调控自动化运维管理及安全审计功能研究

马国琪 刘宝祥 贾子禛 朱汉辰

（1.宝鸡供电公司，陕西宝鸡 721004；2.西安银河网电智能电气有限公司，陕西西安 710000；3.西安供电公司，陕西西安 710000）

运维安全审计系统从功能上实现了对运维人员维护过程进行全面跟踪、控制、记录、回放；实现了支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；实现了运维人员可以凭借个人的用户帐号和密码录到运维安全审计系统上，直接选择可访问的资源进行自动登录操作，整个过程，不再需要记住目标设备的IP地址及帐号密码，让登录操作变得更简单有效。可以将运维人员从烦琐的密码管理工作中解放出来，投入到其他工作上去。

1.现状分析

目前，地区自动化系统Ⅲ区运维工作站都是直连于三区调度生产管理系统（OMS）交换机，运维人员直接通过调度生产管理系统（OMS）交换机登录III区各类服务器及网络设备。

通常地区调度自动化系统Ⅲ区包含2台Web和2台HIS服务器，4台HIS服务器一端连接至调度自动化系统Ⅲ区私网交换机从而和私网内服务器进行数据交互；另一端连接至调度生产管理系统（OMS）交换机和上级服务器进行数据交互。III区调度自动化系统（OMS）交换机下联一台整定计算服务器，一台负荷预测服务器，和省调服务器进行数据交互[1]。如图1所示。

图1 自动化系统生产控制大区网络拓扑图

2.自动化运维及安全审计系统部署方式

运维安全审计系统采用“物理旁路，逻辑串联”的方式部署，不改变网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯，不影响正常业务运行。主要通过以下两步实现：

（1）通过在调度生产管理系统（OMS）交换机上划分运维管理域，从而实现工作站与调度自动化系统服务器、整定计算和负荷预测服务器的网络隔离。

（2）将运维审计系统网卡eth3和eth4同时接入到调度生产管理系统（OMS）交换机上，和主网交换机上，同时为其规划192.168.20.X段IP地址以保证工作站与运维升级系统网络可达[2]。部署后拓扑如图2所示。

图2 增加运维审计系统后控制大区网络拓扑图

3.运维安全审计系统设计

运维安全审计系统是对地区电力调度自动化系统当前网络与系统运维状况及安全性而进行的研究，同时学习借鉴了国内外关于运维安全审计方面的先进技术，因此，自动化运维与安全审计功能建立在扎实的理论基础。

通过对运维安全审计功能与需求的进一步研究，结合国网对网络运维的需求以及现状，系统运维管理与安全审计功能具体包括以下几个功能：

（1）单点登录功能；（2）身份认证功能；（3）账号管理功能；（4）资源授权功能；（5）操作安全审计功能；（6）敏感管控功能；（7）批量执行功能。

文章以部署在国产麒麟操作系统上为例，本文研究采用跨平台的Java语言进行研发；同时，为了更方便的部署和使用本系统采用B/S架构，文章以采用国产数据库作为HIS数据库为例，将系统产生的日志和告警信息持久化存储至HIS数据库；采用Redis数据库作为实时告警数据库；采用MongoDB数据库作为资产模型数据库，同时采用RESTful API设计模式为以后功能拓展提供标准API接口。

为保证系统安全，采用数据加密技术保护用户通信的安全性和数据的完整性，防止恶意用户截获和篡改数据；通过图形代理协议对图形终端操作行为进行安全审计和监控，运维安全审计功能对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的安全审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作等；采用正则表达式匹配技术，将正则表达式组合入树形可遗传策略结构，实现控制命令的自动匹配与控制；采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。下面以“身份认证”“行为控制”“行为安全审计”“统一维护访问通道”“批量执行”等功能为例描述。

3.1 身份认证功能

（1）准确定位用户身份：为每个运维人员创建唯一的运维账号（主账号），该账号是获取目标设备访问权利的唯一凭证，运维工作时，设备账号（从账号）与主账号关联，确保运维行为安全审计记录的一致性，从而准确定位用户身份。

（2）多种身份认证方式：双因子：数字证书+账号，运维人员通过存储数字证书的USBkey登录本地运维工作站，然后通过账号密码方式访问运维安全审计系统。这样实现运维人员登录的两步验证，符合国网的安全要求，也使得运维系统登录认证更加安全有效。

