一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法
【專利摘要】本發(fā)明提供一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法。該系統(tǒng)包括:運(yùn)維協(xié)議處理模塊���,接收來(lái)自運(yùn)維客戶端的終端命令信息�,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符����;以及中間處理模塊,接收命令字符�,判斷其對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配,根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志��。運(yùn)維協(xié)議處理模塊接收操作標(biāo)志���,并根據(jù)其執(zhí)行或阻斷命令�。相比于現(xiàn)有技術(shù)�����,本發(fā)明的中間處理模塊判斷命令字符是否與黑名單列表的命令相匹配�,可從根源上管控高危運(yùn)維操作,并且可以實(shí)現(xiàn)集中管控��。并且����,通過(guò)中間處理模塊對(duì)多臺(tái)設(shè)備進(jìn)行黑名單部署,可以實(shí)現(xiàn)遠(yuǎn)程動(dòng)態(tài)管控�����,增強(qiáng)了管控的靈活性�����。
【專利說(shuō)明】一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種運(yùn)維操作控制技術(shù)�,尤其涉及一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)信息技術(shù)的迅速發(fā)展���,各類信息系統(tǒng)層出不窮�����?��?焖俳ㄔO(shè)的IT系統(tǒng)正從以前傳統(tǒng)封閉的業(yè)務(wù)系統(tǒng)向大型關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展���。然而,IT系統(tǒng)的廣泛應(yīng)用卻是一柄雙刃劍����,在帶來(lái)規(guī)范、便捷����、高效的辦公流程和業(yè)務(wù)模式的同時(shí),也引發(fā)了對(duì)IT系統(tǒng)內(nèi)部運(yùn)維的防御難���、控制難等諸多問(wèn)題�����。這些問(wèn)題不尋求解決之道����,會(huì)嚴(yán)重威脅企業(yè)的信息安全。例如�,若不及時(shí)防御和控制運(yùn)維操作行為,內(nèi)部業(yè)務(wù)數(shù)據(jù)可能被篡改��、泄露�����、竊取;在服務(wù)器可訪問(wèn)非法網(wǎng)站�、出現(xiàn)誤操作;或者在關(guān)鍵服務(wù)器上進(jìn)行亂操作等等��。
[0003]為了解決這一問(wèn)題�����,就需要一種切實(shí)可行的方法����,來(lái)限制運(yùn)維人員的操作行為。現(xiàn)有技術(shù)中的一種技術(shù)方案是在于����,對(duì)不同的運(yùn)維人員設(shè)置特定的操作權(quán)限���,在目標(biāo)運(yùn)維機(jī)器上對(duì)該運(yùn)維人員的可操作命令進(jìn)行靜態(tài)設(shè)置,以便屏蔽高危命令����,通過(guò)僅僅開(kāi)放運(yùn)維必須的命令權(quán)限來(lái)達(dá)到限制運(yùn)維人員的目的。雖然上述方法可實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的限制��,但同時(shí)也存在很多不足之處���。首先��,該方法需要在目標(biāo)運(yùn)維機(jī)器上對(duì)用戶進(jìn)行設(shè)置�����,因此對(duì)于運(yùn)維機(jī)器數(shù)量較大的企業(yè)來(lái)說(shuō)在操作上并不便利�����,需要重復(fù)進(jìn)行大量的設(shè)置工作��,較浪費(fèi)時(shí)間����;其次,該方法必須事先對(duì)各個(gè)用戶的命令操作權(quán)限進(jìn)行靜態(tài)設(shè)置����,在運(yùn)維過(guò)程中不易于修改,無(wú)法實(shí)現(xiàn)對(duì)用戶操作權(quán)限的靈活變更和控制���。
