CN108965388A - 一种运维审计方法及装置 - Google Patents
一种运维审计方法及装置 Download PDFInfo
- Publication number
- CN108965388A CN108965388A CN201810607044.9A CN201810607044A CN108965388A CN 108965388 A CN108965388 A CN 108965388A CN 201810607044 A CN201810607044 A CN 201810607044A CN 108965388 A CN108965388 A CN 108965388A
- Authority
- CN
- China
- Prior art keywords
- virtual
- fort machine
- information
- fort
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Abstract
本申请实施例提供了一种运维审计方法及装置,应用于经过虚拟化的堡垒机,堡垒机上安装有多个虚拟堡垒机;运维审计方法包括:获取客户端发送的运维操作请求;根据指示信息与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中,确定目标指示信息表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以同时对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种运维审计方法及装置。
背景技术
堡垒机用于保障网络和数据不受来自外部和内部用户的入侵和破坏,并能够实现运维审计的功能。堡垒机分别连接服务器和供运维人员使用的客户端,进而在逻辑上将运维人员和服务器隔离。运维人员通过客户端向堡垒机发送操作请求,堡垒机再向服务器发送该操作请求。服务器会将操作结果反馈给堡垒机,再由堡垒机反馈给客户端。
在网络服务中,当租户对所租赁的服务器进行运维操作时,运维人员需要通过堡垒机才能进行运维操作。堡垒机对运维人员的运维操作进行审计,堡垒机的运维审计功能保障了对服务器运维操作的安全性。
每一租户的运维操作均需进行运维审计,因此,每一租户需要对应有一台堡垒机。每一租户通过自身对应的堡垒机进行运维操作,每一台堡垒机仅对所对应的租户的运维操作进行运维审计。然而,随着租户越来越多,堡垒机的需求量也越来越大,导致了运维审计成本的增加。
发明内容
本申请实施例的目的在于提供一种运维审计方法及装置,以降低运维审计的成本。具体技术方案如下:
第一方面,本申请实施例提供了一种运维审计方法,所述方法应用于经过虚拟化的堡垒机,所述堡垒机上安装有多个虚拟堡垒机;所述方法包括:
获取客户端发送的运维操作请求,其中,所述运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
根据指示信息与虚拟堡垒机的预设对应关系,从所述多个虚拟堡垒机中确定所述目标指示信息对应表示的目标虚拟堡垒机;
通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计。
第二方面,本申请实施例提供了一种运维审计装置,所述装置应用于经过虚拟化的堡垒机,所述堡垒机上安装有多个虚拟堡垒机;所述装置包括:
获取模块,用于获取客户端发送的运维操作请求,其中,所述运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
确定模块,用于根据指示信息与虚拟堡垒机的预设对应关系,从所述多个虚拟堡垒机中确定所述目标指示信息对应表示的目标虚拟堡垒机;
运维审计模块,用于通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计。
第三方面,本申请实施例提供了一种堡垒机,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的运维审计方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述任一所述的运维审计方法步骤。
本申请实施例提供的技术方案中,经过虚拟化的堡垒机上安装有多个虚拟堡垒机,每一个虚拟堡垒机相当于一台物理机,即每一个虚拟堡垒机对应一个租户。堡垒机在获取客户端发送的运维操作请求之后,从多个虚拟堡垒机中,确定目标指示信息对应表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以同时对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的客户端、堡垒机和服务器之间的一种组网架构结构示意图;
图2为本申请实施例提供的运维审计方法的一种流程图;
图3为本申请实施例提供的运维审计方法的另一种流程图;
图4为本申请实施例提供的运维审计装置的一种结构示意图;
图5为本申请实施例提供的堡垒机的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了降低运维审计的成本,本申请实施例提供了一种运维审计方法及装置,应用于经过虚拟化的堡垒机,该堡垒机上安装多个虚拟堡垒机;其中,该运维审计方法包括:
获取客户端发送的运维操作请求,其中,运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
根据指示信息与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中确定目标指示信息对应表示的目标虚拟堡垒机;
通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。
本申请实施例提供的技术方案中,经过虚拟化的堡垒机上安装有多个虚拟堡垒机,每一个虚拟堡垒机相当于一台物理机,即每一个虚拟堡垒机对应一个租户。堡垒机在获取客户端发送的运维操作请求之后,从多个虚拟堡垒机中,确定目标指示信息对应表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以同时对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本。
下面首先对本申请实施例提供的一种运维审计方法进行介绍,该运维审计方法应用于经过虚拟化的堡垒机,该堡垒机上安装多个虚拟堡垒机。其中,堡垒机可以是一台物理机,还可以是安装在虚拟机上的堡垒机,在此不做限定。
