电力监控仿真系统堡垒机培训探讨

摘要：分析了自动化运维安全管控现状，介绍了堡垒机的基本功能，并按相关要求在电力监控仿真培训系统中部署了堡垒机，提出了堡垒机“一个目标、三种角色”的培训方案，开发了堡垒机培训项目，以提高自动化运维安全管控水平。

关键词：自动化运维；安全管控；堡垒机；培训

电力行业关系到国计民生，电力监控系统的安全问题至关重要，如果维护人员违规操作导致信息安全事件，会造成难以挽回的损失和影响。堡垒机在特定的网络环境中，通过不同方式进行网络活动分析处理，确保网络安全稳定。堡垒机的安全稳定运行与企业数据安全有着直接联系。堡垒机从最早的跳板机发展为目前的第三代堡垒机，可接管终端计算机对网络和服务器的访问，并可融合多种用户使用要求，其支持的协议也逐渐增加，例如FTP协议、数据库协议、Web应用协议、网管协议等。目前电力运维堡垒机的建设工作陆续开展，但现场工作人员对堡垒机功能和使用方法的了解有待加强。本文在调度自动化仿真系统中部署堡垒机，并对学员开展堡垒机相关培训。堡垒机可在不改变业务系统原有架构的情况下实现对内部违规操作风险的有效控制，从而提升学员的职业素养，预防内部信息安全事件的发生。

1自动化运维安全管控现状

传统运维模式下，运维人员主要通过KVM（Key⁃boardVideoMouse，简称KVM）或直连信息设备进行变更、配置、备份与维护等操作，存在一定安全风险［1］。

1.1账号及授权管理混乱

自动化维护安全管控在现场操作中涉及到系统管理员、运维人员、第三方厂商三类人。三类人员的账号和权限应不同，目前管控中账号管理较混乱，存在多人共用和混用账号现象。权限界定不清晰，存在一人拥有多个权限和多个账号的情况。权限管理粗放，资源乱用现象时有发生。交换机、服务器、运维工具、业务软件等账户管理混乱，IP地址管理与分配依靠人工操作，安全性差，审计不严，取证困难，导致事后责任无法追溯到人，存在较大安全隐患。

1.2身份认证缺失

随着信息技术的发展，自动化运维复杂程度日益增加，进行自动化运维的人员数量不断增多，采用人工核对运维人员身份信息的方法无法实现运维人员身份的全过程认证及实名管理［2-3］。

1.3运维操作审计力度匮乏

仅依靠工作票等手段对运维操作进行事前审批，操作过程中没有有效的监控手段，出现安全事件无法进行审计溯源。缺乏运维审计、数据库审计手段，不能及时记录、分析、处理网络管理员、系统管理员、运维人员和开发人员的各种运维操作行为，仅仅常态化分析审计信息无法掌握事件的发生和事件的具体细节，发现非法操作行为。

2堡垒机主要功能

为保障网络和数据不受来自外部和内部用户的入侵和破坏，堡垒机运用各种技术手段监控和记录运维人员对网络内服务器、网络设备、安全设备、数据库等设备的操作行为，以实现集中报警、及时处理及审计定责。因此，需开展运维安全堡垒机建设，优化运维访问网络接入点，支持运维安全全要素管控，实现运维行为全过程记录。堡垒机在不改变现有网络环境和网络拓扑的情况下，接入核心交换机，物理上采用旁路，逻辑上采用串联的模式，不改变管理员、运维人员的操作习惯，不影响正常业务运营，支持静态路由，实现多网段管理目标设备［4-6］。

2.1事前授权

堡垒机主要作用是解决运维混乱的问题。堡垒机承担运维人员在运维过程中的唯一入口作用，划分所有用户的权限，通过精细化授权，明确“哪些人以哪些身份访问哪些设备”，从而使运维变得有序。运维人员通过运维工作站登录至堡垒机，借助堡垒机分配的网络通道，可访问运维对象。在运维过程中，堡垒机与运维工作站之间建立了双因子认证通道，实现运维人员的实名认证及准入控制。

2.2事中监控

堡垒机可对主机、服务器、网络设备、安全设备等的管理维护进行操作审计，对策略配置、系统维护、内部访问等进行记录，并支持操作过程的全程回放；与运维对象之间建立协议通道，实现细颗粒度授权、行为管控和操作记录，并基于既定安全策略实现对高风险操作指令的二次审核、告警和阻断功能；与网络安全管理平台之间建立数据集成通道，接收运维任务文件，上传安全告警、运维记录等信息。

2.3事后审计

安全审计是实现事后可恢复、可审计、可追溯的运维管控审计防护目标的重要组成部分。堡垒机遵循“4W（who、when、where、what）要素”原则审计运维人员的操作全过程。采用录像的形式记录运维人员从登录到退出的全过程，即“谁在哪个时间登录哪台设备，做了哪些操作”。审计平台可以进行命令记录、文字记录、SQL记录等，存放审计日志文件，并可对审计日志进行全文检索，输出审计报表，符合等级保护的相关要求。堡垒机的应用可及时发现和阻断正在发生的异常访问和危险操作，对数据库等操作进行异常检测，有效识别对数据库的恶意访问和操作并及时阻断。

3堡垒机的部署与培训实施

某学院建设了智能电网调度技术支持系统数字物理混合仿真实训室，这是国内首家以D5000系统为主体的综合仿真培训平台。实训室设备按照电力监控网络安全要求分为生产控制大区和管理信息大区，生产控制大区又分为安全I区和安全II区。