[0004]有鑒于此,在進(jìn)行運(yùn)維操作時(shí)����,相關(guān)領(lǐng)域的技術(shù)人員迫切需要設(shè)計(jì)一種靈活的、可操作性強(qiáng)的運(yùn)維操作控制方法來(lái)控制運(yùn)維人員對(duì)目標(biāo)運(yùn)維機(jī)器的操作行為�,以消除現(xiàn)有方法的上述缺陷。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)中的運(yùn)維操作控制方法存在的上述缺陷���,本發(fā)明提供一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法����。
[0006]依據(jù)本發(fā)明的一個(gè)方面����,提供了一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)���,包括:
[0007]運(yùn)維協(xié)議處理模塊,接收來(lái)自運(yùn)維客戶端的終端命令信息���,且逐個(gè)讀入所述終端命令信息中的字符從而形成命令字符�����;以及
[0008]中間處理模塊����,與運(yùn)維協(xié)議處理模塊進(jìn)行雙向信息傳輸�,所述中間處理模塊接收所述命令字符,判斷所述命令字符相對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配����,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志,
[0009]其中所述運(yùn)維協(xié)議處理模塊接收所述操作標(biāo)志���,并根據(jù)所述操作標(biāo)志予以執(zhí)行命令或阻斷命令�。
[0010] 在其中的一實(shí)施例中����,所述中間處理模塊包括:黑名單設(shè)置單元�,用于設(shè)置黑名單命令�����; 命令拼接單元�,用于接收來(lái)自所述運(yùn)維協(xié)議處理模塊的命令字符,解析所述命令字符從而拼接出完整命令����;以及命令處理單元,用于接收來(lái)自所述命令拼接單元的完整命令���,并將所述完整命令與所述黑名單命令進(jìn)行匹配,根據(jù)匹配判斷結(jié)果輸出所述操作標(biāo)志����。
[0011]在其中的一實(shí)施例中,所述黑名單設(shè)置單元根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景需求來(lái)設(shè)置黑名單命令��。
[0012]在其中的一實(shí)施例中����,所述命令拼接單元解析所述命令字符時(shí),剔除其中的命令提示符及終端打印干擾信息從而拼接出所述完整命令。
[0013]在其中的一實(shí)施例中���,所述命令拼接單元執(zhí)行多次拼接操作���,直至所述命令字符中出現(xiàn)回車符時(shí)結(jié)束拼接。
[0014]在其中的一實(shí)施例中��,所述命令處理單元在進(jìn)行匹配判斷時(shí)����,根據(jù)命令中是否包括參數(shù)以及參數(shù)的不同類型進(jìn)行分類處理。
[0015]在其中的一實(shí)施例中�,所述命令處理單元匹配判斷時(shí)的檢查粒度為字符級(jí)。
[0016]依據(jù)本發(fā)明的另一個(gè)方面�����,提供了一種基于黑名單命令設(shè)置的運(yùn)維操作控制方法���,該方法包括以下步驟:
[0017](a)接收來(lái)自運(yùn)維客戶端的終端命令信息�����,且逐個(gè)讀入所述終端命令信息中的字符從而形成命令字符�;
[0018](b)接收所述命令字符,判斷所述命令字符對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配��,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志��;
[0019](C)根據(jù)所述操作標(biāo)志予以執(zhí)行命令或阻斷命令��。
[0020]在其中的一實(shí)施例中��,于上述步驟(b)之前���,還包括根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景需求來(lái)設(shè)置黑名單命令的步驟����。
[0021]在其中的一實(shí)施例中�,上述步驟(b)還包括:接收來(lái)自所述運(yùn)維協(xié)議處理模塊的命令字符,解析所述命令字符從而拼接出完整命令���;以及接收來(lái)自所述命令拼接單元的完整命令,并將所述完整命令與所述黑名單命令進(jìn)行匹配�����,根據(jù)匹配判斷結(jié)果輸出該操作標(biāo)
O
