基于运维专区分类的安全体系研究.docx

??

?

??

基于运维专区分类的安全体系研究

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

摘要：随着电力行业信息化建设的跨越式发展，信息系统数量不断增长，运维安全和故障处置时效性要求日趋提高。为更好地支撑电网公司信息化业务发展，进一步规范信息系统日常运维和检修操作，强化运维安全管控，提升运维工作效率。设计建转运区、日常运维区、检修区、应急抢修区，做到分区分域管理，通过提升专区网络及终端安全，改变专区运维层次结构单一情况，提升工作效率及服务质量。

关键词：运维专区；运维审计系统；文件传输；数据泄露

引言信息系统运维人员是保证信息系统正常运行的重要基础，信息运维人员办公区的合理配置，能够使系统运维人员更加高效的开展系统运维工作。进一步规范信息系统日常运维和检修操作，强化运维安全管控，有助于提升运维工作效率[1,2]。设计建转运区、日常运维区、检修区、应急抢修区做到分区分域管理，通过提升专区网络及终端安全，可以改变专区运维层次结构单一情况，提升工作效率及服务质量[3]。

本文根据业务系统所需要的服务，细化不同功能区域工作要求，提高专区人员管理，加强专区管理人员技术水平[4]。为专区配备视频监控、门禁等设施，提升专区的安全性。结合防火墙、堡垒机等安全设施，加强运维专区安全管控。增加多岗审计、复审、审计报告等功能，提高对运维工作的审计评价，也可作为日后管理改善的重要依据。

1运维系统安全风险分析

1.1巡检过程中的风险

目前运维人员在执行数据巡检或运维时，通过本地终端访问运维审计系统，根据运维审计系统中的资源访问权限去访问相应资源，进行相关数据的运维操作。对于一些特殊设备，存在通过客户端工具直接访问的现象，在该过程中，由于运维人员可对数据库中的数据进行查询及导出操作，并能对数据进行查看、甚至导出到本地终端，相应数据没有采用安全措施进行保护，存在数据被导出后进行非法利用的风险[5,6]。

1.2检修升级过程中的风险

数据管理人员拥有的是DBA管理员账号，但业务系统的数据是属于业务单位而不是运维部门。从职责分离的原则上，只允许运维人员访问业务生产数据库，但不能让其看到真实的数据。以员工的工资表为例，当数据库的维护人员使用高权限账号查询这类敏感表时，敏感信息一览无余，甚至存在被拖库的风险。

1.3系统实施与上线和测试过程中的风险

即使实施人员在根据工作票，通过运维审计系统进行数据操作，并做了全程记录，但只能解决事后的追查问题。而运维人员在运维操作过程中是否执行了与本次工作票中无关的行为，目前没有主动管控技术去制止这种风险操作的发生。

同时测试数据最终是需要在测试中使用，能真实体现原始数据特征，能更好地满足测试工作的需求。为了保障系统上线的正常运行，在测试阶段，经常直接从生产系统中导出真实数据使用，加大了数据被泄漏的风险。

1.4系统实施与上线和测试过程中的风险

目前操作人员的日常操作均被运维审计系统进行了记录，但是面临对于数据库运维操作并没有达到精确审计的目标，且留下的审计记录是以视频的方式呈现，进行事件查阅及检索时相对耗时耗力，无法便捷、精确定位，分析风险操作行为。

业务人员在进行数据维护时，通常是以正常账号对系统内部数据进行访问操作，如人员的增删改查、运营数据的更新，如果更新的数据本身是错误的、或者由于业务人员自身的误操作，系统自身是无法识别的，大部分系统为了保障性能，日志记录功能也没有打开，在日后的追查中将无据可查。

2数据安全防护应对措施

2.1规范运维审批流程

在运维审计系统深化完善的基础上，提升数据运维管控能力，强化数据运维审批程序，完善数据导入导出规范，细化人员角色权限，提高运维审计系统的健壮性和高扩展性，为防止失泄密事件，用户敏感数据保护措施建设，监测预警奠定基础。

2.2规范数据导入导出通道

在高保密性的环境中，通过运维审计系统中关闭数据传输功能，运维人员无法将数据直接拷入客户端本地，同时也无法将数据拷出到本地终端。与此同时，在运维审计中开放数据上传功能，运维人员可通过运维审计系统将运维所需工具、脚本上传到数据库运维终端。并且，完成运维数据导出后，数据只能存储到指定的服务器存储空间。这样既保证了业务部门的数据交付，也杜绝了运维人员接触到导出数据的可能性。

3运维专区框架与防护措施

规范数据导入导出通道，保证业务部门的数据交付，采取“安全隔离”的技术路线，不改变原有的业规范运维操作，引入申请审批机制，规范所有数据库运维操作行为。通过建立标准化数据运维流程，精准化控制运维过程操作行为，将线下审批流程整合到线上审批，使得运维操作审批更便捷，运维操作更易被监管。从管理上解决申请操作与实际操作不一致性，技术上解决运维过程中的安全隐患。

细化对数据访问权限的控制，使得运维人员在可开展正