0 引言

隨著電力企業信息化建設的不斷推進,桌面終端作為各類業務應用的基礎硬件支撐平臺,其運行安全和維護效率變得越來越重要。國網遼寧省電力有限公司為提高信息網桌面終端的安全管理水平,對各單位桌面終端的安全管理提出了具體考核要求,考核數據從桌面終端標準化管理系統等各類統一推廣的終端管控系統中抽取^[1]。由于各類桌面終端管控系統相互獨立,地市等基層單位的指標監測人員需要長時間盯著顯示器屏幕,逐個登錄相關系統控制臺查看各項考核指標是否正常。由于指標較多,人工監測一次需要1 h左右的時間,每天需要定時開展多次監測工作,耗費了大量的人力。另外受監測人員精神狀態和責任心的影響,指標監測的準確度也不高,經常發生由于人工監測不及時導致的異常終端沒有得到及時處理的情況,終端安全管理水平不高。

為解決上述問題,通過研究與實踐,借鑒互聯網思維^[2],基于Web數據采集^[3]和網絡爬蟲技術^[4]研發了一套桌面終端安全管理指標集中監測工具,實現了指標的集中展現和全時段自動監測,有效解決了指標人工監測費時費力和準確率低的問題,提高了桌面終端的安全管控水平。

 1 桌面終端安全管理指標集中監測工具設計方案

桌面終端安全管理指標集中監測工具由硬件和軟件兩部分構成,其中硬件主要包括服務器、短信貓池和手機終端,軟件包括運行于服務器上的功能軟件和數據庫。桌面終端安全管理指標集中監測工具系統結構如圖1所示。

圖1 桌面終端安全管理指標集中監測工具系統結構Fig.1 System structure diagram of desktop terminal security management index centralized monitoring tool

桌面終端安全管理指標集中監測工具采用多線程多任務并發技術^[5],利用Web數據采集腳本來抓取桌面終端標準化管理系統、360天擎防病毒系統、防違規外聯系統和入網規范管理系統等終端安全管控系統的Web前臺網頁數據,依據預定義的公式對數據進行統計、分析和計算后,將終端注冊率、防病毒軟件安裝率和準入客戶端安裝率等10余項運行指標集中展現在一個用戶界面中。用戶界面集中展示的指標數據按照預設的時間間隔自動刷新,當指標數據不符合設定的標準值時,監測工具以手機短信^[6]或郵件的形式進行告警,提醒指標管理人員及時處理。

 2 桌面終端安全管理指標集中監測工具技術原理及特點

2.1 桌面終端安全管理指標集中監測工具模型技術原理

桌面終端安全管理指標集中監測工具由Web前端數據源^[7]、多任務驅動引擎^[8]和自動化運維^[9]3個部分構成。桌面終端安全管理指標集中監測工具模型如圖2所示。

圖2 桌面終端安全管理指標集中監測工具模型Fig.2 Desktop terminal security management index centralized monitoring tool model

2.1.1 Web前端數據源

以桌面終端標準化管理系統、360天擎防病毒系統、防違規外聯系統和入網規范管理系統Web控制臺的前臺網頁顯示數據,作為桌面終端安全管理指標集中監測工具集中展示、邏輯運算和分析的數據源,數據信息存在于用戶通過瀏覽器瀏覽的網頁中,有別于傳統的MSSQL、MySQL、Oracle等數據庫型數據源。

1）桌面終端標準化管理系統Web控制臺網頁中需要抓取的數據包括應注冊數、已注冊數、注冊率、防病毒軟件安裝率、終端IP地址、終端MAC地址、終端用戶注冊信息、客戶端版本、防病毒軟件類型、防病毒軟件版本和無效設備數等關鍵信息。

2）360天擎防病毒系統Web控制臺網頁中需要抓取的數據包括防病毒客戶端已安裝數、未安裝數、病毒庫日期、客戶端版本、終端IP地址、終端MAC地址、終端用戶注冊信息和感染病毒數等關鍵信息。

3）防違規外聯系統Web控制臺網頁中需要抓取的數據包括防違規外聯軟件安裝數、軟件版本和終端IP地址等關鍵信息。

4）入網規范管理系統Web控制臺網頁中需要抓取的數據包括準入客戶端安裝數和終端IP地址等關鍵信息。

2.1.2 多任務驅動引擎

多任務驅動引擎是桌面終端安全管理指標集中監測工具的核心部分,采用多線程并發技術驅動多個任務同時獨立運行。多任務驅動引擎由Web數據采集（爬蟲）、數據分析、數據存儲和應用網關4個相互作用的功能模塊構成。

1）Web數據采集（爬蟲）模塊負責篩選、采集網頁上顯示的各類關鍵數據,由基于網絡爬蟲技術和Web數據采集技術的各類功能腳本組成,主要使用Python^[10]、TC等工具開發。Web數據采集（爬蟲）模塊的核心功能是網頁信息提取^[11],通過分析網頁的源代碼（HTML）,查找網頁元素標識的特征值,采用自動識別關鍵詞技術,利用HTTP協議編程獲取想要的數據。網頁元素的特征值主要有frame（框架）、id（唯一標識）、tag（標簽）、type（類型）、txt（文本）、value（特征）、index（索引）和name（名字）等。擁有這些特征值的網頁元素可以通過腳本編程來自動獲取元素文本信息。

Web數據采集（爬蟲）模塊主要由網頁登錄、網頁表單交互、網頁數據抓取和網頁異常處置4個部分組成。其中網頁登錄模塊負責通過HTTP插件或HTTP協議的POST方式^[12] 完成用戶權限驗證,模擬瀏覽者登錄Web控制臺頁面時輸入用戶名、密碼和驗證碼并點擊登錄按鈕的過程,實現各類終端管控系統Web控制臺的后臺自動登錄。網頁表單交互模塊通過模擬瀏覽者的手動操作來實現網頁交互的后臺自動操作,一般使用HTTP插件模擬瀏覽者將需要輸入的數據傳送到服務器端,服務器端程序處理表單傳過來的數據后將需要的結果反饋給交互模塊,主要應用在數據查詢頁面。網頁數據抓取模塊負責將想要的目標數據從網頁中篩選并提取出來,該模塊利用功能腳本模擬瀏覽者的手動操作過程,自動訪問預定義的URL網頁,分析HTML源代碼,利用預先確定的網頁元素特征值來獲取目標數據。網頁異常處置模塊負責處理網頁登錄、網頁表單交互和網頁數據抓取過程中出現的網頁加載失敗、網頁加載不完整、網頁彈窗和網頁異常報錯提示框等異常情況的處置,避免網頁異常對數據采集過程的影響。

2）數據分析模塊依據預定義的指標計算公式,以Web數據采集（爬蟲）模塊采集的數據為數據源進行計算,得出各個預定時間節點的弱口令數、終端注冊率、防病毒軟件安裝率和敏感信息執行率等桌面終端安全管理指標具體數據值。

3）數據存儲模塊用于將Web數據采集（爬蟲）模塊采集的數據、數據分析模塊計算的指標結果、監測工具本身的運行日志和預定義的URL等配置參數存儲到MSSQL或MySQL等關系型數據庫中,便于今后各類報告需求的統計分析和事件回溯。

4）應用網關模塊負責完成監測工具與指標管理人員的交互,包括數據展現、短信告警、郵件告警和分析報告4項應用。其中,數據展現應用將指標管理人員關心的、由Web數據采集（爬蟲）模塊采集的數據和數據分析模塊計算得到的指標數值集中展現在指標集中展示窗口中,使得管理人員能夠隨時掌握桌面終端安全管理的各項指標現狀。短信告警應用負責在桌面終端安全管理的各項指標出現異常或者桌面終端安全管理指標集中監測工具運行異常時,以手機短信的形式通知指標管理人員,便于指標管理人員能夠及時處理故障,短信告警應用基于短信平臺的URL接口進行開發。郵件告警應用作為短信告警的備用方式,將異常情況以郵件的形式發送到指標管理人員指定的郵箱當中,郵件告警應用基于標準的SMTP和POP3協議進行開發^[13]。分析報告應用負責按照日、月度、季度和年度時間跨度統計分析桌面終端安全管理指標情況和桌面終端安全管理指標集中監測工具的運行情況,自動生成Word文檔并以郵件的形式發送給指標管理人員。

2.1.3 自動化運維

自動化運維功能負責守護服務器上部署的功能軟件持續穩定運行,具備一定范圍的自動維護功能,包括進程守護、數據備份和自動巡檢等功能模塊。

1）進程守護模塊^[14] ：負責按照預定的守護規則監控桌面終端安全管理指標集中監測工具自身進程的運行情況,一旦發現監測工具不可用就立即按照預定策略重新啟動監測工具,當重新啟動監測工具連續失敗3次后將重新啟動部署監測工具的服務器。

2）數據備份模塊：負責按照預定規則定時自動備份數據^[15] 。

3）自動巡檢模塊^[16]：負責按照預定巡檢策略定時給管理人員發送巡視短信,便于管理人員能夠及時掌握指標集中監測工具和短信網關是否處于正常運行狀態。

2.2 桌面終端安全管理指標集中監測工具的特點

1）指標展現集中化。將桌面終端標準化管理系統、360天擎防病毒系統、防違規外聯系統和入網規范管理系統等多套系統中的終端安全管理指標數據進行比較、整合和分析,集中展現在統一的用戶窗口中進行監測,為指標管理人員提供了“一站式”的指標監測模式。

2）指標監測自動化。使用應用程序代替人工手動操作來完成桌面終端安全管理各項指標的監測工作,當指標異常時自動以手機短信的方式通知指標管理人員,實現了從