[0022]采用本發(fā)明的基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法��,利用運(yùn)維協(xié)議處理模塊接收來(lái)自運(yùn)維客戶端的終端命令信息,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符���,然后利用中間處理模塊接收來(lái)自運(yùn)維協(xié)議處理模塊的命令字符����,判斷該命令字符相對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配�����,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志�,最后根據(jù)所輸出的操作標(biāo)志予以執(zhí)行命令或阻斷命令。相比于現(xiàn)有技術(shù)���,本發(fā)明的運(yùn)維操作控制方法通過(guò)加入中間處理模塊進(jìn)行判斷來(lái)自客戶端的命令字符是否與黑名單列表的命令相匹配�����,可從根源上管控高危運(yùn)維操作�����,并且可以實(shí)現(xiàn)集中管控���。并且�,通過(guò)中間處理模塊對(duì)多臺(tái)設(shè)備進(jìn)行黑名單部署����,可以實(shí)現(xiàn)遠(yuǎn)程動(dòng)態(tài)管控,增強(qiáng)了管控的靈活性�����。本發(fā)明的控制方法還可適用于多種文本運(yùn)維協(xié)議�����,如SSH�����、TELNET�����、FTP��、SFTP等��,并針對(duì)不同的協(xié)議類型開(kāi)發(fā)對(duì)應(yīng)的中間處理模塊以滿足用戶的多方面需求����。
【專利附圖】
【附圖說(shuō)明】
[0023]讀者在參照附圖閱讀了本發(fā)明的【具體實(shí)施方式】以后,將會(huì)更清楚地了解本發(fā)明的各個(gè)方面�����。其中���,[0024]圖1示出依據(jù)本發(fā)明的一實(shí)施方式�����,基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)的結(jié)構(gòu)框圖���;
[0025]圖2示出圖1的運(yùn)維操作控制系統(tǒng)的中間處理模塊的結(jié)構(gòu)示意圖;
[0026]圖3示出依據(jù)本發(fā)明的另一實(shí)施方式�����,基于黑名單命令設(shè)置的運(yùn)維操作控制方法的流程框圖�����;以及
[0027]圖4示出采用圖3的運(yùn)維操作控制方法來(lái)控制運(yùn)維操作行為的一較佳實(shí)施例���?����!揪唧w實(shí)施方式】
[0028]為了使本申請(qǐng)所揭示的技術(shù)內(nèi)容更加詳盡與完備����,可參照附圖以及本發(fā)明的下述各種具體實(shí)施例,附圖中相同的標(biāo)記代表相同或相似的組件�����。然而���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解���,下文中所提供的實(shí)施例并非用來(lái)限制本發(fā)明所涵蓋的范圍。此外��,附圖僅僅用于示意性地加以說(shuō)明���,并未依照其原尺寸進(jìn)行繪制�����。
[0029]如前文所述�,隨著互聯(lián)網(wǎng)信息技術(shù)的迅速發(fā)展��,各類信息系統(tǒng)層出不窮���?���?焖俳ㄔO(shè)的IT系統(tǒng)正從以前傳統(tǒng)封閉的業(yè)務(wù)系統(tǒng)向大型關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展���。然而��,IT系統(tǒng)的廣泛應(yīng)用容易引發(fā)系統(tǒng)內(nèi)部運(yùn)維防御難���、控制難等諸多問(wèn)題。在傳統(tǒng)的運(yùn)維管理審計(jì)過(guò)程中�����,通常以網(wǎng)絡(luò)層訪問(wèn)控制以及主機(jī)層帳戶控制為主�����,由于操作系統(tǒng)自身功能閑置,其主流的操作系統(tǒng)����、數(shù)據(jù)庫(kù)均無(wú)法進(jìn)行細(xì)粒度的訪問(wèn)授權(quán)(諸如指令級(jí)授權(quán)控制),例如�,第三方運(yùn)維人員很有可能因?yàn)橐粋€(gè)簡(jiǎn)單的維護(hù)需求,而分配到一個(gè)超級(jí)用戶權(quán)限���,藉由該超級(jí)用戶權(quán)限可以查看其它的運(yùn)維操作行為����,進(jìn)而帶來(lái)一系列的潛在安全隱患�。
[0030]為了避免或消除上述潛在安全隱患,傳統(tǒng)的運(yùn)維管理審計(jì)可針對(duì)不同的運(yùn)維人員設(shè)置特定的操作權(quán)限�,每個(gè)運(yùn)維人員只能對(duì)其對(duì)應(yīng)操作權(quán)限內(nèi)的運(yùn)維操作行為進(jìn)行維護(hù)。與此同時(shí)�,在目標(biāo)運(yùn)維機(jī)器上對(duì)該運(yùn)維人員的可操作命令進(jìn)行靜態(tài)設(shè)置,以便屏蔽高危命令���。雖然該方法可加強(qiáng)對(duì)運(yùn)維人員操作行為的限制�����,然而�����,該方法需要在每臺(tái)目標(biāo)運(yùn)維機(jī)器上對(duì)用戶進(jìn)行設(shè)置����,操作上十分不便�,而且必須事先對(duì)各個(gè)用戶的命令操作權(quán)限進(jìn)行靜態(tài)設(shè)置,該命令操作權(quán)限在運(yùn)維過(guò)程中不易于修改���,控制策略呆板而不靈活��。針對(duì)現(xiàn)有技術(shù)中的上述缺陷或不足�,本發(fā)明提供了一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)和控制方法�。
[0031]圖1示出依據(jù)本發(fā)明的一實(shí)施方式,基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)的結(jié)構(gòu)框圖�����。
[0032]參照?qǐng)D1���,本發(fā)明的運(yùn)維操作控制系統(tǒng)I設(shè)置于運(yùn)維客戶端和運(yùn)維目標(biāo)設(shè)備之間���,對(duì)運(yùn)維客戶端發(fā)出的終端命令信息進(jìn)行審計(jì)���,當(dāng)檢測(cè)到終端命令信息中包含高危命令時(shí),立即實(shí)施阻斷�;當(dāng)檢測(cè)到終端命令信息中并無(wú)任何高危命令時(shí),正常執(zhí)行并將終端命令信息下發(fā)給運(yùn)維目標(biāo)設(shè)備���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解��,圖1中的運(yùn)維目標(biāo)設(shè)備僅為示意性舉例�����,在一些實(shí)施例中�����,同一運(yùn)維客戶端可對(duì)應(yīng)兩個(gè)或兩個(gè)以上的多個(gè)運(yùn)維目標(biāo)設(shè)備��。
[0033]運(yùn)維操作控制系統(tǒng)I包括運(yùn)維協(xié)議處理模塊10和中間處理模塊20���。運(yùn)維協(xié)議處理模塊10與中間處理模塊20進(jìn)行雙向信息交互。具體地����,運(yùn)維協(xié)議處理模塊10接收來(lái)自運(yùn)維客戶端的終端命令信息��,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符���。中間處理模塊20接收來(lái)自運(yùn)維協(xié)議處理模塊10的命令字符,判斷該命令字符相對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配���,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志����。運(yùn)維協(xié)議處理模塊10接收來(lái)自中間處理模塊20反饋的該操作標(biāo)志��,根據(jù)該操作標(biāo)志予以執(zhí)行命令或阻斷命令�。
[0034]例如�,運(yùn)維協(xié)議處理模塊10輸出操作標(biāo)志,然后根據(jù)操作標(biāo)志對(duì)運(yùn)維命令進(jìn)行處理���,當(dāng)操作標(biāo)志顯示命令字符對(duì)應(yīng)的命令與黑名單列表中的命令不匹配時(shí)(如圖1中的路徑Y(jié)所標(biāo)示)����,正常執(zhí)行并將終端命令信息下發(fā)給運(yùn)維目標(biāo)設(shè)備����。當(dāng)操作標(biāo)志顯示命令字符對(duì)應(yīng)的命令與黑名單列表中的命令匹配成功時(shí)(如圖1中的路徑N所標(biāo)示)�,發(fā)送終止符到運(yùn)維目標(biāo)設(shè)備從而對(duì)終端命令信息中的高危命令實(shí)施阻斷����。
[0035]由上述可知,本發(fā)明的運(yùn)維操作控制系統(tǒng)藉由中間處理模塊提供命令級(jí)的細(xì)粒度訪問(wèn)控制�,可最大限度地保護(hù)用戶資源的安全。運(yùn)維管理員可設(shè)定每個(gè)用戶可使用的黑名單列表����,一旦運(yùn)維人員執(zhí)行黑名單命令,運(yùn)維操作控制系統(tǒng)會(huì)自動(dòng)阻斷其操作�,從而最大限度地保護(hù)運(yùn)維目標(biāo)設(shè)備的安全,確保運(yùn)維人員訪問(wèn)過(guò)程的合規(guī)性�����。
[0036]亦由上述可知����,相比于現(xiàn)有技術(shù),本發(fā)明的運(yùn)維操作控制系統(tǒng)通過(guò)加入中間處理模塊��,判斷來(lái)自運(yùn)維客戶端的命令字符是否與黑名單列表的命令相匹配�,可從根源上管控高危運(yùn)維操作�,并且可實(shí)現(xiàn)集中管控�。此外,該中間處理模塊還可對(duì)多臺(tái)運(yùn)維目標(biāo)設(shè)備進(jìn)行黑名單部署��,以便實(shí)現(xiàn)遠(yuǎn)程動(dòng)態(tài)管控����,增強(qiáng)管控靈活性。
[0037]圖2示出圖1的運(yùn)維操作控制系統(tǒng)的中間處理模塊的結(jié)構(gòu)示意圖�����。
[0038]參照?qǐng)D2���,在該實(shí)施例中�����,中間處理模塊20包括命令拼接單元202、命令處理單元204和黑名單設(shè)置單元206���。其中���,命令拼接單元202從運(yùn)維協(xié)議處理模塊10接收信息��。命令處理單元204將信息發(fā)送給運(yùn)維協(xié)議處理模塊10�����。并且��,命令處理單元204與黑名單設(shè)置單元206進(jìn)行信息交互����,以進(jìn)行匹配判斷���。
[0039]黑名單設(shè)置單元206用于設(shè)置黑名單命令����,諸如高危命令��。較佳地���,黑名單設(shè)置單元206根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景需求來(lái)設(shè)置黑名單命令�����。例如���,在一些實(shí)施例中��,黑名單設(shè)置單元206根據(jù)SSH文本協(xié)議的運(yùn)維操作設(shè)置黑名單列表��。在一些實(shí)施例中���,黑名單設(shè)置單元206根據(jù)TELNET文本協(xié)議的運(yùn)維操作設(shè)置黑名單列表。
[0040]命令拼接單元202接收來(lái)自運(yùn)維協(xié)議處理模塊10的命令字符���,解析這些命令字符從而拼接出完整命令�。較佳地�,命令拼接單元202對(duì)所接收到的命令字符進(jìn)行解析,剔除其中的命令提示符及終端打印的干擾信息�����,拼接出完整命令�。此外�,命令拼接單元202可通過(guò)執(zhí)行多次拼接操作來(lái)拼接出完整命令,當(dāng)命令字符中出現(xiàn)回車符時(shí)���,命令拼接單元202結(jié)束拼接����。
[0041]命令處理單元204與命令拼接單元202和黑名單設(shè)置單元206相連接。命令處理單元204接收來(lái)自命令拼接單元202的完整命令�����,并將該完整命令與黑名單列表中的黑名單命令進(jìn)行匹配�����,根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志��。在一實(shí)施例中�����,命令處理單元204調(diào)用黑名單設(shè)置單元206中的黑名單命令����,并將其與所接收到的完整命令進(jìn)行匹配判斷,輸出操作標(biāo)志�。在另一實(shí)施例中,命令處理單元204亦可將所接收到的完整命令發(fā)送至黑名單設(shè)置單元206��,在黑名單設(shè)置單元206內(nèi)部與其黑名單命令進(jìn)行匹配判斷,產(chǎn)生操作標(biāo)志��,然后將該操作標(biāo)志回送至命令處理單元204��。
[0042]在一具體實(shí)施例中����,命令處理單元204在進(jìn)行匹配判斷時(shí),根據(jù)命令中是否包括參數(shù)以及參數(shù)的不同類型進(jìn)行分類處理�����。較佳地���,命令處理單元204匹配判斷時(shí)的檢查粒度為字符級(jí)���。也就是說(shuō),命令處理單元204將接收的完整命令中的逐個(gè)字符與黑名單列表進(jìn)行匹配判斷�����,確保不會(huì)遺漏完整命令中的黑名單命令����。[0043]圖3示出依據(jù)本發(fā)明的另一實(shí)施方式,基于黑名單命令設(shè)置的運(yùn)維操作控制方法的流程框圖���。其中�����,該運(yùn)維操作控制方法對(duì)應(yīng)于圖1中的運(yùn)維操作控制系統(tǒng)�����。
[0044]參照?qǐng)D3���,在該控制方法中,首先����,執(zhí)行步驟S31,接收來(lái)自運(yùn)維客戶端的終端命令信息����,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符。然后���,執(zhí)行步驟S33��,接收步驟S31中所形成的命令字符��,判斷命令字符對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配�����,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志����。最后,在步驟S35���,根據(jù)操作標(biāo)志予以執(zhí)行命令或阻斷命令�����。
[0045]結(jié)合圖3和圖1��,在實(shí)際操作中�����,運(yùn)維協(xié)議處理模塊10接收來(lái)自運(yùn)維客戶端的終端命令信息����,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符。中間處理模塊20接收來(lái)自運(yùn)維協(xié)議處理模塊10的命令字符��,判斷命令字符對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配���,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志。運(yùn)維協(xié)議處理模塊10接收來(lái)自中間處理模塊20反饋的該操作標(biāo)志�����,根據(jù)該操作標(biāo)志予以執(zhí)行命令或阻斷命令����。
[0046]圖4示出采用圖3的運(yùn)維操作控制方法來(lái)控制運(yùn)維操作行為的一較佳實(shí)施例。
[0047]參照?qǐng)D4和圖2����,在該實(shí)施例中,運(yùn)維操作控制方法還包括根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景來(lái)設(shè)置黑名單命令的步驟(如步驟S37所示)�����。例如�����,黑名單設(shè)置單元206根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景來(lái)設(shè)置黑名單命令。在一些實(shí)施例中�����,黑名單設(shè)置單元206根據(jù)SSH文本協(xié)議的運(yùn)維操作設(shè)置黑名單列表���。在一些實(shí)施例中���,黑名單設(shè)置單元206根據(jù)TELNET文本協(xié)議的運(yùn)維操作設(shè)置黑名單列表。
[0048]圖3的步驟S33還包括步驟S331和步驟S333�����。在步驟S331中����,命令拼接單元202接收來(lái)自運(yùn)維協(xié)議處理模塊10的命令字符,解析該命令字符從而拼接出完整命令��。在步驟S333中�����,命令處理單元204接收來(lái)自命令拼接單元202的完整命令��,并將該完整命令與黑名單設(shè)置單元206中的黑名單命令進(jìn)行匹配,根據(jù)匹配判斷結(jié)果輸出該操作標(biāo)志����。
[0049]采用本發(fā)明的基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)及其方法,利用運(yùn)維協(xié)議處理模塊接收來(lái)自運(yùn)維客戶端的終端命令信息�����,且逐個(gè)讀入終端命令信息中的字符從而形成命令字符�����,然后利用中間處理模塊接收來(lái)自運(yùn)維協(xié)議處理模塊的命令字符����,判斷該命令字符相對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配��,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志���,最后根據(jù)所輸出的操作標(biāo)志予以執(zhí)行命令或阻斷命令�。相比于現(xiàn)有技術(shù)��,本發(fā)明的運(yùn)維操作控制方法通過(guò)加入中間處理模塊進(jìn)行判斷來(lái)自客戶端的命令字符是否與黑名單列表的命令相匹配���,可從根源上管控高危運(yùn)維操作�,并且可以實(shí)現(xiàn)集中管控。并且�����,通過(guò)中間處理模塊對(duì)多臺(tái)設(shè)備進(jìn)行黑名單部署��,可以實(shí)現(xiàn)遠(yuǎn)程動(dòng)態(tài)管控����,增強(qiáng)了管控的靈活性。本發(fā)明的控制方法還可適用于多種文本運(yùn)維協(xié)議��,如SSH�、TELNET、FTP���、SFTP等�,并針對(duì)不同的協(xié)議類型開(kāi)發(fā)對(duì)應(yīng)的中間處理模塊以滿足用戶的多方面需求�����。
[0050]上文中,參照附圖描述了本發(fā)明的【具體實(shí)施方式】���。但是���,本領(lǐng)域中的普通技術(shù)人員能夠理解,在不偏離本發(fā)明的精神和范圍的情況下���,還可以對(duì)本發(fā)明的【具體實(shí)施方式】作各種變更和替換��。這些變更和替換都落在本發(fā)明權(quán)利要求書(shū)所限定的范圍內(nèi)��。
【權(quán)利要求】
1.一種基于黑名單命令設(shè)置的運(yùn)維操作控制系統(tǒng)��,其特征在于,所述運(yùn)維操作控制系統(tǒng)包括: 運(yùn)維協(xié)議處理模塊����,接收來(lái)自運(yùn)維客戶端的終端命令信息,且逐個(gè)讀入所述終端命令信息中的字符從而形成命令字符�;以及 中間處理模塊,與運(yùn)維協(xié)議處理模塊進(jìn)行雙向信息傳輸�,所述中間處理模塊接收所述命令字符,判斷所述命令字符相對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配����,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志���, 其中,所述運(yùn)維協(xié)議處理模塊接收所述操作標(biāo)志��,并根據(jù)所述操作標(biāo)志予以執(zhí)行命令或阻斷命令����。
2.根據(jù)權(quán)利要求1所述的運(yùn)維操作控制系統(tǒng),其特征在于�����,所述中間處理模塊包括: 黑名單設(shè)置單元�,用于設(shè)置黑名單命令; 命令拼接單元���,用于接收來(lái)自所述運(yùn)維協(xié)議處理模塊的命令字符���,解析所述命令字符從而拼接出完整命令;以及 命令處理單元����,用于接收來(lái)自所述命令拼接單元的完整命令,并將所述完整命令與所述黑名單命令進(jìn)行匹配,根據(jù)匹配判斷結(jié)果輸出所述操作標(biāo)志��。
3.根據(jù)權(quán)利要求2所述的運(yùn)維操作控制系統(tǒng)�����,其特征在于�,所述黑名單設(shè)置單元根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景需求來(lái)設(shè)置黑名單命令。
4.根據(jù)權(quán)利要求2所述的運(yùn)維操作控制系統(tǒng)�����,其特征在于�,所述命令拼接單元解析所述命令字符時(shí),剔除其中的命令提示符及終端打印干擾信息從而拼接出所述完整命令�。
5.根據(jù)權(quán)利要求2所述的運(yùn)維操作控制系統(tǒng),其特征在于����,所述命令拼接單元執(zhí)行多次拼接操作�����,直至所述命令字符中出現(xiàn)回車符時(shí)結(jié)束拼接�����。
6.根據(jù)權(quán)利要求2所述的運(yùn)維操作控制系統(tǒng),其特征在于���,所述命令處理單元在進(jìn)行匹配判斷時(shí)����,根據(jù)命令中是否包括參數(shù)以及參數(shù)的不同類型進(jìn)行分類處理�。
7.根據(jù)權(quán)利要求6所述的運(yùn)維操作控制系統(tǒng),其特征在于����,所述命令處理單元匹配判斷時(shí)的檢查粒度為字符級(jí)。
8.一種基于黑名單命令設(shè)置的運(yùn)維操作控制方法��,其特征在于�����,該運(yùn)維操作控制方法包括以下步驟: (a)接收來(lái)自運(yùn)維客戶端的終端命令信息���,且逐個(gè)讀入所述終端命令信息中的字符從而形成命令字符��; (b)接收所述命令字符���,判斷所述命令字符對(duì)應(yīng)的命令是否與黑名單列表的命令相匹配���,并根據(jù)匹配判斷結(jié)果輸出操作標(biāo)志; (C)根據(jù)所述操作標(biāo)志予以執(zhí)行命令或阻斷命令���。
9.根據(jù)權(quán)利要求8所述的運(yùn)維操作控制方法���,其特征在于,在上述步驟(b)之前����,還包括根據(jù)不同協(xié)議的運(yùn)維操作和運(yùn)維場(chǎng)景需求來(lái)設(shè)置黑名單命令的步驟。
10.根據(jù)權(quán)利要求8所述的運(yùn)維操作控制方法�,其特征在于,上述步驟(b)還包括: 接收來(lái)自所述運(yùn)維協(xié)議處理模塊的命令字符�,解析所述命令字符從而拼接出完整命令;以及 接收來(lái)自所述命令拼接單元的完整命令��,并將所述完整命令與所述黑名單命令進(jìn)行匹配����,根據(jù)匹配判斷結(jié)果輸出該操作標(biāo)志��。
【文檔編號(hào)】H04L29/08GK103973782SQ201410178295
【公開(kāi)日】2014年8月6日 申請(qǐng)日期:2014年4月29日 優(yōu)先權(quán)日:2014年4月29日
【發(fā)明者】提運(yùn)強(qiáng) 申請(qǐng)人:上海上訊信息技術(shù)股份有限公司