CN112231654B - 运维数据隔离方法、装置、电子设备及存储介质 - Google Patents
运维数据隔离方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112231654B CN112231654B CN202011114807.XA CN202011114807A CN112231654B CN 112231654 B CN112231654 B CN 112231654B CN 202011114807 A CN202011114807 A CN 202011114807A CN 112231654 B CN112231654 B CN 112231654B
- Authority
- CN
- China
- Prior art keywords
- account
- maintenance
- shadow
- application server
- shadow account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 42
- 238000012423 maintenance Methods 0.000 claims abstract description 178
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000012795 verification Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 3
- 238000012550 audit Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 19
- 238000007726 management method Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种运维数据隔离方法、装置、电子设备及存储介质,涉及计算机及网络安全审计技术领域。所述方法包括:获取运维用户的登录信息,所述登录信息包括运维账户;调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维。通过为不同用户建立同一账号的影子账号,做到不同用户之间数据隔离,避免多用户操作同一账号引起数据污染的问题,使得多用户之间数据隔离,同时不需要建立多个账号,简化了操作步骤。
Description
技术领域
本申请涉及计算机及网络安全审计技术领域,具体而言,涉及一种运维数据隔离方法、装置、电子设备及存储介质。
背景技术
在大多数情形下,为了将某些服务提供的商业逻辑更明显的暴露给客户端,通常会为服务配置应用服务器,应用户服务一般安装一些服务的图形化客户端。除此之外,应用服务器还保障服务器安全性、负载均衡等,由此可见保障应用服务器的安全变得尤为重要。
应用服务器一般为桌面操作系统,目前大多数应用服务器均是基于Windows系统的。随着信息化发展,很多企业引进运维安全审计系统之后,无论搭建服务还是应用服务器都变得异常便捷。
但是对于多用户共用同一应用服务器产生的安全问题却常常被忽略,多用户以相同账号登陆应用服务器连接服务时,产生的所有数据均是共同可见的,常常会造成数据污染,无法真正意义上对不同用户做权限控制,且用户在创建应用服务器时,需要为每个用户建立一个账号,操作比较繁琐。
发明内容
有鉴于此,本申请实施例的目的在于提供一种运维数据隔离方法、装置、电子设备及存储介质,以改善现有技术中存在的运维数据隔离需要为多个用户建立多个账号,数据隔离效果较差且操作繁琐的问题。
本申请实施例提供了一种运维数据隔离方法,所述方法包括:获取运维用户的登录信息,所述登录信息包括运维账户;调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维。
在上述实现过程中,通过为不同运维用户建立同一账号的影子账号,做到不同用户之间数据隔离,避免多用户操作同一账号引起数据污染的问题,使得多用户之间数据隔离。同时配置简单,只需要配置一个管理员账号即可,简化了数据隔离的操作步骤。
可选地,所述获取运维用户的登录信息,包括:接收所述运维用户通过远程终端协议程序发送的所述登录信息;在所述登录信息通过验证后,基于远程终端协议连接所述运维用户的设备。
在上述实现过程中,与运维用户通过远程终端协议完成登录验证,使用户能够进行远程运维操作,同时保证了运维安全性。
可选地,在所述调用与所述运维账户绑定的影子账号在应用服务器进行登录之前,所述方法还包括:判断所述应用服务器上是否存在与所述运维账户绑定的影子账号;在所述应用服务器上存在与所述运维账户绑定的影子账号时,获取所述影子账号。
在上述实现过程中,在进行影子账号的登录前进行对应运维账户的绑定判断,能够在运维账户存在或不存在对应影子账号的两种情况下快速进行后续操作,提高了运维效率。
可选地,所述判断所述应用服务器上是否存在与所述运维账户绑定的影子账号,包括:基于所述运维账户和所述应用服务器型号,查询数据库中是否存在与所述运维账户绑定的所述影子账号。
在上述实现过程中,通过数据库对影子账号以及影子账号与运维账户的绑定关系进行存储,保证能够基于运维账户、应用服务器型号等对影子账号进行快速、准确地查询,提高了影子账号的查询及判定效率。
