專利名稱:一種基于虛擬桌面的運維管理方法
技術領域:
本發(fā)明涉及一種運維管理方法,尤其是一種基于虛擬桌面的運維管理方法�����。
背景技術:
現(xiàn)有的運維管理方法只是加強了運維人員的管理���、運維操作的審計�����,運維模式?jīng)]有變化���,運維人員的操作更加復雜。如運維人員使用ssh方式進行運維時�,先用運維人員帳號、密碼登錄運維管理系統(tǒng)����,再使用SSh登錄到被維護的主機上,過程如圖1所示?,F(xiàn)有的運維管理方法運維人員和服務器之間直接連接��,容易造成運維時誤操作產(chǎn)生的危害���,操作復雜。
發(fā)明內容
本發(fā)明提供了一種降低運維時誤操作產(chǎn)生的危害��、對運維人員進行集中管理的基于虛擬桌面的運維管理方法�。實現(xiàn)本發(fā)明目的的基于虛擬桌面的運維管理方法,包括如下步驟:(I)運維人員在運維終端使用B/S模式登錄運維管理系統(tǒng)�����,進入堡壘主機提供的虛擬桌面�����;(2)在虛擬桌面上查看所維護的設備和工具�;(3)選擇運行相應的運維工具后,運維工具會根據(jù)系統(tǒng)管理員配置�����,自動與被維護服務器建立相應鏈接�;(4)運維人員在虛擬桌面上連接服務器進行維護操作�����。所述的基于虛擬桌面的運維管理方法,通過以下方法對運維人員進行統(tǒng)一管理:采用權限分離原則�����,對登錄用戶進行鑒別�,分角色予以不同操作對象,實現(xiàn)對被保護主機的維護過程可控制���、可審計的目標����;對于系統(tǒng)管理員���,能夠對運維資源���、運維用戶、運維工具進行管理�����,能夠設定運維訪問控制策略,單點登錄策略管理����;對于審計管理員,能夠對審計狀態(tài)��、審計用戶�、審計日志進行查看與管理;對于運維人員���,能夠查看自己可維護的所有設備����,并選擇已授權運維工具對該設備進行維護��。所述的基于虛擬桌面的運維管理方法��,采用白名單模式對運維人員進行訪問控制�����,即只有白名單允許的運維操作可以被執(zhí)行���,其他運維操作都被禁止����。所述的基于虛擬桌面的運維管理方法���,采用黑名單模式對運維人員進行訪問控制��,即運維人員無法執(zhí)行在黑名單中的運維操作���,只能使用其他不在黑名單中的運維操作。本發(fā)明的一種基于虛擬桌面的運維管理方法的有益效果如下:本發(fā)明的基于虛擬桌面的運維管理方法�����,利用虛擬桌面技術建立唯一的安全通道�����,實現(xiàn)運維人員和服務器之間的物理隔離����,使得運維人員所在終端不能直接連接到服務器,只能通過登錄堡壘主機的虛擬桌面來連接服務器����,降低運維時誤操作產(chǎn)生的危害。同時對運維人員進行集中管理,通過虛擬桌面���、單點登錄等技術保證運維人員操作簡單����,并且通過對運維操作的訪問控制���、審計等技術����,保證服務器的維護過程可控制�����、可審計��。
圖1為現(xiàn)有的運維管理方法的示意圖���。圖2為本發(fā)明的基于虛擬桌面的運維管理方法的示意圖���。
具體實施例方式如圖2所示,本發(fā)明的基于虛擬桌面的運維管理方法�����,包括如下步驟:(I)運維人員在運維終端使用B/S模式登錄運維管理系統(tǒng),進入堡壘主機提供的虛擬桌面�����;(2)在虛擬桌面上查看所維護的設備和工具����;(3)選擇運行相應的運維工具后���,運維工具會根據(jù)系統(tǒng)管理員配置��,自動與被維護服務器建立相應鏈接�;(4)運維人員在虛擬桌面上連接服務器進行維護操作��。所述的基于虛擬桌面的運維管理方法��,通過以下方法對運維人員進行統(tǒng)一管理:采用權限分離原則�����,對登錄用戶進行鑒別��,分角色予以不同操作對象,實現(xiàn)對被保護主機的維護過程可控制����、可審計的目標;對于系統(tǒng)管理員����,能夠對運維資源、運維用戶���、運維工具進行管理���,能夠設定運維訪問控制策略,單點登錄策略管理�����;對于審計管理員�,能夠對審計狀態(tài)、審計用戶��、審計日志進行查看與管理��;對于運維人員�,能夠查看自己可維護的所有設備�����,并選擇已授權運維工具對該設備進行維護����。所述的基于虛擬桌面的運維管理方法��,采用白名單模式對運維人員進行訪問控制����,即只有白名單允許的運維操作可以被執(zhí)行�����,其他運維操作都被禁止�����。所述的基于虛擬桌面的運維管理方法���,采用黑名單模式對運維人員進行訪問控制��,即運維人員無法執(zhí)行在黑名單中的運維操作����,只能使用其他不在黑名單中的運維操作。本發(fā)明的基于虛擬桌面的運維管理方法的優(yōu)點如下:1�����、使用運維管理系統(tǒng)對運維人員進行統(tǒng)一管理�。本發(fā)明中,采用權限分離原則�,對登錄用戶進行鑒別,分角色予以不同操作對象�����,實現(xiàn)對被保護主機的維護過程可控制���、可審計的目標��。對于系統(tǒng)管理員��,能夠對運維資源(被維護服務器的地址�����、系統(tǒng)維護帳戶等)��、運維用戶���、運維工具(ssh���、telnet、rdp等運維工具)等進行管理,能夠設定運維訪問控制策略�����,單點登錄策略等綜合管理���;對于審計管理員��,能夠對審計狀態(tài)、審計用戶�、審計日志進行查看與管理;對于運維人員���,能夠查看自己可維護的所有設備��,并選擇已授權運維工具對該設備進行維護���。維護過程嚴格按照運維訪問控制策略進行�,并記錄詳細日志�,以供審計管理員對其操作進行查看及回放。2��、使用虛擬桌面技術建立運維安全通道�����,簡化運維過程�。
本發(fā)明中,運維人員終端不能直接連接到服務器�,也無需知道服務器系統(tǒng)用戶名和口令。運維人員只能通過登錄運維管理系統(tǒng)�,使用堡壘主機為運維人員提供的虛擬桌面連接到服務器。運維人員在運維終端使用B/S模式登錄運維管理系統(tǒng)�����,進入堡壘主機提供的虛擬桌面�,查看自己所維護的設備和工具。選擇運行相應的運維工具后��,運維工具會根據(jù)系統(tǒng)管理員配置��,自動與被維護服務器建立相應鏈接。這樣���,運維人員就可以在虛擬桌面上連接服務器進行維護操作�,如同在運維終端桌面連接服務器進行運維操作一樣�����。3���、使用黑�����、白名單對運維操作進行訪問控制�����。運維人員進行運維操作時��,必須嚴格按照系統(tǒng)管理員配置的運維訪問控制策略進行。運維訪問控制策略分兩種:一種是白名單模式�,只有白名單允許的運維操作可以被執(zhí)行,其他運維操作都被禁止�;一種是黑名單模式,運維人員無法執(zhí)行在黑名單中的運維操作,只能使用其他不在黑名單中的運維操作���。這樣對運維人員的操作進行嚴格的訪問控制���,減少運維時的誤操作和惡意人員破壞帶來的損失。4�、支持屏幕錄像、文字錄像等審計方式�。審計方式分兩種:屏幕錄像審計和文字審計。運維人員登錄堡壘主機虛擬桌面����,選擇運維工具連接服務器后,所有的運維操作都會記錄下來�����,以供事后審計�。5、運維工具的單點登錄運維人員選擇某種運維工具對某臺服務器進行維護時�����,運維工具將根據(jù)系統(tǒng)管理員配置的運維資源進行單點登錄��,運維人員不需要知道服務器的登錄方式,也不會修改服務器配置�����,泄漏服務器信息�。