0 引言

隨著電力企業(yè)信息化建設的不斷推進,桌面終端作為各類業(yè)務應用的基礎硬件支撐平臺,其運行安全和維護效率變得越來越重要。國網遼寧省電力有限公司為提高信息網桌面終端的安全管理水平,對各單位桌面終端的安全管理提出了具體考核要求,考核數(shù)據(jù)從桌面終端標準化管理系統(tǒng)等各類統(tǒng)一推廣的終端管控系統(tǒng)中抽取^[1]。由于各類桌面終端管控系統(tǒng)相互獨立,地市等基層單位的指標監(jiān)測人員需要長時間盯著顯示器屏幕,逐個登錄相關系統(tǒng)控制臺查看各項考核指標是否正常。由于指標較多,人工監(jiān)測一次需要1 h左右的時間,每天需要定時開展多次監(jiān)測工作,耗費了大量的人力。另外受監(jiān)測人員精神狀態(tài)和責任心的影響,指標監(jiān)測的準確度也不高,經常發(fā)生由于人工監(jiān)測不及時導致的異常終端沒有得到及時處理的情況,終端安全管理水平不高。

為解決上述問題,通過研究與實踐,借鑒互聯(lián)網思維^[2],基于Web數(shù)據(jù)采集^[3]和網絡爬蟲技術^[4]研發(fā)了一套桌面終端安全管理指標集中監(jiān)測工具,實現(xiàn)了指標的集中展現(xiàn)和全時段自動監(jiān)測,有效解決了指標人工監(jiān)測費時費力和準確率低的問題,提高了桌面終端的安全管控水平。

 1 桌面終端安全管理指標集中監(jiān)測工具設計方案

桌面終端安全管理指標集中監(jiān)測工具由硬件和軟件兩部分構成,其中硬件主要包括服務器、短信貓池和手機終端,軟件包括運行于服務器上的功能軟件和數(shù)據(jù)庫。桌面終端安全管理指標集中監(jiān)測工具系統(tǒng)結構如圖1所示。

圖1 桌面終端安全管理指標集中監(jiān)測工具系統(tǒng)結構Fig.1 System structure diagram of desktop terminal security management index centralized monitoring tool

桌面終端安全管理指標集中監(jiān)測工具采用多線程多任務并發(fā)技術^[5],利用Web數(shù)據(jù)采集腳本來抓取桌面終端標準化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網規(guī)范管理系統(tǒng)等終端安全管控系統(tǒng)的Web前臺網頁數(shù)據(jù),依據(jù)預定義的公式對數(shù)據(jù)進行統(tǒng)計、分析和計算后,將終端注冊率、防病毒軟件安裝率和準入客戶端安裝率等10余項運行指標集中展現(xiàn)在一個用戶界面中。用戶界面集中展示的指標數(shù)據(jù)按照預設的時間間隔自動刷新,當指標數(shù)據(jù)不符合設定的標準值時,監(jiān)測工具以手機短信^[6]或郵件的形式進行告警,提醒指標管理人員及時處理。

 2 桌面終端安全管理指標集中監(jiān)測工具技術原理及特點

2.1 桌面終端安全管理指標集中監(jiān)測工具模型技術原理

桌面終端安全管理指標集中監(jiān)測工具由Web前端數(shù)據(jù)源^[7]、多任務驅動引擎^[8]和自動化運維^[9]3個部分構成。桌面終端安全管理指標集中監(jiān)測工具模型如圖2所示。

圖2 桌面終端安全管理指標集中監(jiān)測工具模型Fig.2 Desktop terminal security management index centralized monitoring tool model

2.1.1 Web前端數(shù)據(jù)源

以桌面終端標準化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網規(guī)范管理系統(tǒng)Web控制臺的前臺網頁顯示數(shù)據(jù),作為桌面終端安全管理指標集中監(jiān)測工具集中展示、邏輯運算和分析的數(shù)據(jù)源,數(shù)據(jù)信息存在于用戶通過瀏覽器瀏覽的網頁中,有別于傳統(tǒng)的MSSQL、MySQL、Oracle等數(shù)據(jù)庫型數(shù)據(jù)源。

1）桌面終端標準化管理系統(tǒng)Web控制臺網頁中需要抓取的數(shù)據(jù)包括應注冊數(shù)、已注冊數(shù)、注冊率、防病毒軟件安裝率、終端IP地址、終端MAC地址、終端用戶注冊信息、客戶端版本、防病毒軟件類型、防病毒軟件版本和無效設備數(shù)等關鍵信息。

2）360天擎防病毒系統(tǒng)Web控制臺網頁中需要抓取的數(shù)據(jù)包括防病毒客戶端已安裝數(shù)、未安裝數(shù)、病毒庫日期、客戶端版本、終端IP地址、終端MAC地址、終端用戶注冊信息和感染病毒數(shù)等關鍵信息。

3）防違規(guī)外聯(lián)系統(tǒng)Web控制臺網頁中需要抓取的數(shù)據(jù)包括防違規(guī)外聯(lián)軟件安裝數(shù)、軟件版本和終端IP地址等關鍵信息。

4）入網規(guī)范管理系統(tǒng)Web控制臺網頁中需要抓取的數(shù)據(jù)包括準入客戶端安裝數(shù)和終端IP地址等關鍵信息。

2.1.2 多任務驅動引擎

多任務驅動引擎是桌面終端安全管理指標集中監(jiān)測工具的核心部分,采用多線程并發(fā)技術驅動多個任務同時獨立運行。多任務驅動引擎由Web數(shù)據(jù)采集（爬蟲）、數(shù)據(jù)分析、數(shù)據(jù)存儲和應用網關4個相互作用的功能模塊構成。

1）Web數(shù)據(jù)采集（爬蟲）模塊負責篩選、采集網頁上顯示的各類關鍵數(shù)據(jù),由基于網絡爬蟲技術和Web數(shù)據(jù)采集技術的各類功能腳本組成,主要使用Python^[10]、TC等工具開發(fā)。Web數(shù)據(jù)采集（爬蟲）模塊的核心功能是網頁信息提取^[11],通過分析網頁的源代碼（HTML）,查找網頁元素標識的特征值,采用自動識別關鍵詞技術,利用HTTP協(xié)議編程獲取想要的數(shù)據(jù)。網頁元素的特征值主要有frame（框架）、id（唯一標識）、tag（標簽）、type（類型）、txt（文本）、value（特征）、index（索引）和name（名字）等。擁有這些特征值的網頁元素可以通過腳本編程來自動獲取元素文本信息。

Web數(shù)據(jù)采集（爬蟲）模塊主要由網頁登錄、網頁表單交互、網頁數(shù)據(jù)抓取和網頁異常處置4個部分組成。其中網頁登錄模塊負責通過HTTP插件或HTTP協(xié)議的POST方式^[12] 完成用戶權限驗證,模擬瀏覽者登錄Web控制臺頁面時輸入用戶名、密碼和驗證碼并點擊登錄按鈕的過程,實現(xiàn)各類終端管控系統(tǒng)Web控制臺的后臺自動登錄。網頁表單交互模塊通過模擬瀏覽者的手動操作來實現(xiàn)網頁交互的后臺自動操作,一般使用HTTP插件模擬瀏覽者將需要輸入的數(shù)據(jù)傳送到服務器端,服務器端程序處理表單傳過來的數(shù)據(jù)后將需要的結果反饋給交互模塊,主要應用在數(shù)據(jù)查詢頁面。網頁數(shù)據(jù)抓取模塊負責將想要的目標數(shù)據(jù)從網頁中篩選并提取出來,該模塊利用功能腳本模擬瀏覽者的手動操作過程,自動訪問預定義的URL網頁,分析HTML源代碼,利用預先確定的網頁元素特征值來獲取目標數(shù)據(jù)。網頁異常處置模塊負責處理網頁登錄、網頁表單交互和網頁數(shù)據(jù)抓取過程中出現(xiàn)的網頁加載失敗、網頁加載不完整、網頁彈窗和網頁異常報錯提示框等異常情況的處置,避免網頁異常對數(shù)據(jù)采集過程的影響。

2）數(shù)據(jù)分析模塊依據(jù)預定義的指標計算公式,以Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)為數(shù)據(jù)源進行計算,得出各個預定時間節(jié)點的弱口令數(shù)、終端注冊率、防病毒軟件安裝率和敏感信息執(zhí)行率等桌面終端安全管理指標具體數(shù)據(jù)值。

3）數(shù)據(jù)存儲模塊用于將Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)、數(shù)據(jù)分析模塊計算的指標結果、監(jiān)測工具本身的運行日志和預定義的URL等配置參數(shù)存儲到MSSQL或MySQL等關系型數(shù)據(jù)庫中,便于今后各類報告需求的統(tǒng)計分析和事件回溯。

4）應用網關模塊負責完成監(jiān)測工具與指標管理人員的交互,包括數(shù)據(jù)展現(xiàn)、短信告警、郵件告警和分析報告4項應用。其中,數(shù)據(jù)展現(xiàn)應用將指標管理人員關心的、由Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)和數(shù)據(jù)分析模塊計算得到的指標數(shù)值集中展現(xiàn)在指標集中展示窗口中,使得管理人員能夠隨時掌握桌面終端安全管理的各項指標現(xiàn)狀。短信告警應用負責在桌面終端安全管理的各項指標出現(xiàn)異常或者桌面終端安全管理指標集中監(jiān)測工具運行異常時,以手機短信的形式通知指標管理人員,便于指標管理人員能夠及時處理故障,短信告警應用基于短信平臺的URL接口進行開發(fā)。郵件告警應用作為短信告警的備用方式,將異常情況以郵件的形式發(fā)送到指標管理人員指定的郵箱當中,郵件告警應用基于標準的SMTP和POP3協(xié)議進行開發(fā)^[13]。分析報告應用負責按照日、月度、季度和年度時間跨度統(tǒng)計分析桌面終端安全管理指標情況和桌面終端安全管理指標集中監(jiān)測工具的運行情況,自動生成Word文檔并以郵件的形式發(fā)送給指標管理人員。

2.1.3 自動化運維

自動化運維功能負責守護服務器上部署的功能軟件持續(xù)穩(wěn)定運行,具備一定范圍的自動維護功能,包括進程守護、數(shù)據(jù)備份和自動巡檢等功能模塊。

1）進程守護模塊^[14] ：負責按照預定的守護規(guī)則監(jiān)控桌面終端安全管理指標集中監(jiān)測工具自身進程的運行情況,一旦發(fā)現(xiàn)監(jiān)測工具不可用就立即按照預定策略重新啟動監(jiān)測工具,當重新啟動監(jiān)測工具連續(xù)失敗3次后將重新啟動部署監(jiān)測工具的服務器。

2）數(shù)據(jù)備份模塊：負責按照預定規(guī)則定時自動備份數(shù)據(jù)^[15] 。

3）自動巡檢模塊^[16]：負責按照預定巡檢策略定時給管理人員發(fā)送巡視短信,便于管理人員能夠及時掌握指標集中監(jiān)測工具和短信網關是否處于正常運行狀態(tài)。

2.2 桌面終端安全管理指標集中監(jiān)測工具的特點

1）指標展現(xiàn)集中化。將桌面終端標準化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網規(guī)范管理系統(tǒng)等多套系統(tǒng)中的終端安全管理指標數(shù)據(jù)進行比較、整合和分析,集中展現(xiàn)在統(tǒng)一的用戶窗口中進行監(jiān)測,為指標管理人員提供了“一站式”的指標監(jiān)測模式。

2）指標監(jiān)測自動化。使用應用程序代替人工手動操作來完成桌面終端安全管理各項指標的監(jiān)測工作,當指標異常時自動以手機短信的方式通知指標管理人員,實現(xiàn)了從