周銘遙 王璐

摘要 隨著新能源企業(yè)的發(fā)展，相應的信息化建設中系統(tǒng)運維工作也會逐步遇到各種各樣的問題，文章針對目前新能源企業(yè)遇到的運維管控和運維審計的問題進行深入分析，提出了一種安全運維審計系統(tǒng)的設計和實現方法，以及該系統(tǒng)在實際現場中的典型應用案例，最后總結了系統(tǒng)的應用價值，對于新能源企業(yè)的安全運維審計方面具有一定的參考意義。

【關鍵詞】新能源 運維 管控 審計

隨著傳統(tǒng)能源凸顯出對環(huán)境的負面影響及新能源顯現的有利因素，提高新能源發(fā)電比例逐步降低傳統(tǒng)能源發(fā)電比例將是未來電力生產的發(fā)展趨勢，隨著國家大力發(fā)展新能源，光伏和風電裝機容量在過去幾年呈井噴式高速增長，截至到2017年底，我國的水電、風電和光伏發(fā)電裝機容量己穩(wěn)居全球首位。根據風電“十三五”規(guī)劃，到2020年，風電裝機有望達到2.5-2.8億千瓦，太陽能發(fā)電裝機有望達到1.6億千瓦。隨著國家對可再生新能源企業(yè)的大力支持，新能源企業(yè)迅猛增加，相應新能源企業(yè)的各種信息化系統(tǒng)也隨之配備和迅猛增加，新能源企業(yè)的信息化系統(tǒng)維護工作量也越來越大，如何選取一套高效的運維系統(tǒng)也顯得非常重要，對提高新能源企業(yè)的信息化管理水平和安全性是非常必要的。

1 安全運維現狀

面對目前新能源企業(yè)各種信息化系統(tǒng)的上線，系統(tǒng)運維工作量也越來越大，運維過程中也逐步暴露出一些共性問題，例如：

（1）設備數量眾多，如大量的網絡設備和服務器，且設備管理分散;

（2）由于設備數量眾多，為了方便登陸管理，經常出現多人共用賬號的問題，如果企業(yè)的信息化系統(tǒng)出現問題，誰是具體操作的負責人就無從查找和定位;

（3）無法有效執(zhí)行密碼策略：由于設備多賬號多，每個密碼要足夠復雜，依靠人工記憶很難，所以定期修改密碼費時費力，導致定期修改密碼的策略流于形式而不能有效執(zhí)行;

（4）無法對運維過程進行審計：各系統(tǒng)之間互相獨立，分別由不同的人員進行管理與維護，審計方式也相對獨立，往往安全事故發(fā)生后只能依靠設備或系統(tǒng)自身的日志方式進行審計，但設備日志各有各的表達方式，本身很難理解，更無法記錄運維過程，更嚴重的是有些設備自身的日志可被刪除，審計方式變的不可信。有時雖然日志找到了，但是因為賬號共享也找不到操作的自然人，傳統(tǒng)的審計方式已經沒有意義。

針對上述日益凸顯的現狀和問題，用戶越來越需要加強自身的運維安全審計來提高企業(yè)自身的安全管理水平，研究和設計一套安全運維審計系統(tǒng)則可以很好地解決上述問題。

2 安全運維審計系統(tǒng)的設計與實現

2.1 主要功能

2.1.1 增強級的身份認證

作為企業(yè)內部運維審計的平臺，充當了企業(yè)看門者的職責，一旦被攻破將給用戶造成巨大的損失，系統(tǒng)采用增強型的身份認證方式，支持雙因子、USBKey，電子證書、WindowsKerberos、生物特征、Windows AD域、動態(tài)口令等多種認證方式，而且具有靈活的定制接口，可以與第三方LDAP認證服務器對接。2.1.2 SSO （Single Sign-On）單點登錄

運維審計系統(tǒng)提供了B/S模式的單點登錄功能，用戶通過瀏覽器訪問系統(tǒng)，一次登錄就可無需認證訪問被授權的資源，支持RDP，SSH，Telnet，Xmanager，VNC，FTP等多種協(xié)議。單點登錄為用戶提供了方便快捷的訪問途徑，使得用戶無需記憶資源的用戶名與密碼，提高了系統(tǒng)的安全性，方便用戶對資源進行統(tǒng)一管理。由于系統(tǒng)自身是采用強認證系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的安全性。

2.1.3 統(tǒng)一賬戶管理

統(tǒng)一賬戶管理即對所有網絡設備、服務器、安全設備等賬戶進行統(tǒng)一管理。統(tǒng)一賬戶管理可以完成對賬戶的全程監(jiān)控，減少管理大量賬戶的工作量和難度。同時，通過統(tǒng)一賬戶管理不僅能滿足電力行業(yè)法規(guī)，還能夠發(fā)現賬戶中存在的一些安全隱患問題，能制定出標準統(tǒng)一的用戶賬號安全策略，提高運維效率，減輕運維人員的工作負擔。

2.1.4 細粒度訪問控制

細粒度訪問控制是運維安全的保障?？梢栽敿毜闹贫ㄕl在什么時候、什么地方、通過什么方式、訪問那些資源、以及如何訪問、可以做那些訪問操作。即運維審計系統(tǒng)真正做到了：Who（誰）Where（什么地點）When（什么時間）What（做了什么）?？梢愿鶕煌娜藛T制定不同的策略，最大限度的保障運維的安全性。