3.1堡垒机的部署

按照堡垒机的设计思路及部署原则分别将堡垒机部署于安全I区、安全II区和管理信息大区，如图1所示。考虑到现场多采用远程维护操作，远程操作通常通过RDP（RemoteDesktopProtocol，简称RDP）方式访问各自业务应用系统的服务器，这种操作方式存在重大的安全隐患。鉴于这方面的安全需求，堡垒机需以旁路的方式部署安装到安全接入区，同时要改变边界防火墙的“访问控制”策略，使其具有唯一性。堡垒机本身IP地址和端口作为唯一可以从外到内访问的IP地址和端口，禁用其他任何IP地址和端口从外到内的访问。堡垒机是通过WEB界面登录进行管理的，按照上述方式部署安装堡垒机，登录堡垒机并进行设置，按照业务类别添加不同的组别和用户。用户按照角色主要分为管理员、运维用户、审计员等。

3.2培训实施

培训项目开发后，在学员中开展堡垒机培训。培训采用任务引导式培训模式，进行分组演练，每组设三种角色，完成一个目标。1）一个目标。自动化运维安全管控最终目的是保障电力监控系统安全运行，有效防御网络攻击，避免误操作对电力监控系统造成的影响。安全生产贯穿一切工作，学员牢固树立安全责任意识，做安全行为的第一责任人。学员应努力实现事前“不想、不敢、不能”，事后“可恢复、可审计、可追溯”的运维管控审计防护目标。2）三种角色。三种角色包括管理员、运维人员和审计人员，每种角色具有不同的职责和权限，其关系如图2所示。管理员对所有服务器、网络设备账号的集中管理具有最高权限。培训师担任管理员角色，负责对学员进行身份管理和权限分配，给每位学员创建唯一的自然账号，配置所要管辖的设备资源，同时建立设备的资源账号。根据业务需要，配置相应的访问控制策略，即每位学员以何种身份访问哪些设备，建立人员与设备账号的对应关系。根据时间、登录IP、目标资源等进行详细授权，将学员进行分组，一组为运维人员，一组为审计人员，根据身份分配不同的IP地址和权限。整个过程可以进行教学展示，采用访问控制限定人员对资源设备的访问。只有被赋予访问权限的人员才可以对相应资源进行访问，从而避免了未授权的访问和越权访问，保护了用户资源和系统安全。运维人员实名制认证。优化数字证书与生物特征识别技术，实现运维人员实名制身份认证，可准确定位电力监控系统运维人员身份信息，有效解决通用账号乱用、共享等问题。扮演运维人员的学员只需记住一个账号和口令，借助堡垒机分配的网络通道，最终可访问运维对象。在运维过程中，堡垒机与运维工作站之间建立了双因子认证通道，实现运维人员的实名认证及准入控制。学员10人作为一个小组，每人分配一个专属账号，登录系统，具有绘制厂站接线图和数据库填写操作权限。运维人员可登录堡垒机对业务应用服务器进行RDP维护和远程桌面操作。审计人员可以查看统计报表，进行操作审计。担任审计人员角色的学员登录堡垒机后，可查看操作系统、服务器，记录、分析、处理网络管理员、系统管理员、运维人员和开发人员的各种运维操作行为，可查看审计事件的统计报表，同时还可查看终端用户登录服务器的录像回放。全程实时监控，可及时发现和阻断正在发生的异常访问和危险操作。全过程录像可实现运维事后审计，并能进行问题的追本溯源，直接定位问题根源所在，追溯到责任人。审计人员可对违规行为进行事中控制、实时告警与阻断。运维堡垒机系统记录、存储运维人员的所有操作行为的相关信息，并能进行分析、回放和审计。例如，针对一起操作人员非法IP登录服务器并篡改服务器数据事件，审计人员发现堡垒机发出报警，通过查看录像回放，找出非法登录的IP地址，锁定操作人员。可见，通过让学员进行角色扮演，可使其更好地掌握堡垒机的功能，切实体会到事后审计的重要性。通过培训可帮助学员树立运维安全管控目标、健全运维安全责任体系、健全运维过程管控机制、加强系统用户权限管理、加强网络边界封闭管理、加强关键行为审计管理、规范运维操作。

4结语

本文分析了自动化运维安全管控现状，介绍了堡垒机的基本功能，并在电力监控仿真培训系统中部署堡垒机，提出堡垒机“一个目标、三种角色”的培训方案，实现堡垒机培训，有助于提高自动化运维人员安全意识，规范操作流程，提高自动化运维安全管控水平。

参考文献

［1］韩荣杰，于晓谊.基于堡垒主机概念的运维审计系统［J］.安全视窗，2012（1）：56-58.

［2］王栋，来风刚，李静.数据中心IT运维审计体系研究［J］.电力信息化，2012，10（1）：20-23.

［3］郝永清.堡垒主机搭建全攻略与流行黑客攻击技术深度分析［M］.北京：科学出版社，2010.

［4］戴莹.浅谈如何运用堡垒机系统解决单位信息管理内控风险［J］.网络安全技术与应用，2015（8）：53-54.

［5］陆茂兰.浅谈运维堡垒机系统［J］.无线互联科技，2014（6）：65.

［6］陈健锋，李永宁，张勇.浅析运维堡垒机的设计和应用前景［J］.有线电视技术，2015（5）：81-84.

作者：王璐璐 王致君 单位：国家电网有限公司技术学院分公司 山东博康电力有限公司