運維人員行為合規聯動預警系統

(國網新源控股有限公司檢修分公司，天津 300000)

0 引 言

部分企業通過IPS、防火墻、攻擊溯源等軟硬件設備維護企業的信息安全。但是運維人員仍然是信息安全鏈條中的最薄弱的環節，如運維人員不能按時到崗、操作管理不規范等[1-3]，這些都會導致各類違規故障頻發。建立一套企業運維人員行為合規聯動預警系統，該系統可以對出入行為、帳號行為和工作狀態合規性做出檢測。通過預警系統的建立，可以規范運維人員的到崗時間，并且可以對運維人員的工作狀態和是否合規使用辦公終端和賬號進行檢測。整個預警系統的建立符合可持續發展原則。構建運維人員行為合規聯動預警系統，可以提升企業的工作效率并且保證工作合規進行。

1 運維人員預警系統概述

企業運維人員行為合規聯動預警系統可以記錄運維人員的出入軌跡、查看視頻監控的實時直播、處理告警警報信息、考察運維人員的出勤情況等。該預警系統的建立應該符合《國家電網公司應用軟件架構設計規范》、《國家電網公司應用集成技術規范》、《國家電網公司應用安全設計規范》、《計算機軟件配置管理計劃規范》、《計算機信息系統安全保護等級劃分準則》、《國家電網公司公共數據模型》、《信息系統全生命周期安全管控之安全設計規范》等。預警系統應用了人臉識別技術只允許企業運維人員進入運維區域，禁止非法人員闖入。通過終端登陸日志、審計日志比對實現人、賬號和終端一致，抑制私開端口和盜用賬號等異常情況的發生。預警系統將人員劃分為三個層級分別是：訪客、普通員工和運維操作人員。通過三個級別的劃分可以實現報警陌生人進入、記錄員工出入和運維操作人員的考勤考核的功能。對于訪客還可以實現記錄出入軌跡和訪問時間，并劃分訪客可進入的區域；對于普通員工還可以實現記錄考勤、出入軌跡，并劃分員工可進入區域。對于運維操作人員還可以實現記錄考勤、出入次數、出入軌跡、在崗狀態和在崗時間，并劃分可進入的區域，對達到指定條件閾值會進行報警。

2 預警系統設計原則

企業運維人員行為合規聯動預警系統應該符合統一設計原則、遵從性原則、規范性原則、融合適應性原則、整體性和開放性原則、可擴展性和易維護原則、可靠性和穩定性原則、安全性和保密性原則。從系統長期的考慮，統一預警系統的模型結構是非常必要的。在設計系統的時候具有較高的前瞻性，考慮未來系統的升級、維護和擴充等。預警系統具有安全可靠穩定運行性質，可以實現企業內部信息的共享。該系統還可以和企業其它相關業務進行融合。

3 預警系統設計路線

國家電網運維人員行為合規聯動預警系統采用UAP技術進行界面展示，系統的服務器采用JDK1.8版本及以上版本。通過JDBC、JNDI、DBCP技術進行系統的數據訪問；系統部署模式采用公司本部一級部署；開發平臺采用SG-UAP開發平臺；采用Tomcat8.5作為中間件。該系統采用B/S機構，客戶端應用Web方式，通過瀏覽器訪問預警系統的功能且客戶端安裝簡單，界面美觀，系統升級方便。預警系統集合視頻監控平臺、堡壘機、電腦安全感軟件等功能集合到一起。將采集到的數據出傳送到預警系統，可以檢查運維人員的在崗時間和操作的規范程度。預警系統通過后臺管理、監控視頻、ERP接口等完成運維人員出入行為、運維人員賬號行為和運維人員工作狀態等功能。業務架構包括了出入行為監控(含有人臉庫、陌生人報警顯示、出入警報處理、訪客統計、大屏幕顯示、軌跡查詢、出入監控視頻回放、出入監控視頻直播、訪客管理、監控視頻管理等)、工位行為監控(含有行為報警顯示、行為報警處理、行為報警統計、賬號行為日志檢查、工位視頻直播、工位視頻回放、工位攝像頭回放、工位攝像頭管理、工位維護)、考勤統計(含有考勤統計、工時統計)。警報信息應該細化警報類別表、警報級別表和警報信息表。人員數據表分為員工表、人臉庫、訪客表、工位表。設備數據細化監控攝像頭數據和工位攝像頭數據。系統管理細化用戶表、角色表、用戶角色表、權限表和角色權限表。運維人員通過獲取堡壘機的賬號登錄和退出日志，以及登錄時長數據的獲取，實現人員賬號行為異常的判斷。運維人員通過獲取堡壘機賬號的登錄和退出日志，以及登錄時長數據的獲取，實現人員賬號行為異常的判斷。運維人員通過獲取ERP賬號的登錄和退出日志，以及登錄時長數據的獲取，實現人員賬號行為異常的判斷。

4 結束語

通過運維人員行為合規聯動預警系統的建立，可以規范國家電網運維人員的工作時間和操作管理。禁止了非法人員的闖入，保證了企業的信息安全。