多种物联网技术,包括标识技术中的RFID和二维码识别、传感器技术中的温湿热噪尘等传感器、特征识别技术中的人脸识别、人机交互技术中的OCR、TTS和AR技术、位置感测技术中的室内定位和SLAM等。此外,我们还自主研发了随身佩戴的电子配同仪,具备结合人员定位进行路径引导、实时语音对讲、自动警告异常行为、全程作业拍摄和远程作业指导等功能。通过多种物联网技术的综合应用,极大地丰富和提升了数据中心内运行情况的感知和控制能力,为精细化管控奠定了坚实的技术基础。
网络层主要是实现感知数据和控制信息的通信功能,将感知层获取的相关数据信息通过各种具体形式的网络,实现信息存储、分析、处理、传递和管理等多种功能。本项目中主要应用了2.4GHz的RFID组网、4G无线传输网络以及复用行内的骨干传输网络,后续可能会应用到5G、Wifi和NB-IOT等网络技术。
应用层主要解决信息处理和人机界面的问题,此平台的主要业务需求是在我行多个数据中心空间内,将生产运维活动按场景进行细化,更广泛地应用自动化手段,通过数据和流程驱动,实现跨系统的实时联动,实施精细化管控,提升物理安全管理的效率和质量。
下面我们以几个典型场景为例进行介绍:人员管理上要精确识别人员身份及其风险度,所有行内外人员全部采集人脸信息,全程人脸识别,精确身份认证,建立人员安全风险评价体系,系统自动根据其作业行为和触发告警情况进行评分,评分结果将应用于作业范围、调度先后和要求采取的管控措施等。高风险人员直接拉入黑名单,被解禁之前不允许入场作业,通过正向反馈机制引导大家规范作业。权限管理上,取消静态长期授权,由综合安全管控平台对接工单审批系统,根据生产事由动态实时进行按人、按事、按时、按区域临时授权,作业完成后权限自动回收,大幅降低授权粒度。作业行为分析上,推广智能摄像头系统,联动行内生物识别平台,对VIP要客、黑名单人员精确识别,能自动分析入侵闯入、尾随闯入、暴力破坏等行为;机房内部署人员定位系统,设置作业区域电子围栏,实时采集人员位置,越界或滞留非作业区域产生告警,平台自动联动摄像头进行视频盯防。远程作业指导上,创新研发“智能陪同仪”,实现智能导航、远程对讲、自动语音提醒、作业记录和视频信息回传,实时掌握和远程指导维修作业。设备管理上,使用多种RFID标签,建立设备身份信息,实现全生命周期管理,能实时采集设备的在机柜内的U位信息,维修时U位RFID标签灯自动闪烁进行提醒,防范误插拔;使用智能巡检机器人,不间断巡检,及时发现设备异常故障和机房异常状况。在数据处理和分析上,将线下的作业行为进行数字化改造,运用大数据分析技术,开发了包括人员安全风险评价、作业调度排序、作业时长动态基线、陪同方式推荐等作业管理模型,为主动发现和预防异常提供了技术手段,反过来也可以指导和规范作业行为。在业务联动上,所有的底层物联网终端系统与综合智能安全管控平台打通,根据运维场景由数据和业务逻辑进行驱动,实现底层系统的有机联动,避免数据孤岛,保证感知和处置的效率,如通过工单与门禁和设备的RFID标签的联动、门禁与摄像头的联动、人员定位与摄像头和电子陪同仪的联动等,运维人员在ECC内就能在告警发生的第一时间通过视频摄像头观察到机房内情况,并通过陪同仪对接进行干预和制止。
平台的创新点和应用推广效果
在数据中心物理访问安全领域,我行的综合智能安全管控平台从管理理念、架构设计、技术实践到应用推广均比较领先。归纳起来具有如下创新特点:以运维场景为切入点,通过数据和流程驱动,实现多系统的相互联动,协同作战,既发挥技术手段的最大功效,又可保证管控力度与运维场景相匹配、相适应。综合应用多种物联网技术,建立物联网技术应用的统一框架,实现对人员、设备、作业信息的统一采集、分析和控制。在运维领域将线下作业进行数字化改造,运用大数据分析技术,研发了一系列智能算法,提高了安全管理的科学化水平。综合运用物联网、大数据、移动互联网等多种技术,安全管控从“人防”向“技防”演进,由人员密集型向先进技术密集型转型,实现数据中心的“少人”甚至是“无人化”发展。
经过两年多的建设和推广,综合智能安全管控平台架构已趋完善,功能基本完备,完成了门禁、安防摄像头、访客机、人员定位系统、各类RFID标签、电子陪同仪等关键底层系统的接入和管理,实现了与行内流程审批系统、统一监控平台等的流程打通,已全面部署应用在我行的生产、灾备和开发测试机房内,实现多地数据中心物理安全管控的管理标准统一、业务流程统一、技术手段统一和基础数据共享。在运维的过程中,不断丰富应用场景,完善管控手段,优化作业模型,提升实际效果。通过平台的主动发现和事后审计,我们也发现了一些违规事件,通过对典型事件进行回溯分析和通报,帮助大家提升安全意识、掌握运维规范、清楚管理要求,提高整个组织对物理访问安全的重视程度,使管理体系运转更流畅,为将来机房“少人化”运维做好技术和组织准备。
下一步,我们还将从以下几个方面继续推进,一是继续丰富底层感知和控制系统,目前正在进行巡检机器人和入侵检测系统的建设和接入。二是继续丰富平台管控的运维场景,基于不同的场景,有针对性地设置管控标准和流程,驱动感知控制层有机联动进行精细化管控。三是加大对基础数据的分析和应用,设计出更多更有针对性的细分模型,通过模型来引导和规范作业行为。四是加强引导和宣贯,对典型违规事件进行分析和追责,形成完整的闭环运维体系,保持震慑力。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。