CN115695218A - 基于零信任机制的运维管理方法、装置和相关设备 - Google Patents
基于零信任机制的运维管理方法、装置和相关设备 Download PDFInfo
- Publication number
- CN115695218A CN115695218A CN202211176964.2A CN202211176964A CN115695218A CN 115695218 A CN115695218 A CN 115695218A CN 202211176964 A CN202211176964 A CN 202211176964A CN 115695218 A CN115695218 A CN 115695218A
- Authority
- CN
- China
- Prior art keywords
- maintenance
- operation instruction
- zero
- instruction
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本公开提供一种基于零信任机制的运维管理方法、装置以及电子设备和计算机可读存储介质,涉及运维管理技术领域。基于零信任机制的运维管理方法包括:零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;零信任应用代理获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的;零信任应用代理根据操作指令检测及过滤规则对运维操作指令进行检测;通过操作指令检测及过滤规则的检测,零信任应用代理确定运维操作指令是未授权的超限指令;零信任应用代理根据操作指令检测及过滤规则丢弃超限指令。本公开实施例可以提高网络系统中的网元设备的安全性。
Description
技术领域
本公开涉及运维管理技术领域,尤其涉及一种基于零信任机制的运维管理方法及装置、电子设备和计算机可读存储介质。
背景技术
运维对象在对网络系统中的网元设备(如网络系统中的网元或者网元管理设备EMS)进行运维处理时,通常会登录该网元设备,然后向网元设备发送相关操作指令以对网元管理设备进行相关操作。
但是,在实际操作过程中,非法入侵对象也有可能会非法登录网元设备,向网元设备发送超限指令,从而进行非法操作。
上述过程,使得网络系统面临极大的危险性。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。
发明内容
本公开的目的在于提供一种基于零信任机制的运维管理方法、装置、电子设备以及计算机可读存储介质,能够提高网络系统中的网元设备的安全性,从而提高网络系统的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开实施例提供了一种基于零信任机制的运维管理方法,包括:零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;零信任应用代理获取针对所述目标对象的操作指令检测及过滤规则,所述操作指令检测及过滤规则是根据所述目标对象在所述网元设备上的操作权限生成的;零信任应用代理根据所述操作指令检测及过滤规则对所述运维操作指令进行检测;通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令;零信任应用代理根据所述操作指令检测及过滤规则丢弃所述超限指令。
在一些实施例中,所述方法还包括:零信任控制器从所述网络系统中的所述网元设备中获取用户运维操作权限信息;所述零信任控制器根据所述用户运维操作权限信息生成所述针对目标对象的操作指令检测及过滤规则;所述零信任控制器将所述针对目标对象的操作指令检测及过滤规则下发给所述零信任应用代理。
在一些实施例中,所述方法还包括;所述零信任应用代理接收所述目标对象发起的运维会话;所述零信任应用代理根据用户运维操作权限信息确定所述目标对象发起的运维会话是否是非授权会话;在所述零信任应用代理根据所述用户运维操作权限信息确定所述目标对象发起的运维会话是非授权会话的情况下,丢弃所述运维会话;在所述零信任应用代理根据所述用户运维操作权限信息确定所述目标对象发起的运维会话是授权会话的情况下,允许所述目标对象通过所述运维会话与所述网络系统中的网元设备进行会话。
在一些实施例中,通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令,包括:在所述操作指令是字符型指令的情况下,使用所述操作指令检测及过滤规则对所述字符型指令进行检测;在所述操作指令是GUI类型操作指令的情况下,将所述GUI类型操作指令转换为字符型操作指令,以便使用所述操作指令检测及过滤规则对字符型指令进行检测;在所述操作指令是web类型操作指令的情况下,将所述web类型操作指令转换为字符型操作指令,以便使用所述操作指令检测及过滤规则对字符型指令进行检测。
在一些实施例中,所述网元设备包括网元和网元管理设备;其中,所述方法还包括:根据所述操作指令检测及过滤规则对所述运维操作指令进行检测,确定所述运维操作指令是已授权的授权指令;确定所述运维操作指令是针对所述网络系统中的网元的,则将所述运维操作指令转发给所述网元,以便对所述网元进行运维操作;或者,确定所述运维操作指令是针对所述网络系统中的网元管理设备的,则将所述运维操作指令转发给所述网元管理设备,以便对所述网元管理设备进行运维操作。
在一些实施例中,将所述运维操作指令转发给所述网元,包括:将所述运维操作指令转发给所述网元对应的零信任网关,所述零信任网关与所述网元的物理距离小于预设阈值,所述零信任网关包括预先设置的零信任规则;所述零信任网关根据所述零信任规则对所述运维操作指令进行筛选过滤;所述零信任网关将筛选过滤通过后的运维操作指令发送给所述网元。