如图1所示的客户端、堡垒机和服务器之间的一种组网架构结构示意图,在网络服务中,每一个虚拟堡垒机对应连接一台服务器,每一个租户可以独享一个虚拟堡垒机,属于同一租户的客户端对应连接同一个虚拟堡垒机。虚拟堡垒机代理对应连接的租户的客户端向该虚拟堡垒机对应连接的服务器发送操作请求,租户中所包括的运维人员通过该租户独享的虚拟堡垒机进行运维操作。
其中,运维操作是指运维人员对服务器的资源进行运维的操作,运维操作的目的是保障业务持续可用。运维人员的运维是指运维人员对服务器所进行的维护。
租户可以是一个用户,还可以是包含多名用户的公司、单位等。同一租户中的用户所访问的服务器是相同的,所连接的虚拟堡垒机也是相同的。例如,一个公司中包含管理人员、运维人员等不同用户类型的用户,该公司作为一个租户独享一个虚拟堡垒机,该公司的管理人员和运维人员均使用该虚拟堡垒机,并通过该虚拟堡垒机对该公司的服务器进行运维操作。
结合图1举例说明,属于租户2的客户端2对应虚拟堡垒机2,虚拟堡垒机2与服务器2相对应,则虚拟堡垒机2向服务器2发送该操作请求。租户2中的运维人员通过虚拟堡垒机2进行运维操作。
如图2所示的本申请实施例提供的运维审计方法的一种流程图,该运维审计方法包括如下步骤。
S201,获取客户端发送的运维操作请求。
其中,运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作。目标指示信息可以是目标用户标识、虚拟堡垒机标识、地址信息等中的至少一种,其中,地址信息可以包括IP(Internet Protocol,互联网协议)地址、MAC(Media AccessControl,媒体访问控制)地址、端口号等信息。请求审计的运维操作是客户端向虚拟堡垒机请求的,该运维操作是该客户端对所对应服务器的操作。
堡垒机再获取到运维操作请求后,可以从运维操作请求中提取目标指示信息和请求审计的运维操作,堡垒机根据目标指示信息从运行的多个虚拟堡垒机中选取该目标指示信息对应的虚拟堡垒机。
操作客户端的用户可以为不同用户类型的用户,也就是说,不同用户类型的用户均可以通过该客户端发送运维操作请求,其中,用户类型包括运维人员、管理人员等。
S202,根据指示信息与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中确定目标指示信息对应表示的目标虚拟堡垒机。
其中,租户与虚拟堡垒机是一一对应的,即每一租户对应连接一个虚拟堡垒机。租户可以包括多个用户,该多个用户与该租户对应的虚拟堡垒机是对应关系,则该多个用户中的每一用户进行运维操作均需通过该虚拟堡垒机处理。进一步地,每一个用户或者多个用户可以通过一个客户端发送运维操作请求。因此,一个租户可以通过至少一个客户端发送运维操作请求,基于租户与虚拟堡垒机的对应关系,该租户所使用的至少一个客户端与该租户对应的虚拟堡垒机是对应关系。由上可知,虚拟堡垒机、租户中的用户以及租户所使用的客户端具有对应关系。
结合图1举例说明,租户i与虚拟堡垒机i是一一对应的,当租户i中包括用户a、用户b和用户c时,则该用户a、用户b和用户c均与该虚拟堡垒机i是相对应的。客户端i是租户i使用的客户端,则客户端i与虚拟堡垒机i是对应关系。故,租户中的用户(用户a、用户b和用户c)、虚拟堡垒机i和客户端i具有对应关系。
所确定出的目标虚拟堡垒机与发送运维操作请求的客户端是对应的,目标虚拟堡垒机与使用该客户端的用户同样具有对应关系。。
针对虚拟堡垒机与租户、租户中的用户以及租户所应用的客户端的对应关系,一种实现方式中,在堡垒机接收到租户通过客户端发送的租用虚拟堡垒机的请求后,由堡垒机的超级管理员从安装的多个虚拟堡垒机中选择一个虚拟堡垒机,作为该租户对应的虚拟堡垒机,该虚拟堡垒机即可以对该租户的运维操作进行审计。这样,虚拟堡垒机与该租户中的用户形成对应关系,还与该租户所使用的客户端形成对应关系。
结合图1举例说明,租户2向堡垒机请求租用该堡垒机安装的虚拟堡垒机,该堡垒机的超级管理员从安装的多个虚拟堡垒机中选取一个虚拟堡垒机分配给该租户2使用,将所选取的虚拟堡垒机编号为虚拟堡垒机2,则租户2与虚拟堡垒机2是相对应的,即形成对应关系。
另外,超级管理员在为租户选取虚拟堡垒机后,还可以对所选取的虚拟堡垒机进行设置。例如,为该虚拟堡垒机创建运维数据库、设置IP地址、端口和路由、以及设置针对该虚拟堡垒机的管理员账号和密码等,其中,运维数据库可以用来保存运维策略、运维管理权限等。
目标指示信息可以为不同类型的信息,根据目标指示信息的类型不同,目标虚拟堡垒机的确定方式不一样。
一种实施方式中,目标指示信息为目标用户标识,则此时指示信息与虚拟堡垒机的预设对应关系为用户标识与虚拟堡垒机的预设对应关系,根据用户标识与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中,确定该目标用户标识对应的虚拟堡垒机,作为目标虚拟堡垒机。
其中,用户标识与虚拟堡垒机的对应关系是预设的,每一用户标识对应一个虚拟堡垒机,每一个虚拟堡垒机可以对应多个用户标识,每一个虚拟堡垒机所对应的多个用户标识属于同一租户。
一种实施方式中,目标指示信息为虚拟堡垒机标识,其中,虚拟堡垒机标识是预设的,每一虚拟堡垒机对应一个虚拟堡垒机标识。则此时指示信息与虚拟堡垒机的预设对应关系为虚拟堡垒机标识与虚拟堡垒机的预设对应关系。
堡垒机获取到运维操作请求中携带的虚拟堡垒机标识之后,可以从多个虚拟堡垒机中,直接确定该虚拟堡垒机标识表示的虚拟堡垒机,作为目标虚拟堡垒机。
一种实施方式中,从虚拟堡垒机信息列表中,选取包含目标指示信息的虚拟堡垒机信息,作为目标虚拟堡垒机信息。
虚拟堡垒机信息列表是预先设定的,并存储于堡垒机中。虚拟堡垒机信息列表包括多个虚拟堡垒机信息,每一个虚拟堡垒机信息对应一个虚拟堡垒机。也就是说,堡垒机运行有多少虚拟堡垒机,则虚拟堡垒机信息列表中存储有多少虚拟堡垒机信息。
虚拟堡垒机信息列表中的虚拟堡垒机信息至少包括目标指示信息,通过目标指示信息确定目标虚拟堡垒机信息。虚拟堡垒机信息除了目标指示信息以外,还可以包括所对应虚拟堡垒机的其他信息,例如,虚拟堡垒机标识、虚拟堡垒机的数据库、运维数据库、地址信息、用户信息、权限信息等等。
在该实施方式中,目标指示信息可以是地址信息、虚拟堡垒机标识、用户信息等。其中,地址信息为IP地址、端口号、MAC地址等中的至少一种,用户信息可以是用户名、用户标识等中的至少一种。
在确定出目标虚拟堡垒机信息之后,基于虚拟堡垒机信息与虚拟堡垒机的一一对应的关系,可以从多个虚拟堡垒机中,确定该目标虚拟堡垒机信息表示的虚拟堡垒机,作为目标虚拟堡垒机。
以目标指示信息为IP地址和端口号为例进行说明。客户端发送的运维操作请求包括的目的IP地址、目的端口,堡垒机在接收到运维操作请求后,可以解析该运维操作请求,在虚拟堡垒机信息列表中查找包括该目的IP地址和目的端口的目标虚拟堡垒机信息。例如:堡垒机所获取的运维操作请求所携带的目标指示信息包括目的IP地址为123.122.138.71,目的端口号为80。若虚拟堡垒机信息列表中,虚拟堡垒机信息3中的IP地址为123.122.138.71,端口号为80,则可以确定该虚拟堡垒机信息3为目标虚拟堡垒机信息,进一步地,可以确定该虚拟堡垒机信息3表示的虚拟堡垒机3为目标虚拟堡垒机。
S203,通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。
在确定出目标虚拟堡垒机之后,则可以启动该目标虚拟堡垒机。启动后的目标虚拟堡垒机则可以对客户端请求的运维操作进行运维审计,以保证对服务器运维操作的安全性。
在堡垒机所运行的多个虚拟堡垒机中,若有多个虚拟堡垒机启动,各虚拟堡垒机之间是相互独立的,每个虚拟堡垒机只对自身对应的客户端请求的运维操作进行运维审计。
例如,以图1为例,图1所示堡垒机中虚拟堡垒机1、虚拟堡垒机2和虚拟堡垒机i均启动,其中,虚拟堡垒机1与客户端1连接,虚拟堡垒机2与客户端2连接,虚拟堡垒机i与客户端i连接,则虚拟堡垒机1对客户端1请求的运维操作进行运维审计,虚拟堡垒机2对客户端2请求的运维操作进行运维审计,虚拟堡垒机i对客户端i请求的运维操作进行运维审计。
基于上述根据目标虚拟堡垒机信息来确定目标虚拟堡垒机的实施方式,一种实施方式中,每个虚拟堡垒机信息包括用户信息,该用户信息对应的用户为该虚拟堡垒机信息所对应的虚拟堡垒机的授权用户,每一用户的用户信息均是预设的。
例如,虚拟堡垒机信息1中包括用户1的用户信息1、用户2的用户信息2和用户3的用户信息3,其中,虚拟堡垒机信息1表示的虚拟堡垒机为虚拟堡垒机1,则用户1、用户2和用户3均为该虚拟堡垒机1的授权用户。
为了提高虚拟堡垒机的安全性,在确定出目标虚拟堡垒机信息之后,判断目标虚拟堡垒机信息所包括的用户信息中,是否存在与目标指示信息包括的用户信息匹配的用户信息。
其中,用户信息可以为用户标识、用户名、用户认证信息中的至少一种,其中,用户认证信息可以是自定义的信息,用于对用户进行认证。
运维操作请求所携带的用户信息的来源可以是:用户在登录客户端的登录页面输入用户信息,在客户端生成运维操作请求时,将用户输入的用户信息携带在运维操作请求中。这样,携带用户信息的运维操作请求被发送至堡垒机。
如果虚拟堡垒机信息中存在与运维操作请求携带的用户信息匹配的用户信息,则可以确定运维操作请求携带的用户信息对应的用户为该目标虚拟堡垒机的授权用户,该用户可以通过客户端请求运维操作,堡垒机可以通过目标虚拟堡垒机对该客户端请求的运维操作进行审计。
一种实施方式中,每个用户信息中包括用户类型,即表示该用户信息所对应用户的用户类型。例如,目标虚拟堡垒机信息所包括的用户信息中,用户信息1中的用户类型为运维人员,则该用户信息1所对应的用户为运维人员。
针对不同的用户类型的用户,虚拟堡垒机允许的操作不同。例如,针对运维人员,虚拟堡垒机可以允许运维人员进行上传、下载等运维操作;针对管理人员,虚拟堡垒机允许管理人员进行设置操作。
每个虚拟堡垒机信息还包括运维审计信息,每个虚拟堡垒机以所存储的运维审计信息为依据进行运维审计。其中,运维审计信息包括运维权限信息、运维策略信息中的至少一种。
运维权限信息与用户是一一对应的关系。运维权限信息包括为每一用户设定的访问权限,访问权限可以是自定义设定的。堡垒机允许用户访问的权限为运维权限信息中包括的访问权限,例如,用户1对应的运维权限信息1中包括用户1的访问权限有:访问和编辑堡垒机的登录页面、访问业务A,那么,用户1可以访问和编辑堡垒机的登录页面,以及访问业务A。
运维策略信息与用户是一一对应的关系。运维策略信息用于表示针对所对应用户的运维策略,运维策略是堡垒机允许的运维操作。例如,用户1对应的运维策略信息1为:仅允许下载操作,不允许上传操作。那么,对于该用户1来说,仅可以进行下载操作,不能进行上传操作。
当然,对于具有相同运维权限和/或运维策略的多个用户来说,可以形成一个用户组。此时,运维权限信息和运维策略信息可以是与一个用户组对应的。
例如,用户1、用户2和用户3的运维策略均为仅允许下载操作、不允许上传操作,那么,可以认为用户1、用户2和用户3属于一个用户组,该用户组对应的运维策略信息为:仅允许下载操作,不允许上传操作。
各用户对应的运维权限信息可以存储于预设的运维权限列表中,其中,运维权限列表可以分为用户运维权限列表和用户组运维权限列表。用户运维权限列表中存储用户与运维权限信息的对应关系,用户组运维权限列表中存储用户组与运维权限信息的对应关系,用户组中包括至少一个用户。
各用户对应的运维策略信息可以存储于预设的运维策略列表中,其中,运维策略列表可以分为用户运维策略列表和用户组运维策略列表。用户运维策略列表中存储用户与运维策略信息的对应关系,用户组运维策略列表中存储用户组与运维策略信息的对应关系,用户组中包括至少一个用户。
在用户信息匹配成功之后,表示堡垒机允许目标虚拟堡垒机对客户端请求审计的运维操作进行审计,则可以从目标虚拟堡垒机信息中,获取目标用户信息对应的运维审计信息。
其中,目标用户信息为:目标虚拟堡垒机信息所包括的用户信息中,与目标指示信息包括的用户信息匹配的用户信息。
根据所获取的运维审计信息,可以对目标虚拟堡垒机进行初始化,初始化之后的目标虚拟堡垒机便可以对目标用户信息所对应用户的运维操作进行审计。
当目标用户信息中的用户类型为运维人员时,则目标虚拟堡垒机根据所获取的运维审计信息,对客户端请求审计的运维操作进行审计,生成运维日志,并将所生成的运维日志进行存储。
运维日志可以存储在预设的日志记录表项中,该日志记录表项可以是每一个虚拟堡垒机信息中预先设定的,并且,日志记录表项与用户信息是一一对应的关系,即每一个用户对应有一个日志记录表项。
堡垒机上安装的每一个虚拟堡垒机在进行运维审计时,均可以生成并存储运维日志,以便于相关的管理人员查看各虚拟堡垒机的运维日志,并根据运维日志对虚拟堡垒机进行改进,提高虚拟堡垒机的运维审计效率。
一种实施方式中,当目标用户信息中的用户类型为管理人员时,表示客户端对应的用户为管理人员,则目标用户信息对应的运维审计信息也是针对管理人员的操作权限和/或策略信息。
管理人员可以对虚拟堡垒机进行设置和调整。具体地,在确定客户端对应的用户为管理人员之后,管理人员可以通过客户端向堡垒机发送调整指令,根据该调整指令,堡垒机可以对虚拟堡垒机信息列表进行相应地调整。
其中,调整指令可以是删除指令、新增指令和更改指令中的任一种。
当操作指令为删除指令时,删除指令中指定所要删除的对象,该对象可以是用户、用户组、运维权限信息、运维策略信息等中的至少一种。堡垒机根据删除指令,将所指定的对象删除。
当操作指令为更改指令时,更改指令中指定所要更改的对象,更改的对象可以是用户、用户组、运维权限信息、运维策略信息、用户或用户组的上限阈值等中的至少一种。
当操作指令为新增指令时,该新增指令可以包括新增对象和虚拟堡垒机标识,其中,新增对象为用户和/或用户组。堡垒机在虚拟堡垒机标识对应的虚拟堡垒机中创建用户和/或用户组。堡垒机在创建用户和/或用户组之后,还可以新增用户和/或用户组对应的用户信息、运维权限信息、运维策略信息等。这样,虚拟堡垒机标识对应虚拟堡垒机可以对新创建的用户和/或用户组请求审计的运维操作进行审计。
堡垒机在接收到客户端发送的新增指令之后,可以从新增指令中获取虚拟堡垒机标识和新增对象,从虚拟堡垒机信息列表中,确定包含虚拟堡垒机标识的虚拟堡垒机信息,作为第一虚拟堡垒机信息,从第一虚拟堡垒机信息中,获取新增对象的预设上限阈值。
其中,预设上限阈值是管理人员根据虚拟堡垒机自身的承载所设定的,每一个虚拟堡垒机对应一个预设上限阈值。虚拟堡垒机的承载越大,预设上限阈值越大;虚拟堡垒机的承载越小,则预设上限阈值越小。
根据新增对象的类型不同,预设上限阈值可以不同。例如,新增对象为用户时,预设上限阈值为针对用户的上限阈值,此时,预设上限阈值表示虚拟堡垒机所能承受的最大用户数量;新增对象为用户组时,预设上限阈值为针对用户组的上限阈值,此时,预设上限阈值表示虚拟堡垒机所能承受的最大用户组的数量。
在获取到预设上线阈值之后,判断第一虚拟堡垒机信息中当前包括的新增对象的数量是否小于预设上限阈值,如果是,在虚拟堡垒机标识对应的虚拟堡垒机中创建新增对象;如果否,则不能在虚拟堡垒机标识对应的虚拟堡垒机中创建新增对象,即创建失败。
例如,新增指令所包括的新增对象为用户,虚拟堡垒机标识为1,该标识1对应的虚拟堡垒机为虚拟堡垒机1,从第一虚拟堡垒机信息中所获取的针对用户的预设上限阈值为50,即表示虚拟堡垒机1可承受的最大用户数量为50。统计该第一虚拟堡垒机信息中当前所存储的用户的数量为30,小于预设上限阈值50,则可以在虚拟堡垒机1中创建该新增的用户。还可以针对该新增的用户,新增用户信息、运维权限信息、运维策略信息等。
对于上述三种调整指令中的任一种调整指令,堡垒机根据调整指令进行调整之后,堡垒机可以记录所调整的内容和方式,并存储记录的内容。以便于其他相关人员对调整的内容进行查验,进而避免因调整而出现的差错。
本申请实施例提供的技术方案中,经过虚拟化的堡垒机上安装有多个虚拟堡垒机,每一个虚拟堡垒机相当于一台物理机,即每一个虚拟堡垒机对应一个租户。堡垒机在获取客户端发送的运维操作请求之后,从多个虚拟堡垒机中,确定目标指示信息对应表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以对多个租户进行审计,与现有技术中一台堡垒机只能对一个租户进行审计相比,本申请实施例能够通过一台堡垒机对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本,同时,便于管理。
本申请实施例还提供一种运维审计方法,应用于经过虚拟化的堡垒机,该堡垒机上安装有10个虚拟堡垒机,每一个虚拟堡垒机连接一台服务器和一个租户对应的客户端。结合图1举例说明,虚拟堡垒机1,2,……10分别对应连接服务器1,2,……10和租户1,2,……10的客户端1,2,……10,例如虚拟堡垒机1连接客户端1和服务器1。以下以虚拟堡垒机1连接客户端1和服务器1为例进行说明,那么虚拟堡垒机1、租户1中的用户和客户端1具有对应关系。
如图3所示,运维审计方法可以包括如下步骤。
S301,获取客户端1发送的运维操作请求。
该运维操作请求中携带用于选择虚拟堡垒机1的目标指示信息和请求审计的运维操作。以目标指示信息为目的IP地址和目的端口为例进行说明。
S302,从预设的虚拟堡垒机信息列表中,选取包含目标指示信息的虚拟堡垒机信息,作为目标虚拟堡垒机信息。
其中,虚拟堡垒机信息所包括的信息如下表格1所示:
表格1
其中,标识为虚拟堡垒机信息表示的虚拟堡垒机的标识。
数据库与虚拟堡垒机一一对应,用于存储所对应虚拟堡垒机的虚拟堡垒机信息,即上述表格1中所包含的信息存储于虚拟堡垒机对应的数据库中。
用户信息表项用于存储用户信息列表,用户信息列表可以如下表2所示。
运维策略数据库用于存储虚拟堡垒机对应的用户和用户组的运维策略,其中,用户的运维策略以用户运维策略列表的形式在运维策略数据库中存储,用户组的运维策略以用户组运维策略列表的形式在运维策略数据库中存储。
日志表项中存储运维日志。
用户运维策略列表中存储用户标识与运维策略的对应关系,这样,从用户运维策略列表中根据用户标识,便可以查询到该用户对应的运维策略。
用户组运维策略列表中存储用户组标识与运维策略的对应关系,这样,从用户运维策略列表中根据用户组标识,便可以查询到该用户组对应的运维策略。
IP地址为虚拟堡垒机信息所表示的虚拟堡垒机的IP地址。
端口号为虚拟堡垒机信息所表示的虚拟堡垒机的端口号。
用户的预设上限阈值表示最多可以创建的用户数量。
用户组的预设上限阈值表示最多可以创建的用户组数量。
当前的用户数量表示当前虚拟堡垒机信息所表示的虚拟堡垒机已创建的用户数量。
当前的用户组数量表示当前虚拟堡垒机信息所表示的虚拟堡垒机已创建的用户组数量。
用户运维权限列表中存储各用户的权限信息。
用户组运维权限列表中存储各用户组的权限信息。
用户信息列表中包括各用户的用户信息,用户信息列表中所包括的用户信息存储于虚拟堡垒机对应的数据库中。对于每个用户的用户信息,可以如下表格2所示:
表格2
| 用户标识 | 用户名 | 用户认证信息 | 所属的用户组 | 用户类型 |
其中,用户标识与用户是一一对应的关系,用户标识可以唯一表示对应的用户。
用户名是用户对应的名称。
用户认证信息用于进行用户认证的信息。
所属的用户组表示用户所属的用户组,若用户没有所属的用户组,则该部分为空。
用户类型表示用户所属的用户类型,可以用代号表示,例如,0表示管理人员,1表示运维人员。
虚拟堡垒机信息列表中存储各虚拟堡垒机的IP地址和端口号,从虚拟堡垒机信息列表中查找与运维操作请求所携带的目的IP地址和目的端口匹配的IP地址和端口号。
若虚拟堡垒机信息列表中虚拟堡垒机信息1的IP地址和端口号与目的IP地址和目的端口相匹配,则将该虚拟堡垒机信息1确定为目标虚拟堡垒机信息。虚拟堡垒机信息1中所包括的信息存储于该虚拟堡垒机信息1所对应虚拟堡垒机的数据库中。
S303,从10个虚拟堡垒机中,确定目标虚拟堡垒机信息表示的虚拟堡垒机,作为目标虚拟堡垒机。
虚拟堡垒机信息1中的标识所对应的虚拟堡垒机为虚拟堡垒机1,则将该虚拟堡垒机1作为目标虚拟堡垒机。
S304,判断目标虚拟堡垒机信息所包括的用户信息中,是否存在与运维操作请求携带的用户信息匹配的用户信息,如果是,执行步骤S305,如果否,则用户认证失败。
