CN108984379A - 一种调度数据网远程访问加固及集中监控的系统及方法 - Google Patents
一种调度数据网远程访问加固及集中监控的系统及方法 Download PDFInfo
- Publication number
- CN108984379A CN108984379A CN201810752177.5A CN201810752177A CN108984379A CN 108984379 A CN108984379 A CN 108984379A CN 201810752177 A CN201810752177 A CN 201810752177A CN 108984379 A CN108984379 A CN 108984379A
- Authority
- CN
- China
- Prior art keywords
- terminal
- fort machine
- module
- audit
- centralized monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 26
- 238000000034 method Methods 0.000 title abstract description 8
- 230000003014 reinforcing effect Effects 0.000 title abstract description 7
- 238000012550 audit Methods 0.000 claims abstract description 37
- 230000002452 interceptive effect Effects 0.000 claims abstract description 24
- 238000012423 maintenance Methods 0.000 claims abstract description 20
- 238000007726 management method Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000011017 operating method Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Human Resources & Organizations (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种调度数据网远程访问加固及集中监控的系统,包括运维终端、堡垒机、目标设备及审计员用户终端,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库。本发明依托堡垒主机的理念,在运维终端和目标设备之间搭建一个唯一的入口和统一的交互界面,详细记录用户操作的指令和操作过程,对会话进行审计及集中监控,实现会话数据的记录、转发,回访、监控际审核,规范和控制所有维护人员的行为。
Description
技术领域
本发明涉及通信技术领域,具体为一种调度数据网远程访问加固及集中监控的系统。
背景技术
随着电力调度自动化水平不断深入,调度自动化系统的运维量持续增加,需内部运维人员及第三方厂商技术人员协同维护各应用系统,运维人员潜在违规操作导致的安全问题日益突出,来自企业内的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,而国网公司及省公司的政策也纷纷对运维人员的操作行为的监管与审计提出了明确要求。防火墙、防病毒、入侵检测系统等常规的安全产品可以防范来自外部的安全隐患,但对于内部人员的违规操作却无能为力。如何有效地监管第三方厂商及内部运维人员的操作行为,并进行严格的审计是电力调度数据网安全管控面临的一个关键问题。
发明内容
本发明的目的在于提供一种调度数据网远程访问加固及集中监控的系统及方法,以解决上述背景技术中提出的对于内部人员的违规操作却无力监管的问题。
为实现上述目的,本发明提供如下技术方案:
一种调度数据网远程访问加固及集中监控的系统,包括运维终端、堡垒机、目标设备及审计员用户终端,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库,所述管理员交互界面通过策略管理模块与策略配置库连接,所述用户交互界面通过数据处理模块与应用代理模块连接,所述审计员交互界面通过审计模块与审计日志数据库连接,所述策略管理模块通过应用代理模块与审计模块连接。
优选的,所述运维终端包括管理员用户终端及运维用户终端,所述管理员用户终端与管理员交互界面连接,所述运维用户终端与用户交互界面连接。
优选的,所述运维用户终端包括运维人员终端及第三方代维人员终端。
优选的,所述审计员用户终端连接与审计员交互界面连接。
优选的,所述目标设备为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
优选的,所述堡垒机使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
优选的,所述审计模块产生的审计信息包括录像信息和日志信息。
优选的,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息
优选的,所述数据处理模块内设置有共享缓冲区。
一种调度数据网远程访问加固及集中监控的系统的操作方法,其具体步骤如下:
1)运维人员在操作过程中首先通过运维终端连接到堡垒机,然后向堡垒机提交操作请求;
2)该请求通过堡垒机的权限检查后,堡垒机的应用代理模块代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维终端。
与现有技术相比,本发明的有益效果是:本发明依托堡垒主机的理念,在运维终端和目标设备之间搭建一个唯一的入口和统一的交互界面,详细记录用户操作的指令和操作过程,对会话进行审计及集中监控,实现会话数据的记录、转发,回访、监控际审核,规范和控制所有维护人员的行为。
附图说明
图1为一种调度数据网远程访问加固及集中监控的系统的工作流程图;
图2为一种调度数据网远程访问加固及集中监控的系统中堡垒机的工作原理图。
图中:1-运维终端,11-管理员用户终端,12-运维用户终端,2-堡垒机,21-管理员交互界面,22-策略管理模块,23-策略配置库,24-用户交互界面,25-数据处理模块,26-应用代理模块,27-审计员交互界面,28-审计模块,29-审计日志数据库,3-目标设备,4-审计员用户终端。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1~2,本发明提供一种技术方案:一种调度数据网远程访问加固及集中监控的系统,包括运维终端1、堡垒机2、目标设备3及审计员用户终端4,所述运维终端1通过堡垒机2与目标设备3连接,所述堡垒机2还与审计员用户终端4连接;所述堡垒机2包括管理员交互界面21、策略管理模块22、策略配置库23、用户交互界面24、数据处理模块25、应用代理模块26、审计员交互界面27、审计模块28及审计日志数据库29,所述管理员交互界面21通过策略管理模块22与策略配置库23连接,所述用户交互界面24通过数据处理模块25与应用代理模块26连接,所述审计员交互界面27通过审计模块28与审计日志数据库29连接,所述策略管理模块22通过应用代理模块26与审计模块28连接。
作为可选的方案,所述运维终端1包括管理员用户终端11及运维用户终端12,所述管理员用户终端11与管理员交互界面21连接,所述运维用户终端12与用户交互界面24连接。
作为可选的方案,所述运维用户终端12包括运维人员终端及第三方代维人员终端。
作为可选的方案,所述审计员用户终端连接与审计员交互界面连接。
作为可选的方案,所述目标设备4为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
作为可选的方案,所述堡垒机2使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
作为可选的方案,所述审计模块28产生的审计信息包括录像信息和日志信息。
作为可选的方案,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息。
作为可选的方案,所述数据处理模块25内设置有共享缓冲区。
一种调度数据网远程访问加固及集中监控的操作方法,其具体步骤如下:
1)运维人员在操作过程中首先通过运维终端1连接到堡垒机2,然后向堡垒机2提交操作请求;
2)该请求通过堡垒机2的权限检查后,堡垒机2的应用代理模块26代替用户连接到目标设备3完成该操作,之后目标设备3将操作结果返回给堡垒机2,最后堡垒机2再将操作结果返回给运维终端1。
本发明的工作原理是:
设置策略管理模块22,用于完成系统配置,对会话进行检测、手工切断、回放等操作;设置应用代理模块26,运维终端1连接协议服务时,应用代理模块26调用连接控制与认证方法验证运维终端1身份;通过身份验证之后,由协议进程发起基于实际目标设备3的会话请求,运维终端1对目标设备3进行操作,与此同时应用代理模块26会对截获的数据包进行记录、分析并转发;设置数据处理模块25,一方面转发数据包,另一方面将数据写入共享缓冲区,以便完整记录运维人员的操作过程,包括执行的有效命令以及相应结果;设置审计模块28,审计模块28实现接收会话数据包并利用审计员用户终端4进行展示,从而实现会话的实时监视功能。
本发明创新地采用堡垒机2技术构建运维安全管控系统,切实有效地规范内外部维护人员对目标设备3的维护行为。通过集中管理的模式,借助协议代理、身份授权分离等技术,极大地减少了维护人员违规操作的概率;同时,有效提高服务器等重要信息基础架构的安全级别,辅助对信息安全故障和安全事件的全面记录和事后追溯定位,能够有效帮助企业弥补安全漏洞、完善系统安全防护体系,提高信息系统运行的安全性和事件的追溯能力。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (10)
1.一种调度数据网远程访问加固及集中监控的系统,包括运维终端、堡垒机、目标设备及审计员用户终端,其特征在于,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库,所述管理员交互界面通过策略管理模块与策略配置库连接,所述用户交互界面通过数据处理模块与应用代理模块连接,所述审计员交互界面通过审计模块与审计日志数据库连接,所述策略管理模块通过应用代理模块与审计模块连接。
2.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述运维终端包括管理员用户终端及运维用户终端,所述管理员用户终端与管理员交互界面连接,所述运维用户终端与用户交互界面连接。
3.根据权利要求2所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述运维用户终端包括运维人员终端及第三方代维人员终端。
4.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述审计员用户终端连接与审计员交互界面连接。
5.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述目标设备为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
6.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述堡垒机使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
7.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述审计模块产生的审计信息包括录像信息和日志信息。
8.根据权利要求6所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息。
9.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的系统,其特征在于,所述数据处理模块内设置有共享缓冲区。
10.根据权利要求1-9任意一项所述的一种调度数据网远程访问加固及集中监控的系统的操作方法,其特征在于,其具体步骤如下:
1)运维人员在操作过程中首先通过运维终端连接到堡垒机,然后向堡垒机提交操作请求;
2)该请求通过堡垒机的权限检查后,堡垒机的应用代理模块代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810752177.5A CN108984379A (zh) | 2018-07-10 | 2018-07-10 | 一种调度数据网远程访问加固及集中监控的系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810752177.5A CN108984379A (zh) | 2018-07-10 | 2018-07-10 | 一种调度数据网远程访问加固及集中监控的系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108984379A true CN108984379A (zh) | 2018-12-11 |
Family
ID=64537676
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810752177.5A Withdrawn CN108984379A (zh) | 2018-07-10 | 2018-07-10 | 一种调度数据网远程访问加固及集中监控的系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108984379A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109697212A (zh) * | 2018-12-27 | 2019-04-30 | 北京天融信网络安全技术有限公司 | 一种数据处理方法和数据处理装置 |
CN109861973A (zh) * | 2018-12-21 | 2019-06-07 | 北京天融信网络安全技术有限公司 | 信息传输方法、装置、电子设备及计算机可读介质 |
CN109889381A (zh) * | 2019-02-18 | 2019-06-14 | 国家计算机网络与信息安全管理中心 | 基于堡垒机的自动化配置管理方法及装置 |
CN110049028A (zh) * | 2019-04-03 | 2019-07-23 | 北京奇安信科技有限公司 | 监控域控管理员的方法、装置、计算机设备及存储介质 |
CN111244806A (zh) * | 2020-01-21 | 2020-06-05 | 南京捷安信息科技有限公司 | 一种电力设备安全调试监控系统和处理方法 |
CN111786826A (zh) * | 2020-06-29 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
CN112187491A (zh) * | 2019-07-01 | 2021-01-05 | 阿里巴巴集团控股有限公司 | 服务器的管理方法、装置和设备 |
CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
CN113765780A (zh) * | 2021-09-27 | 2021-12-07 | 北京珞安科技有限责任公司 | 一种基于物联网的便携式运维网关 |
CN115904012A (zh) * | 2023-01-06 | 2023-04-04 | 山东中网云安智能科技有限公司 | 一种便携式智能分类加密堡垒机系统 |
CN117729057A (zh) * | 2024-02-18 | 2024-03-19 | 北京建恒信安科技有限公司 | 一种基于身份安全的零信任接入系统的方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
-
2018
- 2018-07-10 CN CN201810752177.5A patent/CN108984379A/zh not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109861973A (zh) * | 2018-12-21 | 2019-06-07 | 北京天融信网络安全技术有限公司 | 信息传输方法、装置、电子设备及计算机可读介质 |
CN109861973B (zh) * | 2018-12-21 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 信息传输方法、装置、电子设备及计算机可读介质 |
CN109697212B (zh) * | 2018-12-27 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据处理方法和数据处理装置 |
CN109697212A (zh) * | 2018-12-27 | 2019-04-30 | 北京天融信网络安全技术有限公司 | 一种数据处理方法和数据处理装置 |
CN109889381A (zh) * | 2019-02-18 | 2019-06-14 | 国家计算机网络与信息安全管理中心 | 基于堡垒机的自动化配置管理方法及装置 |
CN109889381B (zh) * | 2019-02-18 | 2022-03-18 | 国家计算机网络与信息安全管理中心 | 基于堡垒机的自动化配置管理方法及装置 |
CN110049028A (zh) * | 2019-04-03 | 2019-07-23 | 北京奇安信科技有限公司 | 监控域控管理员的方法、装置、计算机设备及存储介质 |
CN112187491A (zh) * | 2019-07-01 | 2021-01-05 | 阿里巴巴集团控股有限公司 | 服务器的管理方法、装置和设备 |
CN111244806B (zh) * | 2020-01-21 | 2022-05-17 | 南京捷安信息科技有限公司 | 一种电力设备安全调试监控系统和处理方法 |
CN111244806A (zh) * | 2020-01-21 | 2020-06-05 | 南京捷安信息科技有限公司 | 一种电力设备安全调试监控系统和处理方法 |
CN111786826A (zh) * | 2020-06-29 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 工控设备运维审计系统、工控设备运维方法、计算机设备 |
CN112769808A (zh) * | 2020-12-31 | 2021-05-07 | 章和技术(广州)有限公司 | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 |
CN113765780A (zh) * | 2021-09-27 | 2021-12-07 | 北京珞安科技有限责任公司 | 一种基于物联网的便携式运维网关 |
CN115904012A (zh) * | 2023-01-06 | 2023-04-04 | 山东中网云安智能科技有限公司 | 一种便携式智能分类加密堡垒机系统 |
CN117729057A (zh) * | 2024-02-18 | 2024-03-19 | 北京建恒信安科技有限公司 | 一种基于身份安全的零信任接入系统的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108984379A (zh) | 一种调度数据网远程访问加固及集中监控的系统及方法 | |
CN108366090A (zh) | 一种调度数据网远程访问加固及集中监控的系统 | |
CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
CN109559258B (zh) | 教育资源公共服务系统 | |
CN105991734B (zh) | 一种云平台管理方法及系统 | |
US8881224B2 (en) | Method and system for providing masking services | |
CN104636678B (zh) | 一种云计算环境下对终端设备进行管控的方法和系统 | |
US20150347751A1 (en) | System and method for monitoring data in a client environment | |
CN106817480A (zh) | 基于时间和应用白名单方式对移动设备使用权限进行管控的系统 | |
CN102857363A (zh) | 一种虚拟网络的自主管理系统和方法 | |
US11729642B2 (en) | Using orchestrators for false positive detection and root cause analysis | |
CN103326883A (zh) | 一种统一安全管理与综合审计系统 | |
CN108696359B (zh) | 用于管理多个风力发电厂的系统和方法 | |
CN110321713A (zh) | 基于双体系架构的可信计算平台的动态度量方法和装置 | |
CN110391937A (zh) | 一种基于soap服务模拟的物联网蜜网系统 | |
CN110334512A (zh) | 基于双体系架构的可信计算平台的静态度量方法和装置 | |
CN103701783A (zh) | 一种预处理单元、由其构成的数据处理系统以及处理方法 | |
CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
CN114422542A (zh) | 一种终端域管系统 | |
CN110334509A (zh) | 双体系架构的可信计算平台的构建方法和装置 | |
US20160381185A1 (en) | System and method for managing virtual environments in an infrastructure | |
CN111147429B (zh) | 一种项目研发环境部署系统 | |
CN106161592A (zh) | 一种实现远程命令执行的方法及装置 | |
CN115174563A (zh) | 一种计算机底层远程运维的驱动方法 | |
CN105162641A (zh) | 云桌面的监控方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181211 |