欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng)與流程

文檔序號:40448092發(fā)布日期:2024-12-24 16:04閱讀:35來源:國知局
基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng)與流程

本發(fā)明涉及信息安全與運維管理,尤其涉及一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng)。


背景技術(shù):

1、隨著信息技術(shù)的飛速發(fā)展,企業(yè)信息化程度日益加深,運維活動作為保障系統(tǒng)穩(wěn)定運行與高效維護的關(guān)鍵環(huán)節(jié),其安全性與合規(guī)性成為企業(yè)關(guān)注的焦點。傳統(tǒng)安全運維審計系統(tǒng)作為保障運維安全的重要手段,通過集中賬號管理、集中認(rèn)證管理、集中授權(quán)管理及集中操作審計等核心功能,有效提升了運維操作的可控性、可追溯性與合規(guī)性。該系統(tǒng)通過全局唯一身份標(biāo)識實現(xiàn)了單點登錄,確保運維活動無法繞過審計系統(tǒng);同時,多種認(rèn)證方式的引入進一步增強了系統(tǒng)的安全性,有效抵御了非法用戶的入侵。此外,細(xì)粒度的授權(quán)策略與全程操作審計機制,使得運維人員的權(quán)限得到了精細(xì)化管理,并為事后審計與責(zé)任追究提供了有力依據(jù)。

2、然而,盡管傳統(tǒng)安全運維審計系統(tǒng)在提升運維安全性方面取得了顯著成效,但仍存在一定局限性。具體而言,該系統(tǒng)主要聚焦于已存在、已登錄、已授權(quán)的運維用戶的安全使用,而對于運維用戶身份的合法性驗證及運維終端與外部網(wǎng)絡(luò)的隔離防護則顯得力不從心。在運維用戶被劫持或vpn信息泄露時,攻擊者可能利用運維鏈接通道上傳非法攻擊腳本至運維終端設(shè)備,進而實現(xiàn)設(shè)備提權(quán)與網(wǎng)絡(luò)可達,對運維系統(tǒng)乃至整個網(wǎng)絡(luò)環(huán)境構(gòu)成嚴(yán)重威脅。

3、這一安全隱患的根源在于,傳統(tǒng)系統(tǒng)未能采取權(quán)限最小化策略,一旦用戶通過授權(quán)驗證,即獲得了對運維終端及其可達網(wǎng)絡(luò)的無限制訪問權(quán),從而在運維終端以外的可達網(wǎng)絡(luò)和終端目標(biāo)上留下了防護空白。

4、鑒于此,亟需一種更為先進、全面的安全運維審計方法及系統(tǒng),以彌補傳統(tǒng)系統(tǒng)的不足。


技術(shù)實現(xiàn)思路

1、為此,本發(fā)明實施例提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng),用于解決現(xiàn)有技術(shù)中安全運維審計系統(tǒng)難以驗證運維用戶身份真實性及未實現(xiàn)運維終端與其他網(wǎng)絡(luò)目標(biāo)有效隔離的問題,從而防止運維用戶身份被劫持或訪問管理系統(tǒng)繞過導(dǎo)致的安全風(fēng)險。

2、為了解決上述問題,本發(fā)明實施例提供一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法,該方法包括:

3、運維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進行登錄,身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗運維用戶信息后,展示授權(quán)訪問的運維終端資源給運維用戶;

4、對運維用戶發(fā)起的遠(yuǎn)程桌面運維請求鏈接進行權(quán)限復(fù)核,并記錄運維行為和運維目標(biāo);

5、運維請求鏈接進入網(wǎng)元管理模塊,網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式,為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境;

6、網(wǎng)元管理模塊動態(tài)調(diào)整網(wǎng)絡(luò)資源,并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略,根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán),對運維用戶的網(wǎng)絡(luò)訪問行為進行網(wǎng)絡(luò)微隔離;

7、運維用戶利用主機應(yīng)用程序,對運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請求,該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā);若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi),則訪問未響應(yīng),完成網(wǎng)絡(luò)微隔離;

8、運維終端上部署的業(yè)務(wù)微隔離代理程序,根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略,對運維用戶的應(yīng)用訪問行為進行業(yè)務(wù)微隔離;

9、運維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機應(yīng)用程序,向運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請求,該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā);若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi),或執(zhí)行的單機業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán),則請求將被拒絕,訪問未響應(yīng),完成業(yè)務(wù)微隔離。

10、優(yōu)選地,所述運維用戶信息包括用戶名、密碼、來源地址、來源設(shè)備、用戶指紋、登陸時間段、是否可用以及客戶端證書。

11、優(yōu)選地,所述網(wǎng)元管理模塊為獨立分組設(shè)備,包括具備網(wǎng)絡(luò)邊界計算能力的交換機或防火墻。

12、優(yōu)選地,所述網(wǎng)元的具體形態(tài)包括運維終端、終端單機業(yè)務(wù)、終端瀏覽器業(yè)務(wù),以及由多個獨立的終端單機業(yè)務(wù)組合而成的綜合單元。

13、優(yōu)選地,所有業(yè)務(wù)在所述網(wǎng)元內(nèi)通信或者自執(zhí)行。

14、優(yōu)選地,所述預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略包括:運維終端被移出網(wǎng)元的操作將結(jié)束本次運維會話,打斷正在進行的終端運維行為。

15、優(yōu)選地,所述預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略包括:運維終端的任何操作都將經(jīng)過業(yè)務(wù)微隔離代理程序?qū)徍恕?/p>

16、本發(fā)明實施例還提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計系統(tǒng),該系統(tǒng)用于實現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法,具體包括:

17、運維用戶登錄與認(rèn)證單元,用于運維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進行登錄,身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗運維用戶信息后,展示授權(quán)訪問的運維終端資源給運維用戶;

18、遠(yuǎn)程桌面運維請求與權(quán)限復(fù)核單元,用于對運維用戶發(fā)起的遠(yuǎn)程桌面運維請求鏈接進行權(quán)限復(fù)核,并記錄運維行為和運維目標(biāo);

19、網(wǎng)元管理模塊介入與網(wǎng)元分組單元,用于運維請求鏈接進入網(wǎng)元管理模塊,網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式,為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境;

20、動態(tài)資源調(diào)整與網(wǎng)絡(luò)微隔離單元,用于網(wǎng)元管理模塊動態(tài)調(diào)整網(wǎng)絡(luò)資源,并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略,根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán),對運維用戶的網(wǎng)絡(luò)訪問行為進行網(wǎng)絡(luò)微隔離;

21、業(yè)務(wù)微隔離與訪問控制單元,用于運維用戶利用主機應(yīng)用程序,對運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請求,該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā);若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi),則訪問未響應(yīng),完成網(wǎng)絡(luò)微隔離;運維終端上部署的業(yè)務(wù)微隔離代理程序,根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略,對運維用戶的應(yīng)用訪問行為進行業(yè)務(wù)微隔離;運維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機應(yīng)用程序,向運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請求,該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā);若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi),或執(zhí)行的單機業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán),則請求將被拒絕,訪問未響應(yīng),完成業(yè)務(wù)微隔離。

22、本發(fā)明實施例還提供了一種電子設(shè)備,所述電子設(shè)備包括處理器、存儲器和總線系統(tǒng),所述處理器和存儲器通過該總線系統(tǒng)相連,所述存儲器用于存儲指令,所述處理器用于執(zhí)行存儲器存儲的指令,以實現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法。

23、本發(fā)明實施例還提供了一種計算機存儲介質(zhì),所述計算機存儲介質(zhì)存儲有計算機軟件產(chǎn)品,所述計算機軟件產(chǎn)品包括的若干指令,用以使得一臺計算機設(shè)備執(zhí)行上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法。

24、從以上技術(shù)方案可以看出,本發(fā)明申請具有以下有益效果:

25、(1)增強的身份認(rèn)證與資源隔離:通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)實現(xiàn)嚴(yán)格的用戶身份校驗,確保運維用戶身份的真實性。同時,網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式,為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境,有效防止身份認(rèn)證特權(quán)訪問管理系統(tǒng)繞過風(fēng)險,增強了系統(tǒng)的安全性。

26、(2)精細(xì)化的網(wǎng)絡(luò)微隔離與業(yè)務(wù)微隔離:網(wǎng)元管理模塊根據(jù)預(yù)設(shè)的網(wǎng)絡(luò)群組控制策略執(zhí)行網(wǎng)絡(luò)微隔離,限制運維用戶的網(wǎng)絡(luò)訪問范圍,確保只有授權(quán)請求能夠訪問目標(biāo)網(wǎng)元。此外,業(yè)務(wù)微隔離代理程序進一步對應(yīng)用訪問行為進行業(yè)務(wù)微隔離,確保只有經(jīng)過授權(quán)的應(yīng)用程序能夠執(zhí)行,大大降低了安全風(fēng)險。這種雙重隔離機制提供了更為精細(xì)和全面的安全防護。

27、(3)擴大的運維安全治理范圍與增強的防護能力:本發(fā)明通過網(wǎng)元管理與微隔離技術(shù)的結(jié)合,不僅將安全治理范圍從傳統(tǒng)的運維終端擴大到端口應(yīng)用或終端應(yīng)用級別,還通過屏蔽運維終端的網(wǎng)絡(luò)可達范圍來減少潛在的攻擊面。這種技術(shù)創(chuàng)新填補了運維終端安全防護的空白,顯著提升了運維環(huán)境的安全性和防護能力。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
柯坪县| 福鼎市| 陕西省| 城步| 海口市| 蓝田县| 马边| 通江县| 千阳县| 民勤县| 清涧县| 阳原县| 永济市| 出国| 曲沃县| 浦江县| 安平县| 肇庆市| 法库县| 陇南市| 同心县| 南宫市| 正蓝旗| 栾川县| 高密市| 原阳县| 巴东县| 古浪县| 嘉鱼县| 城步| 哈尔滨市| 平乡县| 兴宁市| 额济纳旗| 通山县| 德化县| 扬州市| 新泰市| 岫岩| 莒南县| 廉江市|