CN108366090A - 一种调度数据网远程访问加固及集中监控的*** - Google Patents
一种调度数据网远程访问加固及集中监控的*** Download PDFInfo
- Publication number
- CN108366090A CN108366090A CN201810018850.2A CN201810018850A CN108366090A CN 108366090 A CN108366090 A CN 108366090A CN 201810018850 A CN201810018850 A CN 201810018850A CN 108366090 A CN108366090 A CN 108366090A
- Authority
- CN
- China
- Prior art keywords
- terminal
- module
- audit
- centralized monitoring
- connect
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种调度数据网远程访问加固及集中监控的***,包括运维终端、堡垒机、目标设备及审计员用户终端,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库。本发明依托堡垒主机的理念,在运维终端和目标设备之间搭建一个唯一的入口和统一的交互界面,详细记录用户操作的指令和操作过程,对会话进行审计及集中监控,实现会话数据的记录、转发,回访、监控际审核,规范和控制所有维护人员的行为。
Description
技术领域
本发明涉及通信技术领域,具体为一种调度数据网远程访问加固及集中监控的***。
背景技术
随着电力调度自动化水平不断深入,调度自动化***的运维量持续增加,需内部运维人员及第三方厂商技术人员协同维护各应用***,运维人员潜在违规操作导致的安全问题日益突出,来自企业内的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,而国网公司及省公司的政策也纷纷对运维人员的操作行为的监管与审计提出了明确要求。防火墙、防病毒、入侵检测***等常规的安全产品可以防范来自外部的安全隐患,但对于内部人员的违规操作却无能为力。如何有效地监管第三方厂商及内部运维人员的操作行为,并进行严格的审计是电力调度数据网安全管控面临的一个关键问题。
发明内容
本发明的目的在于提供一种调度数据网远程访问加固及集中监控的***,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种调度数据网远程访问加固及集中监控的***,包括运维终端、堡垒机、目标设备及审计员用户终端,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库,所述管理员交互界面通过策略管理模块与策略配置库连接,所述用户交互界面通过数据处理模块与应用代理模块连接,所述审计员交互界面通过审计模块与审计日志数据库连接,所述策略管理模块通过应用代理模块与审计模块连接。
优选的,所述运维终端包括管理员用户终端及运维用户终端,所述管理员用户终端与管理员交互界面连接,所述运维用户终端与用户交互界面连接。
优选的,所述运维用户终端包括运维人员终端及第三方代维人员终端。
优选的,所述目标设备为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
优选的,所述堡垒机使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
优选的,所述审计模块产生的审计信息包括录像信息和日志信息。
优选的,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息
优选的,所述数据处理模块内设置有共享缓冲区。
与现有技术相比,本发明的有益效果是:本发明依托堡垒主机的理念,在运维终端和目标设备之间搭建一个唯一的入口和统一的交互界面,详细记录用户操作的指令和操作过程,对会话进行审计及集中监控,实现会话数据的记录、转发,回访、监控际审核,规范和控制所有维护人员的行为。
附图说明
图1为一种调度数据网远程访问加固及集中监控的***中堡垒机的工作原理图;
图2为一种调度数据网远程访问加固及集中监控的***的工作流程图。
图中:1-运维终端,11-管理员用户终端,12-运维用户终端,2-堡垒机,21-管理员交互界面,22-策略管理模块,23-策略配置库,24-用户交互界面,25-数据处理模块,26-应用代理模块,27-审计员交互界面,28-审计模块,29-审计日志数据库,3-目标设备,4-审计员用户终端。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1~2,本发明提供一种技术方案:一种调度数据网远程访问加固及集中监控的***,包括运维终端1、堡垒机2、目标设备3及审计员用户终端4,所述运维终端1通过堡垒机2与目标设备3连接,所述堡垒机2还与审计员用户终端4连接;所述堡垒机2包括管理员交互界面21、策略管理模块22、策略配置库23、用户交互界面24、数据处理模块25、应用代理模块26、审计员交互界面27、审计模块28及审计日志数据库29,所述管理员交互界面21通过策略管理模块22与策略配置库23连接,所述用户交互界面24通过数据处理模块25与应用代理模块26连接,所述审计员交互界面27通过审计模块28与审计日志数据库29连接,所述策略管理模块22通过应用代理模块26与审计模块28连接。
作为可选的方案,所述运维终端1包括管理员用户终端11及运维用户终端12,所述管理员用户终端11与管理员交互界面21连接,所述运维用户终端12与用户交互界面24连接。
作为可选的方案,所述运维用户终端12包括运维人员终端及第三方代维人员终端。
作为可选的方案,所述目标设备4为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
作为可选的方案,所述堡垒机2使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
作为可选的方案,所述审计模块28产生的审计信息包括录像信息和日志信息。
