葉水勇，劉 琦，陳 明，張 月，葉 菁，王文林，宋浩杰

（國網黃山供電公司，安徽 黃山245000）

0 引言

隨著信息化建設的跨越式發(fā)展，信息系統(tǒng)數(shù)量不斷增長，運維安全和故障處置時效性要求日趨提高，為更好地支撐公司信息化業(yè)務發(fā)展，進一步規(guī)范信息系統(tǒng)日常運維和檢修操作，提升運維工作效率和服務質量，強化運行安全管控，公司從2015年開始逐步開展信息系統(tǒng)運維專區(qū)（以下簡稱：運維專區(qū)）的建設工作。

專區(qū)運維工作安全審計方面主要是依賴運維安全審計系統(tǒng)[1]。運維人員對遠程信息系統(tǒng)（設備）等的運維工作通過運維審計系統(tǒng)進行，運維審計系統(tǒng)記錄了運維人員對遠程信息系統(tǒng)的運維工作。通過運維安全審計系統(tǒng)，在對服務器進行遠程操作時，因為會被記錄遠程操作過程，事后能得到審計，運維人員在操作過程中會謹慎進行，盡量避免誤操作，不進行無關操作甚至是惡意操作。

1 目前運維專區(qū)存在的問題分析

運維審計系統(tǒng)記錄的是運維專機對目標資源的操作，而運維人員在運維專機上的操作并沒有被記錄和審計，在此造成的數(shù)據泄露和故意破壞得不到有效防護和追溯。

在應急搶修區(qū)中進行的運維操作是直連目標資源（服務器、信息系統(tǒng)等）的，不經過運維審計系統(tǒng)，從而導致在應急搶修區(qū)中進行的操作沒有記錄和審計。這就存在應急搶修區(qū)中的操作行為得不到有效防護和追溯的風險[2]。

運維專機需要安全加固。結合運維工作實際，完成專機改造和調整，加裝防窺視屏、安裝USB鎖。

鑒于目前運維專區(qū)存在的問題，迫切需要建設一個涵蓋“運維專區(qū)、運維專機、運維人員、運維通道、運維目標”的運維安全體系，從而有效防止在運維專區(qū)出現(xiàn)數(shù)據泄露或進行非法操作的行為[3]。

2 系統(tǒng)建設的技術方案

系統(tǒng)主要由客戶端Agent和服務器端組成?？蛻舳薃gent主要負責三方面工作：一是采集運維操作過程數(shù)據上傳至服務器；二是接收服務器端指令對客戶端PC進行控制；三是實時展示／事后回放操作記錄。服務器端由人臉識別服務器和主機桌面審計服務器組成。人臉識別服務器完成對運維人員的人臉驗證。桌面審計服務器完成對運維專區(qū)、運維專機等的管理和控制；接收存儲運維操作過程數(shù)據；提供審計回放信息；生成相應報表等[4]。系統(tǒng)拓撲示意如圖1所示。

圖1 系統(tǒng)拓撲示意圖

2.1 系統(tǒng)功能

運維專區(qū)管理系統(tǒng)功能主要分為操作機的運維記錄和服務器的數(shù)據管理和展現(xiàn)三大部分[5]。操作機運維記錄主要包括認證、錄屏、鍵鼠消息獲取、本地策略、審計播放器等。服務器數(shù)據管理主要包括數(shù)據接收、操作機的管理、監(jiān)控管理以及系統(tǒng)管理等。服務器數(shù)據展現(xiàn)包括服務器狀態(tài)顯示、操作會話信息顯示、統(tǒng)計分析以及統(tǒng)一搜索功能。各個功能的特點如圖2所示。

圖2 專區(qū)運維功能特點圖

2.2 操作機功能

專區(qū)操作機Agent的功能主要為管理認證、錄像、文本和本地策略4個部分[6]。

管理認證包括操作機占用標識的修改，口令認證和人臉識別認證。當操作人員選定了一臺操作機后將操作機的狀態(tài)由可操作狀態(tài)變?yōu)楸徽加脿顟B(tài)。操作人員登錄時使用管理人員獲取的臨時操作用戶名和密碼，緊接進行人臉識別認證，當用戶名密碼正確、人臉識別通過后即可使用桌面程序。

錄像的功能包括桌面捕捉、攝像頭錄像、編碼上傳和斷點續(xù)傳功能。桌面捕捉和攝像頭錄像的功能是為了獲取操作時的桌面環(huán)境和操作人的真實環(huán)境。編碼上傳是將桌面錄像和攝像頭錄像編碼上傳到服務器端，供管理人員監(jiān)控和回放。編碼上傳時支持斷點續(xù)傳功能，即服務器連接不上時，錄像文件保存到本地，當檢測到服務器連接上后將本地文件繼續(xù)傳到服務器端，保證了文件的完整性。

文本記錄的功能包括鼠標鍵盤消息的獲取，剪貼板消息的獲取，操作窗口標題的獲取以及系統(tǒng)日志的獲取上傳。鼠標的點擊和鍵盤輸入的消息、剪貼板中文本的內容、窗口的標題以及系統(tǒng)日志都能夠幫助管理人員統(tǒng)計操作人員的操作是否符合規(guī)定，輔以統(tǒng)計功能，可將人員的操作宏觀可視化。

本地策略功能包括錄像的色彩選項、壓縮率、比例尺寸以及其他錄制選項。錄制的功能更加人性化，可以動態(tài)適應不同配置的電腦。此外，客戶端Agent具備防卸載、防禁用、防停止運行的功能。

2.3 服務器數(shù)據管理功能

服務器數(shù)據管理功能包括數(shù)據接收、操作及管理、監(jiān)控管理和系統(tǒng)管理[7]。數(shù)據接收包括接收文本數(shù)據、錄屏數(shù)據、攝像頭錄像數(shù)據以及圖文關聯(lián)數(shù)據。以各自的編碼方式和存儲方式存儲在服務器中，方便查詢和監(jiān)控回放。

操作機管理的功能包括操作機的分配、動態(tài)口令生成、監(jiān)管機的管理功能。操作機的分配即為操作人員分配可用的操作機，系統(tǒng)修改操作機的狀態(tài)，為操作人員生成一對臨時用戶名密碼（動態(tài)口令）。監(jiān)管機是管理人員使用的電腦，包括管理人員對操作人員的管理，獲取和注銷動態(tài)口令等。

監(jiān)控管理包括實時監(jiān)控、事后回放、過濾預警和策略下發(fā)。實時監(jiān)控可實現(xiàn)多屏矩陣桌面播放，支持最大16路同時監(jiān)控，節(jié)省時間和資源，并能及時發(fā)現(xiàn)問題。過濾預警可對操作人員高危的操作，例如修改或刪除關鍵文件等提示警告信息。策略下發(fā)就是服務器將客戶端監(jiān)控策略（包括錄屏選項，如尺寸、黑白彩色等，進程控制列表等）下發(fā)至特定的客戶機。

系統(tǒng)管理包括數(shù)據庫備份、記錄備份、用戶管理和操作日志管理。數(shù)據庫和記錄的定期備份，防止因服務器意外斷電等可能造成的信息丟失。此外，針對記錄文件增長的情況，可以設定寫記錄文件滾動覆蓋的方式來確保磁盤空間不被占滿，時間設定上，根據國網要求，定為6個月。用戶管理包括對操作人員的賬號和照片的管理，對管理人員的管理等。操作日志管理是針對系統(tǒng)管理頁面本身的操作日志，例如管理員增刪改了某個用戶，修改了設備的某個配置。

2.4 服務器數(shù)據展現(xiàn)功能

服務器數(shù)據展現(xiàn)功能包括服務器狀態(tài)展示、操作會話展示、統(tǒng)計分析和統(tǒng)一搜索功能。服務器狀態(tài)展示包括服務器的硬件狀態(tài)、數(shù)據庫狀態(tài)、應用狀態(tài)和WebServer狀態(tài)。硬件和數(shù)據庫狀態(tài)能夠及時發(fā)現(xiàn)服務器和數(shù)據庫可用資源的變化，能夠在資源不夠用之前發(fā)現(xiàn)問題并解決。應用狀態(tài)和WebServer狀態(tài)的展示能夠及時判斷應用是否還在運行，網頁是否能正常打開，減少運維風險[8]。

操作會話包括列表展現(xiàn)、會話下載、操作摘要以及操作能量圖展示。列表展現(xiàn)即把一定時間內一定專區(qū)內的操作人員的操作會話展示出來，為審計人員和管理人員查閱分析。會話下載可將人員操作下載到本地播放和分析。操作摘要能將操作人員的操作信息做一個摘要列表，例如登錄系統(tǒng)的時間，結束操作的時間，操作的應用等。

統(tǒng)計分析包括人員統(tǒng)計、時間統(tǒng)計、設備統(tǒng)計以及按審核統(tǒng)計。人員統(tǒng)計可展示為，一段時間內，操作人員有哪些，人員信息有哪些，操作人員操作頻率等。時間統(tǒng)計可統(tǒng)計操作人員操作的時間、運維一個工作票的時間等。設備統(tǒng)計包括設備使用頻率、設備狀態(tài)信息等。按審核統(tǒng)計功能即按照過濾審核的結果進行統(tǒng)計，例如過濾某個敏感詞，將過濾的結果進行統(tǒng)計分析。

統(tǒng)一搜索功能包括歷史檢索、自定義報表以及報表訂閱。歷史檢索包括對按照設備進行檢索、按照操作人員進行檢索、按照時間進行檢索、運維人員的操作進行檢索等。根據檢索結果自定義報表，將結果展示出來。報表訂閱則是定時主動向某個審計人員或者管理員的郵箱發(fā)送定制的報表。

3 系統(tǒng)的關鍵技術

3.1 人臉識別認證

當操作人員首次運維時，由操作間管理人員，使用操作人員清晰辨識度高的照片為其注冊[9]。操作人員登陸操作機進行運維時，在動態(tài)口令認證通過后，需要進行人臉識別的認證。操作人員登陸操作機時需要人臉認證，將自己的頭像清晰地置于攝像頭中，選擇取照，右邊會出現(xiàn)獲取的照片，點擊認證系統(tǒng)就會與照片庫中的照片進行對比識別。

3.2 多屏矩陣桌面監(jiān)控

實時監(jiān)控是運維審計重要的一個功能，一般運維監(jiān)控即操作人員運維，管理人員點開相應的列表，本系統(tǒng)支持多屏矩陣桌面，提供一個全局監(jiān)看模式。桌面審計系統(tǒng)將多個運維桌面整合于同一顯示界面，支持2×2，3×3，4×4等多種矩陣管理模式，監(jiān)看畫面可循環(huán)播放，方便審計人員直觀地把握操作間運維人員的操作情況，若其中某一畫面出現(xiàn)異常，比如操作人員違規(guī)操作等，可實現(xiàn)切斷，并且播放器支持伸縮畫面，進行細節(jié)觀察與處理。

16路監(jiān)控播放器不僅支持16個監(jiān)控畫面的展示，同時支持選擇的單個監(jiān)控畫面全屏播放或者4個監(jiān)控畫面田字形的全屏播放。每個監(jiān)控畫面都包括桌面操作情況、操作人員情況、操作人員鍵盤鼠標信息記錄并支持信息搜索。主機桌面審計系統(tǒng)中，操作人員將工作票交給操作間管理人員審核，管理人員申請某臺操作機的臨時用戶名和密碼交給操作人員，操作人員憑借臨時用戶名密碼登錄操作機操作，操作過程中將被錄屏，鍵盤鼠標和剪貼板的消息也會被傳送給服務器存儲。操作過程可被管理人員實時監(jiān)控，同時支持事后回放[10]。

圖3 操作機分配交互圖

3.3 操作機分配

為了確保操作機分配有序可控，在人員驗證的基礎之上增加對操作機分配的管理功能。該功能主要實現(xiàn)了管理員分配指定操作機給運維人員，每次告知操作機的臨時賬號密碼，本次運維操作結束之后該賬號密碼就失效，確保運維人員運維工作需要經過管理員認可[11]。圖3是操作機分配交互圖，整個過程主要涉及運維人員、運維專區(qū)管理員、運維操作機、桌面審計系統(tǒng)服務器。

4 結束語

公司通過運維專區(qū)管理系統(tǒng)的建設，實現(xiàn)對運維專區(qū)中各要素的管理，如專區(qū)、專機、人員等；實現(xiàn)對運維專區(qū)中所發(fā)生的運維工作進行全面的審計，做到對運維專機的有序分配、對運維專機操作的實時監(jiān)控和事后審計、對運維人員的嚴格認證、對運維專機的遠程管理等，從而實現(xiàn)遠程運維操作安全可控，確保信息系統(tǒng)安全穩(wěn)定運行。