◆李繼勇 周迎輝 閆岳明

（1.中鐵信安（北京）信息安全技術(shù)有限公司 北京 100094；2.中國鐵路信息科技集團(tuán)有限公司 北京 100844）

1 引言

1.1 研究背景

信息系統(tǒng)普遍存在于各行業(yè)網(wǎng)絡(luò)中，信息系統(tǒng)在使用的生命周期中不可避免會(huì)出現(xiàn)各種問題，需要對(duì)信息系統(tǒng)進(jìn)行問題排查。此時(shí)，就需要用戶單位，甚至是信息系統(tǒng)開發(fā)廠商的人員到現(xiàn)場(chǎng)對(duì)信息系統(tǒng)進(jìn)行運(yùn)維工作，但由于運(yùn)維中可接觸內(nèi)部網(wǎng)絡(luò)及關(guān)鍵信息數(shù)據(jù)，導(dǎo)致了運(yùn)維中的各種安全風(fēng)險(xiǎn)，其突出體現(xiàn)在兩類：

（1）運(yùn)維過程中不合規(guī)接入引入的風(fēng)險(xiǎn)：外部非可控計(jì)算機(jī)接入網(wǎng)絡(luò)，引入網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)；外部介質(zhì)接入計(jì)算機(jī)，引入病毒木馬；通過互聯(lián)網(wǎng)接入運(yùn)維，引入攻擊風(fēng)險(xiǎn)。

（2）在線運(yùn)維過程產(chǎn)生的風(fēng)險(xiǎn)：運(yùn)維人員或計(jì)算機(jī)對(duì)業(yè)務(wù)服務(wù)器攻擊，破壞其可用性；核心業(yè)務(wù)服務(wù)被注入惡意代碼，竊取或破壞業(yè)務(wù)數(shù)據(jù)；以攻擊服務(wù)器為跳板，滲透攻擊內(nèi)部網(wǎng)絡(luò)。

以上風(fēng)險(xiǎn)在運(yùn)維中都普遍存在，一般的解決辦法就是從管理和技術(shù)兩個(gè)角度考慮，管理角度會(huì)指定完善的運(yùn)維規(guī)范和制度，采用限制互聯(lián)網(wǎng)運(yùn)維，對(duì)現(xiàn)場(chǎng)維護(hù)履行登記審批手續(xù)，運(yùn)維過程全程陪同等等方式；技術(shù)手段就是采用一定的安全控制措施，限制運(yùn)維人員可接觸范圍及操作內(nèi)容等。

1.2 現(xiàn)狀及風(fēng)險(xiǎn)

目前國內(nèi)外典型的對(duì)運(yùn)維安全的控制手段主要包括以下幾類：

（1）常規(guī)的訪問控制措施

指定運(yùn)維人員在專門的網(wǎng)段計(jì)算機(jī)進(jìn)行信息系統(tǒng)運(yùn)維，通過交換機(jī)、防火墻等的訪問控制手段限制運(yùn)維計(jì)算機(jī)只能訪問特定的信息系統(tǒng)。

（2）運(yùn)維監(jiān)控系統(tǒng)

一般沒有專門針對(duì)運(yùn)維的監(jiān)控產(chǎn)品，通過網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫審計(jì)、應(yīng)用審計(jì)等相關(guān)技術(shù)和產(chǎn)品，對(duì)關(guān)鍵信息系統(tǒng)及服務(wù)器的操作行為進(jìn)行監(jiān)控審計(jì)，從中發(fā)現(xiàn)運(yùn)維可能的風(fēng)險(xiǎn)。

（3）安全運(yùn)維堡壘機(jī)[1]

這種產(chǎn)品是專門針對(duì)運(yùn)維安全風(fēng)險(xiǎn)設(shè)計(jì)的，主要通過對(duì)運(yùn)維協(xié)議的代理控制技術(shù)實(shí)現(xiàn)，在身份認(rèn)證的基礎(chǔ)上，通過協(xié)議過濾、方法過濾、文件傳輸控制、錄屏審計(jì)等手段，一方面監(jiān)視運(yùn)維的操作過程，另一方面對(duì)關(guān)鍵指令進(jìn)行控制，研制運(yùn)維人員的操作，避免越權(quán)訪問，達(dá)到安全運(yùn)維控制效果。

