基于堡壘主機概念的運維審計系統

隨著電力企業信息化發展至高級應用階段，電網應用及數據的安全性、業務連續性要求越來越高。但是，來自系統內部或外部的維護行為被給予了過分的信任，當前未受到應有重視，存在巨大的管理漏洞和潛在風險。

目前，各電力企業紛紛部署了防火墻、IPS、網

絡防病毒系統、漏洞掃描系統等安全產品，建立了較為完善的信息安全防護體系，取得了一定效果，但網絡安全故障仍時有發生。令人驚奇的是，造成這些不合規、不合法的行為很多來源于內部“合法”的用戶操作。防火墻、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題，但對于內部人員的違規操作而導致數據誤刪除、數據破壞、數據泄密等致使企業利益、公眾利益和國家利益受損的行為，卻無能為力。

針對這一系統性風險，公安部在《信息系統安全等級保護基本要求》中明確要求，對于二級（含）以上的重要信息系統網絡安全、主機安全、應用安全均要求具備安全審計功能。國家電網公司也根據自身需要對下屬企業IT內控提出了相應的要求。因此，對設備維護行為采取行之有效的控制和審計措施，彌補這一信息化安全管理的盲區，是當前電力企業信息安全建設的當務之急。

從堡壘主機到內控堡壘主機

堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其他主機安全的目的。其目標是通過綜合采用虛擬化技術、協議代理技術和身份認證、訪問控制與操作審計等多種信息安全技術，實現員工和管理人員對內部網絡特定資源的安全訪問，同時對訪問和操作的過程進行完備的審計記錄。

目前，各級電力企業均已部署了一系列安全設備，但傳統的防護手段中，防火墻只能進行網絡層訪問控制，無法對系統層訪問進行控制，更談不上操作內容管理；而IDS、IPS側重于系統層、網絡層攻擊事件的檢測，缺乏對操作的控制能力；傳統安全審計類產品無法實現對加密協議SSH、圖形訪問協議的識別和管理。

信息系統的運行由一系列的人員行為和系統行為組成，信息系統安全審計就是采集、監控、分析信息系統各組成部分的系統行為（日志）和操作行為的過程。 既然傳統的安全設備都無法解決運維行為審計的問題，能否另辟蹊徑，在維護人員（內部的、外部的）和信息系統（網絡、主機、數據庫等）之間搭建一個唯一的入口和統一的交互的界面？答案是肯定的。依托堡壘主機的理念，可以構造一種專門應用于信息系統運維行為控制和審計的堡壘主機。它作為一座橋梁，不但能夠規范和控制所有維護人員的行為，而且具備強大的輸入輸出審計功能，能夠詳細記錄用戶操作的指令和操作過程，這就是內控堡壘主機，也可以稱之為“運維審計系統”。

系統設計

1．系統架構

在電力企業IT 運維過程中，維護人員既有內部人員，也有來自外部的系統集成商、服務外包商、應用開發商、設備原廠商人員。維護對象主要包括：主機、網絡設備、安全設備、數據庫以及各類應用軟件。維護人員主要通過Telnet、SSH、VNC、RDP等方式對維護對象進行維護操作，運維審計系統的功能重點是將這些管理員維護的過程進行記錄，并提供客觀的審計依據，便于企業對管理員行為進行高效審計，如下圖所示。

系統應采用旁路部署方式，對網絡原始結構不造成影響，用戶只需為運維審計系統分配一個能夠接入用戶網絡的IP地址即可，所有由客戶端發起的服務器維護協議均通過運維審計系統進行轉發，如SSH、Telnet、RDP等協議，而正常的服務器對外業務則不通過運維審計系統，因此，運維審計系統不會影響服務器的正常對外業務。運維審計系統采用B/S管理架構，管理員可以在遠程通過瀏覽器進行管理。

2．系統自身安全性

內控堡壘主機是信息基礎設施（服務器、網絡設備等）維護的統一入口，是最容易遭受攻擊的主機，其配置與通常的主機相比明顯不同，所有不必要的服務、協議、程序和網絡接口都將被禁用或刪除，以達到“最小化安全”，以強化堡壘主機，極大地限制可能出現的網絡攻擊。

為此，運維審計系統采用軟硬件一體化架構，基于嵌入式開發技術，將定制的64位Linux內核固化至硬件上，操作系統采用最小化安裝，除了必要的內核、驅動等程序外，其他組件、程序包盡量去除。同時，關閉不必要的應用、服務、端口，開啟自身的防火墻功能，提高堡壘主機自身的安全防護能力。

3．運維賬號管理

運維審計系統可以統一管理所有信息系統的運維賬號。為了強化安全性，運維審計系統另外為每一位運維人員分配一個運維賬號并為其分配權限，這一套帳號并非信息系統真正的管理賬號，但與信息系統真正的管理賬號相關聯。這樣，每一位運維人員無須知道也無法知道系統真正的賬號。運維審計系統支持多用戶管理，企業可以根據自身組織情況設定配置管理員、審計員、操作管理員等角色，并為每個用戶設定詳細的訪問控制規則。運維審計系統權限管理為細粒度控制方式，能夠為每個用戶分配任意功能模塊組合權限，如：查詢日志、回放文件查看、規則配置、用戶管理、系統自身管理等等。運維審計系統密碼策略管理對密碼強度、密碼使用期限、賬號鎖定、賬號起/停、用戶分組等進行管理，能夠有效保證運維賬號的安全。支持與RSA、安盟動態令牌等第三方認證系統結合，對系統用戶進行認證。

4．維護協議支持

運維審計系統支持電力企業內部運維審計所要求的所有協議類型，主要包括：

①基本遠程操作協議，如SSH、TELNET、Rlogin、FTP等；

②圖形終端操作協議，如RDP（windows遠程桌面）、VNC等；

③數據庫遠程協議，如ORACLE、DB2、MS-SQL SERVER、INFORMIX、MySQL、SYBASE等。

針對上述協議，運維審計系統能夠記錄整個會話的完整過程，并形成指令日志及回放文件兩部分審計數據，指令日志供管理員針對操作指令進行快速審計，回放文件可供管理員針對特定的會話進行完整操作審計。

5．運維審計功能

運維審計系統支持針對Telnet、FTP、SSH、Rlogin各類服務器、網絡及數據庫操作行為記錄并進行查詢。運維審計系統查詢模塊采用了自主研發的強大檢索引擎，可以根據上述操作協議中的用戶名、IP、端口、時間、操作指令、返回結果等等信息進行多重組合查詢。管理員可以通過運維審計系統強大的檢索功能對關心的事件進行迅速定位。

6．視頻回放功能

運維審計系統支持對各類支持的協議進行視頻回放，管理員可以根據IP、時間段等信息查找關心的RDP、VNC等操作的回放文件并進行在線視頻回放，也可以根據查詢結果直接定位至TELNET、SSH、數據庫、FTP等遠程維護操作的回放文件直接進行回放審計。回放過程能夠還原上述協議中的所有操作行為，就如同對管理員的操作顯示器進行監控一樣。

運維審計系統回放視頻無需客戶端安裝第三方播放軟件，直接內置于運維審計系統管理客戶端中，回放系統支持常見的視頻播放控制操作，如拖動進度條，播放速度加快/減慢，暫停等等。

7．異常操作阻斷及告警

運維審計系統支持通過規則設定異常及非法操作行為，一旦檢測到這些異常的操作行為，運維審計系統將直接阻斷此操作，并斷開該操作的TCP連接，因而能夠有效防止各類違規操作事件的發生。同時運維審計系統也支持對危險指令的告警功能，能夠通過短信、郵件等方式將告警信息及時發送給管理員。告警及阻斷規則支持用戶自定義，規則可以根據IP、用戶名、指令、返回結果等信息進行。

8．統計報表功能

運維審計系統支持報表生成功能，內置了多種報表模板，同時支持用戶自定義報表。報表符合薩班斯SOX法案審計需求，如《賬號異常登錄情況報表》、《操作系統危險指令報表》、《數據庫危險指令報表》、《主機登錄合法性審計報表》、《數據庫登錄合法性審計報表》、《特定用戶操作審計報表》等。

實施效果

運維審計系統項目的實施有效地規范了內外部信息管理維護人員對服務器、數據庫等IT基礎設施的維護行為，彌補了對服務器等重要設施的維護行為的控制、審計的空白，強化了信息安全保護體系，有利于信息系統更好地運行，有利于保證企業運行的連續性和安全性，極大地減少了對信息化設施的誤操作和惡意操作的概率，使企業IT基礎設施維護行為的審計能力從無到有，節省了大量人力物力，縮短故障和安全事件的定位時間，大大提高了信息系統運行維護能力和效率。

同時，運維審計系統對所有的維護行為進行指令記錄和錄像，為信息網絡故障的追溯提供了有力的技術性保障，為事前防范和事后定位信息系統故障提供可科學、高效的手段，降低了信息系統安全風險，避免了潛在的資產損失。

作為企業信息安全保障體系的重要組成部分之一，運維審計系統創新地采用堡壘主機的設計理念，在運維人員與IT設施之間設置了一道屏障、唯一入口，它可以有效提高服務器等重要信息基礎架構的安全級別，輔助對信息安全故障和安全事件的全面記錄和事后追溯定位，能夠有效幫助電力企業彌補安全漏洞、完善系統安全防護體系，提高信息系統運行的安全性和事件的追溯能力。

（作者單位：浙江省杭州市蕭山供電局）