導(dǎo)語：運(yùn)維安全審計(jì)在電網(wǎng)企業(yè)的應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著IT系統(tǒng)不斷成熟及廣泛的應(yīng)用，給電網(wǎng)企業(yè)中的工作帶來規(guī)范、便捷、高效的辦公流程和業(yè)務(wù)模式之余，安全問題也隨之而來，預(yù)防難、控制難、追溯難等問題威脅著電網(wǎng)企業(yè)信息中心的安全。因此，為了預(yù)防、控制、追溯這些不安全因素，運(yùn)維安全審計(jì)的建設(shè)在電網(wǎng)企業(yè)中提上了日程。

關(guān)鍵詞：安全審計(jì)；應(yīng)用；建設(shè)

一、概述

運(yùn)維安全審計(jì)是為企業(yè)各類應(yīng)用提供統(tǒng)一的賬號管理平臺，同時(shí)建立包含賬號創(chuàng)建、變更、刪除等整個(gè)生命周期在內(nèi)的管理制度和技術(shù)手段，以改變目前各應(yīng)用系統(tǒng)自行管理賬號、政出多門的情況,，以及能夠跟蹤行為人的操作記錄并以日志和視頻方式記錄。

二、系統(tǒng)特征

（一）技術(shù)路線。運(yùn)維安全審計(jì)采用了MVC分層設(shè)計(jì)及SOA的設(shè)計(jì)思想，使用web程序與組件結(jié)合發(fā)方式，web程序在框架設(shè)計(jì)上采用SSH框架結(jié)構(gòu)，并在此基礎(chǔ)上使用了ICA、UDP等協(xié)議作為層間交互。為了系統(tǒng)的靈活部署和特定功能實(shí)現(xiàn)，軟堡壘機(jī)、密碼代填等組件的技術(shù)選型使用了C++開發(fā)語言。（二）體系結(jié)構(gòu)。運(yùn)維安全審計(jì)從物理部署上采用三層架構(gòu)，客戶端辦公域、虛擬化資源池及實(shí)際機(jī)房，其中虛擬化資源池承載著應(yīng)用服務(wù)器、citrix服務(wù)器及審計(jì)組件。（三）技術(shù)難點(diǎn)。運(yùn)維安全審計(jì)除物理機(jī)其他服務(wù)器均為虛擬機(jī)，因此在Hypervisor核心虛擬化技術(shù)上存在一定難點(diǎn)。如：I/O指令或其他特權(quán)指令引發(fā)的處理器異常、虛擬化應(yīng)用中斷等。

三、技術(shù)架構(gòu)

（一）總體架構(gòu)。運(yùn)維安全審計(jì)總體架構(gòu)包括用戶的賬號管理、認(rèn)證管理、授權(quán)管理和審計(jì)管理?？傮w框架分為6個(gè)層面，展現(xiàn)層、業(yè)務(wù)邏輯層、服務(wù)交互層、持久化層、虛擬化層、外部系統(tǒng)接口層。展現(xiàn)層是提供給管理員維護(hù)系統(tǒng)、進(jìn)行數(shù)據(jù)展現(xiàn)和分析的管理展現(xiàn)門戶；為系統(tǒng)管理員提供不同權(quán)限的維護(hù)、管理、查詢等功能；便于對系統(tǒng)各內(nèi)部模塊進(jìn)行管理維護(hù)、運(yùn)行監(jiān)控；集中展現(xiàn)系統(tǒng)中賬號管理、認(rèn)證管理、授權(quán)管理、審計(jì)查詢報(bào)表等業(yè)務(wù)操作。（二）系統(tǒng)軟件平臺。運(yùn)維安全審計(jì)在技術(shù)實(shí)現(xiàn)上主要由應(yīng)用層、業(yè)務(wù)層、服務(wù)層、數(shù)據(jù)層四層組成。應(yīng)用層負(fù)責(zé)系統(tǒng)上層管理界面的展現(xiàn)；其中portal、admincenter、iamreport、bsb、plan、squirrel模塊分別負(fù)責(zé)前臺管理、后臺管理、報(bào)表管理、消息服務(wù)總線、計(jì)劃管理、審計(jì)管理；業(yè)務(wù)層主要承載系統(tǒng)的單點(diǎn)登錄、從賬號雙向同步等關(guān)鍵業(yè)務(wù)的實(shí)現(xiàn)；服務(wù)層負(fù)責(zé)系統(tǒng)及網(wǎng)絡(luò)日志的采集、通過hibernate或SQL對業(yè)務(wù)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化以及內(nèi)外部接口的實(shí)現(xiàn)等；數(shù)據(jù)層承載整個(gè)系統(tǒng)數(shù)據(jù)持久化。運(yùn)維安全審計(jì)遵循SAML協(xié)議等國際成熟技術(shù)為基礎(chǔ)，底層數(shù)據(jù)庫采用LDAP目錄服務(wù)器及傳統(tǒng)RDB型數(shù)據(jù)存儲，LDAP目錄服務(wù)器符合目錄X.500標(biāo)準(zhǔn)，優(yōu)勢在易于系統(tǒng)間的整合，有效保證資源類產(chǎn)品與外界業(yè)務(wù)間的共享和整合，發(fā)揮了目錄存儲的查詢效率，提升平臺性能。在運(yùn)維安全審計(jì)中PostgreSQL數(shù)據(jù)庫主要用于存儲系統(tǒng)管理類、日志類數(shù)據(jù)，并針對業(yè)務(wù)場景與其他外部業(yè)務(wù)系統(tǒng)共享和整合。（三）網(wǎng)絡(luò)環(huán)境。運(yùn)維安全審計(jì)運(yùn)行在信息內(nèi)網(wǎng)中，來自外部的安全威脅需借助公司統(tǒng)一的安全防護(hù)體系和措施。在系統(tǒng)邊界部署防火墻、IPS等安全檢測和防護(hù)裝置，避免系統(tǒng)間的安全事件擴(kuò)散，隔離來自接入系統(tǒng)的安全攻擊和高風(fēng)險(xiǎn)行為。

四、技術(shù)特點(diǎn)

有別于業(yè)界對應(yīng)用資源管理和系統(tǒng)資源管理基于不同管理系統(tǒng)的分散式管理機(jī)制，運(yùn)維安全審計(jì)實(shí)現(xiàn)了全I(xiàn)T資源的一體化集中管理和控制，全面覆蓋各種類型的IT資源：（1）應(yīng)用類資源：實(shí)現(xiàn)了應(yīng)用類資源的統(tǒng)一用戶管理、授權(quán)管理、集中認(rèn)證和日志審計(jì)管理；（2）系統(tǒng)類資源：實(shí)現(xiàn)了主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等系統(tǒng)資源的集中賬號管理、授權(quán)管理、統(tǒng)一接入和單點(diǎn)登錄、日志審計(jì)。（3）提供用戶——角色——菜單權(quán)限的細(xì)粒度授權(quán)管理機(jī)制，支持對角色的權(quán)限進(jìn)行查詢、創(chuàng)建、修改、刪除，實(shí)現(xiàn)了將菜單權(quán)限賦予角色的管理功能。（4）集中認(rèn)證的目的是實(shí)現(xiàn)用戶訪問IT資源的登錄入口集中化和統(tǒng)一化，并實(shí)現(xiàn)高強(qiáng)度的認(rèn)證，使整個(gè)IT系統(tǒng)的登錄和認(rèn)證行為可控和可管。（5）運(yùn)維安全審計(jì)通過與應(yīng)用虛擬化技術(shù)結(jié)合，實(shí)現(xiàn)了C/S類客戶端的集中運(yùn)行和虛擬化，實(shí)現(xiàn)了系統(tǒng)資源訪問的集中接入。（6）通過與虛擬化技術(shù)的結(jié)合，進(jìn)一步提升了系統(tǒng)資源訪問的易用性和安全性。（7）維護(hù)終端無需再安裝訪問系統(tǒng)資源的客戶端軟件。（8）所有客戶端都在數(shù)據(jù)中心的服務(wù)器上運(yùn)行，確保了維護(hù)操作的安全性。

五、應(yīng)用案例

（1）某個(gè)服務(wù)器部署了多個(gè)應(yīng)用系統(tǒng)，繳費(fèi)系統(tǒng)廠商人員在檢修時(shí)通過運(yùn)維安全審計(jì)登陸檢修服務(wù)器，偷偷在服務(wù)器上安裝偷電的插件程序，給電網(wǎng)企業(yè)造成了重大的經(jīng)濟(jì)損失。由于檢修人員使用運(yùn)維安全審計(jì)系統(tǒng)進(jìn)行檢修，有證可查，責(zé)任認(rèn)定明確，造成的損失由廠商承擔(dān)，并計(jì)入不良信用記錄。（2）各廠商在申請linux服務(wù)器時(shí)往往需要root賬號及密碼，按照傳統(tǒng)的方式，主機(jī)需要給每個(gè)申請人及服務(wù)器root密碼，由于root具有最高權(quán)限，密碼長時(shí)間掌握在申請人手里具有很大的風(fēng)險(xiǎn)。而運(yùn)維安全審計(jì)可以將密碼收回，集中在服務(wù)器管理員手中，申請人不再掌握root密碼，這樣更加有利于服務(wù)器的安全。

六、結(jié)束語

信息安全不僅涉及到企業(yè)的經(jīng)濟(jì)利益，更涉及國家安危。因此，我們應(yīng)加大力度，開發(fā)符合規(guī)范的運(yùn)維安全審計(jì)系統(tǒng)，對于國家各項(xiàng)政策的落實(shí)，企業(yè)經(jīng)濟(jì)利益的保證，防范信息安全事故的發(fā)生，追究信息安全責(zé)任，具有重要的意義，具有良好的社會經(jīng)濟(jì)利益。

參考文獻(xiàn)

[1]郭翔飛.論運(yùn)維管理之安全審計(jì)[C].福建省煙草公司南平市公司信息中心,2015.

[2]楊曉雪.高校運(yùn)維安全審計(jì)系統(tǒng)建設(shè)及應(yīng)用[J].上海財(cái)經(jīng)大學(xué)信息化辦公室,2015,18(5):93-95.

[3]袁慧萍，董貞良.銀行數(shù)據(jù)中心運(yùn)維安全審計(jì)實(shí)踐探析[C].中國人民銀行金融信息中心,2016.

作者:胡非 劉為 王丹妮 李沖 單位:國網(wǎng)遼寧省電力有限公司信息通信分公司