包括:運(yùn)維客戶端IP、端口、目標(biāo)運(yùn)維設(shè)備IP、會(huì)話緩沖區(qū)大小、工作模式等。通過對(duì)運(yùn)行狀態(tài)的記錄，得到運(yùn)維記錄，可以精確地掌握目標(biāo)運(yùn)維設(shè)備的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)異常，最大限度地提高運(yùn)維審計(jì)系統(tǒng)40的可靠性。運(yùn)維審計(jì)系統(tǒng)40還采用分析運(yùn)維協(xié)議，基于數(shù)據(jù)包的還原以及虛擬化技術(shù)，將運(yùn)維記錄轉(zhuǎn)化為圖形化界面，進(jìn)一步將所有的運(yùn)維操作轉(zhuǎn)化為圖形化界面予以展現(xiàn)，實(shí)現(xiàn)了對(duì)運(yùn)維操作界面的模擬，從而準(zhǔn)確地掌握運(yùn)維人員所有的運(yùn)維操作，達(dá)到對(duì)關(guān)于運(yùn)維行為的操作信息不丟失的目的，便于在運(yùn)維的事后分析階段進(jìn)行取證。
[0048]監(jiān)控運(yùn)維行為，得到監(jiān)控結(jié)果。運(yùn)維行為的監(jiān)控結(jié)果包括對(duì)運(yùn)維行為的操作過程，具體包括管理人員、安全人員、審計(jì)人員對(duì)運(yùn)維行為的操作過程。將運(yùn)維記錄和對(duì)運(yùn)維行為的操作過程記錄在不同類型的日志，比如，記錄在系統(tǒng)日志、系統(tǒng)管理員日志、安全管理員日志、安全審計(jì)員日志和運(yùn)維人員日志等。通過不同類型的日志詳細(xì)記錄運(yùn)維審計(jì)系統(tǒng)40的運(yùn)行過程和各類人員對(duì)對(duì)目標(biāo)運(yùn)維設(shè)備的操作過程。審計(jì)人員可以登錄運(yùn)維審計(jì)系統(tǒng)對(duì)監(jiān)控結(jié)果進(jìn)行審計(jì)，通過系統(tǒng)化或者規(guī)范化的方法，評(píng)價(jià)和監(jiān)控風(fēng)險(xiǎn)管理和治理效果等，得到審計(jì)結(jié)果。然后獲取對(duì)監(jiān)控結(jié)果執(zhí)行審計(jì)處理后得到的審計(jì)結(jié)果。獲取對(duì)監(jiān)控結(jié)果執(zhí)行審計(jì)處理后得到的審計(jì)結(jié)果包括:從不同類型的日志中檢索運(yùn)維記錄和對(duì)運(yùn)維行為的操作過程，得到檢索結(jié)果；對(duì)檢索結(jié)果進(jìn)行查詢，或者歸檔，得到查詢結(jié)果，或者歸檔結(jié)果，從而保證運(yùn)維記錄和關(guān)于運(yùn)維行為的操作信息不丟失。
[0049]在獲取對(duì)監(jiān)控結(jié)果執(zhí)行審計(jì)處理后得到的審計(jì)結(jié)果之后，審計(jì)系統(tǒng)40可以備份不同類型的日志，備份審計(jì)結(jié)果，其中，審計(jì)結(jié)果包括從不同類型的日志中檢索運(yùn)維記錄和對(duì)運(yùn)維行為的操作過程得到的檢索結(jié)果，以及對(duì)檢索結(jié)果的查詢結(jié)果和歸檔結(jié)果。舉例而言，備份已經(jīng)記錄著運(yùn)維記錄和對(duì)運(yùn)維行為的操作過程的系統(tǒng)日志、系統(tǒng)管理員日志、安全管理員日志、安全審計(jì)員日志和運(yùn)維人員日志等，以及對(duì)不同日志的檢索結(jié)果和對(duì)檢索結(jié)果的查詢結(jié)果和歸檔結(jié)果。