可选地,在所述判断所述应用服务器上是否存在与所述运维账户绑定的影子账号之后,所述方法还包括:在所述应用服务器上不存在与所述运维账户绑定的影子账号时,在所述应用服务器上创建影子账号;将所述影子账号与所述运维账户进行绑定。
在上述实现过程中,通过影子账号和运维账户的绑定,实现了同一应用服务器上不同运维用户的数据隔离,减少了数据隔离的操作步骤。
可选地,所述在所述应用服务器上不存在与所述运维账户绑定的影子账号时,在所述应用服务器上创建影子账号,包括:在所述应用服务器上不存在与所述运维账户绑定的影子账号时,调用影子账号创建脚本在所述应用服务器上创建所述影子账号。
在上述实现过程中,通过调用影子账号创建脚本进行影子账号的创建,能够提高影子账号创建效率。
可选地,所述将所述影子账号与所述运维账户进行绑定,包括:确定所述运维账户的唯一凭证;基于所述唯一凭证将所述影子账号与所述运维账户进行关联,完成绑定。
在上述实现过程中,将运维账户的唯一凭证作为标识进行影子账号和运维账户的关联绑定,提高了绑定准确性,能够直接根据运维账户信息在数据库中查询影子账号,提高了其查询效率。
本申请实施例还提供了一种运维数据隔离装置,所述装置包括:登录信息获取模块,用于获取运维用户的登录信息,所述登录信息包括运维账户;影子账号登录模块,用于调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维。
在上述实现过程中,通过为不同运维用户建立同一账号的影子账号,做到不同用户之间数据隔离,避免多用户操作同一账号引起数据污染的问题,使得多用户之间数据隔离。同时配置简单,只需要配置一个管理员账号即可,简化了数据隔离的操作步骤。
可选地,所述登录信息获取模块用于:接收所述运维用户通过远程终端协议程序发送的所述登录信息;在所述登录信息通过验证后,基于远程终端协议连接所述运维用户的设备。
在上述实现过程中,与运维用户通过远程终端协议完成登录验证,使用户能够进行远程运维操作,同时保证了运维安全性。
可选地,所述运维数据隔离装置还包括:影子账号获取模块,用于判断所述应用服务器上是否存在与所述运维账户绑定的影子账号;在所述应用服务器上存在与所述运维账户绑定的影子账号时,获取所述影子账号。
在上述实现过程中,在进行影子账号的登录前进行对应运维账户的绑定判断,能够在运维账户存在或不存在对应影子账号的两种情况下快速进行后续操作,提高了运维效率。
可选地,所述影子账号获取模块用于:基于所述运维账户和所述应用服务器型号,查询数据库中是否存在与所述运维账户绑定的所述影子账号。
在上述实现过程中,通过数据库对影子账号以及影子账号与运维账户的绑定关系进行存储,保证能够基于运维账户、应用服务器型号等对影子账号进行快速、准确地查询,提高了影子账号的查询及判定效率。
可选地,所述运维数据隔离装置还包括:影子账号创建模块,用于在所述应用服务器上不存在与所述运维账户绑定的影子账号时,在所述应用服务器上创建影子账号;将所述影子账号与所述运维账户进行绑定。
在上述实现过程中,通过影子账号和运维账户的绑定,实现了同一应用服务器上不同运维用户的数据隔离,减少了数据隔离的操作步骤。
可选地,所述影子账号创建模块用于:在所述应用服务器上不存在与所述运维账户绑定的影子账号时,调用影子账号创建脚本在所述应用服务器上创建所述影子账号。
在上述实现过程中,通过调用影子账号创建脚本进行影子账号的创建,能够提高影子账号创建效率。
可选地,所述影子账号创建模块用于:确定所述运维账户的唯一凭证;基于所述唯一凭证将所述影子账号与所述运维账户进行关联,完成绑定。
在上述实现过程中,将运维账户的唯一凭证作为标识进行影子账号和运维账户的关联绑定,提高了绑定准确性,能够直接根据运维账户信息在数据库中查询影子账号,提高了其查询效率。
本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种运维数据隔离方法的流程示意图。
图2为本申请实施例提供的一种影子账号判断步骤的流程示意图。
图3为本申请实施例提供的一种运维数据隔离装置的模块示意图。
图标:20-运维数据隔离装置;21-登录信息获取模块;22-影子账号登录模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
经本申请人研究发现,对于多用户共用同一应用服务器产生的安全问题却常常被忽略,多用户以相同账号登陆应用服务器连接服务时,产生的所有数据均是共同可见的,常常会造成数据污染,无法真正意义上对不同用户做权限控制。
例如,运维人员A、B登录堡垒机,然后以同一账号登陆某一应用服务器进行运维,A用户拥有企业MySQL数据库服务和Oracle数据库服务操作权限,而B用户仅仅能操作MySQL数据库。由于A、B是以相同账号登陆的,A、B在应用服务器产生的记录互相可见,此时用户B能够根据A用户操作产生的数据操作Oracle数据库。而要做到更有效的数据隔离,要求多用户以相同应用服务器账号进行运维时,做到产生的数据相互隔离的,用户只能查看到自己相关操作产生的数据。
目前对多用户以同一账号登录应用服务器进行运维产生的数据相互隔离技术主要包括以下方法:用户在创建应用服务器时,需要为每个用户建立一个账号。在该技术方案中,不同用户建立实体账号情况下,其他用户知道账号密码情况下也能够登录,无法做到数据隔离;由于系统账号增多,每个账号被病毒攻击时都会影响系统,系统风险增高,安全性较低。
