CN113949533A - 一种调度数据网络离线审计平台 - Google Patents
一种调度数据网络离线审计平台 Download PDFInfo
- Publication number
- CN113949533A CN113949533A CN202111098994.1A CN202111098994A CN113949533A CN 113949533 A CN113949533 A CN 113949533A CN 202111098994 A CN202111098994 A CN 202111098994A CN 113949533 A CN113949533 A CN 113949533A
- Authority
- CN
- China
- Prior art keywords
- control system
- automatic control
- maintenance
- user
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012423 maintenance Methods 0.000 claims abstract description 119
- 238000007726 management method Methods 0.000 claims abstract description 70
- 238000012550 audit Methods 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 23
- 230000006870 function Effects 0.000 claims description 27
- 238000013475 authorization Methods 0.000 claims description 14
- 230000008859 change Effects 0.000 claims description 7
- 230000003993 interaction Effects 0.000 claims description 6
- 230000009471 action Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000013070 change management Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 230000008676 import Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000003068 static effect Effects 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims 1
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000003313 weakening effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明实施例提供了一种调度数据网络离线审计平台,采用专用安全调试平台和自动控制系统小盒子中的自动控制系统通过协议访问被访问服务器及网络设备;运维工单管理系统通过自动控制系统将运维工单统一下发,运维工单管理系统对小盒子自动控制系统及专用安全调试平台进行批量管理。本着高可靠、强兼容、低投入与统一运维的建设目标和降低管理维护工作量、保障工控系统的安全性、减少对现有环境的修改、保证系统及外围设备的兼容性的目标需求,本离线审计平台可对调度数据网系统、NCS系统直连主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,提供细粒度的审计,操作过程的回放,弥补直连资产操作的审计缺失。
Description
技术领域
本发明涉审计平台技术领域,特别涉及一种调度数据网络离线审 计平台。
背景技术
当调度数据网设备出现故障时,电厂设备无安全隔离防护装置, 厂家服务人员可直接将电脑接入故障设备,存在病毒侵入的风险。发 电单位由于站控层、间隔层和过程层网络数据无法通过调度数据网上 传至省调或各地市,未来将单独考虑通过使用便携式厂站级运维审计 全范围对厂站运维操作进行监管。目前现有业务、信息系统存在以下 问题:
(1)外来人员运维需要告知账号密码,存在泄密风险;
(2)同一账号多人使用,某一操作无法定位到责任人;
(3)现场违法运维检修操作无法实时监视和有效阻断;
(4)各类设备运维检修操作难以记录审计和定位追溯。
发明内容
(一)解决的技术问题
本发明实施例提供一种调度数据网络离线审计平台,用以解决现 有业务、信息系统存在的上述技术问题。
(二)技术方案
本发明实施例提供了一种调度数据网络离线审计平台,包括,
专用安全调试平台形态,所述专用安全调试平台将自动控制系统 与操作终端合二为一,所述专用安全调试平台通过RDP、SSH、Telnet、 RS232中的至少一种协议访问被访问服务器及网络设备;
自动控制系统小盒子形态,所述自动控制系统小盒子通过有线或 者无线形式与运维客户端、被访问服务器及网络设备通信连接,所述 自动控制系统小盒子为登录运维客户端的操作人员提供唯一的访问 接口,所述自动控制系统小盒子通过RDP、SSH、Telnet、RS232中的 至少一种协议访问被访问服务器及网络设备;
运维工单管理系统,所述运维工单管理系统通过所述专用安全调 试平台的将运维工单统一下发至运维操作人员,所述运维工单管理系 统对小盒子自动控制系统及专用安全调试平台进行批量管理。
进一步的,通过静态口令、动态口令、手机令牌等的方式认证登 录访问所述自动控制系统,
所述自动控制系统支持密码强度、密码有效期、口令尝试死锁、 用户激活的安全管理功能;
所述自动控制系统支持用户分组管理;
所述自动控制系统支持用户信息导入导出,方便批量处理。
在此过程中,自动控制系统无需添加运维资产以及传统的具体授 权信息,运维方式由传统基于资产的运维,转变为基于协议的运维, 操作人只需要选择对应运维协议即可开始运维。
进一步的,所述自动控制系统支持基于用户、运维协议、目标地 址段、运维时间段、会话时长等中的至少一种授权功能,用于实现细 粒度授权功能;
所述自动控制系统支持基于用户到资源地址段的授权及基于用 户到运维协议的授权。
进一步的,所述自动控制系统支持对后台各类设备的全局凭证进 行统一管理,即全局账户由系统托管,用户登录系统后,系统根据用 户权限分配全局账户使用权;其中所述后台各类设备包括主机、服务 器、网络设备、数据库、安全应用,所述全局凭证包括如账号、口令; 所述自动控制系统支持单点登录。
进一步的,所述自动控制系统根据用户配置的安全策略对实施运 维过程中的违规操作做检测,并对违规操作作出告警动作,所述自动 控制系统提供用户可配置的告警规则;所述告警动作包括操作阻断及 通知告警。
进一步的,所述自动控制系统提供运维协议Telnet、FTP、SSH、 SFTP、RDP网络会话以及RS232本地串口会话的完整会话记录,完 全满足内容审计中信息百分百不丢失的要求。
所述会话的信息包括运维用户、运维地址、后台资源地址、资源 名、协议、起始时间、终止时间、流量大小的信息以及运维过程中所 有进出后台资源的数据。
进一步的,所述自动控制系统提供运维操作审计以会话为单位的 当日或条件的查询定位;所述条件查询支持按关键字的组合方式;
所述自动控制系统针对命令交互方式的协议,提供逐条命令及相 关操作结果的显示;
所述自动控制系统提供图像形式的回放,真实、直观、可视地重 现当时的操作过程;所述回放提供快放、慢放、拖拽方式进行快速定 位和查看;
所述自动控制系统针对命令交互方式的协议,提供按命令进行定 位回放;针对图像协议,提供按时间进行定位回放。
进一步的,所述自动控制系统提供运维人员操作,管理员操作 以及违规事件的多种审计报表,多种所述审计报表包括:
日常报表:所述日常报表包括今日会话、今日自审计、用户信息、 资源信息、权限信息、规则信息、管理员角色信息报表等;
会话报表:所述会话报表可根据用户选定时间、用户、资源形成 会话报表;
自审计操作报表:所述自审计操作报表可根据用户选定时间、管 理员、模块形成自审计报表;
告警报表:所述告警报表可根据告警类别、级别、运维用户、协 议、时间条件形成报表;
综合统计报表:所述综合统计报表可根据时间、用户等条件形成 综合统计报表,报表中包括概要信息、每个用户操作信息、所有被访 问资源操作信息等。
进一步的,自动控制系统可与自动控制系统工单系统相结合,可 以优化运维管理流程,加强对运维管理中的风险控制。
所述运维工单管理系统和自动控制系统均支持对变更工单录入 操作实现变更过程的监控和审计。
对现有运维变更管理系统快速集成为其提供必要的运维操作信 息以及变更工单号事后审计功能实现及时验收变更过程是否有效,已 经快速查找和定位变更过程中造成的问题。
进一步的,所述运维工单管理系统为分支节点的自动控制系统运 行和管理提供一个统一平台,所述运维工单管理系统管理和审计分支 节点的自动控制系统;
所述运维工单管理系统对各自动控制系统的节点管理监控,所述 管理监控主要包括:用户管理功能、工单下发功能、系统管理功能、 日志管理功能、统计分析功能。
(三)有益效果
本着高可靠、强兼容、低投入与统一运维的建设目标和降低管理 维护工作量、保障工控系统的安全性、减少对现有环境的修改、保证 系统及外围设备的兼容性的目标需求,本离线审计平台可对调度数据 网系统、NCS系统直连主机、服务器、网络设备、安全设备等的管理 维护进行安全、有效、直观的操作审计,提供细粒度的审计,操作过 程的回放,弥补直连资产操作的审计缺失。
1.灵活产品形态
为保证自动控制系统便捷性以及使用的灵活性,自动控制系统产 品提供了两种不同的产品形态:
1)与操作终端合为一体的运维操作审计形态(“专用安全 调试平台”)。
2)灵巧便捷、使用方便的移动式设备形态(“小盒子”);
2.精确命令识别
做到对运维操作的有效控制和审计,是产品的技术关键点。对于 通过命令来进行运维操作访问,自动控制系统能够做到精确命令识别, 同时辅助于相应的黑、白名单控制。对于命令输入过程中,例如telnet 访问,无论是采用Delete、PgUp、PgDn、Tab等命令行编辑模式,系 统均能够做到精确识别。
3.人员设备管理
自动控制系统通过对资产的弱化处理,使得应用范围更广,配置 更为简洁,多应用场景切换更为方便。
4.分权管理机制
DT-Smart提供了系统管理员、运维管理员、运维凭证员和运维审 计员4种管理角色,并可支持灵活地配置更细的角色,从技术上保 证系统管理的安全。
1)系统管理员角色权限主要为设备管理及管理员管理。
2)运维管理员负责操作员、设备资源以及访问控制等管理。运 维凭证员负责和设备账户凭证相关的管理工作。
3)运维审计员可审计运维管理日志、运维操作日志和相关汇总 报表。
运维操作员与运维管理员的角色不能重合。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分 地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的 目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所 特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描 述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分, 与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。
图1为本发明实施例中一种专用安全调试平台形态示意图。
图2为本发明实施例中一种自动控制系统小盒子形态示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处 所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本方案所使用的专业术语解释:
本发明实施例提供一种调度数据网络离线审计平台,如图1、2 所示,包括:
专用安全调试平台形态,所述专用安全调试平台将自动控制系统 与操作终端合二为一,所述专用安全调试平台通过RDP、SSH、Telnet、 RS232中的至少一种协议访问被访问服务器及网络设备;
自动控制系统小盒子形态,所述自动控制系统小盒子通过有线或 者无线形式与运维客户端、被访问服务器及网络设备通信连接,所述 自动控制系统小盒子为登录运维客户端的操作人员提供唯一的访问 接口,所述自动控制系统小盒子通过RDP、SSH、Telnet、RS232中的 至少一种协议访问被访问服务器及网络设备;
运维工单管理系统,所述运维工单管理系统通过所述专用安全调 试平台的将运维工单统一下发至运维操作人员,所述运维工单管理系 统对小盒子自动控制系统及专用安全调试平台进行批量管理。
在此过程中,自动控制系统无需添加运维资产以及传统的具体授 权信息,运维方式由传统基于资产的运维,转变为基于协议的运维, 操作人只需要选择对应运维协议即可开始运维。
上述技术方案的有益效果为:本着高可靠、强兼容、低投入与统 一运维的建设目标和降低管理维护工作量、保障工控系统的安全性、 减少对现有环境的修改、保证系统及外围设备的兼容性的目标需求, 本离线审计平台可对调度数据网系统、NCS系统直连主机、服务器、 网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计, 提供细粒度的审计,操作过程的回放,弥补直连资产操作的审计缺失。
1.灵活产品形态
为保证自动控制系统便捷性以及使用的灵活性,自动控制系统产 品提供了两种不同的产品形态:
1)与操作终端合为一体的运维操作审计形态(“专用安全调试平 台”)。
2)灵巧便捷、使用方便的移动式设备形态(“小盒子”);
2.精确命令识别
做到对运维操作地有效控制和审计,是产品的技术关键点。对于 通过命令来进行运维操作访问,自动控制系统能够做到精确命令识别, 同时辅助于相应的黑、白名单控制。对于命令输入过程中,例如telnet 访问,无论是采用Delete、PgUp、PgDn、Tab等命令行编辑模式,系 统均能够做到精确识别。
其中,通过静态口令、动态口令、手机令牌的方式认证登录访问 所述自动控制系统。
所述自动控制系统支持密码强度、密码有效期、口令尝试死锁、 用户激活的安全管理功能;所述自动控制系统支持用户分组管理;所 述自动控制系统支持用户信息导入导出,方便批量处理。
其中,所述自动控制系统支持基于用户、运维协议、目标地址段、 运维时间段、会话时长中的至少一种授权功能,用于实现细粒度授权 功能。
所述自动控制系统支持基于用户到资源地址段的授权及基于用 户到运维协议的授权。
其中,所述自动控制系统支持对后台各类设备的全局凭证进行统 一管理,即全局账户由系统托管,用户登录系统后,系统根据用户权 限分配全局账户使用权;其中所述后台各类设备包括主机、服务器、 网络设备、数据库、安全应用,所述全局凭证包括如账号、口令;所 述自动控制系统支持单点登录。
其中,所述自动控制系统根据用户配置的安全策略对实施运维过 程中的违规操作做检测,并对违规操作作出告警动作,所述自动控制 系统提供用户可配置的告警规则;所述告警动作包括操作阻断及通知 告警。
其中,所述自动控制系统提供运维协议Telnet、FTP、SSH、SFTP、RDP网络会话以及RS232本地串口会话的完整会话记录;所述会话 的信息包括运维用户、运维地址、后台资源地址、资源名、协议、起 始时间、终止时间、流量大小的信息以及运维过程中所有进出后台资 源的数据。
在一个实施例中,所述自动控制系统提供运维操作审计以会话为 单位的当日或条件的查询定位;所述条件查询支持按关键字的组合方 式;
所述自动控制系统针对命令交互方式的协议,提供逐条命令及相 关操作结果的显示;
所述自动控制系统提供图像形式的回放,真实、直观、可视地重 现当时的操作过程;所述回放提供快放、慢放、拖拽方式进行快速定 位和查看;
所述自动控制系统针对命令交互方式的协议,提供按命令进行定 位回放;针对图像协议,提供按时间进行定位回放。
其中,所述自动控制系统提供运维人员操作,管理员操作以及 违规事件的多种审计报表,多种所述审计报表包括:
日常报表:所述日常报表包括今日会话、今日自审计、用户信息、 资源信息、权限信息、规则信息、管理员角色信息报表;
会话报表:所述会话报表根据用户选定时间、用户、资源形成会 话报表;
自审计操作报表:所述自审计操作报表根据用户选定时间、管理 员、模块形成自审计报表;
告警报表:所述告警报表根据告警类别、级别、运维用户、协议、 时间条件形成报表;
综合统计报表:所述综合统计报表根据时间、用户等条件形成综 合统计报表,报表中包括概要信息、每个用户操作信息、所有被访问 资源操作信息。
在一个实施例中,所述运维工单管理系统和自动控制系统均支持 对变更工单录入操作、对现有运维变更管理系统快速集成、以及变更 工单号事后审计功能。
在一个实施例中,所述运维工单管理系统为分支节点的自动控 制系统运行和管理提供一个统一平台,所述运维工单管理系统管理和 审计分支节点的自动控制系统;
所述运维工单管理系统对各自动控制系统节点管理监控,所述管 理监控包括:用户管理功能、工单下发功能、系统管理功能、日志管 理功能、统计分析功能。
本着高可靠、强兼容、低投入与统一运维的建设目标和降低管理 维护工作量、保障工控系统的安全性、减少对现有环境的修改、保证 系统及外围设备的兼容性的目标需求,本离线审计平台可对调度数据 网系统、NCS系统直连主机、服务器、网络设备、安全设备等的管理 维护进行安全、有效、直观的操作审计,提供细粒度的审计,操作过 程的回放,弥补直连资产操作的审计缺失。
1.灵活产品形态
为保证自动控制系统便捷性以及使用的灵活性,自动控制系统 产品提供了两种不同的产品形态:
1)与操作终端合为一体的运维操作审计形态(“专用安全调试平 台”)。
2)灵巧便捷、使用方便的移动式设备形态(“小盒子”);
2.精确命令识别
做到对运维操作地有效控制和审计,是产品的技术关键点。对于 通过命令来进行运维操作访问,自动控制系统能够做到精确命令识别, 同时辅助于相应的黑、白名单控制。对于命令输入过程中,例如telnet 访问,无论是采用Delete、PgUp、PgDn、Tab等命令行编辑模式,系 统均能够做到精确识别。
3.人员设备管理
自动控制系统通过对资产的弱化处理,使得应用范围更广,配置 更为简洁,多应用场景切换更为方便。
4.分权管理机制
DT-Smart提供了系统管理员、运维管理员、运维凭证员和运维审 计员4种管理角色,并可支持灵活地配置更细的角色,从技术上保 证系统管理的安全。
1)系统管理员角色权限主要为设备管理及管理员管理。
2)运维管理员负责操作员、设备资源以及访问控制等管理。运 维凭证员负责和设备账户凭证相关的管理工作。
3)运维审计员可审计运维管理日志、运维操作日志和相关汇总 报表。
运维操作员与运维管理员的角色不能重合。
综上通过本发明解决了以下技术问题:
(1)外来人员运维需要告知账号密码,存在泄密风险;
(2)同一账号多人使用,某一操作无法定位到责任人;
(3)现场违法运维检修操作无法实时监视和有效阻断;
(4)各类设备运维检修操作难以记录审计和定位追溯。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变 型而不脱离本发明的精神和范围。这样,倘若本发明实施例的这些修 改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也 意图包含这些改动和变型在内。
Claims (10)
1.一种调度数据网络离线审计平台,其特征在于,所述平台包括两种形态:
专用安全调试平台的形态,所述专用安全调试平台将自动控制系统与操作终端合二为一,所述专用安全调试平台通过RDP、SSH、Telnet、RS232中的至少一种协议访问被访问服务器及网络设备;
自动控制系统小盒子的形态,所述自动控制系统小盒子通过有线或者无线形式与运维客户端、被访问服务器及网络设备通信连接,所述自动控制系统小盒子为登录运维客户端的操作人员提供唯一的访问接口,所述自动控制系统小盒子通过RDP、SSH、Telnet、RS232中的至少一种协议访问被访问服务器及网络设备;
还包括:运维工单管理系统,所述运维工单管理系统通过所述专用安全调试平台的将运维工单统一下发至运维操作人员,所述运维工单管理系统对小盒子自动控制系统及专用安全调试平台进行批量管理。
2.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,通过静态口令、动态口令、手机令牌的方式认证登录访问所述自动控制系统;
所述自动控制系统支持密码强度、密码有效期、口令尝试死锁、用户激活的安全管理功能;所述自动控制系统支持用户分组管理;所述自动控制系统支持用户信息导入导出,方便批量处理。
3.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统支持基于用户、运维协议、目标地址段、运维时间段、会话时长中的至少一种授权功能,用于实现细粒度授权功能;
所述自动控制系统支持基于用户到资源地址段的授权及基于用户到运维协议的授权。
4.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统支持对后台各类设备的全局凭证进行统一管理,即全局账户由系统托管,用户登录系统后,系统根据用户权限分配全局账户使用权;其中,所述后台各类设备包括主机、服务器、网络设备、数据库、安全应用,所述全局凭证包括如账号、口令;所述自动控制系统支持单点登录。
5.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统根据用户配置的安全策略对实施运维过程中的违规操作做检测,并对违规操作作出告警动作,所述自动控制系统提供用户可配置的告警规则;所述告警动作包括操作阻断及通知告警。
6.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统提供运维协议Telnet、FTP、SSH、SFTP、RDP网络会话以及RS232本地串口会话的完整会话记录;所述会话的信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小的信息以及运维过程中所有进出后台资源的数据。
7.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统提供运维操作审计以会话为单位的当日或条件的查询定位;所述条件查询支持按关键字的组合的方式;
所述自动控制系统针对命令交互方式的协议,提供逐条命令及相关操作结果的显示;
所述自动控制系统提供图像形式的回放,真实、直观、可视地重现当时的操作过程;所述回放提供快放、慢放、拖拽方式进行快速定位和查看;
所述自动控制系统针对命令交互方式的协议,提供按命令进行定位回放;针对图像协议,提供按时间进行定位回放。
8.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述自动控制系统提供运维人员操作,管理员操作以及违规事件的多种审计报表,多种所述审计报表包括:
日常报表:所述日常报表包括今日会话、今日自审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息报表;
会话报表:所述会话报表根据用户选定时间、用户、资源形成会话报表;
自审计操作报表:所述自审计操作报表根据用户选定时间、管理员、模块形成自审计报表;
告警报表:所述告警报表根据告警类别、级别、运维用户、协议、时间条件形成报表;
综合统计报表:所述综合统计报表根据时间、用户等条件形成综合统计报表,报表中包括概要信息、每个用户操作信息、所有被访问资源操作信息。
9.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述运维工单管理系统和所述自动控制系统均支持对变更工单录入操作、对现有运维变更管理系统快速集成、以及变更工单号事后审计功能。
10.根据权利要求1所述的一种调度数据网络离线审计平台,其特征在于,所述运维工单管理系统为分支节点的所述自动控制系统运行和管理提供一个统一平台,所述运维工单管理系统管理和审计分支节点的所述自动控制系统;
所述运维工单管理系统对各自动控制系统的节点管理监控,所述管理监控包括:用户管理功能、工单下发功能、系统管理功能、日志管理功能、统计分析功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111098994.1A CN113949533A (zh) | 2021-09-18 | 2021-09-18 | 一种调度数据网络离线审计平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111098994.1A CN113949533A (zh) | 2021-09-18 | 2021-09-18 | 一种调度数据网络离线审计平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113949533A true CN113949533A (zh) | 2022-01-18 |
Family
ID=79328380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111098994.1A Pending CN113949533A (zh) | 2021-09-18 | 2021-09-18 | 一种调度数据网络离线审计平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949533A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
| US20200020186A1 (en) * | 2018-07-11 | 2020-01-16 | Acsys Holdings Limited | Systems and methods for providing an access management platform |
| CN111244806A (zh) * | 2020-01-21 | 2020-06-05 | 南京捷安信息科技有限公司 | 一种电力设备安全调试监控系统和处理方法 |
| CN112465159A (zh) * | 2020-11-13 | 2021-03-09 | 许继电气股份有限公司 | 一种变电站移动式安全运维系统及方法 |
| CN112580199A (zh) * | 2020-12-10 | 2021-03-30 | 国网四川省电力公司信息通信公司 | 基于cim模型的电力系统多维数据统一构建系统 |
-
2021
- 2021-09-18 CN CN202111098994.1A patent/CN113949533A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
| US20200020186A1 (en) * | 2018-07-11 | 2020-01-16 | Acsys Holdings Limited | Systems and methods for providing an access management platform |
| CN111244806A (zh) * | 2020-01-21 | 2020-06-05 | 南京捷安信息科技有限公司 | 一种电力设备安全调试监控系统和处理方法 |
| CN112465159A (zh) * | 2020-11-13 | 2021-03-09 | 许继电气股份有限公司 | 一种变电站移动式安全运维系统及方法 |
| CN112580199A (zh) * | 2020-12-10 | 2021-03-30 | 国网四川省电力公司信息通信公司 | 基于cim模型的电力系统多维数据统一构建系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| CN109768889A (zh) | 一种可视化安全管理智慧运维平台 | |
| CN102361354B (zh) | 无人值班变电站自动化系统的远程集约化管控系统 | |
| CN105119750A (zh) | 一种基于大数据的分布式信息安全运维管理平台 | |
| CN102333090A (zh) | 一种内控堡垒主机及安全访问内网资源的方法 | |
| CN105282772A (zh) | 无线网数通设备监控系统及设备监控方法 | |
| CN106657011A (zh) | 一种业务服务器授权安全访问方法 | |
| CN102195991A (zh) | 一种终端安全管理、认证方法及系统 | |
| CN108366090A (zh) | 一种调度数据网远程访问加固及集中监控的系统 | |
| CN104168459A (zh) | 一种远程监管系统 | |
| CN111047143A (zh) | 一种基于电网oms的地、县班组指标管理系统 | |
| CN106779485A (zh) | 基于soa架构的综合管理系统及数据处理方法 | |
| CN103297266B (zh) | 一种基于企业集成总线的系统接入管理方法 | |
| Liang et al. | Information security monitoring and management method based on big data in the internet of things environment | |
| CN102403796B (zh) | 无人值班变电站的集约化管控系统的规约自适应接入方法 | |
| CN114629677A (zh) | 一种用于火电机组电量计费系统的安全防护系统及方法 | |
| CN113949533A (zh) | 一种调度数据网络离线审计平台 | |
| CN115361273A (zh) | 基于区块链的电力运维安全监管与应急管控系统及方法 | |
| CN112908029B (zh) | 安全停车管理系统 | |
| CN113765780A (zh) | 一种基于物联网的便携式运维网关 | |
| Zhang et al. | Urban Rail Traffic Security Management System Based on Big Data Platform | |
| CN202111721U (zh) | 一种网络信息安全保障系统 | |
| CN112615744A (zh) | 一种机房资产云安全管理平台 | |
| CN208675257U (zh) | 一种基于通信网管设备的远程登录系统 | |
| CN110543762A (zh) | 特权账号威胁分析系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |