呂旭明，羅桓桓，李 釗，趙永彬，陳 碩

（國(guó)網(wǎng)遼寧省電力有限公司，遼寧 沈陽(yáng) 110006）

基層人員信息系統(tǒng)應(yīng)用行為技術(shù)研究

呂旭明，羅桓桓，李 釗，趙永彬，陳 碩

（國(guó)網(wǎng)遼寧省電力有限公司，遼寧 沈陽(yáng) 110006）

隨著電網(wǎng)自動(dòng)化水平的不斷提高，各業(yè)務(wù)系統(tǒng)賬號(hào)、權(quán)限、登錄及應(yīng)用操作情況數(shù)據(jù)信息量龐大，管理決策人員無(wú)法準(zhǔn)確了解各信息系統(tǒng)使用情況?；卩l(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，結(jié)合其他主要業(yè)務(wù)系統(tǒng)應(yīng)用調(diào)研成果，建立用戶行為分析模型，采用聚類分析挖掘方法，以行為數(shù)據(jù)為依據(jù)，實(shí)時(shí)分析基層班組用戶工作，發(fā)現(xiàn)基層工作重心和難點(diǎn)，提出解決問(wèn)題的方法和建議。

信息系統(tǒng)；數(shù)據(jù)；行為分析；聚類分析

基于鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析提供主機(jī)日志、運(yùn)維審計(jì)日志等數(shù)據(jù)，通過(guò)對(duì)用戶行為數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、過(guò)濾和歸并處理，形成可分析的結(jié)構(gòu)化數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，形成完整的訪問(wèn)記錄。要實(shí)現(xiàn)行為追蹤，除了從人員賬號(hào)、終端設(shè)備對(duì)登錄和操作進(jìn)行審計(jì)外，還需要審計(jì)訪問(wèn)軌跡，從訪問(wèn)全過(guò)程對(duì)痕跡進(jìn)行跟蹤審計(jì)，真實(shí)記錄用戶行為對(duì)系統(tǒng)和數(shù)據(jù)的操作痕跡，綜合審計(jì)系統(tǒng)中的數(shù)據(jù)與業(yè)務(wù)層面審計(jì)相結(jié)合，實(shí)現(xiàn)完整的行為跟蹤，同時(shí)提供智能分析手段，識(shí)別潛在風(fēng)險(xiǎn)，為安全事件提供技術(shù)支撐［1－3］。

本文深入分析用戶日常操作行為，形成基層人員信息系統(tǒng)應(yīng)用行為分析報(bào)告，提出解決問(wèn)題的方法和建議，促進(jìn)縣級(jí)供電企業(yè)及鄉(xiāng)鎮(zhèn)供電所管理水平穩(wěn)步提升，使鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)應(yīng)用率達(dá)到99%以上。

1 研究?jī)?nèi)容

針對(duì)國(guó)網(wǎng)遼寧省電力有限公司現(xiàn)狀，部分業(yè)務(wù)應(yīng)用對(duì)其運(yùn)維管理員帳號(hào)（用戶帳號(hào)變更、帳號(hào)權(quán)限變更等）的管理辦法不完善，管理員帳號(hào)管理松散，口令管理未全面納入公司安全口令管理范疇，存在管理員帳號(hào)盜用、借用、濫用的情況。參考有關(guān)國(guó)際標(biāo)準(zhǔn)（如ISACA的COBIT標(biāo)準(zhǔn)），公司應(yīng)成立信息系統(tǒng)審計(jì)規(guī)范管理委員會(huì)，設(shè)計(jì)可擴(kuò)展、具有指導(dǎo)性且符合公司的審計(jì)規(guī)范。為了全面支撐公司信息系統(tǒng)用戶行為跟蹤模塊建設(shè)，應(yīng)完成審計(jì)相關(guān)標(biāo)準(zhǔn)、規(guī)范、流程的建設(shè)和完善。對(duì)鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)從開(kāi)發(fā)、實(shí)施、上線、運(yùn)行，以及對(duì)用戶帳號(hào)等信息的準(zhǔn)入、授權(quán)、訪問(wèn)控制等提供過(guò)程的規(guī)范體系支撐，以實(shí)現(xiàn)審計(jì)“可控、可視、可分析、可追溯”。

1.1 用戶行為追蹤

用戶行為追蹤：用戶通過(guò)界面搜索關(guān)鍵信息（用戶帳號(hào)、用戶姓名等），同時(shí)選擇搜索時(shí)間范圍，自動(dòng)計(jì)算用戶在該時(shí)間段的訪問(wèn)記錄。

搜索展示：將用戶訪問(wèn)記錄以圖形方式展現(xiàn)。

用戶軌跡可鉆取：通過(guò)點(diǎn)擊用戶軌跡點(diǎn)，可進(jìn)一步查看具體的操作信息，信息中應(yīng)展示用戶操作發(fā)生的時(shí)間、地點(diǎn)、操作模塊等信息。

導(dǎo)出功能：支持單個(gè)、多個(gè)用戶的訪問(wèn)記錄導(dǎo)出功能，導(dǎo)出格式為PDF文件。

用戶常用查詢配置：支持用戶配置并保存用戶常用查詢。

1.2 數(shù)據(jù)采集

用戶行為跟蹤系統(tǒng)采用NoSQL作為數(shù)據(jù)索引的中心，同時(shí)還支持各種數(shù)據(jù)的采集機(jī)制，完成所有數(shù)據(jù)的采集工作，能夠采集的多種類型數(shù)據(jù)如下。

操作系統(tǒng)類包括系統(tǒng)用戶、窗口標(biāo)題、鍵盤(pán)輸入、鼠標(biāo)點(diǎn)擊、編輯內(nèi)容、下拉菜單、新進(jìn)程、網(wǎng)絡(luò)連接、剪貼板、打開(kāi)文件等。

網(wǎng)頁(yè)操作類包括源、目標(biāo)IP地址、應(yīng)用系統(tǒng)賬號(hào)、登錄時(shí)間、標(biāo)題、URL信息、操作方式、頁(yè)面加載時(shí)間、Html源代碼數(shù)據(jù)、表單信息、敏感信息、網(wǎng)頁(yè)內(nèi)容等。

事件過(guò)濾：事件管理提供了所有對(duì)事件過(guò)濾的功能，通過(guò)事件過(guò)濾規(guī)則，可以將滿足條件的事件進(jìn)行過(guò)濾。事件過(guò)濾規(guī)則可以采用界面化定義的方式，組合過(guò)濾條件，過(guò)濾條件之間可設(shè)為與、或關(guān)系。

數(shù)據(jù)分析：數(shù)據(jù)分析是以采集到的不同類型數(shù)據(jù)為基礎(chǔ)，通過(guò)系統(tǒng)內(nèi)置的分析引擎對(duì)數(shù)據(jù)進(jìn)行分析，深度挖掘，分析各個(gè)業(yè)務(wù)系統(tǒng)的使用情況以及各業(yè)務(wù)系統(tǒng)功能點(diǎn)的使用情況，幫助運(yùn)維人員更好地進(jìn)行業(yè)務(wù)系統(tǒng)改造和優(yōu)化，同時(shí)，也可以作為決策人員對(duì)業(yè)務(wù)系統(tǒng)改造申請(qǐng)?zhí)峁Q策的依據(jù)。

1.3 數(shù)據(jù)檢索

面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析提供搜索引擎功能，可以通過(guò)搜索引擎的關(guān)鍵字檢索功能，快速檢索到終端操作的文本內(nèi)容。所有數(shù)據(jù)均可以通過(guò)搜索引擎完成關(guān)鍵字檢索，每個(gè)操作畫(huà)面也都嵌入了搜索引擎模塊，目的就是為用戶提供快速獲取操作記錄和對(duì)應(yīng)操作畫(huà)面的途徑。

搜索引擎提供了快速獲取數(shù)據(jù)功能，同時(shí)依據(jù)搜索引擎還可以完成對(duì)操作日志內(nèi)容的快速檢索、數(shù)據(jù)的自動(dòng)化分類及審計(jì)日志的進(jìn)一步處理。如通過(guò)搜索引擎可以對(duì)審計(jì)數(shù)據(jù)進(jìn)行自動(dòng)化解析功能、數(shù)據(jù)分類定義、自動(dòng)化報(bào)表定制、自動(dòng)化告警定制等［4］。

面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析中提供的各種操作內(nèi)容和系統(tǒng)的事件內(nèi)容，通過(guò)搜索引擎平臺(tái)可以快速檢索到事件、日志等信息。

1.4 智能告警

面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析提供操作內(nèi)容敏感信息告警功能，管理人員可以根據(jù)敏感內(nèi)容關(guān)鍵字段在系統(tǒng)中自行設(shè)置告警規(guī)則，當(dāng)有用戶操作觸發(fā)敏感信息進(jìn)行實(shí)時(shí)告警。

通過(guò)搜索引擎提供自動(dòng)化告警功能，用戶可以依據(jù)搜索引擎的搜索條件直接保存為告警，并通過(guò)告警設(shè)置規(guī)則進(jìn)行設(shè)置。后續(xù)搜索引擎再進(jìn)行搜索時(shí)若發(fā)現(xiàn)滿足設(shè)置的搜索條件發(fā)生即告警。

