本發(fā)明涉及信息安全與運(yùn)維管理，尤其涉及一種基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法及系統(tǒng)。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展，企業(yè)信息化程度日益加深，運(yùn)維活動(dòng)作為保障系統(tǒng)穩(wěn)定運(yùn)行與高效維護(hù)的關(guān)鍵環(huán)節(jié)，其安全性與合規(guī)性成為企業(yè)關(guān)注的焦點(diǎn)。傳統(tǒng)安全運(yùn)維審計(jì)系統(tǒng)作為保障運(yùn)維安全的重要手段，通過集中賬號(hào)管理、集中認(rèn)證管理、集中授權(quán)管理及集中操作審計(jì)等核心功能，有效提升了運(yùn)維操作的可控性、可追溯性與合規(guī)性。該系統(tǒng)通過全局唯一身份標(biāo)識(shí)實(shí)現(xiàn)了單點(diǎn)登錄，確保運(yùn)維活動(dòng)無法繞過審計(jì)系統(tǒng)；同時(shí)，多種認(rèn)證方式的引入進(jìn)一步增強(qiáng)了系統(tǒng)的安全性，有效抵御了非法用戶的入侵。此外，細(xì)粒度的授權(quán)策略與全程操作審計(jì)機(jī)制，使得運(yùn)維人員的權(quán)限得到了精細(xì)化管理，并為事后審計(jì)與責(zé)任追究提供了有力依據(jù)。

2、然而，盡管傳統(tǒng)安全運(yùn)維審計(jì)系統(tǒng)在提升運(yùn)維安全性方面取得了顯著成效，但仍存在一定局限性。具體而言，該系統(tǒng)主要聚焦于已存在、已登錄、已授權(quán)的運(yùn)維用戶的安全使用，而對(duì)于運(yùn)維用戶身份的合法性驗(yàn)證及運(yùn)維終端與外部網(wǎng)絡(luò)的隔離防護(hù)則顯得力不從心。在運(yùn)維用戶被劫持或vpn信息泄露時(shí)，攻擊者可能利用運(yùn)維鏈接通道上傳非法攻擊腳本至運(yùn)維終端設(shè)備，進(jìn)而實(shí)現(xiàn)設(shè)備提權(quán)與網(wǎng)絡(luò)可達(dá)，對(duì)運(yùn)維系統(tǒng)乃至整個(gè)網(wǎng)絡(luò)環(huán)境構(gòu)成嚴(yán)重威脅。

3、這一安全隱患的根源在于，傳統(tǒng)系統(tǒng)未能采取權(quán)限最小化策略，一旦用戶通過授權(quán)驗(yàn)證，即獲得了對(duì)運(yùn)維終端及其可達(dá)網(wǎng)絡(luò)的無限制訪問權(quán)，從而在運(yùn)維終端以外的可達(dá)網(wǎng)絡(luò)和終端目標(biāo)上留下了防護(hù)空白。

4、鑒于此，亟需一種更為先進(jìn)、全面的安全運(yùn)維審計(jì)方法及系統(tǒng)，以彌補(bǔ)傳統(tǒng)系統(tǒng)的不足。

技術(shù)實(shí)現(xiàn)思路

1、為此，本發(fā)明實(shí)施例提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法及系統(tǒng)，用于解決現(xiàn)有技術(shù)中安全運(yùn)維審計(jì)系統(tǒng)難以驗(yàn)證運(yùn)維用戶身份真實(shí)性及未實(shí)現(xiàn)運(yùn)維終端與其他網(wǎng)絡(luò)目標(biāo)有效隔離的問題，從而防止運(yùn)維用戶身份被劫持或訪問管理系統(tǒng)繞過導(dǎo)致的安全風(fēng)險(xiǎn)。

2、為了解決上述問題，本發(fā)明實(shí)施例提供一種基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法，該方法包括：

3、運(yùn)維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進(jìn)行登錄，身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗(yàn)運(yùn)維用戶信息后，展示授權(quán)訪問的運(yùn)維終端資源給運(yùn)維用戶；

4、對(duì)運(yùn)維用戶發(fā)起的遠(yuǎn)程桌面運(yùn)維請(qǐng)求鏈接進(jìn)行權(quán)限復(fù)核，并記錄運(yùn)維行為和運(yùn)維目標(biāo)；

5、運(yùn)維請(qǐng)求鏈接進(jìn)入網(wǎng)元管理模塊，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運(yùn)維用戶創(chuàng)建相互隔離的資源使用環(huán)境；

6、網(wǎng)元管理模塊動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)資源，并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略，根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)，對(duì)運(yùn)維用戶的網(wǎng)絡(luò)訪問行為進(jìn)行網(wǎng)絡(luò)微隔離；

7、運(yùn)維用戶利用主機(jī)應(yīng)用程序，對(duì)運(yùn)維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請(qǐng)求，該請(qǐng)求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請(qǐng)求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，則訪問未響應(yīng)，完成網(wǎng)絡(luò)微隔離；

8、運(yùn)維終端上部署的業(yè)務(wù)微隔離代理程序，根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略，對(duì)運(yùn)維用戶的應(yīng)用訪問行為進(jìn)行業(yè)務(wù)微隔離；

9、運(yùn)維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機(jī)應(yīng)用程序，向運(yùn)維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請(qǐng)求，該請(qǐng)求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請(qǐng)求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，或執(zhí)行的單機(jī)業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán)，則請(qǐng)求將被拒絕，訪問未響應(yīng)，完成業(yè)務(wù)微隔離。

10、優(yōu)選地，所述運(yùn)維用戶信息包括用戶名、密碼、來源地址、來源設(shè)備、用戶指紋、登陸時(shí)間段、是否可用以及客戶端證書。

11、優(yōu)選地，所述網(wǎng)元管理模塊為獨(dú)立分組設(shè)備，包括具備網(wǎng)絡(luò)邊界計(jì)算能力的交換機(jī)或防火墻。

12、優(yōu)選地，所述網(wǎng)元的具體形態(tài)包括運(yùn)維終端、終端單機(jī)業(yè)務(wù)、終端瀏覽器業(yè)務(wù)，以及由多個(gè)獨(dú)立的終端單機(jī)業(yè)務(wù)組合而成的綜合單元。

13、優(yōu)選地，所有業(yè)務(wù)在所述網(wǎng)元內(nèi)通信或者自執(zhí)行。

14、優(yōu)選地，所述預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略包括：運(yùn)維終端被移出網(wǎng)元的操作將結(jié)束本次運(yùn)維會(huì)話，打斷正在進(jìn)行的終端運(yùn)維行為。

15、優(yōu)選地，所述預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略包括：運(yùn)維終端的任何操作都將經(jīng)過業(yè)務(wù)微隔離代理程序?qū)徍恕?/p>

16、本發(fā)明實(shí)施例還提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)系統(tǒng)，該系統(tǒng)用于實(shí)現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法，具體包括：

17、運(yùn)維用戶登錄與認(rèn)證單元，用于運(yùn)維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進(jìn)行登錄，身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗(yàn)運(yùn)維用戶信息后，展示授權(quán)訪問的運(yùn)維終端資源給運(yùn)維用戶；

18、遠(yuǎn)程桌面運(yùn)維請(qǐng)求與權(quán)限復(fù)核單元，用于對(duì)運(yùn)維用戶發(fā)起的遠(yuǎn)程桌面運(yùn)維請(qǐng)求鏈接進(jìn)行權(quán)限復(fù)核，并記錄運(yùn)維行為和運(yùn)維目標(biāo)；

19、網(wǎng)元管理模塊介入與網(wǎng)元分組單元，用于運(yùn)維請(qǐng)求鏈接進(jìn)入網(wǎng)元管理模塊，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運(yùn)維用戶創(chuàng)建相互隔離的資源使用環(huán)境；

20、動(dòng)態(tài)資源調(diào)整與網(wǎng)絡(luò)微隔離單元，用于網(wǎng)元管理模塊動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)資源，并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略，根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)，對(duì)運(yùn)維用戶的網(wǎng)絡(luò)訪問行為進(jìn)行網(wǎng)絡(luò)微隔離；

21、業(yè)務(wù)微隔離與訪問控制單元，用于運(yùn)維用戶利用主機(jī)應(yīng)用程序，對(duì)運(yùn)維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請(qǐng)求，該請(qǐng)求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請(qǐng)求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，則訪問未響應(yīng)，完成網(wǎng)絡(luò)微隔離；運(yùn)維終端上部署的業(yè)務(wù)微隔離代理程序，根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略，對(duì)運(yùn)維用戶的應(yīng)用訪問行為進(jìn)行業(yè)務(wù)微隔離；運(yùn)維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機(jī)應(yīng)用程序，向運(yùn)維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請(qǐng)求，該請(qǐng)求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請(qǐng)求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，或執(zhí)行的單機(jī)業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán)，則請(qǐng)求將被拒絕，訪問未響應(yīng)，完成業(yè)務(wù)微隔離。

22、本發(fā)明實(shí)施例還提供了一種電子設(shè)備，所述電子設(shè)備包括處理器、存儲(chǔ)器和總線系統(tǒng)，所述處理器和存儲(chǔ)器通過該總線系統(tǒng)相連，所述存儲(chǔ)器用于存儲(chǔ)指令，所述處理器用于執(zhí)行存儲(chǔ)器存儲(chǔ)的指令，以實(shí)現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法。

23、本發(fā)明實(shí)施例還提供了一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)軟件產(chǎn)品，所述計(jì)算機(jī)軟件產(chǎn)品包括的若干指令，用以使得一臺(tái)計(jì)算機(jī)設(shè)備執(zhí)行上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運(yùn)維審計(jì)方法。

24、從以上技術(shù)方案可以看出，本發(fā)明申請(qǐng)具有以下有益效果：

25、(1)增強(qiáng)的身份認(rèn)證與資源隔離：通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)實(shí)現(xiàn)嚴(yán)格的用戶身份校驗(yàn)，確保運(yùn)維用戶身份的真實(shí)性。同時(shí)，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運(yùn)維用戶創(chuàng)建相互隔離的資源使用環(huán)境，有效防止身份認(rèn)證特權(quán)訪問管理系統(tǒng)繞過風(fēng)險(xiǎn)，增強(qiáng)了系統(tǒng)的安全性。

26、(2)精細(xì)化的網(wǎng)絡(luò)微隔離與業(yè)務(wù)微隔離：網(wǎng)元管理模塊根據(jù)預(yù)設(shè)的網(wǎng)絡(luò)群組控制策略執(zhí)行網(wǎng)絡(luò)微隔離，限制運(yùn)維用戶的網(wǎng)絡(luò)訪問范圍，確保只有授權(quán)請(qǐng)求能夠訪問目標(biāo)網(wǎng)元。此外，業(yè)務(wù)微隔離代理程序進(jìn)一步對(duì)應(yīng)用訪問行為進(jìn)行業(yè)務(wù)微隔離，確保只有經(jīng)過授權(quán)的應(yīng)用程序能夠執(zhí)行，大大降低了安全風(fēng)險(xiǎn)。這種雙重隔離機(jī)制提供了更為精細(xì)和全面的安全防護(hù)。

27、(3)擴(kuò)大的運(yùn)維安全治理范圍與增強(qiáng)的防護(hù)能力：本發(fā)明通過網(wǎng)元管理與微隔離技術(shù)的結(jié)合，不僅將安全治理范圍從傳統(tǒng)的運(yùn)維終端擴(kuò)大到端口應(yīng)用或終端應(yīng)用級(jí)別，還通過屏蔽運(yùn)維終端的網(wǎng)絡(luò)可達(dá)范圍來減少潛在的攻擊面。這種技術(shù)創(chuàng)新填補(bǔ)了運(yùn)維終端安全防護(hù)的空白，顯著提升了運(yùn)維環(huán)境的安全性和防護(hù)能力。