0 引言

隨著電力企業(yè)信息化建設(shè)的不斷推進(jìn),桌面終端作為各類業(yè)務(wù)應(yīng)用的基礎(chǔ)硬件支撐平臺(tái),其運(yùn)行安全和維護(hù)效率變得越來越重要。國網(wǎng)遼寧省電力有限公司為提高信息網(wǎng)桌面終端的安全管理水平,對(duì)各單位桌面終端的安全管理提出了具體考核要求,考核數(shù)據(jù)從桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)等各類統(tǒng)一推廣的終端管控系統(tǒng)中抽取^[1]。由于各類桌面終端管控系統(tǒng)相互獨(dú)立,地市等基層單位的指標(biāo)監(jiān)測人員需要長時(shí)間盯著顯示器屏幕,逐個(gè)登錄相關(guān)系統(tǒng)控制臺(tái)查看各項(xiàng)考核指標(biāo)是否正常。由于指標(biāo)較多,人工監(jiān)測一次需要1 h左右的時(shí)間,每天需要定時(shí)開展多次監(jiān)測工作,耗費(fèi)了大量的人力。另外受監(jiān)測人員精神狀態(tài)和責(zé)任心的影響,指標(biāo)監(jiān)測的準(zhǔn)確度也不高,經(jīng)常發(fā)生由于人工監(jiān)測不及時(shí)導(dǎo)致的異常終端沒有得到及時(shí)處理的情況,終端安全管理水平不高。

為解決上述問題,通過研究與實(shí)踐,借鑒互聯(lián)網(wǎng)思維^[2],基于Web數(shù)據(jù)采集^[3]和網(wǎng)絡(luò)爬蟲技術(shù)^[4]研發(fā)了一套桌面終端安全管理指標(biāo)集中監(jiān)測工具,實(shí)現(xiàn)了指標(biāo)的集中展現(xiàn)和全時(shí)段自動(dòng)監(jiān)測,有效解決了指標(biāo)人工監(jiān)測費(fèi)時(shí)費(fèi)力和準(zhǔn)確率低的問題,提高了桌面終端的安全管控水平。

 1 桌面終端安全管理指標(biāo)集中監(jiān)測工具設(shè)計(jì)方案

桌面終端安全管理指標(biāo)集中監(jiān)測工具由硬件和軟件兩部分構(gòu)成,其中硬件主要包括服務(wù)器、短信貓池和手機(jī)終端,軟件包括運(yùn)行于服務(wù)器上的功能軟件和數(shù)據(jù)庫。桌面終端安全管理指標(biāo)集中監(jiān)測工具系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 桌面終端安全管理指標(biāo)集中監(jiān)測工具系統(tǒng)結(jié)構(gòu)Fig.1 System structure diagram of desktop terminal security management index centralized monitoring tool

桌面終端安全管理指標(biāo)集中監(jiān)測工具采用多線程多任務(wù)并發(fā)技術(shù)^[5],利用Web數(shù)據(jù)采集腳本來抓取桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網(wǎng)規(guī)范管理系統(tǒng)等終端安全管控系統(tǒng)的Web前臺(tái)網(wǎng)頁數(shù)據(jù),依據(jù)預(yù)定義的公式對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析和計(jì)算后,將終端注冊率、防病毒軟件安裝率和準(zhǔn)入客戶端安裝率等10余項(xiàng)運(yùn)行指標(biāo)集中展現(xiàn)在一個(gè)用戶界面中。用戶界面集中展示的指標(biāo)數(shù)據(jù)按照預(yù)設(shè)的時(shí)間間隔自動(dòng)刷新,當(dāng)指標(biāo)數(shù)據(jù)不符合設(shè)定的標(biāo)準(zhǔn)值時(shí),監(jiān)測工具以手機(jī)短信^[6]或郵件的形式進(jìn)行告警,提醒指標(biāo)管理人員及時(shí)處理。

 2 桌面終端安全管理指標(biāo)集中監(jiān)測工具技術(shù)原理及特點(diǎn)

2.1 桌面終端安全管理指標(biāo)集中監(jiān)測工具模型技術(shù)原理

桌面終端安全管理指標(biāo)集中監(jiān)測工具由Web前端數(shù)據(jù)源^[7]、多任務(wù)驅(qū)動(dòng)引擎^[8]和自動(dòng)化運(yùn)維^[9]3個(gè)部分構(gòu)成。桌面終端安全管理指標(biāo)集中監(jiān)測工具模型如圖2所示。

圖2 桌面終端安全管理指標(biāo)集中監(jiān)測工具模型Fig.2 Desktop terminal security management index centralized monitoring tool model

2.1.1 Web前端數(shù)據(jù)源

以桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網(wǎng)規(guī)范管理系統(tǒng)Web控制臺(tái)的前臺(tái)網(wǎng)頁顯示數(shù)據(jù),作為桌面終端安全管理指標(biāo)集中監(jiān)測工具集中展示、邏輯運(yùn)算和分析的數(shù)據(jù)源,數(shù)據(jù)信息存在于用戶通過瀏覽器瀏覽的網(wǎng)頁中,有別于傳統(tǒng)的MSSQL、MySQL、Oracle等數(shù)據(jù)庫型數(shù)據(jù)源。

1）桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)Web控制臺(tái)網(wǎng)頁中需要抓取的數(shù)據(jù)包括應(yīng)注冊數(shù)、已注冊數(shù)、注冊率、防病毒軟件安裝率、終端IP地址、終端MAC地址、終端用戶注冊信息、客戶端版本、防病毒軟件類型、防病毒軟件版本和無效設(shè)備數(shù)等關(guān)鍵信息。

2）360天擎防病毒系統(tǒng)Web控制臺(tái)網(wǎng)頁中需要抓取的數(shù)據(jù)包括防病毒客戶端已安裝數(shù)、未安裝數(shù)、病毒庫日期、客戶端版本、終端IP地址、終端MAC地址、終端用戶注冊信息和感染病毒數(shù)等關(guān)鍵信息。

3）防違規(guī)外聯(lián)系統(tǒng)Web控制臺(tái)網(wǎng)頁中需要抓取的數(shù)據(jù)包括防違規(guī)外聯(lián)軟件安裝數(shù)、軟件版本和終端IP地址等關(guān)鍵信息。

4）入網(wǎng)規(guī)范管理系統(tǒng)Web控制臺(tái)網(wǎng)頁中需要抓取的數(shù)據(jù)包括準(zhǔn)入客戶端安裝數(shù)和終端IP地址等關(guān)鍵信息。

2.1.2 多任務(wù)驅(qū)動(dòng)引擎

多任務(wù)驅(qū)動(dòng)引擎是桌面終端安全管理指標(biāo)集中監(jiān)測工具的核心部分,采用多線程并發(fā)技術(shù)驅(qū)動(dòng)多個(gè)任務(wù)同時(shí)獨(dú)立運(yùn)行。多任務(wù)驅(qū)動(dòng)引擎由Web數(shù)據(jù)采集（爬蟲）、數(shù)據(jù)分析、數(shù)據(jù)存儲(chǔ)和應(yīng)用網(wǎng)關(guān)4個(gè)相互作用的功能模塊構(gòu)成。

1）Web數(shù)據(jù)采集（爬蟲）模塊負(fù)責(zé)篩選、采集網(wǎng)頁上顯示的各類關(guān)鍵數(shù)據(jù),由基于網(wǎng)絡(luò)爬蟲技術(shù)和Web數(shù)據(jù)采集技術(shù)的各類功能腳本組成,主要使用Python^[10]、TC等工具開發(fā)。Web數(shù)據(jù)采集（爬蟲）模塊的核心功能是網(wǎng)頁信息提取^[11],通過分析網(wǎng)頁的源代碼（HTML）,查找網(wǎng)頁元素標(biāo)識(shí)的特征值,采用自動(dòng)識(shí)別關(guān)鍵詞技術(shù),利用HTTP協(xié)議編程獲取想要的數(shù)據(jù)。網(wǎng)頁元素的特征值主要有frame（框架）、id（唯一標(biāo)識(shí)）、tag（標(biāo)簽）、type（類型）、txt（文本）、value（特征）、index（索引）和name（名字）等。擁有這些特征值的網(wǎng)頁元素可以通過腳本編程來自動(dòng)獲取元素文本信息。