为了解决上述问题,本申请实施例提供了一种运维数据隔离方法,请参考图1,图1为本申请实施例提供的一种运维数据隔离方法的流程示意图。该运维数据隔离方法具体步骤可以如下:
步骤S12:获取运维用户的登录信息。
应当理解的是,运维用户通常是登录堡垒机,然后通过登录信息在应用服务器进行服务器登录和运维操作,本实施例中的运维数据隔离方法的步骤可以是堡垒机执行。
上述应用服务器为需要进行运维的服务器,应用服务器又称应用程序服务器,是为应用程序提供业务逻辑的。它是基于组件的,位于以服务器为中心的架构的中间件。这个架构通常是一个主要的基于Web的界面。中间件是业务逻辑所在的应用服务器。而第三层,后端是负责数据库的服务器。应用程序服务器充当用户和数据库之间的交互,因此应用服务器通过各种协议向客户端应用程序打开业务逻辑。它还可以包括计算机、Web服务器或其他应用服务器上的图形用户界面,业务逻辑通过组件API实现。它还可以管理自己的资源以及执行安全性、事务处理、资源和连接池以及消息传递。
进一步地,应用服务器可以和数据库连接。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
具体地,堡垒机的核心思路是逻辑上将人与目标设备分离,建立“人→主账号(堡垒机用户账号)→授权→从账号(运维账户)的模式。在这种模式下,基于身份标识,通过集中管控安全策略的账号管理、授权管理和审计。而在此种逻辑上,一个堡垒机上可以有多个运维账户进行登录,必然会存在不同运维账户的数据相互产生污染的情况,从而造成仅仅通过不同的实体运维账户进行数据隔离时数据隔离效果较差、操作繁琐和系统风险较大的问题。
本实施例中的堡垒机可以根据具体运维需求选用商业堡垒机或开源堡垒,以及硬件堡垒机或软件堡垒机。
可选地,登录信息中除了包含运维账户,还可以包含登录时间、运维账户类型标识、运维账户安全性等级等其他信息。
上述运维账户可以是给访问应用服务器的每个用户分配的一个账号,让每个用户能够存放自己的私有文件,未授权之前每个人查看自己的文件,同时方便管理员实时或后期查证每个用户在系统中的操作行为。
可选地,上述运维账户可以分类为管理员账户、普通账户或系统账户等。管理员账户即为具有ROOT(根用户)权限的账户,普通账户为管理员账户和系统账户之外的账户,系统账户用于运行系统的某些服务程序。
具体地,步骤S12可以包括如下子步骤:
步骤S122:接收运维用户通过远程终端协议程序发送的登录信息。
步骤S124:在登录信息通过验证后,基于远程终端协议连接运维用户的设备。
远程终端(Telnet)协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力,在终端使用者(运维用户)的设备(堡垒机)上使用Telnet程序,用它连接到应用服务器。终端使用者可以在Telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样,从而可以在本地就能控制服务器。要开始一个Telnet会话,必须输入用户名和密码来登录服务器,即本实施例中的运维账户。
步骤S14:调用与运维账户绑定的影子账号在应用服务器进行登录,以使运维用户通过影子账号在应用服务器中登录运维。
影子账号是内部账号和外部账号的形式,主要起备查及处理不方便放在外部账号的数据的功能。其顾名思义就是隐藏的账号,之所以称其为“影子账号”,是因为这种账号用系统中提供的工具或方法都无法看到,并且无论是用户账、计算机管理,还是命令行中,都无法删除此账户,具有极高的稳定性和权限。同时,同一设备(例如应用服务器)上的影子账号之间的数据和操作互不干扰,相互隔离。
应当理解的是,在通过影子账号进行登录之前,还需要判断该应用服务器上是否存在运维账户的影子账号,请参考图2,图2为本申请实施例提供的一种影子账号判断步骤的流程示意图,步骤S14的具体步骤可以如下:
步骤S142:判断应用服务器上是否存在与运维账户绑定的影子账号。
具体地,步骤S142可以是基于运维账户和应用服务器型号,查询数据库中是否存在与运维账户绑定的影子账号。
运维账户可以是由英文字母、数字、汉字或其他任意字符组成的字符串,且每个运维账户的字符串是唯一的,以便进行运维账户的识别。
应用服务器型号可以为表示应用服务器类型或具体身份标识的字符串,该字符串也可以是由英文字母、数字、汉字或其他任意字符组成。
在将运维账户、应用服务器型号作为检索字段在数据库中查询时,通过增加应用服务器型号的检索字段能够更高效地匹配对应的影子账号。此外,除了应用服务器型号,为了进一步提高影子账号和运维账户的匹配精确度和效率,还可以添加运维账户登录区域等信息进行数据库查询。
可选地,上述数据库可以是MySQL数据库、Oracle数据库等任意类型的数据库。具体地,在数据库中可以将运维账户、应用服务器型号等作为键,将影子账号作为值进行存储。
步骤S144:在应用服务器上存在与运维账户绑定的影子账号时,获取影子账号。
步骤S146:在应用服务器上不存在与运维账户绑定的影子账号时,在应用服务器上创建影子账号。
具体地,本实施例中可以调用影子账号创建脚本在应用服务器上创建影子账号,该影子账号创建脚本可以通过对应用服务器的注册表进行操作实现影子账号的创建。