以上運(yùn)維控制技術(shù)手段雖然能緩解運(yùn)維風(fēng)險(xiǎn)，但是隨著信息系統(tǒng)越來越復(fù)雜，運(yùn)維方式越來越豐富，有時(shí)甚至需要應(yīng)急進(jìn)行互聯(lián)網(wǎng)運(yùn)維等等情形，這些方式就存在不足：

（1）常規(guī)交換機(jī)、防火墻的訪問控制手段對(duì)運(yùn)維協(xié)議無安全過濾措施，可形成無法控制風(fēng)險(xiǎn)的運(yùn)維管道；

監(jiān)控手段并非專門為運(yùn)維設(shè)計(jì)的，無法識(shí)別運(yùn)維細(xì)節(jié)，無法實(shí)施細(xì)粒度的監(jiān)視及控制；

即使專門解決運(yùn)維安全問題的運(yùn)維堡壘機(jī)產(chǎn)品，也存在風(fēng)險(xiǎn)：

（2）代理風(fēng)險(xiǎn)：此類產(chǎn)品基于協(xié)議代理實(shí)現(xiàn)，運(yùn)維協(xié)議（ssh、ftp 等）自身的安全風(fēng)險(xiǎn)無法阻斷，可被利用形成攻擊，尤其是在互聯(lián)網(wǎng)接入運(yùn)維的情況下，這種風(fēng)險(xiǎn)更為突出；

運(yùn)維過程中的上傳文件潛在的惡意病毒木馬可能感染被運(yùn)維服務(wù)器，導(dǎo)致信息破壞及泄漏風(fēng)險(xiǎn)；

（3）自身風(fēng)險(xiǎn)：一旦堡壘機(jī)自身被攻擊，可被利用作為跳板攻擊內(nèi)部網(wǎng)絡(luò)。

鑒于目前運(yùn)維技術(shù)面臨的風(fēng)險(xiǎn)，本文將研究一種新的安全運(yùn)維控制技術(shù)，形成專用的、安全可控的運(yùn)維通道，并基于此形成一套運(yùn)維管控系統(tǒng)，實(shí)現(xiàn)安全的在線運(yùn)維，甚至在互聯(lián)網(wǎng)下也可保障運(yùn)維的安全可控。這項(xiàng)技術(shù)是一種基于單向傳輸，結(jié)合虛擬化技術(shù)的安全運(yùn)維通道，在這種安全通道基礎(chǔ)上，將運(yùn)維主機(jī)與操作主機(jī)分離，形成可控的運(yùn)維環(huán)境，結(jié)合身份認(rèn)證、操作控制、全程審計(jì)等技術(shù)實(shí)現(xiàn)對(duì)運(yùn)維全過程的可視化管控，確保運(yùn)維安全，保障被運(yùn)維信息系統(tǒng)免受運(yùn)維攻擊。

2 系統(tǒng)架構(gòu)與功能

2.1 系統(tǒng)架構(gòu)

系統(tǒng)分為4 層結(jié)構(gòu)，分別是基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)防護(hù)層、應(yīng)用防護(hù)層和運(yùn)維對(duì)象層，同時(shí)監(jiān)控審計(jì)貫穿于各層。系統(tǒng)結(jié)構(gòu)如圖1 所示：

圖1 系統(tǒng)架構(gòu)圖

基礎(chǔ)設(shè)施層有服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)設(shè)備組成，在基礎(chǔ)設(shè)施層的遠(yuǎn)程終端都需要進(jìn)行身份認(rèn)證。網(wǎng)絡(luò)防護(hù)層提供訪問控制、邊界防護(hù)傳輸加密和單向隔離功能。應(yīng)用防護(hù)層則提供用戶管理、身份認(rèn)證、權(quán)限管理、運(yùn)維代理等應(yīng)用管理功能為運(yùn)維對(duì)象提供支持。監(jiān)控審計(jì)則通過包括通過圖像捕獲技術(shù)，形成運(yùn)維視頻記錄，對(duì)運(yùn)維全程進(jìn)行審計(jì)；實(shí)現(xiàn)運(yùn)維視頻的查詢檢索功能，可按時(shí)間、人員、設(shè)備等多維度檢索；實(shí)現(xiàn)運(yùn)維人員操作信息的捕獲及記錄，形成操作日志；實(shí)現(xiàn)運(yùn)維操作日志的綜合審計(jì)；實(shí)現(xiàn)運(yùn)維過程運(yùn)維記錄的關(guān)聯(lián)分析及查詢，按時(shí)間軸回溯運(yùn)維過程。

2.2 功能描述

系統(tǒng)虛擬桌面采用結(jié)合Linux 下的KVM 技術(shù)實(shí)現(xiàn)，在虛擬桌面內(nèi)部嵌入代理軟件，并與運(yùn)維通道連接。系統(tǒng)運(yùn)維人員通過右鍵快捷方式或者通過專用文件傳輸界面程序?qū)⑽募ㄟ^運(yùn)維通道傳給操作主機(jī)。系統(tǒng)同時(shí)支持單個(gè)文件及批量文件的一次性傳輸，在傳輸過程中文件會(huì)受到安全過濾機(jī)制檢查。必要時(shí)操作主機(jī)還可以向運(yùn)維主機(jī)單向傳輸文件，此時(shí)文件需要進(jìn)行必要的安全檢查外還會(huì)經(jīng)過病毒掃描和人工審核以保證文件的安全上傳。

在安全控制功能方面系統(tǒng)實(shí)現(xiàn)了雙單向安全隔離、身份認(rèn)證、運(yùn)維審計(jì)、運(yùn)維協(xié)議控制和文件內(nèi)容審查。

雙單向安全隔離通過構(gòu)造雙單向傳輸鏈路，將運(yùn)維操作主機(jī)與運(yùn)維主機(jī)物理隔離，切斷運(yùn)維中的網(wǎng)絡(luò)協(xié)議，實(shí)現(xiàn)操作主機(jī)鍵盤、鼠標(biāo)消息采集及傳輸，實(shí)現(xiàn)運(yùn)維主機(jī)屏幕增量信息采集、傳輸及渲染展示，單向傳輸鏈路基于光單向技術(shù)實(shí)現(xiàn)，使用私有協(xié)議控制，實(shí)現(xiàn)運(yùn)維通道的安全保障。

身份認(rèn)證功能包含運(yùn)維人員身份鑒別及管理員身份鑒別。運(yùn)維人員管理通過注冊(cè)、注銷、更改、權(quán)限設(shè)置等，支持口令、證書、手機(jī)短信等認(rèn)證方式；對(duì)內(nèi)部運(yùn)維人員及外來運(yùn)維人員進(jìn)行統(tǒng)一管理以實(shí)現(xiàn)運(yùn)維人員權(quán)限控制及限定可運(yùn)維范圍。管理員身份鑒別則通過用戶名/口令的方式、基于數(shù)字證書的方式、支持硬件令牌的方式在管理員訪問系統(tǒng)時(shí)進(jìn)行身份鑒別。

系統(tǒng)通過在單向柵欄設(shè)備部署實(shí)施運(yùn)維協(xié)議過濾控制模塊，實(shí)現(xiàn)對(duì)FTP、SSH、HTTP、RDP 等運(yùn)維協(xié)議的集中管理及控制，增強(qiáng)運(yùn)維安全；同時(shí)支持授權(quán)啟用特定的運(yùn)維協(xié)議；支持對(duì)運(yùn)維協(xié)議命令、語法進(jìn)行過濾，限制使用敏感方法；限制運(yùn)維主機(jī)與被運(yùn)維設(shè)備之間的文件傳輸。

系統(tǒng)還通過關(guān)鍵詞過濾、文件格式檢查、模糊查詢和病毒掃描方式對(duì)傳輸文件的內(nèi)容進(jìn)行審查。

系統(tǒng)對(duì)運(yùn)行內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)控功能，包括網(wǎng)絡(luò)接口監(jiān)視、CPU利用率監(jiān)視、內(nèi)存使用率監(jiān)視、網(wǎng)絡(luò)狀況監(jiān)視、硬件系統(tǒng)監(jiān)視、進(jìn)程監(jiān)視、任務(wù)監(jiān)視等，并提供對(duì)監(jiān)控結(jié)果的多種圖表顯示方式。在審計(jì)方面則具備日志查詢、存儲(chǔ)并提供三權(quán)分立的審計(jì)功能，并支持系統(tǒng)日志上報(bào)，支持第三方軟件查看日志、支持日志分級(jí)和本機(jī)及遠(yuǎn)程日志存儲(chǔ)，并提供對(duì)應(yīng)用交換信息、安全控制信息、系統(tǒng)日志信息的記錄及審計(jì)功能。

3 關(guān)鍵技術(shù)

3.1 單向運(yùn)維技術(shù)

本研究使用的單向運(yùn)維技術(shù)的實(shí)現(xiàn)原理如圖2 所示：

圖2 單向運(yùn)維技術(shù)原理

本技術(shù)將運(yùn)維過程涉及的各個(gè)部份分為操作主機(jī)、單向運(yùn)維通道、運(yùn)維主機(jī)及運(yùn)維對(duì)象，其中：

（1）操作主機(jī)：運(yùn)維人員實(shí)際使用的計(jì)算機(jī)，運(yùn)維人員通過該計(jì)算機(jī)進(jìn)行運(yùn)維操作，實(shí)現(xiàn)對(duì)運(yùn)維對(duì)象的運(yùn)維工作；

（2）單向運(yùn)維通道：基于單向傳輸技術(shù)，通過雙單向傳輸架構(gòu)實(shí)現(xiàn)的安全運(yùn)維通道，確保操作主機(jī)與運(yùn)維主機(jī)之間的有效隔離，實(shí)現(xiàn)信息的單向傳輸；

（3）運(yùn)維主機(jī)：進(jìn)行實(shí)際運(yùn)維操作的主機(jī)，運(yùn)維人員在操作主機(jī)上的操作將由運(yùn)維主機(jī)進(jìn)行操作代理，實(shí)際的操作動(dòng)作由運(yùn)維主機(jī)執(zhí)行，運(yùn)維結(jié)果展示也由運(yùn)維主機(jī)反饋給操作主機(jī)；

（4）運(yùn)維對(duì)象：被運(yùn)維的目標(biāo)信息系統(tǒng)，運(yùn)維主機(jī)通過網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)運(yùn)維對(duì)象的操作，達(dá)到運(yùn)維的目的。

為了實(shí)現(xiàn)單向通道下無協(xié)議的運(yùn)維，其核心是操作主機(jī)的鍵盤、鼠標(biāo)操作過程傳遞給運(yùn)維主機(jī)釋放，運(yùn)維主機(jī)的操作結(jié)果顯示信息傳輸給操作主機(jī)釋放，傳輸通道基于無協(xié)議的雙單向通道實(shí)現(xiàn)。

為此，在操作主機(jī)上具有鼠標(biāo)鍵盤捕獲模塊及屏幕信息渲染展示模塊，其中鼠標(biāo)鍵盤捕獲模塊負(fù)責(zé)實(shí)時(shí)獲取操作主機(jī)的鼠標(biāo)及鍵盤操作，將操作信息進(jìn)行記錄，并攔截操作在本地的釋放，然后將鼠標(biāo)鍵盤操作信息發(fā)送給單向運(yùn)維通道。屏幕信息渲染展示模塊負(fù)責(zé)接收單向運(yùn)維通道發(fā)送過來的屏幕顯示信息，并解壓后進(jìn)行屏幕渲染及顯示。

單向運(yùn)維通道包含兩個(gè)單向傳輸通道，一個(gè)是操作主機(jī)向運(yùn)維主機(jī)鼠標(biāo)鍵盤信息傳輸通道，稱為鼠鍵通道；另一個(gè)是運(yùn)維主機(jī)向操作主機(jī)的顯示信息傳輸通道，稱為顯示通道。兩個(gè)傳輸通道基于單向光信號(hào)通信原理實(shí)現(xiàn)，鼠鍵通道可基于光對(duì)管等低帶寬傳輸機(jī)制實(shí)現(xiàn)，在適應(yīng)鼠標(biāo)鍵盤消息傳輸?shù)耐瑫r(shí)，防止高帶寬下惡意信息傳輸風(fēng)險(xiǎn)，增強(qiáng)攻擊難度，顯示通道基于單向光模塊實(shí)現(xiàn)，高帶塊適應(yīng)顯示信息的高效傳輸。鼠鍵通道與顯示通道均采用無協(xié)議的數(shù)據(jù)傳輸機(jī)制，避免網(wǎng)絡(luò)協(xié)議的攻擊風(fēng)險(xiǎn)。為了保證運(yùn)維過程安全，在單向運(yùn)維通道中傳輸信息的無協(xié)議單向傳輸外，還實(shí)現(xiàn)以下安全機(jī)制：

（1）鼠鍵信息過濾：進(jìn)行操作主機(jī)傳輸信息檢查，確保只有鼠標(biāo)及鍵盤信息能進(jìn)行傳輸，其余信息一律拒絕；

（2）顯示信息過濾：進(jìn)行運(yùn)維主機(jī)傳輸信息檢查，只有運(yùn)維主機(jī)的屏幕捕獲圖片信息能傳輸，其余信息一律拒絕。

在運(yùn)維主機(jī)上具有鼠標(biāo)鍵盤釋放模塊及屏幕信息捕獲模塊，其中鼠標(biāo)鍵盤釋放模塊負(fù)責(zé)接收單向運(yùn)維通道發(fā)動(dòng)的操作主機(jī)的實(shí)際鼠標(biāo)鍵盤操作信息，并在本地操作系統(tǒng)中釋放，成為本地的鼠標(biāo)鍵盤操作。當(dāng)運(yùn)維主機(jī)對(duì)運(yùn)維對(duì)象運(yùn)維時(shí)，本地操作系統(tǒng)將顯示運(yùn)維屏幕信息，屏幕信息捕獲模塊負(fù)責(zé)對(duì)運(yùn)維屏幕進(jìn)行捕獲，形成運(yùn)維顯示信息，并通過單向運(yùn)維通道發(fā)送給操作主機(jī)。為了提升運(yùn)維屏幕捕獲及傳輸效率，可采用增量捕獲方式，減少捕獲信息量。另外，為了提供流暢的顯示效果，大約按每秒鐘30 張顯示鏡像的頻率進(jìn)行捕獲。

3.2 基于虛擬化的在線運(yùn)維技術(shù)

按如上的技術(shù)原理就實(shí)現(xiàn)了運(yùn)維人員通過操作主機(jī)對(duì)運(yùn)維對(duì)象的整個(gè)運(yùn)維過程，其運(yùn)維的流程如圖3：

圖3 運(yùn)維過程流程圖

運(yùn)維過程如下：

（1）運(yùn)維人員通過鼠標(biāo)鍵盤在操作主機(jī)上進(jìn)行操作；

（2）操作主機(jī)上的鼠標(biāo)鍵盤捕獲模塊自動(dòng)捕獲運(yùn)維人員的鼠鍵信息；

（3）操作主機(jī)將鼠鍵信息傳輸給單向運(yùn)維通道，單向運(yùn)維通道對(duì)鼠鍵進(jìn)行安全過濾檢查；

（4）檢查不通過拒絕傳輸并告警，檢查通過，則將鼠鍵信息通過單向通道傳輸給運(yùn)維主機(jī)；

（5）運(yùn)維主機(jī)解析鼠鍵信息，并在本地進(jìn)行釋放，達(dá)到對(duì)運(yùn)維對(duì)象進(jìn)行遠(yuǎn)程操作的目的；

（6）運(yùn)維主機(jī)操作運(yùn)維對(duì)象后的顯示信息自動(dòng)被運(yùn)維主機(jī)的屏幕信息捕獲模塊增量捕獲，形成一幀幀的屏幕顯示圖片信息，這些信息通過運(yùn)維主機(jī)發(fā)送給單向運(yùn)維通道；

（7）單向運(yùn)維通道對(duì)運(yùn)維顯示信息進(jìn)行過濾檢查，如不符合要求，拒絕傳輸并告警，如符合要求，屏幕信息通過單向通道傳輸給操作主機(jī)；

（8）操作主機(jī)接收屏幕信息并在本地進(jìn)行渲染及展示，使得運(yùn)維人員實(shí)時(shí)看到運(yùn)維效果。

在某些運(yùn)維場(chǎng)景中，往往同時(shí)會(huì)有多個(gè)人對(duì)相同或不同的運(yùn)維對(duì)象進(jìn)行運(yùn)維，此時(shí)，可以采用如圖4 所示架構(gòu)進(jìn)行運(yùn)維。

圖4 多主機(jī)運(yùn)維結(jié)構(gòu)

該模式下，運(yùn)維主機(jī)將不是一個(gè)獨(dú)立的計(jì)算機(jī)，運(yùn)維主機(jī)將由多個(gè)虛擬機(jī)[3]構(gòu)成，每個(gè)虛擬機(jī)具有獨(dú)立的操作系統(tǒng)，可成為獨(dú)立的運(yùn)維主機(jī)。在使用時(shí)，每一臺(tái)操作主機(jī)與一個(gè)虛擬機(jī)對(duì)應(yīng)，形成一對(duì)一的運(yùn)維關(guān)系。根據(jù)操作主機(jī)的數(shù)量可以靈活擴(kuò)展運(yùn)維虛擬機(jī)的數(shù)量。單向運(yùn)維通道可以由一臺(tái)設(shè)備組成，也可以適應(yīng)更多主機(jī)運(yùn)維，由多臺(tái)設(shè)備以集群方式部署。此模式通過橫向擴(kuò)展，理論上可支持任意數(shù)量的操作主機(jī)同時(shí)進(jìn)行運(yùn)維工作。

為了進(jìn)一步提升運(yùn)維過程的安全，在單向無協(xié)議運(yùn)維機(jī)制下可在運(yùn)維主機(jī)與運(yùn)維對(duì)象之間部署堡壘機(jī)產(chǎn)品，通過對(duì)運(yùn)維協(xié)議的深度檢查及過濾，提升運(yùn)維整體的可控性。

4 總結(jié)

相比于目前業(yè)界最安全的運(yùn)維控制手段就是采用運(yùn)維堡壘機(jī)產(chǎn)品，本次研究具有以下優(yōu)勢(shì)：

（1）運(yùn)維數(shù)據(jù)不落地，確保運(yùn)維信息安全。

可確保運(yùn)維人員只能在操作主機(jī)上對(duì)運(yùn)維對(duì)象進(jìn)行運(yùn)維，運(yùn)維過程的任何數(shù)據(jù)只能在運(yùn)維主機(jī)落地存儲(chǔ)，在操作主機(jī)上的僅是屏幕顯示信息。運(yùn)維人員無法在操作主機(jī)上獲取任何運(yùn)維中的數(shù)據(jù)信息，確保運(yùn)維信息的泄密保護(hù)。

（2）運(yùn)維過程無協(xié)議，防止網(wǎng)絡(luò)攻擊。

采用無協(xié)議運(yùn)維技術(shù)，在操作主機(jī)與運(yùn)維主機(jī)之間僅通過單向通道，采用非網(wǎng)絡(luò)協(xié)議傳輸鼠標(biāo)鍵盤及屏幕顯示信息，運(yùn)維過程中實(shí)際的運(yùn)維協(xié)議（如SSH、FTP、HTTP 等）只在運(yùn)維主機(jī)與運(yùn)維對(duì)象之間傳輸，操作主機(jī)與運(yùn)維主機(jī)間無任何協(xié)議，杜絕任何基于網(wǎng)絡(luò)協(xié)議的攻擊行為，避免運(yùn)維協(xié)議的安全漏洞導(dǎo)致對(duì)運(yùn)維對(duì)象的攻擊風(fēng)險(xiǎn)。

（3）基于單向運(yùn)維架構(gòu)，確保結(jié)構(gòu)安全。

雙單向架構(gòu)實(shí)現(xiàn)操作主機(jī)與運(yùn)維主機(jī)之間的隔離，單向通道無法傳輸網(wǎng)絡(luò)協(xié)議，兩個(gè)單向通道分離，采用不同單向技術(shù)，且其中一個(gè)單向通道采用窄帶傳輸技術(shù)，攻擊者很難利用，即使單向運(yùn)維通道面向操作主機(jī)這一端被攻擊者攻破，攻擊者也無法利用單向通道向運(yùn)維主機(jī)發(fā)起攻擊，確保整體運(yùn)維結(jié)構(gòu)的安全。

本運(yùn)維可廣泛應(yīng)用于政府、軍隊(duì)軍工、企事業(yè)單位及其他對(duì)關(guān)鍵應(yīng)用、服務(wù)器進(jìn)行安全運(yùn)維的場(chǎng)景，實(shí)現(xiàn)外部人員及內(nèi)部人員對(duì)關(guān)鍵設(shè)施運(yùn)維全過程的可視、可控、可管。