一种运维安全审计方法及系统技术领域
本发明涉及运维安全技术领域,更具体地说,涉及一种运维安全审计方法,还涉及
一种运维安全审计系统。
背景技术
IT系统运维指IT运维人员对IT运行环境如软件环境、网络环境进行维护修复,运
维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全或者业
务安全,因为运维安全位于最底层,或涉及到服务器、网络设备、基础应用等,一旦出现安全
问题,会直接威胁到服务器的安全,严重影响公司核心业务。
目前,现有技术中对IT运维人员的身份识别通常在登陆时进行身份认证,如账号
认证,手机绑定认证或者人脸识别认证,其中,人脸识别认证仅仅在运维前进行脸部特征码
的比对。然而,由于账号密码泄露、手机丢失或者无法进行人脸识别无法在运维前进行身份
识别,同时在运维中或者运维后对IT运维人员无法在运维前进行身份识别,导致了无法对
IT运维人员的真实身份鉴别。
除此之外,运维过程中,运维操作不当会遗留潜在的安全威胁,由于管理和运维过
程记录的缺失,未能指定责任人及时进行审计,导致系统问题无法及时追根溯源,不能及时
排除。
因此,如何在运维过程中对IT运维人员的身份均进行身份鉴别,以及如何及时发
现违规运维操作是本领域技术人员急需要解决的技术问题。
发明内容
为解决上述技术问题,本发明提供一种运维安全审计方法,能够在运维过程中对
IT运维人员的身份均进行身份鉴别,还能够及时发现违规运维操作。
为实现上述目的,本发明提供如下技术方案:
一种运维安全审计方法,其特征在于,包括:
接收运维人员发送的登陆请求,对所述登陆请求进行验证;
若验证通过,则实时获取并储存所述运维人员的人脸图像信息,同时实时记录针
对运维目标设备的运维操作;
根据所述人脸图像信息实时的对所述运维人员的身份进行验证,并且判断所述运
维操作是否为违规操作;
若所述运维人员身份验证错误,和/或所述运维操作为违规操作时,发送报警信号
和/或停止运维操作信号;
将所述人脸图像信息与所述运维操作进行关联分析,形成运维链路,并根据所述
运维链路进行审计。
优选的,在上述运维安全审计方法中,所述人脸图像信息包括人脸截图和/或人脸
录像。
优选的,在上述运维安全审计方法中所述根据所述人脸图像信息实时的对所述运
维人员的身份进行验证,具体包括:
将所述人脸截图和/或所述人脸录像与所述人脸特征码进行比较;
若所述人脸截图和/或所述人脸录像与所述人脸特征码不一致,则验证结果为所
述运维人员身份验证错误;
若所述人脸截图和/或所述人脸影像与所述人脸特征码一致,则验证结果为所述
运维人员身份验证正确。
优选的,在上述运维安全审计方法中所述实时记录针对运维目标设备的运维操作
之后,还包括:
将所述运维操作转换为图形化界面进行显示,或将所述运维操作转换为用于检索
的字符操作命令。
优选的,在上述运维安全审计方法中所述根据所述运维链路进行审计,具体包括:
根据所述运维链路对所述运维操作进行交替审计;
若审计结果为有异议的审计结果,则对所述审计结果进行复审。
本发明还提供了一种运维安全审计系统,包括:
登陆验证模块,用于接收运维人员发送的登陆请求,对所述登陆请求进行验证;
图像获取模块,用于实时获取并储存所述运维人员的人脸图像信息;
操作记录模块,用于实时记录针对运维目标设备的运维操作;
身份验证模块,用于根据所述人脸图像信息实时的对所述运维人员的身份进行验
证;
违规判断模块,用于判断所述运维操作是否为违规操作;
报警中断模块,用于若所述运维人员身份验证错误,和/或所述运维操作为违规操
作时,发送报警信号和/或停止运维操作信号;
运维关联模块,用于将所述人脸图像信息与所述运维操作进行关联分析,形成运
维链路;
运维审计模块,用于根据所述运维链路进行审计。
优选的,在上述运维安全审计系统中,还包括:
转换模块,用于将所述运维操作转换为图形化界面进行显示,或将所述运维操作
转换为用于检索的字符操作命令。
从上述技术方案可以看出,本发明所提供的一种运维安全审计方法,包括:接收运
维人员发送的登陆请求,对所述登陆请求进行验证;若验证通过,则实时获取并储存所述运
维人员的人脸图像信息,同时实时记录针对运维目标设备的运维操作;根据所述人脸图像
信息实时的对所述运维人员的身份进行验证,并且判断所述运维操作是否为违规操作;若
所述运维人员身份验证错误,和/或所述运维操作为违规操作时,发送报警信号和/或阻断
所述运维操作;将所述人脸图像信息与所述运维操作进行关联分析,形成运维链路,并根据
所述运维链路进行审计。
相比现有技术中,在运维过程中并没有对运维人员的身份进行继续验证,而本发
明在运维过程中,即对运维人员发送的登陆请求通过后,在实时获取运维人员的人脸图像
信息,并根据人脸图像信息对运维人员的身份进行验证,即在运维过程中对运维人员的人
脸不断进行识别,并且当运维人员身份验证错误时,进行报警或者停止运维操作,避免了在
运维过程中运维人员的替换,防止他人恶意使用,保证了整个运维过程中运维人员身份的
真实性和可靠性。
又由于在运维过程中,实时记录针对运维目标设备的运维操作,并判断所述运维
操作是否为违规操作,运维操作为违规操作时,发送报警信号和/或停止运维操作信号,实
现了在运维过程中对运维操作的实时监控,及时发现违规操作,并及时报警并停止运维操
作,加强运维操作安全性,降低运维操作风险。
又由于将所述人脸图像信息与所述运维操作进行关联分析,形成运维链路,形成
的运维链路将人脸图像信息、运维操作进行关联,便于后续进行审计,节约审计时间,提高
审计效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
图1为本发明实施例提供的一种运维安全审计方法示意图;
图2为本发明实施例提供的一种运维安全审计系统示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完
整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于
本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例提供的一种运维安全审计方法示意图。
在一种具体的实施方式中,提供了一种运维安全审计方法,包括如下步骤:
步骤S01:接收运维人员发送的登陆请求,对所述登陆请求进行验证;
其中,在运维前,采集运维人员的人脸信息,即记录人脸图像截图或者人脸录像,
为后续审计追踪提供依据;录入人员信息和运维设备信息,运维设备的账号和密码、人员权
限的授予和安全策略的配置。登陆请求可以为运维人员的人脸信息,通过人脸识别进行认
证,登陆请求还可以为运维设备的账号以及静态密码,通过口令/认证码认证,双因子认证
方式进行统一认证,保证登录人的身份。
除此之外,还对运维目标设备进行分组管理,并能对运维目标设备的账号以及密
码进行统一管理,可以定期修改目标运维设备的帐号以及密码,满足账号以及密码的安全
强度需求。基于运维人员、运维目标设备、运维目标设备组、运维目标设备账号运维时间段
等组合授权,实现对运维操作的控制。
步骤S02:若验证通过,则实时获取并储存所述运维人员的人脸图像信息,同时实
时记录针对运维目标设备的运维操作;
其中,在运维过程中定时进行人脸识别,人脸识别基于人的脸部特征信息进行身
份识别的一种生物识别技术,具体是用摄像机或摄像头采集含有人脸的图像或视频流,并
自动在图像中检测和跟踪人脸,对采集到的人脸图像进行识别。目的是在运维过程中进行
人员身份的验证,确保是登录人,防止他人恶意使用,整个运维过程保证人员身份的真实
性。
步骤S03:根据所述人脸图像信息实时的对所述运维人员的身份进行验证,并且判
断所述运维操作是否为违规操作;若所述运维人员身份验证错误,和/或所述运维操作为违
规操作时,发送报警信号和/或停止运维操作信号;
其中,在运维过程中,根据用户配置自动定期进行运维人员进行人脸验证,当三次
无法通过验证,被认为是违规人员在操作,强制停止运维操作,并进行报警,保证了运维人
员的唯一性,需要多人合作时,原本的运维人员在场,当只有陌生人面孔时,系统也要发出
警告,完成对运维会话的监控,识别危险操作发出警告,并根据警告等级,中断运维会话,或
者关闭运维会话。对禁止的运维命令及运维命令集进行控制,在线会话监控,能够对在线的
运维会话过程实现同步实时监控、实时阻断,能够记录键盘鼠标敲击信息,准确掌握所有运
维动作,能够对在线运维会话的违规命令进行实时报警,强化风险控制,能够对运维会话进
行实时监控。
步骤S04:将所述人脸图像信息与所述运维操作进行关联分析,形成运维链路,并
根据所述运维链路进行审计。
提供人脸信息、运维审计提供各类会话运维过程记录,在一定关联算法的模型基
础上,将二者和其他因素进行关联分析,形成完整过程链路作为审计依据。内部预制系统自
身日志、系统管理员日志、安全管理员日志、安全审计员日志、运维人员日志,记录各类人员
的操作过程及系统自身的运行过程,满足审计需求。快速字符和关键图形检索,进行定位运
维记录,便于查询、检索与归档,同时可以对运维操作进行图形化回放,保证审计记录100%
不丢失。结合人脸信息、身份信息、运维时间、运维会话,系统名称、系统账号、日志信息,终
端IP多元素关联分析,可形成完整的运维链路,同时展现操作人、操作内容、操作途径、操作
时间,达到运维审计关键因素全面覆盖。
相比现有技术中,在运维过程中并没有对运维人员的身份进行继续验证,而本发
明在运维过程中,即对运维人员发送的登陆请求通过后,在实时获取运维人员的人脸图像
信息,并根据人脸图像信息对运维人员的身份进行验证,即在运维过程中对运维人员的人
脸不断进行识别,并且当运维人员身份验证错误时,进行报警或者停止运维操作,避免了在
运维过程中运维人员的替换,防止他人恶意使用,保证了整个运维过程中运维人员身份的
真实性和可靠性。
又由于在运维过程中,实时记录针对运维目标设备的运维操作,并判断所述运维
操作是否为违规操作,运维操作为违规操作时,发送报警信号和/或停止运维操作信号,实
现了在运维过程中对运维操作的实时监控,及时发现违规操作,并及时报警并停止运维操
作,加强运维操作安全性,降低运维操作风险。
又由于将所述人脸图像信息与所述运维操作进行关联分析,形成运维链路,形成
的运维链路将人脸图像信息、运维操作进行关联,便于后续进行审计,节约审计时间,提高
审计效率。
在上述实施例的基础上,所述人脸图像信息包括人脸截图和/或人脸录像。
进一步的,在上述运维安全审计方法中所述根据所述人脸图像信息实时的对所述
运维人员的身份进行验证,具体包括:
将所述人脸截图和/或所述人脸录像与所述人脸特征码进行比较;
若所述人脸截图和/或所述人脸录像与所述人脸特征码不一致,则验证结果为所
述运维人员身份验证错误;
若所述人脸截图和/或所述人脸影像与所述人脸特征码一致,则验证结果为所述
运维人员身份验证正确。
更进一步的,在上述运维安全审计方法中所述实时记录针对运维目标设备的运维
操作之后,还包括:
将所述运维操作转换为图形化界面进行显示,或将所述运维操作转换为用于检索
的字符操作命令。
基于数据包还原的情况下,采用协议分析以及虚拟化技术来实现操作界面模拟,
将所有的操作转换为图形化界面予以展现,实现审计信息不丢失。除了运维操作图形化审
计功能的展现外,还能对字符进行分析,包括命令行操作的命令以及回显信息和非字符型
操作时键盘、鼠标的敲击信息。虚拟化操作过程中,对于SQL/PLUS工具,可对关键命令,如
drop、delete等进行命令识别,达到警告和阻断的效果。对于图形化操作回放中,关键图形
定位,能够基于特殊操作标志进行定位,省去人工查看的时间,提高审计效率。系统支持的
审计协议以及工具包括:终端命令操作:Telnet、SSH;Windows图形:RDP、X11、pcAnywhere、
DameWare等;Unix/Linux图形:VNC;文件上传和下载:FTP、SFTP;基于BS的管理操作:Http、
Https;数据库管理工具:SQLPlus等所有工具。
在上述实施例的基础上,在上述运维安全审计方法中所述根据所述运维链路进行
审计,具体包括:
根据所述运维链路对所述运维操作进行交替审计;
若审计结果为有异议的审计结果,则对所述审计结果进行复审。
具体的,根据所述运维链路为运维人员分配A/B岗审计人员,并作期限限制,默认
为24小时内,B岗审计人员可在A岗无法及时审批的情况下,替A岗完成审计任务若审计结果
为有异议的审计结果,可申请进行复审,提高运维操作的重视级别,形成闭环审计。
本发明还提供了一种运维安全审计系统,包括:
登陆验证模块01,用于接收运维人员发送的登陆请求,对所述登陆请求进行验证;
图像获取模块02,用于实时获取并储存所述运维人员的人脸图像信息;
操作记录模块03,用于实时记录针对运维目标设备的运维操作;
身份验证模块04,用于根据所述人脸图像信息实时的对所述运维人员的身份进行
验证;
违规判断模块05,用于判断所述运维操作是否为违规操作;
报警中断模块06,用于若所述运维人员身份验证错误,和/或所述运维操作为违规
操作时,发送报警信号和/或停止运维操作信号;
运维关联模块07,用于将所述人脸图像信息与所述运维操作进行关联分析,形成
运维链路;
运维审计模块08,用于根据所述运维链路进行审计。
进一步的,在上述运维安全审计系统中,还包括:
转换模块,用于将所述运维操作转换为图形化界面进行显示,或将所述运维操作
转换为用于检索的字符操作命令。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他
实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。
对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的
一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明
将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一
致的最宽的范围。