電力監控仿真系統堡壘機培訓探討

導語：電力監控仿真系統堡壘機培訓探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：分析了自動化運維安全管控現狀，介紹了堡壘機的基本功能，并按相關要求在電力監控仿真培訓系統中部署了堡壘機，提出了堡壘機“一個目標、三種角色”的培訓方案，開發了堡壘機培訓項目，以提高自動化運維安全管控水平。

關鍵詞：自動化運維；安全管控；堡壘機；培訓

電力行業關系到國計民生，電力監控系統的安全問題至關重要，如果維護人員違規操作導致信息安全事件，會造成難以挽回的損失和影響。堡壘機在特定的網絡環境中，通過不同方式進行網絡活動分析處理，確保網絡安全穩定。堡壘機的安全穩定運行與企業數據安全有著直接聯系。堡壘機從最早的跳板機發展為目前的第三代堡壘機，可接管終端計算機對網絡和服務器的訪問，并可融合多種用戶使用要求，其支持的協議也逐漸增加，例如FTP協議、數據庫協議、Web應用協議、網管協議等。目前電力運維堡壘機的建設工作陸續開展，但現場工作人員對堡壘機功能和使用方法的了解有待加強。本文在調度自動化仿真系統中部署堡壘機，并對學員開展堡壘機相關培訓。堡壘機可在不改變業務系統原有架構的情況下實現對內部違規操作風險的有效控制，從而提升學員的職業素養，預防內部信息安全事件的發生。

1自動化運維安全管控現狀

傳統運維模式下，運維人員主要通過KVM（Key?boardVideoMouse，簡稱KVM）或直連信息設備進行變更、配置、備份與維護等操作，存在一定安全風險［1］。

1.1賬號及授權管理混亂

自動化維護安全管控在現場操作中涉及到系統管理員、運維人員、第三方廠商三類人。三類人員的賬號和權限應不同，目前管控中賬號管理較混亂，存在多人共用和混用賬號現象。權限界定不清晰，存在一人擁有多個權限和多個賬號的情況。權限管理粗放，資源亂用現象時有發生。交換機、服務器、運維工具、業務軟件等賬戶管理混亂，IP地址管理與分配依靠人工操作，安全性差，審計不嚴，取證困難，導致事后責任無法追溯到人，存在較大安全隱患。

1.2身份認證缺失

隨著信息技術的發展，自動化運維復雜程度日益增加，進行自動化運維的人員數量不斷增多，采用人工核對運維人員身份信息的方法無法實現運維人員身份的全過程認證及實名管理［2-3］。

1.3運維操作審計力度匱乏

僅依靠工作票等手段對運維操作進行事前審批，操作過程中沒有有效的監控手段，出現安全事件無法進行審計溯源。缺乏運維審計、數據庫審計手段，不能及時記錄、分析、處理網絡管理員、系統管理員、運維人員和開發人員的各種運維操作行為，僅僅常態化分析審計信息無法掌握事件的發生和事件的具體細節，發現非法操作行為。

2堡壘機主要功能

為保障網絡和數據不受來自外部和內部用戶的入侵和破壞，堡壘機運用各種技術手段監控和記錄運維人員對網絡內服務器、網絡設備、安全設備、數據庫等設備的操作行為，以實現集中報警、及時處理及審計定責。因此，需開展運維安全堡壘機建設，優化運維訪問網絡接入點，支持運維安全全要素管控，實現運維行為全過程記錄。堡壘機在不改變現有網絡環境和網絡拓撲的情況下，接入核心交換機，物理上采用旁路，邏輯上采用串聯的模式，不改變管理員、運維人員的操作習慣，不影響正常業務運營，支持靜態路由，實現多網段管理目標設備［4-6］。

2.1事前授權

堡壘機主要作用是解決運維混亂的問題。堡壘機承擔運維人員在運維過程中的唯一入口作用，劃分所有用戶的權限，通過精細化授權，明確“哪些人以哪些身份訪問哪些設備”，從而使運維變得有序。運維人員通過運維工作站登錄至堡壘機，借助堡壘機分配的網絡通道，可訪問運維對象。在運維過程中，堡壘機與運維工作站之間建立了雙因子認證通道，實現運維人員的實名認證及準入控制。

2.2事中監控

堡壘機可對主機、服務器、網絡設備、安全設備等的管理維護進行操作審計，對策略配置、系統維護、內部訪問等進行記錄，并支持操作過程的全程回放；與運維對象之間建立協議代理通道，實現細顆粒度授權、行為管控和操作記錄，并基于既定安全策略實現對高風險操作指令的二次審核、告警和阻斷功能；與網絡安全管理平臺之間建立數據集成通道，接收運維任務文件，上傳安全告警、運維記錄等信息。

2.3事后審計

安全審計是實現事后可恢復、可審計、可追溯的運維管控審計防護目標的重要組成部分。堡壘機遵循“4W（who、when、where、what）要素”原則審計運維人員的操作全過程。采用錄像的形式記錄運維人員從登錄到退出的全過程，即“誰在哪個時間登錄哪臺設備，做了哪些操作”。審計平臺可以進行命令記錄、文字記錄、SQL記錄等，存放審計日志文件，并可對審計日志進行全文檢索，輸出審計報表，符合等級保護的相關要求。堡壘機的應用可及時發現和阻斷正在發生的異常訪問和危險操作，對數據庫等操作進行異常檢測，有效識別對數據庫的惡意訪問和操作并及時阻斷。

3堡壘機的部署與培訓實施

某學院建設了智能電網調度技術支持系統數字物理混合仿真實訓室，這是國內首家以D5000系統為主體的綜合仿真培訓平臺。實訓室設備按照電力監控網絡安全要求分為生產控制大區和管理信息大區，生產控制大區又分為安全I區和安全II區。