在一些实施例中,所述方法还包括:所述零信任应用代理将所述超限指令发送给零信任控制器;所述零信任控制器对所述超限指令进行统计分析,以确定所述目标对象是非法对象或者非专业对象;所述零信任控制器控制所述运维操作指令对应的运维会话终止。
在一些实施例中,所述方法还包括:在丢弃所述超限指令的同时,对所述目标对象进行身份验证;通过所述身份验证确定所述目标对象是否是非法运维人员。
本公开实施例提供了一种基于零信任机制的运维管理装置,包括:运维操作指令获取模块、规则获取模块、检测模块和超限指令确定模块。
其中,所述运维操作指令获取模块用于零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;所述规则获取模块可以用于零信任应用代理获取针对所述目标对象的操作指令检测及过滤规则,所述操作指令检测及过滤规则是根据所述目标对象在所述网元设备上的操作权限生成的;所述检测模块可以用于零信任应用代理根据所述操作指令检测及过滤规则对所述运维操作指令进行检测;所述超限指令确定模块可以用于通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令;所述丢弃模块可以用于零信任应用代理根据所述操作指令检测及过滤规则丢弃所述超限指令。
本公开实施例提出一种电子设备,该电子设备包括:存储器和处理器;所述存储器用于存储程序指令;所述处理器调用所述存储器存储的所述程序指令,用于实现上述任一项所述的基于零信任机制的运维管理方法。
本公开实施例提出一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述任一项所述的基于零信任机制的运维管理方法。
本公开实施例提出一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述基于零信任机制的运维管理方法。
本公开实施例提供的基于零信任机制的运维管理方法、装置及电子设备和计算机可读存储介质,可以通过零信任应用代理对目标对象发送给网络系统中的网元设备的所有运维操作指令均进行检测和过滤,以发现未授权的超限指令,并通过丢弃超限指令来提高网元设备的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用于本公开实施例的基于零信任机制的运维管理方法或基于零信任机制的运维管理装置的示例性系统架构的示意图。
图2是根据一示例性实施例示出的一种基于零信任机制的运维管理方法的流程图。
图3是根据一示例性实施例示出的一种对网元管理设备直接运维的示意图。
图4是根据一示例性实施例示出的一种对网元直接进行运维的示意图。
图5是根据一示例性实施例示出的一种通过网元管理设备对网元进行运维的示意图。
图6是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法的流程图。
图7是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法。
图8是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法的流程图。
图9是根据一示例性实施例示出的一种基于零信任安全管理机制的运维管理方法。
图10是根据一示例性实施例示出的一种基于零信任安全管理机制的运维管理方法的时序图。
图11是根据一示例性实施例示出的一种基于零信任机制的运维管理装置的框图。
图12示出了适于用来实现本公开实施例的的电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
本公开所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和步骤,也不是必须按所描述的顺序执行。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同;用语“包含”、“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述,需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
下面结合附图对本公开示例实施方式进行详细说明。
图1示出了可以应用于本公开实施例的基于零信任机制的运维管理方法或基于零信任机制的运维管理装置的示例性系统架构的示意图。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。其中,终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、虚拟现实设备、智能家居、网关等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据进行分析等处理,并将处理结果反馈给终端设备。
服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器等,本公开对此不做限制。
服务器105可例如获取目标对象针对网络系统中的网元设备发出的运维操作指令;服务器105可例如获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的;服务器105可例如根据操作指令检测及过滤规则对运维操作指令进行检测;服务器105可例如通过操作指令检测及过滤规则的检测,确定运维操作指令是未授权的超限指令;服务器105可例如根据操作指令检测及过滤规则丢弃超限指令。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的,服务器105可以是一个实体的服务器,还可以为多个服务器组成,根据实际需要,可以具有任意数目的终端设备、网络和服务器。
在上述系统架构下,本公开实施例中提供了以下基于零信任机制的运维管理方法,该方法可以由任意具备计算处理能力的电子设备执行。
图2是根据一示例性实施例示出的一种基于零信任机制的运维管理方法的流程图。