作为可选的方案,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息。
作为可选的方案,所述数据处理模块25内设置有共享缓冲区。
本发明的工作原理是:
1)运维人员在操作过程中首先通过运维终端1连接到堡垒机2,然后向堡垒机2提交操作请求;
2)该请求通过堡垒机2的权限检查后,堡垒机2的应用代理模块26将代替用户连接到目标设备3完成该操作,之后目标设备3将操作结果返回给堡垒机2,最后堡垒机2再将操作结果返回给运维操作人员。
设置策略管理模块22,用于完成***配置,对会话进行检测、手工切断、回放等操作;设置应用代理模块26,运维终端1连接协议服务时,应用代理模块26调用连接控制与认证方法验证运维终端1身份;通过身份验证之后,由协议进程发起基于实际目标设备3的会话请求,运维终端1对目标设备3进行操作,与此同时应用代理模块26会对截获的数据包进行记录、分析并转发;设置数据处理模块25,一方面转发数据包,另一方面将数据写入共享缓冲区,以便完整记录运维人员的操作过程,包括执行的有效命令以及相应结果;设置审计模块28,审计模块28实现接收会话数据包并利用审计员用户终端4进行展示,从而实现会话的实时监视功能。
本发明创新地采用堡垒机2技术构建运维安全管控***,切实有效地规范内外部维护人员对目标设备3的维护行为。通过集中管理的模式,借助协议代理、身份授权分离等技术,极大地减少了维护人员违规操作的概率;同时,有效提高服务器等重要信息基础架构的安全级别,辅助对信息安全故障和安全事件的全面记录和事后追溯定位,能够有效帮助企业弥补安全漏洞、完善***安全防护体系,提高信息***运行的安全性和事件的追溯能力。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (8)
1.一种调度数据网远程访问加固及集中监控的***,包括运维终端、堡垒机、目标设备及审计员用户终端,其特征在于,所述运维终端通过堡垒机与目标设备连接,所述堡垒机还与审计员用户终端连接;所述堡垒机包括管理员交互界面、策略管理模块、策略配置库、用户交互界面、数据处理模块、应用代理模块、审计员交互界面、审计模块及审计日志数据库,所述管理员交互界面通过策略管理模块与策略配置库连接,所述用户交互界面通过数据处理模块与应用代理模块连接,所述审计员交互界面通过审计模块与审计日志数据库连接,所述策略管理模块通过应用代理模块与审计模块连接。
2.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述运维终端包括管理员用户终端及运维用户终端,所述管理员用户终端与管理员交互界面连接,所述运维用户终端与用户交互界面连接。
3.根据权利要求2所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述运维用户终端包括运维人员终端及第三方代维人员终端。
4.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述目标设备为Unix服务器、Linux服务器、Windows服务器、数据库、网络设备及安全设备。
5.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述堡垒机使用的运维协议为SSH、FTP、Telnet、SFTP、Http、Https、RDP或X11。
6.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述审计模块产生的审计信息包括录像信息和日志信息。
7.根据权利要求6所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述审计信息为运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长的信息。
8.根据权利要求1所述的一种调度数据网远程访问加固及集中监控的***,其特征在于,所述数据处理模块内设置有共享缓冲区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810018850.2A CN108366090A (zh) | 2018-01-09 | 2018-01-09 | 一种调度数据网远程访问加固及集中监控的*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810018850.2A CN108366090A (zh) | 2018-01-09 | 2018-01-09 | 一种调度数据网远程访问加固及集中监控的*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108366090A true CN108366090A (zh) | 2018-08-03 |
Family
ID=63011145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810018850.2A Pending CN108366090A (zh) | 2018-01-09 | 2018-01-09 | 一种调度数据网远程访问加固及集中监控的*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108366090A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108984379A (zh) * | 2018-07-10 | 2018-12-11 | 湖南人文科技学院 | 一种调度数据网远程访问加固及集中监控的***及方法 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测***及方法 |
| CN109714345A (zh) * | 2018-12-28 | 2019-05-03 | 中电福富信息科技有限公司 | 一种用户无感知的字符堡垒机方法及*** |
| CN111107088A (zh) * | 2019-12-20 | 2020-05-05 | 西安交大捷普网络科技有限公司 | 基于rdp协议的协同运维方法与堡垒机*** |
| CN111125039A (zh) * | 2018-10-30 | 2020-05-08 | 华为技术有限公司 | 一种生成操作日志的方法及装置 |
| CN112348377A (zh) * | 2020-11-12 | 2021-02-09 | 国网江苏省电力有限公司 | 一种调控人机交互云终端 |
| CN112838951A (zh) * | 2020-12-31 | 2021-05-25 | 恒安嘉新(北京)科技股份公司 | 一种终端设备的运维方法、装置、***及存储介质 |
| CN112887287A (zh) * | 2021-01-18 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 堡垒机、运维审计方法、电子装置和存储介质 |
| CN113364758A (zh) * | 2021-06-24 | 2021-09-07 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于堡垒机的网络安全运维管理*** |
| CN113938321A (zh) * | 2021-12-16 | 2022-01-14 | 杭州乒乓智能技术有限公司 | 可扩展的运维管理***、方法、电子设备和可读存储介质 |
| CN113949533A (zh) * | 2021-09-18 | 2022-01-18 | 江苏大唐国际金坛热电有限责任公司 | 一种调度数据网络离线审计平台 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、***、设备及介质 |
| CN115277657A (zh) * | 2022-05-30 | 2022-11-01 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100050249A1 (en) * | 2008-08-20 | 2010-02-25 | Reliant Security | Payment card industry (pci) compliant architecture and associated methodology of managing a service infrastructure |
| CN102215133A (zh) * | 2011-06-21 | 2011-10-12 | 德讯科技股份有限公司 | 基于rdp远程协议跳板机审计数据定位回放***及方法 |
| CN202818335U (zh) * | 2011-12-31 | 2013-03-20 | 北京市国路安信息技术有限公司 | 一种运维管理*** |
| CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
| CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
| CN106330919A (zh) * | 2016-08-26 | 2017-01-11 | 国家电网公司 | 一种运维安全审计方法及*** |
-
2018
- 2018-01-09 CN CN201810018850.2A patent/CN108366090A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100050249A1 (en) * | 2008-08-20 | 2010-02-25 | Reliant Security | Payment card industry (pci) compliant architecture and associated methodology of managing a service infrastructure |
| CN102215133A (zh) * | 2011-06-21 | 2011-10-12 | 德讯科技股份有限公司 | 基于rdp远程协议跳板机审计数据定位回放***及方法 |
| CN202818335U (zh) * | 2011-12-31 | 2013-03-20 | 北京市国路安信息技术有限公司 | 一种运维管理*** |
| CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
| CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
| CN106330919A (zh) * | 2016-08-26 | 2017-01-11 | 国家电网公司 | 一种运维安全审计方法及*** |
Non-Patent Citations (3)
| Title |
|---|
| 宗波: "《浅析堡垒机概念及工作原理》", 《计算机光盘软件与应用》 * |
| 陆茂兰: ""浅谈运维堡垒机***"", 《无线互联科技》 * |
| 陈键锋等: ""浅析运维堡垒机的设计和应用前景"", 《有线电视技术》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108984379A (zh) * | 2018-07-10 | 2018-12-11 | 湖南人文科技学院 | 一种调度数据网远程访问加固及集中监控的***及方法 |
| CN111125039B (zh) * | 2018-10-30 | 2022-06-10 | 华为技术有限公司 | 一种生成操作日志的方法及装置 |
| CN111125039A (zh) * | 2018-10-30 | 2020-05-08 | 华为技术有限公司 | 一种生成操作日志的方法及装置 |
| CN109359098A (zh) * | 2018-10-31 | 2019-02-19 | 云南电网有限责任公司 | 一种调度数据网行为监测***及方法 |
| CN109714345A (zh) * | 2018-12-28 | 2019-05-03 | 中电福富信息科技有限公司 | 一种用户无感知的字符堡垒机方法及*** |
| CN109714345B (zh) * | 2018-12-28 | 2021-05-14 | 中电福富信息科技有限公司 | 一种用户无感知的字符堡垒机方法及*** |
| CN111107088A (zh) * | 2019-12-20 | 2020-05-05 | 西安交大捷普网络科技有限公司 | 基于rdp协议的协同运维方法与堡垒机*** |
| CN111107088B (zh) * | 2019-12-20 | 2023-09-26 | 西安交大捷普网络科技有限公司 | 基于rdp协议的协同运维方法与堡垒机*** |
| CN112348377A (zh) * | 2020-11-12 | 2021-02-09 | 国网江苏省电力有限公司 | 一种调控人机交互云终端 |
| CN112838951A (zh) * | 2020-12-31 | 2021-05-25 | 恒安嘉新(北京)科技股份公司 | 一种终端设备的运维方法、装置、***及存储介质 |
| CN112887287A (zh) * | 2021-01-18 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 堡垒机、运维审计方法、电子装置和存储介质 |
| CN113364758B (zh) * | 2021-06-24 | 2021-12-28 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于堡垒机的网络安全运维管理*** |
| CN113364758A (zh) * | 2021-06-24 | 2021-09-07 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于堡垒机的网络安全运维管理*** |
| CN113949533A (zh) * | 2021-09-18 | 2022-01-18 | 江苏大唐国际金坛热电有限责任公司 | 一种调度数据网络离线审计平台 |
| CN113938321A (zh) * | 2021-12-16 | 2022-01-14 | 杭州乒乓智能技术有限公司 | 可扩展的运维管理***、方法、电子设备和可读存储介质 |
| CN115277657A (zh) * | 2022-05-30 | 2022-11-01 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
| CN115277657B (zh) * | 2022-05-30 | 2023-06-13 | 上海上讯信息技术股份有限公司 | 一种数据库协议运维的方法及设备 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、***、设备及介质 |
| CN115150199B (zh) * | 2022-09-02 | 2023-01-31 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、***、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108366090A (zh) | 一种调度数据网远程访问加固及集中监控的*** | |
| CN108984379A (zh) | 一种调度数据网远程访问加固及集中监控的***及方法 | |
| CN110351257B (zh) | 一种分布式物联网安全接入*** | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及*** | |
| EP3641225B1 (en) | Policy-driven compliance | |
| EP3111433B1 (en) | Wireless sensor network | |
| CN104754582B (zh) | 维护byod安全的客户端及方法 | |
| US20150347751A1 (en) | System and method for monitoring data in a client environment | |
| CN109167822A (zh) | 一种基于区块链的物联网设备控制方法及*** | |
| CN104636678B (zh) | 一种云计算环境下对终端设备进行管控的方法和*** | |
| US20110321120A1 (en) | Method and system for providing masking services | |
| CN103326883A (zh) | 一种统一安全管理与综合审计*** | |
| US11729642B2 (en) | Using orchestrators for false positive detection and root cause analysis | |
| US20120185936A1 (en) | Systems and Methods for Detecting Fraud Associated with Systems Application Processing | |
| CN103685300A (zh) | 一种嵌入式web服务器 | |
| CN104008330A (zh) | 基于文件集中存储及隔离技术的数据防泄漏***及其方法 | |
| CN110334512A (zh) | 基于双体系架构的可信计算平台的静态度量方法和装置 | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| CN105245336B (zh) | 一种文档加密管理*** | |
| CN114422542A (zh) | 一种终端域管*** | |
| US20160381185A1 (en) | System and method for managing virtual environments in an infrastructure | |
| CN111147429B (zh) | 一种项目研发环境部署*** | |
| CN115174563A (zh) | 一种计算机底层远程运维的驱动方法 | |
| CN113765780A (zh) | 一种基于物联网的便携式运维网关 | |
| CN115776517A (zh) | 业务请求处理方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180803 |