CN110008707A - 一种it系统自动化运维脚本执行的安全保障方法 - Google Patents
一种it系统自动化运维脚本执行的安全保障方法 Download PDFInfo
- Publication number
- CN110008707A CN110008707A CN201910220148.9A CN201910220148A CN110008707A CN 110008707 A CN110008707 A CN 110008707A CN 201910220148 A CN201910220148 A CN 201910220148A CN 110008707 A CN110008707 A CN 110008707A
- Authority
- CN
- China
- Prior art keywords
- script
- line
- order line
- parsing
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及IT系统自动化运维脚本执行的安全保障方法,其通过脚本解析命令行以及预置匹配规则扫描,实现IT运维领域中对于自动化运维脚本执行的安全保障。其步骤如下:(1)逐行解析执行脚本命令,输出解析后的命令行;(2)根据敏感命令匹配规则对解析后的命令行进行正则运算,输出敏感命令行并保存;(3)自动通知审核人员对脚本的敏感命令行进行审核处理。本发明可有效解决IT运维领域中,自动化操作脚本含有动态参数执行的安全问题,并有效降低了人工大规模审核脚本敏感命令的工作量。
Description
技术领域
本发明涉及自动化运维领域,特别是通过脚本敏感命令、参数值组合扫描及动态审核技术,实现自动化操作脚本下发到目标设备之前进行安全审核,提高自动化运维安全性的IT系统自动化运维脚本执行的安全保障方法。
背景技术
下面的背景技术用于帮助读者理解本发明,而不能被认为是现有技术。
现代IT系统包含大量软硬件资源,IT运维人员一般都通过手工方式在资源设备上执行脚本,使得在IT系统运维过程中,缺少自动化。因此产生了自动化运维这样的产品技术,来运维这些软硬件资源信息。
然而传统的自动化运维产品技术,可自动批量下发脚本到资源设备上执行,并结合人工大批量审核脚本的敏感命令来确保脚本在资源设备上执行安全。但这种方式在大型IT环境中,会引起大量的人工审核敏感命令的工作量,也阻碍了自动化运维使用普及推广。
同时脚本中也通常使用命令组合动态参数值方式,使用通常的人工审核脚本敏感命令已失去实际意义,也无法做到审核实际执行脚本的目的,对目标设备上执行的安全性更加难以保障。
发明内容
本发明的目的即是解决传统自动化运维产品的不足,通过预置的脚本敏感命令和参数值规则匹配,以及指定脚本审核人员,可实现操作脚本在下发目标设备之前进行敏感命令和参数值进行规则匹配,匹配上之后则通知审核人员进行审核的方式来实现自动化运维脚本执行的安全保障。
具体的,本发明通过以下技术方案来实现:
一种IT系统自动化运维脚本执行的安全保障方法,利用脚本解析器解析脚本命令行,通过预置匹配规则进行正则运算,并输出敏感命令行,最后自动通知审核人对脚本的敏感命令行审核是否继续下发脚本到目标设备上执行;包括以下步骤:
1)预置规则:当系统安装后,自动调用初始化脚本对预置规则进行初始化,包括预置脚本敏感命令和参数值匹配规则,并允许根据需要再进行调整及指定脚本审核人员;
2)脚本解析:逐行读取脚本文件并根据脚本解析器进行命令行解析,输出解析后的命令行,并触发规则扫描;
3)规则扫描:根据匹配规则对解析后命令行进行正则运算,输出敏感命令行并记录;
4)动态审核:动态审核通知审核人员并对敏感命令行进行审核处理。
进一步地,步骤2)脚本解析中具体包括以下步骤:
(1)读取脚本文件,从上至下逐行读取并通过脚本解析器进行解析,输出解析后的命令行;
(2)再触发调用规则扫描对解析后的命令行进行逐行扫描处理;
(3)重复(1)和(2)步骤直至读取所有脚本行并扫描完成。
进一步地,步骤3)规则扫描中具体包括以下步骤:
(1)根据匹配规则表达式对解析后的命令行进行正则匹配运算,并输出敏感命令行;
(2)保存规则扫描后的敏感命令行。
进一步地,步骤4)动态审核中具体包括以下步骤:
(1)检查执行脚本是否存在敏感命令行,并返回检查结果;
(2)判断检查结果是否存在,如存在则获取脚本审核人员并通知其处理,否则不处理。
有益效果
本发明的IT系统自动化运维脚本执行的安全保障方法通过对操作脚本自动解析脚本与规则扫描并通知审核有效减少了人工审核的工作,也预防脚本里存在敏感命令在目标设备上执行带来的破坏,并提高自动化运维脚本安全性。
附图说明
图1为本发明的IT系统自动化运维脚本执行的安全保障方法的流程示意图;
图2为脚本解析流程示意图;
图3为规则扫描流程示意图。
具体实施方式
下面结合附图和实例对本发明作进一步说明:
本发明的脚本执行的安全保障方法,在系统初始化时先进行规则预置,然后通过3个模块的运行来实现:脚本解析模块、规则扫描模块、动态审核模块。其中:1.脚本解析模块,通过脚本解析器对脚本从上至下逐行读取解析并输出解析后的脚本,再触发调用规则扫描对解析后的脚本进行规则匹配运算;2.规则扫描模块,获取解析后输出的脚本行,根据扫描规则进行正则匹配运算,输出敏感命令行并保存;3.动态审核模块,检查扫描结果是否存在敏感命令行,存在则自动通知审核人员进行审核处理,否则不处理。
图1为上述各模块的运行流程图;该图描述了数据流向:通常,脚本文件被执行的方式有三种:手工执行、定时执行和第三方调用执行。各系统提交需执行的脚本文件,首先通过脚本解析器对执行脚本进行逐行读取及解析处理,输出解析后的命令行并触发调用规则扫描;其次规则扫描被触发把解析后的命令行根据命令匹配规则进行正则运算,输出敏感命令行并触发调用动态审核;最后动态审核被触发调用后自动对脚本的敏感命令行进行判断,存在则自动通知审核人员进行审核处理,通过后才可继续执行脚本。
图2详细描述了本发明中的步骤1脚本解析过程;当执行脚本时,首先逐行读取脚本内容;其次读取每一行脚本内容通过脚本解析器进行解析,并输出CmdLine,如“脚本文件行内容:rm–rf${path},path参数值:/,输出CmdLine:{“lineNum”:1,”parsedCmdLine”:”rm–rf/”}”;最后触发调用规则扫描对CmdLine进行扫描。
图3详细描述了本发明中的步骤2规则扫描过程;当被触发调用时,首先读取解析后的命令行CmdLine;其次读取命令行匹配规则对解析后的命令行CmdLine进行正则运算,并输出敏感命令行,如“CmdLine:{“lineNum”:1,”parsedCmdLine”:”rm–rf/”},CmdRegex:rm–rf\/,输出ResultLine:{“lineNum”:1,”parsedCmdLine”:”rm–rf/”}“;最后将所有敏感命令行保存并和脚本文件建立关系,作为动态审核自动通知及审核人员审核脚本依据。
Claims (4)
1.一种IT系统自动化运维脚本执行的安全保障方法,其特征在于,利用脚本解析器解析脚本命令行,通过预置匹配规则进行正则运算,并输出敏感命令行,最后自动通知审核人对脚本的敏感命令行审核是否继续下发脚本到目标设备上执行;包括以下步骤:
(1)预置规则:当系统安装后,自动调用初始化脚本对预置规则进行初始化,包括预置脚本敏感命令和参数值匹配规则,并允许根据需要再进行调整及指定脚本审核人员;
(2)脚本解析:逐行读取脚本文件并根据脚本解析器进行命令行解析,输出解析后的命令行,并触发规则扫描;
(3)规则扫描:根据匹配规则对解析后命令行进行正则运算,输出敏感命令行并记录;
(4)动态审核:动态审核通知审核人员并对敏感命令行进行审核处理。
2.根据权利要求1所述的用于IT系统自动化运维脚本执行的安全保障方法,其特征在于,步骤2)脚本解析中具体包括以下步骤:
(1)读取脚本文件,从上至下逐行读取并通过脚本解析器进行解析,
输出解析后的命令行;
(2)再触发调用规则扫描对解析后的命令行进行逐行扫描处理;
(3)重复(1)和(2)步骤直至读取所有脚本行并扫描完成。
3.根据权利要求1所述的用于IT系统自动化运维脚本执行的安全保障方法,其特征在于,步骤3)规则扫描中具体包括以下步骤:
(1)根据匹配规则表达式对解析后的命令行进行正则匹配运算,并输出敏感命令行;
(2)保存规则扫描后的敏感命令行。
4.根据权利要求1所述的用于IT系统自动化运维脚本执行的安全保障方法,其特征在于,步骤4)动态审核中具体包括以下步骤:
(1)检查执行脚本是否存在敏感命令行,并返回检查结果;
(2)判断检查结果是否存在,如存在则获取脚本审核人员并通知其处理,否则不处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220148.9A CN110008707A (zh) | 2019-03-22 | 2019-03-22 | 一种it系统自动化运维脚本执行的安全保障方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910220148.9A CN110008707A (zh) | 2019-03-22 | 2019-03-22 | 一种it系统自动化运维脚本执行的安全保障方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110008707A true CN110008707A (zh) | 2019-07-12 |
Family
ID=67167714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910220148.9A Pending CN110008707A (zh) | 2019-03-22 | 2019-03-22 | 一种it系统自动化运维脚本执行的安全保障方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110008707A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256672A (zh) * | 2020-10-22 | 2021-01-22 | 中国联合网络通信集团有限公司 | 数据库变更审批方法及装置 |
| CN112748995A (zh) * | 2021-01-07 | 2021-05-04 | 卓望数码技术(深圳)有限公司 | 服务器自动化运维方法、系统、装置及可读存储介质 |
| CN115544524A (zh) * | 2022-11-30 | 2022-12-30 | 北京广通优云科技股份有限公司 | 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN104519008A (zh) * | 2013-09-26 | 2015-04-15 | 北大方正集团有限公司 | 跨站脚本攻击防御方法和装置、应用服务器 |
| CN105516098A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种网页脚本的识别方法及装置 |
| CN109271315A (zh) * | 2018-08-23 | 2019-01-25 | 中国平安财产保险股份有限公司 | 脚本代码检测方法、装置、计算机设备及存储介质 |
-
2019
- 2019-03-22 CN CN201910220148.9A patent/CN110008707A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN104519008A (zh) * | 2013-09-26 | 2015-04-15 | 北大方正集团有限公司 | 跨站脚本攻击防御方法和装置、应用服务器 |
| CN105516098A (zh) * | 2015-11-30 | 2016-04-20 | 睿峰网云(北京)科技股份有限公司 | 一种网页脚本的识别方法及装置 |
| CN109271315A (zh) * | 2018-08-23 | 2019-01-25 | 中国平安财产保险股份有限公司 | 脚本代码检测方法、装置、计算机设备及存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256672A (zh) * | 2020-10-22 | 2021-01-22 | 中国联合网络通信集团有限公司 | 数据库变更审批方法及装置 |
| CN112256672B (zh) * | 2020-10-22 | 2023-05-30 | 中国联合网络通信集团有限公司 | 数据库变更审批方法及装置 |
| CN112748995A (zh) * | 2021-01-07 | 2021-05-04 | 卓望数码技术(深圳)有限公司 | 服务器自动化运维方法、系统、装置及可读存储介质 |
| CN115544524A (zh) * | 2022-11-30 | 2022-12-30 | 北京广通优云科技股份有限公司 | 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110008707A (zh) | 一种it系统自动化运维脚本执行的安全保障方法 | |
| CN111291384B (zh) | 漏洞扫描方法、装置及电子设备 | |
| CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
| CN115269444B (zh) | 代码静态检测方法、装置及服务器 | |
| CN111124870A (zh) | 一种接口测试方法及装置 | |
| CN113497809A (zh) | 基于控制流和数据流分析的mips架构漏洞挖掘方法 | |
| CN111462811A (zh) | 自动化测试方法、装置、存储介质和电子设备 | |
| CN110990282A (zh) | 一种自动化单元测试方法 | |
| CN103514405A (zh) | 一种缓冲区溢出的检测方法及系统 | |
| CN109143277A (zh) | 一种gnss接收机软件自动化测试方法 | |
| CN114443466A (zh) | 用例文件转换可执行脚本的方法、终端设备及存储介质 | |
| CN111291377A (zh) | 一种应用漏洞的检测方法及系统 | |
| CN105550103A (zh) | 一种基于自定义测试脚本的自动化测试方法 | |
| CN117493188A (zh) | 接口测试方法及装置、电子设备及存储介质 | |
| CN103019865B (zh) | 虚拟机监控方法和系统 | |
| CN112433942A (zh) | 基于人工智能模型的软件自动化测试方法、装置和系统 | |
| CN111597105A (zh) | 一种基于lv环境的自动化测试系统及方法 | |
| CN105824749A (zh) | 一种linux系统下用户态进程异常的分析方法 | |
| CN114282221A (zh) | 注入类漏洞检测方法、系统、终端及存储介质 | |
| KR100924519B1 (ko) | 소프트웨어 보안 테스팅을 수행하기 위한 알려지지 않은파일 포맷 분석 시스템 및 방법 | |
| CN113900926A (zh) | 一种测试用例的批量测试方法、系统及介质 | |
| CN113204453A (zh) | 基于异构系统的异常反馈方法、设备、介质及程序产品 | |
| CN113176883A (zh) | 一种可自动生成烧写记录的fpga烧写方法和系统 | |
| CN110096888A (zh) | 一种加快验证及分析smm安全隐患的方法及系统 | |
| CN115544524B (zh) | 一种防止数据外泄的it系统自动化运维脚本执行安全保障方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191224 Address after: 310000 030, three Ting Ting Street, Qingshan Lake Street, Ling'an, Hangzhou, Zhejiang, China, 6 Applicant after: Hangzhou Youyun Software Co., Ltd. Applicant after: Beijing Guangtong software Limited by Share Ltd XinDa Address before: 310012 No. 030, No. 6 Heting Street, Qingshan Lake Street, Linan City, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Youyun Software Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190712 |