专利名称:一种基于虚拟桌面的运维管理方法
技术领域:
本发明涉及一种运维管理方法,尤其是一种基于虚拟桌面的运维管理方法。
背景技术:
现有的运维管理方法只是加强了运维人员的管理、运维操作的审计,运维模式没有变化,运维人员的操作更加复杂。如运维人员使用ssh方式进行运维时,先用运维人员帐号、密码登录运维管理系统,再使用SSh登录到被维护的主机上,过程如图1所示。现有的运维管理方法运维人员和服务器之间直接连接,容易造成运维时误操作产生的危害,操作复杂。
发明内容
本发明提供了一种降低运维时误操作产生的危害、对运维人员进行集中管理的基于虚拟桌面的运维管理方法。实现本发明目的的基于虚拟桌面的运维管理方法,包括如下步骤:(I)运维人员在运维终端使用B/S模式登录运维管理系统,进入堡垒主机提供的虚拟桌面;(2)在虚拟桌面上查看所维护的设备和工具;(3)选择运行相应的运维工具后,运维工具会根据系统管理员配置,自动与被维护服务器建立相应链接;(4)运维人员在虚拟桌面上连接服务器进行维护操作。所述的基于虚拟桌面的运维管理方法,通过以下方法对运维人员进行统一管理:采用权限分离原则,对登录用户进行鉴别,分角色予以不同操作对象,实现对被保护主机的维护过程可控制、可审计的目标;对于系统管理员,能够对运维资源、运维用户、运维工具进行管理,能够设定运维访问控制策略,单点登录策略管理;对于审计管理员,能够对审计状态、审计用户、审计日志进行查看与管理;对于运维人员,能够查看自己可维护的所有设备,并选择已授权运维工具对该设备进行维护。所述的基于虚拟桌面的运维管理方法,采用白名单模式对运维人员进行访问控制,即只有白名单允许的运维操作可以被执行,其他运维操作都被禁止。所述的基于虚拟桌面的运维管理方法,采用黑名单模式对运维人员进行访问控制,即运维人员无法执行在黑名单中的运维操作,只能使用其他不在黑名单中的运维操作。本发明的一种基于虚拟桌面的运维管理方法的有益效果如下:本发明的基于虚拟桌面的运维管理方法,利用虚拟桌面技术建立唯一的安全通道,实现运维人员和服务器之间的物理隔离,使得运维人员所在终端不能直接连接到服务器,只能通过登录堡垒主机的虚拟桌面来连接服务器,降低运维时误操作产生的危害。同时对运维人员进行集中管理,通过虚拟桌面、单点登录等技术保证运维人员操作简单,并且通过对运维操作的访问控制、审计等技术,保证服务器的维护过程可控制、可审计。
图1为现有的运维管理方法的示意图。图2为本发明的基于虚拟桌面的运维管理方法的示意图。
具体实施例方式如图2所示,本发明的基于虚拟桌面的运维管理方法,包括如下步骤:(I)运维人员在运维终端使用B/S模式登录运维管理系统,进入堡垒主机提供的虚拟桌面;(2)在虚拟桌面上查看所维护的设备和工具;(3)选择运行相应的运维工具后,运维工具会根据系统管理员配置,自动与被维护服务器建立相应链接;(4)运维人员在虚拟桌面上连接服务器进行维护操作。所述的基于虚拟桌面的运维管理方法,通过以下方法对运维人员进行统一管理:采用权限分离原则,对登录用户进行鉴别,分角色予以不同操作对象,实现对被保护主机的维护过程可控制、可审计的目标;对于系统管理员,能够对运维资源、运维用户、运维工具进行管理,能够设定运维访问控制策略,单点登录策略管理;对于审计管理员,能够对审计状态、审计用户、审计日志进行查看与管理;对于运维人员,能够查看自己可维护的所有设备,并选择已授权运维工具对该设备进行维护。所述的基于虚拟桌面的运维管理方法,采用白名单模式对运维人员进行访问控制,即只有白名单允许的运维操作可以被执行,其他运维操作都被禁止。所述的基于虚拟桌面的运维管理方法,采用黑名单模式对运维人员进行访问控制,即运维人员无法执行在黑名单中的运维操作,只能使用其他不在黑名单中的运维操作。本发明的基于虚拟桌面的运维管理方法的优点如下:1、使用运维管理系统对运维人员进行统一管理。本发明中,采用权限分离原则,对登录用户进行鉴别,分角色予以不同操作对象,实现对被保护主机的维护过程可控制、可审计的目标。对于系统管理员,能够对运维资源(被维护服务器的地址、系统维护帐户等)、运维用户、运维工具(ssh、telnet、rdp等运维工具)等进行管理,能够设定运维访问控制策略,单点登录策略等综合管理;对于审计管理员,能够对审计状态、审计用户、审计日志进行查看与管理;对于运维人员,能够查看自己可维护的所有设备,并选择已授权运维工具对该设备进行维护。维护过程严格按照运维访问控制策略进行,并记录详细日志,以供审计管理员对其操作进行查看及回放。2、使用虚拟桌面技术建立运维安全通道,简化运维过程。
本发明中,运维人员终端不能直接连接到服务器,也无需知道服务器系统用户名和口令。运维人员只能通过登录运维管理系统,使用堡垒主机为运维人员提供的虚拟桌面连接到服务器。运维人员在运维终端使用B/S模式登录运维管理系统,进入堡垒主机提供的虚拟桌面,查看自己所维护的设备和工具。选择运行相应的运维工具后,运维工具会根据系统管理员配置,自动与被维护服务器建立相应链接。这样,运维人员就可以在虚拟桌面上连接服务器进行维护操作,如同在运维终端桌面连接服务器进行运维操作一样。3、使用黑、白名单对运维操作进行访问控制。运维人员进行运维操作时,必须严格按照系统管理员配置的运维访问控制策略进行。运维访问控制策略分两种:一种是白名单模式,只有白名单允许的运维操作可以被执行,其他运维操作都被禁止;一种是黑名单模式,运维人员无法执行在黑名单中的运维操作,只能使用其他不在黑名单中的运维操作。这样对运维人员的操作进行严格的访问控制,减少运维时的误操作和恶意人员破坏带来的损失。4、支持屏幕录像、文字录像等审计方式。审计方式分两种:屏幕录像审计和文字审计。运维人员登录堡垒主机虚拟桌面,选择运维工具连接服务器后,所有的运维操作都会记录下来,以供事后审计。5、运维工具的单点登录运维人员选择某种运维工具对某台服务器进行维护时,运维工具将根据系统管理员配置的运维资源进行单点登录,运维人员不需要知道服务器的登录方式,也不会修改服务器配置,泄漏服务器信息。本发明的基于虚拟桌面的运维管理方法采用B/S模式对运维人员进行统一管理,改变运维人员直接登录被运维主机的模式,将被运维主机保护在运维人员视野之外。当运维人员试图访问被运维主机时,需要先登录运维管理系统,经过运维管理系统身份鉴别访问授权运维主机,并记录详细操作日志,确保“访问前需验证,访问时受限制,访问后可审计”,保障被运维主机安全。上面所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神前提下,本领域普通工程技术人员对本发明技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。
权利要求
1.一种基于虚拟桌面的运维管理方法,包括如下步骤: (1)运维人员在运维终端使用B/S模式登录运维管理系统,进入堡垒主机提供的虚拟桌面; (2)在虚拟桌面上查看所维护的设备和工具; (3)选择运行相应的运维工具后,运维工具会根据系统管理员配置,自动与被维护服务器建立相应链接; (4)运维人员在虚拟桌面上连接服务器进行维护操作。
2.根据权利要求1所述的基于虚拟桌面的运维管理方法,其特征在于:通过以下方法对运维人员进行统一管理: 采用权限分离原则,对登录用户进行鉴别,分角色予以不同操作对象,实现对被保护主机的维护过程可控制、可审计的目标; 对于系统管理员,能够对运维资源、运维用户、运维工具进行管理,能够设定运维访问控制策略,单点登录策略管理; 对于审计管理员,能够对审计状态、审计用户、审计日志进行查看与管理; 对于运维人员,能够查看自己可维护的所有设备,并选择已授权运维工具对该设备进行维护。
3.根据权利要求1或2所述的基于虚拟桌面的运维管理方法,其特征在于:采用白名单模式对运维人员进行访问控制,即只有白名单允许的运维操作可以被执行,其他运维操作都被禁止。
4.根据权利要求1或2所述的基于虚拟桌面的运维管理方法,其特征在于:采用黑名单模式对运维人员进行访问控制,即运维人员无法执行在黑名单中的运维操作,只能使用其他不在黑名单中的运维操作。
全文摘要
本发明提供了一种降低运维时误操作产生的危害、对运维人员进行集中管理的基于虚拟桌面的运维管理方法,包括如下步骤(1)运维人员在运维终端使用B/S模式登录运维管理系统,进入堡垒主机提供的虚拟桌面;(2)在虚拟桌面上查看所维护的设备和工具;(3)选择运行相应的运维工具后,运维工具会根据系统管理员配置,自动与被维护服务器建立相应链接;(4)运维人员在虚拟桌面上连接服务器进行维护操作。本发明的基于虚拟桌面的运维管理方法,降低运维时误操作产生的危害;同时对运维人员进行集中管理,通过虚拟桌面、单点登录等技术保证运维人员操作简单,并且通过对运维操作的访问控制、审计等技术,保证服务器的维护过程可控制、可审计。
文档编号H04L29/06GK103188336SQ20111046159
公开日2013年7月3日 申请日期2011年12月31日 优先权日2011年12月31日
发明者孙绍钢 申请人:北京市国路安信息技术有限公司