1.5 智能化報(bào)表

可以自動(dòng)完成操作合規(guī)的報(bào)告管理，用戶行為跟蹤系統(tǒng)提供了強(qiáng)大的報(bào)表功能，用戶只需要知道自己需要什么報(bào)表，其他全部交由搜索引擎及報(bào)表生成引擎完成。

1.6 運(yùn)維審計(jì)功能

運(yùn)維是用戶訪問(wèn)數(shù)據(jù)的重要途徑，運(yùn)維審計(jì)功能模塊針對(duì)運(yùn)維操作事前防范、事中控制、事后追溯，提升系統(tǒng)易用性，最終實(shí)現(xiàn)運(yùn)維用戶的行為分析、預(yù)警。

集成應(yīng)用審計(jì)：對(duì)與運(yùn)維管理模塊集成的應(yīng)用系統(tǒng)進(jìn)行審計(jì)，存儲(chǔ)應(yīng)用系統(tǒng)執(zhí)行命令的日志，解決相關(guān)操作不能被跟蹤的問(wèn)題，做到凡是操作留有痕跡，為事后審計(jì)追責(zé)、用戶行為跟蹤分析提供依據(jù)。

備份管理：使運(yùn)維審計(jì)模塊不間斷運(yùn)行，數(shù)據(jù)實(shí)時(shí)備份，防止日志被刪除、篡改，保證審計(jì)記錄、日志的完整性。

2 系統(tǒng)技術(shù)方案

2.1 業(yè)務(wù)架構(gòu)

用戶行為跟蹤是對(duì)用戶訪問(wèn)平臺(tái)、使用功能等操作行為的信息進(jìn)行詳細(xì)記錄，以崗位、使用功能、停留時(shí)間、操作內(nèi)容等維度統(tǒng)計(jì)出用戶的使用習(xí)慣，為平臺(tái)的使用情況和對(duì)用戶的應(yīng)用推薦提供依據(jù)。

2.2 應(yīng)用架構(gòu)

用戶行為跟蹤主要通過(guò)部署在每臺(tái)終端上的行為分析工具，來(lái)對(duì)用戶在每個(gè)業(yè)務(wù)系統(tǒng)中的使用情況進(jìn)行數(shù)據(jù)采集，并將采集到的數(shù)據(jù)進(jìn)行加密和壓縮后，通過(guò)網(wǎng)絡(luò)傳送到控制中心，控制中心通過(guò)不同的分析引擎，對(duì)收集上來(lái)的數(shù)據(jù)進(jìn)行分析和展現(xiàn)：包括數(shù)據(jù)的索引、敏感信息的提取、報(bào)表分析等［4－5］。

Portal層：終端核心采集程序的配置、整體任務(wù)調(diào)度由用戶行為審計(jì)系統(tǒng)管理中心提供，同時(shí)提供文本截取的時(shí)間戳對(duì)比、詳細(xì)操作內(nèi)容檢索、敏感信息告警及配置、提供智能報(bào)表管理等功能。

終端核心采集層：負(fù)責(zé)安裝在每個(gè)終端上，提供終端所有操作文本的截取、操作過(guò)程會(huì)話捕捉、敏感操作取證管理等功能，同時(shí)提供防卸載功能，直接對(duì)所有應(yīng)用操作的流量、對(duì)應(yīng)的操作內(nèi)容和操作過(guò)程還原取證等功能進(jìn)行分析。

NoSQL數(shù)據(jù)庫(kù)：系統(tǒng)平臺(tái)采用NoSQL數(shù)據(jù)庫(kù)作為所有審計(jì)數(shù)據(jù)的管理中心，NoSQL數(shù)據(jù)庫(kù)可以提供快速索引的能力，方便審計(jì)數(shù)據(jù)檢索。

2.3 邏輯架構(gòu)

a.服務(wù)器1、服務(wù)器2中的負(fù)載均衡組件組成對(duì)外服務(wù)IP。

b.終端區(qū)域Agent采集的行為數(shù)據(jù)通過(guò)網(wǎng)絡(luò)發(fā)送到負(fù)載均衡服務(wù)IP。

c.負(fù)載均衡組件經(jīng)過(guò)均衡算法計(jì)算，選擇相應(yīng)的處理服務(wù)器。

d.服務(wù)器將重組、處理后的數(shù)據(jù)寫(xiě)入共享存儲(chǔ)。

3 效益分析

管理效益：面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析的建設(shè)，一方面可以大大提高基層班組的工作效率，減少人力成本的投入；另一方面可以加強(qiáng)對(duì)相關(guān)業(yè)務(wù)的監(jiān)管力度，有利于提高工作質(zhì)量，可以為基層班組培養(yǎng)一批既懂業(yè)務(wù)又懂技術(shù)的骨干隊(duì)伍，為今后相關(guān)業(yè)務(wù)發(fā)展、信息化發(fā)展提供人才保障。同時(shí)，可增強(qiáng)基層班組信息系統(tǒng)的實(shí)用化和易用性，實(shí)現(xiàn)管理層對(duì)于縣供電企業(yè)業(yè)務(wù)的全過(guò)程管控，提升基層單位用戶操作熟練度和對(duì)信息系統(tǒng)的認(rèn)識(shí)。在建設(shè)中，通過(guò)建立報(bào)表清單及導(dǎo)出功能、各類系統(tǒng)接口與增強(qiáng)、數(shù)據(jù)整改和治理、開(kāi)展實(shí)用化和易用化評(píng)價(jià)、完善評(píng)價(jià)指標(biāo)考核體系、加強(qiáng)用戶培訓(xùn)等各項(xiàng)工作，增加縣供電企業(yè)業(yè)務(wù)開(kāi)展的規(guī)范性和準(zhǔn)確度，提高工作效率，減少基層單位人員線下統(tǒng)計(jì)和分析的工作量，節(jié)省資金和人力資源成本，滿足公司集約化管理要求和信息化建設(shè)的目標(biāo)，推動(dòng)公司物資管理水平更上新臺(tái)階。

經(jīng)濟(jì)和社會(huì)效益：通過(guò)面向用戶端應(yīng)用行為統(tǒng)計(jì)與分析的建設(shè)，能夠及時(shí)發(fā)現(xiàn)用戶異常行為，應(yīng)用問(wèn)題以及涉及的違規(guī)操作，降低信息安全風(fēng)險(xiǎn)，避免信息安全事故發(fā)生，最大程度避免公司經(jīng)濟(jì)損失及企業(yè)形象損失。

4 結(jié)束語(yǔ)

基于鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，結(jié)合其他主要業(yè)務(wù)系統(tǒng)應(yīng)用調(diào)研成果，建立用戶行為分析模型，支撐基層班組減負(fù)工作，通過(guò)用戶行為跟蹤，發(fā)現(xiàn)基層負(fù)擔(dān)所在。利用桌面型客戶端的優(yōu)勢(shì)，以旁路監(jiān)測(cè)的方式，對(duì)前端用戶使用過(guò)程的行為進(jìn)行記錄，定期形成用戶行為分析報(bào)告，以行為數(shù)據(jù)為依據(jù)，提供解決問(wèn)題的方向，推動(dòng)系統(tǒng)持續(xù)完善。

［1］李 釗，張文國(guó)，呂旭明，等.縣級(jí)供電企業(yè)信息系統(tǒng)延伸覆蓋與深化應(yīng)用［J］.東北電力技術(shù)，2015，36（6）：19－20.

［2］呂旭明，李 釗，曹國(guó)強(qiáng)，等.信息通信支撐＂三集五大＂體系建設(shè)完善提升［J］.東北電力技術(shù)，2015，36（1）：37－40.

［3］李小蘭，田小雷，倪志堅(jiān)，等.基于大數(shù)據(jù)挖掘的運(yùn)營(yíng)監(jiān)測(cè)分析研究［J］.東北電力技術(shù)，2016，37（9）：15－18.

［4］韓 雨，高 峻.利用大數(shù)據(jù)系統(tǒng)提升抄表服務(wù)水平［J］.東北電力技術(shù)，2015，36（8）：8－11.

［5］康麗雁，王天博，蔡穎凱，等.電力用戶用電信息采集系統(tǒng)分布式彈性架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)［J］.東北電力技術(shù)，2015，36（9）：69－72.

［6］李 強(qiáng)，朱時(shí)雨.電能量采集與管理系統(tǒng)的設(shè)計(jì)與應(yīng)用［J］.東北電力技術(shù)，2012，33（3）：3－7.

Study on Personnel Information System Applied Behavior Analysis Technology

Lü Xuming，LUO Huanhuan，LI Zhao，ZHAO Yongbin，CHEN Shuo
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

Owing to the improvements of the power grid automation level，each business system login accounts，permissions，large a?mount of information，data and application of operations management decision makers can't accurately understand the usage of informa?tion system.Based on rural power substation and team integration information system，combined with the application research results of other main business system，user behavior analysis model is established.Based on behavioral data，real?time analysis of the basic unit team user workload，finding out the grass?roots level focus and difficulties，the methods and suggestions to solve the problem is put for?ward.

information system；data；behavior analysis；clustering analysis

F272.9

A

1004－7913（2016）11－0016－03

呂旭明（1981），男，碩士，高級(jí)工程師，從事電力系統(tǒng)信息通信專業(yè)管理及新技術(shù)研究。

2016－08－20）