一种运维功能集中管理平台、用户终端、系统及搭建方法技术方案

本申请提供了一种运维功能集中管理平台、用户终端、系统及搭建方法，其中，运维功能集中管理平台被配置为能够提供应用程序或终端功能给用户终端，所述应用程序或终端功能由运维终端远程映射到所述运维功能集中管理平台。通过设置运维功能集中管理平台，将用户终端与运维终端的访问隔离，隐藏运维终端的网络结构，使得运维终端免受渗透扫描的风险。通过基于remote app技术的远程映射，能够将应用程序或者终端功能单独呈现给登录用户，使登录用户不再每次访问请求都必须得到一个远程桌面，同时，运维审计也可以从原来监控每个运维终端的远程桌面链接转移到监控运维功能集中平台的远程应用服务，大大降低了监控的难度。大大降低了监控的难度。大大降低了监控的难度。

【技术实现步骤摘要】
一种运维功能集中管理平台、用户终端、系统及搭建方法


[0001]本专利技术涉及网络安全运维技术，尤其涉及一种运维功能集中管理平台、用户终端、系统及搭建方法。

技术介绍

[0002]当前，信息化建设的重点已经由原来的基础建设向深化应用、零信任身份管理等方面进一步发展；由于设备和服务器众多，账号管理混乱，授权不清、各种越权访问、误操作、滥用、恶意破坏等情况在配有传统安全运维审计的情况下仍然时有发生。
[0003]传统安全运维审计(以下简称运维审计)所具备的核心功能主要囊括以下几点：远程访问传输加密(即VPN技术)、资产CMDB自动化管理、运维用户权限分立等，从发起远程访问请求到登录运维终端设备，传统运维审计都逐一实现了安全管理措施。
[0004]在上述运维过程中，运维审计只实现了对运维终端设备的登录防护，一旦运维用户被劫持，就会导致受该运维用户管理的设备终端出现防护空白。
[0005]如何在传统运维审计、已经完成授权的情况下，提供更加细粒度的、访问权限更加严格的安全策略、安全管理措施，这是当前运维审计迫切需要解决的问题。

技术实现思路

[0006]本专利技术的目的在于提供一种运维功能集中管理平台，以隔离用户终端和运维终端，将登陆用户的权限最小化。
[0007]本专利技术的另一目的在于提供与上述运维功能集中管理平台匹配的用户终端、包含上述运维功能集中管理平台的运维系统，以及系统的搭建方法。
[0008]以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。
[0009]根据本专利技术的第一方面，提供了一种运维功能集中管理平台，所述运维功能集中管理平台被配置为能够提供应用程序或终端功能给用户终端，所述应用程序或终端功能由运维终端远程映射到所述运维功能集中管理平台。
[0010]在一实施例中，所述运维功能集中管理平台只提供应用程序或终端功能的界面给用户终端。
[0011]在一实施例中，所述运维功能集中管理平台受到安全设备保护。
[0012]在一实施例中，所述远程映射基于windows系统的remote app功能实现。
[0013]根据本专利技术的第二方面，提供了一种用户终端，所述用户终端被配置为能够与运维功能集中管理平台通信，并能够访问运维功能集中管理平台所提供的应用程序或终端功能，所述应用程序或终端功能由运维终端远程映射到所述运维功能集中管理平台。
[0014]在一实施例中，所述用户终端只能够访问运维功能集中管理平台提供的应用程序
或终端功能的界面。
[0015]根据本专利技术的第三方面，提供了一种运维系统，包括用户终端、运维功能集中管理平台和运维终端，所述运维终端将应用程序或终端功能远程映射到所述运维功能集中管理平台，所述用户终端能够与所述运维功能集中管理平台通信并访问所述运维功能集中管理平台所提供的应用程序或终端功能。
[0016]在一实施例中，所述远程映射基于windows系统的remote app功能实现。
[0017]根据本专利技术的第四方面，提供了一种运维系统搭建方法，包括：
[0018]创建运维功能集中管理平台；
[0019]创建登陆用户，所述登陆用户只能用于登陆运维审计；
[0020]授权登陆用户与运维功能集中管理平台能够通信；
[0021]运维功能集中管理平台通过远程映射链接运维终端上的应用程序或终端功能；
[0022]创建访问授权策略，绑定登录用户，所述授权策略包括登录用户、可访问运维功能集中平台的应用程序或终端功能、每种应用程序或者终端功能对应的运维终端资源和账户信息。
[0023]在一实施例中，所述远程映射基于windows系统的remote app功能实现。
[0024]本专利技术实施例的有益效果是：通过设置运维功能集中管理平台，将用户终端与运维终端的访问隔离，隐藏运维终端的网络结构，使得运维终端免受渗透扫描的风险。通过基于remote app技术的远程映射，能够将应用程序或者终端功能单独呈现给登录用户，使登录用户不再每次访问请求都必须得到一个远程桌面，同时，运维审计也可以从原来监控每个运维终端的远程桌面链接转移到监控运维功能集中平台的远程应用服务，大大降低了监控的难度。
附图说明
[0025]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0026]在结合以下附图阅读本公开的实施例的详细描述之后，能够更好地理解本专利技术的上述特征和优点。在附图中，各组件不一定是按比例绘制，并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。
[0027]图1是现有运维系统中攻击者直接获取运维终端示意图；
[0028]图2是本申请实施例的系统结构示意图。
具体实施方式
[0029]以下结合附图和具体实施例对本专利技术作详细描述。注意，以下结合附图和具体实施例描述的诸方面仅是示例性的，而不应被理解为对本专利技术的保护范围进行任何限制。
[0030]现有的运维审计包括以下四个方面的管理手段：
[0031]1、集中账号管理
[0032]基于唯一身份标识的全局管理，实现了单点登录，任何运维人员都无法绕过安全
运维审计系统。统一账号管理策略，实现与各服务器、网络设备等无缝连接。
[0033]2、集中授权管理
[0034]细粒度的命令级授权策略，针对运维人员、服务器、服务器账号、服务器应用、访问时间等多个因素设定细粒度的授权策略，使得运维人员的权限得到很细的划分，从而杜绝了运维人员权限不明晰的问题。
[0035]3、集中认证管理
[0036]安全运维审计系统提供了多种认证方式，包括：本地认证、证书认证、RADIUS认证及生物指纹识别认证。集中认证有效地将非法用户或非授权用户拒之门外，就像一座堡垒坚不可破。
[0037]4、集中操作审计
[0038]基于唯一身份标识，全程审计用户对从登录到退出的操作行为，使得事后的审计和责任的定位有了可靠有力的根据。
[0039]上述运维能力只能覆盖已经存在、已经登录、已经授权的运维用户安全使用，但是并不能判断登录运维终端的使用者(以下简称登录用户)是否合法，也并未实现登录用户与运维终端的网络隔离。如图1所示，当出现登录用户被劫持或者VPN信息泄露时，就有可能被攻击者利用，通过运维链接通道上传非法攻击脚本至运维终端设备，从而攻破运维审计的安全防护壁垒。
[0040]发生此种安全事故的原因在于，针对登录用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种运维功能集中管理平台，其特征在于：所述运维功能集中管理平台被配置为能够提供应用程序或终端功能给用户终端，所述应用程序或终端功能由运维终端远程映射到所述运维功能集中管理平台。2.根据权利要求1所述的运维功能集中管理平台，其特征在于：所述运维功能集中管理平台只提供应用程序或终端功能的界面给用户终端。3.根据权利要求1所述的运维功能集中管理平台，其特征在于：所述运维功能集中管理平台受到安全设备保护。4.根据权利要求1所述的运维功能集中管理平台，其特征在于：所述远程映射基于windows系统的remote app功能实现。5.一种用户终端，其特征在于，所述用户终端被配置为能够与运维功能集中管理平台通信，并能够访问运维功能集中管理平台所提供的应用程序或终端功能，所述应用程序或终端功能由运维终端远程映射到所述运维功能集中管理平台。6.根据权利要求5所述的用户终端，其特征在于：所述用户终端只能够访问运维功能集中管理平台提供的应用程序或终端功能的界面。7.一种运维系...

【专利技术属性】
技术研发人员：吴志华，陈夏裕，蔡艳林，章明飞，
申请(专利权)人：江苏亨通信息安全技术有限公司，
类型：发明
国别省市：