Web數(shù)據(jù)采集（爬蟲）模塊主要由網(wǎng)頁登錄、網(wǎng)頁表單交互、網(wǎng)頁數(shù)據(jù)抓取和網(wǎng)頁異常處置4個(gè)部分組成。其中網(wǎng)頁登錄模塊負(fù)責(zé)通過HTTP插件或HTTP協(xié)議的POST方式^[12] 完成用戶權(quán)限驗(yàn)證,模擬瀏覽者登錄Web控制臺(tái)頁面時(shí)輸入用戶名、密碼和驗(yàn)證碼并點(diǎn)擊登錄按鈕的過程,實(shí)現(xiàn)各類終端管控系統(tǒng)Web控制臺(tái)的后臺(tái)自動(dòng)登錄。網(wǎng)頁表單交互模塊通過模擬瀏覽者的手動(dòng)操作來實(shí)現(xiàn)網(wǎng)頁交互的后臺(tái)自動(dòng)操作,一般使用HTTP插件模擬瀏覽者將需要輸入的數(shù)據(jù)傳送到服務(wù)器端,服務(wù)器端程序處理表單傳過來的數(shù)據(jù)后將需要的結(jié)果反饋給交互模塊,主要應(yīng)用在數(shù)據(jù)查詢頁面。網(wǎng)頁數(shù)據(jù)抓取模塊負(fù)責(zé)將想要的目標(biāo)數(shù)據(jù)從網(wǎng)頁中篩選并提取出來,該模塊利用功能腳本模擬瀏覽者的手動(dòng)操作過程,自動(dòng)訪問預(yù)定義的URL網(wǎng)頁,分析HTML源代碼,利用預(yù)先確定的網(wǎng)頁元素特征值來獲取目標(biāo)數(shù)據(jù)。網(wǎng)頁異常處置模塊負(fù)責(zé)處理網(wǎng)頁登錄、網(wǎng)頁表單交互和網(wǎng)頁數(shù)據(jù)抓取過程中出現(xiàn)的網(wǎng)頁加載失敗、網(wǎng)頁加載不完整、網(wǎng)頁彈窗和網(wǎng)頁異常報(bào)錯(cuò)提示框等異常情況的處置,避免網(wǎng)頁異常對(duì)數(shù)據(jù)采集過程的影響。

2）數(shù)據(jù)分析模塊依據(jù)預(yù)定義的指標(biāo)計(jì)算公式,以Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)為數(shù)據(jù)源進(jìn)行計(jì)算,得出各個(gè)預(yù)定時(shí)間節(jié)點(diǎn)的弱口令數(shù)、終端注冊率、防病毒軟件安裝率和敏感信息執(zhí)行率等桌面終端安全管理指標(biāo)具體數(shù)據(jù)值。

3）數(shù)據(jù)存儲(chǔ)模塊用于將Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)、數(shù)據(jù)分析模塊計(jì)算的指標(biāo)結(jié)果、監(jiān)測工具本身的運(yùn)行日志和預(yù)定義的URL等配置參數(shù)存儲(chǔ)到MSSQL或MySQL等關(guān)系型數(shù)據(jù)庫中,便于今后各類報(bào)告需求的統(tǒng)計(jì)分析和事件回溯。

4）應(yīng)用網(wǎng)關(guān)模塊負(fù)責(zé)完成監(jiān)測工具與指標(biāo)管理人員的交互,包括數(shù)據(jù)展現(xiàn)、短信告警、郵件告警和分析報(bào)告4項(xiàng)應(yīng)用。其中,數(shù)據(jù)展現(xiàn)應(yīng)用將指標(biāo)管理人員關(guān)心的、由Web數(shù)據(jù)采集（爬蟲）模塊采集的數(shù)據(jù)和數(shù)據(jù)分析模塊計(jì)算得到的指標(biāo)數(shù)值集中展現(xiàn)在指標(biāo)集中展示窗口中,使得管理人員能夠隨時(shí)掌握桌面終端安全管理的各項(xiàng)指標(biāo)現(xiàn)狀。短信告警應(yīng)用負(fù)責(zé)在桌面終端安全管理的各項(xiàng)指標(biāo)出現(xiàn)異常或者桌面終端安全管理指標(biāo)集中監(jiān)測工具運(yùn)行異常時(shí),以手機(jī)短信的形式通知指標(biāo)管理人員,便于指標(biāo)管理人員能夠及時(shí)處理故障,短信告警應(yīng)用基于短信平臺(tái)的URL接口進(jìn)行開發(fā)。郵件告警應(yīng)用作為短信告警的備用方式,將異常情況以郵件的形式發(fā)送到指標(biāo)管理人員指定的郵箱當(dāng)中,郵件告警應(yīng)用基于標(biāo)準(zhǔn)的SMTP和POP3協(xié)議進(jìn)行開發(fā)^[13]。分析報(bào)告應(yīng)用負(fù)責(zé)按照日、月度、季度和年度時(shí)間跨度統(tǒng)計(jì)分析桌面終端安全管理指標(biāo)情況和桌面終端安全管理指標(biāo)集中監(jiān)測工具的運(yùn)行情況,自動(dòng)生成Word文檔并以郵件的形式發(fā)送給指標(biāo)管理人員。

2.1.3 自動(dòng)化運(yùn)維

自動(dòng)化運(yùn)維功能負(fù)責(zé)守護(hù)服務(wù)器上部署的功能軟件持續(xù)穩(wěn)定運(yùn)行,具備一定范圍的自動(dòng)維護(hù)功能,包括進(jìn)程守護(hù)、數(shù)據(jù)備份和自動(dòng)巡檢等功能模塊。

1）進(jìn)程守護(hù)模塊^[14] ：負(fù)責(zé)按照預(yù)定的守護(hù)規(guī)則監(jiān)控桌面終端安全管理指標(biāo)集中監(jiān)測工具自身進(jìn)程的運(yùn)行情況,一旦發(fā)現(xiàn)監(jiān)測工具不可用就立即按照預(yù)定策略重新啟動(dòng)監(jiān)測工具,當(dāng)重新啟動(dòng)監(jiān)測工具連續(xù)失敗3次后將重新啟動(dòng)部署監(jiān)測工具的服務(wù)器。

2）數(shù)據(jù)備份模塊：負(fù)責(zé)按照預(yù)定規(guī)則定時(shí)自動(dòng)備份數(shù)據(jù)^[15] 。

3）自動(dòng)巡檢模塊^[16]：負(fù)責(zé)按照預(yù)定巡檢策略定時(shí)給管理人員發(fā)送巡視短信,便于管理人員能夠及時(shí)掌握指標(biāo)集中監(jiān)測工具和短信網(wǎng)關(guān)是否處于正常運(yùn)行狀態(tài)。

2.2 桌面終端安全管理指標(biāo)集中監(jiān)測工具的特點(diǎn)

1）指標(biāo)展現(xiàn)集中化。將桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)、360天擎防病毒系統(tǒng)、防違規(guī)外聯(lián)系統(tǒng)和入網(wǎng)規(guī)范管理系統(tǒng)等多套系統(tǒng)中的終端安全管理指標(biāo)數(shù)據(jù)進(jìn)行比較、整合和分析,集中展現(xiàn)在統(tǒng)一的用戶窗口中進(jìn)行監(jiān)測,為指標(biāo)管理人員提供了“一站式”的指標(biāo)監(jiān)測模式。

2）指標(biāo)監(jiān)測自動(dòng)化。使用應(yīng)用程序代替人工手動(dòng)操作來完成桌面終端安全管理各項(xiàng)指標(biāo)的監(jiān)測工作,當(dāng)指標(biāo)異常時(shí)自動(dòng)以手機(jī)短信的方式通知指標(biāo)管理人員,實(shí)現(xiàn)了從