2.1.5 全面的審計和日志服務

系統(tǒng)支持內部審計與行為審計，內部審計主要記錄管理員對運維審計系統(tǒng)的操作，如授權，測試，資源維護等情況。行為審計主要記錄運維人員對服務器的操作，支持文本模式，命令模式，視頻回放模式等多種審計方式，完整還原運維的整個過程，管理員可實時查看用戶的操作過程，發(fā)現違規(guī)操作可及時阻斷。

系統(tǒng)可將運維審計系統(tǒng)會話過程的審計日志傳送給第三方，對生成的日志支持豐富的查詢和操作。

2.1.6 網絡性能安全

運維審計系統(tǒng)支持雙機熱備和負載均衡，當運維管理大型網絡時，通過“分布部署，集中管理”的負載均衡模式來進行智能化分配調度，滿足大型網絡環(huán)境下運維操作線程數較多時的系統(tǒng)資源需求量。

2.2 應用架構

安全運維審計系統(tǒng)基于B/S方式部署，系統(tǒng)的應用架構設計如圖1所示。

系統(tǒng)的主要功能包括賬號管理、權限管理、資源管理、審計管理、配置管理、系統(tǒng)監(jiān)控和日志管理等功能。賬號管理下面主要是主賬號管理、從賬號管理和密碼管理，權限管理下面主要包括單點登陸、認證管理、資源授權等功能，審計管理主要包括系統(tǒng)審計、行為審計和腳本管理等功能。

系統(tǒng)提供高可用性（High Available，HA）接口支持雙機熱備，并提供第三方日志接口，

系統(tǒng)還提供賬號口令、動態(tài)口令、證書論證和雙因子認證等本地強認證來加強系統(tǒng)自身的安全管理。

2.3 系統(tǒng)部署方式

運維安全審計系統(tǒng)支持多種部署方式，可以充分滿足不同網絡對安全運維審計系統(tǒng)的需求，既可以采取串聯模式，也可以采用旁路模式接入到企業(yè)內部網絡中。采用旁路模式部署時，不改變網絡拓撲，安裝調試簡單，可根據已有企業(yè)網絡架構的實際環(huán)境靈活接入，不需要安裝任何客戶端軟件和服務器引擎，不影響已有網絡的拓撲結構。運維審計系統(tǒng)在工業(yè)/企業(yè)網一般采用典型的旁路部署模式，主要為單級部署和分布式部署。如圖2所示。

2.4 現場應用效果

在某新能源企業(yè)內部署了4臺運維安全審計系統(tǒng)，其中兩臺運維安全審計系統(tǒng)旁路部署在二區(qū)VPN-NRT交換機和VPN-BH交換機之間，兩臺設備做雙機熱備實現數據同步，負責管控二區(qū)（非實時控制大區(qū)）的風功率預測和故障錄波的服務器;將另外兩臺運維安全審計系統(tǒng)旁路部署在一區(qū)VPN-RT （RT： ReaITime實時區(qū)）核心交換機，兩臺設備做雙機熱備實現數據同步，負責管控一區(qū)f實時控制大區(qū)）范圍內數據網（網絡設備）和綜控終端的設備。

現場網絡部署拓撲圖如圖3所示。

現場設備資源數包括風功率預測、綜控終端、故障錄波、數據網（新能源、小廠站）等各種設備，設備類型有Linux主機、Unix主機、Windows主機及各種網絡設備，資源數量目前已到80多條記錄，在目前運維審計系統(tǒng)中，己采用了銀河麒麟國產操作系統(tǒng)，系統(tǒng)的安全性得到更大地提高。通過部署運維安全審計系統(tǒng)，為客戶提供了各種操作系統(tǒng)的主機和網絡安全設備的統(tǒng)一操作管理平臺，提供全面的運維操作審計，記錄訪問系統(tǒng)各個操作會話的整個過程并形成會話日志和事件回放文件，通過對所有操作行為可記錄能達到事后可查的目的，大大減輕運維人員的工作量，同時也能有力保障企業(yè)的信息安全。

3 結語

隨著新能源企業(yè)的興起和信息化系統(tǒng)的逐步投入，企業(yè)的內部運維審計上線也顯得越來越迫切，本文通過對新能源企業(yè)的運維安全內控和審計現狀及需求的分析，提供了一套運維安全審計系統(tǒng)，主要介紹了該系統(tǒng)的主要功能、應用架構和系統(tǒng)部署，通過一新能源企業(yè)的實際應用，有力地證明了該運維安全審計系統(tǒng)能有效提高企業(yè)日常IT運維過程中運維效率，降低運維管理成本，提高企業(yè)的生產管理的安全等級，確保企業(yè)正常安全生產的可靠性和安全性。

參考文獻

[1]劉珊珊，新形勢下新能源發(fā)電企業(yè)的發(fā)展思路研究[J].經濟研究導刊，2016 （21）：9—10.

[2]石宏宇，基于堡壘機技術的運維安全管控系統(tǒng)設計與應用[J].中國管理信息化，2016 （12）：44-45.

[3]劉行，楊維永，能源互聯網背景下的企業(yè)運維內部審計技術探索與實現[J].電力信息與通信技術，2016，14 （05）： 22-27.

[4]許雷，基于內控堡壘主機的運維安全審計系統(tǒng)的設計與實現[J].2016智能城市與信息化建設國際學術交流研討會，

[5]王浩，吳中福，王平.工業(yè)控制網絡安全模型研究[J].計算機科學，2007，34 （05）： 96-98，