石宏宇

[摘 要]隨著電力企業(yè)信息化的不斷深入，業(yè)務系統(tǒng)變得日益復雜，系統(tǒng)維護人員潛在違規(guī)操作導致的安全風險問題日益突出。本文在不改變信息系統(tǒng)原有結構的條件下，利用堡壘機技術構建了運維安全管控系統(tǒng)，實現了電力企業(yè)信息運維的全周期監(jiān)控、管理和審計，有效地防范來自企業(yè)內部的安全威脅及風險。

[關鍵詞]運維審計；安全管控；堡壘機

doi：10.3969/j.issn.1673 - 0194.2016.24.027

[中圖分類號]TP393 [文獻標識碼]B [文章編號]1673-0194（2016）24-00-02

0 引 言

隨著電力企業(yè)信息化水平不斷深入，企業(yè)級應用系統(tǒng)的運維量持續(xù)增加，需要內部運維人員及第三方技術人員協同維護各應用系統(tǒng)，系統(tǒng)維護人員潛在違規(guī)操作導致的安全問題變得日益突出。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產品可以防范來自外部的安全問題，但對于內部人員的違規(guī)操作卻無能為力。如何有效地監(jiān)控設備廠商、內部運維人員的操作行為，并進行嚴格的審計是電力企業(yè)面臨的一個關鍵問題。

1 傳統(tǒng)運維模式風險分析

傳統(tǒng)運維模式下，大量的運維人員通過KVM或直連信息設備開展變更、配置、備份與維護等操作，面臨的風險主要有以下幾個方面。

1.1 賬號及授權管理不清晰

系統(tǒng)管理員、運維人員、第三方廠商的賬號和權限不清晰，沒有統(tǒng)一的賬號管理，存在多人共用一個賬號或一人使用多個賬號的情況，對操作人員的權限沒有嚴格的界定，存在權限級別要求不高的用戶擁有較高級別權限賬號的現象，導致運維過程中無法準確定位到人，事后責任不清，存在較大的安全隱患。

1.2 缺乏身份認證

采用人工手段核對運維人員身份信息，隨著信息系統(tǒng)復雜度的大幅增加，同時開展運維的人員數量日益增多，無法實現全過程運維人員的身份認證及實名管理。

1.3 運維操作無全過程審計

各類運維人員的操作行為無專屬的審計記錄，審計力度不夠。各網絡設備、主機系統(tǒng)、數據庫分別單獨記錄日志，沒有統(tǒng)一的審計策略，并且各系統(tǒng)自身日志記錄深淺不一，難以及時通過系統(tǒng)自身日志發(fā)現違規(guī)操作行為和追查取證，無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行內容審計。

傳統(tǒng)的運維模式面臨事前身份不明確、授權不清晰，事中操作不可見、過程不可控，事后操作無法審計、問責追溯難等問題，通過嚴格的規(guī)章制度只能約束一部分人的行為，只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執(zhí)行，因此，建設運維安全管控系統(tǒng)是十分必要的。

2 運維安全管控系統(tǒng)架構設計與應用

2.1 堡壘機技術的介紹

堡壘機，即在一個特定的網絡環(huán)境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用多種技術手段實時收集和監(jiān)控網絡中每一個組成部分的系統(tǒng)狀態(tài)、安全事件等以便集中報警、及時處理及審計定責。運維安全管控系統(tǒng)是利用堡壘機技術，通過訪問控制、賬號管理、身份認證、行為審計、單點登錄與協議代理等多種信息安全技術，實現運維人員對信息系統(tǒng)的安全訪問，同時對運維人員的操作過程形成完整的審計記錄。

2.2 設計依據

國家公安部《信息安全等級保護基本要求》中對二級（含）以上的信息系統(tǒng)提出明確的安全審計要求：“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數據庫用戶；審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號的分配、創(chuàng)建與變更、審計策略的調整及審計系統(tǒng)功能的關閉與啟動等系統(tǒng)內重要的安全相關事件等”。本次運維安全管控系統(tǒng)設計嚴格按照等級保護要求，范圍覆蓋DMZ區(qū)、等級保護二級及以上信息系統(tǒng)。

