［林惠］

1 项目背景

为维护生产系统安全，广东省智能云网调度运营中心需定期比对业务综合网管维护作业工单与4A 日志审计数据，及时清理帐号、审计4A 绕行、陌生帐号登录，清除潜在的生产系统信息安全风险。随着广东省智能云网调度运营中心“百日整风”行动的开展，生产系统安全整治的工作量越来越大，手工清理存在周期长（一周一次），时间长（单次约需4 个小时），易出错（错开/错停/错删账号）等诸多缺点。为补足目前安全审计方面的短板，减少人为工作量，需要实现审计工作的自动化。

2 设计思路

现行综合网管维护作业单人工审计流程：每周分别从业务综合网管和4A 系统手工导出维护作业工单和4A 审计日志进行匹配，如匹配发现异常，即为异常账号，需要立刻处理。如图1 所示。

图1 现行生产系统安全整治的工作工作流程

综合网管维护作业单自动化审计，利用ETL（数据抽取、转换、加载）工具定时从业务综合网管和4A 系统数据库中抽取相应数据并加载至“兰芽”系统（大数据平台）中预设的数据表，利用SQL 语句对数据表进行结果查询并输出异常账号。如图2 所示。

图2 综合网管维护作业单自动化审计流程

3 程序开发

利用中国电信广东分公司智能云网调度运营中心自行搭建的“兰芽”系统，模拟实际工作环境，分别创建维护作业异常工单、4A 操作日志、操作人员4A 账号数据表库，通过SQL 语句关联分析：（1）以4A 维护作业工单开展匹配，审计维护作业工单是否从4A 登录操作；（2）根据维护工单的巡检对象、巡检子对象名称、IP 地址、处理人员、处理时间与4A 操作日志业务系统、资源名、资源IP、主帐号、操作时间等字段开展匹配，检测信息是否一致、判断维护作业单合规性。

模拟环境运行验证成功后，导入实际工作环境使用。以下为在模拟环境中，工单字段解释及相关语句。

3.1 数据源表字段及含义

（1）维护作业工单数据，如图1 所示。

图1 维护作业工单

（2）维护作业巡检异常工单（自动巡检）数据表如图2 所示。

图2 自动巡检异常工单

（3）处理巡检异常工单如图3 所示。

图3 巡检异常工单处理情况

（4）4A 操作日志数据表，如图4 所示。

图4 4A 操作日志记录

3.2 维护作业工单关联分析

以4A 维护作业工单开展匹配，审计维护作业工单是否从4A 登录操作：

（1）工单稽核流程设计：维护作业工单与4A 操作日志关联匹配，如能匹配到4A 操作日志，则输出匹配到的4A 操作日志信息，如果不能匹配到相关信息，则输出未匹配到。

（2）关联规则梳理：根据维护工单的巡检对象、巡检子对象名称、IP 地址、处理人员、处理时间与4A 操作日志业务系统、资源名、资源IP、主帐号、操作时间开展匹配。

3.3 ETL 及SQL 结果导出

（1）数据上传，在兰芽系统建立三个表：

create table weihuzy_bill and load data into table；---导入业务综合网管维护作业单

create table 4Acaozuorizhi and load data into table；---导入4A 操作日志

create table 4Aptryxx and load data into table；---导入操作人使用的4A 帐号信息

（2）查看数据表信息，检查数据上传是否已成功：

select * from input.linhui3_weihuzy_bill limit 10;

select * from input.linhui3_4Acaozuorizhi limit 10;

select * from input.linhui3_4Aptryxx limit 10;

（3）两个LEFT JOIN 连接三个表，对业务综合网管维护作业单、4A 操作日志和操作人员4A 账号的IP 地址、操作人员账号信息、处理时间进行匹配。

SELECT * FROM input.linhui3_weihuzy_bill AS a

LEFT JOIN input.linhui3_4Acaozuorizhi AS b ON a.ipdizhi=b.ziyuanip

LEFT JOIN input.linhui3_4Aptryxx AS c ON b.zhuzhanghao=c.zhanghao

where a.chulirenyuan=c.xingming;

（4）通过匹配检测，如果关键信息（IP 地址、操作人员、账号处理时间）一致，则判断为合规的维护作业工单；如果关键信息不一致，则判断为不合规的维护作业工单。利用这个小工具，有效减少人员工作量，提高工作效率。

4 推广应用

综合网管维护作业单自动化审计工具的投入使用，极大提高了业务综合网管维护作业工单与4A 日志审计工作的频率、效率及准确率，符合中国电信集团数据化转型的要求。人工比对只能每周导出一次清单，数据处理需要4个小时，而且容易出错；自动化后，系统每天自动生成前天结果清单，直接下载即可使用，节省了人工导数据，处理数据的时间，人工数据处理的以及消除人工数据处理出错的可能。

作业单审计工作的自动化经验可以推广应用到日常工作多个场景，例如：

（1）业务综合网管维护作业工单、配置工单、故障工单、故障工单敏感操作与4A 操作日志之间的关联关系、按单施工稽核流程梳理以及匹配规则，并程序实现规则逻辑。

①日常维护作业（系统巡检、定期任务等）与4A 操作日志之间的关联，发现是否有按单操作，是否没有做巡检任务等。

② 配置工单（网络配置）与4A 操作日志之间的关联，发现是否有按单操作，是否在规定的时间内处理等。

③故障工单与4A 操作日志之间的关联，发现是否有按单操作，是否在规定的时间内处理等。

④ 故障工单与4A 操作日志之间的关联，找到故障时间点前的一段时间内，是否有敏感操作、操作时间、操作人等。

（2）IaaS、PaaS、SaaS 日志的采集与分析，预警隐患：

①分析服务器和存储硬件、操作系统IaaS 运行状况，预警基础环境存在隐患。

② 分析WEB 中间件、数据库等各类PaaS 组件运行状况，预警组件运行隐患。

③分析各应用系统SaaS 运行状况，异常错误或影响性能的潜在风险，预警应用感知体验隐患。

（3）采集4A 操作日志，与业务工单实时在线关联审计，预警未按单施工操作；分析全网日志，关联故障工单，辅助定位故障点，提高故障定位准确率，提高故障处理效率。