調控自動化運維管理及安全審計功能研究

馬國琪 劉寶祥 賈子禛 朱漢辰

（1.寶雞供電公司，陜西寶雞 721004；2.西安銀河網電智能電氣有限公司，陜西西安 710000；3.西安供電公司，陜西西安 710000）

運維安全審計系統從功能上實現了對運維人員維護過程進行全面跟蹤、控制、記錄、回放；實現了支持細粒度配置運維人員的訪問權限，實時阻斷違規、越權的訪問行為，同時提供維護人員操作的全過程的記錄與報告；實現了運維人員可以憑借個人的用戶帳號和密碼錄到運維安全審計系統上，直接選擇可訪問的資源進行自動登錄操作，整個過程，不再需要記住目標設備的IP地址及帳號密碼，讓登錄操作變得更簡單有效。可以將運維人員從煩瑣的密碼管理工作中解放出來，投入到其他工作上去。

1.現狀分析

目前，地區自動化系統Ⅲ區運維工作站都是直連于三區調度生產管理系統（OMS）交換機，運維人員直接通過調度生產管理系統（OMS）交換機登錄III區各類服務器及網絡設備。

通常地區調度自動化系統Ⅲ區包含2臺Web和2臺HIS服務器，4臺HIS服務器一端連接至調度自動化系統Ⅲ區私網交換機從而和私網內服務器進行數據交互；另一端連接至調度生產管理系統（OMS）交換機和上級服務器進行數據交互。III區調度自動化系統（OMS）交換機下聯一臺整定計算服務器，一臺負荷預測服務器，和省調服務器進行數據交互[1]。如圖1所示。

圖1 自動化系統生產控制大區網絡拓撲圖

2.自動化運維及安全審計系統部署方式

運維安全審計系統采用“物理旁路，邏輯串聯”的方式部署，不改變網絡拓撲結構，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習慣，不影響正常業務運行。主要通過以下兩步實現：

（1）通過在調度生產管理系統（OMS）交換機上劃分運維管理域，從而實現工作站與調度自動化系統服務器、整定計算和負荷預測服務器的網絡隔離。

（2）將運維審計系統網卡eth3和eth4同時接入到調度生產管理系統（OMS）交換機上，和主網交換機上，同時為其規劃192.168.20.X段IP地址以保證工作站與運維升級系統網絡可達[2]。部署后拓撲如圖2所示。

圖2 增加運維審計系統后控制大區網絡拓撲圖

3.運維安全審計系統設計

運維安全審計系統是對地區電力調度自動化系統當前網絡與系統運維狀況及安全性而進行的研究，同時學習借鑒了國內外關于運維安全審計方面的先進技術，因此，自動化運維與安全審計功能建立在扎實的理論基礎。

通過對運維安全審計功能與需求的進一步研究，結合國網對網絡運維的需求以及現狀，系統運維管理與安全審計功能具體包括以下幾個功能：

（1）單點登錄功能；（2）身份認證功能；（3）賬號管理功能；（4）資源授權功能；（5）操作安全審計功能；（6）敏感管控功能；（7）批量執行功能。

文章以部署在國產麒麟操作系統上為例，本文研究采用跨平臺的Java語言進行研發；同時，為了更方便的部署和使用本系統采用B/S架構，文章以采用國產數據庫作為HIS數據庫為例，將系統產生的日志和告警信息持久化存儲至HIS數據庫；采用Redis數據庫作為實時告警數據庫；采用MongoDB數據庫作為資產模型數據庫，同時采用RESTful API設計模式為以后功能拓展提供標準API接口。

為保證系統安全，采用數據加密技術保護用戶通信的安全性和數據的完整性，防止惡意用戶截獲和篡改數據；通過圖形代理協議對圖形終端操作行為進行安全審計和監控，運維安全審計功能對圖形終端使用的協議進行代理，實現多平臺的多種圖形終端操作的安全審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作等；采用正則表達式匹配技術，將正則表達式組合入樹形可遺傳策略結構，實現控制命令的自動匹配與控制；采用多進程/線程技術實現，利用獨特的通信和數據同步技術，準確控制程序行為。多進程/線程方式邏輯處理準確，事務處理不會發生干擾，這有利于保證系統的穩定性、健壯性。下面以“身份認證”“行為控制”“行為安全審計”“統一維護訪問通道”“批量執行”等功能為例描述。

3.1 身份認證功能

（1）準確定位用戶身份：為每個運維人員創建唯一的運維賬號（主賬號），該賬號是獲取目標設備訪問權利的唯一憑證，運維工作時，設備賬號（從賬號）與主賬號關聯，確保運維行為安全審計記錄的一致性，從而準確定位用戶身份。

（2）多種身份認證方式：雙因子：數字證書+賬號，運維人員通過存儲數字證書的USBkey登錄本地運維工作站，然后通過賬號密碼方式訪問運維安全審計系統。這樣實現運維人員登錄的兩步驗證，符合國網的安全要求，也使得運維系統登錄認證更加安全有效。

3.2 行為控制功能

（1）登錄行為控制：用戶登錄運維安全審計系統后，只能夠訪問已獲得管理授權的目標設備，即每一個運維人員的賬號，系統授權其可以登錄的設備列表，使其登錄到系統之后只可以登錄自己設備列表的設備，大大保證了運維工作的安全性。

（2）訪問行為控制：運維安全審計系統可以實現集中統一的訪問控制和細粒度的命令級授權策略：1）基于時間訪問控制；即設置可以登錄操作的時間段；2）基于訪問者IP訪問控制；即對登錄的源IP進行限制，設置可信任主機，禁止非法IP登錄系統進行操作；3）基于指令（黑白名單）訪問控制；4）同一時刻不允許相同帳號在不同的位置登錄。

（3）高危行為控制：運維安全審計系統可以對輸入指令中的危險指令，進行訪問控制和阻斷。我們首先會建立一個高危操作及命令的信息庫，收集日常常用的危險操作及命令，然后根據其危險等級進行分級，對每一級的操作設定不同的控制方式，比如彈窗提醒高危操作、直接阻斷操作、進行操作申請等方式，將運維危險以技術的方式進行杜絕。

3.3 行為安全審計功能

（1）字符會話安全審計：通過SSH、Telnet等協議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協議類型、危險等級、操作命令等，可提供操作內容倍速回放、定位播放等功能；具有命令的關鍵字搜索功能，對高危命令、關鍵命令可以直接搜索快速定位。而且，對加密傳輸的命令行操作，比如SSH等也可以進行解析并且保存、回放[3]。

（2）圖形安全審計：通過RDP、VNC等遠程桌面以及HTTP/HTTPS 協議的圖形操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶 IP、設備名稱、設備IP、協議類型、危險等級、操作內容等，通過視頻錄像方式記錄操作內容，可提供倍速回放、定位播放等功能。能夠準確快速找到風險源頭，從而快速定位事故責任。

（3）文件傳輸安全審計：通過SFTP、FTP 等協議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、目標設備IP、協議類型、文件名稱、危險等級、操作命令等，可提供操作內容倍速回放功能。

3.4 統一維護訪問通道功能

在運維安全審計研究中，運維人員可以實現通過不同的方式對目標進行訪問，維護，方式包括：（1）通過Web控件方式訪問，所有協議均可通過Web空間方式從Web直接發起訪問，訪問過程支持IE、Firefox、Chrome等多種瀏覽器；（2）通過Web直接調用本地客戶端方式進行訪問。

3.5 批量執行功能

運維安全審計功能能夠自動化在多臺機器上批量執行指令，通過批量執行功能，管理員可以方便實現對多臺主機的升級、備份等工作任務。（1）通過SSH、Telnet、Rlogin執行系統命令；（2）可設定任務執行開始時間；（3）可設定執行的目標主機與系統賬號；（4）執行過程與結果審核。批量執行功能可以大大縮減運維人員的工作量，并且降低多次操作的風險。

4.實際案例

在部署運維安全審計功能之后，我們將進行以下幾方面的測試，確保運維安全審計系統的正常安全運行。

4.1 登錄測試

測試內容：測試運維安全審計系統的雙因子登錄功能；測試結果：正確，滿足“雙因子登陸”防護要求。

4.2 賬號權限測試

測試內容：測試不同工作賬號的運維權限、不同的運維區域賬號可以登錄的設備范圍是否有限制、不同的運維權限可以進行的操作是否有限制、實現權限最小化。測試結果：滿足要求，實現“權限最小化”。

4.3 行為審計測試

測試內容：測試行為審計功能，高危操作是否有提示等。測試結果：滿足要求，告警正確。

4.4 操作記錄測試

測試內容：操作行為是否可以進行記錄，是否可以回放。測試結果：滿足這要求，回放正常。

4.5 批量操作測試

測試內容：測試系統是否可以安全穩定的執行批量的操作命令，并且完整得到操作結果。測試結果：命令執行正確。

5.結論

在運維安全審計研究應用在實際系統中，達到了如下效果：（1）制度完善，符合要求。運維安全審計系統在技術手段上健全了寶雞調度自動化運維管理系統，同時與有關標準要求相符合。（2）降低風險性，排除故障。部署運維安全審計系統能夠提升運維人注意力，提高安全意識，避免因為錯誤操作而增加運維危險。另一方面，也能夠對第三方運維進行管理、監控。通過制訂黑、白名單方法，防止違規操作危險出現。（3）加大安全審計力度，優化分工。運維安全審計系統可以判斷操作人員的賬號、密碼，并進行行為動態記錄跟蹤，把各操作行為具體至每個人，杜絕出現問題無人負責現象。（4）單擊“登錄”確保效果。運維安全審計系統能夠對運維主機統一管理，針對主機的賬號進行共同管理。運維人員只要登錄自己賬號、密碼即可，而不需要重復登錄，進而提升工作效率，對運維主機的安全性提升起到了重要作用。