运维专区管理系统研究与建设

叶水勇，刘 琦，陈 明，张 月，叶 菁，王文林，宋浩杰

（国网黄山供电公司，安徽 黄山245000）

0 引言

随着信息化建设的跨越式发展，信息系统数量不断增长，运维安全和故障处置时效性要求日趋提高，为更好地支撑公司信息化业务发展，进一步规范信息系统日常运维和检修操作，提升运维工作效率和服务质量，强化运行安全管控，公司从2015年开始逐步开展信息系统运维专区（以下简称：运维专区）的建设工作。

专区运维工作安全审计方面主要是依赖运维安全审计系统[1]。运维人员对远程信息系统（设备）等的运维工作通过运维审计系统进行，运维审计系统记录了运维人员对远程信息系统的运维工作。通过运维安全审计系统，在对服务器进行远程操作时，因为会被记录远程操作过程，事后能得到审计，运维人员在操作过程中会谨慎进行，尽量避免误操作，不进行无关操作甚至是恶意操作。

1 目前运维专区存在的问题分析

运维审计系统记录的是运维专机对目标资源的操作，而运维人员在运维专机上的操作并没有被记录和审计，在此造成的数据泄露和故意破坏得不到有效防护和追溯。

在应急抢修区中进行的运维操作是直连目标资源（服务器、信息系统等）的，不经过运维审计系统，从而导致在应急抢修区中进行的操作没有记录和审计。这就存在应急抢修区中的操作行为得不到有效防护和追溯的风险[2]。

运维专机需要安全加固。结合运维工作实际，完成专机改造和调整，加装防窥视屏、安装USB锁。

鉴于目前运维专区存在的问题，迫切需要建设一个涵盖“运维专区、运维专机、运维人员、运维通道、运维目标”的运维安全体系，从而有效防止在运维专区出现数据泄露或进行非法操作的行为[3]。

2 系统建设的技术方案

系统主要由客户端Agent和服务器端组成。客户端Agent主要负责三方面工作：一是采集运维操作过程数据上传至服务器；二是接收服务器端指令对客户端PC进行控制；三是实时展示／事后回放操作记录。服务器端由人脸识别服务器和主机桌面审计服务器组成。人脸识别服务器完成对运维人员的人脸验证。桌面审计服务器完成对运维专区、运维专机等的管理和控制；接收存储运维操作过程数据；提供审计回放信息；生成相应报表等[4]。系统拓扑示意如图1所示。

图1 系统拓扑示意图

2.1 系统功能

运维专区管理系统功能主要分为操作机的运维记录和服务器的数据管理和展现三大部分[5]。操作机运维记录主要包括认证、录屏、键鼠消息获取、本地策略、审计播放器等。服务器数据管理主要包括数据接收、操作机的管理、监控管理以及系统管理等。服务器数据展现包括服务器状态显示、操作会话信息显示、统计分析以及统一搜索功能。各个功能的特点如图2所示。

图2 专区运维功能特点图

2.2 操作机功能

专区操作机Agent的功能主要为管理认证、录像、文本和本地策略4个部分[6]。

管理认证包括操作机占用标识的修改，口令认证和人脸识别认证。当操作人员选定了一台操作机后将操作机的状态由可操作状态变为被占用状态。操作人员登录时使用管理人员获取的临时操作用户名和密码，紧接进行人脸识别认证，当用户名密码正确、人脸识别通过后即可使用桌面程序。

录像的功能包括桌面捕捉、摄像头录像、编码上传和断点续传功能。桌面捕捉和摄像头录像的功能是为了获取操作时的桌面环境和操作人的真实环境。编码上传是将桌面录像和摄像头录像编码上传到服务器端，供管理人员监控和回放。编码上传时支持断点续传功能，即服务器连接不上时，录像文件保存到本地，当检测到服务器连接上后将本地文件继续传到服务器端，保证了文件的完整性。

文本记录的功能包括鼠标键盘消息的获取，剪贴板消息的获取，操作窗口标题的获取以及系统日志的获取上传。鼠标的点击和键盘输入的消息、剪贴板中文本的内容、窗口的标题以及系统日志都能够帮助管理人员统计操作人员的操作是否符合规定，辅以统计功能，可将人员的操作宏观可视化。

本地策略功能包括录像的色彩选项、压缩率、比例尺寸以及其他录制选项。录制的功能更加人性化，可以动态适应不同配置的电脑。此外，客户端Agent具备防卸载、防禁用、防停止运行的功能。

2.3 服务器数据管理功能

服务器数据管理功能包括数据接收、操作及管理、监控管理和系统管理[7]。数据接收包括接收文本数据、录屏数据、摄像头录像数据以及图文关联数据。以各自的编码方式和存储方式存储在服务器中，方便查询和监控回放。

操作机管理的功能包括操作机的分配、动态口令生成、监管机的管理功能。操作机的分配即为操作人员分配可用的操作机，系统修改操作机的状态，为操作人员生成一对临时用户名密码（动态口令）。监管机是管理人员使用的电脑，包括管理人员对操作人员的管理，获取和注销动态口令等。