在一些实施例中,网络系统中会存在多个硬件设备,目标对象可以通过运维系统对该硬件设备进行运维。其中,网络系统中的硬件设备可以指的是网络系统中的网元设备,例如可以指的是网络设备中的网元(如PCF(Policy Control function,策略控制功能)网元、AMF(Access and Mobility Management Function,接入和移动性管理功能)网元、UPF(The User plane function,用户面功能)网元等),也可以指的是网络系统中的网元管理设备(network element management system,EMS)。
但是,上述目标对象可能是非法入侵对象,该目标对象发出的运维操作指令可能是未授权的超限指令。
通过以下方法可以避免网络系统中的网元设备根据未授权的运维操作指令进行操作,从而提高网元设备的安全性。
其中,上述网元设备可以指的是网络系统中的网元或者网元管理设备,本申请对象不做限制,网络系统中任意可以从外界接受操作指令的设备均可以是本申请中的网元设备。
参照图2,本公开实施例提供的基于零信任机制的运维管理方法可以包括以下步骤。
步骤S202,零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令。
上述零信任应用代理可以指的是在目标对象和网元设备之间进行数据接收和转发的网关。
如图3或者图4或者图5所示,上述零信任应用代理可以是目标对象侧对应的网关,上述零信任应用代理也可以指的是网元设备侧对应的网关(如图3或者图4中靠近网元管理设备EMS或者靠近UPF网元的零信任网关),本申请对此不做限制。
其中,上述图3是根据一示例性实施例示出的一种对网元管理设备直接运维的示意图;图4是根据一示例性实施例示出的一种对网元直接进行运维的示意图;图5是根据一示例性实施例示出的一种通过网元管理设备对网元进行运维的示意图。
在图3所示示意图中,运维人员可以通过零信任网关客户端登录网元管理设备,并向网元管理设备直接发送操作指令,以对网元管理设备进行操作。在图4所示示意图中,运维人员可以通过零信任网关客户端登录网元,并向网元直接发送操作指令,以对网元进行操作。在图5所示示意图中,运维人员既可以通过零信任网关客户端登录网元管理设备,并向网元管理设备直接发送操作指令;运维人员还可以通过零信任网关客户端登录网元,并向网元直接发送操作指令;运维人员还可以通过零信任网关客户端登录网元管理设备,并通过网元管理设备向网元间接发送操作指令,以对网元进行操作。
通过上述零信任应用代理可以截取并过滤目标对象发送给网元设备的所有的运维操作指令。
步骤S204,零信任应用代理获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的。
在一些实施例中,可以预先存储各个授权对象的操作权限,如图3或者图4或者图5所示,可以通过零信任控制器预先存储各个授权对象的操作权限。
可以理解的是,上述零信任控制器可以与零信任应用代理不同,也可以部署在零信任应用代理中。
在一些实施例中,可以根据各个授权对象的操作权限为各个授权对象确定操作指令检测及过滤规则。例如,可以通过图3或者图4或者图5所示的零信任控制器从网络设备的网元设备(如网元或者网元管理设备)中获取用户操作权限信息,然后根据该用户操作权限信息生成每个用户对应的操作指令检测及过滤规则。
具体而言,零信任控制器可以从网络系统中的网元设备中获取用户运维操作权限信息;然后根据用户运维操作权限信息生成针对目标对象的操作指令检测及过滤规则;最后将针对目标对象的操作指令检测及过滤规则下发给零信任应用代理,以便该零信任应用代理根据该操作指令检测及过滤规则对目标对象发送给网元设备的所有的操作指令进行检测和过滤。
其中,上述操作指令检测及过滤规则可以用来确定发出操作指令的对象是否有权限对网元设备进行操作,并用来确定该对此发出的操作指令是否在其权限之内。
步骤S206,零信任应用代理根据操作指令检测及过滤规则对运维操作指令进行检测。
步骤S208,通过操作指令检测及过滤规则的检测,零信任应用代理确定运维操作指令是未授权的超限指令。
在一些实施例中,如果发出操作指令的对象有权限对网元设备进行操作,并且该操作指令在其权限之内,则认为该操作指令是授权指令;如果发出操作指令的对象无权对网元设备进行操作,或者该操作指令不在其权限之内,则认为该操作指令是超限指令。
在一些实施例中,在操作指令是字符型指令的情况下,可以使用操作指令检测及过滤规则对字符型指令进行检测。
在一些实施例中,在操作指令是GUI类型操作指令的情况下,可以将GUI类型操作指令转换为字符型操作指令,以便使用操作指令检测及过滤规则对字符型指令进行检测。在一些实施例中,可以使用图形界面代理将GUI类型操作指令转换为字符型操作指令。
在一些实施例中,在操作指令是web类型操作指令的情况下,可以将web类型操作指令转换为字符型操作指令,以便使用操作指令检测及过滤规则对字符型指令进行检测。例如,可以使用Proxy(代理服务器,也称网络代理,允许一个网络终端通过这个服务与另一个网络终端进行非直接的连接)代理将web类型操作指令转换为字符型操作指令。
在一些实施例中,上述图形界面代理和Proxy可以内置部署在零信任应用代理中,也可以通过旁挂部署方式实现。
步骤S210,零信任应用代理根据操作指令检测及过滤规则丢弃超限指令。
在一些实施例中,如果零信任应用代理确定目标对象发出的操作指令是超限指令,则丢弃该操作指令,以避免网元设备根据该超限指令进行非法操作,提高了网元设备的安全性。
本实施例可以应用到DCN(Data Communication Network,数据通信网)运维管理网络,通过在DCN中引进基于零信任安全机制的运维网络访问控制技术,实现运维管理网络端到端安全保护,增强电信网络运维管理面安全。
例如,本实施例可应用于运营商NOC(NetworkOperationCenter,网络运营中心)、远程运维接入等场景。
本实施例,通过改进网关、增加网管操作指令监控,实现终端到网元管理设备或被管设备(如网元)端到端零信任安全防护,从而解决解决现有技术中,网元和网元管理设备存在的暴露面和被入侵的安全风险,进而提高了网络系统中网元和网元管理设备的安全性。
图6是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法的流程图。
参考图6,上述基于零信任安全机制的运维管理方法可以包括以下步骤。
步骤S602,零信任应用代理接收目标对象发起的运维会话。
在一些实施例中,在零信任应用代理获取目标对象发出的运维操作指令之前,会接收目标对象发起的运维会话。
步骤S604,零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是否是非授权会话。
在一些实施例中,如果目标对象没有权限像网元设备发起运维会话的话,那么该目标对象发起的运维会话就是非授权会话。
例如,假设目标对象只有对网元管理设备的运维权限的话,那么如果该目标对象向网元发起运维会话,那该运维会话就是非授权会话;再例如,假设目标对象既没有对网元管理设备的运维权限也没有对网元的运维权限,那么该目标对象向网元或者网元管理设备发起的运维会话都是非授权会话。
步骤S606,在零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是非授权会话的情况下,丢弃运维会话。
步骤S608,在零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是授权会话的情况下,允许目标对象通过运维会话与网络系统中的网元设备进行会话。
在一些实施例中,当允许目标对象通过运维会话与网络系统中的网元设备进行会话后,还可以通过图2所示实施例提供的技术方案对授权会话中的运维操作指令进行检测和过滤,从而再次提高网络系统中网元设备的安全性。
上述实施例,一方面可以根据用于运维操作权限发现并丢弃超限会话,以便对目标对象的运维身份进行验证,从而提高了网络系统中的网元设备的安全性;另一方面可以对运维会话中的所有的操作指令进行检测和过滤,以发现并丢弃超限指令,再次提高了网络系统中网元设备的安全性。
图7是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法。
参考图7,上述基于零信任安全机制的运维管理方法可以包括以下步骤。
步骤S702,根据操作指令检测及过滤规则对运维操作指令进行检测,确定运维操作指令是已授权的授权指令,
步骤S704,判断运维操作指令是针对网络系统中的网元的还是网元管理设备。
在确定运维操作指令是针对网络系统中的网元的情况下,则执行步骤S706,将运维操作指令转发给网元,以便对网元进行运维操作。
其中,上述运维操作指令可以是根据网元管理设备上可接收指令的相关规则生成的,用于确定网元管理设备可以接受哪些指令。
上述实施例,一方面可以通过针对目标对象的操作指令检测及过滤规则对所有由目标对象发送给网元管理设备的操作指令进行检测,以及时发现并丢弃超限指令,从而避免网元管理设备根据超限指令进行相关操作,进而避免目标对象的非法操作;另一方面,通过在数据发送端设置零信任应用网关、在接收侧设置零信任网关,实现了数据端到端的安全检测问题,从而确保到达网元管理设备的操作指令是合法且被授权了的。
在确定运维操作指令是针对网络系统中的网元管理设备的情况下,则执行步骤S708,将运维操作指令转发给网元管理设备,以便对网元管理设备进行运维操作。
在一些实施例中,将运维操作指令转发给网元可以包括:将运维操作指令转发给网元对应的零信任网关,零信任网关与网元的物理距离小于预设阈值,零信任网关包括预先设置的零信任规则;零信任网关根据零信任规则对运维操作指令进行筛选过滤;零信任网关将筛选过滤通过后的运维操作指令发送给网元。
如图4或者图5所示实施例,当确定运维人员(即目标对象)发出的运维操作指令是已得到网元授权的授权指令,则将该运维操作指令发送给网元侧的零信任网关(即与网元物理直连的零信任网关),以便零信任网关根据零信任规则对运维操作指令进行筛选过滤;零信任网关将筛选过滤通过后的运维操作指令发送给网元。
其中,上述运维操作指令可以是根据网元上可接收指令的相关规则生成的,用于确定网元可以接受哪些指令。
上述实施例,一方面可以通过针对目标对象的操作指令检测及过滤规则对所有由目标对象发送给网元设备的操作指令进行检测,以及时发现并丢弃超限指令,从而避免网元设备根据超限指令进行相关操作,进而避免目标对象的非法操作;另一方面,通过在数据发送端设置零信任应用网关、在接收侧设置零信任网关,实现了数据端到端的安全检测问题,从而确保到达网元的操作指令是合法且被授权了的。
图8是根据一示例性实施例示出的一种基于零信任安全机制的运维管理方法的流程图。
参考图8,上述基于零信任安全机制的运维管理方法可以包括以下步骤。
步骤S802,零信任应用代理将超限指令发送给零信任控制器。
步骤S804,零信任控制器对超限指令进行统计分析,以确定目标对象是非法对象或者非专业对象。
在一些实施例中,当零信任应用代理发现超限指令时,会将该超限指令发送给零信任控制器,以便零信任控制器对该超限指令进行统计分析,以便确定目标对象是否是非法对象或者非专业对象。
步骤S806,零信任控制器控制运维操作指令对应的运维会话终止。
在一些实施例中,当目标对象在运维会话中发出超限指令的比例大于第一阈值,则确定目标对象是非专业对象,进而可以断开目标对象的运维会话以使得目标对象无法对网元设备进行运维管理;当目标对象在运维会话中发出超限指令的比例大于第二阈值,则确定目标对象是非法对象,进而可以断开目标对象的运维会话以使得目标对象无法对网元设备进行运维管理。其中,第一阈值可以小于第二阈值。
图9是根据一示例性实施例示出的一种基于零信任安全管理机制的运维管理方法。
参考图9,上述基于零信任安全管理机制的运维管理方法可以包括以下步骤。
步骤S902,零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令。
步骤S904,零信任应用代理获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的。
步骤S906,零信任应用代理根据操作指令检测及过滤规则对运维操作指令进行检测。
步骤S908,通过操作指令检测及过滤规则的检测,零信任应用代理确定运维操作指令是未授权的超限指令。
步骤S910,零信任应用代理根据操作指令检测及过滤规则丢弃超限指令。
步骤S912,在丢弃超限指令的同时,对目标对象进行身份验证。
步骤S914,通过身份验证确定目标对象是否是非法运维人员。
上述实施例,可以在确定目标对象发出超限指令时对目标对象再次进行身份验证,以便通过身份验证确定目标对象是否是非法运维人员。
图10是根据一示例性实施例示出的一种基于零信任安全管理机制的运维管理方法的时序图。
在执行本申请之前,根据需要将普通零信任网关部署在被管设备之前,提高零信任安全防护覆盖。
参考图10,上述基于零信任安全管理机制的运维管理方法可以包括以下步骤。
1、用户及操作权限信息同步。
2、用户及操作权限信息同步。
3、生成访问控制策略、操作指令检测及过滤规则。
网管系统或被管设备同步用户操作权限信息至零信任控制器,零信任控制器根据上述用户操作权限信息生成访问控制策略及操作指令检测及过滤规则并下发零信任应用代理。
4、访问控制策略、操作指令检测及过滤规则下发。
零信任控制器可以将上述访问控制策略和操作指令检测及过滤规则下发给零信任应用代理。
5、用户接入运维管理网。
用户通过零信任应用代理接入运维管理网,零信任应用代理对会话进行识别检测并丢弃非授权会话连接。
6、字符型操作指令、CUI/Web类操作转化字符型操作指令检测,丢弃超限或危险操作指令。
零信任应用代理对会话中字符型操作指令、GUI/Web代理转换的字符型操作指令进行检测过滤,丢弃超限或危险操作指令,其中GUI图形化操作通过图形界面代理转换为字符型操作指令,Web连接方式通过Proxy代理转换为字符型操作指令。
如果操作指令是授权指令的话,则确定该授权指令是需要转发给哪个设备的。当授权操作指令是下发给EMS网管时,则执行步骤7,授权操作指令下发至EMS网管;当授权操作指令是下发给网元等被管设备时,则执行步骤8,授权操作指令下发至被管设备。
如果操作指令时是超限指令的话,则执行步骤9,将超限或危险操作行为上报。
10、用户操作行为分析。
11、下发终止用户接入策略。
零信任应用代理将用户超限或危险操作行为上报零信任控制器,零信任控制器对用户操作行为进行分析研判,并下发终止危险用户接入策略。
上述方案,通过零信任控制器与网管系统或被管设备连接,获取用户权限信息,生成用户访问控制策略。同时改进零信任网关,增加网管操作指令监控功能模块,并基于零信任控制器下发的用户访问控制策略,对用户访问网管系统或被管设备的操作行为进行持续评估,并对其操作指令进行实时监控,阻断超限或危险操作。
具体可以总结为:
1)零信任控制器为策略控制中心,获取或同步网管系统或被管设备的用户权限数据,提供用户身份认证及权限管控,并生成动态访问控制策略、操作指令检测及过滤规则(根据权限信息生成如果是业务人员,那么不允许创建用户、查看日志等)。
2)零信任应用代理提供用户会话控制,检测识别用户数据包所属会话,对会话中操作指令进行检测过滤。零信任应用代理根据零信任控制器下发策略,对字符操作指令进行检测及过滤;对GUI图形化操作,通过图形界面代理将GUI图形操作指令转换为字符型操作指令,再通过零信任应用代理对操作指令进行检测过滤;对Web连接方式,通过Proxy代理(代理服务器,也称网络代理,允许一个网络终端通过这个服务与另一个网络终端进行非直接的连接)将Web操作转换为字符型操作指令,再通过零信任应用代理对操作指令进行检测过滤。零信任应用代理根据零信任控制器下发操作指令检测及过滤规则,对超限或危险操作进行丢弃。GUI图形界面代理和Proxy代理可以内置部署在零信任应用代理,也可通过旁挂部署方式实现。
3)零信任客户端负责终端运行环境安全及建立到零信任网关安全隧道,零信任应用代理网关到零信任网关之间由安全隧道连接。
4)只有会话控制的普通零信任网关可以根据需要,部署在被管设备之前,提供零信任安全防护覆盖。
上述实施例提供的技术方案,一方面零信任控制器可以同步网管系统或被管设备用户权限信息,实现用户最小权限控制原则;另一方面,通过改进零信任网关,增加网管操作指令监控,避免用户恶意操作行为或误操作;再一方面通过零信任网关提高被管设备零信任防护,实现任意设备/终端之间通信的零信任控制。
总之,本申请中的零信任控制器与网管系统或被管设备逻辑连接,通过同步网管系统或被管设备用户权限信息,可实现用户权限精细化管控;还通过改进零信任网关,增加网管操作指令监控,避免运维用户恶意操作行为或误操作;普通零信任网关还可以根据需要,部署在被管设备之前,提高零信任安全防护覆盖;
基于同一发明构思,本公开实施例中还提供了一种基于零信任机制的运维管理装置,如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图11是根据一示例性实施例示出的一种基于零信任机制的运维管理装置的框图。参照图11,本公开实施例提供的基于零信任机制的运维管理装置1100可以包括:运维操作指令获取模块1101、规则获取模块1102、检测模块1103、超限指令确定模块1104和丢弃模块1105。
其中,运维操作指令获取模块1101可以用于零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;规则获取模块1102可以用于零信任应用代理获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的;检测模块1103可以用于零信任应用代理根据操作指令检测及过滤规则对运维操作指令进行检测;超限指令确定模块1104可以用于通过操作指令检测及过滤规则的检测,零信任应用代理确定运维操作指令是未授权的超限指令;丢弃模块1105可以用于零信任应用代理根据操作指令检测及过滤规则丢弃超限指令。
此处需要说明的是,上述运维操作指令获取模块1101、规则获取模块1102、检测模块1103、超限指令确定模块1104和丢弃模块1105对应于方法实施例中的S202~S210,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述方法实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
在一些实施例中,基于零信任机制的运维管理装置还可以包括:权限信息获取模块、规则生成模块和规则下发模块。
其中,权限信息获取模块可以用于零信任控制器从网络系统中的网元设备中获取用户运维操作权限信息;规则生成模块可以用于零信任控制器根据用户运维操作权限信息生成针对目标对象的操作指令检测及过滤规则;规则下发模块可以用于零信任控制器将针对目标对象的操作指令检测及过滤规则下发给零信任应用代理。
在一些实施例中,基于零信任机制的运维管理装置还可以包括:运维会话接收模块、授权判断确定模块、会话丢弃模块和允许模块。
其中,运维会话接收模块可以用于零信任应用代理接收目标对象发起的运维会话;授权判断确定模块可以用于零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是否是非授权会话;会话丢弃模块可以用于在零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是非授权会话的情况下,丢弃运维会话;允许模块可以用于在零信任应用代理根据用户运维操作权限信息确定目标对象发起的运维会话是授权会话的情况下,允许目标对象通过运维会话与网络系统中的网元设备进行会话。
在一些实施例中,超限指令确定模块1104可以包括:第一检测单元、第二检测单元和第三检测单元。
其中,第一检测单元可以用于在操作指令是字符型指令的情况下,使用操作指令检测及过滤规则对字符型指令进行检测;第二检测单元可以用于在操作指令是GUI类型操作指令的情况下,将GUI类型操作指令转换为字符型操作指令,以便使用操作指令检测及过滤规则对字符型指令进行检测;第三检测单元可以用于在操作指令是web类型操作指令的情况下,将web类型操作指令转换为字符型操作指令,以便使用操作指令检测及过滤规则对字符型指令进行检测。
在一些实施例中,网元设备包括网元和网元管理设备;其中,基于零信任机制的运维管理装置还可以包括:授权指令确定模块和指令转发模块。
其中,授权确定模块可以用于根据操作指令检测及过滤规则对运维操作指令进行检测,确定运维操作指令是已授权的授权指令;指令转发模块可以用于确定运维操作指令是针对网络系统中的网元的,则将运维操作指令转发给网元,以便对网元进行运维操作;或者,确定运维操作指令是针对网络系统中的网元管理设备的,则将运维操作指令转发给网元管理设备,以便对网元管理设备进行运维操作。
在一些实施例中,指令转发模块可以包括:零信任网关转发单元、筛选单元和下发网元单元。
其中,零信任网关转发单元可以用于将运维操作指令转发给网元对应的零信任网关,零信任网关与网元的物理距离小于预设阈值,零信任网关包括预先设置的零信任规则;筛选单元可以用于零信任网关根据零信任规则对运维操作指令进行筛选过滤;下发网元单元可以用于零信任网关将筛选过滤通过后的运维操作指令发送给网元。
在一些实施例中,基于零信任机制的运维管理装置还可以包括:指令发送模块、统计模块和会话终止模块。
其中,指令发送模块可以用于零信任应用代理将超限指令发送给零信任控制器;统计模块可以用于零信任控制器对超限指令进行统计分析,以确定目标对象是非法对象或者非专业对象;会话终止模块可以用于零信任控制器控制运维操作指令对应的运维会话终止。
在一些实施例中,基于零信任机制的运维管理装置还可以包括:身份验证模块和非法确定模块。
其中,身份验证模块可以用于在丢弃超限指令的同时,对目标对象进行身份验证;非法确定模块可以用于通过身份验证确定目标对象是否是非法运维人员。
由于装置1100的各功能已在其对应的方法实施例中予以详细说明,本公开于此不再赘述。
描述于本申请实施例中所涉及到的模块和/或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中。其中,这些模块和/或单元的名称在某种情况下并不构成对该模块和/或单元本身的限定。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图12示出了适于用来实现本公开实施例的的电子设备的结构示意图。需要说明的是,图12示出的电子设备1200仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图12所示,电子设备1200包括中央处理单元(CPU)1201,其可以根据存储在只读存储器(ROM)1202中的程序或者从储存部分1208加载到随机访问存储器(RAM)1203中的程序而执行各种适当的动作和处理。在RAM 1203中,还存储有电子设备1200操作所需的各种程序和数据。CPU 1201、ROM 1202以及RAM 1203通过总线1204彼此相连。输入/输出(I/O)接口1205也连接至总线1204。
