本文深入分析用户日常操作行为,形成基层人员信息系统应用行为分析报告,提出解决问题的方法和建议,促进县级供电企业及乡镇供电所管理水平稳步提升,使乡镇供电所及班组一体化信息系统应用率达到 99%以上。
1、研究内容
针对国网辽宁省电力有限公司现状,部分业务应用对其运维管理员帐号 ( 用户帐号变更、帐号权限变更等) 的管理办法不完善,管理员帐号管理松散,口令管理未全面纳入公司安全口令管理范畴,存在管理员帐号盗用、借用、滥用的情况。参考有关国际标准 ( 如 ISACA 的 COBIT 标准) ,公司应成立信息系统审计规范管理委员会,设计可扩展、具有指导性且符合公司的审计规范。为了全面支撑公司信息系统用户行为跟踪模块建设,应完成审计相关标准、规范、流程的建设和完善。对乡镇供电所及班组一体化信息系统从开发、实施、上线、运行,以及对用户帐号等信息的准入、授权、访问控制等提供过程的规范体系支撑,以实现审计“可控、可视、可分析、可追溯”。
1. 1、用户行为追踪
用户行为追踪: 用户通过界面搜索关键信息( 用户帐号、用户姓名等) ,同时选择搜索时间范围,自动计算用户在该时间段的访问记录。
搜索展示: 将用户访问记录以图形方式展现。
用户轨迹可钻取: 通过点击用户轨迹点,可进一步查看具体的操作信息,信息中应展示用户操作发生的时间、地点、操作模块等信息。
导出功能: 支持单个、多个用户的访问记录导出功能,导出格式为 PDF 文件。
用户常用查询配置: 支持用户配置并保存用户常用查询。
1. 2、数据采集
用户行为跟踪系统采用 NoSQL 作为数据索引的中心,同时还支持各种数据的采集机制,完成所有数据的采集工作,能够采集的多种类型数据如下。
操作系统类包括系统用户、窗口标题、键盘输入、鼠标点击、编辑内容、下拉菜单、新进程、网络连接、剪贴板、打开文件等。网页操作类包括源、目标 IP 地址、应用系统账号、登录时间、标题、URL 信息、操作方式、页面加载时间、Html 源代码数据、表单信息、敏感信息、网页内容等。
事件过滤: 事件管理提供了所有对事件过滤的功能,通过事件过滤规则,可以将满足条件的事件进行过滤。事件过滤规则可以采用界面化定义的方式,组合过滤条件,过滤条件之间可设为与、或关系。
数据分析: 数据分析是以采集到的不同类型数据为基础,通过系统内置的分析引擎对数据进行分析,深度挖掘,分析各个业务系统的使用情况以及各业务系统功能点的使用情况,帮助运维人员更好地进行业务系统改造和优化,同时,也可以作为决策人员对业务系统改造申请提供决策的依据。
1. 3、数据检索
面向用户端应用行为统计与分析提供搜索引擎功能,可以通过搜索引擎的关键字检索功能,快速检索到终端操作的文本内容。所有数据均可以通过搜索引擎完成关键字检索,每个操作画面也都嵌入了搜索引擎模块,目的就是为用户提供快速获取操作记录和对应操作画面的途径。
搜索引擎提供了快速获取数据功能,同时依据搜索引擎还可以完成对操作日志内容的快速检索、数据的自动化分类及审计日志的进一步处理。如通过搜索引擎可以对审计数据进行自动化解析功能、数据分类定义、自动化报表定制、自动化告警定制等[4]。面向用户端应用行为统计与分析中提供的各种操作内容和系统的事件内容,通过搜索引擎平台可以快速检索到事件、日志等信息。
1. 4、智能告警
面向用户端应用行为统计与分析提供操作内容敏感信息告警功能,管理人员可以根据敏感内容关键字段在系统中自行设置告警规则,当有用户操作触发敏感信息进行实时告警。
通过搜索引擎提供自动化告警功能,用户可以依据搜索引擎的搜索条件直接保存为告警,并通过告警设置规则进行设置。后续搜索引擎再进行搜索时若发现满足设置的搜索条件发生即告警。
1. 5、智能化报表
可以自动完成操作合规的报告管理,用户行为跟踪系统提供了强大的报表功能,用户只需要知道自己需要什么报表,其他全部交由搜索引擎及报表生成引擎完成。
1. 6、运维审计功能
运维是用户访问数据的重要途径,运维审计功能模块针对运维操作事前防范、事中控制、事后追溯,提升系统易用性,最终实现运维用户的行为分析、预警。
集成应用审计: 对与运维管理模块集成的应用系统进行审计,存储应用系统执行命令的日志,解决相关操作不能被跟踪的问题,做到凡是操作留有痕迹,为事后审计追责、用户行为跟踪分析提供依据。
备份管理: 使运维审计模块不间断运行,数据实时备份,防止日志被删除、篡改,保证审计记录、日志的完整性。
2、系统技术方案
2. 1、业务架构
用户行为跟踪是对用户访问平台、使用功能等操作行为的信息进行详细记录,以岗位、使用功能、停留时间、操作内容等维度统计出用户的使用习惯,为平台的使用情况和对用户的应用推荐提供依据。
2. 2、应用架构
用户行为跟踪主要通过部署在每台终端上的行为分析工具,来对用户在每个业务系统中的使用情况进行数据采集,并将采集到的数据进行加密和压缩后,通过网络传送到控制中心,控制中心通过不同的分析引擎,对收集上来的数据进行分析和展现: 包括数据的索引、敏感信息的提取、报表分析等[4-5]。Portal 层: 终端核心采集程序的配置、整体任务调度由用户行为审计系统管理中心提供,同时提供文本截取的时间戳对比、详细操作内容检索、敏感信息告警及配置、提供智能报表管理等功能。
终端核心采集层: 负责安装在每个终端上,提供终端所有操作文本的截取、操作过程会话捕捉、敏感操作取证管理等功能,同时提供防卸载功能,直接对所有应用操作的流量、对应的操作内容和操作过程还原取证等功能进行分析。NoSQL 数据库: 系统平台采用 NoSQL 数据库作为所有审计数据的管理中心,NoSQL 数据库可以提供快速索引的能力,方便审计数据检索。
2. 3 逻辑架构
a. 服务器 1、服务器 2 中的负载均衡组件组成对外服务 IP。
b. 终端区域 Agent 采集的行为数据通过网络发送到负载均衡服务 IP。
c. 负载均衡组件经过均衡算法计算,选择相应的处理服务器。
d. 服务器将重组、处理后的数据写入共享存储。
3、效益分析
管理效益: 面向用户端应用行为统计与分析的建设,一方面可以大大提高基层班组的工作效率,减少人力成本的投入; 另一方面可以加强对相关业务的监管力度,有利于提高工作质量,可以为基层班组培养一批既懂业务又懂技术的骨干队伍,为今后相关业务发展、信息化发展提供人才保障。同时,可增强基层班组信息系统的实用化和易用性,实现管理层对于县供电企业业务的全过程管控,提升基层单位用户操作熟练度和对信息系统的认识。
在建设中,通过建立报表清单及导出功能、各类系统接口与增强、数据整改和治理、开展实用化和易用化评价、完善评价指标考核体系、加强用户培训等各项工作,增加县供电企业业务开展的规范性和准确度,提高工作效率,减少基层单位人员线下统计和分析的工作量,节省资金和人力资源成本,满足公司集约化管理要求和信息化建设的目标,推动公司物资管理水平更上新台阶。
经济和社会效益: 通过面向用户端应用行为统计与分析的建设,能够及时发现用户异常行为,应用问题以及涉及的违规操作,降低信息安全风险,避免信息安全事故发生,最大程度避免公司经济损失及企业形象损失。
4、结束语
基于乡镇供电所及班组一体化信息系统,结合其他主要业务系统应用调研成果,建立用户行为分析模型,支撑基层班组减负工作,通过用户行为跟踪,发现基层负担所在。利用桌面型客户端的优势,以旁路监测的方式,对前端用户使用过程的行为进行记录,定期形成用户行为分析报告,以行为数据为依据,提供解决问题的方向,推动系统持续完善。
参考文献:
[1] 李 钊,张文国,吕旭明,等. 县级供电企业信息系统延伸覆盖与深化应用 [J]. 东北电力技术,2015,36 ( 6) :19-20.
[2] 吕旭明,李 钊,曹国强,等. 信息通信支撑" 三集五大"体系建设完善提升 [J]. 东北电力技术,2015,36 ( 1) :37-40.
[3] 李小兰,田小雷,倪志坚,等. 基于大数据挖掘的运营监测分析研究 [J]. 东北电力技术,2016,37 ( 9) : 15-18.
[4] 韩 雨,高 峻. 利用大数据系统提升抄表服务水平 [J].东北电力技术,2015,36 ( 8) : 8-11.
[5] 康丽雁,王天博,蔡颖凯,等. 电力用户用电信息采集系统分布式弹性架构设计与实现 [J]. 东北电力技术,2015,36 ( 9) : 69-72.
[6] 李 强,朱时雨. 电能量采集与管理系统的设计与应用[J]. 东北电力技术,2012,33 ( 3) : 3-7.
立即询价