可选地,针对运维账户绑定的影子账号,两者之间的用户名相同,以表示其绑定关系。
步骤S148:将影子账号与运维账户进行绑定。
本实施例可以是将运维账户的用户名作为唯一凭证,基于唯一凭证将影子账号与运维账户进行关联,完成绑定。
在通过数据库实现影子账号和运维用户的绑定关系确定的方案下,其具体关联方式可以是将运维账户的唯一凭证(用户名)作为键、将对应的影子账号作为值存储在数据库中。
可选地,上述除了将运维账户用户名作为唯一凭证,还可以同时根据多个凭证进行两者绑定,例如将应用服务器型号也作为凭证。
此外,运维本质上是对网络、服务器、服务的生命周期各个阶段的运营与维护,在成本、稳定性、效率上达成一致可接受的状态。本实施例中在应用服务器中实现的运维操作可以是服务监控、服务故障管理、服务容量管理、服务性能优化、服务全局流量调度、服务任务调度、服务安全保障、服务集群管理、服务自动发布部署、数据库管理和数据传输管理等。
为了配合本实施例提供的上述运维数据隔离方法,本申请实施例还提供了一种运维数据隔离装置20。
请参考图3,图3为本申请实施例提供的一种运维数据隔离装置的模块示意图。
运维数据隔离装置20包括:
登录信息获取模块21,用于获取运维用户的登录信息,登录信息包括运维账户;
影子账号登录模块22,用于调用与运维账户绑定的影子账号在应用服务器进行登录,以使运维用户通过影子账号在应用服务器中登录运维。
可选地,登录信息获取模块21用于:接收运维用户通过远程终端协议程序发送的登录信息;在登录信息通过验证后,基于远程终端协议连接运维用户的设备。
可选地,运维数据隔离装置20还包括:影子账号获取模块,用于判断应用服务器上是否存在与运维账户绑定的影子账号;在应用服务器上存在与运维账户绑定的影子账号时,获取影子账号。
可选地,影子账号获取模块用于:基于运维账户和应用服务器型号,查询数据库中是否存在与运维账户绑定的影子账号。
可选地,运维数据隔离装置20还包括:影子账号创建模块,用于在应用服务器上不存在与运维账户绑定的影子账号时,在应用服务器上创建影子账号;将影子账号与运维账户进行绑定。
可选地,影子账号创建模块用于:在应用服务器上不存在与运维账户绑定的影子账号时,调用影子账号创建脚本在应用服务器上创建影子账号。
可选地,影子账号创建模块用于:确定运维账户的唯一凭证;基于唯一凭证将影子账号与运维账户进行关联,完成绑定。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行本实施例提供的运维数据隔离方法中任一项所述方法中的步骤。
应当理解是,该电子设备可以是个人电脑(Personal Computer,PC)、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行运维数据隔离方法中的步骤。
综上所述,本申请实施例提供了一种运维数据隔离方法、装置、电子设备及存储介质,所述方法包括:获取运维用户的登录信息,所述登录信息包括运维账户;调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维。
在上述实现过程中,通过为不同运维用户建立同一账号的影子账号,做到不同用户之间数据隔离,避免多用户操作同一账号引起数据污染的问题,使得多用户之间数据隔离。同时配置简单,只需要配置一个管理员账号即可,简化了数据隔离的操作步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RanDom Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种运维数据隔离方法,其特征在于,所述方法包括:
获取运维用户的登录信息,所述登录信息包括运维账户,其中,所述运维账户表示访问服务器的用户账号;
调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维,其中,不同的运维用户登录相同运维账户的情况下,不同的运维用户绑定的影子账号不同,所述影子账号表示隐藏账号,其用于备查及处理没有放在外部账号中的数据。
2.根据权利要求1所述的方法,其特征在于,所述获取运维用户的登录信息,包括:
接收所述运维用户通过远程终端协议程序发送的所述登录信息;
在所述登录信息通过验证后,基于远程终端协议连接所述运维用户的设备。
3.根据权利要求1所述的方法,其特征在于,在所述调用与所述运维账户绑定的影子账号在应用服务器进行登录之前,所述方法还包括:
判断所述应用服务器上是否存在与所述运维账户绑定的影子账号;
在所述应用服务器上存在与所述运维账户绑定的影子账号时,获取所述影子账号。
4.根据权利要求3所述的方法,其特征在于,所述判断所述应用服务器上是否存在与所述运维账户绑定的影子账号,包括:
基于所述运维账户和所述应用服务器的型号,查询数据库中是否存在与所述运维账户绑定的所述影子账号。
5.根据权利要求3所述的方法,其特征在于,在所述判断所述应用服务器上是否存在与所述运维账户绑定的影子账号之后,所述方法还包括:
在所述应用服务器上不存在与所述运维账户绑定的影子账号时,在所述应用服务器上创建影子账号;
将所述影子账号与所述运维账户进行绑定。
6.根据权利要求3所述的方法,其特征在于,所述在所述应用服务器上不存在与所述运维账户绑定的影子账号时,在所述应用服务器上创建影子账号,包括:
在所述应用服务器上不存在与所述运维账户绑定的影子账号时,调用影子账号创建脚本在所述应用服务器上创建所述影子账号。
7.根据权利要求5所述的方法,其特征在于,所述将所述影子账号与所述运维账户进行绑定,包括:
确定所述运维账户的唯一凭证;
基于所述唯一凭证将所述影子账号与所述运维账户进行关联,完成绑定。
8.一种运维数据隔离装置,其特征在于,所述装置包括:
登录信息获取模块,用于获取运维用户的登录信息,所述登录信息包括运维账户,其中,所述运维账户表示访问服务器的用户账号;
影子账号登录模块,用于调用与所述运维账户绑定的影子账号在应用服务器进行登录,以使所述运维用户通过所述影子账号在所述应用服务器中登录运维,其中,不同的运维用户登录相同运维账户的情况下,不同的运维用户绑定的影子账号不同,所述影子账号表示隐藏账号,其用于备查及处理没有放在外部账号中的数据。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-7中任一项所述方法中的步骤。
10.一种可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-7任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011114807.XA CN112231654B (zh) | 2020-10-16 | 2020-10-16 | 运维数据隔离方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011114807.XA CN112231654B (zh) | 2020-10-16 | 2020-10-16 | 运维数据隔离方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112231654A CN112231654A (zh) | 2021-01-15 |
| CN112231654B true CN112231654B (zh) | 2024-02-06 |
Family
ID=74118864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011114807.XA Active CN112231654B (zh) | 2020-10-16 | 2020-10-16 | 运维数据隔离方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112231654B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110895603B (zh) * | 2019-11-05 | 2021-11-26 | 泰康保险集团股份有限公司 | 多系统账号信息整合方法和装置 |
| CN112988295B (zh) * | 2021-02-04 | 2024-08-02 | 中国农业银行股份有限公司 | 数据获取方法和装置 |
| CN113378245B (zh) * | 2021-07-07 | 2024-07-19 | 北京安天网络安全技术有限公司 | 安全状态数据的运维方法、装置、电子设备及存储介质 |
| CN114338115A (zh) * | 2021-12-21 | 2022-04-12 | 北京三快在线科技有限公司 | 一种无人设备的远程登录方法及装置 |
| CN118101347B (zh) * | 2024-04-25 | 2024-08-27 | 深圳昂楷科技有限公司 | 数据库防火墙防护方法、装置、终端设备以及存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102456015A (zh) * | 2010-10-25 | 2012-05-16 | 中国移动通信集团河南有限公司 | 对数据库中的账号信息进行管理操作的方法、系统及装置 |
| CN102843256A (zh) * | 2012-05-11 | 2012-12-26 | 摩卡软件(天津)有限公司 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
| CN104081742A (zh) * | 2011-12-12 | 2014-10-01 | 诺基亚公司 | 用于提供联合服务账户的方法和装置 |
| CN104702463A (zh) * | 2014-12-17 | 2015-06-10 | 北京百度网讯科技有限公司 | 一种对多机房进行旁路测试的方法、装置及系统 |
| CN105139139A (zh) * | 2015-08-31 | 2015-12-09 | 国家电网公司 | 用于运维审计的数据处理方法和装置及系统 |
| CN106920022A (zh) * | 2015-12-28 | 2017-07-04 | 上海烟草集团有限责任公司 | 卷烟工业控制系统的安全脆弱性评估方法、系统及设备 |
| CN107528830A (zh) * | 2017-08-03 | 2017-12-29 | 携程旅游信息技术(上海)有限公司 | 账号登陆方法、系统及存储介质 |