3.2 行为控制功能

（1）登录行为控制：用户登录运维安全审计系统后，只能够访问已获得管理授权的目标设备，即每一个运维人员的账号，系统授权其可以登录的设备列表，使其登录到系统之后只可以登录自己设备列表的设备，大大保证了运维工作的安全性。

（2）访问行为控制：运维安全审计系统可以实现集中统一的访问控制和细粒度的命令级授权策略：1）基于时间访问控制；即设置可以登录操作的时间段；2）基于访问者IP访问控制；即对登录的源IP进行限制，设置可信任主机，禁止非法IP登录系统进行操作；3）基于指令（黑白名单）访问控制；4）同一时刻不允许相同帐号在不同的位置登录。

（3）高危行为控制：运维安全审计系统可以对输入指令中的危险指令，进行访问控制和阻断。我们首先会建立一个高危操作及命令的信息库，收集日常常用的危险操作及命令，然后根据其危险等级进行分级，对每一级的操作设定不同的控制方式，比如弹窗提醒高危操作、直接阻断操作、进行操作申请等方式，将运维危险以技术的方式进行杜绝。

3.3 行为安全审计功能

（1）字符会话安全审计：通过SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级、操作命令等，可提供操作内容倍速回放、定位播放等功能；具有命令的关键字搜索功能，对高危命令、关键命令可以直接搜索快速定位。而且，对加密传输的命令行操作，比如SSH等也可以进行解析并且保存、回放[3]。

（2）图形安全审计：通过RDP、VNC等远程桌面以及HTTP/HTTPS 协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备IP、协议类型、危险等级、操作内容等，通过视频录像方式记录操作内容，可提供倍速回放、定位播放等功能。能够准确快速找到风险源头，从而快速定位事故责任。

（3）文件传输安全审计：通过SFTP、FTP 等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级、操作命令等，可提供操作内容倍速回放功能。

3.4 统一维护访问通道功能

在运维安全审计研究中，运维人员可以实现通过不同的方式对目标进行访问，维护，方式包括：（1）通过Web控件方式访问，所有协议均可通过Web空间方式从Web直接发起访问，访问过程支持IE、Firefox、Chrome等多种浏览器；（2）通过Web直接调用本地客户端方式进行访问。

3.5 批量执行功能

运维安全审计功能能够自动化在多台机器上批量执行指令，通过批量执行功能，管理员可以方便实现对多台主机的升级、备份等工作任务。（1）通过SSH、Telnet、Rlogin执行系统命令；（2）可设定任务执行开始时间；（3）可设定执行的目标主机与系统账号；（4）执行过程与结果审核。批量执行功能可以大大缩减运维人员的工作量，并且降低多次操作的风险。

4.实际案例

在部署运维安全审计功能之后，我们将进行以下几方面的测试，确保运维安全审计系统的正常安全运行。

4.1 登录测试

测试内容：测试运维安全审计系统的双因子登录功能；测试结果：正确，满足“双因子登陆”防护要求。

4.2 账号权限测试

测试内容：测试不同工作账号的运维权限、不同的运维区域账号可以登录的设备范围是否有限制、不同的运维权限可以进行的操作是否有限制、实现权限最小化。测试结果：满足要求，实现“权限最小化”。

4.3 行为审计测试

测试内容：测试行为审计功能，高危操作是否有提示等。测试结果：满足要求，告警正确。

4.4 操作记录测试

测试内容：操作行为是否可以进行记录，是否可以回放。测试结果：满足这要求，回放正常。

4.5 批量操作测试

测试内容：测试系统是否可以安全稳定的执行批量的操作命令，并且完整得到操作结果。测试结果：命令执行正确。

5.结论

在运维安全审计研究应用在实际系统中，达到了如下效果：（1）制度完善，符合要求。运维安全审计系统在技术手段上健全了宝鸡调度自动化运维管理系统，同时与有关标准要求相符合。（2）降低风险性，排除故障。部署运维安全审计系统能够提升运维人注意力，提高安全意识，避免因为错误操作而增加运维危险。另一方面，也能够对第三方运维进行管理、监控。通过制订黑、白名单方法，防止违规操作危险出现。（3）加大安全审计力度，优化分工。运维安全审计系统可以判断操作人员的账号、密码，并进行行为动态记录跟踪，把各操作行为具体至每个人，杜绝出现问题无人负责现象。（4）单击“登录”确保效果。运维安全审计系统能够对运维主机统一管理，针对主机的账号进行共同管理。运维人员只要登录自己账号、密码即可，而不需要重复登录，进而提升工作效率，对运维主机的安全性提升起到了重要作用。