呂旭明，羅桓桓，李 釗，趙永彬，陳 碩

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

基層人員信息系統(tǒng)應(yīng)用行為技術(shù)研究

呂旭明，羅桓桓，李 釗，趙永彬，陳 碩

（國網(wǎng)遼寧省電力有限公司，遼寧 沈陽 110006）

隨著電網(wǎng)自動化水平的不斷提高，各業(yè)務(wù)系統(tǒng)賬號、權(quán)限、登錄及應(yīng)用操作情況數(shù)據(jù)信息量龐大，管理決策人員無法準(zhǔn)確了解各信息系統(tǒng)使用情況。基于鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，結(jié)合其他主要業(yè)務(wù)系統(tǒng)應(yīng)用調(diào)研成果，建立用戶行為分析模型，采用聚類分析挖掘方法，以行為數(shù)據(jù)為依據(jù)，實時分析基層班組用戶工作，發(fā)現(xiàn)基層工作重心和難點，提出解決問題的方法和建議。

信息系統(tǒng)；數(shù)據(jù)；行為分析；聚類分析

基于鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，面向用戶端應(yīng)用行為統(tǒng)計與分析提供主機日志、運維審計日志等數(shù)據(jù)，通過對用戶行為數(shù)據(jù)進行標(biāo)準(zhǔn)化、過濾和歸并處理，形成可分析的結(jié)構(gòu)化數(shù)據(jù)，并對這些數(shù)據(jù)進行關(guān)聯(lián)分析，形成完整的訪問記錄。要實現(xiàn)行為追蹤，除了從人員賬號、終端設(shè)備對登錄和操作進行審計外，還需要審計訪問軌跡，從訪問全過程對痕跡進行跟蹤審計，真實記錄用戶行為對系統(tǒng)和數(shù)據(jù)的操作痕跡，綜合審計系統(tǒng)中的數(shù)據(jù)與業(yè)務(wù)層面審計相結(jié)合，實現(xiàn)完整的行為跟蹤，同時提供智能分析手段，識別潛在風(fēng)險，為安全事件提供技術(shù)支撐［1－3］。

本文深入分析用戶日常操作行為，形成基層人員信息系統(tǒng)應(yīng)用行為分析報告，提出解決問題的方法和建議，促進縣級供電企業(yè)及鄉(xiāng)鎮(zhèn)供電所管理水平穩(wěn)步提升，使鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)應(yīng)用率達到99%以上。

1 研究內(nèi)容

針對國網(wǎng)遼寧省電力有限公司現(xiàn)狀，部分業(yè)務(wù)應(yīng)用對其運維管理員帳號（用戶帳號變更、帳號權(quán)限變更等）的管理辦法不完善，管理員帳號管理松散，口令管理未全面納入公司安全口令管理范疇，存在管理員帳號盜用、借用、濫用的情況。參考有關(guān)國際標(biāo)準(zhǔn)（如ISACA的COBIT標(biāo)準(zhǔn)），公司應(yīng)成立信息系統(tǒng)審計規(guī)范管理委員會，設(shè)計可擴展、具有指導(dǎo)性且符合公司的審計規(guī)范。為了全面支撐公司信息系統(tǒng)用戶行為跟蹤模塊建設(shè)，應(yīng)完成審計相關(guān)標(biāo)準(zhǔn)、規(guī)范、流程的建設(shè)和完善。對鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)從開發(fā)、實施、上線、運行，以及對用戶帳號等信息的準(zhǔn)入、授權(quán)、訪問控制等提供過程的規(guī)范體系支撐，以實現(xiàn)審計“可控、可視、可分析、可追溯”。

1.1 用戶行為追蹤

用戶行為追蹤：用戶通過界面搜索關(guān)鍵信息（用戶帳號、用戶姓名等），同時選擇搜索時間范圍，自動計算用戶在該時間段的訪問記錄。

搜索展示：將用戶訪問記錄以圖形方式展現(xiàn)。

用戶軌跡可鉆?。和ㄟ^點擊用戶軌跡點，可進一步查看具體的操作信息，信息中應(yīng)展示用戶操作發(fā)生的時間、地點、操作模塊等信息。

導(dǎo)出功能：支持單個、多個用戶的訪問記錄導(dǎo)出功能，導(dǎo)出格式為PDF文件。

用戶常用查詢配置：支持用戶配置并保存用戶常用查詢。

1.2 數(shù)據(jù)采集

用戶行為跟蹤系統(tǒng)采用NoSQL作為數(shù)據(jù)索引的中心，同時還支持各種數(shù)據(jù)的采集機制，完成所有數(shù)據(jù)的采集工作，能夠采集的多種類型數(shù)據(jù)如下。

操作系統(tǒng)類包括系統(tǒng)用戶、窗口標(biāo)題、鍵盤輸入、鼠標(biāo)點擊、編輯內(nèi)容、下拉菜單、新進程、網(wǎng)絡(luò)連接、剪貼板、打開文件等。

網(wǎng)頁操作類包括源、目標(biāo)IP地址、應(yīng)用系統(tǒng)賬號、登錄時間、標(biāo)題、URL信息、操作方式、頁面加載時間、Html源代碼數(shù)據(jù)、表單信息、敏感信息、網(wǎng)頁內(nèi)容等。

事件過濾：事件管理提供了所有對事件過濾的功能，通過事件過濾規(guī)則，可以將滿足條件的事件進行過濾。事件過濾規(guī)則可以采用界面化定義的方式，組合過濾條件，過濾條件之間可設(shè)為與、或關(guān)系。

數(shù)據(jù)分析：數(shù)據(jù)分析是以采集到的不同類型數(shù)據(jù)為基礎(chǔ)，通過系統(tǒng)內(nèi)置的分析引擎對數(shù)據(jù)進行分析，深度挖掘，分析各個業(yè)務(wù)系統(tǒng)的使用情況以及各業(yè)務(wù)系統(tǒng)功能點的使用情況，幫助運維人員更好地進行業(yè)務(wù)系統(tǒng)改造和優(yōu)化，同時，也可以作為決策人員對業(yè)務(wù)系統(tǒng)改造申請?zhí)峁Q策的依據(jù)。

1.3 數(shù)據(jù)檢索

面向用戶端應(yīng)用行為統(tǒng)計與分析提供搜索引擎功能，可以通過搜索引擎的關(guān)鍵字檢索功能，快速檢索到終端操作的文本內(nèi)容。所有數(shù)據(jù)均可以通過搜索引擎完成關(guān)鍵字檢索，每個操作畫面也都嵌入了搜索引擎模塊，目的就是為用戶提供快速獲取操作記錄和對應(yīng)操作畫面的途徑。

搜索引擎提供了快速獲取數(shù)據(jù)功能，同時依據(jù)搜索引擎還可以完成對操作日志內(nèi)容的快速檢索、數(shù)據(jù)的自動化分類及審計日志的進一步處理。如通過搜索引擎可以對審計數(shù)據(jù)進行自動化解析功能、數(shù)據(jù)分類定義、自動化報表定制、自動化告警定制等［4］。

面向用戶端應(yīng)用行為統(tǒng)計與分析中提供的各種操作內(nèi)容和系統(tǒng)的事件內(nèi)容，通過搜索引擎平臺可以快速檢索到事件、日志等信息。

1.4 智能告警

面向用戶端應(yīng)用行為統(tǒng)計與分析提供操作內(nèi)容敏感信息告警功能，管理人員可以根據(jù)敏感內(nèi)容關(guān)鍵字段在系統(tǒng)中自行設(shè)置告警規(guī)則，當(dāng)有用戶操作觸發(fā)敏感信息進行實時告警。

通過搜索引擎提供自動化告警功能，用戶可以依據(jù)搜索引擎的搜索條件直接保存為告警，并通過告警設(shè)置規(guī)則進行設(shè)置。后續(xù)搜索引擎再進行搜索時若發(fā)現(xiàn)滿足設(shè)置的搜索條件發(fā)生即告警。

1.5 智能化報表

可以自動完成操作合規(guī)的報告管理，用戶行為跟蹤系統(tǒng)提供了強大的報表功能，用戶只需要知道自己需要什么報表，其他全部交由搜索引擎及報表生成引擎完成。

1.6 運維審計功能

運維是用戶訪問數(shù)據(jù)的重要途徑，運維審計功能模塊針對運維操作事前防范、事中控制、事后追溯，提升系統(tǒng)易用性，最終實現(xiàn)運維用戶的行為分析、預(yù)警。

集成應(yīng)用審計：對與運維管理模塊集成的應(yīng)用系統(tǒng)進行審計，存儲應(yīng)用系統(tǒng)執(zhí)行命令的日志，解決相關(guān)操作不能被跟蹤的問題，做到凡是操作留有痕跡，為事后審計追責(zé)、用戶行為跟蹤分析提供依據(jù)。

備份管理：使運維審計模塊不間斷運行，數(shù)據(jù)實時備份，防止日志被刪除、篡改，保證審計記錄、日志的完整性。

2 系統(tǒng)技術(shù)方案

2.1 業(yè)務(wù)架構(gòu)

用戶行為跟蹤是對用戶訪問平臺、使用功能等操作行為的信息進行詳細(xì)記錄，以崗位、使用功能、停留時間、操作內(nèi)容等維度統(tǒng)計出用戶的使用習(xí)慣，為平臺的使用情況和對用戶的應(yīng)用推薦提供依據(jù)。

2.2 應(yīng)用架構(gòu)

用戶行為跟蹤主要通過部署在每臺終端上的行為分析工具，來對用戶在每個業(yè)務(wù)系統(tǒng)中的使用情況進行數(shù)據(jù)采集，并將采集到的數(shù)據(jù)進行加密和壓縮后，通過網(wǎng)絡(luò)傳送到控制中心，控制中心通過不同的分析引擎，對收集上來的數(shù)據(jù)進行分析和展現(xiàn)：包括數(shù)據(jù)的索引、敏感信息的提取、報表分析等［4－5］。

Portal層：終端核心采集程序的配置、整體任務(wù)調(diào)度由用戶行為審計系統(tǒng)管理中心提供，同時提供文本截取的時間戳對比、詳細(xì)操作內(nèi)容檢索、敏感信息告警及配置、提供智能報表管理等功能。

終端核心采集層：負(fù)責(zé)安裝在每個終端上，提供終端所有操作文本的截取、操作過程會話捕捉、敏感操作取證管理等功能，同時提供防卸載功能，直接對所有應(yīng)用操作的流量、對應(yīng)的操作內(nèi)容和操作過程還原取證等功能進行分析。

NoSQL數(shù)據(jù)庫：系統(tǒng)平臺采用NoSQL數(shù)據(jù)庫作為所有審計數(shù)據(jù)的管理中心，NoSQL數(shù)據(jù)庫可以提供快速索引的能力，方便審計數(shù)據(jù)檢索。

2.3 邏輯架構(gòu)

a.服務(wù)器1、服務(wù)器2中的負(fù)載均衡組件組成對外服務(wù)IP。

b.終端區(qū)域Agent采集的行為數(shù)據(jù)通過網(wǎng)絡(luò)發(fā)送到負(fù)載均衡服務(wù)IP。

c.負(fù)載均衡組件經(jīng)過均衡算法計算，選擇相應(yīng)的處理服務(wù)器。

d.服務(wù)器將重組、處理后的數(shù)據(jù)寫入共享存儲。

3 效益分析

管理效益：面向用戶端應(yīng)用行為統(tǒng)計與分析的建設(shè)，一方面可以大大提高基層班組的工作效率，減少人力成本的投入；另一方面可以加強對相關(guān)業(yè)務(wù)的監(jiān)管力度，有利于提高工作質(zhì)量，可以為基層班組培養(yǎng)一批既懂業(yè)務(wù)又懂技術(shù)的骨干隊伍，為今后相關(guān)業(yè)務(wù)發(fā)展、信息化發(fā)展提供人才保障。同時，可增強基層班組信息系統(tǒng)的實用化和易用性，實現(xiàn)管理層對于縣供電企業(yè)業(yè)務(wù)的全過程管控，提升基層單位用戶操作熟練度和對信息系統(tǒng)的認(rèn)識。在建設(shè)中，通過建立報表清單及導(dǎo)出功能、各類系統(tǒng)接口與增強、數(shù)據(jù)整改和治理、開展實用化和易用化評價、完善評價指標(biāo)考核體系、加強用戶培訓(xùn)等各項工作，增加縣供電企業(yè)業(yè)務(wù)開展的規(guī)范性和準(zhǔn)確度，提高工作效率，減少基層單位人員線下統(tǒng)計和分析的工作量，節(jié)省資金和人力資源成本，滿足公司集約化管理要求和信息化建設(shè)的目標(biāo)，推動公司物資管理水平更上新臺階。

經(jīng)濟和社會效益：通過面向用戶端應(yīng)用行為統(tǒng)計與分析的建設(shè)，能夠及時發(fā)現(xiàn)用戶異常行為，應(yīng)用問題以及涉及的違規(guī)操作，降低信息安全風(fēng)險，避免信息安全事故發(fā)生，最大程度避免公司經(jīng)濟損失及企業(yè)形象損失。

4 結(jié)束語

基于鄉(xiāng)鎮(zhèn)供電所及班組一體化信息系統(tǒng)，結(jié)合其他主要業(yè)務(wù)系統(tǒng)應(yīng)用調(diào)研成果，建立用戶行為分析模型，支撐基層班組減負(fù)工作，通過用戶行為跟蹤，發(fā)現(xiàn)基層負(fù)擔(dān)所在。利用桌面型客戶端的優(yōu)勢，以旁路監(jiān)測的方式，對前端用戶使用過程的行為進行記錄，定期形成用戶行為分析報告，以行為數(shù)據(jù)為依據(jù)，提供解決問題的方向，推動系統(tǒng)持續(xù)完善。

［1］李 釗，張文國，呂旭明，等.縣級供電企業(yè)信息系統(tǒng)延伸覆蓋與深化應(yīng)用［J］.東北電力技術(shù)，2015，36（6）：19－20.

［2］呂旭明，李 釗，曹國強，等.信息通信支撐＂三集五大＂體系建設(shè)完善提升［J］.東北電力技術(shù)，2015，36（1）：37－40.

［3］李小蘭，田小雷，倪志堅，等.基于大數(shù)據(jù)挖掘的運營監(jiān)測分析研究［J］.東北電力技術(shù)，2016，37（9）：15－18.

［4］韓 雨，高 峻.利用大數(shù)據(jù)系統(tǒng)提升抄表服務(wù)水平［J］.東北電力技術(shù)，2015，36（8）：8－11.

［5］康麗雁，王天博，蔡穎凱，等.電力用戶用電信息采集系統(tǒng)分布式彈性架構(gòu)設(shè)計與實現(xiàn)［J］.東北電力技術(shù)，2015，36（9）：69－72.

［6］李 強，朱時雨.電能量采集與管理系統(tǒng)的設(shè)計與應(yīng)用［J］.東北電力技術(shù)，2012，33（3）：3－7.

Study on Personnel Information System Applied Behavior Analysis Technology

Lü Xuming，LUO Huanhuan，LI Zhao，ZHAO Yongbin，CHEN Shuo
（State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China）

Owing to the improvements of the power grid automation level，each business system login accounts，permissions，large a?mount of information，data and application of operations management decision makers can't accurately understand the usage of informa?tion system.Based on rural power substation and team integration information system，combined with the application research results of other main business system，user behavior analysis model is established.Based on behavioral data，real?time analysis of the basic unit team user workload，finding out the grass?roots level focus and difficulties，the methods and suggestions to solve the problem is put for?ward.

information system；data；behavior analysis；clustering analysis

F272.9

A

1004－7913（2016）11－0016－03

呂旭明（1981），男，碩士，高級工程師，從事電力系統(tǒng)信息通信專業(yè)管理及新技術(shù)研究。

2016－08－20）