虚拟堡垒机信息1中所包括的用户信息为用户信息1,如上述表格2所示,用户信息1包括用户标识1、用户名1、用户认证信息1、所属的用户组和用户类型。将运维操作请求携带的用户信息与用户认证信息1进行匹配。
如果匹配,执行步骤S305。
如果不匹配,则用户认证失败。
S305,从目标虚拟堡垒机信息中,获取目标用户信息对应的运维审计信息。
其中,运维审计信息包括运维权限信息和运维策略信息。在虚拟堡垒机信息1中,得到用户标识为用户标识1,从用户运维策略列表中确定用户标识1对应的运维策略为运维策略1,从用户运维权限列表中确定用户标识1对应的权限信息为权限信息1。运维策略1和权限信息1即为目标用户信息对应的运维审计信息。
S306,当目标用户信息中的用户类型为运维人员时,根据所获取的运维审计信息,对客户端请求审计的运维操作进行审计,并生成运维日志。
利用所获取的运维策略1和权限信息1,对客户端请求的运维操作进行审计。当客户端所请求的运维操作为运维策略1中的操作时,则虚拟堡垒机允许该运维操作,并记录客户端的该运维操作;当客户端所请求的运维操作为权限信息1中不允许的访问权限时,则虚拟堡垒机不允许该运维操作,针对该运维操作的审计不通过,并记录针对该运维操作的审计情况,生成运维日志。
S307,将所生成的运维日志进行存储。
将所生成的运维日志存储至虚拟堡垒机1对应的数据库1中。
S308,当目标用户信息中的用户类型为管理人员时,接收客户端发送的新增指令。
S309,从新增指令中获取虚拟堡垒机标识和新增对象。
当新增指令中新增对象为用户,虚拟堡垒机标识为1时,则该新增指令表示在标识为1的虚拟堡垒机1中创建用户。
S310,从虚拟堡垒机信息列表中,确定包含虚拟堡垒机标识的虚拟堡垒机信息,作为第一虚拟堡垒机信息。
虚拟堡垒机信息列表中存储有各虚拟堡垒机对应的虚拟堡垒机信息,例如,虚拟堡垒机1对应的虚拟堡垒机信息1,虚拟堡垒机2对应的虚拟堡垒机信息2,虚拟堡垒机i对应的虚拟堡垒机信息i,i为从1到10的常数。
在虚拟堡垒机信息列表中,虚拟堡垒机1对应的虚拟堡垒机信息为虚拟堡垒机信息1,则虚拟堡垒机信息1为第一虚拟堡垒机信息。
S311,从第一虚拟堡垒机信息中,获取新增对象的预设上限阈值。
S312,判断第一虚拟堡垒机信息中当前包括的新增对象的数量是否小于预设上限阈值;如果是,执行步骤S313,如果否,则创建失败。
S313,在虚拟堡垒机标识表示的虚拟堡垒机中创建新增对象。
若从虚拟堡垒机信息1中所获取的预设上限阈值为50,表示虚拟堡垒机1可承受的最大用户数量为50。
当获取到虚拟堡垒机信息1当前所包括的用户的数量为50,达到预设上限阈值50,则不能在虚拟堡垒机1中创建新增用户,创建失败。当获取到虚拟堡垒机信息1当前所包括的用户的数量为30,小于预设上限阈值50,则可以在虚拟堡垒机1中创建新增用户。
相应于上述运维审计方法实施例,本申请实施例还提供一种运维审计装置,该运维审计装置应用于经过虚拟化的堡垒机,堡垒机上安装有多个虚拟堡垒机。如图4所示,该运维审计装置包括:
获取模块410,用于获取客户端发送的运维操作请求,其中,运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
确定模块420,用于根据指示信息与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中确定目标指示信息对应表示的目标虚拟堡垒机;
运维审计模块430,用于通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。
可选地,目标指示信息为以下至少一项:目标用户标识、虚拟堡垒机标识、地址信息。
可选地,确定模块420具体用于:
从预设的虚拟堡垒机信息列表中,选取包含目标指示信息的虚拟堡垒机信息,作为目标虚拟堡垒机信息;
从多个虚拟堡垒机中,确定目标虚拟堡垒机信息表示的虚拟堡垒机,作为目标虚拟堡垒机。
可选地,虚拟堡垒机信息包括用户信息;运维审计模块430具体用于:
判断目标虚拟堡垒机信息所包括的用户信息中,是否存在与目标指示信息包括的用户信息匹配的目标用户信息;
如果是,通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。
可选地,每个用户信息中包括用户类型,每个虚拟堡垒机信息还包括运维审计信息,运维审计信息包括运维权限信息、运维策略信息中的至少一种;
运维审计模块430具体用于:
从目标虚拟堡垒机信息中,获取目标用户信息对应的运维审计信息,目标用户信息为:目标虚拟堡垒机信息所包括的用户信息中,与目标指示信息包括的用户信息匹配的用户信息;
当目标用户信息中的用户类型为运维人员时,根据所获取的运维审计信息,对客户端请求审计的运维操作进行审计,并生成运维日志。
可选地,装置还包括:
接收模块,用于当目标用户信息中的用户类型为管理人员时,接收客户端发送的调整指令,调整指令为删除指令、新增指令和更改指令中的任一种;
调整模块,用于根据调整指令,对虚拟堡垒机信息列表进行相应地调整。
可选地,调整指令为新增指令,新增指令包括新增对象和虚拟堡垒机标识,新增对象为用户和/或用户组;调整模块具体用于:
从新增指令中获取虚拟堡垒机标识和新增对象;
从虚拟堡垒机信息列表中,确定包含虚拟堡垒机标识的虚拟堡垒机信息,作为第一虚拟堡垒机信息;
从第一虚拟堡垒机信息中,获取新增对象的预设上限阈值;
若判定第一虚拟堡垒机信息中当前包括的新增对象的数量是否小于预设上限阈值,则在虚拟堡垒机标识表示的虚拟堡垒机中创建新增对象。
本申请实施例提供的技术方案中,经过虚拟化的堡垒机上安装有多个虚拟堡垒机,每一个虚拟堡垒机相当于一台物理机,即每一个虚拟堡垒机对应一个租户。堡垒机在获取客户端发送的运维操作请求之后,从多个虚拟堡垒机中,确定目标指示信息对应表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以同时对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本。
相应于上述运维审计方法实施例,本申请实施例还提供了一种堡垒机,如图5所示,包括处理器510和机器可读存储介质520,机器可读存储介质520存储有能够被处理器510执行的机器可执行指令。
另外,如图5所示,堡垒机还可以包括:通信接口530和通信总线540;其中,处理器510、机器可读存储介质520、通信接口530通过通信总线540完成相互间的通信,通信接口530用于上述堡垒机与其他设备之间的通信。
处理器510促使执行上述任一种运维审计方法的实施例,其中,运维审计方法包括:
获取客户端发送的运维操作请求,其中,运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
根据指示信息与虚拟堡垒机的预设对应关系,从多个虚拟堡垒机中确定目标指示信息对应表示的目标虚拟堡垒机;
通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。
本申请实施例提供的技术方案中,经过虚拟化的堡垒机上安装有多个虚拟堡垒机,每一个虚拟堡垒机相当于一台物理机,即每一个虚拟堡垒机对应一个租户。堡垒机在获取客户端发送的运维操作请求之后,从多个虚拟堡垒机中,确定目标指示信息对应表示的目标虚拟堡垒机;通过目标虚拟堡垒机,对客户端请求审计的运维操作进行审计。一台堡垒机包括多个虚拟堡垒机,使得一台堡垒机可以同时对多个租户进行审计,减小了堡垒机的需求量,降低了运维审计的成本。
上述通信总线540可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线540可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质520可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质520还可以是至少一个位于远离前述处理器的存储装置。
上述处理器510可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
相应于上述运维审计方法的实施例,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述运维审计方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于运维审计装置、电子设备和可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种运维审计方法,其特征在于,所述方法应用于经过虚拟化的堡垒机,所述堡垒机上安装有多个虚拟堡垒机;
所述方法包括:
获取客户端发送的运维操作请求,其中,所述运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
根据指示信息与虚拟堡垒机的预设对应关系,从所述多个虚拟堡垒机中确定所述目标指示信息对应表示的目标虚拟堡垒机;
通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计。
2.根据权利要求1所述的方法,其特征在于,所述目标指示信息为以下至少一项:目标用户标识、虚拟堡垒机标识、地址信息。
3.根据权利要求1所述的方法,其特征在于,所述根据指示信息与虚拟堡垒机的预设对应关系,从所述多个虚拟堡垒机中确定所述目标指示信息对应表示的目标虚拟堡垒机的步骤,包括:
从预设的虚拟堡垒机信息列表中,选取包含所述目标指示信息的虚拟堡垒机信息,作为目标虚拟堡垒机信息;
从所述多个虚拟堡垒机中,确定所述目标虚拟堡垒机信息表示的虚拟堡垒机为目标虚拟堡垒机。
4.根据权利要求3所述的方法,其特征在于,所述虚拟堡垒机信息包括用户信息;则所述通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计的步骤,包括:
判断所述目标虚拟堡垒机信息所包括的用户信息中,是否存在与所述目标指示信息包括的用户信息匹配的目标用户信息;
如果是,通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计。
5.根据权利要求3或4所述的方法,其特征在于,每个用户信息中包括用户类型,每个虚拟堡垒机信息还包括运维审计信息,所述运维审计信息包括运维权限信息、运维策略信息中的至少一种;则所述通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计的步骤,包括:
从所述目标虚拟堡垒机信息中,获取目标用户信息对应的运维审计信息,所述目标用户信息为:所述目标虚拟堡垒机信息所包括的用户信息中,与所述目标指示信息包括的用户信息匹配的用户信息;
当所述目标用户信息中的用户类型为运维人员时,根据所获取的运维审计信息,对所述客户端请求审计的运维操作进行审计,并生成运维日志。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当所述目标用户信息中的用户类型为管理人员时,接收所述客户端发送的调整指令,所述调整指令为删除指令、新增指令和更改指令中的任一种;
根据所述调整指令,对所述虚拟堡垒机信息列表进行相应地调整。
7.根据权利要求6所述的方法,其特征在于,所述调整指令为新增指令,所述新增指令包括新增对象和虚拟堡垒机标识,所述新增对象为用户和/或用户组;则所述根据所述调整指令,对所述虚拟堡垒机信息列表进行相应地调整的步骤,包括:
从所述新增指令中获取虚拟堡垒机标识和新增对象;
从所述虚拟堡垒机信息列表中,确定包含所述虚拟堡垒机标识的虚拟堡垒机信息,作为第一虚拟堡垒机信息;
从所述第一虚拟堡垒机信息中,获取所述新增对象的预设上限阈值;
若判定所述第一虚拟堡垒机信息中当前包括的所述新增对象的数量是否小于所述预设上限阈值,则在所述虚拟堡垒机标识表示的虚拟堡垒机中创建所述新增对象。
8.一种运维审计装置,其特征在于,所述装置应用于经过虚拟化的堡垒机,所述堡垒机上安装有多个虚拟堡垒机;
所述装置包括:
获取模块,用于获取客户端发送的运维操作请求,其中,所述运维操作请求中携带用于选择虚拟堡垒机的目标指示信息和请求审计的运维操作;
确定模块,用于根据指示信息与虚拟堡垒机的预设对应关系,从所述多个虚拟堡垒机中确定所述目标指示信息对应表示的目标虚拟堡垒机;
运维审计模块,用于通过所述目标虚拟堡垒机,对所述客户端请求审计的运维操作进行审计。
9.根据权利要求8所述的装置,其特征在于,所述确定模块具体用于:
从预设的虚拟堡垒机信息列表中,选取包含所述目标指示信息的虚拟堡垒机信息,作为目标虚拟堡垒机信息;
从所述多个虚拟堡垒机中,确定所述目标虚拟堡垒机信息表示的虚拟堡垒机为目标虚拟堡垒机。
10.一种堡垒机,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810607044.9A CN108965388B (zh) | 2018-06-13 | 2018-06-13 | 一种运维审计方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810607044.9A CN108965388B (zh) | 2018-06-13 | 2018-06-13 | 一种运维审计方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108965388A true CN108965388A (zh) | 2018-12-07 |
| CN108965388B CN108965388B (zh) | 2021-03-26 |
Family
ID=64488873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810607044.9A Active CN108965388B (zh) | 2018-06-13 | 2018-06-13 | 一种运维审计方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965388B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109934011A (zh) * | 2019-03-18 | 2019-06-25 | 国网安徽省电力有限公司黄山供电公司 | 一种应用于运维审计系统的数据安全分区方法 |
| CN109951337A (zh) * | 2019-03-26 | 2019-06-28 | 北京计算机技术及应用研究所 | 一种虚拟化运维堡垒系统 |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110764971A (zh) * | 2019-10-30 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种辅助数据库运维审计方法、装置和电子设备 |
| CN111709043A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN111988347A (zh) * | 2019-05-22 | 2020-11-24 | 网宿科技股份有限公司 | 跳板机系统的数据处理方法和跳板机系统 |
| CN112350870A (zh) * | 2020-11-11 | 2021-02-09 | 杭州飞致云信息科技有限公司 | 容器集群系统的运维安全审计方法和装置 |
| CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
| CN113765871A (zh) * | 2020-09-09 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 堡垒机管理的方法和装置 |
| CN113765866A (zh) * | 2020-07-31 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种登录远程主机的方法和装置 |
| CN113992381A (zh) * | 2021-10-22 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 授权方法、装置、授权平台及存储介质 |
| CN114564114A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821161A (zh) * | 2012-08-24 | 2012-12-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全审计方法、装置及系统 |
| US20150128130A1 (en) * | 2013-11-01 | 2015-05-07 | Intuit Inc. | Method and system for providing and dynamically deploying hardened task specific virtual hosts |
| CN106982215A (zh) * | 2017-03-31 | 2017-07-25 | 北京奇艺世纪科技有限公司 | 一种密钥管理方法及装置 |
-
2018
- 2018-06-13 CN CN201810607044.9A patent/CN108965388B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821161A (zh) * | 2012-08-24 | 2012-12-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全审计方法、装置及系统 |
| US20150128130A1 (en) * | 2013-11-01 | 2015-05-07 | Intuit Inc. | Method and system for providing and dynamically deploying hardened task specific virtual hosts |
| CN106982215A (zh) * | 2017-03-31 | 2017-07-25 | 北京奇艺世纪科技有限公司 | 一种密钥管理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 顾炯等: ""云资源池安全部署方案解析"", 《电信技术》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109934011A (zh) * | 2019-03-18 | 2019-06-25 | 国网安徽省电力有限公司黄山供电公司 | 一种应用于运维审计系统的数据安全分区方法 |
| CN109951337A (zh) * | 2019-03-26 | 2019-06-28 | 北京计算机技术及应用研究所 | 一种虚拟化运维堡垒系统 |
| CN111988347B (zh) * | 2019-05-22 | 2023-10-24 | 网宿科技股份有限公司 | 跳板机系统的数据处理方法和跳板机系统 |
| CN111988347A (zh) * | 2019-05-22 | 2020-11-24 | 网宿科技股份有限公司 | 跳板机系统的数据处理方法和跳板机系统 |
| CN110324338A (zh) * | 2019-06-28 | 2019-10-11 | 深圳前海微众银行股份有限公司 | 数据交互方法、装置、堡垒机与计算机可读存储介质 |
| CN110764971A (zh) * | 2019-10-30 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种辅助数据库运维审计方法、装置和电子设备 |
