[发明专利]一种基于黑名单命令设置的运维操作控制系统及其方法

说明书

技术领域

本发明涉及一种运维操作控制技术，尤其涉及一种基于黑名单命令设置的运维操作控制系统及其方法。

背景技术

随着互联网信息技术的迅速发展，各类信息系统层出不穷。快速建设的IT系统正从以前传统封闭的业务系统向大型关键业务系统扩展。然而，IT系统的广泛应用却是一柄双刃剑，在带来规范、便捷、高效的办公流程和业务模式的同时，也引发了对IT系统内部运维的防御难、控制难等诸多问题。这些问题不寻求解决之道，会严重威胁企业的信息安全。例如，若不及时防御和控制运维操作行为，内部业务数据可能被篡改、泄露、窃取；在服务器可访问非法网站、出现误操作；或者在关键服务器上进行乱操作等等。

为了解决这一问题，就需要一种切实可行的方法，来限制运维人员的操作行为。现有技术中的一种技术方案是在于，对不同的运维人员设置特定的操作权限，在目标运维机器上对该运维人员的可操作命令进行静态设置，以便屏蔽高危命令，通过仅仅开放运维必须的命令权限来达到限制运维人员的目的。虽然上述方法可实现对运维人员操作行为的限制，但同时也存在很多不足之处。首先，该方法需要在目标运维机器上对用户进行设置，因此对于运维机器数量较大的企业来说在操作上并不便利，需要重复进行大量的设置工作，较浪费时间；其次，该方法必须事先对各个用户的命令操作权限进行静态设置，在运维过程中不易于修改，无法实现对用户操作权限的灵活变更和控制。

有鉴于此，在进行运维操作时，相关领域的技术人员迫切需要设计一种灵活的、可操作性强的运维操作控制方法来控制运维人员对目标运维机器的操作行为，以消除现有方法的上述缺陷。

发明内容

针对现有技术中的运维操作控制方法存在的上述缺陷，本发明提供一种基于黑名单命令设置的运维操作控制系统及其方法。

依据本发明的一个方面，提供了一种基于黑名单命令设置的运维操作控制系统，包括：

运维协议处理模块，接收来自运维客户端的终端命令信息，且逐个读入所述终端命令信息中的字符从而形成命令字符；以及

中间处理模块，与运维协议处理模块进行双向信息传输，所述中间处理模块接收所述命令字符，判断所述命令字符相对应的命令是否与黑名单列表的命令相匹配，并根据匹配判断结果输出操作标志，

其中所述运维协议处理模块接收所述操作标志，并根据所述操作标志予以执行命令或阻断命令。

在其中的一实施例中，所述中间处理模块包括：黑名单设置单元，用于设置黑名单命令；命令拼接单元，用于接收来自所述运维协议处理模块的命令字符，解析所述命令字符从而拼接出完整命令；以及命令处理单元，用于接收来自所述命令拼接单元的完整命令，并将所述完整命令与所述黑名单命令进行匹配，根据匹配判断结果输出所述操作标志。

在其中的一实施例中，所述黑名单设置单元根据不同协议的运维操作和运维场景需求来设置黑名单命令。

在其中的一实施例中，所述命令拼接单元解析所述命令字符时，剔除其中的命令提示符及终端打印干扰信息从而拼接出所述完整命令。

在其中的一实施例中，所述命令拼接单元执行多次拼接操作，直至所述命令字符中出现回车符时结束拼接。

在其中的一实施例中，所述命令处理单元在进行匹配判断时，根据命令中是否包括参数以及参数的不同类型进行分类处理。

在其中的一实施例中，所述命令处理单元匹配判断时的检查粒度为字符级。

依据本发明的另一个方面，提供了一种基于黑名单命令设置的运维操作控制方法，该方法包括以下步骤：

(a)接收来自运维客户端的终端命令信息，且逐个读入所述终端命令信息中的字符从而形成命令字符；

(b)接收所述命令字符，判断所述命令字符对应的命令是否与黑名单列表的命令相匹配，并根据匹配判断结果输出操作标志；

(c)根据所述操作标志予以执行命令或阻断命令。

在其中的一实施例中，于上述步骤(b)之前，还包括根据不同协议的运维操作和运维场景需求来设置黑名单命令的步骤。

在其中的一实施例中，上述步骤(b)还包括：接收来自所述运维协议处理模块的命令字符，解析所述命令字符从而拼接出完整命令；以及接收来自所述命令拼接单元的完整命令，并将所述完整命令与所述黑名单命令进行匹配，根据匹配判断结果输出该操作标志。