0 引言

國(guó)網(wǎng)天津市電力公司（以下簡(jiǎn)稱天津電力）現(xiàn)有信息系統(tǒng)的審計(jì)體系主要以綜合審計(jì)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)、統(tǒng)一權(quán)限平臺(tái)為核心,并整合各業(yè)務(wù)應(yīng)用、業(yè)務(wù)與數(shù)據(jù)庫(kù)審計(jì)模塊、桌面終端管理模塊、I6000、網(wǎng)絡(luò)基礎(chǔ)設(shè)施日志、數(shù)據(jù)庫(kù)審計(jì)日志,共同實(shí)現(xiàn)信息系統(tǒng)的安全管理。隨著天津電力業(yè)務(wù)系統(tǒng)越來越多,設(shè)備規(guī)模越來越大,日常運(yùn)維及安全監(jiān)控工作的難度也愈來愈大。2016年在國(guó)家“十三五”信息安全技術(shù)提升要求下,天津電力積極推進(jìn)信息系統(tǒng)行為安全審計(jì)建設(shè),并順利完成系統(tǒng)的部署和實(shí)施工
作^[1-2]。天津電力行為安全審計(jì)系統(tǒng)主要通過用戶行為追蹤、運(yùn)維審計(jì)、應(yīng)用日志采集和行為審計(jì)中心這四大功能模塊,實(shí)現(xiàn)對(duì)信息系統(tǒng)用戶行為的全生命周期管理,為安全審計(jì)提供統(tǒng)一的平臺(tái)支撐。

 1 天津電力運(yùn)維審計(jì)管理現(xiàn)狀

自2012年以來,天津電力網(wǎng)絡(luò)與信息系統(tǒng)的安全審計(jì)能力,主要通過將綜合審計(jì)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)、統(tǒng)一權(quán)限平臺(tái)、各業(yè)務(wù)日志數(shù)據(jù)等整合后共同實(shí)現(xiàn)。雖然現(xiàn)有的安全審計(jì)模塊能夠滿足基本的安全需求,但由于各應(yīng)用建設(shè)時(shí)間較久、建設(shè)內(nèi)容較分散,導(dǎo)致出現(xiàn)各業(yè)務(wù)應(yīng)用間各自為陣、審計(jì)數(shù)據(jù)分散、標(biāo)準(zhǔn)不統(tǒng)一、缺乏統(tǒng)一平臺(tái)支撐等問題,難以滿足國(guó)家電網(wǎng)公司對(duì)用戶行為“全過程記錄、事前防范、事中控制、事后溯源”、審計(jì)“可控、可視、可分析、可追溯”的安全審計(jì)新要求^[3]。天津電力現(xiàn)有信息系統(tǒng)的安全審計(jì)體系主要存在以下幾方面的問題。

1）運(yùn)維賬號(hào)權(quán)限不明確。運(yùn)維賬號(hào)行為無監(jiān)管,針對(duì)主機(jī)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等的操作無法做到行為審計(jì),審計(jì)主體和審計(jì)客體無法實(shí)現(xiàn)關(guān)聯(lián)。運(yùn)維賬號(hào)權(quán)限無限制、無告警,日常運(yùn)維操作權(quán)限過大,出現(xiàn)問題無法短時(shí)間定位、恢復(fù)^[4]。

2）賬號(hào)保密管理不嚴(yán)格。部分業(yè)務(wù)應(yīng)用對(duì)其運(yùn)維管理員賬號(hào)的管理松散,賬號(hào)管理未明確責(zé)任人,存在管理員賬號(hào)盜用、借用、濫用的情況,一旦出現(xiàn)安全問題,無法溯源及定位責(zé)任人^[5]。

3）安全審計(jì)能力不完善。各業(yè)務(wù)系統(tǒng)及安全系統(tǒng)的用戶行為日志格式不統(tǒng)一,難以實(shí)現(xiàn)集中分析與管理。日志采集信息過于單一,無法進(jìn)行公司級(jí)的安全審計(jì),不便于公司整體安全態(tài)勢(shì)分析和安全策略調(diào)整。業(yè)務(wù)應(yīng)用操作日志可被刪除、篡改,容易形成行為追蹤斷點(diǎn)^[6]。

 2 天津電力行為安全審計(jì)系統(tǒng)建設(shè)

2016年,天津電力行為安全審計(jì)一期項(xiàng)目完成了4個(gè)主要功能模塊的建設(shè)和實(shí)施工作,重點(diǎn)開展了系統(tǒng)藍(lán)圖設(shè)計(jì)和相關(guān)系統(tǒng)數(shù)據(jù)及接口的配置調(diào)試工作,并以已有安全審計(jì)系統(tǒng)中的數(shù)據(jù)為資源,整理了設(shè)備及運(yùn)維人員數(shù)據(jù)10萬多條,完成了行為安全審計(jì)系統(tǒng)的實(shí)施及對(duì)現(xiàn)有安全審計(jì)系統(tǒng)功能的整合工作。

行為安全審計(jì)系統(tǒng)是在成熟高效的技術(shù)基礎(chǔ)上,以日常信息操作中實(shí)際的安全訴求為導(dǎo)向建設(shè)的一個(gè)對(duì)用戶行為追蹤、對(duì)賬號(hào)密碼集中管理、對(duì)運(yùn)維人員運(yùn)維權(quán)限管理、對(duì)安全審計(jì)功能標(biāo)準(zhǔn)化的統(tǒng)一的安全審計(jì)平臺(tái)。系統(tǒng)的上線增強(qiáng)了安全審計(jì)數(shù)據(jù)的采集及分析能力,增強(qiáng)了公司信息系統(tǒng)的主動(dòng)防護(hù)能力,并最終實(shí)現(xiàn)了公司級(jí)的統(tǒng)一安全審計(jì)平臺(tái)^[7]。

 3 行為安全審計(jì)系統(tǒng)架構(gòu)及其功能模塊

3.1 系統(tǒng)架構(gòu)

行為安全審計(jì)系統(tǒng)包含用戶行為追蹤模塊、運(yùn)維安全審計(jì)模塊、應(yīng)用日志采集模塊和行為審計(jì)中心模塊這四大功能模塊,共同構(gòu)成了行為安全審計(jì)系統(tǒng)的總體架構(gòu)（見圖1）。

圖1 行為安全審計(jì)系統(tǒng)架構(gòu)Fig.1 The general architecture of behavior security audit system

通過在客戶端安裝日志采集模塊,記錄收集用戶訪問各類信息資產(chǎn)（基礎(chǔ)硬件、服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等）的操作日志,并將日志數(shù)據(jù)匯集到行為審計(jì)中心模塊進(jìn)行存儲(chǔ)。用戶行為追蹤模塊從行為審計(jì)中心模塊讀取數(shù)據(jù),并通過內(nèi)置搜索引擎進(jìn)行用戶行為信息檢索和分析,從而實(shí)現(xiàn)用戶行為全周期審計(jì)。通過在防火墻配置策略阻止客戶端直接訪問服務(wù)器,并開通運(yùn)維審計(jì)堡壘機(jī)訪問業(yè)務(wù)系統(tǒng)服務(wù)器的遠(yuǎn)程管理訪問權(quán)限,實(shí)現(xiàn)對(duì)用戶行為的全周期管控^[8]。

3.2 系統(tǒng)功能模塊

3.2.1 用戶行為追蹤模塊

用戶行為追蹤模塊,以統(tǒng)一權(quán)限平臺(tái)賬號(hào)權(quán)限數(shù)據(jù)和行為審計(jì)中心模塊為基礎(chǔ),支持用戶權(quán)限訪問控制、權(quán)限管理以及對(duì)用戶行為記錄的查詢^[9]。用戶行為追蹤模塊通過數(shù)據(jù)庫(kù)MongoDB,滿足對(duì)長(zhǎng)久大量增長(zhǎng)的審計(jì)日志（包括對(duì)業(yè)務(wù)應(yīng)用日志、運(yùn)維日志、終端日志、設(shè)備日志等）的持久化存儲(chǔ)和快速查詢的需求,并基于分布式存儲(chǔ)架構(gòu)通過動(dòng)態(tài)擴(kuò)展存儲(chǔ)節(jié)點(diǎn),滿足海量數(shù)據(jù)遞增帶來的存儲(chǔ)需求。同時(shí)為了提高用戶行為追蹤模塊的快速響應(yīng)性能,整合MapReduce和Storm,并對(duì)MongoDB中大規(guī)模日志數(shù)據(jù)的離線和實(shí)時(shí)分析處理,從而實(shí)現(xiàn)對(duì)可疑用戶使用信息系統(tǒng)的行為進(jìn)行快速追蹤,以追蹤到“何時(shí)、何人、何地、做何操作”,為后續(xù)的泄密、違規(guī)事件取證做支撐。

3.2.2 運(yùn)維安全審計(jì)模塊

運(yùn)維安全審計(jì)模塊主要通過設(shè)置一臺(tái)堡壘機(jī),使用戶通過堡壘機(jī)跳轉(zhuǎn)遠(yuǎn)程訪問服務(wù)器。達(dá)到對(duì)運(yùn)維人員登錄系統(tǒng)賬號(hào)的實(shí)名制統(tǒng)一授權(quán)管理、對(duì)資源賬號(hào)密碼的集中管理和對(duì)運(yùn)維人員登錄資源進(jìn)行運(yùn)維操作的統(tǒng)一管控、統(tǒng)一審計(jì)的目標(biāo)。

1）模塊架構(gòu)。運(yùn)維安全審計(jì)模塊總體架構(gòu)分為6個(gè)層面：展現(xiàn)層、業(yè)務(wù)邏輯層、服務(wù)交互層、持久化層、虛擬化層、外部系統(tǒng)接口層（見圖2）。①用戶通過展現(xiàn)層訪問系統(tǒng)、維護(hù)系統(tǒng)。②業(yè)務(wù)邏輯層是核心功能模塊,實(shí)現(xiàn)自然人與賬號(hào)的關(guān)聯(lián)、用戶身份認(rèn)證、賬號(hào)權(quán)限管理、違規(guī)操作告警、用戶行為審計(jì)等功能。它通過服務(wù)交互層實(shí)現(xiàn)全設(shè)備管控,并將數(shù)據(jù)通過展現(xiàn)層向用戶展示。③服務(wù)交互層通過2種不同的接口類型實(shí)現(xiàn)對(duì)異構(gòu)的資源進(jìn)行管理。④持久化層采用LDAP、PostgreSQL數(shù)據(jù)庫(kù)實(shí)現(xiàn)對(duì)資源信息的存儲(chǔ)整理。⑤外部系統(tǒng)接口層幫助展現(xiàn)層和服務(wù)交互層實(shí)現(xiàn)與統(tǒng)一權(quán)限系統(tǒng)賬號(hào)口令功能以及與I6000系統(tǒng)設(shè)備信息的集成。

圖 2. 運(yùn)維安全審計(jì)模塊架構(gòu)Fig.2 The architecture of operation audit module

2）應(yīng)用虛擬化。為了保證運(yùn)維的實(shí)時(shí)安全可控,在運(yùn)維安全審計(jì)模塊中使用了應(yīng)用虛擬化技術(shù),從而實(shí)現(xiàn)運(yùn)維安全審計(jì)模塊在服務(wù)端發(fā)布各應(yīng)用程序,用戶本地?zé)o需安裝運(yùn)維插件,只需通過身份認(rèn)證確認(rèn)有權(quán)限調(diào)用遠(yuǎn)程發(fā)布服務(wù)器應(yīng)用,并通過模擬代填登入目標(biāo)資源,過程中無需用戶輸入資源賬號(hào)密碼^[10]。在行為安全審計(jì)系統(tǒng)設(shè)計(jì)建設(shè)過程中,通過對(duì)比PCoIP和遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol,RDP）協(xié)議,發(fā)現(xiàn)獨(dú)立計(jì)算架構(gòu)（Independent Computing Architecture,ICA）協(xié)議更能滿足電力系統(tǒng)中多操作系統(tǒng)類型、多設(shè)備類型的需求,且穩(wěn)定性更好。此外ICA協(xié)議也是一種高效率的數(shù)據(jù)交換協(xié)議,采用數(shù)據(jù)壓縮、加密和連接優(yōu)化技術(shù),結(jié)合數(shù)據(jù)存儲(chǔ)采用3DES加密算法,防止人為因素帶來的密碼泄露或破壞,有效地保證運(yùn)維信息安全。

3.2.3 應(yīng)用日志采集模塊

應(yīng)用日志采集模塊用于記錄用戶訪問各類信息資產(chǎn)（如基礎(chǔ)軟硬件、服務(wù)器、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)）的行為日志數(shù)據(jù)^[11]。通過Agent采集數(shù)據(jù),并通過Flume分布式日志采集系統(tǒng)進(jìn)行存儲(chǔ)整理。應(yīng)用日志采集模塊架構(gòu)如圖3所示。

圖3 應(yīng)用日志采集模塊架構(gòu)Fig.3 The architecture of application log collection module

1）數(shù)據(jù)采集方式。通過在用戶客戶端、外網(wǎng)業(yè)務(wù)應(yīng)用、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)、桌面云終端等部署統(tǒng)一采集Agent,能適配各類日志來源和日志模型。對(duì)于用戶客戶端,通過采集內(nèi)網(wǎng)用戶終端上的圖形化程序、文本程序、瀏覽器等操作內(nèi)容,進(jìn)行用戶行為日志采集。對(duì)于外網(wǎng)業(yè)務(wù)應(yīng)用,通過在外網(wǎng)應(yīng)用網(wǎng)絡(luò)節(jié)點(diǎn)部署旁路流量復(fù)制采集功能,進(jìn)行日志采集。將應(yīng)用日志采集模塊以守護(hù)進(jìn)程運(yùn)行,實(shí)現(xiàn)用戶行為日志采集的同時(shí),能做到對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行性能幾乎無影響,最終將所有采集日志數(shù)據(jù)匯集到行為審計(jì)中心
模塊。

2）Flume分布式日志采集系統(tǒng)。應(yīng)用日志采集模塊采用Flume分布式日志采集系統(tǒng),利用Flume支持各種接入資源數(shù)據(jù)的類型的優(yōu)勢(shì)從各種設(shè)備、終端中采集日志,并將其集中起來存儲(chǔ)到分布式文件系統(tǒng)（Hadoop Distributed File System,HDFS）中^[12]。模塊中將Flume和Zookeeper整合以確保傳輸?shù)呢?fù)載均衡,將Flume和Krafa整合,將Flume集群收集到的數(shù)據(jù)輸送到Kafka中間件,以供用戶行為追蹤模塊中的Storm去進(jìn)行實(shí)時(shí)計(jì)算,然后將處理后的數(shù)據(jù)寫入HDFS,并利用MapReduce進(jìn)行離線分析處理。Flume的信息緩存機(jī)制也能夠避免單點(diǎn)失效,從而保證了日志采集的可靠性。

3.2.4 行為審計(jì)中心模塊

行為審計(jì)中心模塊采用集中管理、兩級(jí)應(yīng)用模式,國(guó)網(wǎng)總部行為審計(jì)中心管理模塊可對(duì)全網(wǎng)關(guān)鍵日志數(shù)據(jù)進(jìn)行集中管理,天津電力行為審計(jì)中心模塊只對(duì)本企業(yè)的所有日志數(shù)據(jù)進(jìn)行集中管理。通過整合公司現(xiàn)有相關(guān)信息系統(tǒng)審計(jì)應(yīng)用,實(shí)現(xiàn)各系統(tǒng)異源日志的全面收集、海量存儲(chǔ)、分析源供應(yīng),并將整理后的數(shù)據(jù)提供給用戶行為追蹤模塊進(jìn)行數(shù)據(jù)分析使用^[13]。天津電力通過統(tǒng)一的數(shù)據(jù)交換平臺(tái)來實(shí)現(xiàn)與總部的數(shù)據(jù)縱向貫通。數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)了兩端可配置的數(shù)據(jù)封裝和解析功能,通過統(tǒng)一的數(shù)據(jù)交換標(biāo)準(zhǔn)、統(tǒng)一接入服務(wù),實(shí)現(xiàn)了多種可配置的交換格式和數(shù)據(jù)格式^[