| CN109670297A (zh) * | 2018-12-14 | 2019-04-23 | 泰康保险集团股份有限公司 | 业务权限的开通方法、装置、存储介质及电子设备 |
| CN110417820A (zh) * | 2019-09-05 | 2019-11-05 | 曙光信息产业(北京)有限公司 | 单点登录系统的处理方法、装置及可读存储介质 |
| CN110636055A (zh) * | 2019-09-05 | 2019-12-31 | 深圳龙图腾创新设计有限公司 | 登录鉴权管理系统、登陆方法、登陆装置以及计算机设备 |
| CN110730153A (zh) * | 2018-07-16 | 2020-01-24 | 阿里巴巴集团控股有限公司 | 云设备的账号配置方法、装置和系统、数据处理方法 |
| CN111125759A (zh) * | 2019-12-19 | 2020-05-08 | 上海上讯信息技术股份有限公司 | 数据库登录账号屏蔽方法、装置及电子设备 |
| CN111324876A (zh) * | 2020-02-25 | 2020-06-23 | 海南新软软件有限公司 | 一种交易所登录方法及装置 |
| CN111488306A (zh) * | 2020-03-26 | 2020-08-04 | 浙江口碑网络技术有限公司 | 攻防架构系统及攻防架构系统的搭建方法 |
| CN111737232A (zh) * | 2020-06-24 | 2020-10-02 | 深圳前海微众银行股份有限公司 | 数据库管理方法、系统、装置、设备及计算机存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9501635B2 (en) * | 2008-06-25 | 2016-11-22 | Microsoft Technology Licensing, Llc | Isolation of services or processes using credential managed accounts |
| US10282558B2 (en) * | 2016-09-02 | 2019-05-07 | The Toronto-Dominion Bank | System and method for maintaining a segregated database in a multiple distributed ledger system |
| US20200014664A1 (en) * | 2018-07-06 | 2020-01-09 | Averon Us, Inc. | Shadow Protocol Enabling Communications Through Remote Account Login |
-
2020
- 2020-10-16 CN CN202011114807.XA patent/CN112231654B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102456015A (zh) * | 2010-10-25 | 2012-05-16 | 中国移动通信集团河南有限公司 | 对数据库中的账号信息进行管理操作的方法、系统及装置 |
| CN104081742A (zh) * | 2011-12-12 | 2014-10-01 | 诺基亚公司 | 用于提供联合服务账户的方法和装置 |
| CN102843256A (zh) * | 2012-05-11 | 2012-12-26 | 摩卡软件(天津)有限公司 | 一种基于轻型目录访问协议(ldap)的it系统管理方法 |
| CN104702463A (zh) * | 2014-12-17 | 2015-06-10 | 北京百度网讯科技有限公司 | 一种对多机房进行旁路测试的方法、装置及系统 |
| CN105139139A (zh) * | 2015-08-31 | 2015-12-09 | 国家电网公司 | 用于运维审计的数据处理方法和装置及系统 |
| CN106920022A (zh) * | 2015-12-28 | 2017-07-04 | 上海烟草集团有限责任公司 | 卷烟工业控制系统的安全脆弱性评估方法、系统及设备 |
| CN107528830A (zh) * | 2017-08-03 | 2017-12-29 | 携程旅游信息技术(上海)有限公司 | 账号登陆方法、系统及存储介质 |
| CN110730153A (zh) * | 2018-07-16 | 2020-01-24 | 阿里巴巴集团控股有限公司 | 云设备的账号配置方法、装置和系统、数据处理方法 |
| CN109670297A (zh) * | 2018-12-14 | 2019-04-23 | 泰康保险集团股份有限公司 | 业务权限的开通方法、装置、存储介质及电子设备 |
| CN110417820A (zh) * | 2019-09-05 | 2019-11-05 | 曙光信息产业(北京)有限公司 | 单点登录系统的处理方法、装置及可读存储介质 |
| CN110636055A (zh) * | 2019-09-05 | 2019-12-31 | 深圳龙图腾创新设计有限公司 | 登录鉴权管理系统、登陆方法、登陆装置以及计算机设备 |
| CN111125759A (zh) * | 2019-12-19 | 2020-05-08 | 上海上讯信息技术股份有限公司 | 数据库登录账号屏蔽方法、装置及电子设备 |
| CN111324876A (zh) * | 2020-02-25 | 2020-06-23 | 海南新软软件有限公司 | 一种交易所登录方法及装置 |
| CN111488306A (zh) * | 2020-03-26 | 2020-08-04 | 浙江口碑网络技术有限公司 | 攻防架构系统及攻防架构系统的搭建方法 |
| CN111737232A (zh) * | 2020-06-24 | 2020-10-02 | 深圳前海微众银行股份有限公司 | 数据库管理方法、系统、装置、设备及计算机存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 公安云平台运维实践的思考;王彪;袁琪;;湖北职业技术学院学报(第04期);全文 * |
| 基于医科类院校堡垒机的建设及应用展望初探;彭桂芬;者明伟;韩华;;现代信息科技(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112231654A (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112231654B (zh) | 运维数据隔离方法、装置、电子设备及存储介质 | |
| US10938827B2 (en) | Automatically provisioning new accounts on managed targets by pattern recognition of existing account attributes | |
| US10462148B2 (en) | Dynamic data masking for mainframe application | |
| Natan | Implementing database security and auditing | |
| JP2008097419A (ja) | アプリケーション稼働制御システムおよびアプリケーション稼働制御方法 | |
| JP5102556B2 (ja) | ログ解析支援装置 | |
| CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN109271807A (zh) | 数据库的数据安全处理方法及系统 | |
| US7305374B2 (en) | Method, system and program product for automated testing of changes to externalized rules | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| Fehér et al. | Log file authentication and storage on blockchain network | |
| JP5102555B2 (ja) | ログ解析支援装置 | |
| CN108933678A (zh) | 运维审计系统 | |
| Giuseppini et al. | Microsoft Log Parser Toolkit: A complete toolkit for Microsoft's undocumented log analysis tool | |
| CN109257213B (zh) | 判断计算机终端准入验证失败的方法和装置 | |
| JP5069057B2 (ja) | ログ解析支援装置 | |
| CN114036505A (zh) | 安全运维分析服务器、安全运维分析方法、计算机设备 | |
| CN102752318B (zh) | 一种基于互联网的信息安全验证方法和系统 | |
| KR102660695B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| Bakshi et al. | Improving threat detection capabilities in windows endpoints with osquery | |
| Stanek | Microsoft SQL Server 2012 Pocket Consultant | |
| Lindskog et al. | Different Aspects of Security Problems in Network Operating Systems | |
| Cherry | Why IT Security Matters | |
| Mäntysaari | Planning and implementation of honeypot system: building of a bogus Microsoft SQL server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |