毛鑫，熊巨

(1． 國網(wǎng)湖南省電力公司培訓(xùn)中心，湖南 長沙410131;2． 國網(wǎng)湖南省電力公司株洲供電分公司，湖南 株洲412000)

1 項(xiàng)目建設(shè)背景

培訓(xùn)機(jī)房有人員流動(dòng)性大、管理難度大等特點(diǎn)，信息安全問題比較突出。因此，國家電網(wǎng)公司加強(qiáng)了對(duì)信息安全的管理，要求各省級(jí)培訓(xùn)中心和各地市供電公司培訓(xùn)中心的培訓(xùn)機(jī)房逐步納入信息安全考核的范疇。面對(duì)日益嚴(yán)峻的信息安全形勢(shì)和嚴(yán)格的信息安全考核指標(biāo)，培訓(xùn)機(jī)房管理的壓力陡增〔1－2〕。

目前，為了能適應(yīng)不同環(huán)境的培訓(xùn)需求和方便管理，大部分培訓(xùn)機(jī)房的培訓(xùn)用計(jì)算機(jī)均安裝了操作系統(tǒng)還原卡〔3〕。安裝系統(tǒng)還原卡的計(jì)算機(jī)在每次系統(tǒng)重新啟動(dòng)之后，系統(tǒng)會(huì)被重新覆蓋，因此學(xué)員發(fā)生違規(guī)操作時(shí)，無法對(duì)違規(guī)操作進(jìn)行事后查證。為了規(guī)范培訓(xùn)機(jī)房信息安全管理，杜絕培訓(xùn)機(jī)房的信息安全違規(guī)問題，提出了一套基于實(shí)名制的無人值守培訓(xùn)機(jī)房安全管理系統(tǒng)，從技術(shù)上和制度上解決培訓(xùn)機(jī)房信息安全管理手段的缺失問題〔4－5〕。

2 系統(tǒng)設(shè)計(jì)與構(gòu)架

2.1 設(shè)計(jì)思路

本系統(tǒng)以實(shí)名制為核心進(jìn)行系統(tǒng)設(shè)計(jì)，使用身份證把學(xué)員、計(jì)算機(jī)IP 和MAC 進(jìn)行綁定，學(xué)員的所有程序操作和上網(wǎng)日志都將被記錄并存儲(chǔ)服務(wù)器數(shù)據(jù)庫中，學(xué)員的計(jì)算機(jī)操作將每隔一定時(shí)間被截屏并上傳到服務(wù)器，同時(shí)使用監(jiān)控?cái)z像頭對(duì)學(xué)員機(jī)位進(jìn)行監(jiān)控，確保每位學(xué)員的操作都可追溯從而達(dá)到培訓(xùn)機(jī)房信息安全管理的目的。

本系統(tǒng)以“四個(gè)唯一對(duì)應(yīng)”的原則建設(shè)，即通過身份證讀卡器使上網(wǎng)IP 與學(xué)員唯一對(duì)應(yīng)、日志記錄學(xué)員與上網(wǎng)行為唯一對(duì)應(yīng)，通過各個(gè)設(shè)備的時(shí)鐘統(tǒng)一，做到網(wǎng)絡(luò)行為時(shí)間與日志記錄的上網(wǎng)時(shí)間唯一對(duì)應(yīng)和使用高清監(jiān)控?cái)z像使學(xué)員與上機(jī)座位唯一對(duì)應(yīng)。通過“四個(gè)唯一對(duì)應(yīng)”，使身份證讀卡器、網(wǎng)關(guān)設(shè)備、服務(wù)器、視頻監(jiān)控設(shè)備等硬件設(shè)備和本培訓(xùn)機(jī)房安全管理系統(tǒng)等軟件組成一套完整的培訓(xùn)機(jī)房安全管理解決方案。

2.2 系統(tǒng)構(gòu)架

該系統(tǒng)集機(jī)房管理員對(duì)學(xué)員機(jī)控制、機(jī)時(shí)調(diào)度、視頻監(jiān)控、上網(wǎng)行為監(jiān)控和日志管理等各方面的需求為一體，智能化管理軟件整合了網(wǎng)關(guān)流量監(jiān)控技術(shù)，實(shí)現(xiàn)了培訓(xùn)機(jī)房綜合調(diào)度管理的需求。采用C/S 模式實(shí)現(xiàn)機(jī)房的管理和控制;通過與身份證讀卡器的關(guān)聯(lián)進(jìn)行實(shí)名制上機(jī)管理;通過存儲(chǔ)各個(gè)機(jī)房的日志信息實(shí)現(xiàn)計(jì)算機(jī)操作信息的可查和可控。系統(tǒng)整體分成服務(wù)器端程序和終端程序，其中服務(wù)器端程序包括中心服務(wù)器程序、數(shù)據(jù)庫服務(wù)器程序以及WEB 服務(wù)器程序;終端程序包括客戶端程序、管理機(jī)程序和刷卡機(jī)程序。系統(tǒng)采用分布式網(wǎng)絡(luò)設(shè)計(jì)，可以支持多個(gè)管理機(jī)和多個(gè)刷卡機(jī)程序的分布式安裝，以便于配屬不同的應(yīng)用環(huán)境。系統(tǒng)構(gòu)架如圖1 所示。

圖1 培訓(xùn)機(jī)房安全管理系統(tǒng)構(gòu)架圖

3 系統(tǒng)功能與模式

3.1 系統(tǒng)3 種上機(jī)模式

本系統(tǒng)支持3 種上網(wǎng)刷卡模式。在不同環(huán)境下，使用不同的上機(jī)模式。

1)導(dǎo)入信息指定上機(jī)模式。在培訓(xùn)班開班之前，先將培訓(xùn)學(xué)員的個(gè)人信息通過Excel 文檔形式導(dǎo)入本系統(tǒng)中，個(gè)人信息包括姓名、身份證號(hào)碼等。導(dǎo)入信息時(shí)，應(yīng)該把本培訓(xùn)班上機(jī)機(jī)房和時(shí)間與導(dǎo)入信息對(duì)應(yīng)，導(dǎo)入完成之后，系統(tǒng)即指定該學(xué)員的上機(jī)機(jī)位。學(xué)員上機(jī)時(shí)，持身份證刷卡上機(jī)，系統(tǒng)通過屏幕和語音提示學(xué)員的上機(jī)機(jī)位。學(xué)員找到自己機(jī)位，并輸入身份證號(hào)碼和密碼，就可以正常使用計(jì)算機(jī)。培訓(xùn)完成之后，學(xué)員可以通過刷卡下機(jī)，也可以通過點(diǎn)擊計(jì)算機(jī)客戶端的下機(jī)操作完成下機(jī)。如果學(xué)員的身份證不在導(dǎo)入信息之列，系統(tǒng)將拒絕其上機(jī)請(qǐng)求。本模式是無人值守培訓(xùn)機(jī)房安全管理系統(tǒng)的正常模式。

2)導(dǎo)入信息自選上機(jī)模式。在上機(jī)開始之前，把學(xué)員的個(gè)人信息通過Excel 文檔形式導(dǎo)入本系統(tǒng)中，個(gè)人信息包括姓名、身份證號(hào)碼等。導(dǎo)入信息時(shí)，指定上機(jī)機(jī)房和使用時(shí)間。需要上機(jī)時(shí)，學(xué)員持身份證刷卡上機(jī)，系統(tǒng)通過屏幕和語言提示學(xué)員為自選上機(jī)。學(xué)員可以任意自選1 臺(tái)計(jì)算機(jī)上機(jī)，上機(jī)之前需要輸入身份證號(hào)碼和密碼才能正常上機(jī)。上機(jī)操作完成之后，學(xué)員可以通過刷卡下機(jī)，也可以通過點(diǎn)擊計(jì)算機(jī)客戶端的下機(jī)操作完成下機(jī)。如果學(xué)員的身份證不在導(dǎo)入信息之列，那么系統(tǒng)將拒絕其上機(jī)請(qǐng)求。此模式下，系統(tǒng)不為每個(gè)學(xué)員指定上機(jī)機(jī)位，學(xué)員自主選擇機(jī)位上機(jī)，本模式適用于機(jī)房考試等環(huán)境。

3)不導(dǎo)入信息自選上機(jī)模式。在機(jī)房使用之前，不需要導(dǎo)入學(xué)員的任何信息。使用時(shí)，學(xué)員持身份證刷卡上機(jī)，系統(tǒng)通過屏幕和語音提示學(xué)員自選上機(jī)。學(xué)員任意自選1 臺(tái)計(jì)算機(jī)上機(jī)，上機(jī)之前需要輸入身份證號(hào)碼和密碼。上機(jī)操作完成之后，學(xué)員可以通過刷卡下機(jī)，也可以通過點(diǎn)擊計(jì)算機(jī)客戶端的下機(jī)操作完成下機(jī)。此模式適用于臨時(shí)或非計(jì)劃機(jī)房使用情況，或者采集學(xué)員的個(gè)人信息困難等情況。雖然事前沒有導(dǎo)入學(xué)員個(gè)人信息，但是因?yàn)樽赃x上機(jī)之前也需要刷卡，所以其上網(wǎng)行為等也將會(huì)記錄在案。

3.2 系統(tǒng)的主要功能

1)安全管理功能。強(qiáng)化接入措施，做到上網(wǎng)IP 與上網(wǎng)座位唯一對(duì)應(yīng)。本系統(tǒng)擁有3 種可選擇模式，無論選擇哪種上機(jī)模式，學(xué)員的身份證號(hào)碼和本機(jī)的IP 地址都會(huì)被系統(tǒng)記錄并一一對(duì)應(yīng)。這樣，如果發(fā)生安全事故需要追查責(zé)任時(shí)，就可以通過系統(tǒng)精準(zhǔn)地查找出事故責(zé)任人。

2)日志記錄功能。本系統(tǒng)集成了計(jì)算機(jī)行為監(jiān)控模塊，學(xué)員的計(jì)算機(jī)程序操作和上網(wǎng)信息都被一一記錄下，并被保存到日志服務(wù)器中。本系統(tǒng)提供B/S 結(jié)構(gòu)的查詢系統(tǒng)，可以根據(jù)身份證號(hào)碼、日期等選項(xiàng)查詢學(xué)員的程序操作日志、上網(wǎng)日志和截圖等。根據(jù)國家電網(wǎng)公司相關(guān)要求，日志服務(wù)器中的數(shù)據(jù)將被保存90 d 以上。截圖是指每隔一定時(shí)間，客戶端對(duì)計(jì)算機(jī)界面進(jìn)行截圖，然后上傳至服務(wù)器。考慮到截圖的頻繁程度對(duì)系統(tǒng)性能的影響，截圖頻率和上傳頻率都可以進(jìn)行調(diào)節(jié)。

3)視頻監(jiān)控功能。在每個(gè)機(jī)房都部署了高清攝像頭，進(jìn)行無盲點(diǎn)的覆蓋，通過視頻監(jiān)控系統(tǒng)可以采集每個(gè)機(jī)房的電腦所對(duì)應(yīng)的學(xué)員的真實(shí)影像資料，并存儲(chǔ)在視頻監(jiān)控系統(tǒng)中。出現(xiàn)安全事故時(shí)，可以通過清晰的影像資料辨別機(jī)位上的操作人。該系統(tǒng)可支持通過B/S 結(jié)構(gòu)在線查詢機(jī)房的視頻監(jiān)控資料，視頻資料保存時(shí)間一般不少于3 個(gè)月。

4)機(jī)房無人值守管理功能。如果采用導(dǎo)入信息指定上機(jī)模式，在學(xué)員上機(jī)之前，機(jī)房管理員把學(xué)員的身份證號(hào)碼和姓名等信息導(dǎo)入系統(tǒng)后，學(xué)員就可以自助刷卡上機(jī)了，從而做到在培訓(xùn)過程中無人值守。如果采用導(dǎo)入信息自選上機(jī)模式和不導(dǎo)入信息自選上機(jī)模式，學(xué)員也只需刷身份證之后找到合適機(jī)位輸入身份證號(hào)碼即可完成上機(jī)操作，全程無需機(jī)房管理員參與。如果在上機(jī)過程中學(xué)員有任何問題，可以直接通過本機(jī)客戶端發(fā)消息給機(jī)房管理員，機(jī)房管理員可采取遠(yuǎn)程管理等手段解決問題。

除此之外，本系統(tǒng)集成了普通機(jī)房管理系統(tǒng)所具有的其他功能，如屏幕查看、計(jì)算機(jī)鎖定和解鎖、計(jì)算機(jī)信息遠(yuǎn)程修改、軟件下發(fā)和信息發(fā)布等日常管理功能，能滿足機(jī)房管理員的需求。

4 結(jié)束語

本系統(tǒng)已經(jīng)成功應(yīng)用于國網(wǎng)湖南省電力公司培訓(xùn)中心的培訓(xùn)機(jī)房，在信息安全管理和機(jī)房管理方面發(fā)揮重要的作用，學(xué)員在培訓(xùn)機(jī)房的信息安全意識(shí)明顯提高，信息安全事故發(fā)生率顯著降低，機(jī)房管理水平顯著提高。鑒于本系統(tǒng)能解決實(shí)際問題，目前正準(zhǔn)備向系統(tǒng)內(nèi)各個(gè)單位推廣。如果將來能夠和SG－ERP 培訓(xùn)模塊和培訓(xùn)管理系統(tǒng)對(duì)接，將能夠提供實(shí)際培訓(xùn)簽到人員名單，從而更好地開展培訓(xùn)工作。

〔1〕趙偉． 高校機(jī)房管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)〔J〕． 信息與電腦，2012(1):59-61．

〔2〕李桂芝，王 偉，楊根興． 基于IC 卡的機(jī)房管理系統(tǒng)的設(shè)計(jì)〔J〕． 北京機(jī)械工業(yè)學(xué)院學(xué)報(bào)，2004，19(1):33-37．

〔3〕沈?。?機(jī)房安全管理系統(tǒng)的研制〔J〕． 泰安師專學(xué)報(bào)，2000.22(3):61-63．

〔4〕趙小平． 基于二代身份證的學(xué)生宿舍門禁系統(tǒng)研究與設(shè)計(jì)〔D〕． 西安:西安石油大學(xué)，2010．

〔5〕房向榮，楊樂． 實(shí)驗(yàn)中心管理信息系統(tǒng)與門禁系統(tǒng)開發(fā)〔J〕．西安郵電學(xué)院學(xué)報(bào)，2009，14(5):121-124