运维审计系统功能扩展及运维权限自动分配研究与应用

摘要

随着乌克兰黑客攻击造成大面积停电，美国域名服务器攻击导致知名互联网网站无法提供服务等备受全球关注大事件的发生，信息安全的重要性不断提上了新的高度。电力企业作为关系国计民生的支柱企业，电力行业的信息安全，直接关系着智能电网的健壮性。
　　当今信息安全不仅要着眼于外部攻击，更要防范于信息系统内部运维操作存在的安全风险和隐患。据不完全统计，超过半数的安全事件并非来自于外部攻击，而是来自内部的访问行为及非法操作，因此对信息系统运维操作进行内控审计十分必要。电力行业的运维审计系统在十二五“SG-ERP”阶段完成建设并投运，该系统针对企业内信息系统的运维检修操作进行监控及审计。随着电力企业信息化工作的不断推进，信息系统的数量不断增长，运维操作对象数量及种类不断增多。通过日常应用发现，运维审计系统已不能覆盖到所有信息系统运维检修对象，信息系统运维操作不能完全通过运维审计系统进行操作，因而信息系统运维操作入口不统一；运维人员账号存在公用的现象；运维检修权限未实现最小化权限管理的工作要求等，现有运维审计系统已不能满足企业运维精益化的管理要求。
　　本文通过分析现有运维审计系统的功能架构、技术协议等内容，结合日常运维工作，发现运维审计系统运维入口不统一，运维账号公用，运维操作权限管理不细致等问题，在现有运维审计系统的基础上进行功能扩展，解决运维审计系统现存的问题。
　　引入微软虚拟化软件RemoteApp，将远程执行的应用程序展现在本地客户端中，将用户操作的中间过程透明化处理。虚拟化技术支持多种应用的运维访问，满足了信息系统运维中不断出现的新运维对象的运维管理需求，实现运维审计入口统一。对运维账号口令采用动态生成方式，避免了运维账号公用、乱用。信息通信一体化调度运行支撑平台（SG-I6000）中有着丰富的信息资源台账数据，规范化的检修计划、工作票管理流程，将以上检修信息、流程与运维审计系统进行集成，实现台账及检修资源数据的共享，并完成运维任务自动创建、权限自动分配的功能。运维审计系统通过上述功能扩展及集成接研发，并在国家电网公司的网省公司进行了部署，实现了信息系统运维精益化管理要求，提升了信息系统运维检修安全性。

目录

声明

第1章 绪 论

1.1 课题研究背景及意义

1.2 国内外研究动态

1.3主要研究内容

1.4论文组织结构

第2章 关键技术研究

2.1运维审计系统分析

2.2虚拟化软件RemoteApp研究

2.3动态口令引入

2.4检修管理流程分析

2.5运维审计与信息通信一体化调度运行支撑平台集成研究

2.6本章小结

第3章 检修操作权限自动分配功能

3.1检修操作权限自动分配设计流程

3.2运维审计侧开单接口

3.3 I6000侧开单接口

3.4自动创建运维任务

3.5查询运维审计任务状态页面接口

3.6同步设备资源接口

3.7动态口令发送

3.8本章小结

第4章 运维审计系统部署及测试

4.1 运维审计实施方案

4.2运维审计服务器部署

4.3新运维审计系统架构

4.4系统测试

4.5 本章小结

第5章 结论与展望

5.1论文完成的工作

5.2未来展望

参考文献

攻读硕士学位期间发表的论文及其它成果

致谢