以下部件连接至I/O接口1205:包括键盘、鼠标等的输入部分1206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1207;包括硬盘等的储存部分1208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至I/O接口1205。可拆卸介质1211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1210上,以便于从其上读出的计算机程序根据需要被安装入储存部分1208。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1209从网络上被下载和安装,和/或从可拆卸介质1211被安装。在该计算机程序被中央处理单元(CPU)1201执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本公开所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备可实现功能包括:零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;零信任应用代理获取针对目标对象的操作指令检测及过滤规则,操作指令检测及过滤规则是根据目标对象在网元设备上的操作权限生成的;零信任应用代理根据操作指令检测及过滤规则对运维操作指令进行检测;通过操作指令检测及过滤规则的检测,零信任应用代理确定运维操作指令是未授权的超限指令;零信任应用代理根据操作指令检测及过滤规则丢弃超限指令。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例的各种可选实现方式中提供的方法。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者智能设备等)执行根据本公开实施例的方法,例如图2、图6~图10的一个或多个所示的步骤。
本领域技术人员在考虑说明书及实践在这里公开的公开后,将容易想到本公开的其他实施例。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不限于这里已经示出的详细结构、附图方式或实现方法,相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (11)
1.一种基于零信任机制的运维管理方法,其特征在于,包括:
零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;
零信任应用代理获取针对所述目标对象的操作指令检测及过滤规则,所述操作指令检测及过滤规则是根据所述目标对象在所述网元设备上的操作权限生成的;
零信任应用代理根据所述操作指令检测及过滤规则对所述运维操作指令进行检测;
通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令;
零信任应用代理根据所述操作指令检测及过滤规则丢弃所述超限指令。
2.根据权利要求1所述方法,其特征在于,所述方法还包括:
零信任控制器从所述网络系统中的所述网元设备中获取用户运维操作权限信息;
所述零信任控制器根据所述用户运维操作权限信息生成所述针对目标对象的操作指令检测及过滤规则;
所述零信任控制器将所述针对目标对象的操作指令检测及过滤规则下发给所述零信任应用代理。
3.根据权利要求1所述方法,其特征在于,所述方法还包括:
所述零信任应用代理接收所述目标对象发起的运维会话;
所述零信任应用代理根据用户运维操作权限信息确定所述目标对象发起的运维会话是否是非授权会话;
在所述零信任应用代理根据所述用户运维操作权限信息确定所述目标对象发起的运维会话是非授权会话的情况下,丢弃所述运维会话;
在所述零信任应用代理根据所述用户运维操作权限信息确定所述目标对象发起的运维会话是授权会话的情况下,允许所述目标对象通过所述运维会话与所述网络系统中的网元设备进行会话。
4.根据权利要求1所述方法,其特征在于,通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令,包括:
在所述操作指令是字符型指令的情况下,使用所述操作指令检测及过滤规则对所述字符型指令进行检测;
在所述操作指令是GUI类型操作指令的情况下,将所述GUI类型操作指令转换为字符型操作指令,以便使用所述操作指令检测及过滤规则对字符型指令进行检测;
在所述操作指令是web类型操作指令的情况下,将所述web类型操作指令转换为字符型操作指令,以便使用所述操作指令检测及过滤规则对字符型指令进行检测。
5.根据权利要求1所述方法,其特征在于,所述网元设备包括网元和网元管理设备;其中,所述方法还包括:
根据所述操作指令检测及过滤规则对所述运维操作指令进行检测,确定所述运维操作指令是已授权的授权指令;
确定所述运维操作指令是针对所述网络系统中的网元的,则将所述运维操作指令转发给所述网元,以便对所述网元进行运维操作;或者,
确定所述运维操作指令是针对所述网络系统中的网元管理设备的,则将所述运维操作指令转发给所述网元管理设备,以便对所述网元管理设备进行运维操作。
6.根据权利要求5所述方法,其特征在于,将所述运维操作指令转发给所述网元,包括:
将所述运维操作指令转发给所述网元对应的零信任网关,所述零信任网关与所述网元的物理距离小于预设阈值,所述零信任网关包括预先设置的零信任规则;
所述零信任网关根据所述零信任规则对所述运维操作指令进行筛选过滤;
所述零信任网关将筛选过滤通过后的运维操作指令发送给所述网元。
7.根据权利要求1所述方法,其特征在于,所述方法还包括:
所述零信任应用代理将所述超限指令发送给零信任控制器;
所述零信任控制器对所述超限指令进行统计分析,以确定所述目标对象是非法对象或者非专业对象;
所述零信任控制器控制所述运维操作指令对应的运维会话终止。
8.根据权利要求1所述方法,其特征在于,所述方法还包括:
在丢弃所述超限指令的同时,对所述目标对象进行身份验证;
通过所述身份验证确定所述目标对象是否是非法运维人员。
9.一种基于零信任机制的运维管理装置,其特征在于,包括:
运维操作指令获取模块,用于零信任应用代理获取目标对象针对网络系统中的网元设备发出的运维操作指令;
规则获取模块,用于零信任应用代理获取针对所述目标对象的操作指令检测及过滤规则,所述操作指令检测及过滤规则是根据所述目标对象在所述网元设备上的操作权限生成的;
检测模块,用于零信任应用代理根据所述操作指令检测及过滤规则对所述运维操作指令进行检测;
