調控自動化運維管理及安全審計功能研究

馬國琪 劉寶祥 賈子禛 朱漢辰

（1.寶雞供電公司，陜西寶雞 721004；2.西安銀河網電智能電氣有限公司，陜西西安 710000；3.西安供電公司，陜西西安 710000）

運維安全審計系統(tǒng)從功能上實現(xiàn)了對運維人員維護過程進行全面跟蹤、控制、記錄、回放；實現(xiàn)了支持細粒度配置運維人員的訪問權限，實時阻斷違規(guī)、越權的訪問行為，同時提供維護人員操作的全過程的記錄與報告；實現(xiàn)了運維人員可以憑借個人的用戶帳號和密碼錄到運維安全審計系統(tǒng)上，直接選擇可訪問的資源進行自動登錄操作，整個過程，不再需要記住目標設備的IP地址及帳號密碼，讓登錄操作變得更簡單有效。可以將運維人員從煩瑣的密碼管理工作中解放出來，投入到其他工作上去。

1.現(xiàn)狀分析

目前，地區(qū)自動化系統(tǒng)Ⅲ區(qū)運維工作站都是直連于三區(qū)調度生產管理系統(tǒng)（OMS）交換機，運維人員直接通過調度生產管理系統(tǒng)（OMS）交換機登錄III區(qū)各類服務器及網絡設備。

通常地區(qū)調度自動化系統(tǒng)Ⅲ區(qū)包含2臺Web和2臺HIS服務器，4臺HIS服務器一端連接至調度自動化系統(tǒng)Ⅲ區(qū)私網交換機從而和私網內服務器進行數(shù)據(jù)交互；另一端連接至調度生產管理系統(tǒng)（OMS）交換機和上級服務器進行數(shù)據(jù)交互。III區(qū)調度自動化系統(tǒng)（OMS）交換機下聯(lián)一臺整定計算服務器，一臺負荷預測服務器，和省調服務器進行數(shù)據(jù)交互[1]。如圖1所示。

圖1 自動化系統(tǒng)生產控制大區(qū)網絡拓撲圖

2.自動化運維及安全審計系統(tǒng)部署方式

運維安全審計系統(tǒng)采用“物理旁路，邏輯串聯(lián)”的方式部署，不改變網絡拓撲結構，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習慣，不影響正常業(yè)務運行。主要通過以下兩步實現(xiàn)：

（1）通過在調度生產管理系統(tǒng)（OMS）交換機上劃分運維管理域，從而實現(xiàn)工作站與調度自動化系統(tǒng)服務器、整定計算和負荷預測服務器的網絡隔離。

（2）將運維審計系統(tǒng)網卡eth3和eth4同時接入到調度生產管理系統(tǒng)（OMS）交換機上，和主網交換機上，同時為其規(guī)劃192.168.20.X段IP地址以保證工作站與運維升級系統(tǒng)網絡可達[2]。部署后拓撲如圖2所示。

圖2 增加運維審計系統(tǒng)后控制大區(qū)網絡拓撲圖

3.運維安全審計系統(tǒng)設計

運維安全審計系統(tǒng)是對地區(qū)電力調度自動化系統(tǒng)當前網絡與系統(tǒng)運維狀況及安全性而進行的研究，同時學習借鑒了國內外關于運維安全審計方面的先進技術，因此，自動化運維與安全審計功能建立在扎實的理論基礎。

通過對運維安全審計功能與需求的進一步研究，結合國網對網絡運維的需求以及現(xiàn)狀，系統(tǒng)運維管理與安全審計功能具體包括以下幾個功能：

（1）單點登錄功能；（2）身份認證功能；（3）賬號管理功能；（4）資源授權功能；（5）操作安全審計功能；（6）敏感管控功能；（7）批量執(zhí)行功能。

文章以部署在國產麒麟操作系統(tǒng)上為例，本文研究采用跨平臺的Java語言進行研發(fā)；同時，為了更方便的部署和使用本系統(tǒng)采用B/S架構，文章以采用國產數(shù)據(jù)庫作為HIS數(shù)據(jù)庫為例，將系統(tǒng)產生的日志和告警信息持久化存儲至HIS數(shù)據(jù)庫；采用Redis數(shù)據(jù)庫作為實時告警數(shù)據(jù)庫；采用MongoDB數(shù)據(jù)庫作為資產模型數(shù)據(jù)庫，同時采用RESTful API設計模式為以后功能拓展提供標準API接口。

為保證系統(tǒng)安全，采用數(shù)據(jù)加密技術保護用戶通信的安全性和數(shù)據(jù)的完整性，防止惡意用戶截獲和篡改數(shù)據(jù)；通過圖形代理協(xié)議對圖形終端操作行為進行安全審計和監(jiān)控，運維安全審計功能對圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的多種圖形終端操作的安全審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作等；采用正則表達式匹配技術，將正則表達式組合入樹形可遺傳策略結構，實現(xiàn)控制命令的自動匹配與控制；采用多進程/線程技術實現(xiàn)，利用獨特的通信和數(shù)據(jù)同步技術，準確控制程序行為。多進程/線程方式邏輯處理準確，事務處理不會發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。下面以“身份認證”“行為控制”“行為安全審計”“統(tǒng)一維護訪問通道”“批量執(zhí)行”等功能為例描述。

3.1 身份認證功能

（1）準確定位用戶身份：為每個運維人員創(chuàng)建唯一的運維賬號（主賬號），該賬號是獲取目標設備訪問權利的唯一憑證，運維工作時，設備賬號（從賬號）與主賬號關聯(lián)，確保運維行為安全審計記錄的一致性，從而準確定位用戶身份。

（2）多種身份認證方式：雙因子：數(shù)字證書+賬號，運維人員通過存儲數(shù)字證書的USBkey登錄本地運維工作站，然后通過賬號密碼方式訪問運維安全審計系統(tǒng)。這樣實現(xiàn)運維人員登錄的兩步驗證，符合國網的安全要求，也使得運維系統(tǒng)登錄認證更加安全有效。

3.2 行為控制功能

（1）登錄行為控制：用戶登錄運維安全審計系統(tǒng)后，只能夠訪問已獲得管理授權的目標設備，即每一個運維人員的賬號，系統(tǒng)授權其可以登錄的設備列表，使其登錄到系統(tǒng)之后只可以登錄自己設備列表的設備，大大保證了運維工作的安全性。

（2）訪問行為控制：運維安全審計系統(tǒng)可以實現(xiàn)集中統(tǒng)一的訪問控制和細粒度的命令級授權策略：1）基于時間訪問控制；即設置可以登錄操作的時間段；2）基于訪問者IP訪問控制；即對登錄的源IP進行限制，設置可信任主機，禁止非法IP登錄系統(tǒng)進行操作；3）基于指令（黑白名單）訪問控制；4）同一時刻不允許相同帳號在不同的位置登錄。

（3）高危行為控制：運維安全審計系統(tǒng)可以對輸入指令中的危險指令，進行訪問控制和阻斷。我們首先會建立一個高危操作及命令的信息庫，收集日常常用的危險操作及命令，然后根據(jù)其危險等級進行分級，對每一級的操作設定不同的控制方式，比如彈窗提醒高危操作、直接阻斷操作、進行操作申請等方式，將運維危險以技術的方式進行杜絕。

3.3 行為安全審計功能

（1）字符會話安全審計：通過SSH、Telnet等協(xié)議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協(xié)議類型、危險等級、操作命令等，可提供操作內容倍速回放、定位播放等功能；具有命令的關鍵字搜索功能，對高危命令、關鍵命令可以直接搜索快速定位。而且，對加密傳輸?shù)拿钚胁僮鳎热鏢SH等也可以進行解析并且保存、回放[3]。

（2）圖形安全審計：通過RDP、VNC等遠程桌面以及HTTP/HTTPS 協(xié)議的圖形操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶 IP、設備名稱、設備IP、協(xié)議類型、危險等級、操作內容等，通過視頻錄像方式記錄操作內容，可提供倍速回放、定位播放等功能。能夠準確快速找到風險源頭，從而快速定位事故責任。

（3）文件傳輸安全審計：通過SFTP、FTP 等協(xié)議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、目標設備IP、協(xié)議類型、文件名稱、危險等級、操作命令等，可提供操作內容倍速回放功能。

3.4 統(tǒng)一維護訪問通道功能

在運維安全審計研究中，運維人員可以實現(xiàn)通過不同的方式對目標進行訪問，維護，方式包括：（1）通過Web控件方式訪問，所有協(xié)議均可通過Web空間方式從Web直接發(fā)起訪問，訪問過程支持IE、Firefox、Chrome等多種瀏覽器；（2）通過Web直接調用本地客戶端方式進行訪問。

3.5 批量執(zhí)行功能

運維安全審計功能能夠自動化在多臺機器上批量執(zhí)行指令，通過批量執(zhí)行功能，管理員可以方便實現(xiàn)對多臺主機的升級、備份等工作任務。（1）通過SSH、Telnet、Rlogin執(zhí)行系統(tǒng)命令；（2）可設定任務執(zhí)行開始時間；（3）可設定執(zhí)行的目標主機與系統(tǒng)賬號；（4）執(zhí)行過程與結果審核。批量執(zhí)行功能可以大大縮減運維人員的工作量，并且降低多次操作的風險。

4.實際案例

在部署運維安全審計功能之后，我們將進行以下幾方面的測試，確保運維安全審計系統(tǒng)的正常安全運行。

4.1 登錄測試

測試內容：測試運維安全審計系統(tǒng)的雙因子登錄功能；測試結果：正確，滿足“雙因子登陸”防護要求。

4.2 賬號權限測試

測試內容：測試不同工作賬號的運維權限、不同的運維區(qū)域賬號可以登錄的設備范圍是否有限制、不同的運維權限可以進行的操作是否有限制、實現(xiàn)權限最小化。測試結果：滿足要求，實現(xiàn)“權限最小化”。

4.3 行為審計測試

測試內容：測試行為審計功能，高危操作是否有提示等。測試結果：滿足要求，告警正確。

4.4 操作記錄測試

測試內容：操作行為是否可以進行記錄，是否可以回放。測試結果：滿足這要求，回放正常。

4.5 批量操作測試

測試內容：測試系統(tǒng)是否可以安全穩(wěn)定的執(zhí)行批量的操作命令，并且完整得到操作結果。測試結果：命令執(zhí)行正確。

5.結論

在運維安全審計研究應用在實際系統(tǒng)中，達到了如下效果：（1）制度完善，符合要求。運維安全審計系統(tǒng)在技術手段上健全了寶雞調度自動化運維管理系統(tǒng)，同時與有關標準要求相符合。（2）降低風險性，排除故障。部署運維安全審計系統(tǒng)能夠提升運維人注意力，提高安全意識，避免因為錯誤操作而增加運維危險。另一方面，也能夠對第三方運維進行管理、監(jiān)控。通過制訂黑、白名單方法，防止違規(guī)操作危險出現(xiàn)。（3）加大安全審計力度，優(yōu)化分工。運維安全審計系統(tǒng)可以判斷操作人員的賬號、密碼，并進行行為動態(tài)記錄跟蹤，把各操作行為具體至每個人，杜絕出現(xiàn)問題無人負責現(xiàn)象。（4）單擊“登錄”確保效果。運維安全審計系統(tǒng)能夠對運維主機統(tǒng)一管理，針對主機的賬號進行共同管理。運維人員只要登錄自己賬號、密碼即可，而不需要重復登錄，進而提升工作效率，對運維主機的安全性提升起到了重要作用。