2.3 系統(tǒng)架構設計

2.3.1 風險控制流程

為確保運維安全管控系統(tǒng)滿足電力企業(yè)運維實際需求，要制定完善的風險控制流程，實現事前實行統(tǒng)一的賬號管理、權限訪問策略、審計策略，事中身份認證、授權及監(jiān)控，事后統(tǒng)一綜合審計的風險控制流程，如圖1所示。

2.3.2 架構設計

運維安全管控系統(tǒng)架構設計由展示層、功能層、存儲層與資源層4層組成。

展示層面向用戶，采用靜態(tài)口令、動態(tài)口令、數字證書等多種身份認證方式，具備密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能，實現用戶分組管理，分別對系統(tǒng)管理員、審計員、運維人員提供不同的訪問頁面。

功能層實現賬號管理、認證管理、授權管理、綜合審計與系統(tǒng)管理等功能，采用協議分析、基于數據包還原技術，實現操作界面模擬，將所有的操作轉換為圖形化界面，實現審計信息不丟失。除了實現運維操作圖形化審計功能的展現外，還能對字符進行分析，包括命令行操作的命令及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。

存儲層實現對運維安全管控系統(tǒng)賬號及各信息系統(tǒng)賬號的存儲及審計信息的存儲，實現賬號及審計信息的靈活調用。

資源層面向各信息系統(tǒng)，用于實現賬號同步、認證結合、審計結合等方面的數據接口工作，支持字符串操作SSH/Telnet、圖形操作RDP/VNC/X11/pcAnywhere/DameWare等。

2.4 系統(tǒng)部署與應用

在等級保護二級區(qū)域和DMZ區(qū)域各部署兩臺堡壘機，堡壘機做雙機主備，實現對等保二級區(qū)域和DMZ區(qū)域的網絡設備及服務器的運維審計，由于堡壘機采用旁路部署，實施過程中對現有網絡業(yè)務不會造成任何影響。雙機熱備與主備之間通過業(yè)務管理端口線進行主備狀態(tài)監(jiān)測和配置同步，主機節(jié)點一旦斷開，備機節(jié)點會立刻啟動，無需人工干預，從而實現運維安全管控業(yè)務的不間斷運行。系統(tǒng)部署后實現了以下應用。

（1）通過集中化管理，實現單點登錄。通過系統(tǒng)的部署，對資源賬號的統(tǒng)一管理，把復雜問題簡單化。

（2）通過賬號管理，實現用戶實名制及統(tǒng)一身份認證。為每個用戶分配了獨一無二的用戶賬號，設備上的系統(tǒng)賬號不變，通過把多個用戶賬號和單個系統(tǒng)賬號做關聯，讓用戶的身份和具體的操作一一對應起來，從而實現用戶實名制管理。

（3）有效地執(zhí)行訪問控制，防止非授權訪問。通過系統(tǒng)設置詳細的訪問控制規(guī)則，用戶只能按照規(guī)則設置來訪問相應資源，徹底杜絕了非授權訪問所帶來的問題。

（4）精準溯源操作審計。基于安全運維審計系統(tǒng)的實時監(jiān)控及字符會話審計技術，完整地記錄用戶的所有操作行為，使運維操作透明化。

（5）實現獨立審計與三權分立，完善IT內控機制。通過應用實現獨立的審計與三權分立，在三權分立的基礎上實施內控與審計，有效地控制操作風險，完善IT內控機制。

3 結 語

在電力企業(yè)信息化水平快速發(fā)展的今天，技術發(fā)展與管理模式相輔相成，信息安全不僅需要先進的技術，更需要完善的制度和審計手段。通過運維安全運維管控系統(tǒng)的建設，進一步完善了電力企業(yè)在信息運維過程中的身份認證、訪問控制、權限控制、操作監(jiān)控和審計等措施。實現了全面監(jiān)控和審計運維人員對DMZ區(qū)域和IDC區(qū)域內的信息系統(tǒng)和業(yè)務數據的操作，使筆者所在單位的信息安全防護體系有效的落地，進一步提高電力企業(yè)信息安全防護水平。

主要參考文獻

[1]袁慧萍，董貞良.銀行數據中心運維安全審計實踐探析[J].信息安全與通信保密，2015（4）.

[2]余錚，廖榮濤，陳磊.基于旁路的全周期信息運維審計系統(tǒng)研究與應用[J].湖北電力，2013（2）.

[3]龐博.基于內控堡壘主機的運維審計實踐[J].科技資訊，2015（15）..