超限指令确定模块,用于通过所述操作指令检测及过滤规则的检测,所述零信任应用代理确定所述运维操作指令是未授权的超限指令;
丢弃模块,用于零信任应用代理根据所述操作指令检测及过滤规则丢弃所述超限指令。
10.一种电子设备,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被用于基于存储在所述存储器中的指令,执行如权利要求1-8任一项所述的基于零信任机制的运维管理方法。
11.一种计算机可读存储介质,其上存储有程序指令,该程序指令被处理器执行时实现如权利要求1-8任一项所述的基于零信任机制的运维管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211176964.2A CN115695218A (zh) | 2022-09-26 | 2022-09-26 | 基于零信任机制的运维管理方法、装置和相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211176964.2A CN115695218A (zh) | 2022-09-26 | 2022-09-26 | 基于零信任机制的运维管理方法、装置和相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115695218A true CN115695218A (zh) | 2023-02-03 |
Family
ID=85063314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211176964.2A Pending CN115695218A (zh) | 2022-09-26 | 2022-09-26 | 基于零信任机制的运维管理方法、装置和相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115695218A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117272262A (zh) * | 2023-11-17 | 2023-12-22 | 北京睿航至臻科技有限公司 | 一种零信任数据安全运维系统及方法 |
-
2022
- 2022-09-26 CN CN202211176964.2A patent/CN115695218A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117272262A (zh) * | 2023-11-17 | 2023-12-22 | 北京睿航至臻科技有限公司 | 一种零信任数据安全运维系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107612895B (zh) | 一种互联网防攻击方法及认证服务器 | |
CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
CN106470184B (zh) | 安全认证方法、装置及系统 | |
CN109347806A (zh) | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 | |
CN108966216B (zh) | 一种应用于配电网的移动通信方法及系统 | |
CN113360882A (zh) | 集群访问方法、装置、电子设备和介质 | |
WO2015026971A2 (en) | Application trust-listing security service | |
CN114675567A (zh) | 对终端进行远程控制的接入处理方法、设备和存储介质 | |
CN115695218A (zh) | 基于零信任机制的运维管理方法、装置和相关设备 | |
US11457046B2 (en) | Distributed network resource security access management system and user portal | |
CN103379093A (zh) | 一种实现帐号互通的方法及装置 | |
CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
CN111539006A (zh) | 一种权限管控方法及装置 | |
CN113055186B (zh) | 一种跨系统的业务处理方法、装置及系统 | |
CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
CN116208334A (zh) | 身份认证方法、系统和相关设备 | |
CN113691545B (zh) | 路由的控制方法、装置、电子设备及计算机可读介质 | |
CN115514571A (zh) | 基于零信任的客服方法、装置、电子设备和可读存储介质 | |
CN116155565B (zh) | 数据访问控制方法和装置 | |
CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 | |
CN116016509B (zh) | 私有云数据处理方法、装置、设备及存储介质 | |
US20230141773A1 (en) | Real Time Audio Stream Validation | |
CN113297629B (zh) | 一种鉴权方法、装置、系统、电子设备和存储介质 | |
KR101323816B1 (ko) | 휴대용 단말기의 인증 서비스 제공 방법 및 이를 제공하는 시스템 | |
CN111885006B (zh) | 页面访问、授权访问方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |