一種業務伺服器授權安全訪問方法與流程
2023-07-19 01:16:26
本發明涉及本發明涉及一種業務伺服器授權安全訪問方法,具體地說,是一種基於對業務伺服器在授權狀態下進行安全訪問的方法。
背景技術:
在網際網路時代,有效的業務伺服器安全管理對企業良好的運作至關重要。但是,當業務伺服器數量急劇增長以及管理運維人員數量加大時,對業務伺服器的帳號信息管理、安全訪問等問題成了企業伺服器信息安全隱患。因此,企業需要構建一套基於授權的安全訪問方法,以保證業務伺服器的信息安全。
堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種技術手段。
其從功能上講,它綜合了核心系統運維和安全審計管控兩大主幹功能,從技術實現上講,通過切斷終端計算機對網絡和伺服器資源的直接訪問,而採用協議代理的方式,接管了終端計算機對網絡和伺服器的訪問。形象地說,終端計算機對目標的訪問,均需要經過運維安全審計的翻譯。打一個比方,運維安全審計扮演著看門者的工作,所有對網絡設備和伺服器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,並對內部人員誤操作和非法操作進行審計監控,以便事後責任追蹤。
安全審計作為企業信息安全建設不可缺少的組成部分,逐漸受到用戶的關注,是企業安全體系中的重要環節。同時,安全審計是事前預防、事中預警的有效風險控制手段,也是事後追溯的可靠證據來源。
一個用戶使用多個帳號。目前,一個維護人員使用多個帳號是較為普遍的情況,用戶需要記憶多套口令同時在多套主機系統、網絡設備之間切換,降低工作效率,增加工作複雜度。
技術實現要素:
本發明的目的在於針對現在方法中存在的不足,提供一種基於對業務伺服器在授權狀態下進行安全訪問的方法,使業務伺服器的帳號密碼進行統一管理、統一授權、超時自動失效等功能,為企業提供了一個安全有效的業務伺服器授權訪問方法。
本發明為實現其目的所採用的技術方案是:一種業務伺服器授權安全訪問方法,包括以下步驟:
步驟1、堡壘機根據登錄的終端用戶帳號,向所述的終端用戶呈現該帳號被授權的業務伺服器ID列表;
步驟2、堡壘機根據所述的終端用戶選擇的業務伺服器ID,根據所述的業務伺服器的登錄帳號及密碼自動登錄到業務伺服器完成登錄過程。
本發明中通過堡壘機對務伺服器的帳號密碼進行統一管理、統一授權、超時自動失效等功能,為企業提供了一個安全有效的業務伺服器授權訪問方法。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的步驟1中,具體包括:
步驟101、運維及管理人員通過自己的終端用戶帳號登錄堡壘機;
步驟102、堡壘機上的登錄腳本根據終端用戶帳號通過HTTPS協議向授權系統的授權查詢API接口獲取該帳號被授權的業務伺服器ID列表;
步驟103、堡壘機將獲得的業務伺服器ID列表輸出到運維及管理人員自己的終端屏幕供運維及管理人員選擇。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的終端用戶帳號包含所有業務伺服器管理人員的堡壘機的帳號及密碼,由授權系統進行管理及維護,並對終端用戶一一對應可見。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的步驟2具體包括:
步驟201、使用所述的終端用戶帳號的運維及管理人員從自己的終端上選擇所需要訪問的業務伺服器ID,並將選擇結果通知堡壘機;
步驟202、堡壘機上登錄腳本根據所述的業務伺服器的ID,通過HTTPS協議向授權系統的授權查詢API接口獲取所述的業務伺服器的IP位址、遠程登錄商品、登錄帳號及密碼信息;
步驟203、登錄腳本根據獲得的所述的業務伺服器的登錄帳號及密碼自動登錄到遠程業務伺服器完成登錄過程。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的業務伺服器的IP位址、遠程登錄埠、伺服器名稱、伺服器ID信息,由授權系統進行管理及維護,其中伺服器名稱、伺服器ID對終端用戶可見,IP位址、遠程登錄埠對終端用戶不可見。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的授權系統對終端用戶在有限時間內對業務伺服器的登錄訪問進行授權:關聯業務伺服器與終端用戶一一對應關係,並添加允許登錄訪問的開始及結束時間標記來完成訪問授權。
進一步的,上述的業務伺服器授權安全訪問方法中:所述的授權系統通過WEB的方式進行信息數據管理。
下面結合具體實施例對本發明作較為詳細的描述。
附圖說明
圖1是本發明實施例方法流程圖。
具體實施方式
實施例1,本實施例是一種利用堡壘機登錄業務伺服器的安全授權訪問方法,如圖1所示,運維及管理人員通過自己的終端用戶帳號登錄統一登錄入口也就是堡壘機進行登錄,堡壘機對登錄的運維及管理人員的身份進行確認可,統一分配權利包括運維及管理人員登錄堡壘機,堡壘機通過運維及管理人員的身份信息分配權利,運維及管理人員選擇其權利範圍內可登錄的業務伺服器,堡壘機登錄兩個主要步驟:
步驟1、堡壘機根據登錄的終端用戶帳號,向所述的終端用戶呈現該帳號被授權的業務伺服器ID列表。
該步驟具體包括:
步驟101、運維及管理人員通過自己的終端用戶帳號登錄堡壘機。
步驟102、堡壘機上的登錄腳本根據終端用戶帳號通過HTTPS協議向授權系統的授權查詢API接口獲取該帳號被授權的業務伺服器ID列表。
授權系統對終端用戶在有限時間內對業務伺服器的登錄訪問進行授權:關聯業務伺服器與終端用戶一一對應關係,並添加允許登錄訪問的開始及結束時間標記來完成訪問授權。因此,這裡屏蔽掉一些不能由該用戶帳號對應的用戶訪問的業務伺服器,在不同的時間呈現該帳號被授權的業務伺服器ID列表是不同的。
步驟103、堡壘機將獲得的業務伺服器ID列表輸出到運維及管理人員自己的終端屏幕供運維及管理人員選擇。
這裡終端用戶使用終端帳號及密碼登錄堡壘機,登錄腳本根據終端用戶帳號,通過以HTTPS協議向授權系統的授權查詢API接口獲取終端用戶已被授權的業務伺服器列表並輸出到屏幕以供終端用戶選擇。
終端用戶帳號包含所有業務伺服器管理人員的堡壘機的帳號及密碼,由授權系統進行管理及維護,並對終端用戶一一對應可見。
步驟2、堡壘機根據所述的終端用戶選擇的業務伺服器ID,根據所述的業務伺服器的登錄帳號及密碼自動登錄到業務伺服器完成登錄過程。
該步驟具體包括:
步驟201、使用所述的終端用戶帳號的運維及管理人員從自己的終端上選擇所需要訪問的業務伺服器ID,並將選擇結果通知堡壘機。
步驟202、堡壘機上登錄腳本根據所述的業務伺服器的ID,通過HTTPS協議向授權系統的授權查詢API接口獲取所述的業務伺服器的IP位址、遠程登錄商品、登錄帳號及密碼信息。
步驟203、登錄腳本根據獲得的所述的業務伺服器的登錄帳號及密碼自動登錄到遠程業務伺服器完成登錄過程。
業務伺服器的IP位址、遠程登錄埠、伺服器名稱、伺服器ID信息,由授權系統進行管理及維護,其中伺服器名稱、伺服器ID對終端用戶可見,IP位址、遠程登錄埠對終端用戶不可見。
這裡堡壘機上的登錄腳本根據終端用戶所選擇的被授權業務伺服器ID,通過HTTPS協議向授權系統的授權查詢API接口獲取此業務伺服器的登錄帳號及密碼,並通過登錄腳本進行自動登錄到該業務伺服器,在此過程中業務伺服器的登錄帳號及密碼對終端用戶不可見。授權系統通過WEB的方式進行信息數據管理。所有通信內容均使用DES加密算法進行回密,以保證在通信過程中通信內容的傳輸安全。
本實施例的一種業務伺服器授權安全訪問方法。用以解決現有技術中當遠程業務伺服器數量多,運維管理人員數量多造成的業務伺服器帳號密碼易洩漏、帳號難回收等安全性較低的問題。屬於信息安全領域。具體方法如下:運維及管理人員通過自己的終端用戶帳號登錄統一登錄入口即堡壘機(以下均稱堡壘機),堡壘機上的登錄腳本根據終端用戶帳號通過HTTPS協議向授權系統的授權查詢API接口獲取該帳號被授權的業務伺服器列表並輸出到屏幕供終端用戶選擇,登錄腳本再次根據終端用戶所選伺服器的ID,通過HTTPS協議向授權系統的授權查詢API接口獲取該業務伺服器的IP位址、遠程登錄商品、登錄帳號及密碼信息,登錄腳本根據獲得的業務伺服器的登錄帳號及密碼自動登錄到遠程業務伺服器完成登錄過程。上述方法中HTTPS通信信息均進行DES加密,對終端用戶不可見,保證了業務伺服器帳號及密碼的安全;其中終端用戶帳號密碼、業務伺服器帳號密碼、業務伺服器IP及埠信息等將通過授權管理系統以WEB的方式進行統一分配、管理,並對終端用戶進行業務伺服器的登錄權限、時限等進行授權,同時向堡壘機上的登錄腳本提供授權查詢API接口,提高了業務伺服器帳號的安全性。
本實施例中,HTTPS通信信息均進行DES加密,對終端用戶不可見,保證了業務伺服器帳號及密碼的安全。
其中終端用戶帳號密碼、業務伺服器帳號密碼、業務伺服器IP及埠信息等將通過授權管理系統以WEB的方式進行統一分配、管理,並對終端用戶進行業務伺服器的登錄權限、時限等進行授權,同時向堡壘機上的登錄腳本提供授權查詢API接口,提高了業務伺服器帳號的安全性。