毛鑫，熊巨

(1． 國網(wǎng)湖南省電力公司培訓中心，湖南 長沙410131;2． 國網(wǎng)湖南省電力公司株洲供電分公司，湖南 株洲412000)

1 項目建設背景

培訓機房有人員流動性大、管理難度大等特點，信息安全問題比較突出。因此，國家電網(wǎng)公司加強了對信息安全的管理，要求各省級培訓中心和各地市供電公司培訓中心的培訓機房逐步納入信息安全考核的范疇。面對日益嚴峻的信息安全形勢和嚴格的信息安全考核指標，培訓機房管理的壓力陡增〔1－2〕。

目前，為了能適應不同環(huán)境的培訓需求和方便管理，大部分培訓機房的培訓用計算機均安裝了操作系統(tǒng)還原卡〔3〕。安裝系統(tǒng)還原卡的計算機在每次系統(tǒng)重新啟動之后，系統(tǒng)會被重新覆蓋，因此學員發(fā)生違規(guī)操作時，無法對違規(guī)操作進行事后查證。為了規(guī)范培訓機房信息安全管理，杜絕培訓機房的信息安全違規(guī)問題，提出了一套基于實名制的無人值守培訓機房安全管理系統(tǒng)，從技術上和制度上解決培訓機房信息安全管理手段的缺失問題〔4－5〕。

2 系統(tǒng)設計與構架

2.1 設計思路

本系統(tǒng)以實名制為核心進行系統(tǒng)設計，使用身份證把學員、計算機IP 和MAC 進行綁定，學員的所有程序操作和上網(wǎng)日志都將被記錄并存儲服務器數(shù)據(jù)庫中，學員的計算機操作將每隔一定時間被截屏并上傳到服務器，同時使用監(jiān)控攝像頭對學員機位進行監(jiān)控，確保每位學員的操作都可追溯從而達到培訓機房信息安全管理的目的。

本系統(tǒng)以“四個唯一對應”的原則建設，即通過身份證讀卡器使上網(wǎng)IP 與學員唯一對應、日志記錄學員與上網(wǎng)行為唯一對應，通過各個設備的時鐘統(tǒng)一，做到網(wǎng)絡行為時間與日志記錄的上網(wǎng)時間唯一對應和使用高清監(jiān)控攝像使學員與上機座位唯一對應。通過“四個唯一對應”，使身份證讀卡器、網(wǎng)關設備、服務器、視頻監(jiān)控設備等硬件設備和本培訓機房安全管理系統(tǒng)等軟件組成一套完整的培訓機房安全管理解決方案。

2.2 系統(tǒng)構架

該系統(tǒng)集機房管理員對學員機控制、機時調度、視頻監(jiān)控、上網(wǎng)行為監(jiān)控和日志管理等各方面的需求為一體，智能化管理軟件整合了網(wǎng)關流量監(jiān)控技術，實現(xiàn)了培訓機房綜合調度管理的需求。采用C/S 模式實現(xiàn)機房的管理和控制;通過與身份證讀卡器的關聯(lián)進行實名制上機管理;通過存儲各個機房的日志信息實現(xiàn)計算機操作信息的可查和可控。系統(tǒng)整體分成服務器端程序和終端程序，其中服務器端程序包括中心服務器程序、數(shù)據(jù)庫服務器程序以及WEB 服務器程序;終端程序包括客戶端程序、管理機程序和刷卡機程序。系統(tǒng)采用分布式網(wǎng)絡設計，可以支持多個管理機和多個刷卡機程序的分布式安裝，以便于配屬不同的應用環(huán)境。系統(tǒng)構架如圖1 所示。

圖1 培訓機房安全管理系統(tǒng)構架圖

3 系統(tǒng)功能與模式

3.1 系統(tǒng)3 種上機模式

本系統(tǒng)支持3 種上網(wǎng)刷卡模式。在不同環(huán)境下，使用不同的上機模式。

1)導入信息指定上機模式。在培訓班開班之前，先將培訓學員的個人信息通過Excel 文檔形式導入本系統(tǒng)中，個人信息包括姓名、身份證號碼等。導入信息時，應該把本培訓班上機機房和時間與導入信息對應，導入完成之后，系統(tǒng)即指定該學員的上機機位。學員上機時，持身份證刷卡上機，系統(tǒng)通過屏幕和語音提示學員的上機機位。學員找到自己機位，并輸入身份證號碼和密碼，就可以正常使用計算機。培訓完成之后，學員可以通過刷卡下機，也可以通過點擊計算機客戶端的下機操作完成下機。如果學員的身份證不在導入信息之列，系統(tǒng)將拒絕其上機請求。本模式是無人值守培訓機房安全管理系統(tǒng)的正常模式。

2)導入信息自選上機模式。在上機開始之前，把學員的個人信息通過Excel 文檔形式導入本系統(tǒng)中，個人信息包括姓名、身份證號碼等。導入信息時，指定上機機房和使用時間。需要上機時，學員持身份證刷卡上機，系統(tǒng)通過屏幕和語言提示學員為自選上機。學員可以任意自選1 臺計算機上機，上機之前需要輸入身份證號碼和密碼才能正常上機。上機操作完成之后，學員可以通過刷卡下機，也可以通過點擊計算機客戶端的下機操作完成下機。如果學員的身份證不在導入信息之列，那么系統(tǒng)將拒絕其上機請求。此模式下，系統(tǒng)不為每個學員指定上機機位，學員自主選擇機位上機，本模式適用于機房考試等環(huán)境。