监控管理包括实时监控、事后回放、过滤预警和策略下发。实时监控可实现多屏矩阵桌面播放，支持最大16路同时监控，节省时间和资源，并能及时发现问题。过滤预警可对操作人员高危的操作，例如修改或删除关键文件等提示警告信息。策略下发就是服务器将客户端监控策略（包括录屏选项，如尺寸、黑白彩色等，进程控制列表等）下发至特定的客户机。

系统管理包括数据库备份、记录备份、用户管理和操作日志管理。数据库和记录的定期备份，防止因服务器意外断电等可能造成的信息丢失。此外，针对记录文件增长的情况，可以设定写记录文件滚动覆盖的方式来确保磁盘空间不被占满，时间设定上，根据国网要求，定为6个月。用户管理包括对操作人员的账号和照片的管理，对管理人员的管理等。操作日志管理是针对系统管理页面本身的操作日志，例如管理员增删改了某个用户，修改了设备的某个配置。

2.4 服务器数据展现功能

服务器数据展现功能包括服务器状态展示、操作会话展示、统计分析和统一搜索功能。服务器状态展示包括服务器的硬件状态、数据库状态、应用状态和WebServer状态。硬件和数据库状态能够及时发现服务器和数据库可用资源的变化，能够在资源不够用之前发现问题并解决。应用状态和WebServer状态的展示能够及时判断应用是否还在运行，网页是否能正常打开，减少运维风险[8]。

操作会话包括列表展现、会话下载、操作摘要以及操作能量图展示。列表展现即把一定时间内一定专区内的操作人员的操作会话展示出来，为审计人员和管理人员查阅分析。会话下载可将人员操作下载到本地播放和分析。操作摘要能将操作人员的操作信息做一个摘要列表，例如登录系统的时间，结束操作的时间，操作的应用等。

统计分析包括人员统计、时间统计、设备统计以及按审核统计。人员统计可展示为，一段时间内，操作人员有哪些，人员信息有哪些，操作人员操作频率等。时间统计可统计操作人员操作的时间、运维一个工作票的时间等。设备统计包括设备使用频率、设备状态信息等。按审核统计功能即按照过滤审核的结果进行统计，例如过滤某个敏感词，将过滤的结果进行统计分析。

统一搜索功能包括历史检索、自定义报表以及报表订阅。历史检索包括对按照设备进行检索、按照操作人员进行检索、按照时间进行检索、运维人员的操作进行检索等。根据检索结果自定义报表，将结果展示出来。报表订阅则是定时主动向某个审计人员或者管理员的邮箱发送定制的报表。

3 系统的关键技术

3.1 人脸识别认证

当操作人员首次运维时，由操作间管理人员，使用操作人员清晰辨识度高的照片为其注册[9]。操作人员登陆操作机进行运维时，在动态口令认证通过后，需要进行人脸识别的认证。操作人员登陆操作机时需要人脸认证，将自己的头像清晰地置于摄像头中，选择取照，右边会出现获取的照片，点击认证系统就会与照片库中的照片进行对比识别。

3.2 多屏矩阵桌面监控

实时监控是运维审计重要的一个功能，一般运维监控即操作人员运维，管理人员点开相应的列表，本系统支持多屏矩阵桌面，提供一个全局监看模式。桌面审计系统将多个运维桌面整合于同一显示界面，支持2×2，3×3，4×4等多种矩阵管理模式，监看画面可循环播放，方便审计人员直观地把握操作间运维人员的操作情况，若其中某一画面出现异常，比如操作人员违规操作等，可实现切断，并且播放器支持伸缩画面，进行细节观察与处理。

16路监控播放器不仅支持16个监控画面的展示，同时支持选择的单个监控画面全屏播放或者4个监控画面田字形的全屏播放。每个监控画面都包括桌面操作情况、操作人员情况、操作人员键盘鼠标信息记录并支持信息搜索。主机桌面审计系统中，操作人员将工作票交给操作间管理人员审核，管理人员申请某台操作机的临时用户名和密码交给操作人员，操作人员凭借临时用户名密码登录操作机操作，操作过程中将被录屏，键盘鼠标和剪贴板的消息也会被传送给服务器存储。操作过程可被管理人员实时监控，同时支持事后回放[10]。

图3 操作机分配交互图

3.3 操作机分配

为了确保操作机分配有序可控，在人员验证的基础之上增加对操作机分配的管理功能。该功能主要实现了管理员分配指定操作机给运维人员，每次告知操作机的临时账号密码，本次运维操作结束之后该账号密码就失效，确保运维人员运维工作需要经过管理员认可[11]。图3是操作机分配交互图，整个过程主要涉及运维人员、运维专区管理员、运维操作机、桌面审计系统服务器。

4 结束语

公司通过运维专区管理系统的建设，实现对运维专区中各要素的管理，如专区、专机、人员等；实现对运维专区中所发生的运维工作进行全面的审计，做到对运维专机的有序分配、对运维专机操作的实时监控和事后审计、对运维人员的严格认证、对运维专机的远程管理等，从而实现远程运维操作安全可控，确保信息系统安全稳定运行。