本發(fā)明涉及信息安全與運維管理，尤其涉及一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng)。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展，企業(yè)信息化程度日益加深，運維活動作為保障系統(tǒng)穩(wěn)定運行與高效維護的關(guān)鍵環(huán)節(jié)，其安全性與合規(guī)性成為企業(yè)關(guān)注的焦點。傳統(tǒng)安全運維審計系統(tǒng)作為保障運維安全的重要手段，通過集中賬號管理、集中認(rèn)證管理、集中授權(quán)管理及集中操作審計等核心功能，有效提升了運維操作的可控性、可追溯性與合規(guī)性。該系統(tǒng)通過全局唯一身份標(biāo)識實現(xiàn)了單點登錄，確保運維活動無法繞過審計系統(tǒng)；同時，多種認(rèn)證方式的引入進一步增強了系統(tǒng)的安全性，有效抵御了非法用戶的入侵。此外，細(xì)粒度的授權(quán)策略與全程操作審計機制，使得運維人員的權(quán)限得到了精細(xì)化管理，并為事后審計與責(zé)任追究提供了有力依據(jù)。

2、然而，盡管傳統(tǒng)安全運維審計系統(tǒng)在提升運維安全性方面取得了顯著成效，但仍存在一定局限性。具體而言，該系統(tǒng)主要聚焦于已存在、已登錄、已授權(quán)的運維用戶的安全使用，而對于運維用戶身份的合法性驗證及運維終端與外部網(wǎng)絡(luò)的隔離防護則顯得力不從心。在運維用戶被劫持或vpn信息泄露時，攻擊者可能利用運維鏈接通道上傳非法攻擊腳本至運維終端設(shè)備，進而實現(xiàn)設(shè)備提權(quán)與網(wǎng)絡(luò)可達，對運維系統(tǒng)乃至整個網(wǎng)絡(luò)環(huán)境構(gòu)成嚴(yán)重威脅。

3、這一安全隱患的根源在于，傳統(tǒng)系統(tǒng)未能采取權(quán)限最小化策略，一旦用戶通過授權(quán)驗證，即獲得了對運維終端及其可達網(wǎng)絡(luò)的無限制訪問權(quán)，從而在運維終端以外的可達網(wǎng)絡(luò)和終端目標(biāo)上留下了防護空白。

4、鑒于此，亟需一種更為先進、全面的安全運維審計方法及系統(tǒng)，以彌補傳統(tǒng)系統(tǒng)的不足。

技術(shù)實現(xiàn)思路

1、為此，本發(fā)明實施例提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法及系統(tǒng)，用于解決現(xiàn)有技術(shù)中安全運維審計系統(tǒng)難以驗證運維用戶身份真實性及未實現(xiàn)運維終端與其他網(wǎng)絡(luò)目標(biāo)有效隔離的問題，從而防止運維用戶身份被劫持或訪問管理系統(tǒng)繞過導(dǎo)致的安全風(fēng)險。

2、為了解決上述問題，本發(fā)明實施例提供一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法，該方法包括：

3、運維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進行登錄，身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗運維用戶信息后，展示授權(quán)訪問的運維終端資源給運維用戶；

4、對運維用戶發(fā)起的遠(yuǎn)程桌面運維請求鏈接進行權(quán)限復(fù)核，并記錄運維行為和運維目標(biāo)；

5、運維請求鏈接進入網(wǎng)元管理模塊，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境；

6、網(wǎng)元管理模塊動態(tài)調(diào)整網(wǎng)絡(luò)資源，并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略，根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)，對運維用戶的網(wǎng)絡(luò)訪問行為進行網(wǎng)絡(luò)微隔離；

7、運維用戶利用主機應(yīng)用程序，對運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請求，該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，則訪問未響應(yīng)，完成網(wǎng)絡(luò)微隔離；

8、運維終端上部署的業(yè)務(wù)微隔離代理程序，根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略，對運維用戶的應(yīng)用訪問行為進行業(yè)務(wù)微隔離；

9、運維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機應(yīng)用程序，向運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請求，該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，或執(zhí)行的單機業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán)，則請求將被拒絕，訪問未響應(yīng)，完成業(yè)務(wù)微隔離。

10、優(yōu)選地，所述運維用戶信息包括用戶名、密碼、來源地址、來源設(shè)備、用戶指紋、登陸時間段、是否可用以及客戶端證書。

11、優(yōu)選地，所述網(wǎng)元管理模塊為獨立分組設(shè)備，包括具備網(wǎng)絡(luò)邊界計算能力的交換機或防火墻。

12、優(yōu)選地，所述網(wǎng)元的具體形態(tài)包括運維終端、終端單機業(yè)務(wù)、終端瀏覽器業(yè)務(wù)，以及由多個獨立的終端單機業(yè)務(wù)組合而成的綜合單元。

13、優(yōu)選地，所有業(yè)務(wù)在所述網(wǎng)元內(nèi)通信或者自執(zhí)行。

14、優(yōu)選地，所述預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略包括：運維終端被移出網(wǎng)元的操作將結(jié)束本次運維會話，打斷正在進行的終端運維行為。

15、優(yōu)選地，所述預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略包括：運維終端的任何操作都將經(jīng)過業(yè)務(wù)微隔離代理程序?qū)徍恕?/p>

16、本發(fā)明實施例還提供了一種基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計系統(tǒng)，該系統(tǒng)用于實現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法，具體包括：

17、運維用戶登錄與認(rèn)證單元，用于運維用戶通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)進行登錄，身份認(rèn)證特權(quán)訪問管理系統(tǒng)校驗運維用戶信息后，展示授權(quán)訪問的運維終端資源給運維用戶；

18、遠(yuǎn)程桌面運維請求與權(quán)限復(fù)核單元，用于對運維用戶發(fā)起的遠(yuǎn)程桌面運維請求鏈接進行權(quán)限復(fù)核，并記錄運維行為和運維目標(biāo)；

19、網(wǎng)元管理模塊介入與網(wǎng)元分組單元，用于運維請求鏈接進入網(wǎng)元管理模塊，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境；

20、動態(tài)資源調(diào)整與網(wǎng)絡(luò)微隔離單元，用于網(wǎng)元管理模塊動態(tài)調(diào)整網(wǎng)絡(luò)資源，并獲取預(yù)設(shè)的網(wǎng)絡(luò)群組的網(wǎng)元控制策略，根據(jù)網(wǎng)元控制策略執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)，對運維用戶的網(wǎng)絡(luò)訪問行為進行網(wǎng)絡(luò)微隔離；

21、業(yè)務(wù)微隔離與訪問控制單元，用于運維用戶利用主機應(yīng)用程序，對運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)起請求，該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，則訪問未響應(yīng)，完成網(wǎng)絡(luò)微隔離；運維終端上部署的業(yè)務(wù)微隔離代理程序，根據(jù)預(yù)設(shè)的業(yè)務(wù)群組的網(wǎng)元管理策略，對運維用戶的應(yīng)用訪問行為進行業(yè)務(wù)微隔離；運維用戶僅能通過經(jīng)過業(yè)務(wù)微隔離授權(quán)的主機應(yīng)用程序，向運維終端以外的網(wǎng)絡(luò)目標(biāo)發(fā)送請求，該請求通過網(wǎng)元管理模塊執(zhí)行網(wǎng)絡(luò)微隔離授權(quán)轉(zhuǎn)發(fā)；若請求的目標(biāo)不在授權(quán)網(wǎng)元內(nèi)，或執(zhí)行的單機業(yè)務(wù)程序未經(jīng)業(yè)務(wù)微隔離授權(quán)，則請求將被拒絕，訪問未響應(yīng)，完成業(yè)務(wù)微隔離。

22、本發(fā)明實施例還提供了一種電子設(shè)備，所述電子設(shè)備包括處理器、存儲器和總線系統(tǒng)，所述處理器和存儲器通過該總線系統(tǒng)相連，所述存儲器用于存儲指令，所述處理器用于執(zhí)行存儲器存儲的指令，以實現(xiàn)上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法。

23、本發(fā)明實施例還提供了一種計算機存儲介質(zhì)，所述計算機存儲介質(zhì)存儲有計算機軟件產(chǎn)品，所述計算機軟件產(chǎn)品包括的若干指令，用以使得一臺計算機設(shè)備執(zhí)行上述所述的基于網(wǎng)元管理與微隔離技術(shù)的安全運維審計方法。

24、從以上技術(shù)方案可以看出，本發(fā)明申請具有以下有益效果：

25、(1)增強的身份認(rèn)證與資源隔離：通過身份認(rèn)證特權(quán)訪問管理系統(tǒng)實現(xiàn)嚴(yán)格的用戶身份校驗，確保運維用戶身份的真實性。同時，網(wǎng)元管理模塊將用戶群組模式轉(zhuǎn)換為以網(wǎng)元為單位的網(wǎng)絡(luò)群組模式，為運維用戶創(chuàng)建相互隔離的資源使用環(huán)境，有效防止身份認(rèn)證特權(quán)訪問管理系統(tǒng)繞過風(fēng)險，增強了系統(tǒng)的安全性。

26、(2)精細(xì)化的網(wǎng)絡(luò)微隔離與業(yè)務(wù)微隔離：網(wǎng)元管理模塊根據(jù)預(yù)設(shè)的網(wǎng)絡(luò)群組控制策略執(zhí)行網(wǎng)絡(luò)微隔離，限制運維用戶的網(wǎng)絡(luò)訪問范圍，確保只有授權(quán)請求能夠訪問目標(biāo)網(wǎng)元。此外，業(yè)務(wù)微隔離代理程序進一步對應(yīng)用訪問行為進行業(yè)務(wù)微隔離，確保只有經(jīng)過授權(quán)的應(yīng)用程序能夠執(zhí)行，大大降低了安全風(fēng)險。這種雙重隔離機制提供了更為精細(xì)和全面的安全防護。

27、(3)擴大的運維安全治理范圍與增強的防護能力：本發(fā)明通過網(wǎng)元管理與微隔離技術(shù)的結(jié)合，不僅將安全治理范圍從傳統(tǒng)的運維終端擴大到端口應(yīng)用或終端應(yīng)用級別，還通過屏蔽運維終端的網(wǎng)絡(luò)可達范圍來減少潛在的攻擊面。這種技術(shù)創(chuàng)新填補了運維終端安全防護的空白，顯著提升了運維環(huán)境的安全性和防護能力。