天津电力行为安全审计系统建设与应用-电力信息与通信技术.PDF

ELECTRIC POWER ICT 中图分类号：TP393.08　文献标志码：B　文章编号：2095-641X(2017)12-0054-05　DOI：10.16543/j.2095-641x.electric.power.ict.2017.12.010 天津电力行为安全审计系统 建设与应用 张琛馨 ，倪家明 ，何金 ，侯丹 ，孙轶凡 ，刘梦琪 （国网天津市电力公司 信息通信公司 ，天津 300010 ） 摘要：随着 国家 电网公 司 SG186 工程建设的深入推进 ，国网天津市 电力公 司网络与信息系 统 的安全 审计功能 已初步建成。但 由于缺少统一的平台支撑 ，难 以实现用户行为全过程管 控 的安全 审计要求 ，为此 ，国网天津市 电力公 司积极推进行为安全 审计 系统一期建设 ，整合 现有 系统 审计成果 ，顺利完成 系统 的部署和实施工作 ，实现 了用户行为的全过程管控 审计。 安全审计 系统的建设有力地支撑 了国网天津市电力公 司信息化情报分析、威胁预警 、事件分 析和 问题处置能力 ，也为今后公司安全监控智能化 、一体化 、平台化发展奠定 了坚实的基础。 关键词：行为安全审计；运维安全；日志采集 网 络 安 全 系统、统一权限平台、各业务日志数据等整合后共同 0　引言 实现。虽然现有的安全审计模块能够满足基本的安 国网天津市电力公司（以下简称天津电力）现有 全需求，但由于各应用建设时间较久、建设内容较 信息系统的审计体系主要以综合审计系统、运维审 分散，导致出现各业务应用间各自为阵、审计数据分 计系统、统一权限平台为核心，并整合各业务应用、 散、标准不统一、缺乏统一平台支撑等问题，难以满 业务与数据库审计模块、桌面终端管理模块、I6000 、 足国家电网公司对用户行为“全过程记录、事前防 网络基础设施 日志、数据库审计 日志，共同实现信 范、事中控制、事后溯源”、审计“可控、可视、可分析、 [3] 息系统的安全管理。随着天津电力业务系统越来越 可追溯”的安全审计新要求 。天津电力现有信息 多，设备规模越来越大，日常运维及安全监控工作的 系统的安全审计体系主要存在以下几方面的问题。 难度也愈来愈大。20 16 年在国家“十三五”信息安 1 ）运维账号权限不明确。运维账号行为无监管， 全技术提升要求下，天津电力积极推进信息系统行 针对主机、数据库、中间件、网络设备和安全设备等 为安全审计建设，并顺利完成系统的部署和实施工 的操作无法做到行为审计，审计主体和审计客体无 [1-2] 法实现关联。运维账号权限无限制、无告警，日常运 作 。天津电力行为安全审计系统主要通过用户行 [4] 为追踪、运维审计、应用日志采集和行为审计中心这 维操作权限过大，出现问题无法短时间定位、恢复 。 四大功能模块，实现对信息系统用户行为的全生命 2 ）账号保密管理不严格。部分业务应用对其运 周期管理，为安全审计提供统一的平台支撑。