0 引言

國網(wǎng)天津市電力公司（以下簡稱天津電力）現(xiàn)有信息系統(tǒng)的審計體系主要以綜合審計系統(tǒng)、運維審計系統(tǒng)、統(tǒng)一權(quán)限平臺為核心,并整合各業(yè)務應用、業(yè)務與數(shù)據(jù)庫審計模塊、桌面終端管理模塊、I6000、網(wǎng)絡基礎設施日志、數(shù)據(jù)庫審計日志,共同實現(xiàn)信息系統(tǒng)的安全管理。隨著天津電力業(yè)務系統(tǒng)越來越多,設備規(guī)模越來越大,日常運維及安全監(jiān)控工作的難度也愈來愈大。2016年在國家“十三五”信息安全技術提升要求下,天津電力積極推進信息系統(tǒng)行為安全審計建設,并順利完成系統(tǒng)的部署和實施工
作^[1-2]。天津電力行為安全審計系統(tǒng)主要通過用戶行為追蹤、運維審計、應用日志采集和行為審計中心這四大功能模塊,實現(xiàn)對信息系統(tǒng)用戶行為的全生命周期管理,為安全審計提供統(tǒng)一的平臺支撐。

 1 天津電力運維審計管理現(xiàn)狀

自2012年以來,天津電力網(wǎng)絡與信息系統(tǒng)的安全審計能力,主要通過將綜合審計系統(tǒng)、運維審計系統(tǒng)、統(tǒng)一權(quán)限平臺、各業(yè)務日志數(shù)據(jù)等整合后共同實現(xiàn)。雖然現(xiàn)有的安全審計模塊能夠滿足基本的安全需求,但由于各應用建設時間較久、建設內(nèi)容較分散,導致出現(xiàn)各業(yè)務應用間各自為陣、審計數(shù)據(jù)分散、標準不統(tǒng)一、缺乏統(tǒng)一平臺支撐等問題,難以滿足國家電網(wǎng)公司對用戶行為“全過程記錄、事前防范、事中控制、事后溯源”、審計“可控、可視、可分析、可追溯”的安全審計新要求^[3]。天津電力現(xiàn)有信息系統(tǒng)的安全審計體系主要存在以下幾方面的問題。

1）運維賬號權(quán)限不明確。運維賬號行為無監(jiān)管,針對主機、數(shù)據(jù)庫、中間件、網(wǎng)絡設備和安全設備等的操作無法做到行為審計,審計主體和審計客體無法實現(xiàn)關聯(lián)。運維賬號權(quán)限無限制、無告警,日常運維操作權(quán)限過大,出現(xiàn)問題無法短時間定位、恢復^[4]。

2）賬號保密管理不嚴格。部分業(yè)務應用對其運維管理員賬號的管理松散,賬號管理未明確責任人,存在管理員賬號盜用、借用、濫用的情況,一旦出現(xiàn)安全問題,無法溯源及定位責任人^[5]。

3）安全審計能力不完善。各業(yè)務系統(tǒng)及安全系統(tǒng)的用戶行為日志格式不統(tǒng)一,難以實現(xiàn)集中分析與管理。日志采集信息過于單一,無法進行公司級的安全審計,不便于公司整體安全態(tài)勢分析和安全策略調(diào)整。業(yè)務應用操作日志可被刪除、篡改,容易形成行為追蹤斷點^[6]。

 2 天津電力行為安全審計系統(tǒng)建設

2016年,天津電力行為安全審計一期項目完成了4個主要功能模塊的建設和實施工作,重點開展了系統(tǒng)藍圖設計和相關系統(tǒng)數(shù)據(jù)及接口的配置調(diào)試工作,并以已有安全審計系統(tǒng)中的數(shù)據(jù)為資源,整理了設備及運維人員數(shù)據(jù)10萬多條,完成了行為安全審計系統(tǒng)的實施及對現(xiàn)有安全審計系統(tǒng)功能的整合工作。

行為安全審計系統(tǒng)是在成熟高效的技術基礎上,以日常信息操作中實際的安全訴求為導向建設的一個對用戶行為追蹤、對賬號密碼集中管理、對運維人員運維權(quán)限管理、對安全審計功能標準化的統(tǒng)一的安全審計平臺。系統(tǒng)的上線增強了安全審計數(shù)據(jù)的采集及分析能力,增強了公司信息系統(tǒng)的主動防護能力,并最終實現(xiàn)了公司級的統(tǒng)一安全審計平臺^[7]。

 3 行為安全審計系統(tǒng)架構(gòu)及其功能模塊

3.1 系統(tǒng)架構(gòu)

行為安全審計系統(tǒng)包含用戶行為追蹤模塊、運維安全審計模塊、應用日志采集模塊和行為審計中心模塊這四大功能模塊,共同構(gòu)成了行為安全審計系統(tǒng)的總體架構(gòu)（見圖1）。

圖1 行為安全審計系統(tǒng)架構(gòu)Fig.1 The general architecture of behavior security audit system

通過在客戶端安裝日志采集模塊,記錄收集用戶訪問各類信息資產(chǎn)（基礎硬件、服務器、數(shù)據(jù)庫、業(yè)務系統(tǒng)等）的操作日志,并將日志數(shù)據(jù)匯集到行為審計中心模塊進行存儲。用戶行為追蹤模塊從行為審計中心模塊讀取數(shù)據(jù),并通過內(nèi)置搜索引擎進行用戶行為信息檢索和分析,從而實現(xiàn)用戶行為全周期審計。通過在防火墻配置策略阻止客戶端直接訪問服務器,并開通運維審計堡壘機訪問業(yè)務系統(tǒng)服務器的遠程管理訪問權(quán)限,實現(xiàn)對用戶行為的全周期管控^[8]。

3.2 系統(tǒng)功能模塊

3.2.1 用戶行為追蹤模塊

用戶行為追蹤模塊,以統(tǒng)一權(quán)限平臺賬號權(quán)限數(shù)據(jù)和行為審計中心模塊為基礎,支持用戶權(quán)限訪問控制、權(quán)限管理以及對用戶行為記錄的查詢^[9]。用戶行為追蹤模塊通過數(shù)據(jù)庫MongoDB,滿足對長久大量增長的審計日志（包括對業(yè)務應用日志、運維日志、終端日志、設備日志等）的持久化存儲和快速查詢的需求,并基于分布式存儲架構(gòu)通過動態(tài)擴展存儲節(jié)點,滿足海量數(shù)據(jù)遞增帶來的存儲需求。同時為了提高用戶行為追蹤模塊的快速響應性能,整合MapReduce和Storm,并對MongoDB中大規(guī)模日志數(shù)據(jù)的離線和實時分析處理,從而實現(xiàn)對可疑用戶使用信息系統(tǒng)的行為進行快速追蹤,以追蹤到“何時、何人、何地、做何操作”,為后續(xù)的泄密、違規(guī)事件取證做支撐。

3.2.2 運維安全審計模塊

運維安全審計模塊主要通過設置一臺堡壘機,使用戶通過堡壘機跳轉(zhuǎn)遠程訪問服務器。達到對運維人員登錄系統(tǒng)賬號的實名制統(tǒng)一授權(quán)管理、對資源賬號密碼的集中管理和對運維人員登錄資源進行運維操作的統(tǒng)一管控、統(tǒng)一審計的目標。

1）模塊架構(gòu)。運維安全審計模塊總體架構(gòu)分為6個層面：展現(xiàn)層、業(yè)務邏輯層、服務交互層、持久化層、虛擬化層、外部系統(tǒng)接口層（見圖2）。①用戶通過展現(xiàn)層訪問系統(tǒng)、維護系統(tǒng)。②業(yè)務邏輯層是核心功能模塊,實現(xiàn)自然人與賬號的關聯(lián)、用戶身份認證、賬號權(quán)限管理、違規(guī)操作告警、用戶行為審計等功能。它通過服務交互層實現(xiàn)全設備管控,并將數(shù)據(jù)通過展現(xiàn)層向用戶展示。③服務交互層通過2種不同的接口類型實現(xiàn)對異構(gòu)的資源進行管理。④持久化層采用LDAP、PostgreSQL數(shù)據(jù)庫實現(xiàn)對資源信息的存儲整理。⑤外部系統(tǒng)接口層幫助展現(xiàn)層和服務交互層實現(xiàn)與統(tǒng)一權(quán)限系統(tǒng)賬號口令功能以及與I6000系統(tǒng)設備信息的集成。

圖 2. 運維安全審計模塊架構(gòu)Fig.2 The architecture of operation audit module

2）應用虛擬化。為了保證運維的實時安全可控,在運維安全審計模塊中使用了應用虛擬化技術,從而實現(xiàn)運維安全審計模塊在服務端發(fā)布各應用程序,用戶本地無需安裝運維插件,只需通過身份認證確認有權(quán)限調(diào)用遠程發(fā)布服務器應用,并通過模擬代填登入目標資源,過程中無需用戶輸入資源賬號密碼^[10]。在行為安全審計系統(tǒng)設計建設過程中,通過對比PCoIP和遠程桌面協(xié)議（Remote Desktop Protocol,RDP）協(xié)議,發(fā)現(xiàn)獨立計算架構(gòu)（Independent Computing Architecture,ICA）協(xié)議更能滿足電力系統(tǒng)中多操作系統(tǒng)類型、多設備類型的需求,且穩(wěn)定性更好。此外ICA協(xié)議也是一種高效率的數(shù)據(jù)交換協(xié)議,采用數(shù)據(jù)壓縮、加密和連接優(yōu)化技術,結(jié)合數(shù)據(jù)存儲采用3DES加密算法,防止人為因素帶來的密碼泄露或破壞,有效地保證運維信息安全。

3.2.3 應用日志采集模塊

應用日志采集模塊用于記錄用戶訪問各類信息資產(chǎn)（如基礎軟硬件、服務器、數(shù)據(jù)庫、業(yè)務系統(tǒng)）的行為日志數(shù)據(jù)^[11]。通過Agent采集數(shù)據(jù),并通過Flume分布式日志采集系統(tǒng)進行存儲整理。應用日志采集模塊架構(gòu)如圖3所示。

圖3 應用日志采集模塊架構(gòu)Fig.3 The architecture of application log collection module

1）數(shù)據(jù)采集方式。通過在用戶客戶端、外網(wǎng)業(yè)務應用、內(nèi)網(wǎng)業(yè)務系統(tǒng)、桌面云終端等部署統(tǒng)一采集Agent,能適配各類日志來源和日志模型。對于用戶客戶端,通過采集內(nèi)網(wǎng)用戶終端上的圖形化程序、文本程序、瀏覽器等操作內(nèi)容,進行用戶行為日志采集。對于外網(wǎng)業(yè)務應用,通過在外網(wǎng)應用網(wǎng)絡節(jié)點部署旁路流量復制采集功能,進行日志采集。將應用日志采集模塊以守護進程運行,實現(xiàn)用戶行為日志采集的同時,能做到對業(yè)務系統(tǒng)運行性能幾乎無影響,最終將所有采集日志數(shù)據(jù)匯集到行為審計中心
模塊。

2）Flume分布式日志采集系統(tǒng)。應用日志采集模塊采用Flume分布式日志采集系統(tǒng),利用Flume支持各種接入資源數(shù)據(jù)的類型的優(yōu)勢從各種設備、終端中采集日志,并將其集中起來存儲到分布式文件系統(tǒng)（Hadoop Distributed File System,HDFS）中^[12]。模塊中將Flume和Zookeeper整合以確保傳輸?shù)呢撦d均衡,將Flume和Krafa整合,將Flume集群收集到的數(shù)據(jù)輸送到Kafka中間件,以供用戶行為追蹤模塊中的Storm去進行實時計算,然后將處理后的數(shù)據(jù)寫入HDFS,并利用MapReduce進行離線分析處理。Flume的信息緩存機制也能夠避免單點失效,從而保證了日志采集的可靠性。

3.2.4 行為審計中心模塊

行為審計中心模塊采用集中管理、兩級應用模式,國網(wǎng)總部行為審計中心管理模塊可對全網(wǎng)關鍵日志數(shù)據(jù)進行集中管理,天津電力行為審計中心模塊只對本企業(yè)的所有日志數(shù)據(jù)進行集中管理。通過整合公司現(xiàn)有相關信息系統(tǒng)審計應用,實現(xiàn)各系統(tǒng)異源日志的全面收集、海量存儲、分析源供應,并將整理后的數(shù)據(jù)提供給用戶行為追蹤模塊進行數(shù)據(jù)分析使用^[13]。天津電力通過統(tǒng)一的數(shù)據(jù)交換平臺來實現(xiàn)與總部的數(shù)據(jù)縱向貫通。數(shù)據(jù)交換平臺實現(xiàn)了兩端可配置的數(shù)據(jù)封裝和解析功能,通過統(tǒng)一的數(shù)據(jù)交換標準、統(tǒng)一接入服務,實現(xiàn)了多種可配置的交換格式和數(shù)據(jù)格式^[