CN117371987A

CN117371987A - 一种运维审计的管理方法及电子设备

Info

Publication number: CN117371987A
Application number: CN202311404029.1A
Authority: CN
Inventors: 陈国强; 于洪达
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2023-10-26
Filing date: 2023-10-26
Publication date: 2024-01-09

Abstract

本申请提供了一种运维审计的管理方法及电子设备，管理方法应用于移动设备，包括：在移动设备连接资产的情况下，确定连接的资产是否为目标资产；若是，在目标资产上初始化运维审计系统；对运维人员进行权限认证；若运维人员通过认证，基于运维人员执行的运维操作对目标资产进行运维管理。本申请无需针对目标资产进行运维环境的搭建，直接利用移动设备对目标资产进行运维审计的管理即可，大大提高了运维审计效率，无需运维人员进行繁琐的部署操作，省时省力，并且，适用于不同场景下的不同资产，大大提高了使用范围。

Description

一种运维审计的管理方法及电子设备

技术领域

本申请涉及运维审计技术领域，特别涉及一种运维审计的管理方法及电子设备。

背景技术

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与运维人员不可控的行为给信息系统安全带来较大风险，为满足目前行业内的运维安全需求，运维审计系统被广泛的使用。

目前行业内的运维审计管理系统的管理模式，均需要将管理的资产在运维审计系统中进行注册托管，当不在运维审计系统中进行资产添加的时候，运维人员无法进行相关资产的运维。并且，即使在运维审计系统中对资产完成注册托管之后，还需要被托管资产与运维审计系统处于同一局域网中，因此，针对不同资产均需要搭建运维环境，部署较为繁琐，导致运维审计的效率较低，耗时耗力。

发明内容

有鉴于此，本申请实施例的目的在于提供一种运维审计的管理方法及电子设备，能够基于移动设备对不同的资产进行运维审计的管理，大大提高运维审计效率，省时省力。

第一方面，本申请实施例提供了一种运维审计的管理方法，应用于移动设备，管理方法包括：

在移动设备连接资产的情况下，确定连接的资产是否为目标资产；

若是，在所述目标资产上初始化运维审计系统；

对运维人员进行权限认证；

若所述运维人员通过认证，基于所述运维人员执行的运维操作对所述目标资产进行运维管理。

在一种可能的实施方式中，所述的管理方法还包括：

获取所述目标资产的配置信息以及目标身份信息，所述目标身份信息为具备运维权限的运维人员的身份信息；

基于所述配置信息和所述目标身份信息，创建所述目标资产对应的运维任务；

将所述运维任务以及所述运维审计系统的组件，传输至所述移动设备。

在一种可能的实施方式中，所述确定连接的资产是否为目标资产，包括：

提取连接的资产的标识信息，所述标识信息包括互联网协议地址、物理地址以及标识符中的一个或多个；

对比所述标识信息中的任一标识与所述移动设备中运维任务包括的目标标识；

若所述标识信息中存在与所述目标标识一致的标识，确定连接的资产为所述目标资产。

在一种可能的实施方式中，所述对运维人员进行权限认证，包括：

通过所述运维审计系统，获取所述运维人员的登录信息；

利用所述移动设备中运维任务包括的目标身份信息，确定所述登录信息中的身份信息是否具备运维权限。

在一种可能的实施方式中，在对所述目标资产进行运维管理时，还包括：

利用所述目标资产的采集装置获取所述运维人员的生物信息，所述生物信息包括所述运维人员的面部特征和指纹特征；

对比所述生物信息中的任一生物特征与所述运维任务包括的目标生物特征，所述目标生物特征为具备运维权限的运维人员的生物特征；

若所述生物信息中存在与所述目标生物特征一致的生物特征，确定所述运维人员具备运维权限；

若所述生物信息中未存在与所述目标生物特征一致的生物特征，生成报警信号或停止运行所述运维审计系统。

获取所述运维人员执行的运维操作；

确定所述运维操作是否符合所述运维任务包括的运维规则；

若不符合，生成报警信号或停止运行所述运维审计系统。

在一种可能的实施方式中，所述的管理方法还包括：

记录所述移动设备对应的运维信息，以使审计人员对所述运维信息进行审计。

第二方面，本申请实施例还提供了一种电子设备，包括：

确定模块，其配置为在移动设备连接资产的情况下，确定连接的资产是否为目标资产；

初始化模块，其配置为若是，在所述目标资产上初始化运维审计系统；

认证模块，其配置为对运维人员进行权限认证；

运维模块，其配置为若所述运维人员通过认证，基于所述运维人员执行的运维操作对所述目标资产进行运维管理。

在一种可能的实施方式中，电子设备还包括创建模块，其配置为：

在一种可能的实施方式中，所述确定模块具体配置为：

本申请实施例通过携带有运维任务以及运维审计系统的组件的移动设备，在目标资产上初始化运维审计系统，并在运维人员通过认证的情况下，基于运维人员执行的运维操作对目标资产进行运维管理，无需针对目标资产进行运维环境的搭建，直接利用移动设备对目标资产进行运维审计的管理即可，大大提高了运维审计效率，无需运维人员进行繁琐的部署操作，省时省力，并且，适用于不同场景下的不同资产，大大提高了使用范围。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请所提供的一种运维审计的管理方法的流程图；

图2示出了本申请所提供的一种运维审计的管理方法中确定连接的资产是否为目标资产的流程图；

图3示出了本申请所提供的一种运维审计的管理方法中确定连接的资产是否为目标资产的流程图；

图4示出了本申请所提供的一种运维审计的管理方法中对运维人员进行权限认证的流程图；

图5示出了本申请所提供的另一种运维审计的管理方法的流程图；

图6示出了本申请所提供的另一种运维审计的管理方法的流程图；

图7示出了本申请所提供的一种电子设备的结构示意图；

图8示出了本申请所提供的另一种电子设备的结构示意图。

具体实施方式

此处参考附图描述本申请的各种方案以及特征。

应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例，并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本申请的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本申请的具体实施例；然而，应当理解，所申请的实施例仅仅是本申请的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本申请的相同或不同实施例中的一个或多个。

第一方面，为便于对本申请进行理解，首先对本申请所提供的一种运维审计的管理方法进行详细介绍。

如图1所示，为本申请实施例提供的运维审计的管理方法的流程图，该管理方法应用于移动设备，其中，该移动设备内置单片机或智能卡芯片，可以存储用户的密钥或数字证书等认证信息，以利用移动设备内置的密码算法实现对用户身份的认证，移动设备可以为具备USB接口的硬件设备，如USB Key，当然，还可以是其他接口或其他认证方式的移动设备，本申请实施例对不做具体限定。基于此，按照图1示出的方法步骤能够对不同的资产进行运维审计的管理，大大提高运维审计效率，省时省力。其中，具体步骤包括S101-S104。

S101，在移动设备连接资产的情况下，确定连接的资产是否为目标资产。

在具体实施中，用户可以将移动设备与不同的资产进行连接，如电脑、机房设备等。移动设备可以通过实时采集接口处的信号情况，以确定自身是否连接有资产，例如，在检测到某个数据线电平拉高并持续了一定的时长，此时，便确定移动设备连接有一资产。

在确定自身连接有一资产的情况下，基于移动设备的通信协议与资产进行握手，以使得移动设备与该资产连接，进而实现移动设备与该资产之间进行数据传输等通信。

移动设备与资产完成连接之后，确定连接的资产是否为目标资产。作为其中一个示例地，图2示出了一种确定连接的资产是否为目标资产的方法流程图，其中，具体步骤包括S201-S203。

S201，提取连接的资产的标识信息，标识信息包括互联网协议地址、物理地址以及标识符中的一个或多个。

S202，对比标识信息中的任一标识与移动设备中运维任务包括的目标标识。

S203，若标识信息中存在与目标标识一致的标识，确定连接的资产为目标资产。

在移动设备与资产完成连接的情况下，移动设备与资产进行通信，也即移动设备能够获取资产的属性信息，属性信息包括资产的型号、出厂商、所处的网络信息以及标识信息等。之后，提取该资产的标识信息，其中，标识信息包括互联网协议地址、物理地址以及标识符中的一个或多个。值得说明的是，每个资产的标识信息均具备唯一性。

之后，对比标识信息中的任一标识与移动设备中运维任务包括的目标标识，若标识信息中存在与目标标识一致的标识，确定连接的资产为目标资产；若标识信息中未存在与目标标识一致的标识，确定连接的资产为非目标资产。

可选地，预先在移动设备中存储运维任务，其中，图3示出了一种在移动设备中存储运维任务的方法流程图，具体步骤包括S301-S303。

S301，获取目标资产的配置信息以及目标身份信息，目标身份信息为具备运维权限的运维人员的身份信息。

S302，基于配置信息和目标身份信息，创建目标资产对应的运维任务。

S303，将运维任务以及运维审计系统的组件，传输至移动设备。

在创建运维任务时，针对目标资产所处环境的运维场景进行授权、规则策略、协议配置、运维管理和审计设置的相关配置项的创建。其中，对运维场景进行授权包括针对目标资产的配置信息以及运维人员的身份信息进行授权与限制；规则策略包括限制运维人员在运维过程中执行的指令，例如设定指令“rm”为高危指令；协议配置包括设定运维人员需要通过SSH协议访问22端口；运维管理和审计设置的相关配置项包括将运维人员对目标资产进行运维管理的过程中进行的所有操作进行视频的记录与回放等。

可选地，在管理系统中添加目标资产的配置信息以及目标身份信息，目标身份信息为具备运维权限的运维人员的身份信息，以基于配置信息和目标身份信息，创建目标资产对应的运维任务，其中，目标资产也即待运维的资产，目标资产的配置信息包括目标资产的目标标识等，目标身份信息包括运维人员的账号和密码等。

在对目标资产的运维任务完成创建之后，将运维任务以及运维审计系统的组件，传输至移动设备，以使得该移动设备具备对目标资产进行运维管理的权限。

S102，若是，在目标资产上初始化运维审计系统。

在确定连接的资产为目标资产的情况下，在目标资产上初始化维审计系统的组件。具体为，打开移动设备中的代理组件，以初始化维审计系统的组件，进而将目标资产的配置信息如相关授权等配置均进行部署，便于后续对该目标资产进行运维管理。

S103，对运维人员进行权限认证。

在完成运维审计系统的初始化之后，对运维人员进行权限认证，也即对当前操作运维管理的人员进行权限认证，避免移动设备丢失被恶意使用的情况，在一定程度上确保了目标资产的安全性。

作为其中一个示例地，图4示出了对运维人员进行权限认证的方法流程图，其中，具体步骤包括S401和S402。

S401，通过运维审计系统，获取运维人员的登录信息。

S402，利用移动设备中运维任务包括的目标身份信息，确定登录信息中的身份信息是否具备运维权限。

在运行运维审计系统之后，也即开启对目标资产的运维管理。可选地，运维人员通过输入设备如鼠标、键盘等，触发运维审计系统并生成登录请求，该登录请求中包括登录账号和登录密码。

移动设备通过运维审计系统，获取运维人员的登录信息，并利用移动设备中运维任务包括的目标身份信息，确定登录信息中的身份信息是否具备运维权限，也即，确定登录信息中的身份信息与目标身份信息是否一致，若一致，则表征登录信息中的身份信息具备运维权限，若不一致，则表征登录信息中的身份信息不具备运维权限。

在登录信息中的身份信息具备运维权限的情况下，运行运维审计系统，以对目标资产进行运维管理。

S104，若运维人员通过认证，基于运维人员执行的运维操作对目标资产进行运维管理。

在运维人员通过认证也即运维人员具备运维权限的情况下，基于运维人员执行的运维操作对目标资产进行运维管理。例如，对目标资产的系统进行升级，在目标资产上安装目标应用程序等。

进一步地，在对目标资产进行运维管理的过程中，还可以通过图5示出的方法流程图来进一步提高目标资产的安全性，其中，具体步骤包括S501-S504。

S501，利用目标资产的采集装置获取运维人员的生物信息，生物信息包括运维人员的面部特征和指纹特征。

S502，对比生物信息中的任一生物特征与运维任务包括的目标生物特征，目标生物特征为具备运维权限的运维人员的生物特征。

S503，若生物信息中存在与目标生物特征一致的生物特征，确定运维人员具备运维权限。

S504，若生物信息中未存在与目标生物特征一致的生物特征，生成报警信号或停止运行运维审计系统。

在对目标资产进行运维管理时，利用目标资产的采集装置获取运维人员的生物信息，生物信息包括运维人员的面部特征和指纹特征，其中，可以设置实时获取运维人员的生物信息，还可以设置按照预设时间间隔获取运维人员的生物信息等，本申请实施例对此不作具体限定。例如，通过目标资产的摄像设备采集运维人员的面部特征，通过目标资产的鼠标或键盘上的指纹采集器采集运维人员的指纹特征等。

之后，对比生物信息中的任一生物特征与运维任务包括的目标特征，目标特征包括具备运维管理权限的运维人员的面部特征以及指纹特征等。若生物信息中存在与目标特征一致的特征，确定运维人员通过认证；若生物信息中未存在与目标特征一致的特征，生成报警信号或停止运行运维审计系统。由此，能够防止在对目标资产进行运维管理的过程中，不具备运维权限的人员对目标资产执行恶意操作，在一定程度上提高了目标资产的安全性。

在又一示例中，在对目标资产进行运维管理时，还可以通过图6示出的方法流程图来提高目标资产的安全性，其中，具体步骤包括S601-S603。

S601，获取运维人员执行的运维操作。

S602，确定运维操作是否符合运维任务包括的运维规则。

S603，若不符合，生成报警信号或停止运行运维审计系统。

在具体实施中，针对不同的目标资产和/或运维人员设置有对应的阻断指令，以防止目标资产的数据被篡改或被恶意删除等。可选地，通过运维审计系统实时获取运维人员执行的运维操作，并确定运维操作是否符合运维任务包括的运维规则，若不符合，生成报警信号或停止运行运维审计系统。

值得说明的是，在通过移动设备对目标资产进行运维管理的过程中，移动设备会记录对应的运维信息，也即将运维管理过程中的操作记录以文本和视频的方式进行记录，待运维人员对目标资产完成运维管理之后，以使审计人员对运维信息进行审计。可选地，将移动设备与目标资产断开连接，然后将移动设备接入到管理系统中，以通过管理系统对移动设备中记录的运维操作进行解析，审计人员根据运维操进行审计信息上报。

本申请实施例中，在对目标资产进行运维管理的过程中，管理系统与目标资产没有任何物理网络连接，分管在不同的两地，通过运维人员将预先存储运维任务和运维审计系统的组件的移动设备接入到被管理的目标资产中，即可实现对目标资产的运维管理，不仅提高了运维审计效率，提高了使用范围，还能够对运维管理进行监控，有效地提高目标资产的安全性。

基于同一发明构思，本申请的第二方面还提供了一种运维审计的管理方法对应的电子设备，由于本申请中的电子设备解决问题的原理与本申请上述管理方法相似，因此电子设备的实施可以参见方法的实施，重复之处不再赘述。

图7示出了本申请实施例提供的电子设备的示意图，具体包括：

确定模块701，其配置为在移动设备连接资产的情况下，确定连接的资产是否为目标资产；

初始化模块702，其配置为若是，在所述目标资产上初始化运维审计系统；

认证模块703，其配置为对运维人员进行权限认证；

运维模块704，其配置为若所述运维人员通过认证，基于所述运维人员执行的运维操作对所述目标资产进行运维管理。

在又一实施例中，电子设备还包括创建模块705，其配置为：

在又一实施例中，所述确定模块701具体配置为：

在又一实施例中，认证模块703具体配置为：

通过所述运维审计系统，获取所述运维人员的登录信息；

利用所述移动设备中运维任务包括的目标身份信息，确定所述登录信息中的身份信息是否具备运维权限；

若具备，则确定所述运维人员通过认证。

在又一实施例中，电子设备还包括第一检测模块706，其配置为：

在又一实施例中，电子设备还包括第二检测模块707，其配置为：

获取所述运维人员执行的运维操作；

基于所述运维任务包括的任务，确定所述运维操作是否符合运维规则；

若不符合，生成报警信号或停止运行所述运维审计系统。

在又一实施例中，电子设备还包括记录模块708，其配置为：

本申请实施例提供了一种存储介质，该存储介质为计算机可读介质，存储有计算机程序，该计算机程序被处理器执行时实现本申请任意实施例提供的方法，包括如下步骤S11至S14：

S11，在移动设备连接资产的情况下，确定连接的资产是否为目标资产；

S12，若是，在所述目标资产上初始化运维审计系统；

S13，对运维人员进行权限认证；

S14，若所述运维人员通过认证，基于所述运维人员执行的运维操作对所述目标资产进行运维管理。

本申请实施例还提供了一种电子设备，该电子设备的结构示意图可以如图8所示，至少包括存储器801和处理器802，存储器801上存储有计算机程序，处理器802在执行存储器801上的计算机程序时实现本申请任意实施例提供的方法。示例性的，电子设备计算机程序步骤如下S21至S24：

S21，在移动设备连接资产的情况下，确定连接的资产是否为目标资产；

S22，若是，在所述目标资产上初始化运维审计系统；

S23，对运维人员进行权限认证；

S24，若所述运维人员通过认证，基于所述运维人员执行的运维操作对所述目标资产进行运维管理。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。显然，本领域的技术人员应该明白，上述的本申请的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

此外，尽管已经在本文中描述了示例性实施例，其范围包括任何和所有基于本申请的具有等同元件、修改、省略、组合(例如，各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释，并不限于在本说明书中或本申请的实施期间所描述的示例，其示例将被解释为非排他性的。因此，本说明书和示例旨在仅被认为是示例，真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。

以上描述旨在是说明性的而不是限制性的。例如，上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外，在上述具体实施方式中，各种特征可以被分组在一起以简单化本申请。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反，本申请的主题可以少于特定的公开的实施例的全部特征。从而，以下权利要求书作为示例或实施例在此并入具体实施方式中，其中每个权利要求独立地作为单独的实施例，并且考虑这些实施例可以以各种组合或排列彼此组合。本申请的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。

以上对本申请多个实施例进行了详细说明，但本申请不限于这些具体的实施例，本领域技术人员在本申请构思的基础上，能够做出多种变型和修改实施例，这些变型和修改都应落入本申请所要求保护的范围之内。

Claims

1.一种运维审计的管理方法，其特征在于，应用于移动设备，所述管理方法包括：

若是，在所述目标资产上初始化运维审计系统；

对运维人员进行权限认证；

2.根据权利要求1所述的管理方法，其特征在于，还包括：

3.根据权利要求1或2所述的管理方法，其特征在于，所述确定连接的资产是否为目标资产，包括：

4.根据权利要求1或2所述的管理方法，其特征在于，所述对运维人员进行权限认证，包括：

通过所述运维审计系统，获取所述运维人员的登录信息；

5.根据权利要求1所述的管理方法，其特征在于，在对所述目标资产进行运维管理时，还包括：

6.根据权利要求4所述的管理方法，其特征在于，在对所述目标资产进行运维管理时，还包括：

获取所述运维人员执行的运维操作；

确定所述运维操作是否符合所述运维任务包括的运维规则；

若不符合，生成报警信号或停止运行所述运维审计系统。

7.根据权利要求1所述的管理方法，其特征在于，还包括：

8.一种电子设备，其特征在于，包括：

认证模块，其配置为对运维人员进行权限认证；

9.根据权利要求8所述的电子设备，其特征在于，还包括创建模块，其配置为：

10.根据权利要求8或9所述的电子设备，其特征在于，所述确定模块具体配置为：