述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成��,所述的程序可以存儲于一計算機可讀取存儲介質中����,該程序在執(zhí)行時���,包括如下步驟:(方法的步驟)����,所述的存儲介質�,如:R0M/RAM�����、磁碟、光盤坐寸ο
[0150]以上所述僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護范圍����。凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換��、改進等���,均包含在本發(fā)明的保護范圍內�。
【主權項】
1.一種網絡安全生產設備的運維操作方法���,其特征在于����,所述方法包括: 當接收到對網絡安全生產設備的運維操作申請后����,判斷是否為高風險操作; 若為高風險操作,則觸發(fā)合法性許可服務�,所述合法性許可服務將所述運維操作申請發(fā)送至自動審批系統(tǒng),驗證所述運維操作的關鍵信息是否與系統(tǒng)預留工單信息相匹配���;若匹配則允許對網絡安全生產設備的運維操作���,否則拒絕對網絡安全生產設備的運維操作。
2.根據權利要求1所述的方法�����,其特征在于��,所述運維操作的關鍵信息包括運維操作的操作內容和/或操作對象��;所述系統(tǒng)預留工單信息具體為系統(tǒng)預留待處理的網絡安全生產設備的維護���、變更和/或上線的工單信息�����; 所述驗證所述運維操作的關鍵信息是否與系統(tǒng)預留工單信息相匹配具體包括: 在系統(tǒng)預留工單信息中匹配是否有與所述運維操作的關鍵信息一致的工單����; 若未匹配到,則拒絕對網絡安全生產設備的運維操作����; 若匹配得到至少一條工單���,則允許對網絡安全生產設備的運維操作�����。
3.根據權利要求2所述的方法�,其特征在于����,當匹配得到至少一條工單之后還包括: 在所述匹配得到的至少一條工單中,核對是否在所述工單的操作有效期內����;所述工單的操作有效期為允許所述工單被執(zhí)行的合法有效時間; 若是則允許對網絡安全生產設備的運維操作�����,否則拒絕對網絡安全生產設備的運維操作��。
4.根據權利要求2所述的方法,其特征在于���,當匹配得到至少一條工單之后還包括: 在所述匹配得到的至少一條工單中��,核對本次運維操作的申請方是否具備該工單全部操作內容的操作權限���; 若是則允許對網絡安全生產設備的運維操作,否則拒絕對網絡安全生產設備的運維操作�; 當匹配得到至少一條工單之后還包括: 在所述匹配得到的至少一條工單中,核對該工單允許的操作人員列表中是否包含本次運維操作的申請方��; 若是則允許對網絡安全生產設備的運維操作����,否則拒絕對網絡安全生產設備的運維操作。
5.根據權利要求1-4任一項所述的方法���,其特征在于��,所述方法還包括: 當所述自動審批系統(tǒng)的驗證結果為匹配�,則所述合法性許可服務緩存所述運維操作標識信息����,并為所述運維操作設定有效期�; 當再次觸發(fā)合法性許可服務時���,所述合法性許可服務判斷當前接收到的運維操作申請是否與緩存中的運維操作標識信息相匹配��; 若不匹配����,則將所述當前接收到的運維操作申請發(fā)送至自動審批系統(tǒng)����; 若匹配���,則驗證是否在匹配到的運維操作所設定的有效期內��,是則允許對網絡安全生產設備的運維操作��,否則拒絕對網絡安全生產設備的運維操作����。
6.根據權利要求1-4所述的任一項所述的方法�����,其特征在于,所述判斷是否為高風險操作具體為: 判斷所述對網絡安全生產設備的運維操作是否為配置變更���、重要功能停止���、重要功能啟動、設備重啟和/或IP地址修改����; 若是則確認為高風險操作,否則確認為非高風險操作���。
7.—種網絡安全生產設備的運維操作系統(tǒng)����,其特征在于����,所述系統(tǒng)包括安全生產控制系統(tǒng)、網絡安全生產設備及自動審批系統(tǒng): 所述安全生產控制系統(tǒng)包括: 高風險操作判斷模塊��,用于當接收到對網絡安全生產設備的運維操作申請后���,判斷是否為高風險操作����; 驗證模塊,用于若所述高風險操作判斷模塊的判斷結果為高風險操作�����,則觸發(fā)合法性許可服務�����,所述合法性許可服務將所述運維操作申請發(fā)送至自動審批系統(tǒng)�����;和 運維操作控制模塊��,用于當所述自動審批系統(tǒng)的驗證結果為匹配時�,允許對所述網絡安全生產設備的運維操作��,當所述自動審批系統(tǒng)的驗證結果為不匹配時����,拒絕對所述網絡安全生產設備的運維操作; 所述自動審批系統(tǒng)����,用于驗證所述運維操作的關鍵信息是否與系統(tǒng)預留工單信息相匹配��。
8.根據權利要求7所述的系統(tǒng)���,其特征在于,所述運維操作的關鍵信息包括運維操作的操作內容和/或操作對象�����;所述系統(tǒng)預留工單信息具體為系統(tǒng)預留待處理的網絡安全生產設備的維護�、變更和/或上線的工單信息; 所述自動申批系統(tǒng)包括: 信息匹配單元��,用于在系統(tǒng)預留工單信息中匹配是否有與所述運維操作的關鍵信息一致的工單����; 操作控制單元,用于若所述信息匹配單元的匹配結果為未匹配到�,則拒絕對所述網絡安全生產設備的運維操作;以及�����,若所述信息匹配單元的匹配結果為匹配到�����,則允許對所述網絡安全生產設備的運維操作。
9.根據權利要求8所述的系統(tǒng)�,其特征在于,所述操作控制單元還包括: 操作有效期驗證子單元����,用于當所述信息匹配單元的匹配結果為匹配到,在所述匹配得到的至少一條工單中���,核對是否在所述工單的操作有效期內���;所述工單的操作有效期為允許所述工單被執(zhí)行的合法有效時間; 所述操作控制單元�,還用于若所述操作有效期驗證子單元的核對結果為是�����,則允許對所述網絡安全生產設備的運維操作�,否則拒絕對所述網絡安全生產設備的運維操作; 所述操作控制單元還包括: 權限驗證子單元���,用于當所述信息匹配單元的匹配結果為匹配到�����,在所述匹配得到的至少一條工單中�,核對本次運維操作的申請方是否具備該工單全部操作內容的操作權限;所述操作控制單元�,還用于若所述權限驗證單元的核對結果為是,則允許對所述網絡安全生產設備的運維操作�����,否則拒絕對所述網絡安全生產設備的運維操作���; 所述操作控制單元還包括: 身份驗證子單元���,用于當所述信息匹配單元的匹配結果為匹配到,在所述匹配得到的至少一條工單中����,核對該工單允許的操作人員列表中是否包含本次運維操作的申請方;所述操作控制單元�����,還用于若所述身份驗證單元的核對結果為是,則允許對所述網絡安全生產設備的運維操作�,否則拒絕對所述網絡安全生產設備的運維操作。
10.根據權利要求7-9任一項所述的系統(tǒng)��,其特征在于���,所述安全生產控制系統(tǒng)還包括緩存模塊����,用于當所述自動審批系統(tǒng)的驗證結果為匹配���,則所述合法性許可服務緩存所述運維操作標識信息���,并為所述運維操作設定有效期; 所述驗證模塊還包括: 緩存匹配單元����,用于當再次觸發(fā)合法性許可服務時,所述合法性許可服務判斷當前接收到的運維操作申請是否與所述緩存模塊中緩存的運維操作標識信息相匹配���,若不匹配,則將所述當前接收到的運維操作申請發(fā)送至自動審批系統(tǒng)����; 有效期驗證單元���,用于若所述緩存匹配單元的匹配結果為匹配,則驗證是否在匹配到的運維操作所設定的有效期內��; 所述運維操作控制模塊�����,還用于當所述有效期驗證單元的驗證結果為是���,則允許對所述網絡安全生產設備的運維操作�;所述有效期驗證單元的驗證結果為否�,則拒絕對所述網絡安全生產設備的運維操作。
【專利摘要】本發(fā)明公開了一種網絡安全生產設備的運維操作方法��,涉及計算機網絡信息安全技術領域�����。當操作為高風險操作時�����,觸發(fā)合法性許可服務,合法性許可服務將所述運維操作申請發(fā)送至自動審批系統(tǒng)��,驗證所述運維操作的關鍵信息是否與系統(tǒng)預留工單信息相匹配�;若匹配則允許對網絡安全生產設備的運維操作,否則拒絕對網絡安全生產設備的運維操作�。可以在保障重要業(yè)務系統(tǒng)安全性的情況下規(guī)范操作人員的操作行為���,通過一種自動化審批系統(tǒng)對高權限敏感信息與預留信息匹配驗證方式來獲取操作許可權����,既起到了對高風險操作的監(jiān)督和控制��,也降低了人為操作風險與信息安全風險�,減少了人力浪費,提高工作了效率��。
【IPC分類】H04L29-06, H04L12-24, G06Q10-06
【公開號】CN104601353
【申請?zhí)枴緾N201310530698
【發(fā)明人】王秀娟, 梁凱
【申請人】北京神州泰岳軟件股份有限公司
【公開日】2015年5月6日
【申請日】2013年10月31日