一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域�,特別涉及一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作方法和系統(tǒng)。
【背景技術(shù)】
[0002]當(dāng)前眾多網(wǎng)路安全生產(chǎn)域內(nèi)涉及具備特殊信息的網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)��,為保障重要業(yè)務(wù)系統(tǒng)的安全性����,規(guī)范操作人員的操作行為,防止部分操作人員違規(guī)獲取����、篡改相關(guān)信息,避免由于系統(tǒng)高權(quán)限帳號被濫用引起高危操作��,降低人為操作風(fēng)險(xiǎn)與信息安全風(fēng)險(xiǎn)�,技術(shù)上要保證一個(gè)人不可能獨(dú)自完成高敏感操作,以實(shí)現(xiàn)過程中的實(shí)時(shí)控制�。
[0003]現(xiàn)有的多人制衡方案要求在操作人員使用帳號登錄系統(tǒng)或觸發(fā)敏感操作的現(xiàn)場必須要求包含兩人及以上有相應(yīng)權(quán)限的員工共同協(xié)作完成,包含以下幾個(gè)步驟:
[0004]1.操作人員打開高風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)登錄界面或進(jìn)入特殊網(wǎng)絡(luò)設(shè)備維護(hù)界面�;
[0005]2.操作人員輸入登錄帳號或設(shè)備敏感指令字符串;
[0006]3.具備相應(yīng)權(quán)限的協(xié)同操作人員在現(xiàn)場監(jiān)督操作人員的輸入過程��;
[0007]4.操作人員點(diǎn)擊確定登錄或點(diǎn)擊回車鍵��,進(jìn)入業(yè)務(wù)系統(tǒng)或設(shè)備執(zhí)行操作命令�����。
[0008]現(xiàn)有的操作合法性許可方案在技術(shù)控制上幾乎為零��,而且業(yè)務(wù)系統(tǒng)訪問者及網(wǎng)絡(luò)設(shè)備維護(hù)者數(shù)量很多���,采用多人現(xiàn)場監(jiān)督付出的人力成本過大�����,工作效率低����。
【發(fā)明內(nèi)容】
[0009]鑒于上述問題����,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作方法和系統(tǒng),能夠過對自動(dòng)化審批系統(tǒng)中預(yù)留的可匹配字段和操作人申請中包含的高風(fēng)險(xiǎn)信息進(jìn)行比對及驗(yàn)證���,實(shí)現(xiàn)運(yùn)維操作合法性許可的自動(dòng)化審批��,以減少網(wǎng)絡(luò)安全生產(chǎn)設(shè)備運(yùn)維操作中造成的人力浪費(fèi)及效率降低的問題����。
[0010]本發(fā)明實(shí)施例采用了如下技術(shù)方案:
[0011]本發(fā)明一個(gè)實(shí)施例提供了一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作方法����,所述方法包括:
[0012]當(dāng)接收到對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作申請后�,判斷是否為高風(fēng)險(xiǎn)操作�����;
[0013]若為高風(fēng)險(xiǎn)操作��,則觸發(fā)合法性許可服務(wù)�,所述合法性許可服務(wù)將所述運(yùn)維操作申請發(fā)送至自動(dòng)審批系統(tǒng),驗(yàn)證所述運(yùn)維操作的關(guān)鍵信息是否與系統(tǒng)預(yù)留工單信息相匹配�;
[0014]若匹配則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�����。
[0015]所述運(yùn)維操作的關(guān)鍵信息包括運(yùn)維操作的操作內(nèi)容和/或操作對象����;所述系統(tǒng)預(yù)留工單信息具體為系統(tǒng)預(yù)留待處理的網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的維護(hù)、變更和/或上線的工單信息��;
[0016]所述驗(yàn)證所述運(yùn)維操作的關(guān)鍵信息是否與系統(tǒng)預(yù)留工單信息相匹配具體包括:
[0017]在系統(tǒng)預(yù)留工單信息中匹配是否有與所述運(yùn)維操作的關(guān)鍵信息一致的工單���;
[0018]若未匹配到��,則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作���;
[0019]若匹配得到至少一條工單����,則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�����。
[0020]當(dāng)匹配得到至少一條工單之后還包括:
[0021]在所述匹配得到的至少一條工單中��,核對是否在所述工單的操作有效期內(nèi)�;所述工單的操作有效期為允許所述工單被執(zhí)行的合法有效時(shí)間��;
[0022]若是則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作。
[0023]當(dāng)匹配得到至少一條工單之后還包括:
[0024]在所述匹配得到的至少一條工單中����,核對本次運(yùn)維操作的申請方是否具備該工單全部操作內(nèi)容的操作權(quán)限;
[0025]若是則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作����,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作��;
[0026]當(dāng)匹配得到至少一條工單之后還包括:
[0027]在所述匹配得到的至少一條工單中��,核對該工單允許的操作人員列表中是否包含本次運(yùn)維操作的申請方��;
[0028]若是則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作��,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�����。
[0029]所述方法還包括:
[0030]當(dāng)所述自動(dòng)審批系統(tǒng)的驗(yàn)證結(jié)果為匹配�����,則所述合法性許可服務(wù)緩存所述運(yùn)維操作標(biāo)識(shí)信息����,并為所述運(yùn)維操作設(shè)定有效期�����;
[0031]當(dāng)再次觸發(fā)合法性許可服務(wù)時(shí)���,所述合法性許可服務(wù)判斷當(dāng)前接收到的運(yùn)維操作申請是否與緩存中的運(yùn)維操作標(biāo)識(shí)信息相匹配��;
[0032]若不匹配��,則將所述當(dāng)前接收到的運(yùn)維操作申請發(fā)送至自動(dòng)審批系統(tǒng)���;
[0033]若匹配��,則驗(yàn)證是否在匹配到的運(yùn)維操作所設(shè)定的有效期內(nèi)�����,是則允許對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�。
[0034]所述判斷是否為高風(fēng)險(xiǎn)操作具體為:
[0035]判斷所述對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作是否為配置變更、重要功能停止�、重要功能啟動(dòng)、設(shè)備重啟和/或IP地址修改����;
[0036]若是則確認(rèn)為高風(fēng)險(xiǎn)操作,否則確認(rèn)為非高風(fēng)險(xiǎn)操作���。
[0037]另外�,本發(fā)明實(shí)施例還提供了網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作系統(tǒng)�,所述系統(tǒng)包括安全生產(chǎn)控制系統(tǒng)�、網(wǎng)絡(luò)安全生產(chǎn)設(shè)備及自動(dòng)審批系統(tǒng):
[0038]所述安全生產(chǎn)控制系統(tǒng)包括:
[0039]高風(fēng)險(xiǎn)操作判斷模塊���,用于當(dāng)接收到對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作申請后�����,判斷是否為高風(fēng)險(xiǎn)操作���;
[0040]驗(yàn)證模塊,用于若所述高風(fēng)險(xiǎn)操作判斷模塊的判斷結(jié)果為高風(fēng)險(xiǎn)操作��,則觸發(fā)合法性許可服務(wù)�����,所述合法性許可服務(wù)將所述運(yùn)維操作申請發(fā)送至自動(dòng)審批系統(tǒng)����;和
[0041]運(yùn)維操作控制模塊,用于當(dāng)所述自動(dòng)審批系統(tǒng)的驗(yàn)證結(jié)果為匹配時(shí)����,允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作,當(dāng)所述自動(dòng)審批系統(tǒng)的驗(yàn)證結(jié)果為不匹配時(shí),拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作��;
[0042]所述自動(dòng)審批系統(tǒng)����,用于驗(yàn)證所述運(yùn)維操作的關(guān)鍵信息是否與系統(tǒng)預(yù)留工單信息相匹配。
[0043]所述運(yùn)維操作的關(guān)鍵信息包括運(yùn)維操作的操作內(nèi)容和/或操作對象�;所述系統(tǒng)預(yù)留工單信息具體為系統(tǒng)預(yù)留待處理的網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的維護(hù)、變更和/或上線的工單信息�;
[0044]所述自動(dòng)審批系統(tǒng)包括:
[0045]信息匹配單元,用于在系統(tǒng)預(yù)留工單信息中匹配是否有與所述運(yùn)維操作的關(guān)鍵信息一致的工單��;
[0046]操作控制單元�,用于若所述信息匹配單元的匹配結(jié)果為未匹配到,則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作���;以及,若所述信息匹配單元的匹配結(jié)果為匹配到��,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作���。
[0047]所述操作控制單元還包括:
[0048]操作有效期驗(yàn)證子單元����,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到,在所述匹配得到的至少一條工單中��,核對是否在所述工單的操作有效期內(nèi)����;所述工單的操作有效期為允許所述工單被執(zhí)行的合法有效時(shí)間;
[0049]所述操作控制單元����,還用于若所述操作有效期驗(yàn)證子單元的核對結(jié)果為是,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作���,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作����;
[0050]所述操作控制單元還包括:
[0051]權(quán)限驗(yàn)證子單元��,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到��,在所述匹配得到的至少一條工單中�,核對本次運(yùn)維操作的申請方是否具備該工單全部操作內(nèi)容的操作權(quán)限;
[0052]所述操作控制單元��,還用于若所述權(quán)限驗(yàn)證單元的核對結(jié)果為是���,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作;
[0053]所述操作控制單元還包括:
[0054]身份驗(yàn)證子單元�,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到,在所述匹配得到的至少一條工單中��,核對該工單允許的操作人員列表中是否包含本次運(yùn)維操作的申請方����;
[0055]所述操作控制單元,還用于若所述身份驗(yàn)證單元的核對結(jié)果為是�����,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作�,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運(yùn)維操作。