0 引言

國網天津市電力公司（以下簡稱天津電力）現有信息系統的審計體系主要以綜合審計系統、運維審計系統、統一權限平臺為核心,并整合各業務應用、業務與數據庫審計模塊、桌面終端管理模塊、I6000、網絡基礎設施日志、數據庫審計日志,共同實現信息系統的安全管理。隨著天津電力業務系統越來越多,設備規模越來越大,日常運維及安全監控工作的難度也愈來愈大。2016年在國家“十三五”信息安全技術提升要求下,天津電力積極推進信息系統行為安全審計建設,并順利完成系統的部署和實施工
作^[1-2]。天津電力行為安全審計系統主要通過用戶行為追蹤、運維審計、應用日志采集和行為審計中心這四大功能模塊,實現對信息系統用戶行為的全生命周期管理,為安全審計提供統一的平臺支撐。

 1 天津電力運維審計管理現狀

自2012年以來,天津電力網絡與信息系統的安全審計能力,主要通過將綜合審計系統、運維審計系統、統一權限平臺、各業務日志數據等整合后共同實現。雖然現有的安全審計模塊能夠滿足基本的安全需求,但由于各應用建設時間較久、建設內容較分散,導致出現各業務應用間各自為陣、審計數據分散、標準不統一、缺乏統一平臺支撐等問題,難以滿足國家電網公司對用戶行為“全過程記錄、事前防范、事中控制、事后溯源”、審計“可控、可視、可分析、可追溯”的安全審計新要求^[3]。天津電力現有信息系統的安全審計體系主要存在以下幾方面的問題。

1）運維賬號權限不明確。運維賬號行為無監管,針對主機、數據庫、中間件、網絡設備和安全設備等的操作無法做到行為審計,審計主體和審計客體無法實現關聯。運維賬號權限無限制、無告警,日常運維操作權限過大,出現問題無法短時間定位、恢復^[4]。

2）賬號保密管理不嚴格。部分業務應用對其運維管理員賬號的管理松散,賬號管理未明確責任人,存在管理員賬號盜用、借用、濫用的情況,一旦出現安全問題,無法溯源及定位責任人^[5]。

3）安全審計能力不完善。各業務系統及安全系統的用戶行為日志格式不統一,難以實現集中分析與管理。日志采集信息過于單一,無法進行公司級的安全審計,不便于公司整體安全態勢分析和安全策略調整。業務應用操作日志可被刪除、篡改,容易形成行為追蹤斷點^[6]。

 2 天津電力行為安全審計系統建設

2016年,天津電力行為安全審計一期項目完成了4個主要功能模塊的建設和實施工作,重點開展了系統藍圖設計和相關系統數據及接口的配置調試工作,并以已有安全審計系統中的數據為資源,整理了設備及運維人員數據10萬多條,完成了行為安全審計系統的實施及對現有安全審計系統功能的整合工作。

行為安全審計系統是在成熟高效的技術基礎上,以日常信息操作中實際的安全訴求為導向建設的一個對用戶行為追蹤、對賬號密碼集中管理、對運維人員運維權限管理、對安全審計功能標準化的統一的安全審計平臺。系統的上線增強了安全審計數據的采集及分析能力,增強了公司信息系統的主動防護能力,并最終實現了公司級的統一安全審計平臺^[7]。

 3 行為安全審計系統架構及其功能模塊

3.1 系統架構

行為安全審計系統包含用戶行為追蹤模塊、運維安全審計模塊、應用日志采集模塊和行為審計中心模塊這四大功能模塊,共同構成了行為安全審計系統的總體架構（見圖1）。

圖1 行為安全審計系統架構Fig.1 The general architecture of behavior security audit system

通過在客戶端安裝日志采集模塊,記錄收集用戶訪問各類信息資產（基礎硬件、服務器、數據庫、業務系統等）的操作日志,并將日志數據匯集到行為審計中心模塊進行存儲。用戶行為追蹤模塊從行為審計中心模塊讀取數據,并通過內置搜索引擎進行用戶行為信息檢索和分析,從而實現用戶行為全周期審計。通過在防火墻配置策略阻止客戶端直接訪問服務器,并開通運維審計堡壘機訪問業務系統服務器的遠程管理訪問權限,實現對用戶行為的全周期管控^[8]。

3.2 系統功能模塊

3.2.1 用戶行為追蹤模塊

用戶行為追蹤模塊,以統一權限平臺賬號權限數據和行為審計中心模塊為基礎,支持用戶權限訪問控制、權限管理以及對用戶行為記錄的查詢^[9]。用戶行為追蹤模塊通過數據庫MongoDB,滿足對長久大量增長的審計日志（包括對業務應用日志、運維日志、終端日志、設備日志等）的持久化存儲和快速查詢的需求,并基于分布式存儲架構通過動態擴展存儲節點,滿足海量數據遞增帶來的存儲需求。同時為了提高用戶行為追蹤模塊的快速響應性能,整合MapReduce和Storm,并對MongoDB中大規模日志數據的離線和實時分析處理,從而實現對可疑用戶使用信息系統的行為進行快速追蹤,以追蹤到“何時、何人、何地、做何操作”,為后續的泄密、違規事件取證做支撐。

3.2.2 運維安全審計模塊

運維安全審計模塊主要通過設置一臺堡壘機,使用戶通過堡壘機跳轉遠程訪問服務器。達到對運維人員登錄系統賬號的實名制統一授權管理、對資源賬號密碼的集中管理和對運維人員登錄資源進行運維操作的統一管控、統一審計的目標。

1）模塊架構。運維安全審計模塊總體架構分為6個層面：展現層、業務邏輯層、服務交互層、持久化層、虛擬化層、外部系統接口層（見圖2）。①用戶通過展現層訪問系統、維護系統。②業務邏輯層是核心功能模塊,實現自然人與賬號的關聯、用戶身份認證、賬號權限管理、違規操作告警、用戶行為審計等功能。它通過服務交互層實現全設備管控,并將數據通過展現層向用戶展示。③服務交互層通過2種不同的接口類型實現對異構的資源進行管理。④持久化層采用LDAP、PostgreSQL數據庫實現對資源信息的存儲整理。⑤外部系統接口層幫助展現層和服務交互層實現與統一權限系統賬號口令功能以及與I6000系統設備信息的集成。

圖 2. 運維安全審計模塊架構Fig.2 The architecture of operation audit module

2）應用虛擬化。為了保證運維的實時安全可控,在運維安全審計模塊中使用了應用虛擬化技術,從而實現運維安全審計模塊在服務端發布各應用程序,用戶本地無需安裝運維插件,只需通過身份認證確認有權限調用遠程發布服務器應用,并通過模擬代填登入目標資源,過程中無需用戶輸入資源賬號密碼^[10]。在行為安全審計系統設計建設過程中,通過對比PCoIP和遠程桌面協議（Remote Desktop Protocol,RDP）協議,發現獨立計算架構（Independent Computing Architecture,ICA）協議更能滿足電力系統中多操作系統類型、多設備類型的需求,且穩定性更好。此外ICA協議也是一種高效率的數據交換協議,采用數據壓縮、加密和連接優化技術,結合數據存儲采用3DES加密算法,防止人為因素帶來的密碼泄露或破壞,有效地保證運維信息安全。

3.2.3 應用日志采集模塊

應用日志采集模塊用于記錄用戶訪問各類信息資產（如基礎軟硬件、服務器、數據庫、業務系統）的行為日志數據^[11]。通過Agent采集數據,并通過Flume分布式日志采集系統進行存儲整理。應用日志采集模塊架構如圖3所示。

圖3 應用日志采集模塊架構Fig.3 The architecture of application log collection module

1）數據采集方式。通過在用戶客戶端、外網業務應用、內網業務系統、桌面云終端等部署統一采集Agent,能適配各類日志來源和日志模型。對于用戶客戶端,通過采集內網用戶終端上的圖形化程序、文本程序、瀏覽器等操作內容,進行用戶行為日志采集。對于外網業務應用,通過在外網應用網絡節點部署旁路流量復制采集功能,進行日志采集。將應用日志采集模塊以守護進程運行,實現用戶行為日志采集的同時,能做到對業務系統運行性能幾乎無影響,最終將所有采集日志數據匯集到行為審計中心
模塊。

2）Flume分布式日志采集系統。應用日志采集模塊采用Flume分布式日志采集系統,利用Flume支持各種接入資源數據的類型的優勢從各種設備、終端中采集日志,并將其集中起來存儲到分布式文件系統（Hadoop Distributed File System,HDFS）中^[12]。模塊中將Flume和Zookeeper整合以確保傳輸的負載均衡,將Flume和Krafa整合,將Flume集群收集到的數據輸送到Kafka中間件,以供用戶行為追蹤模塊中的Storm去進行實時計算,然后將處理后的數據寫入HDFS,并利用MapReduce進行離線分析處理。Flume的信息緩存機制也能夠避免單點失效,從而保證了日志采集的可靠性。

3.2.4 行為審計中心模塊

行為審計中心模塊采用集中管理、兩級應用模式,國網總部行為審計中心管理模塊可對全網關鍵日志數據進行集中管理,天津電力行為審計中心模塊只對本企業的所有日志數據進行集中管理。通過整合公司現有相關信息系統審計應用,實現各系統異源日志的全面收集、海量存儲、分析源供應,并將整理后的數據提供給用戶行為追蹤模塊進行數據分析使用^[13]。天津電力通過統一的數據交換平臺來實現與總部的數據縱向貫通。數據交換平臺實現了兩端可配置的數據封裝和解析功能,通過統一的數據交換標準、統一接入服務,實現了多種可配置的交換格式和數據格式^[