本發(fā)明的基于虛擬桌面的運維管理方法采用B/S模式對運維人員進行統(tǒng)一管理,改變運維人員直接登錄被運維主機的模式�����,將被運維主機保護在運維人員視野之外��。當運維人員試圖訪問被運維主機時����,需要先登錄運維管理系統(tǒng),經(jīng)過運維管理系統(tǒng)身份鑒別訪問授權運維主機����,并記錄詳細操作日志,確?��!霸L問前需驗證�����,訪問時受限制�����,訪問后可審計”��,保障被運維主機安全�����。上面所述的實施例僅僅是對本發(fā)明的優(yōu)選實施方式進行描述�,并非對本發(fā)明的范圍進行限定����,在不脫離本發(fā)明設計精神前提下,本領域普通工程技術人員對本發(fā)明技術方案做出的各種變形和改進�,均應落入本發(fā)明的權利要求書確定的保護范圍內。
權利要求
1.一種基于虛擬桌面的運維管理方法�,包括如下步驟: (1)運維人員在運維終端使用B/S模式登錄運維管理系統(tǒng),進入堡壘主機提供的虛擬桌面�����; (2)在虛擬桌面上查看所維護的設備和工具�����; (3)選擇運行相應的運維工具后,運維工具會根據(jù)系統(tǒng)管理員配置�����,自動與被維護服務器建立相應鏈接�; (4)運維人員在虛擬桌面上連接服務器進行維護操作。
2.根據(jù)權利要求1所述的基于虛擬桌面的運維管理方法�,其特征在于:通過以下方法對運維人員進行統(tǒng)一管理: 采用權限分離原則,對登錄用戶進行鑒別�,分角色予以不同操作對象,實現(xiàn)對被保護主機的維護過程可控制���、可審計的目標����; 對于系統(tǒng)管理員���,能夠對運維資源�、運維用戶�、運維工具進行管理,能夠設定運維訪問控制策略�����,單點登錄策略管理�; 對于審計管理員,能夠對審計狀態(tài)�、審計用戶、審計日志進行查看與管理�����; 對于運維人員�,能夠查看自己可維護的所有設備,并選擇已授權運維工具對該設備進行維護��。
3.根據(jù)權利要求1或2所述的基于虛擬桌面的運維管理方法���,其特征在于:采用白名單模式對運維人員進行訪問控制�,即只有白名單允許的運維操作可以被執(zhí)行�,其他運維操作都被禁止。
4.根據(jù)權利要求1或2所述的基于虛擬桌面的運維管理方法�����,其特征在于:采用黑名單模式對運維人員進行訪問控制�����,即運維人員無法執(zhí)行在黑名單中的運維操作,只能使用其他不在黑名單中的運維操作����。
全文摘要
本發(fā)明提供了一種降低運維時誤操作產(chǎn)生的危害、對運維人員進行集中管理的基于虛擬桌面的運維管理方法�,包括如下步驟(1)運維人員在運維終端使用B/S模式登錄運維管理系統(tǒng),進入堡壘主機提供的虛擬桌面����;(2)在虛擬桌面上查看所維護的設備和工具;(3)選擇運行相應的運維工具后�����,運維工具會根據(jù)系統(tǒng)管理員配置����,自動與被維護服務器建立相應鏈接;(4)運維人員在虛擬桌面上連接服務器進行維護操作��。本發(fā)明的基于虛擬桌面的運維管理方法���,降低運維時誤操作產(chǎn)生的危害���;同時對運維人員進行集中管理�����,通過虛擬桌面��、單點登錄等技術保證運維人員操作簡單,并且通過對運維操作的訪問控制�、審計等技術,保證服務器的維護過程可控制��、可審計��。
文檔編號H04L29/06GK103188336SQ20111046159
公開日2013年7月3日 申請日期2011年12月31日 優(yōu)先權日2011年12月31日
發(fā)明者孫紹鋼 申請人:北京市國路安信息技術有限公司