備份機(jī)制可以為雙機(jī)熱備份模式或者異地互備模式，滿足業(yè)務(wù)的連續(xù)性要求；可以進(jìn)行審計(jì)結(jié)果的數(shù)據(jù)備份轉(zhuǎn)儲(chǔ)，提供手動(dòng)或者自動(dòng)地對(duì)審計(jì)結(jié)果的數(shù)據(jù)進(jìn)行定期備份，滿足審計(jì)結(jié)果的數(shù)據(jù)存儲(chǔ)要求；可以是日志數(shù)據(jù)備份轉(zhuǎn)儲(chǔ)，提供手動(dòng)或者自動(dòng)地對(duì)審計(jì)日志進(jìn)行定期備份，滿足審計(jì)日志的存儲(chǔ)要求；還可以是對(duì)系統(tǒng)的配置數(shù)據(jù)進(jìn)行備份轉(zhuǎn)儲(chǔ)，提供手動(dòng)或者自動(dòng)地對(duì)系統(tǒng)的配置數(shù)據(jù)進(jìn)行定期備份。
[0050]可選地，該用于運(yùn)維審計(jì)的數(shù)據(jù)處理系統(tǒng)的軟件和硬件采用動(dòng)態(tài)按需加載的模塊化設(shè)計(jì)方法，提高了系統(tǒng)的穩(wěn)定性，并且易于后期擴(kuò)展。該系統(tǒng)不但能夠通過瀏覽器和服務(wù)器(Browser/Server，簡(jiǎn)稱為B/S)完成基本的配置要求，還可以與現(xiàn)有運(yùn)維流程管理，或者現(xiàn)有管理平臺(tái)，或者監(jiān)控平臺(tái)實(shí)現(xiàn)整合，實(shí)現(xiàn)更細(xì)粒度的運(yùn)維管理。該系統(tǒng)支持單臂、串接部署模式，不影響業(yè)務(wù)正常運(yùn)行，并且支持基于B/S的系統(tǒng)管理和操作配置，整個(gè)操作配置過程簡(jiǎn)單，可以在短時(shí)間內(nèi)實(shí)現(xiàn)基本功能的配置，從而達(dá)到上線要求。
[0051]該用于運(yùn)維審計(jì)的數(shù)據(jù)處理系統(tǒng)的實(shí)施例通過防火墻10使客戶端501避免直接在交換機(jī)20的作用下登錄到服務(wù)器301，服務(wù)器302和服務(wù)器303。客戶端502也可以直接在交換機(jī)20的作用下登錄到服務(wù)器301，服務(wù)器302和服務(wù)器303。通過交換機(jī)20，交換機(jī)201，交換機(jī)202和交換機(jī)203將運(yùn)維審計(jì)系統(tǒng)40在運(yùn)維過程中的運(yùn)維信息進(jìn)行重新生成，完成運(yùn)維審計(jì)系統(tǒng)40和服務(wù)器301，服務(wù)器302和服務(wù)器303的運(yùn)維信息交換和運(yùn)維信息轉(zhuǎn)發(fā)。運(yùn)維審計(jì)設(shè)備40用于獲取預(yù)設(shè)入口地址，其中，預(yù)設(shè)入口地址為進(jìn)行審計(jì)操作的唯一入口地址；獲取預(yù)設(shè)賬號(hào)；根據(jù)外部輸入賬號(hào)從預(yù)設(shè)入口地址進(jìn)行登陸，其中，外部輸入賬號(hào)在登錄之后根據(jù)所屬運(yùn)維權(quán)限對(duì)應(yīng)不同的運(yùn)維行為；監(jiān)控運(yùn)維行為，得到監(jiān)控結(jié)果；以及對(duì)監(jiān)控結(jié)果進(jìn)行審計(jì)，得到審計(jì)結(jié)果，提高了運(yùn)維管理的安全性和可靠性。
[0052]本發(fā)明實(shí)施例還提供了一種用于運(yùn)維審計(jì)的數(shù)據(jù)處理方法。
[0053]圖3是根據(jù)本發(fā)明實(shí)施例的用于運(yùn)維審計(jì)的數(shù)據(jù)處理方法的流程圖，需要說明的是，該用于運(yùn)維審計(jì)的數(shù)據(jù)處理方法可用于執(zhí)行用于運(yùn)維審計(jì)的數(shù)據(jù)處理系統(tǒng)。如圖3所示，該方法包括以下步驟:
[0054]步驟S302，接收外部輸入賬號(hào)。
[0055]在運(yùn)維過程的事前準(zhǔn)備階段，接收外部收入賬號(hào)。外部輸入賬號(hào)，可選地，為用戶賬號(hào)，用戶登錄運(yùn)維審計(jì)系統(tǒng)是通過用戶賬號(hào)進(jìn)行登錄的，該用戶賬號(hào)是具體用戶在用戶體系中相對(duì)唯一的編碼，代表用戶登錄身份的唯一標(biāo)識(shí)，可以為用戶的身份證號(hào)、用戶工號(hào)、計(jì)算機(jī)網(wǎng)址或者其他與用戶一一對(duì)應(yīng)的賬號(hào)，使用戶在運(yùn)維過程中的操作行為與用戶賬號(hào)綁定起來，進(jìn)而與用戶關(guān)聯(lián)起來。其中，用戶可以為運(yùn)維人員或者審計(jì)人員。接收外部輸入賬號(hào)，也即，接收用戶賬號(hào)。
[0056]步驟S304，獲取預(yù)設(shè)入口地址，其中，預(yù)設(shè)入口地址為運(yùn)維審計(jì)系統(tǒng)進(jìn)行審計(jì)操作的唯一入口地址。
[0057]運(yùn)維審計(jì)系統(tǒng)的IP地址與目標(biāo)運(yùn)維設(shè)備的IP地址可達(dá)。預(yù)設(shè)入口地址為進(jìn)行審計(jì)操作的唯一入口地址，獲取預(yù)設(shè)入口地址，優(yōu)選地，獲取運(yùn)維審計(jì)系統(tǒng)這個(gè)唯一登錄入口的IP地址。
[0058]步驟S306，根據(jù)外部輸入賬號(hào)從預(yù)設(shè)入口地址登錄運(yùn)維審計(jì)系統(tǒng)。
[0059]根據(jù)外部輸入賬號(hào)從預(yù)設(shè)入口地址登錄運(yùn)維審計(jì)系統(tǒng)，也即，根據(jù)用戶賬號(hào)與和運(yùn)維審計(jì)系統(tǒng)的IP地址登錄運(yùn)維審計(jì)系統(tǒng)，從而實(shí)現(xiàn)了對(duì)運(yùn)維登錄入口地址進(jìn)行統(tǒng)一管理、設(shè)置統(tǒng)一安全策略的目的?？蛇x地，運(yùn)維人員只需在登錄時(shí)輸入外部輸入賬號(hào)和與外部輸入賬號(hào)對(duì)應(yīng)的密碼即可登錄運(yùn)維審計(jì)系統(tǒng)，運(yùn)維審計(jì)系統(tǒng)替運(yùn)維人員代填目標(biāo)運(yùn)維設(shè)備的賬號(hào)口令，然后登錄目標(biāo)運(yùn)維設(shè)備進(jìn)行運(yùn)維審計(jì)的操作，從而使用戶在進(jìn)行操作時(shí)不再需要知道目標(biāo)運(yùn)維設(shè)備的賬號(hào)口令?？蛇x地，運(yùn)維人員可以通過許可電子文件向與運(yùn)維審計(jì)系統(tǒng)對(duì)應(yīng)的授權(quán)系統(tǒng)申請(qǐng)運(yùn)維權(quán)限，通過說明運(yùn)維情況，提供運(yùn)維審計(jì)系統(tǒng)的硬件特征碼，申請(qǐng)時(shí)間，然后經(jīng)授權(quán)系統(tǒng)確認(rèn)，向運(yùn)維人員提供許可文件，運(yùn)維人員將許可文件上傳至運(yùn)維審計(jì)系統(tǒng)即可完成權(quán)限申請(qǐng)。在運(yùn)維人員獲得運(yùn)維行為的權(quán)限之后，才能正常登錄目標(biāo)運(yùn)維設(shè)備進(jìn)行操作。
[0060]步驟S308，在登錄運(yùn)維審計(jì)系統(tǒng)之后，確定外部輸入賬號(hào)所屬運(yùn)維權(quán)限對(duì)應(yīng)的運(yùn)維行為。
[0061]在用戶登錄運(yùn)維審計(jì)系統(tǒng)之后，根據(jù)運(yùn)維過程的安全策略和運(yùn)維人員的工作職責(zé)，對(duì)運(yùn)維人員進(jìn)行權(quán)限分配，確定運(yùn)維人員可以訪問哪些目標(biāo)運(yùn)維設(shè)備，對(duì)目標(biāo)運(yùn)維設(shè)備進(jìn)行哪些操作。確定外部輸入賬號(hào)對(duì)應(yīng)的角色，具體而言，可以通過運(yùn)維審計(jì)系統(tǒng)對(duì)用戶進(jìn)行定義，通過口令，或者認(rèn)證碼，或者雙因子認(rèn)證等方式對(duì)用戶進(jìn)行角色認(rèn)證，比如，認(rèn)證用戶的角色為運(yùn)維人員，或者審計(jì)人員，或者管理人員，或者安全人員等，從而根據(jù)不同的角色對(duì)用戶進(jìn)行管理。根據(jù)外部輸入賬號(hào)和外部輸入賬號(hào)對(duì)應(yīng)的角色對(duì)外部輸入賬號(hào)授權(quán)，得到運(yùn)維權(quán)限，使運(yùn)維人員只能進(jìn)行被授權(quán)的運(yùn)維行為。對(duì)于運(yùn)維人員的越權(quán)或者違規(guī)操作，可以發(fā)出警告，以便于安全人員能對(duì)此類操作進(jìn)行分析，進(jìn)一步通過管理人員對(duì)越權(quán)或違規(guī)操作進(jìn)行制止，避免已經(jīng)出現(xiàn)嚴(yán)重后果的情況下才發(fā)現(xiàn)?？蛇x地，根據(jù)運(yùn)維人員賬號(hào)，運(yùn)維人員的角色，運(yùn)維目標(biāo)設(shè)備，運(yùn)維目標(biāo)設(shè)備組，運(yùn)維時(shí)間段等進(jìn)行組合授權(quán)，得到運(yùn)維人員所述運(yùn)維權(quán)限對(duì)應(yīng)的運(yùn)維行為，保證運(yùn)維人員只能操作屬于工作職責(zé)范圍內(nèi)的目標(biāo)運(yùn)維設(shè)備和開展運(yùn)維行為。并且對(duì)運(yùn)維人員的操作進(jìn)行命令級(jí)別的規(guī)范和限制，防止由于誤操作或者惡意操作可能帶來的無法預(yù)料的結(jié)果。對(duì)超級(jí)管理員、系統(tǒng)管理員、安全管理員、安全審計(jì)員也可以進(jìn)一步細(xì)化管理權(quán)限，確保運(yùn)維審計(jì)系統(tǒng)的安全性和可靠性，從而提高了運(yùn)維管理的安全性和可靠性。
[0062]步驟S310，監(jiān)控運(yùn)維行為，得到監(jiān)控結(jié)果。
[0063]在確定外部輸入賬號(hào)所屬運(yùn)維權(quán)限對(duì)應(yīng)的運(yùn)維行為之后，在運(yùn)維過程的事中階段，實(shí)時(shí)監(jiān)測(cè)目標(biāo)運(yùn)維設(shè)備的中央處理器、內(nèi)存緩沖器和網(wǎng)絡(luò)帶寬的承載量，判斷目標(biāo)運(yùn)維設(shè)備的敏感程度。優(yōu)選地，目標(biāo)運(yùn)維設(shè)備具有免檢審計(jì)模式和全檢審計(jì)模式。如果目標(biāo)運(yùn)維設(shè)備的中央處理器、內(nèi)存緩沖器和網(wǎng)絡(luò)帶寬的承載量大，并且判斷出目標(biāo)運(yùn)維設(shè)備的敏感程度低時(shí)，則目標(biāo)運(yùn)維設(shè)備不適合進(jìn)行審計(jì)，切換目標(biāo)運(yùn)維設(shè)備的審計(jì)模式為免檢審計(jì)模式。如果目標(biāo)運(yùn)維設(shè)備的中央處理器、內(nèi)存緩沖器和網(wǎng)絡(luò)帶寬的承載量小，并且判斷出目標(biāo)運(yùn)維設(shè)備的敏感程度高時(shí)，則目標(biāo)運(yùn)維設(shè)備可以進(jìn)行審計(jì)，切換目標(biāo)運(yùn)維設(shè)備的審計(jì)模式為全檢審計(jì)模式，從而通過根據(jù)目標(biāo)運(yùn)維設(shè)備的中央處理器、內(nèi)存緩沖器和網(wǎng)絡(luò)帶寬的承載量以及目標(biāo)運(yùn)維設(shè)備的敏感程度，實(shí)現(xiàn)多級(jí)審計(jì)的智能切換和細(xì)粒度多級(jí)審計(jì)控制，提高了運(yùn)維審計(jì)過程的可靠性。
[0064]在運(yùn)維審計(jì)的事中監(jiān)控過程中，遵循黑名單機(jī)制，可以對(duì)禁止的運(yùn)維命令和運(yùn)維命令集進(jìn)行控制，以及時(shí)控制違規(guī)事件。在對(duì)在線的運(yùn)維會(huì)話進(jìn)行實(shí)時(shí)監(jiān)控的過程中，當(dāng)檢測(cè)出違規(guī)命令時(shí)，立即進(jìn)行報(bào)警，以使管理人員及時(shí)了解到有違規(guī)命令，從而制止違規(guī)運(yùn)維操作，強(qiáng)化了風(fēng)險(xiǎn)控制力度，進(jìn)而消除風(fēng)險(xiǎn)。同時(shí)，在監(jiān)控到危險(xiǎn)的運(yùn)維操作時(shí)立即阻斷運(yùn)維人員的操作，實(shí)現(xiàn)實(shí)時(shí)會(huì)話阻斷，防止不安全事故的發(fā)生。另一方面，記錄運(yùn)維人員在整個(gè)運(yùn)維過程的運(yùn)維操作，對(duì)與運(yùn)維行為有關(guān)的字符進(jìn)行分析，包括對(duì)命令行操作的命令以及回顯信息和非字符型操作時(shí)的信息進(jìn)行分析，比如，分析運(yùn)維人員對(duì)鍵盤或者鼠標(biāo)的敲擊信息，進(jìn)一步對(duì)鍵盤或者鼠標(biāo)的敲擊信息進(jìn)行記錄?？蛇x地，運(yùn)維人員在整個(gè)運(yùn)維過程的運(yùn)維操作記錄在運(yùn)維人員日志中，從而可以準(zhǔn)確掌握運(yùn)維人員的所有運(yùn)維操作，與系統(tǒng)日志獨(dú)立開，防止在做了違規(guī)操作之后對(duì)運(yùn)維操作記錄進(jìn)行篡改，造成無法定位操作的詳細(xì)信息，包括操作人員、操作時(shí)間、操作行為等信息，進(jìn)而無法追查責(zé)任。
[0065]在運(yùn)維審計(jì)的事中監(jiān)控過程中，實(shí)時(shí)監(jiān)測(cè)目標(biāo)運(yùn)維設(shè)備的運(yùn)行狀態(tài)。其中，目標(biāo)運(yùn)維設(shè)備的運(yùn)行狀態(tài)包括運(yùn)維審計(jì)系統(tǒng)和目標(biāo)運(yùn)維設(shè)備之間