CN116389089A

CN116389089A - 一种安全运维方法及装置

Info

Publication number: CN116389089A
Application number: CN202310286421.4A
Authority: CN
Inventors: 许俊东; 沈林江; 田韧
Original assignee: Inspur Communication Information System Co Ltd
Current assignee: Inspur Communication Information System Co Ltd
Priority date: 2023-03-20
Filing date: 2023-03-20
Publication date: 2023-07-04

Abstract

本发明提供的一种安全运维方法及装置，通过安全代理获取访问主体发出的运维请求，并将运维请求转发至控制中心进行双重认证，以确保运维请求的安全性，随后将控制中心的认证结果通过安全代理转发至运维代理，以供运维代理控制目标对象执行运维指令。本发明通过控制中心对访问主体发出的运维请求进行双重认证，保证了执行运维请求的安全性，并且在运维过程中无需人工的介入，实现了运维的自动化，提高了运维过程的执行效率。

Description

一种安全运维方法及装置

技术领域

本发明涉及算力网络技术领域，尤其涉及一种安全运维方法及装置。

背景技术

算力网络具有多样算力、多专业、多参与方的形态，这就导致在算力网络的运维过程中，需要跨越多个专业、参与方，如云、网、边、端等专业，云运营商、电信运营商、边缘云运营商以及终端管理者等参与方。

在跨专业、跨参与方的运维场景中，为了保障运维过程中的信息安全，现有技术一般在各专业和各参与方间设置多重的安全检查和审核点，并需要通过运维人员来对运维操作的有效性和安全性进行审核验证，导致严重加大了人工介入时间，降低了运维自动化的水平，阻碍了系统故障修复效率的提升。

综上所述，现有技术中存在的问题亟需得到解决。

发明内容

本发明提供一种安全运维方法及装置，用以解决现有技术中运维过程中人工介入时间过长的缺陷，实现运维自动化。

第一方面，本发明提供一种安全运维方法，包括：

接收由安全代理发送的运维请求，所述运维请求包括运维指令、目标对象标识和访问主体标识；

对所述运维请求进行双重认证，所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证；

将对所述运维请求的认证结果通过所述安全代理发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

所述运维代理是基于所述运维代理标识确定的，所述目标对象是基于所述目标对象标识确定的。

根据本发明提供的一种安全运维方法，所述运维权限认证包括：

解析所述运维请求，以获取所述访问主体标识、所述运维指令和所述目标对象标识；

通过身份权限数据库对所述访问主体标识进行匹配，获取所述访问主体的权限集合；

基于所述权限集合，确定所述访问主体是否具有对所述目标对象执行所述运维指令的权限；

当所述访问主体具有对所述目标对象执行所述运维指令的权限，生成权限认证通过信息；

所述身份权限数据库用于存储所述访问主体的权限集合。

根据本发明提供的一种安全运维方法，所述运维风险认证，包括：

根据所述访问主体标识，在访问历史数据库中匹配访问主体的历史访问信息；

将所述运维请求和所述历史访问信息，输入至所述信任评估引擎中的异常行为分析模型中，得到异常行为评分，所述异常行为分析模型用于评估所述运维请求与所述历史访问信息的差异程度；

根据所述访问主体标识，在所述信任评估引擎中的信任库中匹配访问主体对应的信任等级，所述信任库用于存储访问主体的信任等级，所述信任等级用于表征所述访问主体的可信任度；

将所述运维请求，输入至所述信任评估引擎中的安全策略模型中，得到异常指令评分，所述安全策略模型用于评估执行所述运维请求中的运维指令的风险程度；

将所述异常行为评分、所述信任等级和所述异常指令评分进行特征融合，得到所述运维请求的风险评估得分；

当所述风险评估得分高于第一预设得分，生成风险认证通过信息。

根据本发明提供的一种安全运维方法，在将所述差异程度、所述信任等级和所述异常指令评分进行特征融合后，还包括：

当所述风险评估得分高于第一预设得分并低于第二预设得分，对所述访问主体进行多因素认证；

当所述访问主体通过多因素认证，则将生成的预警信息发送至所述安全代理；

所述多因素认证包括邮箱认证、数据库认证和生物特征认证，所述访问主体是基于所述访问主体标识确定的。

根据本发明提供的一种安全运维方法，对所述运维请求进行双重认证，具体包括：

基于由所述运维权限认证得到的权限认证通过信息，对所述运维请求进行运维风险认证；

或

基于由所述运维风险认证得到的风险认证通过信息，对所述运维请求进行运维权限认证。

根据本发明提供的一种安全运维方法，在将对所述运维请求的认证结果通过所述安全代理发送至运维代理后，还包括：

获取由所述安全代理发送的运维日志；

将所述运维日志输入至所述信任评估引擎中，得到所述运维日志的风险评估得分；

根据所述风险评估得分，生成风险评估信息，所述风险评估信息包括风险规避指令和所述风险评估得分；

将所述运维日志的风险规避信息通过所述安全代理发送至所述运维代理，以供所述运维代理控制所述目标对象执行所述风险规避指令。

根据本发明提供的一种安全运维方法，所述认证结果根据所述权限认证通过信息和所述风险认证通过信息生成。

第二方面，本发明还提供一种安全运维方法，包括：

获取访问主体发出的运维请求，所述运维请求包括运维指令、目标对象标识和所述访问主体的访问主体标识；

将所述运维请求发送至控制中心，以供所述控制中心对所述运维请求进行双重认证；

接收由所述控制中心返回的认证结果，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令；

所述运维代理是基于所述运维代理标识确定的，所述目标对象是基于所述目标对象标识确定的；

所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证。

根据本发明提供的一种安全运维方法，在获取访问主体发出的运维请求之后，还包括：

确定所述运维请求中是否包含所述访问主体标识、所述运维指令和所述目标对象标识；

当所述运维请求缺少所述访问主体标识、所述运维指令和所述目标对象标识中的至少一个，则将生成的初步验证失败信息反馈至所述访问主体。

根据本发明提供的一种安全运维方法，所述认证结果还包括所述运维代理的公钥，将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，具体包括：

根据所述运维代理的公钥，对所述认证结果进行加密；

将加密后的认证结果通过加密通道发送至所述运维代理，以供所述运维代理对所述运维请求进行解密后，控制所述目标对象执行所述运维指令；

其中，所述运维代理的公钥是所述控制中心基于所述运维代理标识从预先构建的公钥数据库中匹配得到的。

根据本发明提供的一种安全运维方法，在将加密后的认证结果通过加密通道发送至所述运维代理之后，还包括：

接收经过所述运维代理加密的运维日志，所述运维日志是所述目标对象基于所述运维指令的执行结果生成的；

对所述运维日志进行解密，以获取所述运维请求的执行结果；

将所述执行结果发送至所述访问主体，以供所述访问主体对所述执行结果进行可视化显示。

第三方面，本发明还提供一种安全运维装置，包括：

接收模块，用于接收由安全代理发送的运维请求，所述运维请求包括运维指令、目标对象标识和访问主体标识；

认证模块，用于对所述运维请求进行双重认证，所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证；

结果发送模块，用于将对所述运维请求的认证结果通过所述安全代理发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

第四方面，本发明还提供一种安全运维装置，包括：

请求获取模块，用于获取访问主体发出的运维请求，所述运维请求包括运维指令、目标对象标识和所述访问主体的访问主体标识；

请求发送模块，用于将所述运维请求发送至控制中心，以供所述控制中心对所述运维请求进行双重认证；

结果接收模块，用于接收由所述控制中心返回的认证结果，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

结果转发模块，用于将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令；

第五方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述安全运维方法。

第六方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述安全运维方法。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的安全运维方法的流程示意图；

图2是本发明提供的另一种安全运维方法的流程示意图；

图3是本发明提供的安全运维方法的信令图；

图4是本发明提供的安全运维方法的通信流程示意图

图5是本发明提供的安全运维装置的结构图；

图6是本发明提供的另一种安全运维装置的结构图

图7是本发明提供的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

面对日趋复杂的IT系统与运行环境，防火墙等安全设备能够起到一定的防护功能，使得网络安全性得到一定的保障。运维人员往往通过合法身份登录到系统资源中，对系统服务器进行运维监控等操作。此时网络安全设备并不能很好的起到防护作用，运维人员的误操作和有意的威胁操作，往往就是安全事件从网络内部开始向外扩展的开端。

过多的人工介入时间，降低了运维自动化的水平，还阻碍了故障修复效率的提升。

为了解决现有技术中运维过程人工介入程度过高的问题，本发明提出一种安全运维方法，以实现运维自动化。下面以该安全运维方法部署在控制中心为例，对该安全运维方法进行描述，如图1所示，包括但不限于以下步骤：

步骤110、接收由安全代理发送的运维请求，所述运维请求包括运维指令、目标对象标识和访问主体标识。

步骤110中，访问主体的所有运维请求统一通过安全代理进行访问，再由安全代理转发至控制中心。其中，运维请求中包含有运维指令、目标对象标识和访问主体标识，运维指令用于供目标对象执行，目标对象标识用以对目标对象进行识别，访问主体标识用以对访问主体进行识别，运维请求包括人工调用、运维机器人、自动服务调用和编排流程调用等。人工调用运维请求是运维人员在发现故障后，通过运维界面进行手动的运维操作触发的；运维机器人运维请求是通过专门用于运维辅助的智能程序，在触发规则时自动调用运维指令进行运维操作触发的；自动服务调用运维请求指通过规则设置在满足触发条件时进行调用运维接口时触发的；编排流程调用是在运维编排中的流程环节中进行运维指令下发时触发的。

安全代理(Security Proxy)是一种网络安全技术，用于保护网络中的资源免受未经授权的访问和攻击。它通常作为网络边界的一部分，拦截网络流量并监视它们，然后根据一组预定义的安全规则过滤它们。安全代理可以是软件或硬件设备，可以运行在独立的服务器、路由器、交换机、防火墙、网关等设备上。

步骤120、对所述运维请求进行双重认证，所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证。

步骤120中，控制中心对运维请求进行双重认证，对于通过双重认证的运维请求，控制中心会在认证结果中添加认证通过标识以及运维代理标识，认证通过标识用于对认证结果进行识别，运维代理标识用于对运维代理进行识别。

可选地，控制中心可以根据运维请求中运维指令的属性，选择合适的运维代理，并分配对应的运维代理标识。

双重认证包括运维权限认证和运维风险认证。其中，运维权限认证是判断访问主体是否具有在目标对象上执行运维指令的权限。若访问主体具有在目标对象上执行运维指令的权限，则认为通过运维权限认证。反之，访问主体不具有在目标对象上执行运维指令的权限，则认为不通过运维权限认证。而运维风险认证是基于运维请求的运行风险评估进行的，将运行风险评估后的评分与预设阈值进行比较，得到运维风险认证结果。具体地，当评分高于预设阈值时，则认为运维风险认证通过；反之，当评分低于预设阈值时，则认为运维风险认证不通过。

步骤130、将对所述运维请求的认证结果通过所述安全代理发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识。

步骤130中，控制中心需要将完成双重认证的认证结果通过安全代理发送至运维代理，再由运维代理控制目标对象执行运维指令。

运维代理(Operations Agent)是一种用于管理和监视计算机系统、应用程序和服务的软件程序。它通常是安装在需要监控的计算机上的一个轻量级的代理程序，可以向中央控制台汇报计算机的状态和性能数据，帮助运维团队实时监视和管理IT系统。

作为进一步可选的实施例，所述运维权限认证包括：

所述身份权限数据库用于存储所述访问主体的权限集合。

在本实施例中，控制中心需要调用身份权限数据库对运维请求进行运维权限认证。具体地，对于安全代理发送的运维请求，需要对其进行解析以获取里面的访问主体标识、运维指令和目标对象标识，随后根据访问主体标识在身份权限数据库的索引中检索，获取访问主体的权限集合，该权限集合包括与访问主体对应的<访问主体标识、运维指令、目标对象标识>三元组，示例性地，<访问主体标识A、运维指令a、目标对象标识1>、<访问主体标识A、运维指令c、目标对象标识3>。随后，基于权限集合，确定访问主体是否具有对目标对象执行运维指令的权限，当访问主体具有对目标对象执行运维指令的权限，生成权限认证通过信息。具体地，将运维请求的三元组与权限集合中的三元组进行比对，确认权限集合是否包含运维请求的三元组，若权限集合包含了运维请求的三元组，则认为访问主体具有对目标对象执行运维指令的权限。

可选地，当访问主体不具有对目标对象执行运维指令的权限，生成认证失败信息并发送至安全代理中，该认证失败信息包括认证失败原因，如文字提醒信息“抱歉，您没有访问权限。”。

作为进一步可选的实施例，所述运维风险认证，包括：

本实施例中，控制中心需要调用信任评估引擎对运维请求进行运维风险认证。运维风险认证需要对运维请求的三个方面进行风险评估，分别是运维请求的异常行为评估，访问主体的可信任度以及运维指令的风险程度。

本实施例通过将运维请求和与访问主体对应的历史访问信息，输入至信任评估引擎中的异常行为分析模型中，得到异常行为评分。异常行为分析模型对历史运维数据进行分析，以构建访问主体画像和目标对象画像，实现对访问主体和目标对象的精细评估，并且可以评估访问主体的信任等级。访问主体的信任等级用于表征访问主体的可信任度，可以理解的是，对于有历史异常访问数据的主体，对应的信任等级就偏低，而对于没有历史异常访问数据的主体，则根据访问次数来提升信任等级。

随后，对于运维请求的异常行为评估，可以构建对应的异常行为分析模型进行分析，该异常行为分析模型可以采用多维威胁特征聚类识别以及自适应异常行为检测。其中，多维威胁特征聚类识别是指将多个威胁特征(如IP地址、端口号、恶意软件类型等)进行聚类分析，以便识别出潜在的安全威胁。通过对威胁特征进行聚类分析，可以更好地理解威胁的本质和威胁之间的关系，从而更准确地识别出恶意活动。而自适应异常行为检测是指使用机器学习和统计学方法，对系统中的用户行为和网络流量等数据进行分析和建模，以便检测出异常行为。相对于传统的基于规则的检测方法，自适应异常行为检测具有更高的准确性和可扩展性，可以适应不同场景下的复杂和多变的威胁环境。在构建模型之后，在时间窗口内跟踪运维行为模式得到行为基线模型，当行为改变或偏离基线时，异常行为评分会降低，当评分过低时产生异常预警和生成控制策略以中止指令的执行。

对于运维请求的异常指令评分，可以构建运维指令等级策略，对运维指令进行分级分类管理，根据组织的业务需求和安全风险，制定一个明确的运维指令分类标准。例如，可以将指令分为基础指令、系统管理指令、网络管理指令等多个分类，并对每个分类制定详细的指令列表。接着，同时对指令组合的危险等级进行分析和评估，形成高危组合指令评估数据，即对多个指令的组合进行分析和评估，以确定组合的整体危险等级，可以使用专门的风险评估工具或自动化脚本来实现。随后，将分析和评估结果存储在安全数据库中，形成高危组合指令评估数据，这些数据可以用于制定更加精细的安全控制策略和指导运维操作。运维指令分类标准和分级等级需要不断根据实际情况进行更新和优化，以确保其与业务需求和安全风险的变化保持一致。通过对多个指令的组合进行分析和评估，获得异常指令评分，从而得知执行运维请求中的运维指令的风险程度。

在得到异常行为评分、信任等级和异常指令评分可以对其进行特征融合，比如可以通过线性加权融合、非线性融合、特征交叉和特征选择等方法实现特征融合，从而得到一个新的特征，并将这个新的特征作为风险评估得分。可以理解的是，风险评估得分越高，表征安全性越高，运维指令的执行风险越低；反之，风险评估得分越低，表征安全性越低，运维指令的执行风险越高。对于运维风险认证，可以设置一个第一预设得分，当风险评估得分高于第一预设得分，则认为通过运维风险认证，生成风险认证通过信息。对于不通过运维风险认证的运维请求，可以生成认证失败的原因。

作为进一步可选的实施例，在将所述差异程度、所述信任等级和所述异常指令评分进行特征融合后，还包括：

在本实施例中，对于风险评估得分高于最低阈值(第一预设得分)但低于安全阈值(第二预设得分)的运维请求，这些运维请求虽然通过了运维风险认证的最低标准，但仍然存在一定的风险，因此对于这些运维请求可以对其进行多因素认证，其中，多因素认证包括邮箱认证、数据库认证和生物特征认证。示例性地，生物特征认证是一种身份认证技术，它使用人体生物特征的不可复制性来验证用户的身份。这些生物特征可以是指纹、面部识别、虹膜识别、声音识别、手写笔迹、静脉识别、心电图等，从而实现对访问主体的身份认证。此外，邮箱认证是一种身份验证技术，它通常用于验证用户的邮箱地址是否有效和属于其本人。邮箱认证可以防止恶意用户通过伪造或使用他人的邮箱地址进行欺诈、垃圾邮件等行为，同时也可以增加对访问主体的可信度。邮箱认证通常通过向访问主体发送一封包含特定代码或链接的验证邮件来完成。访问主体收到验证邮件后，需要点击链接或输入代码，以证明他们对该邮箱地址的拥有权。部分邮箱服务商也可以通过其他方式来进行邮箱认证，例如使用手机号码验证或银行卡验证等。

如果访问主体通过了多因素认证，则继续进行运维风险认证，并生成预警信息如“注意！此操作风险较高。”而不通过多因素认证的则认为该访问主体并非正确的访问主体，即与身份权限数据库中记载的三元组权限数据不相同，也就是说该访问主体不具备在目标对象上执行运维指令的权限。因此，可以生成控制指令发送至安全代理，以供安全代理控制该运维请求。

作为进一步可选的实施例，对所述运维请求进行双重认证，具体包括：

或

在本实施例中，对运维请求进行双重认证，可以先进行运维权限认证，再进行运维风险认证；也可以先进行运维风险认证，再进行运维权限认证。当先进行的认证不通过，则无需进行后续的认证，从而节省算力。

作为进一步可选的实施例，在将对所述运维请求的认证结果通过所述安全代理发送至运维代理后，还包括：

获取由所述安全代理发送的运维日志；

在本实施例中，为了对运维请求的持续跟踪和检测，可以获取安全代理发送的运维日志，调用信任评估引擎对运维日志中的数据进行风险评估，得到运维日志对应的风险评估得分，对运维日志的风险评估与上述的运维风险认证过程相同，即对运维日志进行解析，获取访问主体标识、运维指令、目标对象标识和运维代理标识等数据。将这些数据进行运维风险评估，得到运维日志的风险评估。与对运维请求进行运维风险认证不同的是，对运维请求进行运维风险认证是确定当前执行的运维请求是否具有运行风险；而对运维日志的运维风险评估则是确定先前执行的指令是否具有风险，以对先前执行的指令的后续指令进行控制。

作为进一步可选的实施例，所述认证结果根据所述权限认证通过信息和所述风险认证通过信息生成。

在本实施例中，认证结果根据权限认证通过信息和风险认证通过信息生成，也就是说，双重认证的认证结果是基于运维权限认证和运维风险认证都通过的基础上生成的。具体地，当运维权限认证通过时，将运维权限认证通过的标识加入运维请求中，将加入标识后的运维请求作为权限认证通过信息。当运维风险认证通过时，将运维风险认证通过的标识加入运维请求中，将加入标识后的运维请求作为风险认证通过信息。可以理解的是，认证结果是加入了认证通过标识的运维请求。

下面以该安全运维方法部署在安全代理为例，对该安全运维方法进行描述，如图2所示，包括但不限于以下步骤：

步骤210、获取访问主体发出的运维请求，所述运维请求包括运维指令、目标对象标识和所述访问主体的访问主体标识。

步骤210中，访问主体的所有运维请求统一通过安全代理进行访问，再由安全代理转发至控制中心。其中，运维请求中包含有运维指令、目标对象标识和访问主体标识，运维指令用于供目标对象执行，目标对象标识用以对目标对象进行识别，访问主体标识用以对访问主体进行识别，运维请求包括人工调用、运维机器人、自动服务调用和编排流程调用等。人工调用运维请求是运维人员在发现故障后，通过运维界面进行手动的运维操作触发的；运维机器人运维请求是通过专门用于运维辅助的智能程序，在触发规则时自动调用运维指令进行运维操作触发的；自动服务调用运维请求指通过规则设置在满足触发条件时进行调用运维接口时触发的；编排流程调用是在运维编排中的流程环节中进行运维指令下发时触发的。

步骤220、将所述运维请求发送至控制中心，以供所述控制中心对所述运维请求进行双重认证。所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证。

步骤220中，安全代理将运维请求发送至控制中心，以供控制中心对运维请求进行双重认证，对于通过双重认证的运维请求，控制中心会在认证结果中添加认证通过标识以及运维代理标识，认证通过标识用于对认证结果进行识别，运维代理标识用于对运维代理进行识别。双重认证包括运维权限认证和运维风险认证。其中，运维权限认证是判断访问主体是否具有在目标对象上执行运维指令的权限。若访问主体具有在目标对象上执行运维指令的权限，则认为通过运维权限认证。反之，访问主体不具有在目标对象上执行运维指令的权限，则认为不通过运维权限认证。而运维风险认证是基于运维请求的运行风险评估进行的，将运行风险评估后的评分与预设阈值进行比较，得到运维风险认证结果。具体地，当评分高于预设阈值时，则认为运维风险认证通过；反之，当评分低于预设阈值时，则认为运维风险认证不通过。

步骤230、接收由所述控制中心返回的认证结果，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识。

在步骤230中，在控制中心对运维请求进行双重认证，并且运维请求通过双重认证之后，控制中心将认证结果返回给安全代理，以供安全代理进行转发。

步骤240、将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令。

在步骤240中，安全代理需要将认证结果发送至运维代理，再由运维代理控制目标对象执行运维指令。

作为进一步可选的实施例，在获取访问主体发出的运维请求之后，还包括：

具体地，安全代理对运维请求的格式进行初步验证，运维请求中除包含运维指令和目标对象外，还必须包括访问主体标识(用以对访问主体进行识别)，即<访问主体标识、运维指令、目标对象信息>的三元组。其中，人工调用的访问主体标识为当前访问主体的ID，运维机器人的访问主体标识为机器人编号和运行设备标识，自动服务调用的标识为服务编号和运行设备标识，编排流程调用的访问主体标识为编排流程标识和运行实例标识。

作为进一步可选的实施例，所述认证结果还包括所述运维代理的公钥，将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，具体包括：

根据所述运维代理的公钥，对所述认证结果进行加密；

在本实施例中，为了进一步保证通信过程中的安全性，控制中心会在认证成功后在认证结果中添加公钥信息，安全代理通过获取认证结果中的公钥信息对认证结果进行加密，示例性地，可以通过RSA、ECC、DSA等加密算法进行加密。将需要加密的明文转换为字节序列。在加密过程中，明文必须被转换为计算机可读的字节序列。使用公钥对明文进行加密。这可以通过将明文和公钥一起输入加密算法来完成，加密算法将使用公钥对明文进行加密，并生成一个密文，并将生成的密文通过加密通道传输给运维代理。可选地，通过TLS网络通信安全协议进行传输，TLS可以在应用层和传输层之间提供安全性，确保网络通信的隐私和完整性，同时也提供了身份验证和密钥交换的功能。运维代理对加密后的运维请求解密后，即可控制目标对象执行运维指令。

可以理解的是，运维代理的公钥是控制中心基于运维代理标识从预先构建的公钥数据库中匹配得到的。该公钥数据库可以是预先构建在控制中心中的，该数据库保存了各个运维代理对应的IP地址以及公钥信息，通过输出运维代理的标识即可匹配对应的IP地址以及公钥信息。

作为进一步可选的实施例，在将加密后的认证结果通过加密通道发送至所述运维代理之后，还包括：

在本实施例中，为了让访问主体获取运维请求的执行结果，可以将获取到的运维日志进行解密并解析，以获取运维请求的执行结果，并将该结果发送至访问主体，以供访问主体对执行结果进行可视化显示。可以理解的是，对于不通过双重认证的运维请求，控制中心会发送对应的认证失败信息，安全代理同样会将认证失败信息发送至访问主体。

下面结合上述实施例，如图3和图4所示，对本发明进行整体的描述。

对于访问主体发送的运维请求，安全代理对运维请求进行拦截并初步验证，然后访问控制中心对运维请求进行认证；控制中心对运维请求先调用身份权限数据库进行运维权限认证，然后结合信任评估引擎进行运维风险认证，将认证结果发送给安全代理；安全代理处理认证结果，对认证通过的运维请求通过对应的公钥进行加密,并建立与运维代理的TLS安全通道，进行请求转发,同时对运维日志进行收集；运维代理获取运维请求后，先用自身的私钥对请求进行解密，验证通过后执行相应的运维操作，并实时上报运维日志给安全代理；控制中心根据安全代理提供的运维日志对运维请求进行实时追踪和检测，将运维异常行为及时通知访问代理进行阻断处理，同时提供操作回溯和审计能力；信任评估引擎持续收集访问日志信息并对访问主体、访问行为、目标对象、运维指令等数据进行分析和安全评估，为控制中心提供决策依据；身份权限数据库对访问主体的身份认证和权限接口进行统一管理，为控制中心提供基础权限能力。

下面对本发明提供的安全运维装置进行描述，如图5所示，下文描述的安全运维装置与上文描述的安全运维方法可相互对应参照。

一种安全运维装置，包括：

接收模块510，用于接收由安全代理发送的运维请求，所述运维请求包括运维指令、目标对象标识和访问主体标识；

认证模块520，用于对所述运维请求进行双重认证，所述双重认证包括对于所述运维请求的运维权限认证和运维风险认证；

结果发送模块530，用于将对所述运维请求的认证结果通过所述安全代理发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

如图6所示，下面对本发明提供的另一种安全运维装置进行描述。

一种安全运维装置，包括：

请求获取模块610，用于获取访问主体发出的运维请求，所述运维请求包括运维指令、目标对象标识和所述访问主体的访问主体标识；

请求发送模块620，用于将所述运维请求发送至控制中心，以供所述控制中心对所述运维请求进行双重认证；

结果接收模块630，用于接收由所述控制中心返回的认证结果，所述认证结果包括所述运维指令、所述目标对象标识、所述访问主体标识和运维代理标识；

结果转发模块640，用于将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令；

图7示例了一种电子设备的实体结构示意图，如图7所示，该电子设备可以包括：处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740，其中，处理器710，通信接口720，存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令，以执行安全运维方法，该方法包括：

此外，上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的安全运维方法，该方法包括：

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种安全运维方法，其特征在于，包括：

2.根据权利要求1所述的安全运维方法，其特征在于，所述运维权限认证包括：

所述身份权限数据库用于存储所述访问主体的权限集合。

3.根据权利要求1所述的安全运维方法，其特征在于，所述运维风险认证，包括：

4.根据权利要求3所述的安全运维方法，其特征在于，在将所述差异程度、所述信任等级和所述异常指令评分进行特征融合后，还包括：

5.根据权利要求1-3任一项所述的安全运维方法，其特征在于，对所述运维请求进行双重认证，具体包括：

或

6.根据权利要求3所述的安全运维方法，其特征在于，在将对所述运维请求的认证结果通过所述安全代理发送至运维代理后，还包括：

获取由所述安全代理发送的运维日志；

7.根据权利要求6所述的安全运维方法，其特征在于，所述认证结果根据所述权限认证通过信息和所述风险认证通过信息生成。

8.一种安全运维方法，其特征在于，包括：

9.根据权利要求8所述的安全运维方法，其特征在于，在获取访问主体发出的运维请求之后，还包括：

10.根据权利要求8所述的安全运维方法，其特征在于，所述认证结果还包括所述运维代理的公钥，将所述认证结果发送至运维代理，以供所述运维代理控制目标对象执行所述运维指令，具体包括：

根据所述运维代理的公钥，对所述认证结果进行加密；

11.根据权利要求8所述的安全运维方法，其特征在于，在将加密后的认证结果通过加密通道发送至所述运维代理之后，还包括：

12.一种安全运维装置，其特征在于，包括：

13.一种安全运维装置，其特征在于，包括：