CN116644477A - 一种全流程权限运维管控方法、设备及介质 - Google Patents

Abstract

本申请公开了一种全流程权限运维管控方法、设备及介质，方法包括：根据运维场景对权限账号进行初始化，以确定权限账号的权限类别；确定权限账号对应的岗位，并将权限账号分配至对应的岗位；确定变更申请，根据变更申请确定权限信息和实施时间，以对权限信息进行变更操作，并根据实施时间自动取消变更，其中，变更操作包括增加和取消。本申请对于权限管控从源头进行设计，配套以常规流程加敏捷流程进行支持，再通过强有力的平台支持，打通各平台之间壁垒，既能使每个平台做自己擅长的事情，又可协调一致。本申请解决了生产运维过程中的痛点和难点，将权限管控与流程管控相结合，做到了事前审批，事中监控，事后审计，形成闭环。

Description

一种全流程权限运维管控方法、设备及介质

技术领域

本申请涉及信息技术领域，尤其涉及一种全流程权限运维管控方法、设备及介质。

背景技术

权限管控作为生产运维管理最重要的一道防线，为生产运行提供了保障。传统权限管控通常有如下缺点，第一、权限设计不合理，没有区分查询、变更以及管理员权限；第二、权限申请流程较长或无流程支持；第三、变更操作无法与权限相关联；第四、权限分配不合理，没有按照最小授权和必要知道原则；第五、开发运维难分离。运维管控既要满足权限管理最小授权和必要知道原则，又要保证在不影响生产运维的情况下提高运维效率。因此，如何实现精细化权限管控是目前管理中亟需解决的难题。

发明内容

为了解决上述问题，本申请提出了一种全流程权限运维管控方法，包括：根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；确定运维人员发起的变更单，根据所述变更单确定变更申请；确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

在一个示例中，将所述权限账号分配至对应的所述岗位，具体包括：确定所述岗位对应的应用申请人，并确定所述应用申请人发起的资源申请；根据所述资源申请进行资源初始化，以确定内置的所述权限账号，从而将所述权限账号对应的权限授予所述应用申请人。

在一个示例中，所述方法还包括：确定所述应用申请人的岗位状态，根据所述岗位状态确定调整等级，其中，所述岗位状态包括但不限于离职、调岗；根据所述调整等级对所述应用申请人的权限进行调整。

在一个示例中，对所述权限信息进行变更操作之后，所述方法还包括：根据所述变更操作确定对应的变更流程，并根据所述变更流程和所述变更申请确定变更记录；根据所述变更记录对资源操作进行监控。

在一个示例中，所述方法还包括：确定告警事件，根据所述告警事件建立事件单，以根据所述事件单申请对应的权限。

在一个示例中，所述方法还包括：确定运维人员发起的维护申请，根据所述维护申请确定对应的开发人员，并确定所述开发人员的维护账号；对所述维护账号进行解禁，以使所述开发人员通过所述维护账号进行登录，并将所述运维人员对应的权限共享到解禁后的所述维护账号。

在一个示例中，所述运维场景包括但不限于查询、变更、管理，所述岗位包括但不限于监控岗、变更岗、管理岗。

另一方面，本申请还提出了一种全流程权限运维管控设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述一种全流程权限运维管控设备能够执行：根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；确定运维人员发起的变更单，根据所述变更单确定变更申请；确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

另一方面，本申请还提出了一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；确定运维人员发起的变更单，根据所述变更单确定变更申请；确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

本申请对于权限管控从源头进行设计，配套以常规流程加敏捷流程进行支持，再通过强有力的平台支持，打通各平台之间壁垒，既能使每个平台做自己擅长的事情，又可协调一致。本申请从权限设计到流程支持再到平台支撑，环环相扣，做到权限细化；流程全部自动化，提高了权限申请效率，到期自动回收，避免权限回收不及时引发安全问题；全程可追溯，事前审批，事中复核，事后审计；管控到位，针对可能产生风险的地方进行严格把控。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例中一种全流程权限运维管控方法的流程示意图；

图2为本申请实施例中一种全流程权限运维管控设备的示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

如图1所示，为了解决上述问题，本申请实施例提供的一种全流程权限运维管控方法，方法包括：

S101、根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别。

在权限设计过程中，我们将权限按照日常运维使用场景划分权限类别，该权限类别包括查询、变更、管理员三种权限，三种不同的权限分别对应三个不同类型的服务器账号。查询对应的是appcheck账号、变更对应的是appoper账号、管理员权限对应的是root账号。查询权限只可做相应查询操作，变更权限用于执行变更操作，例如服务起停、配置文件修改等，管理员为最高权限拥有对操作系统最高控制权限。将不同权限规划于不同岗位之中，划分监控岗对应的appcheck账号、变更岗对应的appoper账号、管理岗的对应root/administrator账号。运维人员在日常拥有监控岗权限、需要变更时申请变更权限。

S102、确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位。

资源创建初期，各应用申请人通过资源创建平台发起资源申请，应用申请人需要确定申请的服务器类型、服务器规格、服务器数量等基本信息，基础设施专业收到资源申请后，根据服务器判断使用何种镜像进行安装操作系统，其中，服务器类型包括类型如linux、windows、aix、国产麒麟等，然后利用提前配置好的操作系统镜像进行资源初始化，镜像中已内置好相关权限的三类帐号分别为appcheck、appoper、root/administrator，账号创建完成后，资源创建平台通过调用接口的方式关联权限管控系统，将所属应用、服务器ip、服务器类型、服务器创建的初始化账号等作为参数传递给权限管控系统。具体参数如下：

请求URL：https://location/accounts。

请求方式：POST。

请求类型：Content-Type:application/json。

字符编码：UTF-8。

认证方式：SSL。

请求参数如下表所示：

请求参数	必选/可选	类型	说明
				resIp	true	String	资源IP
resType	true	Sting	资源类型
				acc	true	String	资源账号
resName	1	String	所属应用
				userId	1	String	用户

在接受到参数请求后，权限管控平台首先根据服务器所属应用自动创建以应用命名的三个岗位，包括监控岗、变更岗、管理岗等。之后自动将三类权限账号分配到三种岗位之中，appcheck账号分配到监控岗、appoper分配到变更岗、root/administrator分配到管理岗，实现一一对应，并将初始化查询权限即监控岗权限授予发起资源申请的应用申请人，若应用申请人发生离职或转岗资源创建平台通过调用权限管控平台接口的方式，自动触发权限调整流程，以实现权限的变更操作。联动权限管控平台对权限进行增加或删除，保证权限及时更新。具体参数如下：

请求URL：https://location/changePerson。

请求方式：DELETE。

请求类型：Content-Type:application/json。

字符编码：UTF-8。

认证方式：SSL。

请求参数如下表所示：

请求参数	必选/可选	类型	说明
				resroleName	true	String	岗位名称
userId	true	String	用户

在一个实施例中，确定岗位对应的应用申请人，并确定应用申请人发起的资源申请。根据资源申请进行资源初始化，以确定内置的权限账号，从而将权限账号对应的权限授予应用申请人。

在一个实施例中，确定应用申请人的岗位状态，根据岗位状态确定调整等级，其中，岗位状态包括但不限于离职、调岗。根据调整等级对应用申请人的权限进行调整。

S103、确定变更申请，根据所述变更申请确定权限信息和实施时间，以对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

运维人员在对生产环境有操作时，例如版本投产、生产变更、处理告警等场景，此时需要发起变更流程，变更流程需通过变更评审委员会评审通过后方可实施。发起对生产环境应用系统变更申请时，运维人员根据本次需要变更的应用信息，如版本升级或服务重启等，选择所需要的权限信息即本次所要操作的应用的变更岗以及计划实施时间，变更单经过变更评审委员会审核相关操作方案等要素并通过后与权限管控系统相结合，通过调用接口的方式，调用权限控制系统，其中接口参数包括实施人、计划开始时间、计划结束时间、应用信息。根据参数，设置实施人所需变更权限和实施时间，实施人等到实施时间，登录权限控制系统，自动拥有相应应用变更权限，实施时间结束后权限自动取消。具体参数如下：

请求URL：https://location/personAuth。

请求方式：POST。

请求类型：Content-Type:application/json。

字符编码：UTF-8。

认证方式：SSL。

请求参数如下表所示：

请求参数	必选/可选	类型	说明
				userId	true	String	用户
resRoleName	true	String	岗位名称
				startTime	false	String	授权开始时间注：格式为yyyy-MM-dd HH:mm
endTime	false	String	授权结束时间注：格式为yyyy-MM-dd HH:mm

搭建敏捷化权限申请平台，运维人员负责全天候生产区域值班工作，保障生产环境各系统正常运行，在日常生产运维过程中，经常遇到应用系统告警或突发事件需进行处理，需要快速申请权限及时处理告警并做到申请有据。敏捷化权限申请平台底层采用流程引擎进行流程搭建，将各个申请节点和审批节点相结合，并辅助各节点以短信通知，无论是申请人员还是审批人员可以在收到短信通知后，快速进行审批或查看当前流程状态，保障参与生产的运维人员可以快速进行申请权限。例如，总控大屏发生告警，值班零线人员根据告警信息建立事件单，参与值班的运维人员在平台之上填写刚才发生告警的相应事件单号，选择处理发生告警应用所需的相应权限，经过审批即可快速得到权限，免去繁杂申请流程。

在权限管控平台中，接收来自变更流程、以及敏捷化权限流程平台提交的权限申请，并对所使用权限操作进行全部记录，便于事后对运维人员的所有操作记录进行审计，在权限管控平台中针对数据下载、数据拷贝等行为进行严格限制，如需使用必须通过敏捷化权限申请平台进行申请，申请通过后自动打开限制，并对数据下载或拷贝内容进行监控。其次针对敏感命令如全量删文件命令、高危命令如删库、关机等命令等进行检测，如有人员执行了命令库中已配置的命令，对于敏感命令进行告警，生成告警信息，告警信息可对接监控平台进行告警，并以邮件或短信形式发送安全管理员，便于安全管理员及时发现风险，并针对高危命令进行阻断，防止出现删库跑路现象，且对以上风险行为自动形成报表，便于事后检查和分析。针对开发运维分离场景，在运维人员无法处理相关问题，需要开发人员介入时，如何保证处置及时又能保证安全合规，显得尤为重要，针对此场景，权限管控平台支持共享会话功能，开发人员只需拥有权限管控平台账号无需任何权限，且平时账号处于禁用状态无法使用，如需开发人员介入排查问题，则由运维人员通过敏捷化权限申请平台，申请解禁开发人员账号，并为自己申请权限，通过共享会话功能，可将自己操作界面共享给开发人员，此时开发人员与运维人员可以同时看到同一画面，实时同步，运维人员可以选择让开发人员指导操作，也可选择由开发人员执行操作，实时监控开发人员操作，运维人员可实时进行阻断，为远程协助提供支持，做到事中监控，并对所有操作进行分别记录，便于事后检查。解决开发运维分离难题。

在一个实施例中，对权限信息进行变更操作之后，根据变更操作确定对应的变更流程，并根据变更流程和变更申请确定变更记录。根据变更记录对资源申请进行监控。

在一个实施例中，对权限信息进行变更操作之前，确定运维人员发起的变更单，根据变更单确定变更申请。确定审评人对变更单的审核结果，并将审核结果和变更申请发送至预先确定的实施人，以使实施人根据变更申请进行权限变更操作。

在一个实施例中，对于通过权限管控平台进行的所有操作，全部进行记录，采用命令和录像双重记录，由于记录信息全，记录量大，选择将记录保存在nas当中，并定期将审计记录进行备份，便于事后审计。

在一个实施例中，针对数据下载、拷贝在权限管控平台中进行限制，日常不允许将数据库、服务器中的数据下载到变更终端，通过在岗位中设置相关策略，具体分为对rdp协议以及ftp协议等控制，例如，禁用剪贴板、磁盘挂载、复制粘贴、下载等。

如图2所示，本申请实施例还提供了一种全流程权限运维管控设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述一种全流程权限运维管控设备能够执行：

根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；

确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；

确定变更申请，根据所述变更申请确定权限信息和实施时间，以对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

本申请实施例还提供了一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；

确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；

确定变更申请，根据所述变更申请确定权限信息和实施时间，以对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备和介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例提供的设备和介质与方法是一一对应的，因此，设备和介质也具有与其对应的方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述设备和介质的有益技术效果。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器 (RAM) 和/或非易失性内存等形式，如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (9)

1.一种全流程权限运维管控方法，其特征在于，包括：

根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；

确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；

确定运维人员发起的变更单，根据所述变更单确定变更申请；

确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；

根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

2.根据权利要求1所述的方法，其特征在于，将所述权限账号分配至对应的所述岗位，具体包括：

确定所述岗位对应的应用申请人，并确定所述应用申请人发起的资源申请；

根据所述资源申请进行资源初始化，以确定内置的所述权限账号，从而将所述权限账号对应的权限授予所述应用申请人。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

确定所述应用申请人的岗位状态，根据所述岗位状态确定调整等级，其中，所述岗位状态包括但不限于离职、调岗；

根据所述调整等级对所述应用申请人的权限进行调整。

4.根据权利要求2所述的方法，其特征在于，对所述权限信息进行变更操作之后，所述方法还包括：

根据所述变更操作确定对应的变更流程，并根据所述变更流程和所述变更申请确定变更记录；

根据所述变更记录对资源操作进行监控。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

确定告警事件，根据所述告警事件建立事件单，以根据所述事件单申请对应的权限。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

确定运维人员发起的维护申请，根据所述维护申请确定对应的开发人员，并确定所述开发人员的维护账号；

对所述维护账号进行解禁，以使所述开发人员通过所述维护账号进行登录，并将所述运维人员对应的权限共享到解禁后的所述维护账号。

7.根据权利要求1所述的方法，其特征在于，所述运维场景包括但不限于查询、变更、管理，所述岗位包括但不限于监控岗、变更岗、管理岗。

8.一种全流程权限运维管控设备，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述一种全流程权限运维管控设备能够执行：

根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；

确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；

确定运维人员发起的变更单，根据所述变更单确定变更申请；

确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；

根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。

9.一种非易失性计算机存储介质，存储有计算机可执行指令，其特征在于，所述计算机可执行指令设置为：

根据运维场景对权限账号进行初始化，以确定所述权限账号的权限类别；

确定所述权限账号对应的岗位，并将所述权限账号分配至对应的所述岗位；

确定运维人员发起的变更单，根据所述变更单确定变更申请；

确定审评人对所述变更单的审核结果，并将所述审核结果和所述变更申请发送至预先确定的实施人，以使所述实施人根据所述变更申请进行权限变更操作；

根据所述变更申请确定权限信息和实施时间，以根据所述权限信息对所述权限信息进行变更操作，并根据所述实施时间自动取消变更，其中，所述变更操作包括增加和取消。