| CN111709043B (zh) * | 2020-06-19 | 2022-09-27 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN111709043A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN113765866A (zh) * | 2020-07-31 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 一种登录远程主机的方法和装置 |
| CN113765866B (zh) * | 2020-07-31 | 2023-09-05 | 北京沃东天骏信息技术有限公司 | 一种登录远程主机的方法和装置 |
| CN113765871A (zh) * | 2020-09-09 | 2021-12-07 | 北京沃东天骏信息技术有限公司 | 堡垒机管理的方法和装置 |
| CN113765871B (zh) * | 2020-09-09 | 2023-08-04 | 北京沃东天骏信息技术有限公司 | 堡垒机管理的方法和装置 |
| CN112350870A (zh) * | 2020-11-11 | 2021-02-09 | 杭州飞致云信息科技有限公司 | 容器集群系统的运维安全审计方法和装置 |
| CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
| CN112769808B (zh) * | 2020-12-31 | 2023-10-20 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
| CN113992381A (zh) * | 2021-10-22 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 授权方法、装置、授权平台及存储介质 |
| CN114564114A (zh) * | 2022-02-18 | 2022-05-31 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN114564114B (zh) * | 2022-02-18 | 2024-02-27 | 北京圣博润高新技术股份有限公司 | 堡垒机键盘审计方法、装置、设备及存储介质 |
| CN114615254B (zh) * | 2022-03-25 | 2023-09-29 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114615254A (zh) * | 2022-03-25 | 2022-06-10 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114756530B (zh) * | 2022-06-15 | 2022-08-19 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
| CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108965388B (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965388A (zh) | 一种运维审计方法及装置 | |
| CN103490884B (zh) | 用于数字证书的验证的方法 | |
| CN112615849A (zh) | 微服务访问方法、装置、设备及存储介质 | |
| US8516539B2 (en) | System and method for inferring access policies from access event records | |
| CN104937895B (zh) | 在无线通信系统中控制访问的方法和设备 | |
| US9189187B2 (en) | Service providing system and service providing method for providing a service to a service usage device connected via a network | |
| US7237119B2 (en) | Method, system and computer program for managing user authorization levels | |
| US20150019730A1 (en) | Method for Managing Computer Network Access | |
| US20140351323A1 (en) | Safety evaluation method and safety evaluation computer | |
| US20140122349A1 (en) | System, information management method, and information processing apparatus | |
| CN109889517A (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| CN105160269A (zh) | 一种Docker容器内数据的访问方法及装置 | |
| CN110232068B (zh) | 数据共享方法及装置 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| CN108260015B (zh) | 一种投票数据处理方法、装置及电子设备 | |
| CN101729541A (zh) | 多业务平台的资源访问方法及系统 | |
| CN110457629A (zh) | 权限处理、权限控制方法及装置 | |
| CN110225039A (zh) | 权限模型获取、鉴权方法、网关、服务器以及存储介质 | |
| CN110213290A (zh) | 数据获取方法、api网关以及存储介质 | |
| CN103415847B (zh) | 用于访问服务的系统和方法 | |
| KR101110928B1 (ko) | 콘텐츠 공표를 위한 컴퓨터 네트워크 오퍼레이팅 방법 및시스템 | |
| CN105429929A (zh) | 一种信息处理方法、客户端、服务器及系统 | |
| CN108156115A (zh) | 一种部门间数据共享方法 | |
| TWI461924B (zh) | 處理存取特許之方法及裝置 | |
| US10013237B2 (en) | Automated approval |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |