基于运维专区分类的安全体系研究

基于运维专区分类的安全体系研究

李兴 宋超 赵成宝

甘肃同兴智能科技发展有限公司 甘肃 兰州 730050

摘要：随着电力行业信息化建设的跨越式发展，信息系统数量不断增长，运维安全和故障处置时效性要求日趋提高。为更好地支撑电网公司信息化业务发展，进一步规范信息系统日常运维和检修操作，强化运维安全管控，提升运维工作效率。设计建转运区、日常运维区、检修区、应急抢修区，做到分区分域管理，通过提升专区网络及终端安全，改变专区运维层次结构单一情况，提升工作效率及服务质量。

关键词：运维专区；运维审计系统；文件传输；数据泄露

引言信息系统运维人员是保证信息系统正常运行的重要基础，信息运维人员办公区的合理配置，能够使系统运维人员更加高效的开展系统运维工作。进一步规范信息系统日常运维和检修操作，强化运维安全管控，有助于提升运维工作效率^[1,2]。设计建转运区、日常运维区、检修区、应急抢修区做到分区分域管理，通过提升专区网络及终端安全，可以改变专区运维层次结构单一情况，提升工作效率及服务质量^[3]。

本文根据业务系统所需要的服务，细化不同功能区域工作要求，提高专区人员管理，加强专区管理人员技术水平^[4]。为专区配备视频监控、门禁等设施，提升专区的安全性。结合防火墙、堡垒机等安全设施，加强运维专区安全管控。增加多岗审计、复审、审计报告等功能，提高对运维工作的审计评价，也可作为日后管理改善的重要依据。

1 运维系统安全风险分析

1.1 巡检过程中的风险

目前运维人员在执行数据巡检或运维时，通过本地终端访问运维审计系统，根据运维审计系统中的资源访问权限去访问相应资源，进行相关数据的运维操作。对于一些特殊设备，存在通过客户端工具直接访问的现象，在该过程中，由于运维人员可对数据库中的数据进行查询及导出操作，并能对数据进行查看、甚至导出到本地终端，相应数据没有采用安全措施进行保护，存在数据被导出后进行非法利用的风险^[5,6]。

1.2 检修升级过程中的风险

数据管理人员拥有的是DBA管理员账号，但业务系统的数据是属于业务单位而不是运维部门。从职责分离的原则上，只允许运维人员访问业务生产数据库，但不能让其看到真实的数据。以员工的工资表为例，当数据库的维护人员使用高权限账号查询这类敏感表时，敏感信息一览无余，甚至存在被拖库的风险。

1.3 系统实施与上线和测试过程中的风险

即使实施人员在根据工作票，通过运维审计系统进行数据操作，并做了全程记录，但只能解决事后的追查问题。而运维人员在运维操作过程中是否执行了与本次工作票中无关的行为，目前没有主动管控技术去制止这种风险操作的发生。

同时测试数据最终是需要在测试中使用，能真实体现原始数据特征，能更好地满足测试工作的需求。为了保障系统上线的正常运行，在测试阶段，经常直接从生产系统中导出真实数据使用，加大了数据被泄漏的风险。

1.4 系统实施与上线和测试过程中的风险

目前操作人员的日常操作均被运维审计系统进行了记录，但是面临对于数据库运维操作并没有达到精确审计的目标，且留下的审计记录是以视频的方式呈现，进行事件查阅及检索时相对耗时耗力，无法便捷、精确定位，分析风险操作行为。

业务人员在进行数据维护时，通常是以正常账号对系统内部数据进行访问操作，如人员的增删改查、运营数据的更新，如果更新的数据本身是错误的、或者由于业务人员自身的误操作，系统自身是无法识别的，大部分系统为了保障性能，日志记录功能也没有打开，在日后的追查中将无据可查。

2 数据安全防护应对措施

2.1 规范运维审批流程

在运维审计系统深化完善的基础上，提升数据运维管控能力，强化数据运维审批程序，完善数据导入导出规范，细化人员角色权限，提高运维审计系统的健壮性和高扩展性，为防止失泄密事件，用户敏感数据保护措施建设，监测预警奠定基础。

2.2 规范数据导入导出通道

在高保密性的环境中，通过运维审计系统中关闭数据传输功能，运维人员无法将数据直接拷入客户端本地，同时也无法将数据拷出到本地终端。与此同时，在运维审计中开放数据上传功能，运维人员可通过运维审计系统将运维所需工具、脚本上传到数据库运维终端。并且，完成运维数据导出后，数据只能存储到指定的服务器存储空间。这样既保证了业务部门的数据交付，也杜绝了运维人员接触到导出数据的可能性。

3 运维专区框架与防护措施

规范数据导入导出通道，保证业务部门的数据交付，采取“安全隔离”的技术路线，不改变原有的业规范运维操作，引入申请审批机制，规范所有数据库运维操作行为。通过建立标准化数据运维流程，精准化控制运维过程操作行为，将线下审批流程整合到线上审批，使得运维操作审批更便捷，运维操作更易被监管。从管理上解决申请操作与实际操作不一致性，技术上解决运维过程中的安全隐患。

细化对数据访问权限的控制，使得运维人员在可开展正常数据运维的同时，无法接触到真实的数据结果，让主动泄密风险化解到最低。同时加强对数据库操作行为的审计分析，时刻洞悉运维人员的各项操作，让管理者可实时了解运维人员的违规操作行为。

3.1 数据库客户端不能运行在可控的远端

将数据库客户端运行在运维审计系统管控的虚拟化服务器上。数据库客户端不能运行在运维人员操作机上，因为运维人员可以在数据库客户端上直接进行数据保存到本地的操作，如图1所示。而且在这种模式下，不能在数据通道上对传输的数据进行加密、脱敏的处理，否则正常的数据库运维工作都无法开展。

图1 数据库客户端限制

3.2 数据库客户端不能运行在可控的远端

为了保证数据不被运维人员拷走，应切断运维操作机和应用虚拟化服务器之间的文件传输、数据拷贝通道。不然运维人员可以将数据库文件导出到虚拟化服务器上后再传到运维操作机上，具体如图2所示。

图2 切断运维操作及和虚拟化服务器文件传输

3.3 关闭特定服务器的文件传输通道

为了避免运维人员在特定服务器（如数据库服务器）上导出文件，通过文件传输功能将文件从服务器上拷到运维操作机，需要对特定服务器关闭文件传输功能。 需要时再打开，具体如图3所示。

图3 关闭特定服务器的文件传输

3.4 关闭特定服务器的文件传输通道

目前服务器之间（如管理信息大区里的服务器之间）的网络访问策略设置较为粗犷，没有做到精细化的按需开放。为了避免运维人员在服务器之间做跳板访问、传输文件，再通过跳板服务器取走数据，需要对服务器之间的网络访问策略做精细化的管理，具体如图4所示。

图4 精细化管理服务期间网络访问策略

4 结束语

随着电力行业得飞速发展，电力信息化需要处理更大规模的大数据，面临更加复杂的攻击与威胁，在系统运维的过程中，安全问题越来越重要。本文通过分析日常运维过程中所面临的风险，采取安全分区的防护措施，引入申请审批机制，规范数据库运维操作行为，细化对数据访问权限的控制，限制数据传输通道。 通过事前审批，事中监管，事后审计，构建了一个能够满足大数据背景下电力数据安全分区控制的系统。且该系统具有普遍适用性，能够满足日常运维的安全性与便利性的需求。

参考文献

[1] 李真,汤进,何鸣,杨栋枢.基于高维多目标优化的国网运维指标建模研究[J].计算机与现代化,2013(06):23-26.

[2]周倩.服务质量评价体系在电力视频通信保障系统的应用研究[C]. 中国电机工程学会电力通信专业委员会.电力通信技术研究及应用.中国电机工程学会电力通信专业委员会:人民邮电出版社电信科学编辑部,2019:435-441.

作者简介:

1. 李兴（1984-）：男（汉族），甘肃甘谷人，研究生，副高级工程师，主要研究方向：信息化建设运行。

2. 宋超（1979-）：男（汉族），甘肃兰州人，大学本科，工程师，主要研究方向：信息与计算科学。

3. 赵成宝（1989－），男（回族），甘肃灵台人，大学本科，工程师，主要研究方向：信息运维