CN104601353B - 一种网络安全生产设备的运维操作方法和系统 - Google Patents
一种网络安全生产设备的运维操作方法和系统 Download PDFInfo
- Publication number
- CN104601353B CN104601353B CN201310530698.3A CN201310530698A CN104601353B CN 104601353 B CN104601353 B CN 104601353B CN 201310530698 A CN201310530698 A CN 201310530698A CN 104601353 B CN104601353 B CN 104601353B
- Authority
- CN
- China
- Prior art keywords
- production equipment
- network security
- work order
- matching
- security production
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络安全生产设备的运维操作方法,涉及计算机网络信息安全技术领域。当操作为高风险操作时,触发合法性许可服务,合法性许可服务将所述运维操作申请发送至自动审批系统,验证所述运维操作的关键信息是否与系统预留工单信息相匹配;若匹配则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。可以在保障重要业务系统安全性的情况下规范操作人员的操作行为,通过一种自动化审批系统对高权限敏感信息与预留信息匹配验证方式来获取操作许可权,既起到了对高风险操作的监督和控制,也降低了人为操作风险与信息安全风险,减少了人力浪费,提高工作了效率。
Description
技术领域
本发明涉及计算机网络信息安全技术领域,特别涉及一种网络安全生产设备的运维操作方法和系统。
背景技术
当前众多网路安全生产域内涉及具备特殊信息的网络设备及业务系统,为保障重要业务系统的安全性,规范操作人员的操作行为,防止部分操作人员违规获取、篡改相关信息,避免由于系统高权限帐号被滥用引起高危操作,降低人为操作风险与信息安全风险,技术上要保证一个人不可能独自完成高敏感操作,以实现过程中的实时控制。
现有的多人制衡方案要求在操作人员使用帐号登录系统或触发敏感操作的现场必须要求包含两人及以上有相应权限的员工共同协作完成,包含以下几个步骤:
1.操作人员打开高风险业务系统登录界面或进入特殊网络设备维护界面;
2.操作人员输入登录帐号或设备敏感指令字符串;
3.具备相应权限的协同操作人员在现场监督操作人员的输入过程;
4.操作人员点击确定登录或点击回车键,进入业务系统或设备执行操作命令。
现有的操作合法性许可方案在技术控制上几乎为零,而且业务系统访问者及网络设备维护者数量很多,采用多人现场监督付出的人力成本过大,工作效率低。
发明内容
鉴于上述问题,本发明实施例提供一种网络安全生产设备的运维操作方法和系统,能够过对自动化审批系统中预留的可匹配字段和操作人申请中包含的高风险信息进行比对及验证,实现运维操作合法性许可的自动化审批,以减少网络安全生产设备运维操作中造成的人力浪费及效率降低的问题。
本发明实施例采用了如下技术方案:
本发明一个实施例提供了一种网络安全生产设备的运维操作方法,所述方法包括:
当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作;
若为高风险操作,则触发合法性许可服务,所述合法性许可服务将所述运维操作申请发送至自动审批系统,验证所述运维操作的关键信息是否与系统预留工单信息相匹配;
若匹配则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
所述运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息;
所述验证所述运维操作的关键信息是否与系统预留工单信息相匹配具体包括:
在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单;
若未匹配到,则拒绝对网络安全生产设备的运维操作;
若匹配得到至少一条工单,则允许对网络安全生产设备的运维操作。
当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作;
当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
所述方法还包括:
当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期;
当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与缓存中的运维操作标识信息相匹配;
若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
若匹配,则验证是否在匹配到的运维操作所设定的有效期内,是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
所述判断是否为高风险操作具体为:
判断所述对网络安全生产设备的运维操作是否为配置变更、重要功能停止、重要功能启动、设备重启和/或IP地址修改;
若是则确认为高风险操作,否则确认为非高风险操作。
另外,本发明实施例还提供了网络安全生产设备的运维操作系统,所述系统包括安全生产控制系统、网络安全生产设备及自动审批系统:
所述安全生产控制系统包括:
高风险操作判断模块,用于当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作;
验证模块,用于若所述高风险操作判断模块的判断结果为高风险操作,则触发合法性许可服务,所述合法性许可服务将所述运维操作申请发送至自动审批系统;和
运维操作控制模块,用于当所述自动审批系统的验证结果为匹配时,允许对所述网络安全生产设备的运维操作,当所述自动审批系统的验证结果为不匹配时,拒绝对所述网络安全生产设备的运维操作;
所述自动审批系统,用于验证所述运维操作的关键信息是否与系统预留工单信息相匹配。
所述运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息;
所述自动审批系统包括:
信息匹配单元,用于在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单;
操作控制单元,用于若所述信息匹配单元的匹配结果为未匹配到,则拒绝对所述网络安全生产设备的运维操作;以及,若所述信息匹配单元的匹配结果为匹配到,则允许对所述网络安全生产设备的运维操作。
所述操作控制单元还包括:
操作有效期验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
所述操作控制单元,还用于若所述操作有效期验证子单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作;
所述操作控制单元还包括:
权限验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
所述操作控制单元,还用于若所述权限验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作;
所述操作控制单元还包括:
身份验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
所述操作控制单元,还用于若所述身份验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作。
所述安全生产控制系统还包括缓存模块,用于当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期;
所述验证模块还包括:
缓存匹配单元,用于当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与所述缓存模块中缓存的运维操作标识信息相匹配,若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
有效期验证单元,用于若所述缓存匹配单元的匹配结果为匹配,则验证是否在匹配到的运维操作所设定的有效期内;
所述运维操作控制模块,还用于当所述有效期验证单元的验证结果为是,则允许对所述网络安全生产设备的运维操作;所述有效期验证单元的验证结果为否,则拒绝对所述网络安全生产设备的运维操作。
可见,本发明实施例提供一种网络安全生产设备的运维操作方法和系统,可以在保障重要业务系统安全性的情况下规范操作人员的操作行为,通过一种自动化审批系统对高权限敏感信息与预留信息匹配验证方式来获取操作许可权,既起到了对高风险操作的监督和控制,也降低了人为操作风险与信息安全风险,减少了人力浪费,提高工作了效率。
附图说明
图1为本发明实施例提供的一种网络安全生产设备的运维操作方法流程图;
图2为本发明实施例提供的一种网络安全生产设备的运维操作方法中判断是否为高风险操作的方法流程图;
图3为本发明实施例提供的一种网络安全生产设备的运维操作方法中判断为高风险操作后的处理流程图;
图4为本发明实施例提供的一种网络安全生产设备的运维操作系统结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
现有的操作合法性许可方案在技术控制上几乎为零,而且业务系统访问者及网络设备维护者数量很多,采用多人现场监督付出的人力成本过大,工作效率低。为解决上述问题,本发明实施例提供一种基于自动化审批的特定信息系统运维操作合法性许可方法,包括高风险操作信息配置列表、合法性许可服务、自动化审批系统。采用合法性许可服务将操作人的操作申请转发给一种自动化审批系统,通过对自动化审批系统中预留的可匹配字段和操作人申请中包含的高风险信息进行比对及验证,当比对结果匹配时自动同意本次申请,以减少现场监督造成的人力浪费及效率降低问题。
参见图1,本发明实施例提供一种网络安全生产设备的运维操作方法,其特征在于,所述方法包括:
S101:当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作。
操作人员在资源设备的客户端中输入相关命令。根据操作人申请请求中的信息,与事先梳理过的高风险操作与特定信息系统的高风险业务场景关联的对照表进行比对,判断该业务操作请求所涉及的敏感场景、策略是否有效,即判断业务操作请求是否为涉及有效的敏感场景、策略,即判断该业务操作请求是否为高风险的敏感操作。
参见图2,在实际操作中,本步骤一种实现方式可以具体为:
步骤S201:系统接收到操作人员在资源设备的客户端中输入相关系统运维指令。
步骤S202:系统将接收到的指令order自动遍历预置的高风险操作配置列表List。
步骤S203:在List中遍历查找order,如果List配置列表中不包含order,也即order指令不属于高风险信息操作,则转到第S205步骤,如果List配置列表中包含order,也即order指令属于高风险信息操作,则转到第S304步骤。
步骤S204:高风险操作指令触发合法性许可服务。
步骤S205:操作人员输入的指令属于一般指令,非高风险操作,可以继续执行。
在本发明的另一具体实施例中,所述判断是否为高风险操作也可以具体包括:
判断所述对网络安全生产设备的运维操作是否为配置变更、重要功能停止、重要功能启动、设备重启和/或IP地址修改;
若是则确认为高风险操作,否则确认为非高风险操作。
S102:若为高风险操作,则触发合法性许可服务,所述合法性许可服务将运维操作申请发送至自动审批系统,验证该运维操作的关键信息是否与系统预留工单信息相匹配。
S103:若匹配则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
在实际应用中,步骤S102-S103的一种具体实施方式可以是:
若为高风险业务场景,触发合法性许可申请页面;若不是高风险业务场景,阻断业务操作。
在合法性许可申请页面中,系统接收到操作人员输入的标识当前敏感操作的预留信息。合法性许可服务将该预留信息转发至自动审批系统,该系统验证操作人员输入的预留信息在系统中是否与敏感操作相匹配,如果查找到预留信息,则允许继续该敏感业务操作,否则阻断业务操作。
具体的,本步骤中运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息。
相应的,所述验证所述运维操作的关键信息是否与系统预留工单信息相匹配具体包括:
在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单;
若未匹配到,则拒绝对网络安全生产设备的运维操作;
若匹配得到至少一条工单,则允许对网络安全生产设备的运维操作。
优选的,当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
另一优选方案中,当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
另一优选方案中,当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
进一步的,本发明实施例还提供了一种基于合法性许可服务缓存机制,即1)针对重复大量的高风险操作申请对应的预留信息,合法性许可服务实现了预留信息缓存机制,支持在有效期内不重复向自动化审批系统发起查询请求。
基于合法性许可服务缓存机制具体的实现方式可以是,本发明实施例提供的所述方法还包括:
当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期;
当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与缓存中的运维操作标识信息相匹配;
若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
若匹配,则验证是否在匹配到的运维操作所设定的有效期内,是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
参见图3,在实际操作中,判断为高风险操作后的处理流程的一种优选实现方式,可以具体包括如下步骤:
步骤S301:系统运维指令order确认属于高风险操作自动触发合法性许可服务申请流程。
步骤S302:合法性许可服务弹出申请页面,操作人员输入申请信息,包括唯一标识该高风险操作的预留信息,如预留操作码code。
步骤S303:合法性许可服务转发申请信息至自动审批系统。
步骤S304:自动审批系统接收到合法性许可服务发送来的申请。
步骤S305:自动审批系统从合法性许可服务申请中获取操作人员输入的预留操作码code。
步骤S306:自动审批系统遍历自身系统中所有预留操作码列表,并与获取的code进行比对,如果查找到该预留码code,判断code的有效期。
步骤S307:如果预留操作码code已过期,则转到S308步骤,如果没有过期,则转到S309步骤。
步骤S308:自动审批系统发送审批不通过消息至合法性许可服务,并转到步骤S310。
步骤S309:自动审批系统发送审批通过消息至合法性许可服务,并转到步骤S311。
步骤S310:合法性服务阻断用户继续操作,结束。
步骤S311:合法性服务自动放行,用户继续操作。
在本发明的一个实施例中,业务系统的操作人员在维护资源设备过程中输入的命令涉及到敏感操作(如配置变更、重要功能停止或启动、设备重启、IP地址修改等)时将触发合法性许可服务,合法性许可服务将操作人员的申请转发至一种自动化审批系统,该系统负责判断操作是否具备合法性依据(如存在预留的相关设备维护/变更/上线的工单),如果查找到预留信息,则允许操作人继续操作,否则拒绝操作。
可见,本发明实施例提供一种网络安全生产设备的运维操作方法,可以在保障重要业务系统安全性的情况下规范操作人员的操作行为,通过一种自动化审批系统对高权限敏感信息与预留信息匹配验证方式来获取操作许可权,既起到了对高风险操作的监督和控制,也降低了人为操作风险与信息安全风险,减少了人力浪费,提高工作了效率。
参加图4,为本发明实施例提供的一种网络安全生产设备的运维操作系统,所述系统包括安全生产控制系统400、网络安全生产设备500及自动审批系统600:
所述安全生产控制系统400包括:
高风险操作判断模块401,用于当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作。
验证模块402,用于若所述高风险操作判断模块的判断结果为高风险操作,则触发合法性许可服务,所述合法性许可服务将所述运维操作申请发送至自动审批系统。
和,运维操作控制模块403,用于当所述自动审批系统的验证结果为匹配时,允许对所述网络安全生产设备500的运维操作,当所述自动审批系统的验证结果为不匹配时,拒绝对所述网络安全生产设备500的运维操作。
所述自动审批系统600,用于验证所述运维操作的关键信息是否与系统预留工单信息相匹配。
优选的,所述运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息。
相应的,所述自动审批系统600包括:
信息匹配单元,用于在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单。
和,操作控制单元,用于若所述信息匹配单元的匹配结果为未匹配到,则拒绝对所述网络安全生产设备的运维操作;以及,若所述信息匹配单元的匹配结果为匹配到,则允许对所述网络安全生产设备的运维操作。
优选的,本发明的一个实施例中,所述操作控制单元还包括:
操作有效期验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
相应的,所述操作控制单元,还用于若所述操作有效期验证子单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作。
优选的,本发明的一个实施例中,所述操作控制单元还包括:
权限验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
相应的,所述操作控制单元,还用于若所述权限验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作。
优选的,本发明的一个实施例中,所述操作控制单元还包括:
身份验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
相应的,所述操作控制单元,还用于若所述身份验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作。
优选的,本发明的一个实施例中,所述安全生产控制系统还包括缓存模块,用于当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期。
相应的,所述验证模块还包括:
缓存匹配单元,用于当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与所述缓存模块中缓存的运维操作标识信息相匹配,若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
有效期验证单元,用于若所述缓存匹配单元的匹配结果为匹配,则验证是否在匹配到的运维操作所设定的有效期内;
则,所述运维操作控制模块,还用于当所述有效期验证单元的验证结果为是,则允许对所述网络安全生产设备的运维操作;所述有效期验证单元的验证结果为否,则拒绝对所述网络安全生产设备的运维操作。
具体的,所述高风险操作判断模块包括:
判断单元,用于判断所述对网络安全生产设备的运维操作是否为配置变更、重要功能停止、重要功能启动、设备重启和/或IP地址修改;
确认单元,用于若所述判断单元的判断结果为是,则确认为高风险操作,判断结果为否,则确认为非高风险操作。
需要说明的是,本发明系统实施例中的各个模块或者单元的工作原理和处理过程可以参见上述图1-图3所示方法实施例中的相关描述,此处不再赘述。
可见,本发明实施例提供的一种网络安全生产设备的运维操作系统,可以在保障重要业务系统安全性的情况下规范操作人员的操作行为,通过一种自动化审批系统对高权限敏感信息与预留信息匹配验证方式来获取操作许可权,既起到了对高风险操作的监督和控制,也降低了人为操作风险与信息安全风险,减少了人力浪费,提高工作了效率。
为了便于清楚描述本发明实施例的技术方案,在发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:(方法的步骤),所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (6)
1.一种网络安全生产设备的运维操作方法,其特征在于,所述方法包括:
当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作;
若为高风险操作,则触发合法性许可服务,所述合法性许可服务将所述运维操作申请发送至自动审批系统,验证所述运维操作的关键信息是否与系统预留工单信息相匹配;
若匹配则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作;
所述运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息;
所述验证所述运维操作的关键信息是否与系统预留工单信息相匹配具体包括:
在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单;
若未匹配到,则拒绝对网络安全生产设备的运维操作;
若匹配得到至少一条工单,则允许对网络安全生产设备的运维操作;
当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期;
当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与缓存中的运维操作标识信息相匹配;
若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
若匹配,则验证是否在匹配到的运维操作所设定的有效期内,是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
2.根据权利要求1所述的方法,其特征在于,当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
3.根据权利要求1所述的方法,其特征在于,当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作;
当匹配得到至少一条工单之后还包括:
在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
若是则允许对网络安全生产设备的运维操作,否则拒绝对网络安全生产设备的运维操作。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述判断是否为高风险操作具体为:
判断所述对网络安全生产设备的运维操作是否为配置变更、重要功能停止、重要功能启动、设备重启和/或IP地址修改;
若是则确认为高风险操作,否则确认为非高风险操作。
5.一种网络安全生产设备的运维操作系统,其特征在于,所述系统包括安全生产控制系统、网络安全生产设备及自动审批系统:
所述安全生产控制系统包括:
高风险操作判断模块,用于当接收到对网络安全生产设备的运维操作申请后,判断是否为高风险操作;
验证模块,用于若所述高风险操作判断模块的判断结果为高风险操作,则触发合法性许可服务,所述合法性许可服务将所述运维操作申请发送至自动审批系统;和
运维操作控制模块,用于当所述自动审批系统的验证结果为匹配时,允许对所述网络安全生产设备的运维操作,当所述自动审批系统的验证结果为不匹配时,拒绝对所述网络安全生产设备的运维操作;
所述自动审批系统,用于验证所述运维操作的关键信息是否与系统预留工单信息相匹配;
所述运维操作的关键信息包括运维操作的操作内容和/或操作对象;所述系统预留工单信息具体为系统预留待处理的网络安全生产设备的维护、变更和/或上线的工单信息;
所述自动审批系统包括:
信息匹配单元,用于在系统预留工单信息中匹配是否有与所述运维操作的关键信息一致的工单;
操作控制单元,用于若所述信息匹配单元的匹配结果为未匹配到,则拒绝对所述网络安全生产设备的运维操作;以及,若所述信息匹配单元的匹配结果为匹配到,则允许对所述网络安全生产设备的运维操作;
所述安全生产控制系统还包括缓存模块,用于当所述自动审批系统的验证结果为匹配,则所述合法性许可服务缓存所述运维操作标识信息,并为所述运维操作设定有效期;
所述验证模块还包括:
缓存匹配单元,用于当再次触发合法性许可服务时,所述合法性许可服务判断当前接收到的运维操作申请是否与所述缓存模块中缓存的运维操作标识信息相匹配,若不匹配,则将所述当前接收到的运维操作申请发送至自动审批系统;
有效期验证单元,用于若所述缓存匹配单元的匹配结果为匹配,则验证是否在匹配到的运维操作所设定的有效期内;
所述运维操作控制模块,还用于当所述有效期验证单元的验证结果为是,则允许对所述网络安全生产设备的运维操作;所述有效期验证单元的验证结果为否,则拒绝对所述网络安全生产设备的运维操作。
6.根据权利要求5所述的系统,其特征在于,所述操作控制单元还包括:
操作有效期验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对是否在所述工单的操作有效期内;所述工单的操作有效期为允许所述工单被执行的合法有效时间;
所述操作控制单元,还用于若所述操作有效期验证子单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作;
所述操作控制单元还包括:
权限验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对本次运维操作的申请方是否具备该工单全部操作内容的操作权限;
所述操作控制单元,还用于若所述权限验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作;
所述操作控制单元还包括:
身份验证子单元,用于当所述信息匹配单元的匹配结果为匹配到,在所述匹配得到的至少一条工单中,核对该工单允许的操作人员列表中是否包含本次运维操作的申请方;
所述操作控制单元,还用于若所述身份验证单元的核对结果为是,则允许对所述网络安全生产设备的运维操作,否则拒绝对所述网络安全生产设备的运维操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530698.3A CN104601353B (zh) | 2013-10-31 | 2013-10-31 | 一种网络安全生产设备的运维操作方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530698.3A CN104601353B (zh) | 2013-10-31 | 2013-10-31 | 一种网络安全生产设备的运维操作方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104601353A CN104601353A (zh) | 2015-05-06 |
| CN104601353B true CN104601353B (zh) | 2018-07-06 |
Family
ID=53126879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310530698.3A Active CN104601353B (zh) | 2013-10-31 | 2013-10-31 | 一种网络安全生产设备的运维操作方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601353B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378328B (zh) * | 2013-08-13 | 2018-10-23 | 北京神州泰岳软件股份有限公司 | 一种安全访问方法及系统 |
| CN107196896A (zh) * | 2016-12-30 | 2017-09-22 | 北京神州泰岳软件股份有限公司 | 用户权限管理方法及装置 |
| CN108769004B (zh) * | 2018-05-25 | 2021-08-03 | 郑州轻工业大学 | 一种工业互联网智能设备远程操作安全验证方法 |
| CN109164223A (zh) * | 2018-09-14 | 2019-01-08 | 南京理工技术转移中心有限公司 | 一种水环境监控处理系统及其工作方法 |
| CN110018846B (zh) * | 2019-04-17 | 2022-06-24 | 南京易联阳光信息技术股份有限公司 | 一种自动运维系统及其操作方法 |
| CN112308244A (zh) * | 2020-10-21 | 2021-02-02 | 岭东核电有限公司 | 核电站维修许可证管控方法、装置、存储介质及终端设备 |
| CN112488604A (zh) * | 2020-11-03 | 2021-03-12 | 昆山之富士机械制造有限公司 | Pccs生产材料信息化管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1782943A (zh) * | 2004-10-01 | 2006-06-07 | 微软公司 | 集成访问授权 |
| US7865948B1 (en) * | 2001-12-03 | 2011-01-04 | Advanced Micro Devices, Inc. | Method and apparatus for restricted execution of security sensitive instructions |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN103377342A (zh) * | 2012-04-27 | 2013-10-30 | 国民技术股份有限公司 | 一种用于验证敏感操作的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186733B (zh) * | 2011-12-30 | 2016-01-27 | 中国移动通信集团广东有限公司 | 数据库用户行为管理系统和数据库用户行为管理方法 |
-
2013
- 2013-10-31 CN CN201310530698.3A patent/CN104601353B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865948B1 (en) * | 2001-12-03 | 2011-01-04 | Advanced Micro Devices, Inc. | Method and apparatus for restricted execution of security sensitive instructions |
| CN1782943A (zh) * | 2004-10-01 | 2006-06-07 | 微软公司 | 集成访问授权 |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN103377342A (zh) * | 2012-04-27 | 2013-10-30 | 国民技术股份有限公司 | 一种用于验证敏感操作的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104601353A (zh) | 2015-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104601353B (zh) | 一种网络安全生产设备的运维操作方法和系统 | |
| CN104639624B (zh) | 一种实现移动终端远程控制门禁的方法和装置 | |
| CN105956451B (zh) | 用于塔机、施工升降机的身份识别方法及装置 | |
| CN104732636A (zh) | 基于蓝牙手机的智能小区门禁控制系统及控制方法 | |
| CN105991734A (zh) | 一种云平台管理方法及系统 | |
| CN109243040B (zh) | 一种门禁通行管理方法、装置、设备和存储介质 | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| CN104753936A (zh) | Opc安全网关系统 | |
| CN105447931A (zh) | 门禁远程授权的方法、装置和系统 | |
| CN106534199A (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| CN103825745B (zh) | 基于Home‑IOT云关对用户进行认证的方法及系统 | |
| CN102307114A (zh) | 一种网络的管理方法 | |
| CN102760262A (zh) | 基于生物特征识别支付风险的系统和方法 | |
| JP5513234B2 (ja) | 入場者管理装置 | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| CN110866265A (zh) | 一种基于区块链的数据存储方法、设备及存储介质 | |
| CN107241293A (zh) | 一种资源访问方法、装置及系统 | |
| CN110895844A (zh) | 智能门设备的交互方法、装置、计算机设备及存储介质 | |
| CN114266081A (zh) | 一种电力监控系统的运维电脑安全防护系统及方法 | |
| CN106713234A (zh) | 一种智能电网移动终端动态授权系统 | |
| CN111327602B (zh) | 一种设备接入处理方法、设备及存储介质 | |
| CN105871876A (zh) | 一种智慧城市云安全架构的方法 | |
| WO2018014346A1 (zh) | 一种访客管理的方法及装置 | |
| CN106898068B (zh) | 基于信息匹配的门禁系统管理方法 | |
| CN107633390B (zh) | 一种云钱包管理方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building 6 storey block A Room 601 Patentee before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |