CN117118729A - 一种管理云服务器系统 - Google Patents
一种管理云服务器系统 Download PDFInfo
- Publication number
- CN117118729A CN117118729A CN202311183807.9A CN202311183807A CN117118729A CN 117118729 A CN117118729 A CN 117118729A CN 202311183807 A CN202311183807 A CN 202311183807A CN 117118729 A CN117118729 A CN 117118729A
- Authority
- CN
- China
- Prior art keywords
- server
- log
- module
- cloud server
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 claims abstract description 82
- 238000012550 audit Methods 0.000 claims abstract description 17
- 238000007670 refining Methods 0.000 claims abstract description 7
- 206010047289 Ventricular extrasystoles Diseases 0.000 claims abstract 4
- 238000005129 volume perturbation calorimetry Methods 0.000 claims abstract 4
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 16
- 238000012795 verification Methods 0.000 claims description 13
- 230000006399 behavior Effects 0.000 claims description 11
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000002955 isolation Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 11
- 238000012217 deletion Methods 0.000 description 9
- 230000037430 deletion Effects 0.000 description 9
- 238000000034 method Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本说明书实施例公开了一种管理云服务器系统,包括:云服务器管理模块、人员管理模块、权限申请模块、日志审计模块与安全管理模块;云服务器管理模块用于通过获取云服务器的相关信息,并在后台配置不同VPC虚拟网络环境,以管理不同VPC内的云服务器;人员管理模块用于通过分组细化人员权限,以根据实际使用情况划分不同的人员分组,根据不同的人员分工加入指定分组,并根据每个分组实际工作需要,授予相对应的权限;权限申请模块用于服务器操作权限申请以及服务器端口开通申请;日志审计模块用于审核登录日志与服务器操作日志;安全管理模块用于云服务器的相关操作进行管理,相关操作包括来源IP限制、二次认证、指定行为备份操作以及指定备份操作。
Description
技术领域
本说明书涉及计算机技术领域,尤其涉及一种管理云服务器系统。
背景技术
随着云服务器厂商技术愈发先进,服务器上云在享受高质量服务的同时还可以减少自建机房所产生的庞大费用,服务器上云已然成为互联网公司一种最优的选择,但是服务器上云伴随着公司业务规模不断增加,云服务器规模不断扩大,云服务器的安全且有效管理成为一个新的问题。
发明内容
本说明书一个或多个实施例提供了一种管理云服务器系统,用于解决背景技术提出的技术问题。
本说明书一个或多个实施例采用下述技术方案:
本说明书一个或多个实施例提供的一种管理云服务器系统,所述系统包括:云服务器管理模块、人员管理模块、权限申请模块、日志审计模块与安全管理模块;
所述云服务器管理模块用于通过获取云服务器的相关信息,以根据所述云服务器的相关信息确定所述云服务器的使用场景,以对所述云服务器进行分组管理,并在后台配置不同VPC虚拟网络环境,以管理不同VPC内的所述云服务器;
所述人员管理模块用于通过分组细化人员权限,以根据实际使用情况划分不同的人员分组,根据不同的人员分工加入指定分组,并根据每个分组实际工作需要,授予相对应的权限;
所述权限申请模块用于服务器操作权限申请以及服务器端口开通申请;
所述日志审计模块用于审核登录日志与服务器操作日志;
所述安全管理模块用于所述云服务器的相关操作进行管理,所述相关操作包括来源IP限制、二次认证、指定行为备份操作以及指定备份操作。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
1)提供服务器管理工具,可分组、分VPC管理服务器,细化权限控制;
2)提供人员管理工具,可分组管理员工,差异化进行权限控制;
3)提供权限申请功能,进一步加强服务器权限差异化控制,减少管理员重复工作,提高服务器的安全性;
4)提供日志审计功能,便于查看审计员工操作服务器的所有命令;
5)提供安全管理模块,通过来源IP限制、二次认证、高危操作自动快照以及备份快照,防止出现因员工误操作,出现生产事故。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本说明书一个或多个实施例提供的一种管理云服务器系统的结构示意图;
图2为本说明书一个或多个实施例提供的申请权限的流程示意图;
图3为本说明书一个或多个实施例提供的系统登陆验证流程图;
图4为本说明书一个或多个实施例提供的应急处置流程图。
具体实施方式
本说明书实施例提供一种管理云服务器系统。
现有技术中,往往是通过运维人员和管理人员,通过员工口述或邮件去开通其所需服务器,期间无法做好权限控制以及使用时间控制,同时也无法控制员工设置密码的复杂度,在进行重复工作的同时也产生了较大的安全隐患。而对于端口的开发也没有合规的流程,会造成运维人员无法把端口与服务一一对应,对日后管理造成很大的不便。
同时,安全管理与应对网络攻击应急处置的时效性对互联网公司也是一个严峻的考验。服务器的安全管理不但需要对外进行严格的访问限制,在越来越多因权限冗余发生的的安全事故中,认识到对内也需要进行严格权限控制,同时更要对数据进行有效备份,加强数据安全性,以防数据丢失。
此外,对于服务器权限操作申请至开通无法做到自动化,仍需管理人员通过后台控制。缺少权限细化,对于员工的所能操作的服务器目录、服务、时长权限可以进一步控制。加强端口开放的限制,每增加一个端口开放,服务器安全风险就增加一分,对于端口开放的申请流程更加需要重视。集成服务器告警系统,进一步加强了服务器的安全管理。生产管理中需加强数据安全性,在执行高危操作时缺少对数据进行备份。在进行应急处置时,人工操作时效性终究不如机器自动化执行的时效性高,在面对网络攻击时,提前一分对被攻击机器进行隔离处理,相应就会减少一份公司损失。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
图1为本说明书一个或多个实施例提供的一种管理云服务器系统的结构示意图,管理云服务器系统包括:云服务器管理模块102、人员管理模块104、权限申请模块106、日志审计模块108与安全管理模块110。
所述云服务器管理模块可以用于通过获取云服务器的相关信息,以根据所述云服务器的相关信息确定所述云服务器的使用场景,以对所述云服务器进行分组管理,并在后台配置不同VPC虚拟网络环境,以管理不同VPC内的所述云服务器。
在本说明书实施例中,云服务器管理模块是可以用于管理云服务器的相关操作和配置,下面对云服务器管理模块的各种功能进行详细说明:
本说明书实施例对于获取云服务器相关信息:可以指获取云服务器的各种属性信息,例如服务器规格、IP地址、操作系统等。
本说明书实施例对于确定云服务器的使用场景:可以根据所获取的云服务器相关信息,对云服务器进行分类或分组,以便更好地管理和配置。
本说明书实施例对于分组管理云服务器:可以将根据使用场景进行分类的云服务器,进行统一的管理。这可以包括对组内服务器的配置、监控和维护等操作。
本说明书实施例对于配置不同VPC虚拟网络环境:通过管理模块,对不同的虚拟私有云(VPC)进行配置,以便在不同的VPC环境中管理云服务器。VPC是一种虚拟的隔离网络环境,可以让用户在云上构建自己的私有网络。
综上所述,这段描述表明云服务器管理模块通过获取云服务器的相关信息来确定其使用场景,并将云服务器进行分组管理。同时,通过配置不同的VPC虚拟网络环境,可以对不同VPC内的云服务器进行管理。这样的管理方式可以提高云服务器的可管理性和安全性,并根据不同的使用场景和需求来配置和管理云服务器。
所述人员管理模块可以用于通过分组细化人员权限,以根据实际使用情况划分不同的人员分组,根据不同的人员分工加入指定分组,并根据每个分组实际工作需要,授予相对应的权限。
在本说明书实施例中,人员管理模块可以用于管理人员的相关权限和分组,下面对人员管理模块的各种功能进行详细说明:
分组细化人员权限:通过该模块,可以将人员按照其所需的权限进行分组,以实现细化的权限管理。不同的人员分组可以有不同的权限范围。
根据实际使用情况划分人员分组:根据实际的使用情况,将人员划分到合适的分组中。这可能基于不同的工作职责、部门、项目组等因素进行划分。
根据不同人员分工加入指定分组:根据人员的具体分工和职责,将他们加入到特定的分组中。这样可以确保每个人都可以获得适合他们工作的权限范围。
根据每个分组实际工作需要,授予相应的权限:根据每个分组的实际工作需求,为其配置相应的权限。这可以确保每个分组的成员只能访问和操作他们需要的资源和功能,从而保证数据的安全性和系统的稳定性。
综上所述,这段描述表明人员管理模块通过分组细化人员权限,根据实际使用情况划分不同的人员分组,并根据每个分组实际工作需要,授予相应的权限。这样的管理方式可以提高人员管理的灵活性和安全性,并根据不同人员的职责和需求来进行权限的控制和管理。
所述权限申请模块可以用于服务器操作权限申请以及服务器端口开通申请。
在本说明书实施例中,所述服务器操作权限申请时,获取申请员工标识、申请服务器标识、开通权限内容与使用时长,在审批通过后,将审批结果发送给后台程序,以对所述申请员工授予相关权限。
需要说明的是,在服务器操作权限申请中,需要获取申请员工的标识、申请的服务器标识、要开通的权限内容和使用时长等信息。这些信息将被用于后续的审批流程。当审批通过后,权限申请结果会被发送给后台程序,用于对申请员工授予相关的权限。这意味着申请员工将被授予他们所需的服务器操作权限。
所述服务器操作权限申请的权限内容包括可操作目录、可操作服务、是否可执行删除命令、是否修改服务配置、是否操作服务器数据库与服务器数据库增删改查操作申请,下面对上述各权限内容进行详细说明:
所述可操作目录包括多级目录,并根据预设目录权限对各级目录授予相应的权限,申请者可以指定多级目录,并根据预设的目录权限来授予相应的权限,这意味着申请者可以根据需要,对不同级别的目录赋予不同的操作权限。
所述可操作服务用于确定申请员工填写的服务,并确定对所述服务对应的操作,以便在授权时根据所述服务以及所述服务对应的操作授予相应的权限,申请者需要填写可操作的服务,并确定对该服务的具体操作,这些信息将用于在授权过程中根据服务和其对应的操作来授予相应的权限。
所述是否可执行删除命令用于确定删除原因,并根据所述删除原因确定是否可执行删除命令,申请者需说明删除的原因,并根据审批意见来确定是否可以执行删除命令,这意味着申请者需要解释删除命令的合理性和必要性,审批者会根据审核结果来决定是否允许执行删除命令。
所述是否修改服务配置用于确定待修改的配置文件目录,以及相关联的服务,并根据审批意见确定是否修改服务配置,申请者需确定待修改的配置文件目录和相关的服务,并根据审批意见来决定是否修改服务配置,这意味着申请者需要明确配置文件的位置和需要修改的内容,审批者会根据审核结果来决定是否允许修改服务配置;
所述是否操作服务器数据库,确定待操作的数据库的名称,并根据审批意见确定是否操作服务器数据库,申请者需确定待操作的数据库名称,并根据审批意见来决定是否可以操作服务器数据库,这意味着申请者需要明确要操作的数据库,并解释操作的必要性,审批者会根据审核结果来决定是否允许操作服务器数据库。
所述服务器数据库增删改查操作申请,确定待执行操作的数据库表与执行的操作内容,并根据审批意见进行服务器数据库的相关操作,申请者需确定待执行操作的数据库表以及执行的操作内容,并根据审批意见来进行相关的服务器数据库操作,这意味着申请者需要明确要操作的数据库表和具体的操作内容,审批者会根据审核结果来决定是否允许执行相应的数据库操作。
在本说明书实施例中,服务器端口开通申请时,获取申请员工标识、申请服务器标识、需开通端口,端口白名单,端口类型,以及端口所对应服务,所述端口类型包括临时端口与固定端口。
需要说明的是,在服务器端口开通申请中,需要获取申请员工的标识、申请的服务器标识以及需要开通的端口。此外,还需要获取端口白名单、端口类型和该端口所对应的服务。端口类型包括临时端口和固定端口。临时端口是指在特定时间段内开放的端口,而固定端口是一直开放且长期保持开放的端口。这些信息将被用于审批和后续的端口开通操作。
所述日志审计模块可以用于审核登录日志与服务器操作日志。
在本说明书实施例中,所述登录日志可以用于记录员工的每次登录信息,所述登录信息包含登录时间,地点,登录IP。所述服务器操作日志,可以用于在员工登录服务器时开始记录员工的每一条命令,并存储到数据库,并将操作日志划分相应的等级。
需要说明的是,日志审计模块用于审核登录日志和服务器操作日志,目的是确保系统的安全性和合规性。登录日志用于记录员工的每次登录信息,包括登录时间、地点和登录IP地址等。通过记录这些信息,可以追踪和监控员工的登录行为,以便及时发现异常登录活动或可疑行为。登录日志是一种重要的安全审计手段,可以用于识别和防止未经授权的登录,并提供追溯能力。
在本说明书的实施例中,服务器操作日志用于记录员工在登录服务器后执行的每一条命令。这些操作日志会被存储到数据库中,以便后续的审计和分析。此外,操作日志还被划分为相应的等级,这可能是根据操作的敏感性或重要性来确定的。通过对操作日志进行等级划分,可以对不同级别的操作进行不同程度的监控和审计,以确保系统的安全和合规性。
综上所述,日志审计模块的功能是审核和监控登录日志和服务器操作日志,以确保系统的安全性和合规性。登录日志记录员工的登录信息,服务器操作日志记录员工在登录后执行的每一条命令,并将其存储到数据库中,并可能根据操作的等级进行分类。这些信息可以被用于后续的审计、分析和安全监控。
所述安全管理模块可以用于所述云服务器的相关操作进行管理,所述相关操作包括来源IP限制、二次认证、指定行为备份操作以及指定备份操作。
在本说明书的实施例中,所述来源IP限制,通过在后台配置IP白名单,进行访问限制,并配置限制地域IP访问;所述二次认证用于员工在登录所述系统时首先输入注册的用户名和密码,并在验证用户名和密码输入正确后会弹出其他验证信息;所述指定行为备份操作用于在识别到员工执行指定操作时,自动对员工执行操作的服务器执行备份操作;所述指定备份操作用于在后台设置定时任务对指定服务器资产进行备份操作,自动生成定时任务自动执行备份操作。安全管理模块可以用于管理云服务器的相关操作,包括来源IP限制、二次认证、指定行为备份操作和指定备份操作。
需要说明的是,本说明书实施例的来源IP限制:通过在后台配置IP白名单来限制访问来源IP,并且可以配置限制地域IP的访问。这意味着只有被允许的IP地址才能访问云服务器,其他IP地址将被拒绝访问。这一措施可以加强对服务器的访问控制,提高系统的安全性。
需要说明的是,本说明书实施例的二次认证:在员工登录系统时,首先需要输入注册的用户名和密码进行验证。验证用户名和密码输入正确后,系统还会要求员工提供其他验证信息,例如验证码、动态密码等。这可以增加登录过程的安全性,防止未经授权的访问。
需要说明的是,本说明书实施例的指定行为备份操作:当系统识别到员工执行了指定的操作时,会自动对执行该操作的服务器进行备份操作。这意味着系统可以根据指定的操作行为自动触发备份操作,确保关键数据和系统状态的安全。这种备份操作可以是数据库备份、文件备份或系统配置备份等。
需要说明的是,本说明书实施例的指定备份操作:在后台设置定时任务对指定的服务器资产进行备份操作,并自动生成定时任务来自动执行备份操作。这意味着系统可以根据预先设置的规则和计划对指定的服务器资产进行定期备份,以减少数据丢失和系统故障的风险。
综上所述,安全管理模块用于管理云服务器的相关操作,包括来源IP限制、二次认证、指定行为备份操作和指定备份操作。这些功能可以提高云服务器的安全性,限制访问来源、加强登录认证、自动触发备份操作和定期执行备份操作,从而保护关键数据和系统的安全。
需要说明的是,本说明书实施例的系统还包括服务器信息监控模块,该模块通过安装指定代理程序,记录服务器的CPU、内存、网络与磁盘实时使用情况,在出现异常信息后进行通知。
需要说明的是,服务器信息监控模块通过安装一个指定的代理程序在服务器上,实时记录服务器的CPU、内存、网络和磁盘的使用情况。当服务器出现异常信息时,监控模块会发送通知。
具体来说,服务器信息监控模块通过安装指定的代理程序来获取服务器的实时使用情况。这些信息包括CPU使用率、内存使用率、网络流量以及磁盘使用情况等。代理程序不断地监测这些信息,并将其记录下来。
当服务器的使用情况出现异常时,比如CPU占用率过高、内存不足等,监控模块会根据预设的规则或阈值进行判断,并发出通知。通知可以通过邮件、短信、即时消息等形式发送给管理员或相关人员,让他们及时采取措施来解决异常情况。
通过该服务器信息监控模块,管理员可以实时了解服务器的使用情况,并及时发现和解决可能的问题或异常。这有助于提高服务器的稳定性和可靠性,避免由于服务器故障导致的系统中断或数据丢失。另外,通过记录服务器的使用情况,管理员还可以分析服务器的性能和资源使用情况,为服务器的优化和升级提供参考。
需要说明的是,本说明书实施例的系统还包括应急处置模块,该模块通过安装指定代理程序对所述系统内所有云服务器资产进行实时监控,根据后台预先配置的异常处置规则模版,在发现异常后自动执行应急处置。所述应急处置包括关闭网络、服务器放入隔离区与服务器关机。
应急处置模块通过安装一个指定的代理程序来对系统内的所有云服务器资产进行实时监控。一旦发现异常情况,根据预先配置的异常处置规则模板,应急处置模块会自动执行相应的应急处置措施,包括关闭网络、将服务器放入隔离区以及关闭服务器。
具体来说,应急处置模块通过安装指定的代理程序对系统内的所有云服务器进行实时监控。代理程序会收集和监测云服务器的运行状态、网络连接情况等关键指标。
当监测到某个云服务器出现异常情况时,比如网络攻击、病毒感染、系统崩溃等,应急处置模块会根据预先配置的异常处置规则模板进行判断,并根据规则模板自动执行相应的应急处置措施。
在该描述中,给出的应急处置措施包括关闭网络、将服务器放入隔离区以及关闭服务器。关闭网络可以防止异常影响其他服务器或系统。将服务器放入隔离区可以隔离异常服务器与其他服务器,避免异常扩散。关闭服务器可以避免异常进一步危害系统,并为后续的调查和修复提供条件。
通过应急处置模块的监控和自动应急处置功能,系统可以及时发现和处理各种异常情况,减少对人工干预的依赖,并提高系统的稳定性和安全性。
需要说明的是,本说明书实施例针对前述问题,提出建立一种云服务器管理模式,包含云服务器管理,人员管理,权限申请,日志审计,服务器信息监控,安全管理,以及应急处置。
云服务器管理:通过密钥获取服务器信息,并可对服务器进行分组管理,可创建不同分组,合理规划服务器实用性质,例如可分组:生产,准生产,测试。同时服务器管理功能兼具网络分组,可以先在后台配置不同的VPC,方便管理不同VPC内的服务器。通过不同的使用场景和VPC进行分组,使用时更加直观、便捷,服务器分组管理同时可以更加细化服务器授权,高效管理云服务器。
人员管理:通过分组细化人员权限,可根据实际使用情况划分不同的人员分组,例如可分组:研发,实施,运维。根据不同的人员分工加入指定分组,并根据每个组实际工作需要,授予不同的基础权限。同时可以全局控制组内员工权限,防止放生权限缺少和冗余的事件发生。
权限申请:权限申请主要分为服务器操作权限申请以及服务器端口开通申请。
1)服务器操作权限申请需要填写员工姓名,服务器,需开通权限,使用时长。经过领导审批后,以填写内容为变量发送给后台程序,并按照需求授予该员工权限。其中需开通权限内容包含:可操作目录、可操作服务、是否可执行删除等高危命令、是否修改服务配置、是否操作服务器数据库、服务器数据库增删改查操作申请。可操作目录不可填写根目录,需要细化至二级以及三级目录,在授权时会根据填写的目录授予相应的权限。可操作服务,申请员工需填写要操作的服务名称,例如:Nginx、PostgresSQL等云服务器中所部署的服务,同时要选择对服务需要执行那项操作,例如:reload,restart,stop等,在授权时会根据填写的服务以及所需的操作授予相应的权限。是否可执行删除等高危命令,在填写此项时需详细写清要删除的文件或文件目录,并注明原因,在授权时会给予相应的权限。是否修改服务配置,在实际工作中经常需要我们去修改服务配置对服务进行优化,填写此项需要写明要修改的配置文件目录,备注要写清受影响的服务,经审批后会给予操作权限。是否操作服务器数据库,填写此项时,如需要操作数据库需要填写需要执行的数据库名称,经审批后会给予相应权限。服务器数据库增删改查操作申请,此项在申请操作数据库后方可填写,数据库操作分为增,删,改,查四项,在申请时需要详细需要执行操作的数据库表,并填写每个表要执行的不同操作,以及详细的SQL语句,经领导审批后给予相应权限。使用时长,此项需填写服务器操作权限申请时长,计时以员工登录服务器后开始计时,防止中间因审批,发送通知等影响使用时间。在所有申请内容填写完毕后,会通过邮件通知上级领导进行权限审批。审批通过后,会由系统获取员工填写需求,并以此为变量自动生成服务器链接,并生成临时权限,然后通过邮件告知员工审批通过,发送服务器登录链接。如审批未通过也会发送邮件通知员工,并告知审批意见。在使用中如需增加使用时间,只需在现有审批中申请增加使用时长即可。
图2为本说明书实施例提供的申请权限的流程示意图,申请权限时,输入申请详细信息(包括员工,服务器,时长),领导审批,若领导审批同意登陆授权云服务器,判断是否授权到期,若授权未到期,进入云服务器,若授权到期,返回至领导审批,若领导审批不同意,返回至上一个流程,
2)服务器端口开通申请,服务器端口申请需填写员工姓名,服务器,需开通端口,端口白名单,临时端口还是固定端口,端口所对应服务。需开通端口,此项需填写申请开通的端口号。端口白名单,此项需填写开通端口号所对应的IP白名单,此处可以写单个IP或者一个IP段。临时端口还是固定端口,此项需要选择端口开通为临时开放还是永久开放,如此端口需要临时开放需要写明开放时长,如需永久开发则注明永久开放。端口所对应服务,此项需要填写所开通端口对应的服务,方便进行服务器端口管理。
权限/端口回收:权限/端口回收可以通过系统定时任务完成,在权限申请完成员工正式开始使用时后台会根据申请时长自动创建一个到期清理的定时任务,系统在监测员工权限使用剩余30分钟,15分钟,5分钟时会通过前端弹框提示员工及时完成相关操作或申请延长时间。在到达时间后,系统定时任务会立刻清理掉超时权限/端口,保证系统的安全性,防止发生因权限/端口冗余而导致的安全事故。
日志审计:包含登录日志和服务器操作日志
1)登录日志,详细记录员工的每一次登录,包含登录时间,地点,登录IP。防止出现异常登录,如出现异常会提示并向管理员发送告警邮件。
2)服务器操作日志,在员工登录服务器时开始记录员工的每一条命令,并存储到数据库,操作日志保存时间为一年。同时把操作日志分为两类:正常、高危。正常操作定义为在服务器上执行日常操作,如切换目录,查看修改文件,查看服务日志,查看数据库等相关命令。高危操作定义为删除文件,重启服务器,删除数据库等相关命令。如出现相关操作会通知管理员,让管理员与进行高位操作员工进行核实。
服务器信息监控:通过安装Agent,记录服务器CPU,内存,网络,磁盘实时使用情况,出现异常信息后可通过邮件发送至管理员邮箱,做到及时通知管理员解决问题,保障云上服务的可靠性。
安全管理:云服务器安全管理目前包含来源IP限制、二次认证、高危操作自动快照以及备份快照。
1)来源IP限制:可在后台配置IP白名单,进行访问限制。同时可以配置限制地域IP访问,例如可以限制国外以及港澳台地域访问云服务器管理系统,设置完成限制地域IP访问后,访问系统时后台会自动检测IP来源地,如访问来自限制地域则会直接拒绝访问,杜绝被国外攻破的可能性。
2)二次认证:员工在登录系统时首先需要输入本人在管理系统注册的用户名和密码,系统在验证用户名密码输入正确后会弹出二维码,这时员工需要使用公司内部人员系统扫码再次核验身份,在身份验证成功后方可进入系统。
3)高危操作自动快照:系统在识别到员工执行高危操作时,会自动对员工执行操作的服务器执行快照备份操作,防止因误操作删除数据无法回滚,导致服务无法稳定运行的事故发生。
4)备份快照:系统管理员可在后台设置定时任务对指定服务器资产进行备份操作,备份时可选择备份时间,保留时间,系统会自动生成定时任务自动执行备份操作。
图3为本说明书实施例提供的系统登陆验证流程图,访问系统时,判断IP是否为封禁地域,若是,拒绝访问,若否,判断IP来源是否为开放白名单,若否,拒绝访问,若是白名单,进入登陆页面,输入用户名密码进行验证,若验证失败,拒绝访问,若验证成功,内部员工系统扫描二维码验证,若验证失败,拒绝访问,若验证成功,登录成功。
应急处置:管理系统可通过Agent对系统内所有云服务器资产进行实时监控,及时发现异常并进行应急处置。管理员可在后台配置异常处置规则模版,如警示模版在CPU使用超过90%,内存使用超过90%,网络占用超过90%等,此模版可以设置为一个条件也可设置为多个条件。发现异常后系统会自动执行应急处置,应急处置可设置为关闭网络,服务器放入隔离区,服务器关机等紧急操作。同时会通过IP限制全局限制攻击IP访问,防止影响其他服务器运行。
图4为本说明书实施例提供的应急处置流程图,网络攻击时,触发金控报警模块,并触发应急处置操作,然后执行应急处置操作,之后服务器进入隔离区并关闭网络,再将攻击IP添加至全局控制访问IP名单中,最后通知安全管理员,应急处理结束。
综上,本说明书实施例具有下述有益效果:
1)提供服务器管理工具,可分组、分VPC管理服务器,细化权限控制;
2)提供人员管理工具,可分组管理员工,差异化进行权限控制;
3)提供权限申请功能,进一步加强服务器权限差异化控制,减少管理员重复工作,提高服务器的安全性;
4)提供权限/端口回收功能,降低因权限/端口冗余发生安全事故;
5)提供日志审计功能,便于查看审计员工操作服务器的所有命令;
6)集成服务器信息监控,实时监控服务器动态,及时发现问题并解决问题,提高服务可靠性;
7)提供安全管理模块,通过来源IP限制、二次认证、高危操作自动快照以及备份快照,防止出现因员工误操作,出现生产事故;
8)提供应急处置模块,加强安全监测,在面对网络攻击时有更加及时的应对措施,降低因网络攻击带来的损失。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (10)
1.一种管理云服务器系统,其特征在于,所述系统包括:云服务器管理模块、人员管理模块、权限申请模块、日志审计模块与安全管理模块;
所述云服务器管理模块用于通过获取云服务器的相关信息,以根据所述云服务器的相关信息确定所述云服务器的使用场景,以对所述云服务器进行分组管理,并在后台配置不同VPC虚拟网络环境,以管理不同VPC内的所述云服务器;
所述人员管理模块用于通过分组细化人员权限,以根据实际使用情况划分不同的人员分组,根据不同的人员分工加入指定分组,并根据每个分组实际工作需要,授予相对应的权限;
所述权限申请模块用于服务器操作权限申请以及服务器端口开通申请;
所述日志审计模块用于审核登录日志与服务器操作日志;
所述安全管理模块用于所述云服务器的相关操作进行管理,所述相关操作包括来源IP限制、二次认证、指定行为备份操作以及指定备份操作。
2.根据权利要求1所述的系统,其特征在于,所述服务器操作权限申请时,获取申请员工标识、申请服务器标识、开通权限内容与使用时长,在审批通过后,将审批结果发送给后台程序,以对所述申请员工授予相关权限。
3.根据权利要求1所述的系统,其特征在于,所述服务器操作权限申请的权限内容包括可操作目录、可操作服务、是否可执行删除命令、是否修改服务配置、是否操作服务器数据库与服务器数据库增删改查操作申请。
4.根据权利要求3所述的系统,其特征在于,
所述可操作目录包括多级目录,并根据预设目录权限对各级目录授予相应的权限;
所述可操作服务用于确定申请员工填写的服务,并确定对所述服务对应的操作,以便在授权时根据所述服务以及所述服务对应的操作授予相应的权限;
所述是否可执行删除命令用于确定删除原因,并根据所述删除原因确定是否可执行删除命令;
所述是否修改服务配置用于确定待修改的配置文件目录,以及相关联的服务,并根据审批意见确定是否修改服务配置;
所述是否操作服务器数据库,确定待操作的数据库的名称,并根据审批意见确定是否操作服务器数据库;
所述服务器数据库增删改查操作申请,确定待执行操作的数据库表与执行的操作内容,并根据审批意见进行服务器数据库的相关操作。
5.根据权利要求1所述的系统,其特征在于,所述服务器端口开通申请时,获取申请员工标识、申请服务器标识、需开通端口,端口白名单,端口类型,以及端口所对应服务,所述端口类型包括临时端口与固定端口。
6.根据权利要求1所述的系统,其特征在于,所述登录日志用于记录员工的每次登录信息,所述登录信息包含登录时间,地点,登录IP;
所述服务器操作日志,用于在员工登录服务器时开始记录员工的每一条命令,并存储到数据库,并将操作日志划分相应的等级。
7.根据权利要求1所述的系统,其特征在于,
所述来源IP限制,通过在后台配置IP白名单,进行访问限制,并配置限制地域IP访问;
所述二次认证用于员工在登录所述系统时首先输入注册的用户名和密码,并在验证用户名和密码输入正确后会弹出其他验证信息;
所述指定行为备份操作用于在识别到员工执行指定操作时,自动对员工执行操作的服务器执行备份操作;
所述指定备份操作用于在后台设置定时任务对指定服务器资产进行备份操作,自动生成定时任务自动执行备份操作。
8.根据权利要求1所述的系统,其特征在于,所述系统还包括服务器信息监控模块;
所述服务器信息监控模块通过安装指定代理程序,记录服务器的CPU、内存、网络与磁盘实时使用情况,在出现异常信息后进行通知。
9.根据权利要求1所述的系统,其特征在于,所述系统还包括应急处置模块;
所述应急处置模块通过安装指定代理程序对所述系统内所有云服务器资产进行实时监控,根据后台预先配置的异常处置规则模版,在发现异常后自动执行应急处置。
10.根据权利要求9所述的系统,其特征在于,所述应急处置包括关闭网络、服务器放入隔离区与服务器关机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311183807.9A CN117118729A (zh) | 2023-09-13 | 2023-09-13 | 一种管理云服务器系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311183807.9A CN117118729A (zh) | 2023-09-13 | 2023-09-13 | 一种管理云服务器系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117118729A true CN117118729A (zh) | 2023-11-24 |
Family
ID=88810923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311183807.9A Pending CN117118729A (zh) | 2023-09-13 | 2023-09-13 | 一种管理云服务器系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117118729A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117499397A (zh) * | 2023-12-29 | 2024-02-02 | 广东信聚丰科技股份有限公司 | 基于大数据分析的教育云服务平台 |
-
2023
- 2023-09-13 CN CN202311183807.9A patent/CN117118729A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117499397A (zh) * | 2023-12-29 | 2024-02-02 | 广东信聚丰科技股份有限公司 | 基于大数据分析的教育云服务平台 |
| CN117499397B (zh) * | 2023-12-29 | 2024-03-22 | 广东信聚丰科技股份有限公司 | 基于大数据分析的教育云服务平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10264022B2 (en) | Information technology governance and controls methods and apparatuses | |
| CN102034052B (zh) | 基于三权分立的操作系统体系结构及实现方法 | |
| CN103368973B (zh) | 一种云操作系统安全体系 | |
| CN101520831B (zh) | 安全终端系统及终端安全方法 | |
| CN106295355B (zh) | 一种面向Linux服务器的主动安全保障方法 | |
| KR101552950B1 (ko) | 서버 및 네트워크 장비의 직접접근 제어시스템 | |
| WO2011054555A1 (en) | Method and system for managing security objects | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN110049028B (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
| CN117118729A (zh) | 一种管理云服务器系统 | |
| KR100853721B1 (ko) | 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
| CN114218194A (zh) | 数据银行安全系统 | |
| CN109902497A (zh) | 一种面向大数据集群的访问权限管理方法及系统 | |
| CN113162950A (zh) | 一种基于i国网的移动应用二次权限认证与管理系统 | |
| RU2434283C1 (ru) | Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну | |
| KR102338998B1 (ko) | 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법 | |
| WO2016122684A1 (en) | Data sandboxing for multiple user data storage and separation | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| Younis et al. | A novel evaluation criteria to cloud based access control models | |
| US20230169156A1 (en) | Learning cognitive access control service | |
| US11418393B1 (en) | Remediation of detected configuration violations | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
| CN114239034A (zh) | 一种保护敏感资源的日志记录系统及事故取证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |