本發明提出了一種特權賬號安全運維管控方法，包括：對賬號統一集中管理：掃描獲取賬號統一存儲進行集中管理；配置統一管理密碼安全策略；配置統一賬號管理策略：自定義用戶組策略；配置統一認證方式；設置統一單點登錄方式：當檢測到被授權的用戶進入被管理設備，自動調用特權賬號密碼保險庫中的密碼直接進入被管理設備，無需輸入賬號密碼，實現單點登錄的方式進行管理；配置統一授權與訪問控制策略：對用戶的角色配置訪問控制策略；對特權會話進行監控和阻斷：配置用戶角色定義允許和禁止的命令策略對特權會話進行實時控制；對特權會話進行統一審計：對所有用戶的活動進行統一審計，進行字符和錄像記錄。

技術領域

本發明涉及互聯網技術領域，特別涉及一種特權賬號安全運維管控方法。

背景技術

隨著企事業單位IT系統的不斷發展，網絡規模和設備數量迅速擴大，日趨復雜的系統與不同背景的運維人員的行為給信息系統安全帶來較大風險，主要表現在：

1.多個用戶使用同一個賬號。這種情況主要出現在同一工作組中，由于工作需要，同時系統管理賬號唯一，因此只能多用戶共享同一賬號。如果發生安全事故，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大安全風險和隱患。

2.一個用戶使用多個賬號。目前，一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統、網絡設備之間切換，降低工作效率，增加工作復雜度。

3.缺少統一的權限管理平臺，權限管理日趨繁重和無序；而且維護人員的權限大多是粗放管理，無法基于最小權限分配原則的用戶權限管理，難以實現更細粒度的命令級權限控制，系統安全性無法充分保證。

4.無法制定統一的訪問審計策略，審計粒度粗。各網絡設備、主機系統、數據庫是分別單獨審計記錄訪問行為，由于沒有統一審計策略，并且各系統自身審計日志內容深淺不一，難以及時通過系統自身審計發現違規操作行為和追查取證。

5.傳統的網絡安全審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行內容審計。

傳統的賬號管理系雖然很好的解決了賬號的統一管理問題，然而依然無法滿足用戶需求，例如，自然人、非自然人的賬號管理功能，針對關聯賬號具有完備的對接機制。傳統的賬號管理系統只關注管理自然人賬號，用戶提出產品的對接的功能，一般不提供開放性接口，新增需求定制開發。傳統設備密碼管理機制只是附屬功能之一，核心是操作監控與審計，這給用戶帶來困擾如何滿足客戶要求，對特權賬號安全管理成為新的函待解決問題。

發明內容

本發明的目的旨在至少解決所述技術缺陷之一。

為此，本發明的目的在于提出一種特權賬號安全運維管控方法。

為了實現上述目的，本發明的實施例提供一種特權賬號安全運維管控方法，包括：

步驟S1，對賬號統一集中管理：掃描獲取賬號統一存儲進行集中管理，對被管理設備的賬號密碼配置策略實現密碼定期自動變更；

步驟S2，配置統一管理密碼安全策略：對步驟S1中集中管理的賬號的密碼的更新頻率進行統一管理；

步驟S3，配置統一賬號管理策略：自定義用戶組策略，用戶賬戶與組權限綁定、自動權限綁定；

步驟S4，配置統一認證方式：將設備進行統一管理后用戶通過特權賬號平臺進行認證登錄，避免非法用戶進入被管理設備；

步驟S5，設置統一單點登錄方式：當檢測到被授權的用戶進入被管理設備，自動調用特權賬號密碼保險庫中的密碼直接進入被管理設備，無需輸入賬號密碼，實現單點登錄的方式進行管理；

步驟S6，配置統一授權與訪問控制策略：對用戶的角色配置訪問控制策略，所述訪問控制策略用于實現對用戶的實時會話控制、命令控制、協議控制、訪問權限的控制；