調(diào)控自動化運維管理及安全審計功能研究

馬國琪 劉寶祥 賈子禛 朱漢辰

（1.寶雞供電公司，陜西寶雞 721004；2.西安銀河網(wǎng)電智能電氣有限公司，陜西西安 710000；3.西安供電公司，陜西西安 710000）

運維安全審計系統(tǒng)從功能上實現(xiàn)了對運維人員維護(hù)過程進(jìn)行全面跟蹤、控制、記錄、回放；實現(xiàn)了支持細(xì)粒度配置運維人員的訪問權(quán)限，實時阻斷違規(guī)、越權(quán)的訪問行為，同時提供維護(hù)人員操作的全過程的記錄與報告；實現(xiàn)了運維人員可以憑借個人的用戶帳號和密碼錄到運維安全審計系統(tǒng)上，直接選擇可訪問的資源進(jìn)行自動登錄操作，整個過程，不再需要記住目標(biāo)設(shè)備的IP地址及帳號密碼，讓登錄操作變得更簡單有效。可以將運維人員從煩瑣的密碼管理工作中解放出來，投入到其他工作上去。

1.現(xiàn)狀分析

目前，地區(qū)自動化系統(tǒng)Ⅲ區(qū)運維工作站都是直連于三區(qū)調(diào)度生產(chǎn)管理系統(tǒng)（OMS）交換機(jī)，運維人員直接通過調(diào)度生產(chǎn)管理系統(tǒng)（OMS）交換機(jī)登錄III區(qū)各類服務(wù)器及網(wǎng)絡(luò)設(shè)備。

通常地區(qū)調(diào)度自動化系統(tǒng)Ⅲ區(qū)包含2臺Web和2臺HIS服務(wù)器，4臺HIS服務(wù)器一端連接至調(diào)度自動化系統(tǒng)Ⅲ區(qū)私網(wǎng)交換機(jī)從而和私網(wǎng)內(nèi)服務(wù)器進(jìn)行數(shù)據(jù)交互；另一端連接至調(diào)度生產(chǎn)管理系統(tǒng)（OMS）交換機(jī)和上級服務(wù)器進(jìn)行數(shù)據(jù)交互。III區(qū)調(diào)度自動化系統(tǒng)（OMS）交換機(jī)下聯(lián)一臺整定計算服務(wù)器，一臺負(fù)荷預(yù)測服務(wù)器，和省調(diào)服務(wù)器進(jìn)行數(shù)據(jù)交互[1]。如圖1所示。

圖1 自動化系統(tǒng)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)拓?fù)鋱D

2.自動化運維及安全審計系統(tǒng)部署方式

運維安全審計系統(tǒng)采用“物理旁路，邏輯串聯(lián)”的方式部署，不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習(xí)慣，不影響正常業(yè)務(wù)運行。主要通過以下兩步實現(xiàn)：

（1）通過在調(diào)度生產(chǎn)管理系統(tǒng)（OMS）交換機(jī)上劃分運維管理域，從而實現(xiàn)工作站與調(diào)度自動化系統(tǒng)服務(wù)器、整定計算和負(fù)荷預(yù)測服務(wù)器的網(wǎng)絡(luò)隔離。

（2）將運維審計系統(tǒng)網(wǎng)卡eth3和eth4同時接入到調(diào)度生產(chǎn)管理系統(tǒng)（OMS）交換機(jī)上，和主網(wǎng)交換機(jī)上，同時為其規(guī)劃192.168.20.X段IP地址以保證工作站與運維升級系統(tǒng)網(wǎng)絡(luò)可達(dá)[2]。部署后拓?fù)淙鐖D2所示。

圖2 增加運維審計系統(tǒng)后控制大區(qū)網(wǎng)絡(luò)拓?fù)鋱D

3.運維安全審計系統(tǒng)設(shè)計

運維安全審計系統(tǒng)是對地區(qū)電力調(diào)度自動化系統(tǒng)當(dāng)前網(wǎng)絡(luò)與系統(tǒng)運維狀況及安全性而進(jìn)行的研究，同時學(xué)習(xí)借鑒了國內(nèi)外關(guān)于運維安全審計方面的先進(jìn)技術(shù)，因此，自動化運維與安全審計功能建立在扎實的理論基礎(chǔ)。

通過對運維安全審計功能與需求的進(jìn)一步研究，結(jié)合國網(wǎng)對網(wǎng)絡(luò)運維的需求以及現(xiàn)狀，系統(tǒng)運維管理與安全審計功能具體包括以下幾個功能：

（1）單點登錄功能；（2）身份認(rèn)證功能；（3）賬號管理功能；（4）資源授權(quán)功能；（5）操作安全審計功能；（6）敏感管控功能；（7）批量執(zhí)行功能。

文章以部署在國產(chǎn)麒麟操作系統(tǒng)上為例，本文研究采用跨平臺的Java語言進(jìn)行研發(fā)；同時，為了更方便的部署和使用本系統(tǒng)采用B/S架構(gòu)，文章以采用國產(chǎn)數(shù)據(jù)庫作為HIS數(shù)據(jù)庫為例，將系統(tǒng)產(chǎn)生的日志和告警信息持久化存儲至HIS數(shù)據(jù)庫；采用Redis數(shù)據(jù)庫作為實時告警數(shù)據(jù)庫；采用MongoDB數(shù)據(jù)庫作為資產(chǎn)模型數(shù)據(jù)庫，同時采用RESTful API設(shè)計模式為以后功能拓展提供標(biāo)準(zhǔn)API接口。

為保證系統(tǒng)安全，采用數(shù)據(jù)加密技術(shù)保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性，防止惡意用戶截獲和篡改數(shù)據(jù)；通過圖形代理協(xié)議對圖形終端操作行為進(jìn)行安全審計和監(jiān)控，運維安全審計功能對圖形終端使用的協(xié)議進(jìn)行代理，實現(xiàn)多平臺的多種圖形終端操作的安全審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作等；采用正則表達(dá)式匹配技術(shù)，將正則表達(dá)式組合入樹形可遺傳策略結(jié)構(gòu)，實現(xiàn)控制命令的自動匹配與控制；采用多進(jìn)程/線程技術(shù)實現(xiàn)，利用獨特的通信和數(shù)據(jù)同步技術(shù)，準(zhǔn)確控制程序行為。多進(jìn)程/線程方式邏輯處理準(zhǔn)確，事務(wù)處理不會發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。下面以“身份認(rèn)證”“行為控制”“行為安全審計”“統(tǒng)一維護(hù)訪問通道”“批量執(zhí)行”等功能為例描述。

3.1 身份認(rèn)證功能

（1）準(zhǔn)確定位用戶身份：為每個運維人員創(chuàng)建唯一的運維賬號（主賬號），該賬號是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一憑證，運維工作時，設(shè)備賬號（從賬號）與主賬號關(guān)聯(lián)，確保運維行為安全審計記錄的一致性，從而準(zhǔn)確定位用戶身份。

（2）多種身份認(rèn)證方式：雙因子：數(shù)字證書+賬號，運維人員通過存儲數(shù)字證書的USBkey登錄本地運維工作站，然后通過賬號密碼方式訪問運維安全審計系統(tǒng)。這樣實現(xiàn)運維人員登錄的兩步驗證，符合國網(wǎng)的安全要求，也使得運維系統(tǒng)登錄認(rèn)證更加安全有效。

3.2 行為控制功能

（1）登錄行為控制：用戶登錄運維安全審計系統(tǒng)后，只能夠訪問已獲得管理授權(quán)的目標(biāo)設(shè)備，即每一個運維人員的賬號，系統(tǒng)授權(quán)其可以登錄的設(shè)備列表，使其登錄到系統(tǒng)之后只可以登錄自己設(shè)備列表的設(shè)備，大大保證了運維工作的安全性。

（2）訪問行為控制：運維安全審計系統(tǒng)可以實現(xiàn)集中統(tǒng)一的訪問控制和細(xì)粒度的命令級授權(quán)策略：1）基于時間訪問控制；即設(shè)置可以登錄操作的時間段；2）基于訪問者IP訪問控制；即對登錄的源IP進(jìn)行限制，設(shè)置可信任主機(jī)，禁止非法IP登錄系統(tǒng)進(jìn)行操作；3）基于指令（黑白名單）訪問控制；4）同一時刻不允許相同帳號在不同的位置登錄。

（3）高危行為控制：運維安全審計系統(tǒng)可以對輸入指令中的危險指令，進(jìn)行訪問控制和阻斷。我們首先會建立一個高危操作及命令的信息庫，收集日常常用的危險操作及命令，然后根據(jù)其危險等級進(jìn)行分級，對每一級的操作設(shè)定不同的控制方式，比如彈窗提醒高危操作、直接阻斷操作、進(jìn)行操作申請等方式，將運維危險以技術(shù)的方式進(jìn)行杜絕。

3.3 行為安全審計功能

（1）字符會話安全審計：通過SSH、Telnet等協(xié)議的操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險等級、操作命令等，可提供操作內(nèi)容倍速回放、定位播放等功能；具有命令的關(guān)鍵字搜索功能，對高危命令、關(guān)鍵命令可以直接搜索快速定位。而且，對加密傳輸?shù)拿钚胁僮鳎热鏢SH等也可以進(jìn)行解析并且保存、回放[3]。

（2）圖形安全審計：通過RDP、VNC等遠(yuǎn)程桌面以及HTTP/HTTPS 協(xié)議的圖形操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶 IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險等級、操作內(nèi)容等，通過視頻錄像方式記錄操作內(nèi)容，可提供倍速回放、定位播放等功能。能夠準(zhǔn)確快速找到風(fēng)險源頭，從而快速定位事故責(zé)任。

（3）文件傳輸安全審計：通過SFTP、FTP 等協(xié)議的操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、目標(biāo)設(shè)備IP、協(xié)議類型、文件名稱、危險等級、操作命令等，可提供操作內(nèi)容倍速回放功能。

3.4 統(tǒng)一維護(hù)訪問通道功能

在運維安全審計研究中，運維人員可以實現(xiàn)通過不同的方式對目標(biāo)進(jìn)行訪問，維護(hù)，方式包括：（1）通過Web控件方式訪問，所有協(xié)議均可通過Web空間方式從Web直接發(fā)起訪問，訪問過程支持IE、Firefox、Chrome等多種瀏覽器；（2）通過Web直接調(diào)用本地客戶端方式進(jìn)行訪問。

3.5 批量執(zhí)行功能

運維安全審計功能能夠自動化在多臺機(jī)器上批量執(zhí)行指令，通過批量執(zhí)行功能，管理員可以方便實現(xiàn)對多臺主機(jī)的升級、備份等工作任務(wù)。（1）通過SSH、Telnet、Rlogin執(zhí)行系統(tǒng)命令；（2）可設(shè)定任務(wù)執(zhí)行開始時間；（3）可設(shè)定執(zhí)行的目標(biāo)主機(jī)與系統(tǒng)賬號；（4）執(zhí)行過程與結(jié)果審核。批量執(zhí)行功能可以大大縮減運維人員的工作量，并且降低多次操作的風(fēng)險。

4.實際案例

在部署運維安全審計功能之后，我們將進(jìn)行以下幾方面的測試，確保運維安全審計系統(tǒng)的正常安全運行。

4.1 登錄測試

測試內(nèi)容：測試運維安全審計系統(tǒng)的雙因子登錄功能；測試結(jié)果：正確，滿足“雙因子登陸”防護(hù)要求。

4.2 賬號權(quán)限測試

測試內(nèi)容：測試不同工作賬號的運維權(quán)限、不同的運維區(qū)域賬號可以登錄的設(shè)備范圍是否有限制、不同的運維權(quán)限可以進(jìn)行的操作是否有限制、實現(xiàn)權(quán)限最小化。測試結(jié)果：滿足要求，實現(xiàn)“權(quán)限最小化”。

4.3 行為審計測試

測試內(nèi)容：測試行為審計功能，高危操作是否有提示等。測試結(jié)果：滿足要求，告警正確。

4.4 操作記錄測試

測試內(nèi)容：操作行為是否可以進(jìn)行記錄，是否可以回放。測試結(jié)果：滿足這要求，回放正常。

4.5 批量操作測試

測試內(nèi)容：測試系統(tǒng)是否可以安全穩(wěn)定的執(zhí)行批量的操作命令，并且完整得到操作結(jié)果。測試結(jié)果：命令執(zhí)行正確。

5.結(jié)論

在運維安全審計研究應(yīng)用在實際系統(tǒng)中，達(dá)到了如下效果：（1）制度完善，符合要求。運維安全審計系統(tǒng)在技術(shù)手段上健全了寶雞調(diào)度自動化運維管理系統(tǒng)，同時與有關(guān)標(biāo)準(zhǔn)要求相符合。（2）降低風(fēng)險性，排除故障。部署運維安全審計系統(tǒng)能夠提升運維人注意力，提高安全意識，避免因為錯誤操作而增加運維危險。另一方面，也能夠?qū)Φ谌竭\維進(jìn)行管理、監(jiān)控。通過制訂黑、白名單方法，防止違規(guī)操作危險出現(xiàn)。（3）加大安全審計力度，優(yōu)化分工。運維安全審計系統(tǒng)可以判斷操作人員的賬號、密碼，并進(jìn)行行為動態(tài)記錄跟蹤，把各操作行為具體至每個人，杜絕出現(xiàn)問題無人負(fù)責(zé)現(xiàn)象。（4）單擊“登錄”確保效果。運維安全審計系統(tǒng)能夠?qū)\維主機(jī)統(tǒng)一管理，針對主機(jī)的賬號進(jìn)行共同管理。運維人員只要登錄自己賬號、密碼即可，而不需要重復(fù)登錄，進(jìn)而提升工作效率，對運維主機(jī)的安全性提升起到了重要作用。