本发明涉及安全监察系统技术领域,具体涉及安全监察系统登录助手方法。
背景技术:
当前市场上类似的被称为“堡垒机“的计算机安全防护与控制类的产品,但是这些产品没有登录助手机制。操作用户登录了这些“堡垒机”系统之后,再跳转到另外的IT设备上面时需要再次输入该IT设备的账号与密码。此种操作方式的安全性较低,因为该IT设备的高级账号与密码不得不被告知该操作用户。原本,每台IT设备的账号密码应该定期或者给操作用户使用过后就立即更改。但实际运维过程中,用户的IT设备的账号密码极少被主动更改。如果使用过这些IT设备的人日后在网络中使用他已经知道的账号密码重新登录IT设备,从而对用户的IT系统造成安全隐患。因此,如果能够避免在日常工作中把IT设备的账号密码告知他人,就会极大地减少出现安全事件的情况。
技术实现要素:
本发明的目的在于提供安全监察系统登录助手方法,解决了账号密码信息要告诉用户输入,导致安全监察系统存在安全隐患的问题。为达到上述目的,本发明采用如下技术方案:安全监察系统登录助手方法,安全监察系统存储有账号密码信息;PC机(PC:personalcomputer,个人计算机)和安全监察系统通过第一数据链路连接,安全监察系统和IT设备通过第二数据链路连接;从安全监察系统输出的数据流经过第一数据链路模块后显示在PC机的屏幕上;安全监察系统捕获每个IT设备的登录界面,然后从中定位到账号密码输入框;安全监察系统在定位、分析出IT设备的登录界面后,就把相应IT设备的账号密码信息自动填入账号密码输入框,然后提交登录操作。进一步,步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路;步骤2,用户在操作界面中点击需要进行操作的IT设备,选择通信协议;步骤3,安全监察系统作为第二通信链路的客户端,按照通信协议规定依次发送含有账号密码信息的数据包给相应的IT设备,作为第二通信链路服务端的IT设备验证收到账号密码信息是否正确;若正确,则成功建立第二数据链路,用户就使用该第二通信链路对该IT设备进行操作;若错误,重复步骤3直至账号密码信息正确。进一步,在步骤2中,IT设备的访问方式是标准通信协议,安全监察系统系统通过协议网关模块选择相应的协议模块与需要进行管理的IT设备进行通讯。进一步,所述标准通信协议为ssh、telnet、ftp、sftp、WindowsRDP、VNC协议、WWW协议、Oracle数据库通信协议、DB2数据库通信协议和/或SQLServer数据库通信协议,以及各种数据库系统或其他需要特定客户端进行通信的后台应用系统。进一步,协议模块为ssh协议、telnet协议、ftp协议或sftp等协议模块,根据安全监察系统内部的预先配置,把与IT设备对应的账户密码信息从安全监察系统的配置库中取出,然后填写到数据包中发送给要进行管理操作的IT设备。进一步,在步骤2中(以下以telnet协议为例)a)用户点击IT设备图标,选择telnet通信协议;b)安全监察系统通过协议网关选择相应的telnet协议模块;在步骤3中c)安全监察系统将预先存放在配置库中的相应IT设备的账户密码信息取出,交给telnet协议模块;d)telnet协议模块将收到的账户密码信息按telnet协议规定的格式填入数据包中,然后发给IT设备;e)IT设备验证用账户密码信息是否正确,如果正确,就与安全监察系统的telnet客户端协议模块成功建立第二数据链路。进一步,如果后台IT设备为数据库系统或其它需要特定客户端以及特定通信协议的才能连接的系统,需要使用特定的工具软件以及特定的通信协议才能与之通信,为了方便用户操作,安全监察系统中内置了与各种数据库系统对应的连接工具软件;以下以Oracle数据库为例说明,当使用Toad工具来操作该Oracle数据库时,步骤如下:步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路;步骤2,a)用户在PC机上点击IT设备图标,选择连接Toad工具;b)安全监察系统启用代理程序,代理程序通过标准的WindowsRDP协议登录安全监察系统系统,然后通过RDP协议在安全监察系统中启动预先安装好的Toad工具;c)Toad程序弹出对话框,该对话框包括了关于后台Oracle数据库的各种登录信息,该登录信息包括账户密码信息、Oracle数据库的IP地址、Oracle数据库的监听端口;步骤3,d)安全监察系统从配置库中取出与该Oracle数据库相应的各种数据;e)安全监察系统从配置库中取出Toad工具的登录对话框的各种关键信息,该关键信息包括用户名对话栏的控件名称,密码对话栏的控件名称、Oracle数据库IP地址的控件名称、“确定”和“取消”控件名称;以上关键信息是在安全监察系统中安装完Toad工具后通过不断测试得到的;f)安全监察系统将步骤d)得到的数据填写到对应的步骤e)得到的对话栏控件中,然后发送点击“确定”控件的操作;g)运行在安全监察系统中的Toad程序将登录对话框中的各个控件栏中的数据发送给后台Oracle数据库进行认证,一旦认证通过,Toad与后台Oracle数据库建立起第二通信链路。进一步,当后台的IT设备是使用WWW协议进行通信时,需要在安全监察系统中使用IE浏览器进行连接,步骤如下:步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路;步骤2,a)用户点击IT设备图标,选择连接类型为“网站类型”b)安全监察系统启动内置的IE浏览器步骤3,c)安全监察系统从配置库中取出后台IT设备的各种属性数据,该数据包括访问地址、登录对话栏名称、登录密码栏名称和账户密码信息;d)步骤b)中启动的浏览器中设有一个预先安装过的插件,该插件将步骤c)获取的访问地址填写到浏览器的地址栏中,然后该浏览器与后台IT设备建立HTTP或HTTPS会话e)后台IT设备通过步骤d)建立的HTTP/HTTPS会话将登录页面发送到安全监察系统的浏览器中f)安全监察系统浏览器的插件将步骤c)获取的账户密码信息填写到登录页面中对应的对话栏控件中。然后将这些对话栏控件中的数据通过HTTP/HTTPS会话发送给后台IT设备g)后台IT设备收到安全监察系统发过来的账户密码信息后进行验证,若正确,则成功建立第二数据链路,用户就使用该第二通信链路对该IT设备进行操作;若错误,重复步骤3直至账号密码信息正确。与现有技术相比,本发明的有益效果如下:本发明中,安全监察系统把登录助手的思路和技术方法引入了安全监察系统的架构中,使得用户IDC机房的IT设备的账户密码信息被安全地保护起来,同时,不会改变平时的IT设备的运维操作习惯。相比其他厂家的安全监察系统系统,本发明的安全监察系统由于利用了登录助手方法,不仅比原有的IT设备运维方式更加便捷,而且解决了IDC机房中众多IT设备的账号密码的安全问题。完善了IT运维的安全性。在IT运维方面真正做到了统一单点登录。附图说明为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本发明安全监察系统登录助手方法实施例的模块连接示意图。具体实施方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。实施例一如图1实施例一所示安全监察系统登录助手方法:安全监察系统存储有账号密码信息;PC机和安全监察系统通过第一数据链路连接,安全监察系统和IT设备通过第二数据链路连接;从安全监察系统输出的数据流经过第一数据链路模块后显示在PC机的屏幕上;安全监察系统捕获每个IT设备的登录界面,然后从中定位到账号密码输入框;安全监察系统在定位、分析出IT设备的登录界面后,就把相应IT设备的账号密码信息自动填入账号密码输入框,然后提交登录操作。实施例一的工作流程如下:步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路。该第一数据链路的通讯协议是根据标准的WindowsRDP协议做的修改而来的;如果是初次登录,需要下载一个IE浏览器插件。该插件的目的是与安全监察系统建立第一数据链路。如果用专用的客户端程序也能够实现上述目的,但是使用浏览器插件可以大大提高用户的体验,毕竟安装一个插件比安装客户端要容易。这种部署方式对用户电脑本身的要求也不高。步骤2,用户在操作界面中点击需要进行操作的IT设备,选择通信协议。实施例一中,IT设备的访问方式是标准通信协议,安全监察系统系统通过协议网关模块选择相应的协议模块与需要进行管理的IT设备进行通讯。实施例一为每一种常用的标准通信协议都编写了相应的客户端协议模块,标准通信协议为ssh、telnet、ftp、sftp、WindowsRDP、VNC协议、WWW协议、Oracle数据库通信协议、DB2数据库通信协议和/或SQLServer数据库通信协议,还可是数据库系统或其它需要特定客户端程序以及特定通信协议的应用系统。步骤3,安全监察系统作为第二通信链路的客户端,按照通信协议规定依次发送含有账号密码信息的数据包给相应的IT设备,作为第二通信链路服务端的IT设备验证收到账号密码信息是否正确;若正确,则成功建立第二数据链路,用户就使用该第二通信链路对该IT设备进行操作;若错误,重复步骤3直至账号密码信息正确。作为对实施例一的进一步说明,以使用telnet协议管理一台UNIX服务器为例,当步骤2中的协议模块为telnet协议模块时,根据安全监察系统内部的预先配置,把与IT设备对应的账户密码信息从安全监察系统的配置库中取出,然后填写到数据包中发送给要进行管理操作的IT设备,具体步骤如下:在步骤2中(以下以telnet协议为例)a)用户点击IT设备图标,选择telnet通信协议;b)安全监察系统通过协议网关选择相应的telnet协议模块;在步骤3中c)安全监察系统将预先存放在配置库中的相应IT设备的账户密码信息取出,交给telnet协议模块;d)telnet协议模块将收到的账户密码信息按telnet协议规定的格式填入数据包中,然后发给IT设备;e)IT设备验证用账户密码信息是否正确,如果正确,就与安全监察系统的telnet客户端协议模块成功建立第二数据链路。至此,安全监察系统的登录助手机制全部完成。总共建立了两条数据链路,一条是用户电脑的浏览器插件与安全监察系统之间的第一数据链路,另一条是安全监察系统的协议模块与后台IT设备之间的第二数据链路。安全监察系统是用户与后台IT设备之间数据通讯的中转站。安全监察系统一方面将后台IT设备返回的各种数据流原封不动地转给用户浏览器的插件,由该插件将数据显示在用户的电脑屏幕上。另一方面,安全监察系统将用户的输入信息与IT设备的返回信息保存在安全监察系统内部作为审计之用。实施例一安全监察系统登录助手方法的其他技术参加现有技术。实施例二实施例一描述的是在标准通信协议中的登录助手机制,如果用户希望使用特殊的工具来操作后台IT设备,例如后台IT设备为数据库系统或其它需要特定客户端以及特定通信协议的才能连接的系统,需要使用特定的工具软件以及特定的通信协议才能与之通信,为了方便用户操作,安全监察系统中内置了与各种数据库系统对应的连接工具软件。比如:用户希望在安全监察系统中使用Toad工具来操作IDC机房中的某个Oracle数据库,登录助手机制的工作方式是不同的。在实施例二安全监察系统登录助手方法中,IT设备为Oracle数据库,当使用Toad工具来操作该Oracle数据库时,步骤如下:步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路;步骤2,a)用户在PC机上点击IT设备图标,选择连接Toad工具;b)安全监察系统启用代理程序,代理程序使用标准的WindowsRDP协议连接安全监察系统,然后通过RDP协议在安全监察系统中启动预先安装好的Toad工具;c)Toad程序弹出对话框,该对话框包括了关于后台Oracle数据库的各种登录信息,该登录信息包括账户密码信息、Oracle数据库的IP地址、Oracle数据库的监听端口;步骤3,d)安全监察系统从配置库中取出与该Oracle数据库相应的各种数据;e)安全监察系统从配置库中取出Toad工具的登录对话框的各种关键信息,该关键信息包括用户名对话栏的控件名称,密码对话栏的控件名称、Oracle数据库IP地址的控件名称、“确定”和“取消”控件名称;以上关键信息是在安全监察系统中安装完Toad工具后通过不断测试得到的;f)安全监察系统将步骤d)得到的数据填写到对应的步骤e)得到的对话栏控件中,然后发送点击“确定”控件的操作;g)运行在安全监察系统中的Toad程序将登录对话框中的各个控件栏中的数据发送给后台Oracle数据库进行认证,一旦认证通过,Toad与后台Oracle数据库建立起第二通信链路。至此,第三方应用程序的登录助手工作全部完成。与实施例一基于标准通信协议的通信方式不同,用于第三方程序的登录助手机制需要知道第三方程序的登录界面参数,根据这些登录界面参数将账户密码信息等填写在对应位置。实施例二的其它技术参见实施例一。实施例三实施例三安全监察系统登录助手方法,当后台的IT设备是以WWW协议进行通信时(此时IT设备包括虚拟机管理服务器、邮件服务器等),需要在安全监察系统中使用IE浏览器进行连接,步骤如下:步骤1,用户在PC机上启动IE浏览器登录安全监察系统,用户输入安全监察系统的账号、密码并通过验证后,安全监察系统与PC机建立起第一数据链路;步骤2,a)用户点击IT设备图标,选择连接类型为“网站类型”b)安全监察系统启动内置的IE浏览器步骤3,c)安全监察系统从配置库中取出后台IT设备的各种属性数据,该数据包括访问地址、登录对话栏名称、登录密码栏名称和账户密码信息;d)步骤b)中启动的浏览器中设有一个预先安装过的插件,该插件将步骤c)获取的访问地址填写到浏览器的地址栏中,然后该浏览器与后台IT设备建立HTTP或HTTPS会话e)后台IT设备通过步骤d)建立的HTTP/HTTPS会话将登录页面发送到安全监察系统的浏览器中f)安全监察系统浏览器的插件将步骤c)获取的账户密码信息填写到登录页面中对应的对话栏控件中。然后将这些对话栏控件中的数据通过HTTP/HTTPS会话发送给后台IT设备g)后台IT设备收到安全监察系统发过来的账户密码信息后进行验证,若正确,则成功建立第二数据链路,用户就使用该第二通信链路对该IT设备进行操作;若错误,重复步骤3直至账号密码信息正确。实施例三的其它技术参见实施例一。本发明并不局限于上述实施方式,如果对本发明的各种改动或变型不脱离本发明的精神和范围,倘若这些改动和变型属于本发明的权利要求和等同技术范围之内,则本发明也意图包含这些改动和变型。