曾 愚

(國網(wǎng)四川省電力公司信息通信公司，四川 成都 610041)

?

工作研究

電力信息系統(tǒng)中行為安全審計體系的建立與應用

曾 愚

(國網(wǎng)四川省電力公司信息通信公司，四川 成都 610041)

隨著電力企業(yè)對信息系統(tǒng)行為安全審計的認知和應用不斷深入，行為安全審計中心的設計、建設也日益成熟，相關(guān)行為安全審計制度和規(guī)范也得到了進一步的修正和完善。但是，由于電力企業(yè)業(yè)務領域的不斷融合，各應用子系統(tǒng)的數(shù)量逐年遞增，這給行為日志數(shù)據(jù)的統(tǒng)一集成和接入帶來不小的挑戰(zhàn)；同時，已建成的大量業(yè)務子應用的行為數(shù)據(jù)的格式、字段、存儲并未使用統(tǒng)一的規(guī)范，因此對行為數(shù)據(jù)質(zhì)量的治理工作還亟待加快推進。

電力信息；行為安全；審計體系；實踐

0 引 言

計算機信息系統(tǒng)作為信息的載體和傳遞手段，已經(jīng)成為企業(yè)最重要的資源和財富，它信息的安全事關(guān)企業(yè)生產(chǎn)安全，乃至國家和社會的穩(wěn)定。因此, 必須采取措施確保信息系統(tǒng)的安全[1]。信息系統(tǒng)在建設發(fā)展初期，企業(yè)對信息系統(tǒng)的安全防護主要集中于防患外部侵入，且取得了一定成果；但是，對于來自企業(yè)內(nèi)部的威脅，卻一直沒有得足夠的重視，隨著當前各類信息泄露事件的頻發(fā)，企業(yè)開始逐步認識到，防護來自內(nèi)部的威脅已經(jīng)成為保障信息安全的核心關(guān)鍵[2]。

1 行為安全的審計

1.1 行為安全的定義

在審計學中，行為審計的主題是具體行為，主要是從眾多的行為中查找違規(guī)行為[3]。行為審計核心要素應當包括審計本質(zhì)、審計需求、審計目標、審計主體、審計客體、審計內(nèi)容和審計機制。

對電力企業(yè)的而言，行為審計應當結(jié)合信息安全審計，聚焦信息系統(tǒng)用戶的行為安全，運用技術(shù)手段協(xié)助定位信息安全事件源頭，加強企業(yè)內(nèi)部對相關(guān)規(guī)章制度以及國家法律法規(guī)的落實，降低各類安全風險與經(jīng)濟損失。因為信息系統(tǒng)中的行為都是來自用戶，所以用戶是唯一具有主觀能動性的責任主體，即審計客體；審計的范圍應當覆蓋電力企業(yè)內(nèi)所有涉及核心業(yè)務及敏感資源的信息系統(tǒng)；審計主體應當包括企業(yè)內(nèi)、外部的專業(yè)審計組織以及信息安全部門的人員；審計內(nèi)容涵蓋進行業(yè)務操作的用戶和負責運行維護的運維用戶的所有行為日志數(shù)據(jù)(以下簡稱“行為數(shù)據(jù)”)；審計機制是依照國家的安全法律法規(guī)以及企業(yè)內(nèi)部的安全制度，在對用戶的行為進行定性的基礎上進行處罰，同時對現(xiàn)有的審計管理制度提出合理化的建議[4]。

因此，信息系統(tǒng)行為安全審計(以下簡稱“行為安全審計”)可以解釋為：審核監(jiān)督電力企業(yè)內(nèi)部信息系統(tǒng)用戶(以下簡稱“用戶”)在授權(quán)許可和使用過程中所發(fā)生的行為，及其行為產(chǎn)生的數(shù)據(jù)和記錄是否符合企業(yè)行為安全相關(guān)制度的活動。

1.2 行為安全審計現(xiàn)狀

當前信息系統(tǒng)中，用戶的非法操作及異常行為往往具有特異性弱和隱蔽性強等特點。例如，企業(yè)內(nèi)部人員以合法用戶身份登錄系統(tǒng)，進行非法操作，竊取涉密資料，并對外傳播，這會為企業(yè)帶來重大負面影響和損失。另一方面，我國電力行業(yè)早期信息化建設缺乏統(tǒng)一的規(guī)劃與規(guī)范，同時由于電力企業(yè)專業(yè)跨度大，業(yè)務廣泛，導致各類信息系統(tǒng)建設水平參差不齊，針對用戶行為的日志沒有制定統(tǒng)一的字段、格式，行為審計數(shù)據(jù)模型不完整；各系統(tǒng)之間缺乏關(guān)聯(lián)分析機制，無法反映行為安全的全貌，并且多數(shù)行為安全審計的進行是通過人工進行的，耗時多、效率低并且日志本身的數(shù)據(jù)安全沒有保障。這就導致信息安全事件頻發(fā)而無法對其進行追溯、定論和預防。同時，行為安全審計的技術(shù)上的缺陷也造成行為安全規(guī)章制度的修訂和完善停滯不前，給電力企業(yè)的安全生產(chǎn)和運行帶來諸多隱患。

因此，電力企業(yè)當前迫切需求運用行為審計的方法論來建立一個完整的行為安全審計體系，以完善和提升企業(yè)內(nèi)部的信息安全管理水平與降低各類安全事件導致的經(jīng)濟損失。

1.3 行為安全的審計體系

行為安全審計體系是建立在電力企業(yè)信息系統(tǒng)基礎上的閉環(huán)管理體系，由三個相互獨立而又循環(huán)作用的環(huán)節(jié)組成。通過對已發(fā)生的異常、違規(guī)行為的監(jiān)控日志進行分析和評估，確定事件發(fā)生的源頭與行為軌跡，同時對潛在風險因子及安全威脅進行模擬與估測，然后將其抽象化為預警策略，并部署成為新的監(jiān)控對象，建立行為安全審計的自我完善機制，提出合理化的審計建議，迭代更新相關(guān)的行為安全審計制度與標準，從而實現(xiàn)異常行為預警從被動到主動防御的完整閉環(huán)管理。

1.3.1 行為安全的監(jiān)控

監(jiān)控環(huán)節(jié)在時間特征上屬于事中審計，審計過程中得出的結(jié)論的必然建立在客觀系統(tǒng)日志數(shù)據(jù)基礎上，目的是強化“管理”企業(yè)行為安全治理中的作用。監(jiān)控的對象是異常的用戶行為，可用于常態(tài)化的行為安全分析、檢查工作，包括根據(jù)用戶的不同類型制定相應的越權(quán)訪問、繞行訪問、權(quán)限互斥、異地登陸等告警策略，輔助內(nèi)控人員對用戶行為分析和評估，并對高危操作啟用阻斷機制，實現(xiàn)對用戶異常行為準實時管控。

1.3.2 行為安全的追蹤

然而，由于信息系統(tǒng)安全隱患的不確定性，通常會存在諸多異常行為未被納入到監(jiān)控環(huán)節(jié)的告警策略當中，無法在發(fā)生時采取告警動作。為了解決此類問題，追蹤環(huán)節(jié)作為核心的取證模式，用于對已發(fā)生的異常行為或暴露的信息安全事件開展行為溯源與軌跡重現(xiàn)。追蹤環(huán)節(jié)屬于事后審計，是基于對各類數(shù)據(jù)關(guān)聯(lián)分析的協(xié)同工作。目的是準確定位到異常行為的操作人，即責任主體。追蹤分為反向追蹤與正向復原兩個過程：反向追蹤是根據(jù)被泄露或是竄改的數(shù)據(jù)線索追蹤到責任主體；正向復原是從具有嫌疑的責任主體中，復原一個或多個主體在一定時間范圍內(nèi)且在電力企業(yè)信息網(wǎng)絡中完整的活動軌跡。這兩個過程都需借助下兩個基礎手段來實現(xiàn)：

(1)賬號實名制管理。實名制管理可以理解為一種是“人防”手段，是建立責任主體(即用戶)與每一個信息系統(tǒng)賬號(以下簡稱“賬號”)在其全生命周期當中一一對應的關(guān)系，范圍包括企業(yè)內(nèi)部的業(yè)務系統(tǒng)以及主機、數(shù)據(jù)庫、中間件、網(wǎng)絡及安全設備等賬號。這種管理機制的施行，是展開行為溯源的理論基礎以及審計結(jié)論的關(guān)鍵支撐[5]。

(2)用戶行為日志分析。日志分析過程是將從客戶端、服務器端、中間件、網(wǎng)絡設備等采集到的用戶行為日志數(shù)據(jù)進行基于統(tǒng)計方法和網(wǎng)絡挖掘的關(guān)聯(lián)分析，為精準定位責任主體提供依據(jù)[6]；或是對嫌疑責任主體進行異常行為的全過程重現(xiàn)，為審計定性提供有價值的證據(jù)。

1.3.3 行為安全的預測

預測是通過對客觀事實歷史和現(xiàn)狀進行科學的調(diào)查和分析，由過去和現(xiàn)在去推測未來，由已知去推測未知，從而揭示客觀事實未來發(fā)展的趨勢和規(guī)律，因此，預測環(huán)節(jié)是將行為安全管理由被動提升為主動的核心環(huán)節(jié)。

首先是運用已有的行為數(shù)據(jù)，對信息系統(tǒng)中的用戶進行模擬畫像，建立對應的行為安全風險控制模型。用戶畫像是真實用戶的虛擬代表，是建立在一系列真實數(shù)據(jù)之上的目標用戶模型，通過調(diào)研去了解用戶，根據(jù)他們的目標、行為和習慣的差異，將他們分為不同的類型，然后在每種類型中抽取出典型特征，賦予名稱、場景以及統(tǒng)計學要素等描述,以形成了一個基礎原型。簡而言之，用戶畫像就是信息標簽化，用戶畫像的核心工作是為用戶添加標簽，目的是為了使計算機能夠程序化處理與用戶相關(guān)的信息，通過算法、模型能夠“識別”用戶的行為，提供分類統(tǒng)計和數(shù)據(jù)挖掘的服務。其次是利用大數(shù)據(jù)運算的優(yōu)勢，分析用戶行為包含的風險因子與相關(guān)性，對行為安全風險的發(fā)生趨勢做出預見性的判斷，同時采用機器學習的技術(shù)，優(yōu)化行為風險預測的準確性。機器學習是一門人工智能的科學，專門研究如何在經(jīng)驗學習中改善具體算法的性能[7]。由此，整個預測環(huán)節(jié)形成一套完整的管理流程，包括確定預測目標、制訂預測計劃、選擇預測算法、計算預測數(shù)據(jù)、檢驗和修正預測結(jié)果等；這種預測是建立在深入分析海量歷史數(shù)據(jù)和先進算法的合理判斷之上，同時能夠?qū)Ξ惓Ｐ袨榈念A防機制提供指導意見，降低其發(fā)生的概率和頻率。

2 行為安全審計的實踐

以某電力企業(yè)為例，該企業(yè)擁有70余個應用子系統(tǒng)，大部分信息系統(tǒng)采用企業(yè)門戶單點登錄、統(tǒng)一身份認證方式，個別系統(tǒng)擁有獨立登陸渠道，對應的用戶責任主體十余萬人。由于企業(yè)的應用子系統(tǒng)構(gòu)成復雜,用戶數(shù)量龐大，對用戶的行為安全進行有效地管理存在較大困難。

該企業(yè)依照行為安全審計體系的管理思想，對其內(nèi)部用戶的行為源數(shù)據(jù)進行了設計，運用傳統(tǒng)的E-R數(shù)據(jù)模型與用戶畫像多維數(shù)據(jù)模型相結(jié)合，構(gòu)建了信息系統(tǒng)行為安全審計中心系統(tǒng)(以下簡稱“行為安全審計中心”)。該系統(tǒng)基于B/S結(jié)構(gòu)設計，通過在終端計算機中植入自主開發(fā)代理程序(Agent)實現(xiàn)桌面管理功能，主動采集主機類、網(wǎng)絡類、安全類、應用類、平臺類、機房類、終端類、存儲類等數(shù)據(jù)源的行為數(shù)據(jù)，隨后通過WebService、ActiveMQ和RESTful消息服務的配置管理將數(shù)據(jù)進行接收和存入統(tǒng)一的日志中心；在日志中心內(nèi)，實時分析部分采用Kafka消息機制來實現(xiàn)所存入數(shù)據(jù)的分發(fā)，并通過ElaticSearch進行準實時分析和查詢。針對離線數(shù)據(jù)部分，通過與該企業(yè)自有的大數(shù)據(jù)平臺做數(shù)據(jù)對接進行分析，形成行為特征標簽，在此基礎上形成行為預測標簽，并選擇了MongoDB用于存儲所有的標簽，而元數(shù)據(jù)存儲依舊使用傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)庫MySQL。

從系統(tǒng)功能角度，行為安全審計中心從下至上分為四層，分別是采集層、存儲層、應用層和展現(xiàn)層：采集層負責行為數(shù)據(jù)源的采集，通過統(tǒng)一的接口，可以將采集的信息進行標準化后，接入行為日志中心庫。存儲層是對實時和離線的數(shù)據(jù)進行存儲管理。依托大數(shù)據(jù)存儲組件和技術(shù)，存儲采集層獲取的用戶行為日志歷史數(shù)據(jù)，包括結(jié)構(gòu)化日志數(shù)據(jù)和視頻、文本、圖片等非結(jié)構(gòu)化數(shù)據(jù)，用于用戶行為追蹤；而實時數(shù)據(jù)庫，則是用于存儲安全產(chǎn)品及用戶終端代理實時采集的數(shù)據(jù)。應用層通過基礎應用建模、計算、分析海量的用戶行為數(shù)據(jù)進行離線分析。分析用戶操作行為，并實現(xiàn)信息系統(tǒng)行為安全及時預警。展現(xiàn)層則是利用該企業(yè)自主開發(fā)的集中監(jiān)控展示系統(tǒng)對應用層的數(shù)據(jù)進行及時展現(xiàn)。

從業(yè)務應用角度，該系統(tǒng)分為追蹤調(diào)查、異常監(jiān)控、違規(guī)預測模塊和內(nèi)控管理四部分，分別從四個維度出具不同的階段性審計報告，供企業(yè)內(nèi)、外部審計人員使用：追蹤調(diào)查用于安全事件發(fā)生后的調(diào)查取證，包括實名追溯和身份管理、終端監(jiān)控管理、行為軌跡重現(xiàn)和行為過濾模型管理，最終形成《追蹤調(diào)查報告》；異常監(jiān)控用于常態(tài)化的監(jiān)測、分析工作，負責越權(quán)訪問、異常指令、阻斷操作、互斥等策略的制定和管理，最終形成《異常監(jiān)控報告》。違規(guī)預測功能包括行為風險控制應用、風險行為模型管理，最終形成《違規(guī)預測報告》。內(nèi)控管理使用PDCA(計劃、實施、檢查、整改)理論對行為安全審計進行閉環(huán)管理，用于提升整體應用效果，最終形成《內(nèi)控管理報告》[8]。

3 結(jié) 語

隨著電力企業(yè)對信息系統(tǒng)行為安全審計的認知和應用不斷深入，行為安全審計中心的設計、建設也日益成熟，相關(guān)行為安全審計制度和規(guī)范也得到了進一步的修正和完善。但是，由于電力企業(yè)業(yè)務領域的不斷融合，各應用子系統(tǒng)的數(shù)量逐年遞增，這給行為日志數(shù)據(jù)的統(tǒng)一集成和接入帶來不小的挑戰(zhàn)；同時，已建成的大量業(yè)務子應用的行為數(shù)據(jù)的格式、字段、存儲并未使用統(tǒng)一的規(guī)范，因此對行為數(shù)據(jù)質(zhì)量的治理工作還亟待加快推進。另一方面，信息技術(shù)的不斷進步同時也導致違規(guī)行為種類和方式不斷更新，對于行為安全預測中涉及的機器學習算法還需要進一步提高和優(yōu)化。

[1] 沈昌祥,張煥國,馮登國,曹珍富,黃繼武. 信息安全綜述[J]. 中國科學(E輯:信息科學),2007,02:129-150.

[2] 王揚,俞烽. 信息系統(tǒng)行為審計管理[J]. 指揮信息系統(tǒng)與技術(shù),2012,02:44-48.

[3] 夏明. 行為審計發(fā)展的四個維度[J]. 中國注冊會計師,2012,07:59-65.

[4] 鄭石橋. 行為審計理論框架:基于系統(tǒng)論視角的理論要素及相互關(guān)系[J]. 會計之友,2016,6:88-92.

[5] 楊偉明,袁勁松. 應用系統(tǒng)內(nèi)部行為審計模型的構(gòu)建[J]. 成都信息工程學院學報,2006,03:398-400.

[6] 土佳琪. 移動互聯(lián)網(wǎng)行為審計關(guān)鍵技術(shù)研究[D].北京交通大學,2015.

[7] 江偉,陳龍,王國胤. 用戶行為異常檢測在安全審計系統(tǒng)中的應用[J]. 計算機應用,2006,07:1637-1639+1642.

[8] 楊潔. 基于PDCA循環(huán)的內(nèi)部控制有效性綜合評價[J]. 會計研究,2011,04:82-87.

(責任編輯：卓政昌)

學會活動園地及信息

川南西部創(chuàng)業(yè)園分布式能源項目開工建設

近日，川南首個正式核準的分布式能源項目--西部創(chuàng)業(yè)園分布式能源項目在南溪區(qū)裴石鎮(zhèn)正式開工建設，2017年9月該項目首臺燃氣輪機將投入運行。該項目由四川能投分布式能源有限公司負責建設，項目占地30畝，總投資約1.9億元，計劃建設2臺7 MW(兆瓦)級燃氣輪發(fā)電機組、2臺15噸/小時的余熱鍋爐，配套建設3臺15噸/小時、2臺4噸/小時的備用和調(diào)峰燃氣鍋爐，蒸汽管網(wǎng)等輔助設施。項目建成后將為園區(qū)企業(yè)集中提供電力、蒸汽、熱水、冷水等清潔能源產(chǎn)品。

中國電建累計向大渡河投放珍稀魚苗80萬尾

8月25日，中國電建投資的大渡河安谷、沙灣水電站舉行年度魚類增殖放流活動，此次活動共計放流胭脂魚、黃顙魚、長薄鰍、中華倒刺鲃、白甲魚等珍稀魚苗30萬尾，這是自2014、2015年之后的第三次放流，三年共投放珍惜魚苗80萬尾。此次投放，是貫徹落實新環(huán)保法和國家環(huán)評要求的實際行動，也是按照環(huán)保部要求，在安谷電站建設“水電工程生態(tài)保護試驗場和教育示范基地”的重要舉措，將初步改善大渡河下游河段的魚類分布狀況。目前多渠道的信息表明，一些多年不見的珍稀魚類，如今已時有發(fā)現(xiàn)。

國電大渡河沙坪二級水電站主廠房橋式起重機負荷試驗圓滿完成

9月8日，國電大渡河流域水電開發(fā)公司沙坪二級水電站主廠房兩臺200噸橋式起重機負荷試驗圓滿完成，標志著電站機電安裝工程水輪發(fā)電機組的安裝工作全面啟動。沙坪二級水電站主廠房設計布置兩臺200噸橋式起重機，按照同軌道方式運行，承擔電站主廠房永久機電設備的吊裝任務。主廠房橋機主要由大車行走機構(gòu)、主梁、起升機構(gòu)、小車架、司機室、電動葫蘆等組成，整機總重量約176.5噸、軌距23.5米，本橋機總起重量為200噸，最大試驗負荷250噸。

長河壩大壩工程提前4個月填筑到頂

9月10日，由中國電建集團公司承建的西川電東送控制工程--長河壩水電站大壩工程提前合同工期四個月全線填筑到頂，為長河壩水電站工程2017年首臺機組按時發(fā)電目標創(chuàng)造了條件。上午10點，長河壩電站大壩工程壩頂上彩旗獵獵，長河壩電站建設者在壩頂舉行了簡單熱烈的大壩填筑到頂慶賀儀式。儀式上，大唐國際甘孜水電開發(fā)有限公司總經(jīng)理熊雄表示，長河壩礫石土心墻大壩技術(shù)復雜、質(zhì)量要求高、施工難度大，但是水電五局攻堅克難取得了提前4個月填筑到頂?shù)臉I(yè)績，展示了該公司“水電先鋒”風采。

四川全面停止小型水電項目開發(fā)

作為我國最大的水電生產(chǎn)和“西電東送”基地，四川省近日結(jié)合新常態(tài)下水電消納矛盾日益突出的實際，對該省水電開發(fā)總體思路作出調(diào)整?！笆濉逼陂g，四川將嚴格控制中型水電項目核準，全面停止小型水電項目開發(fā)。 近年來，隨著電力需求增長緩慢，外送通道建設滯后，四川水電的消納矛盾也日益突出，需著力優(yōu)化電源結(jié)構(gòu)，積極調(diào)整水電開發(fā)時序，加強水電建設過程管理。

國電大渡河革什扎公司吉牛大壩首次注冊為甲級大壩

9月20日，國電四川革什扎水電開發(fā)公司收到國家能源局大壩安全監(jiān)測中心頒發(fā)的《水電站大壩安全注冊登記證》，標志著吉牛電站大壩注冊工作圓滿順利完成，吉牛電站大壩從此獲得了安全狀況及運行許可的正式法律憑證。吉牛電站大壩首次安全注冊登記為甲級大壩，有效期為五年。

國電四川南椏河流域梯級水電站統(tǒng)一調(diào)度獲批復

8月29日，國電四川公司南椏河流域梯級水電站實行統(tǒng)一調(diào)度正式獲得四川省經(jīng)濟和信息化委員會批復。 該公司冶勒、栗子坪、姚河壩、南椏河四個水電站同屬南椏河流域，距離較近，水力聯(lián)系良好，龍頭水庫冶勒電站調(diào)節(jié)能力強，實施梯級水電站統(tǒng)一調(diào)度可以充分發(fā)揮冶勒多年水庫的調(diào)節(jié)作用，提高流域整體的調(diào)峰、調(diào)頻容量，增發(fā)枯季電量，為南椏河流域帶來更多的經(jīng)濟效益。

金沙水電站全面進入主體工程施工階段

9月3日，隨著挖掘機深深挖下第一鏟土，金沙水電站廠壩主體工程正式開工，標志著金沙水電站全面進入主體工程施工階段。 金沙水電站是國家西部大開發(fā)的重點工程，是合理開發(fā)利用金沙江水能資源，加快西部地區(qū)和民族地區(qū)經(jīng)濟社會發(fā)展的重要工程。工程的主要任務是以發(fā)電為主，同時兼有供水、改善城市水域景觀和取水條件、對觀音巖電站進出反調(diào)節(jié)等，對保障流域防洪安全以及生態(tài)環(huán)境意義重大。

2016-09-26

TM732；TU714；E232.6

B

1001-2184(2016)05-0129-03

曾 愚(1986-)，男，福建長汀人，計算機科學與技術(shù)、計算機通信雙碩士，工程師，從事信息系統(tǒng)運維技術(shù)管理工作.