支持多种运维工具连接使用及获取审计的连接方法及装置与流程

本发明涉及特权账号连接运维领域，特别涉及一种支持多种运维工具连接使用及获取审计的连接方法及装置。

背景技术：

特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号。根据安全等级规范要求，当这些特权账号被使用时，都需要被监控及审计，以确认运维人员是否正确行使其职能、是否遵守了管理规则、运维任务是否被正确处理、任务处理期间是否有不正当行为等。市面上也有带审计功能的特权账号连接工具，但支持的类型不多，普遍只支持rdp连接和ssh连接的监控和审计，对于其他类型的特权账号(如数据库账号，需要用数据库工具进行登陆，或者一些需要在网页登陆的特权账号，或者需要普通账号进行提权的特权账号)则不能支持。但是特权账号的类型远远不止操作系统，需要使用到的工具场景也会越来越多(如需要用到网页、客户端等工具进行连接)。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种可动态扩展特权账号连接工具，使得企业或者组织所花费的成本大幅降低，不用做专门的连接工具定制开发、停机升级现有连接工具等影响正常连接的行为的支持多种运维工具连接使用及获取审计的连接方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种支持多种运维工具连接使用及获取审计的连接方法，包括如下步骤：

a)登录特权管理系统的门户网站；

b)展开能使用的工具列表，从所述工具列表中选择对应要使用的运维工具并连接；

c)点击连接后，所述门户网站返回一个rdp文件，用于连接特权会话管理工具服务器；

d)打开远程会话连接后，特权会话管理工具打开相应的运维工具，并对所述运维工具的使用过程进行审计和监控。

在本发明所述的支持多种运维工具连接使用及获取审计的连接方法中，还包括如下步骤：

a＇)所述特权会话管理工具服务器存储所有需要用到的运维工具，并在所述门户网站定义好相应的id；

b＇)当需要新加运维工具时，在所述特权会话管理工具服务器上安装相应的运维工具，并在所述门户网站上定义好相应的id，更新所述工具列表，执行步骤b)。

在本发明所述的支持多种运维工具连接使用及获取审计的连接方法中，在所述门户网站上能定义通过命令行打开或通过运行脚本打开所述运维工具，还能通过运行脚本对所述运维工具进行个性化裁剪设置。

在本发明所述的支持多种运维工具连接使用及获取审计的连接方法中，所述特权会话管理工具中集成多种所述运维工具。

在本发明所述的支持多种运维工具连接使用及获取审计的连接方法中，所述特权管理系统包括：

节点管理单元：用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理；

账号管理单元：用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作；

访问控制单元：用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限；

会话监控单元：用于为用户对账号的单点登录过程实现录像、监控、拦截及审计；

审计管理单元：用于为审计部门提供日志查询，所述日志查询至少包括账号的使用与管理和平台自身变更的日志查询；

审批管理单元：用于为用户提供一事一审的账号使用流程审批能力；

系统设置单元：用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数；

所述节点管理单元、所述账号管理单元、所述访问控制单元、所述会话监控单元、所述审计管理单元、所述审批管理单元和所述系统设置单元相互连接。

本发明还涉及一种实现上述支持多种运维工具连接使用及获取审计的连接方法的装置，包括：

门户网站登录单元：用于登录特权管理系统的门户网站；

运维工具选择单元：用于展开能使用的工具列表，从所述工具列表中选择对应要使用的运维工具并连接；

rdp文件返回单元：用于点击连接后，所述门户网站返回一个rdp文件，用于连接特权会话管理工具服务器；

审计监控单元：用于打开远程会话连接后，特权会话管理工具打开相应的运维工具，并对所述运维工具的使用过程进行审计和监控。

在本发明所述的装置中，还包括：

运维工具存储单元：用于所述特权会话管理工具服务器存储所有需要用到的运维工具，并在所述门户网站定义好相应的id；

新增运维工具单元：用于当需要新加运维工具时，在所述特权会话管理工具服务器上安装相应的运维工具，并在所述门户网站上定义好相应的id，更新所述工具列表。

在本发明所述的装置中，在所述门户网站上能定义通过命令行打开或通过运行脚本打开所述运维工具，还能通过运行脚本对所述运维工具进行个性化裁剪设置。

在本发明所述的装置中，所述特权会话管理工具中集成多种所述运维工具。

实施本发明的支持多种运维工具连接使用及获取审计的连接方法及装置，具有以下有益效果：由于多种运维工具集成在特权会话管理工具中，当登录特权管理系统的门户网站后，从工具列表中选择对应要使用的运维工具并连接，点击连接后，门户网站返回一个rdp文件；打开远程会话连接后，特权会话管理工具打开相应的运维工具，并对运维工具的使用过程进行审计和监控，本发明可动态扩展特权账号连接工具，使得企业或者组织所花费的成本大幅降低，不用做专门的连接工具定制开发、停机升级现有连接工具等影响正常连接的行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明支持多种运维工具连接使用及获取审计的连接方法及装置一个实施例中方法的流程图；

图2为所述实施例中支持多种运维工具连接使用及获取审计的连接方法的流程简图；

图3为所述实施例中特权管理系统的结构示意图；

图4为所述实施例中装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明支持多种运维工具连接使用及获取审计的连接方法及装置实施例中，其支持多种运维工具连接使用及获取审计的连接方法的流程图如图1所示，

图2为本实施例中支持多种运维工具连接使用及获取审计的连接方法的流程简图。

图1中，该支持多种运维工具连接使用及获取审计的连接方法包括如下步骤：

步骤s01登录特权管理系统的门户网站：本步骤中，用户通过账号和密码登录特权管理系统的门户网站。

图3为本实施例中特权管理系统的结构示意图，图3中，该特权管理系统包括相互连接的节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7；其中，节点管理单元1用于构建符合企业组织架构的目录树，并允许赋权不同用户对各自目录的独立管理。

账号管理单元2用于特权账号的导入托管，并以特权账号本体为中心实现账号的生命周期管理工作。具体而言，针对需要进行密码自动化校验、改密甚至重置(找回密码)的特权账号类型繁多、内嵌至devops工具、代码、程序常见同时难以管理的问题。例如，持续集成工具jenkins工具会内嵌云平台的开发访问密钥，意味着密钥容易暴露于工具配置中，且难以被审计使用情况，也不利于定期轮换密钥的维护工作。那么账号管理单元2都能很好地解决以上问题。另外，用户即人类需要对这些新型账号凭证使用时，通过账号管理单元2的单点登录连接模块即可实施凭证不落地的安全使用。

访问控制单元3用于负责实现账号使用的权限细分，让不同用户对不同账号有不同的使用权限。访问控制单元3的账号密码箱提供了新增、修改与管理账号密码箱能力，为账号存储提供逻辑独立空间，密码箱。同时提供基于密码箱集合对用户、进行的访问使用授权。

会话监控单元4用于方便为用户对账号的单点登录过程实现录像、监控、拦截及审计。能提供快速查询会话、定位操作记录、实现会话干预、操作拦截等功能。

审计管理单元5用于为审计部门提供日志查询，该日志查询至少包括账号的使用与管理和平台自身变更的日志查询。换言之，审计管理单元5为审计部门提供账号使用与管理、平台自身变更等维度的日志查询。其日志内容满足账号操作轨迹回溯、用户行为分析之用。

审批管理单元6用于为用户提供一事一审的账号使用流程审批能力。审批流程可以指定审批人、操作内容、时间窗口、原因等因素。且审批管理单元6具备插件化扩展能力，满足对接外部工单系统平台需求。

系统设置单元7用于为用户提供全平台的账号策略、连接策略、门户设置和自编属性参数等能力。该系统设置单元7主要与账号管理单元2进行互相连接。

本发明通过设置节点管理单元1、账号管理单元2、访问控制单元3、会话监控单元4、审计管理单元5、审批管理单元6和系统设置单元7，能够自动化管理企业的特权账号，且能让用户在不接触密码的前提下进行单点登录使用，同时还能针对云、devops、容器化等环境下的特权账号做灵活的、插件式的账号管理。

步骤s02展开能使用的工具列表，从工具列表中选择对应要使用的运维工具并连接；多种运维工具集成在特权会话管理工具中：本步骤中，展开可以使用的工具列表，该工具列表中记录有运维工具的id等信息，从工具列表中选择对应要使用的运维工具并连接。特权会话管理工具中集成有多种运维工具，该特权会话管理工具是一种可以集成多种运维工具并支持使用时提供审计及监控功能的工具。当用户选择相应的运维工具并点击连接时，会在本地发起远程会话自动连接至特权会话管理工具所在服务器，并打开相应的运维工具，提供给用户进行使用。

步骤s03点击连接后，门户网站返回一个rdp文件，用于连接特权会话管理工具服务器：本步骤中，点击连接后，门户网站返回一个rdp文件，用于连接特权会话管理工具服务器。

步骤s04打开远程会话连接后，特权会话管理工具打开相应的运维工具，并对运维工具的使用过程进行审计和监控：本步骤中，用户打开远程会话连接后，特权会话管理工具打开相应的运维工具，供用户使用，对用户使用运维工具的过程进行审计和监控。上述步骤s01至步骤s04为用户端的操作。

由于多种运维工具集成在特权会话管理工具中，本发明的方法可动态扩展特权账号连接工具，使得企业或者组织所花费的成本大幅降低，不用做专门的连接工具定制开发、停机升级现有连接工具等影响正常连接的行为。

本实施例中，该支持多种运维工具连接使用及获取审计的连接方法还包括如下步骤：

步骤s01＇特权会话管理工具服务器存储所有需要用到的运维工具，并在门户网站定义好相应的id：本步骤中，特权会话管理工具服务器中存储所有需要用到的运维工具，并在门户网站定义好相应的id。

步骤s02＇当需要新加运维工具时，在特权会话管理工具服务器上安装相应的运维工具，并在门户网站上定义好相应的id，更新工具列表：本步骤中，当需要新加运维工具时，在特权会话管理工具服务器上安装相应的运维工具，并在门户网站上定义好相应的id，此时工具列表也会自动更新。执行完本步骤，执行步骤s02。

上述步骤s01＇至步骤s02＇是管理端的操作。

在本发明的方法中，特权会话管理工具支持运维工具打开的多样化，在门户网站上可定义通过命令行打开或通过运行脚本打开，甚至可以运行脚本对工具进行个性化裁剪设置。

本实施例还涉及一种实现上述支持多种运维工具连接使用及获取审计的连接方法的装置，该装置的结构示意图如图4所示。图4中，该装置包括门户网站登录单元100、运维工具选择单元200、rdp文件返回单元300和审计监控单元400；其中，门户网站登录单元100用于登录特权管理系统的门户网站；运维工具选择单元200用于展开能使用的工具列表，从工具列表中选择对应要使用的运维工具并连接；多种运维工具集成在特权会话管理工具中；rdp文件返回单元300用于点击连接后，门户网站返回一个rdp文件，用于连接特权会话管理工具服务器；审计监控单元400用于打开远程会话连接后，特权会话管理工具打开相应的运维工具，并对运维工具的使用过程进行审计和监控。

由于多种运维工具集成在特权会话管理工具中，本发明的装置可动态扩展特权账号连接工具，使得企业或者组织所花费的成本大幅降低，不用做专门的连接工具定制开发、停机升级现有连接工具等影响正常连接的行为。

本实施例中，该装置还包括运维工具存储单元100＇和新增运维工具单元200＇；其中，运维工具存储单元100＇用于特权会话管理工具服务器存储所有需要用到的运维工具，并在门户网站定义好相应的id；新增运维工具单元200＇用于当需要新加运维工具时，在特权会话管理工具服务器上安装相应的运维工具，并在门户网站上定义好相应的id，更新工具列表。

在本发明的装置中，特权会话管理工具支持运维工具打开的多样化，在门户网站上可定义通过命令行打开或通过运行脚本打开，甚至可以运行脚本对工具进行个性化裁剪设置。

总之，本发明支持多种运维工具以带审计方式连接特权账号进行运维，由于多种运维工具集成在特权会话管理工具中，本发明可动态扩展特权账号连接工具，使得企业或者组织所花费的成本大幅降低，不用做专门的连接工具定制开发、停机升级现有连接工具等影响正常连接的行为。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。