一种识别用户应纳入堡垒机管理的方法和系统与流程

1.本发明涉及堡垒机系统安全保护技术领域，尤其涉及一种识别用户应纳入堡垒机管理的方法和系统。


背景技术：

2.随着系统的增加、应用的衍生或扩展，产生越来越多的用户用于管理各个应用系统的服务。面对庞杂的用户体系，如何有效的对用户的使用进行管理，以及采用自动化方式批量将未接入堡垒机的用户接入堡垒机变的越来越重要。
3.分析现有技术对系统用户权限进行分级管理的方法，以及堡垒机作为数据中心的运维操作网关的管理方式，从前置性和完整性来看仍存在缺陷。虽然现有技术在对用户权限进行分级管理上存在优势，但未考虑在非常规的情况下，如果用户未纳入堡垒机管理，如何防范在没有审计系统的记录下进行运维操作，如何确保运维运维风险。因此本发明提出一种基于大数据的自动化扫描方法，能够很好地解决上述问题。


技术实现要素：

4.为解决现有技术的不足，本发明提出一种识别用户应纳入堡垒机管理的方法和系统，为实现以上目的，本发明所采用的技术方案包括：
5.一种识别用户应纳入堡垒机管理的方法，其特征在于，包括以下步骤：
6.用户扫描脚本定时扫描出应用系统内的全量用户；
7.根据全量用户判断找出应用系统内未接入堡垒机的用户；
8.将未接入堡垒机的用户自动化接入堡垒机。
9.进一步地，所述扫描脚本定时扫描出应用系统内的全量用户还包括：
10.编辑用户扫描脚本并录入应用系统，提交更新定时任务申请。
11.进一步地，所述根据全量用户判断找出应用系统内未接入堡垒机的用户包括以下子步骤：
12.将全量用户信息导入堡垒机数据库；
13.将全量用户信息与已接入堡垒机的用户信息进行比对，确定未接入堡垒机的用户信息；
14.将未接入堡垒机的用户信息导入堡垒机数据库。
15.进一步地，所述将未接入堡垒机的用户自动化接入堡垒机包括以下子步骤：
16.将堡垒机数据库中所述未接入堡垒机的用户信息发送至自动化检查平台；
17.自动化检查平台输出所述未接入堡垒机的用户信息检查结果并生成相对应的工单；
18.通过云管平台对工单进行批量处理。
19.进一步地，将全量用户信息与已接入堡垒机的用户信息进行比对包括通过用户名、ip地址、应用类型、时间戳比对。
20.进一步地，通过rsyslog服务和flume将堡垒机数据库中所述未接入堡垒机的用户信息发送至自动化检查平台es数据库。
21.进一步地，所述通过云管平台对工单进行批量处理包括：
22.通过云管平台填写工单对应的主机信息、用户信息及ip信息；
23.对工单进行批量审批。
24.本发明还涉及一种识别用户应纳入堡垒机管理的系统，包括：
25.应用系统模块，用于通过用户扫描脚本定时扫描出应用系统内的全量用户；
26.堡垒机检查模块，用于根据全量用户判断找出应用系统内未接入堡垒机的用户；
27.自动化接入模块，将未接入堡垒机的用户自动化接入堡垒机。
28.进一步地，所述自动化接入模块包括：
29.自动化检查平台，用于输出所述未接入堡垒机的用户信息检查结果并生成相对应工单；
30.云管平台，用于对工单进行批量处理。
31.本发明的有益效果为：
32.采用本发明所述的一种识别用户应纳入堡垒机管理的方法和系统，通过用户扫描脚本定时扫描出应用系统内的全量用户；根据全量用户判断找出应用系统内未接入堡垒机的用户；将未接入堡垒机的用户自动化接入堡垒机的技术方案，实现了对数以万计的用户及时监控、精准管理的效果，提升了数据中心日常运维工作的管理能力，通过将未接入堡垒机用户批量纳入堡垒机的管理方式，实现堡垒机的审计功能且可提供事后审计工作。
附图说明
33.图1为本发明提供的识别用户应纳入堡垒机管理的方法流程示意图。
34.图2为本发明提供的根据全量用户判断找出应用系统内未接入堡垒机的用户方法流程示意图。
35.图3为本发明提供的将未接入堡垒机的用户自动化接入堡垒机的方法流程示意图。
36.图4为本发明提供的识别用户应纳入堡垒机管理的系统示意图。
具体实施方式
37.下面详细描述本技术的实施例，各实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本技术，而不能解释为对本技术的限制。
38.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”和“该”也可包括复数形式。应该进一步理解的是，本技术的说明书中使用的措辞“包括”是指存在特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
39.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
40.下面以具体地实施例对本技术的技术方案以及本技术的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本技术的实施例进行描述。
41.实施例一
42.如图1所示为本发明实施例提供的识别用户应纳入堡垒机管理的方法流程示意图，包括以下步骤：
43.步骤101、用户扫描脚本定时扫描出应用系统内的全量用户。
44.优选地，编辑用户扫描脚本并录入应用系统，提交更新定时任务申请。
45.具体地，所述扫描脚本包括扫描用户“用户名、ip地址、应用类型、时间戳比对”信息。
46.步骤102、根据全量用户判断找出应用系统内未接入堡垒机的用户。
47.在本实施例中，步骤102包括以下子步骤：
48.步骤1021、将全量用户信息导入堡垒机数据库；
49.具体地，将全量用户信息导入堡垒机数据库tab_webaccount。
50.步骤1022、将全量用户信息与已接入堡垒机的用户信息进行比对，确定未接入堡垒机的用户信息；
51.具体地，将全量用户信息与已接入堡垒机的用户信息进行比对包括根据用户的用户名、ip地址、应用类型、时间戳信息进行比对。
52.步骤1023、将未接入堡垒机的用户信息导入堡垒机数据库。
53.步骤103、将未接入堡垒机的用户自动化接入堡垒机。
54.在本实施例中，步骤103包括以下子步骤：
55.步骤1031、将堡垒机数据库中所述未接入堡垒机的用户信息发送至自动化检查平台；
56.具体地，通过rsyslog服务和flume将堡垒机数据库中所述未接入堡垒机的用户信息发送至自动化检查平台es数据库。
57.步骤1032、自动化检查平台输出所述未接入堡垒机的用户信息检查结果并生成相对应的工单；
58.步骤1033、通过云管平台对工单进行批量处理。
59.具体地，所述步骤1033包括：
60.通过云管平台填写工单对应的主机信息、用户信息及ip信息；
61.对工单进行批量审批。
62.通过上述方法步骤，可实现将未接入堡垒机的用户自动化批量接入堡垒机。
63.实施例二
64.基于同一发明构思，本技术实施例还提供一种识别用户应纳入堡垒机管理的系统。如图4所示为本技术实施例提供的识别用户应纳入堡垒机管理的系统示意图，包括应用系统模块201、堡垒机检查模块202、自动化接入模块203，所述自动化接入模块203包括自动化检查平台2031、云管平台2032；
65.所述应用系统模块201，用于通过用户扫描脚本定时扫描出应用系统内的全量用户；
66.所述堡垒机检查模块202，用于根据全量用户判断找出应用系统内未接入堡垒机的用户；
67.所述自动化接入模块203，将未接入堡垒机的用户自动化接入堡垒机。
68.所述自动化接入模块203包括：
69.自动化检查平台2031，用于输出所述未接入堡垒机的用户信息检查结果并生成相对应工单；
70.云管平台2032，用于对工单进行批量处理。
71.通过上述各模块的具体功能，可实现将未接入堡垒机的用户自动化批量接入堡垒机。
72.本发明的技术方案已在某银行数据中心获得实际应用，在系统试运营过程中，每日定时对各应用系统中的用户进行扫描，自动检查出未接入堡垒机的用户，并将未接入堡垒机的用户自动化批量接入堡垒机，进而实现对用户的精确管控，至今未发现因脱离堡垒机使用的用户造成的生产事故，保证了生产安全。
73.采用本发明的技术方案实现了对数以万计的用户及时监控、精准管理的效果，提升了数据中心日常运维工作的管理能力，通过将未接入堡垒机用户批量纳入堡垒机的管理方式，实现堡垒机的审计功能且可提供事后审计工作。
74.以上所述仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换等都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。