公务员期刊网 论文中心 正文

运维审计系统在电厂信息网络中应用

运维审计系统在电厂信息网络中应用

摘要:简要介绍了通过在信息网络中安装运维审计系统,加强对信息系统中重要网络设备、安全设备的运维管理,实现对运维人员操作行为审计、操作命令审计。

关键词:运维;审计;管理

1引言

近年来,电力企业对网络与信息安全空前重视,随着企业信息化工作不断推进,业务系统日渐增多,保障系统的安全是信息工作的首要任务,防火墙、人侵检测系统等安全设备可以做到对外部攻击威胁的拦截与安全防护,但对于业务系统内部的账号权限划分与访问、运维人员误操作等隐患仍无法进行管控。当下,解决账号管控与操作审计才是减少信息系统安全风险的重点工作。

2前期设计

⑴设计原则。1)减少运维风险。运维审计系统须以实现对潘家口电厂信息系统主要设备进行状态监测及对数据库进行日志记录、用户行为审计为建设方向,应能够对信息系统运维过程做到事前预防、事中控制、事后审计,建立完善的运维审计体系。2)安全可靠。满足信息系统网络安全相关规范制度要求,运维审计系统自身应具有较高的安全可靠性,并采用H1TPS方式进行远程安全管理,对账号权限及设备登陆访问进行管控,再通过运维审计系统发起到设备对应服务的访问,加强内部设备的安全性。3)适应电厂信息网络现状。运维审计系统需以潘家口电厂信息网络现状为依据进行设计,避免改变现有网络结构,支持IPV6网络环境。4)高可用性。系统部署后,保证潘家口电厂使用系统时登陆方式安全、操作界面简洁,支持按日、周、月为周期生成周期性报表,对运维操作过程实现同步监控与回放,便于管理员进行控制与事后审计。(2)系统功能需求。1)资源管理。需实现对潘家口电厂内信息系统设备的管理,包含对设备资源进行基本操作的功能,例如设备新增、修改、删除、服务添加、联通性检测、账号添加等。2)账号管理。系统应支持多种身份认证方式,并为每一个运维人员创建唯一的运维帐号,在运维操作时,所有设备帐号均与运维账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,有效解决帐号共用问题。管理员可根据目标资源设置不同角色,通过基于角色的权限访问控制,实现细粒度授权与策略控制。3)审计模块。系统可以实现操作过程同步监视,当运维人员在设备上操作时,管理员可以随时中断运维人员的违规操作;系统支持按日、周、月为周期自动生成周期性报表,报表应支持导出;能够以在线或离线方式视频回放重现运维人员的整个操作过程,支持拖动、暂停等基本的播放控制操作,从而真正实现对操作内容的完全审计。4)告警功能。系统应支持根据写人的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,能够根据预设规则进行自动的告警或阻断。

3实施步骤

运维审计系统采用物理旁路方式部署,只需要确保运维审计系统、服务器与被审计设备之间网络可达即可。⑴IP地址分配。⑵网络物理连接。将运维审计系统设备及其服务器网口连接人被审计设备所在网络。⑶设备配置。1)运维审计系统设备配置。通过串口配置设备,重启服务,通过服务器登陆设备,检测设备网络连通性及运行情况。2)运维审计系统服务器配置。在服务器上登陆运维审计系统管理网址,在资源管理界面添加当前所需审计设备,完成基础信息后,进入服务配置界面,输入需要添加服务的相关信息,检测运维审计系统到目标资源的对应端口的连通性正常后,根据分类将被审计设备添加设备组,便于后期分类管理;在用户管理界面对用户账号、认证方式、密码策略、运维管理相关功能等进行设置;在授权管理界面进行角色创建,选择“添加授权,,来完成运维帐号授权访问资源操作。⑷审计管理。在潘家口电厂运维审计系统管理人员登录系统后可进入审计管理界面,在此界面可查看会话监控、审计日志及审计报表。在会话监控界面,可实时查看当前运维用户进行的操作,并可强制阻断会话来切断运维用户与资源的联系;在审计日志界面运维人员可详细查看运维日志、登陆日志、管理日志、系统日志等重要日志,便于运维操作回顾与记录;在审计报表界面可生成一次性或周期性报表,可根据运维需求自主设置

4应用情况

潘家口电厂运维审计系统于2020年安装运行,在信息系统运维过程中,运维人员通过运维审计系统做运维,很大程度上减少了运维人员账户风险,避免运维人员非法或无意执行高危操作,对运维人员的操作进行实时监控和事后审计,能够准确定位安全事件。目前系统可以完成对电厂网络设备、安全设备等重要信息系统设备的管控与审计,提供强大的运维审计功能,至今未发生任何故障,设备运行良好,大大提高潘家口电厂信息系统运维的操作审计和控制能力。

参考文献:

[1]周云.信息系统运维安全管控建设研究□.通信技术,2017(8).

[2]朱建明,康海燕,宋彪.信息安全审计[M].北京:机械工业出版社,2021.

[3]汤永利,陈爱国,叶青,等.信息安全管理[M].北京:电子工业出版社,2017.

作者:朱紫微 李赫明 单位:国网新源控股有限公司潘家口蓄能电厂