3)不導入信息自選上機模式。在機房使用之前，不需要導入學員的任何信息。使用時，學員持身份證刷卡上機，系統(tǒng)通過屏幕和語音提示學員自選上機。學員任意自選1 臺計算機上機，上機之前需要輸入身份證號碼和密碼。上機操作完成之后，學員可以通過刷卡下機，也可以通過點擊計算機客戶端的下機操作完成下機。此模式適用于臨時或非計劃機房使用情況，或者采集學員的個人信息困難等情況。雖然事前沒有導入學員個人信息，但是因為自選上機之前也需要刷卡，所以其上網(wǎng)行為等也將會記錄在案。

3.2 系統(tǒng)的主要功能

1)安全管理功能。強化接入措施，做到上網(wǎng)IP 與上網(wǎng)座位唯一對應。本系統(tǒng)擁有3 種可選擇模式，無論選擇哪種上機模式，學員的身份證號碼和本機的IP 地址都會被系統(tǒng)記錄并一一對應。這樣，如果發(fā)生安全事故需要追查責任時，就可以通過系統(tǒng)精準地查找出事故責任人。

2)日志記錄功能。本系統(tǒng)集成了計算機行為監(jiān)控模塊，學員的計算機程序操作和上網(wǎng)信息都被一一記錄下，并被保存到日志服務器中。本系統(tǒng)提供B/S 結構的查詢系統(tǒng)，可以根據(jù)身份證號碼、日期等選項查詢學員的程序操作日志、上網(wǎng)日志和截圖等。根據(jù)國家電網(wǎng)公司相關要求，日志服務器中的數(shù)據(jù)將被保存90 d 以上。截圖是指每隔一定時間，客戶端對計算機界面進行截圖，然后上傳至服務器?？紤]到截圖的頻繁程度對系統(tǒng)性能的影響，截圖頻率和上傳頻率都可以進行調節(jié)。

3)視頻監(jiān)控功能。在每個機房都部署了高清攝像頭，進行無盲點的覆蓋，通過視頻監(jiān)控系統(tǒng)可以采集每個機房的電腦所對應的學員的真實影像資料，并存儲在視頻監(jiān)控系統(tǒng)中。出現(xiàn)安全事故時，可以通過清晰的影像資料辨別機位上的操作人。該系統(tǒng)可支持通過B/S 結構在線查詢機房的視頻監(jiān)控資料，視頻資料保存時間一般不少于3 個月。

4)機房無人值守管理功能。如果采用導入信息指定上機模式，在學員上機之前，機房管理員把學員的身份證號碼和姓名等信息導入系統(tǒng)后，學員就可以自助刷卡上機了，從而做到在培訓過程中無人值守。如果采用導入信息自選上機模式和不導入信息自選上機模式，學員也只需刷身份證之后找到合適機位輸入身份證號碼即可完成上機操作，全程無需機房管理員參與。如果在上機過程中學員有任何問題，可以直接通過本機客戶端發(fā)消息給機房管理員，機房管理員可采取遠程管理等手段解決問題。

除此之外，本系統(tǒng)集成了普通機房管理系統(tǒng)所具有的其他功能，如屏幕查看、計算機鎖定和解鎖、計算機信息遠程修改、軟件下發(fā)和信息發(fā)布等日常管理功能，能滿足機房管理員的需求。

4 結束語

本系統(tǒng)已經(jīng)成功應用于國網(wǎng)湖南省電力公司培訓中心的培訓機房，在信息安全管理和機房管理方面發(fā)揮重要的作用，學員在培訓機房的信息安全意識明顯提高，信息安全事故發(fā)生率顯著降低，機房管理水平顯著提高。鑒于本系統(tǒng)能解決實際問題，目前正準備向系統(tǒng)內(nèi)各個單位推廣。如果將來能夠和SG－ERP 培訓模塊和培訓管理系統(tǒng)對接，將能夠提供實際培訓簽到人員名單，從而更好地開展培訓工作。

〔1〕趙偉． 高校機房管理系統(tǒng)的設計與實現(xiàn)〔J〕． 信息與電腦，2012(1):59-61．

〔2〕李桂芝，王 偉，楊根興． 基于IC 卡的機房管理系統(tǒng)的設計〔J〕． 北京機械工業(yè)學院學報，2004，19(1):33-37．

〔3〕沈?。?機房安全管理系統(tǒng)的研制〔J〕． 泰安師專學報，2000.22(3):61-63．

〔4〕趙小平． 基于二代身份證的學生宿舍門禁系統(tǒng)研究與設計〔D〕． 西安:西安石油大學，2010．

〔5〕房向榮，楊樂． 實驗中心管理信息系統(tǒng)與門禁系統(tǒng)開發(fā)〔J〕．西安郵電學院學報，2009，14(5):121-124