3.1堡壘機的部署

按照堡壘機的設計思路及部署原則分別將堡壘機部署于安全I區、安全II區和管理信息大區，如圖1所示?？紤]到現場多采用遠程維護操作，遠程操作通常通過RDP（RemoteDesktopProtocol，簡稱RDP）方式訪問各自業務應用系統的服務器，這種操作方式存在重大的安全隱患。鑒于這方面的安全需求，堡壘機需以旁路的方式部署安裝到安全接入區，同時要改變邊界防火墻的“訪問控制”策略，使其具有唯一性。堡壘機本身IP地址和端口作為唯一可以從外到內訪問的IP地址和端口，禁用其他任何IP地址和端口從外到內的訪問。堡壘機是通過WEB界面登錄進行管理的，按照上述方式部署安裝堡壘機，登錄堡壘機并進行設置，按照業務類別添加不同的組別和用戶。用戶按照角色主要分為管理員、運維用戶、審計員等。

3.2培訓實施

培訓項目開發后，在學員中開展堡壘機培訓。培訓采用任務引導式培訓模式，進行分組演練，每組設三種角色，完成一個目標。1）一個目標。自動化運維安全管控最終目的是保障電力監控系統安全運行，有效防御網絡攻擊，避免誤操作對電力監控系統造成的影響。安全生產貫穿一切工作，學員牢固樹立安全責任意識，做安全行為的第一責任人。學員應努力實現事前“不想、不敢、不能”，事后“可恢復、可審計、可追溯”的運維管控審計防護目標。2）三種角色。三種角色包括管理員、運維人員和審計人員，每種角色具有不同的職責和權限，其關系如圖2所示。管理員對所有服務器、網絡設備賬號的集中管理具有最高權限。培訓師擔任管理員角色，負責對學員進行身份管理和權限分配，給每位學員創建唯一的自然賬號，配置所要管轄的設備資源，同時建立設備的資源賬號。根據業務需要，配置相應的訪問控制策略，即每位學員以何種身份訪問哪些設備，建立人員與設備賬號的對應關系。根據時間、登錄IP、目標資源等進行詳細授權，將學員進行分組，一組為運維人員，一組為審計人員，根據身份分配不同的IP地址和權限。整個過程可以進行教學展示，采用訪問控制限定人員對資源設備的訪問。只有被賦予訪問權限的人員才可以對相應資源進行訪問，從而避免了未授權的訪問和越權訪問，保護了用戶資源和系統安全。運維人員實名制認證。優化數字證書與生物特征識別技術，實現運維人員實名制身份認證，可準確定位電力監控系統運維人員身份信息，有效解決通用賬號亂用、共享等問題。扮演運維人員的學員只需記住一個賬號和口令，借助堡壘機分配的網絡通道，最終可訪問運維對象。在運維過程中，堡壘機與運維工作站之間建立了雙因子認證通道，實現運維人員的實名認證及準入控制。學員10人作為一個小組，每人分配一個專屬賬號，登錄系統，具有繪制廠站接線圖和數據庫填寫操作權限。運維人員可登錄堡壘機對業務應用服務器進行RDP維護和遠程桌面操作。審計人員可以查看統計報表，進行操作審計。擔任審計人員角色的學員登錄堡壘機后，可查看操作系統、服務器，記錄、分析、處理網絡管理員、系統管理員、運維人員和開發人員的各種運維操作行為，可查看審計事件的統計報表，同時還可查看終端用戶登錄服務器的錄像回放。全程實時監控，可及時發現和阻斷正在發生的異常訪問和危險操作。全過程錄像可實現運維事后審計，并能進行問題的追本溯源，直接定位問題根源所在，追溯到責任人。審計人員可對違規行為進行事中控制、實時告警與阻斷。運維堡壘機系統記錄、存儲運維人員的所有操作行為的相關信息，并能進行分析、回放和審計。例如，針對一起操作人員非法IP登錄服務器并篡改服務器數據事件，審計人員發現堡壘機發出報警，通過查看錄像回放，找出非法登錄的IP地址，鎖定操作人員?？梢姡ㄟ^讓學員進行角色扮演，可使其更好地掌握堡壘機的功能，切實體會到事后審計的重要性。通過培訓可幫助學員樹立運維安全管控目標、健全運維安全責任體系、健全運維過程管控機制、加強系統用戶權限管理、加強網絡邊界封閉管理、加強關鍵行為審計管理、規范運維操作。

4結語

本文分析了自動化運維安全管控現狀，介紹了堡壘機的基本功能，并在電力監控仿真培訓系統中部署堡壘機，提出堡壘機“一個目標、三種角色”的培訓方案，實現堡壘機培訓，有助于提高自動化運維人員安全意識，規范操作流程，提高自動化運維安全管控水平。

參考文獻

［1］韓榮杰，于曉誼.基于堡壘主機概念的運維審計系統［J］.安全視窗，2012（1）：56-58.

［2］王棟，來風剛，李靜.數據中心IT運維審計體系研究［J］.電力信息化，2012，10（1）：20-23.

［3］郝永清.堡壘主機搭建全攻略與流行黑客攻擊技術深度分析［M］.北京：科學出版社，2010.

［4］戴瑩.淺談如何運用堡壘機系統解決單位信息管理內控風險［J］.網絡安全技術與應用，2015（8）：53-54.

［5］陸茂蘭.淺談運維堡壘機系統［J］.無線互聯科技，2014（6）：65.

［6］陳健鋒，李永寧，張勇.淺析運維堡壘機的設計和應用前景［J］.有線電視技術，2015（5）：81-84.

作者：王璐璐 王致君 單位：國家電網有限公司技術學院分公司 山東博康電力有限公司