[发明专利]一种虚拟化运维堡垒系统

说明书

本发明涉及一种虚拟化运维堡垒系统，涉及网络安全技术领域。本发明通过采取部署在云平台内虚拟机的方式，直接取消了硬件成本；通过与云平台固有组件配合，可以实现大量终端与运维目标的同时连接，也可以在运维空闲时释放资源，保证了极高的资源使用率；与云平台固有组件配合，简易的获取云内部署的全部资源，极大的简化了初始化操作。通过图形化审计可以完整的记录全部运维操作，方便事故后的定责。

技术领域

本发明涉及网络安全技术领域，具体涉及一种虚拟化运维堡垒系统。

背景技术

目前，对数据中心网络(包括云平台及云平台外部的所有设备及设备做组成的网络)内部的网络设备、服务器以及安全设备进行运维调试，通常采用方法两种方法。其一为直接将运维计算机与交换机或目标设备连接，通过访问运维目标的管理页面进行运维；其二为在运维人员和目标设备之间架设一台堡垒机，采取统一的单点登录方式，通过堡垒机的网页代理进行远程操控运维。第一种运维方法因为没有对运维计算机、运维人员访问网络设备进行隔离、访问监控与访问控制，存在运维人员越权访问其他网络设备的风险，目前已基本淘汰。第二种运维方法，对传统数据中心网络而言，使用硬件形式的堡垒机较能满足运维需求，但往往会因为物理设备自身性能有限制、质量难以受控等问题导致运维效率低、效果差。

目前大多数据中心网络建设都采用云计算的网络架构，相比以往传统数据中心网络，网络规模急剧扩大、设备数量激增，且不仅仅需要对设备运维，同时需要对虚拟机进行相应的维护，传统硬件堡垒机面临着运维资源添加方式复杂、多线程同时运维容量低、需要对多个虚拟资源统一操作时效率差、运维操作审计不全面等多个挑战。

且传统堡垒机往往仅具备安全代理功能，对审计只停留在命令行的输入记录阶段，对日益增多的图形化操作没有新的审计手段。

因此传统的硬件堡垒机已经不适应现在的运维需求。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何解决面对大型云架构网络运维手段繁琐且效率低的问题。

(二)技术方案

为了解决上述技术问题，本发明提供了一种虚拟化运维堡垒系统，包括:

虚拟化安装模块，用于在系统初始化过程中对本系统进行部署，使本系统与云平台同时搭建；

资源获取模块，用于在系统初始化过程中基于云平台资源中心获取数据中心网络中所有需要有运维操作的资源，并建立与资源中心的实时连接；

连接控制模块，用于在系统初始化后控制用户与运维目标的连接数，基于云平台的内存、CPU实时分配特性，与云平台建立接口，根据需求对云平台进行弹性分配要求；

授权管理模块，用于在系统初始化后对用户是否有权限访问运维目标的权限进行控制，其中通过信任度计算模型为管理者提供授权依据；

操作控制模块，用于在用户访问运维目标过程中限制用户使用本系统时所输入的指令；

操作审计模块，用于在用户访问运维目标过程中采取输入拦截及屏幕抓取方式，对通过本系统的行为操作进行审计，并以视频文件、文本形式发送到本系统数据库内保存。

优选地，所述虚拟化安装模块以及资源获取模块组成系统初始化的模块，其中，所述虚拟化安装模块采取两种方法进行系统部署，其一为直接与云平台同时部署，即将本系统的安装程序与云平台搭建程序打包，当完成对所属云平台的主实体服务器的环境配置与搭建后，开启一台虚拟机，并在虚拟机内安装操作系统并启动本系统的安装包，将程序自动部署在云平台内；其二为手动部署，即手动申请云平台的一套虚拟机资源，以人工部署方式将程序安装到虚拟机内。

优选地，所述资源获取模块对数据中心网络中运维目标资源的获取，根据资源所属位置的不同分为两种途径：