全生產(chǎn)設(shè)備的運維操作�����,否則拒絕對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作���。
[0105]參見圖3��,在實際操作中�����,判斷為高風(fēng)險操作后的處理流程的一種優(yōu)選實現(xiàn)方式����,可以具體包括如下步驟:
[0106]步驟S301:系統(tǒng)運維指令order確認(rèn)屬于高風(fēng)險操作自動觸發(fā)合法性許可服務(wù)申請流程��。
[0107]步驟S302:合法性許可服務(wù)彈出申請頁面,操作人員輸入申請信息���,包括唯一標(biāo)識該高風(fēng)險操作的預(yù)留信息����,如預(yù)留操作碼code���。
[0108]步驟S303:合法性許可服務(wù)轉(zhuǎn)發(fā)申請信息至自動審批系統(tǒng)。
[0109]步驟S304:自動審批系統(tǒng)接收到合法性許可服務(wù)發(fā)送來的申請��。
[0110]步驟S305:自動審批系統(tǒng)從合法性許可服務(wù)申請中獲取操作人員輸入的預(yù)留操作碼code���。
[0111]步驟S306:自動審批系統(tǒng)遍歷自身系統(tǒng)中所有預(yù)留操作碼列表��,并與獲取的code進行比對���,如果查找到該預(yù)留碼code,判斷code的有效期���。
[0112]步驟S307:如果預(yù)留操作碼code已過期���,則轉(zhuǎn)到S308步驟�����,如果沒有過期�����,則轉(zhuǎn)到S309步驟����。
[0113]步驟S308:自動審批系統(tǒng)發(fā)送審批不通過消息至合法性許可服務(wù)�����,并轉(zhuǎn)到步驟
5310�。
[0114]步驟S309:自動審批系統(tǒng)發(fā)送審批通過消息至合法性許可服務(wù),并轉(zhuǎn)到步驟
5311�。
[0115]步驟S310:合法性服務(wù)阻斷用戶繼續(xù)操作,結(jié)束�。
[0116]步驟S311:合法性服務(wù)自動放行,用戶繼續(xù)操作��。
[0117]在本發(fā)明的一個實施例中��,業(yè)務(wù)系統(tǒng)的操作人員在維護資源設(shè)備過程中輸入的命令涉及到敏感操作(如配置變更��、重要功能停止或啟動、設(shè)備重啟���、IP地址修改等)時將觸發(fā)合法性許可服務(wù)����,合法性許可服務(wù)將操作人員的申請轉(zhuǎn)發(fā)至一種自動化審批系統(tǒng)����,該系統(tǒng)負(fù)責(zé)判斷操作是否具備合法性依據(jù)(如存在預(yù)留的相關(guān)設(shè)備維護/變更/上線的工單),如果查找到預(yù)留信息�,則允許操作人繼續(xù)操作��,否則拒絕操作�。
[0118]可見,本發(fā)明實施例提供一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作方法�,可以在保障重要業(yè)務(wù)系統(tǒng)安全性的情況下規(guī)范操作人員的操作行為,通過一種自動化審批系統(tǒng)對高權(quán)限敏感信息與預(yù)留信息匹配驗證方式來獲取操作許可權(quán)�����,既起到了對高風(fēng)險操作的監(jiān)督和控制����,也降低了人為操作風(fēng)險與信息安全風(fēng)險�����,減少了人力浪費�����,提高工作了效率��。
[0119]參加圖4����,為本發(fā)明實施例提供的一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作系統(tǒng)��,所述系統(tǒng)包括安全生產(chǎn)控制系統(tǒng)400�、網(wǎng)絡(luò)安全生產(chǎn)設(shè)備500及自動審批系統(tǒng)600:
[0120]所述安全生產(chǎn)控制系統(tǒng)400包括:
[0121]高風(fēng)險操作判斷模塊401,用于當(dāng)接收到對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作申請后���,判斷是否為高風(fēng)險操作���。
[0122]驗證模塊402,用于若所述高風(fēng)險操作判斷模塊的判斷結(jié)果為高風(fēng)險操作���,則觸發(fā)合法性許可服務(wù)���,所述合法性許可服務(wù)將所述運維操作申請發(fā)送至自動審批系統(tǒng)����。
[0123]和���,運維操作控制模塊403��,用于當(dāng)所述自動審批系統(tǒng)的驗證結(jié)果為匹配時���,允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備500的運維操作,當(dāng)所述自動審批系統(tǒng)的驗證結(jié)果為不匹配時�����,拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備500的運維操作�。
[0124]所述自動審批系統(tǒng)600���,用于驗證所述運維操作的關(guān)鍵信息是否與系統(tǒng)預(yù)留工單信息相匹配��。
[0125]優(yōu)選的�����,所述運維操作的關(guān)鍵信息包括運維操作的操作內(nèi)容和/或操作對象���;所述系統(tǒng)預(yù)留工單信息具體為系統(tǒng)預(yù)留待處理的網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的維護�����、變更和/或上線的工單信息���。
[0126]相應(yīng)的,所述自動審批系統(tǒng)600包括:
[0127]信息匹配單元,用于在系統(tǒng)預(yù)留工單信息中匹配是否有與所述運維操作的關(guān)鍵信息一致的工單����。
[0128]和,操作控制單元��,用于若所述信息匹配單元的匹配結(jié)果為未匹配到���,則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����;以及����,若所述信息匹配單元的匹配結(jié)果為匹配到�,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作���。
[0129]優(yōu)選的���,本發(fā)明的一個實施例中,所述操作控制單元還包括:
[0130]操作有效期驗證子單元����,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到,在所述匹配得到的至少一條工單中�,核對是否在所述工單的操作有效期內(nèi);所述工單的操作有效期為允許所述工單被執(zhí)行的合法有效時間��;
[0131]相應(yīng)的����,所述操作控制單元,還用于若所述操作有效期驗證子單元的核對結(jié)果為是�����,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作。
[0132]優(yōu)選的��,本發(fā)明的一個實施例中���,所述操作控制單元還包括:
[0133]權(quán)限驗證子單元���,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到,在所述匹配得到的至少一條工單中��,核對本次運維操作的申請方是否具備該工單全部操作內(nèi)容的操作權(quán)限�����;
[0134]相應(yīng)的����,所述操作控制單元,還用于若所述權(quán)限驗證單元的核對結(jié)果為是���,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作�����,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����。
[0135]優(yōu)選的,本發(fā)明的一個實施例中����,所述操作控制單元還包括:
[0136]身份驗證子單元,用于當(dāng)所述信息匹配單元的匹配結(jié)果為匹配到�����,在所述匹配得到的至少一條工單中�����,核對該工單允許的操作人員列表中是否包含本次運維操作的申請方�;
[0137]相應(yīng)的,所述操作控制單元�����,還用于若所述身份驗證單元的核對結(jié)果為是�,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作,否則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����。
[0138]優(yōu)選的,本發(fā)明的一個實施例中�����,所述安全生產(chǎn)控制系統(tǒng)還包括緩存模塊����,用于當(dāng)所述自動審批系統(tǒng)的驗證結(jié)果為匹配,則所述合法性許可服務(wù)緩存所述運維操作標(biāo)識信息�����,并為所述運維操作設(shè)定有效期�����。
[0139]相應(yīng)的����,所述驗證模塊還包括:
[0140]緩存匹配單元,用于當(dāng)再次觸發(fā)合法性許可服務(wù)時���,所述合法性許可服務(wù)判斷當(dāng)前接收到的運維操作申請是否與所述緩存模塊中緩存的運維操作標(biāo)識信息相匹配�����,若不匹配�,則將所述當(dāng)前接收到的運維操作申請發(fā)送至自動審批系統(tǒng);
[0141]有效期驗證單元���,用于若所述緩存匹配單元的匹配結(jié)果為匹配�,則驗證是否在匹配到的運維操作所設(shè)定的有效期內(nèi)��;
[0142]則��,所述運維操作控制模塊���,還用于當(dāng)所述有效期驗證單元的驗證結(jié)果為是����,則允許對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����;所述有效期驗證單元的驗證結(jié)果為否,則拒絕對所述網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作����。
[0143]具體的��,所述高風(fēng)險操作判斷模塊包括:
[0144]判斷單元���,用于判斷所述對網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作是否為配置變更����、重要功能停止、重要功能啟動�����、設(shè)備重啟和/或IP地址修改����;
[0145]確認(rèn)單元,用于若所述判斷單元的判斷結(jié)果為是�,則確認(rèn)為高風(fēng)險操作,判斷結(jié)果為否���,則確認(rèn)為非高風(fēng)險操作�����。
[0146]需要說明的是���,本發(fā)明系統(tǒng)實施例中的各個模塊或者單元的工作原理和處理過程可以參見上述圖1-圖3所示方法實施例中的相關(guān)描述���,此處不再贅述。
[0147]可見���,本發(fā)明實施例提供的一種網(wǎng)絡(luò)安全生產(chǎn)設(shè)備的運維操作系統(tǒng)�����,可以在保障重要業(yè)務(wù)系統(tǒng)安全性的情況下規(guī)范操作人員的操作行為�����,通過一種自動化審批系統(tǒng)對高權(quán)限敏感信息與預(yù)留信息匹配驗證方式來獲取操作許可權(quán)��,既起到了對高風(fēng)險操作的監(jiān)督和控制�,也降低了人為操作風(fēng)險與信息安全風(fēng)險�,減少了人力浪費,提高工作了效率���。
[0148]為了便于清楚描述本發(fā)明實施例的技術(shù)方案����,在發(fā)明的實施例中,采用了“第一”�����、“第二”等字樣對功能和作用基本相同的相同項或相似項進行區(qū)分���,本領(lǐng)域技術(shù)人員可以理解“第一”、“第二”等字樣并不對數(shù)量和執(zhí)行次序進行限定�����。
[0149]本領(lǐng)域普通技術(shù)人員可以理解�����,實現(xiàn)上