毛鑫，熊巨

(1． 国网湖南省电力公司培训中心，湖南 长沙410131;2． 国网湖南省电力公司株洲供电分公司，湖南 株洲412000)

1 项目建设背景

培训机房有人员流动性大、管理难度大等特点，信息安全问题比较突出。因此，国家电网公司加强了对信息安全的管理，要求各省级培训中心和各地市供电公司培训中心的培训机房逐步纳入信息安全考核的范畴。面对日益严峻的信息安全形势和严格的信息安全考核指标，培训机房管理的压力陡增〔1－2〕。

目前，为了能适应不同环境的培训需求和方便管理，大部分培训机房的培训用计算机均安装了操作系统还原卡〔3〕。安装系统还原卡的计算机在每次系统重新启动之后，系统会被重新覆盖，因此学员发生违规操作时，无法对违规操作进行事后查证。为了规范培训机房信息安全管理，杜绝培训机房的信息安全违规问题，提出了一套基于实名制的无人值守培训机房安全管理系统，从技术上和制度上解决培训机房信息安全管理手段的缺失问题〔4－5〕。

2 系统设计与构架

2.1 设计思路

本系统以实名制为核心进行系统设计，使用身份证把学员、计算机IP 和MAC 进行绑定，学员的所有程序操作和上网日志都将被记录并存储服务器数据库中，学员的计算机操作将每隔一定时间被截屏并上传到服务器，同时使用监控摄像头对学员机位进行监控，确保每位学员的操作都可追溯从而达到培训机房信息安全管理的目的。

本系统以“四个唯一对应”的原则建设，即通过身份证读卡器使上网IP 与学员唯一对应、日志记录学员与上网行为唯一对应，通过各个设备的时钟统一，做到网络行为时间与日志记录的上网时间唯一对应和使用高清监控摄像使学员与上机座位唯一对应。通过“四个唯一对应”，使身份证读卡器、网关设备、服务器、视频监控设备等硬件设备和本培训机房安全管理系统等软件组成一套完整的培训机房安全管理解决方案。

2.2 系统构架

该系统集机房管理员对学员机控制、机时调度、视频监控、上网行为监控和日志管理等各方面的需求为一体，智能化管理软件整合了网关流量监控技术，实现了培训机房综合调度管理的需求。采用C/S 模式实现机房的管理和控制;通过与身份证读卡器的关联进行实名制上机管理;通过存储各个机房的日志信息实现计算机操作信息的可查和可控。系统整体分成服务器端程序和终端程序，其中服务器端程序包括中心服务器程序、数据库服务器程序以及WEB 服务器程序;终端程序包括客户端程序、管理机程序和刷卡机程序。系统采用分布式网络设计，可以支持多个管理机和多个刷卡机程序的分布式安装，以便于配属不同的应用环境。系统构架如图1 所示。

图1 培训机房安全管理系统构架图

3 系统功能与模式

3.1 系统3 种上机模式

本系统支持3 种上网刷卡模式。在不同环境下，使用不同的上机模式。

1)导入信息指定上机模式。在培训班开班之前，先将培训学员的个人信息通过Excel 文档形式导入本系统中，个人信息包括姓名、身份证号码等。导入信息时，应该把本培训班上机机房和时间与导入信息对应，导入完成之后，系统即指定该学员的上机机位。学员上机时，持身份证刷卡上机，系统通过屏幕和语音提示学员的上机机位。学员找到自己机位，并输入身份证号码和密码，就可以正常使用计算机。培训完成之后，学员可以通过刷卡下机，也可以通过点击计算机客户端的下机操作完成下机。如果学员的身份证不在导入信息之列，系统将拒绝其上机请求。本模式是无人值守培训机房安全管理系统的正常模式。

2)导入信息自选上机模式。在上机开始之前，把学员的个人信息通过Excel 文档形式导入本系统中，个人信息包括姓名、身份证号码等。导入信息时，指定上机机房和使用时间。需要上机时，学员持身份证刷卡上机，系统通过屏幕和语言提示学员为自选上机。学员可以任意自选1 台计算机上机，上机之前需要输入身份证号码和密码才能正常上机。上机操作完成之后，学员可以通过刷卡下机，也可以通过点击计算机客户端的下机操作完成下机。如果学员的身份证不在导入信息之列，那么系统将拒绝其上机请求。此模式下，系统不为每个学员指定上机机位，学员自主选择机位上机，本模式适用于机房考试等环境。

3)不导入信息自选上机模式。在机房使用之前，不需要导入学员的任何信息。使用时，学员持身份证刷卡上机，系统通过屏幕和语音提示学员自选上机。学员任意自选1 台计算机上机，上机之前需要输入身份证号码和密码。上机操作完成之后，学员可以通过刷卡下机，也可以通过点击计算机客户端的下机操作完成下机。此模式适用于临时或非计划机房使用情况，或者采集学员的个人信息困难等情况。虽然事前没有导入学员个人信息，但是因为自选上机之前也需要刷卡，所以其上网行为等也将会记录在案。

3.2 系统的主要功能

1)安全管理功能。强化接入措施，做到上网IP 与上网座位唯一对应。本系统拥有3 种可选择模式，无论选择哪种上机模式，学员的身份证号码和本机的IP 地址都会被系统记录并一一对应。这样，如果发生安全事故需要追查责任时，就可以通过系统精准地查找出事故责任人。

2)日志记录功能。本系统集成了计算机行为监控模块，学员的计算机程序操作和上网信息都被一一记录下，并被保存到日志服务器中。本系统提供B/S 结构的查询系统，可以根据身份证号码、日期等选项查询学员的程序操作日志、上网日志和截图等。根据国家电网公司相关要求，日志服务器中的数据将被保存90 d 以上。截图是指每隔一定时间，客户端对计算机界面进行截图，然后上传至服务器。考虑到截图的频繁程度对系统性能的影响，截图频率和上传频率都可以进行调节。

3)视频监控功能。在每个机房都部署了高清摄像头，进行无盲点的覆盖，通过视频监控系统可以采集每个机房的电脑所对应的学员的真实影像资料，并存储在视频监控系统中。出现安全事故时，可以通过清晰的影像资料辨别机位上的操作人。该系统可支持通过B/S 结构在线查询机房的视频监控资料，视频资料保存时间一般不少于3 个月。

4)机房无人值守管理功能。如果采用导入信息指定上机模式，在学员上机之前，机房管理员把学员的身份证号码和姓名等信息导入系统后，学员就可以自助刷卡上机了，从而做到在培训过程中无人值守。如果采用导入信息自选上机模式和不导入信息自选上机模式，学员也只需刷身份证之后找到合适机位输入身份证号码即可完成上机操作，全程无需机房管理员参与。如果在上机过程中学员有任何问题，可以直接通过本机客户端发消息给机房管理员，机房管理员可采取远程管理等手段解决问题。

除此之外，本系统集成了普通机房管理系统所具有的其他功能，如屏幕查看、计算机锁定和解锁、计算机信息远程修改、软件下发和信息发布等日常管理功能，能满足机房管理员的需求。

4 结束语

本系统已经成功应用于国网湖南省电力公司培训中心的培训机房，在信息安全管理和机房管理方面发挥重要的作用，学员在培训机房的信息安全意识明显提高，信息安全事故发生率显著降低，机房管理水平显著提高。鉴于本系统能解决实际问题，目前正准备向系统内各个单位推广。如果将来能够和SG－ERP 培训模块和培训管理系统对接，将能够提供实际培训签到人员名单，从而更好地开展培训工作。

〔1〕赵伟． 高校机房管理系统的设计与实现〔J〕． 信息与电脑，2012(1):59-61．

〔2〕李桂芝，王 伟，杨根兴． 基于IC 卡的机房管理系统的设计〔J〕． 北京机械工业学院学报，2004，19(1):33-37．

〔3〕沈丁． 机房安全管理系统的研制〔J〕． 泰安师专学报，2000.22(3):61-63．

〔4〕赵小平． 基于二代身份证的学生宿舍门禁系统研究与设计〔D〕． 西安:西安石油大学，2010．

〔5〕房向荣，杨乐． 实验中心管理信息系统与门禁系统开发〔J〕．西安邮电学院学报，2009，14(5):121-124