可动态扩展特权账号扫描类型的方法及装置转让专利
申请号 : CN201910741102.1
文献号 : CN110532310B
文献日 : 2022-06-24
发明人 : 杨达盛 , 董明 , 周浩城 , 潘明政
申请人 : 广州海颐信息安全技术有限公司
摘要 :
本发明公开了一种可动态扩展特权账号扫描类型的方法及装置,方法包:将自定义扫描类型插件导入到特权账号扫描系统;由连接账号配置模块解析自定义扫描类型插件的属性且在前端页面作展示,提供相应的属性输入框进行输入;等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;将前端页面输入的值传给自定义扫描类型插件的Python脚本,Python脚本做逻辑处理;特权账号扫描系统读取Python脚本返回的扫描结果和日志内容;查看扫描结果和日志内容。本发明可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
权利要求 :
1.一种可动态扩展特权账号扫描类型的方法,其特征在于,应用于特权账号扫描系统,所述特权账号扫描系统包括相互连接的扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元,所述任务列表单元包括相互连接的任务查询模块、任务配置模块、连接账号配置模块、外部账号导入模块、设备扫描查询模块、账号结果查询模块、账号结果导出模块、日志查询模块和集成推送模块,所述扫描类型配置单元进一步包括相互连接的扫描类型查询模块、扫描类型导入模块和自定义属性模块;实现所述的可动态扩展特权账号扫描类型的方法的装置包括:自定义扫描类型插件导入单元:用于通过所述扫描类型导入模块将自定义扫描类型插件导入到所述特权账号扫描系统;属性解析单元:用于由所述连接账号配置模块负责解析所述自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入;扫描单元:用于等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;逻辑处理单元:用于将前端页面输入的值传给所述自定义扫描类型插件的Python脚本,所述Python脚本接收到值后,对其做逻辑处理;读取单元:用于使所述特权账号扫描系统读取所述Python脚本返回的扫描结果和日志内容;查看单元:用于通过所述账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过所述日志查询模块查看该自定义扫描类型的特权账号的扫描日志;
所述可动态扩展特权账号扫描类型的方法包括如下步骤:A)通过所述扫描类型导入模块将自定义扫描类型插件导入到所述特权账号扫描系统;B)由所述连接账号配置模块负责解析所述自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入;C)等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;
D)将前端页面输入的值传给所述自定义扫描类型插件的Python脚本,所述Python脚本接收到值后,对其做逻辑处理;E)所述特权账号扫描系统读取所述Python脚本返回的扫描结果和日志内容;F)通过所述账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过所述日志查询模块查看该自定义扫描类型的特权账号的扫描日志。
2.根据权利要求1所述的一种可动态扩展特权账号扫描类型的方法,其特征在于,所述自定义扫描类型插件由一个zip包构成,所述zip包中包含有XML文件、Python脚本和XLS文件。
3.根据权利要求2所述的一种可动态扩展特权账号扫描类型的方法,其特征在于,所述XML文件用于描述该自定义扫描类型所需连接账号的属性和在所述特权账号扫描系统中连接账号配置模块的显示名称。
4.根据权利要求2所述的一种可动态扩展特权账号扫描类型的方法,其特征在于,所述Python脚本用于接收所述连接账号配置模块解析完XML文件属性,在其属性输入框中所填入的值,并将所述Python脚本执行完后的扫描结果返回给所述账号结果查询模块,将扫描日志返回给所述日志查询模块。
5.根据权利要求2所述的一种可动态扩展特权账号扫描类型的方法,其特征在于,所述XLS文件用于建立该自定义扫描类型的批量账号导入模板。
说明书 :
可动态扩展特权账号扫描类型的方法及装置
技术领域
[0001] 本发明涉及特权账号扫描领域,特别涉及一种可动态扩展特权账号扫描类型的方法及装置。
背景技术
[0002] 特权账号是指具有高风险(如可以启停设备的管理员账号)或具有高价值(如可以读取业务敏感数据的应用账号)的账号,往往会被企业或者组织的管理人员所忽略,因此需要定期去扫描企业或者组织的整个IT基础架构的特权账号,防止被滥用。市面上也有一些特权账号扫描工具,但是这些扫描工具支持的扫描类型较少,大多仅支持OS,DB两种类型,而大型企业或者组织往往不会局限于这两种类型;也不支持扫描类型的动态扩展。即使是企业或者组织的硬性需求,该类扫描工具也只能进行相应定制开发,重新生成编译,打包,进而导致企业或者组织所花费的成本增加。
发明内容
[0003] 本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为的可动态扩展特权账号扫描类型的方法及装置。
[0004] 本发明解决其技术问题所采用的技术方案是:构造一种可动态扩展特权账号扫描类型的方法,应用于特权账号扫描系统,所述特权账号扫描系统包括相互连接的扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元,所述任务列表单元包括相互连接的任务查询模块、任务配置模块、连接账号配置模块、外部账号导入模块、设备扫描查询模块、账号结果查询模块、账号结果导出模块、日志查询模块和集成推送模块,所述扫描类型配置单元进一步包括相互连接的扫描类型查询模块、扫描类型导入模块和自定义属性模块;所述方法包括如下步骤:
[0005] A)通过所述扫描类型导入模块将自定义扫描类型插件导入到所述特权账号扫描系统;
[0006] B)由所述连接账号配置模块负责解析所述自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入;
[0007] C)等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;
[0008] D)将前端页面输入的值传给所述自定义扫描类型插件的Python脚本,所述Python脚本接收到值后,对其做逻辑处理;
[0009] E)所述特权账号扫描系统读取所述Python脚本返回的扫描结果和日志内容;
[0010] F)通过所述账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过所述日志查询模块查看该自定义扫描类型的特权账号的扫描日志。
[0011] 在本发明所述的可动态扩展特权账号扫描类型的方法中,所述自定义扫描类型插件由一个zip包构成,所述zip包中包含有XML文件、Python脚本和XLS文件。
[0012] 在本发明所述的可动态扩展特权账号扫描类型的方法中,所述XML文件用于描述该自定义扫描类型所需连接账号的属性和在所述特权账号扫描系统中连接账号配置模块的显示名称。
[0013] 在本发明所述的可动态扩展特权账号扫描类型的方法中,所述Python脚本用于接收所述连接账号配置模块解析完XML文件属性,在其属性输入框中所填入的值,并将所述Python脚本执行完后的扫描结果返回给所述账号结果查询模块,将扫描日志返回给所述日志查询模块。
[0014] 在本发明所述的可动态扩展特权账号扫描类型的方法中,所述XLS文件用于建立该自定义扫描类型的批量账号导入模板。
[0015] 本发明还涉及一种实现上述可动态扩展特权账号扫描类型的方法的装置,包括:
[0016] 自定义扫描类型插件导入单元:用于通过所述扫描类型导入模块将自定义扫描类型插件导入到所述特权账号扫描系统;
[0017] 属性解析单元:用于由所述连接账号配置模块负责解析所述自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入;
[0018] 扫描单元:用于等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;
[0019] 逻辑处理单元:用于将前端页面输入的值传给所述自定义扫描类型插件的Python脚本,所述Python脚本接收到值后,对其做逻辑处理;
[0020] 读取单元:用于使所述特权账号扫描系统读取所述Python脚本返回的扫描结果和日志内容;
[0021] 查看单元:用于通过所述账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过所述日志查询模块查看该自定义扫描类型的特权账号的扫描日志。
[0022] 在本发明所述的装置中,所述自定义扫描类型插件由一个zip包构成,所述zip包中包含有XML文件、Python脚本和XLS文件。
[0023] 在本发明所述的装置中,所述XML文件用于描述该自定义扫描类型所需连接账号的属性和在所述特权账号扫描系统中连接账号配置模块的显示名称。
[0024] 在本发明所述的装置中,所述Python脚本用于接收所述连接账号配置模块解析完XML文件属性,在其属性输入框中所填入的值,并将所述Python脚本执行完后的扫描结果返回给所述账号结果查询模块,将扫描日志返回给所述日志查询模块。
[0025] 在本发明所述的装置中,所述XLS文件用于建立该自定义扫描类型的批量账号导入模板。
[0026] 实施本发明的可动态扩展特权账号扫描类型的方法及装置,具有以下有益效果:由于将自定义扫描类型插件导入到特权账号扫描系统;提供相应的属性输入框进行输入;
等待相应的值输入后,进行该自定义扫描类型的特权账号扫描;Python脚本接收到值后,对其做逻辑处理;特权账号扫描系统读取Python脚本返回的扫描结果和日志内容;通过账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过日志查询模块查看该自定义扫描类型的特权账号的扫描日志;本发明采用了一种可动态扩展特权账号扫描类型的框架逻辑机制,支持自定义扫描类型插件的导入,从而支持特权账号扫描系统扫描类型的动态扩展,整个过程不用涉及到扫描工具停机升级等影响到正常扫描的行为,也正因通过这种动态扩展特权账号扫描类型的方式,使得特权账号扫描系统支持的设备越来越多,只要运维人员拥有一定的脚本编写能力,就能写出自定义扫描类型插件,也使得企业或者组织要付出的成本大大降低,因此本发明可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
等待相应的值输入后,进行该自定义扫描类型的特权账号扫描;Python脚本接收到值后,对其做逻辑处理;特权账号扫描系统读取Python脚本返回的扫描结果和日志内容;通过账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过日志查询模块查看该自定义扫描类型的特权账号的扫描日志;本发明采用了一种可动态扩展特权账号扫描类型的框架逻辑机制,支持自定义扫描类型插件的导入,从而支持特权账号扫描系统扫描类型的动态扩展,整个过程不用涉及到扫描工具停机升级等影响到正常扫描的行为,也正因通过这种动态扩展特权账号扫描类型的方式,使得特权账号扫描系统支持的设备越来越多,只要运维人员拥有一定的脚本编写能力,就能写出自定义扫描类型插件,也使得企业或者组织要付出的成本大大降低,因此本发明可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
附图说明
[0027] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028] 图1为本发明可动态扩展特权账号扫描类型的方法及装置一个实施例中方法的流程图;
[0029] 图2为所述实施例中装置的结构示意图。
具体实施方式
[0030] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0031] 在本发明可动态扩展特权账号扫描类型的方法及装置实施例中,该可动态扩展特权账号扫描类型的方法应用于特权账号扫描系统,特权账号扫描系统包括相互连接的扫描概况单元、任务列表单元、扫描类型配置单元、外部集成配置单元和扫描结果规则配置单元,扫描概况单元用于进行数据分析及数据图表呈现;使得企业或组织的审计人员可以通过扫描概况页面清楚的了解到他们特权账号的分布情况。任务列表单元用于新建扫描任务,能手工或者批量导入连接账号,定时或者实时对不同类型的目标设备发起扫描,并返回相应扫描结果,能根据需求将账号导出为表格或者集成推送到外部系统;扫描类型配置单元用于管理特权账号扫描系统的自定义扫描插件;包含导入、删除和自定义属性功能。外部集成配置单元用于配置特权账号扫描系统与企业或组织自有的系统进行相结合,用以实现账号的导入和推送;扫描结果规则配置单元:用于配置通过特权账号扫描系统扫描出来的账号做一些结果的预标记,方便使用特权账号扫描系统的人员进行区分和对目标设备账号作标识。
[0032] 任务列表单元包括相互连接的任务查询模块、任务配置模块、连接账号配置模块、外部账号导入模块、设备扫描查询模块、账号结果查询模块、账号结果导出模块、日志查询模块和集成推送模块,其中,任务查询模块用于根据搜索条件快速查询扫描任务及其任务历史记录,然后对选定的扫描任务执行相应的动作;任务配置模块用于新增或者修改扫描任务;连接账号配置模块用于配置将要对目标设备进行扫描的连接账号;外部账号导入模块用于配置从外部系统导入的连接账号;设备扫描查询模块用于查询扫描过程中目标设备连接账号扫描成功或者失败的情况,并作出结果统计;账号结果查询模块用于将扫描出来的账号做页面展示;账号结果导出模块用于将扫描出来的账号导出为Execl表格;日志查询模块用于查询扫描过程中目标设备连接账号的扫描成功或者失败日志;集成推送模块用于将扫描出来的账号与外部系统作对比,并将账号推送至外部系统进行纳管。
[0033] 扫描类型配置单元进一步包括相互连接的扫描类型查询模块、扫描类型导入模块和自定义属性模块。其中,扫描类型查询模块用于根据搜索条件快速查询扫描类型,然后对特定的扫描类型执行相应的动作;扫描类型导入模块用于导入自定义扫描插件,除特权账号扫描系统自带的扫描插件外,成为特权账号扫描系统新的一种扫描类型;自定义属性模块用于定义自定义扫描插件的属性规范并将属性统一管理,使得特权账号扫描系统在配置连接账号的时候,校验性功能进一步提升。
[0034] 该可动态扩展特权账号扫描类型的方法的流程图如图1所示。图1中,该可动态扩展特权账号扫描类型的方法包括如下步骤:
[0035] 步骤S01通过扫描类型导入模块将自定义扫描类型插件导入到特权账号扫描系统:本步骤中,通过扫描类型导入模块将自定义扫描类型插件导入到特权账号扫描系统中。
[0036] 具体而言,自定义扫描类型插件由一个zip包构成,zip包中包含有XML文件、Python脚本和XLS文件。其中,XML文件用于描述该自定义扫描类型所需连接账号的属性和在特权账号扫描系统中连接账号配置模块的显示名称。Python脚本用于接收连接账号配置模块解析完XML文件属性,在其属性输入框中所填入的值,并将Python脚本执行完后的扫描结果返回给账号结果查询模块,将扫描日志返回给日志查询模块。XLS文件用于建立该自定义扫描类型的批量账号导入模板。
[0037] 步骤S02由连接账号配置模块负责解析自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入:本步骤中,通过连接账号配置模块解析自定义扫描类型插件的属性,也就是负责解析XML文件属性,且在前端页面作展示,并提供相应的属性输入框进行输入。
[0038] 步骤S03等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描:本步骤中,在属性输入框中输入相应的值后,在特权账号扫描系统中点击执行扫描任务,开始进行该自定义扫描类型的特权账号扫描。
[0039] 步骤S04将前端页面输入的值传给自定义扫描类型插件的Python脚本,Python脚本接收到值后,对其做逻辑处理:本步骤中,将前端页面输入的值(也就是在属性输入框中输入的值)传给自定义扫描类型插件的Python脚本,Python脚本接收到该值后,会对该值做逻辑处理。
[0040] 步骤S05特权账号扫描系统读取Python脚本返回的扫描结果和日志内容:本步骤中,特权账号扫描系统读取Python脚本返回的扫描结果和日志内容,最后将扫描结果和扫描的日志内容返回给账号结果查询模块和日志查询模块。
[0041] 步骤S06通过账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过日志查询模块查看该自定义扫描类型的特权账号的扫描日志:本步骤中,账号结果查询模块和日志查询模块接收到值后,便做一系列数据展示。具体而言,通过账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过日志查询模块查看该自定义扫描类型的特权账号的扫描日志。
[0042] 在本发明的可动态扩展特权账号扫描类型的方法中,提供一种可动态扩展特权账号扫描类型的框架逻辑机制,该框架机制属于特权账号扫描系统的一部分,以应对企业或者组织IT基础架构中复杂且繁多的设备类型,在特权账号扫描系统的基础上,可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
[0043] 图2为本实施例中装置的结构示意图,图2中,该装置包括自定义扫描类型插件导入单元1、属性解析单元2、扫描单元3、逻辑处理单元4、读取单元5和查看单元6;其中,自定义扫描类型插件导入单元1用于通过扫描类型导入模块将自定义扫描类型插件导入到特权账号扫描系统;自定义扫描类型插件由一个zip包构成,zip包中包含有XML文件、Python脚本和XLS文件。XML文件用于描述该自定义扫描类型所需连接账号的属性和在特权账号扫描系统中连接账号配置模块的显示名称。Python脚本用于接收连接账号配置模块解析完XML文件属性,在其属性输入框中所填入的值,并将Python脚本执行完后的扫描结果返回给账号结果查询模块,将扫描日志返回给日志查询模块。XLS文件用于建立该自定义扫描类型的批量账号导入模板。属性解析单元2用于由连接账号配置模块负责解析自定义扫描类型插件的属性且在前端页面作展示,并提供相应的属性输入框进行输入。
[0044] 扫描单元3用于等待相应的值输入后,点击执行扫描任务,进行该自定义扫描类型的特权账号扫描;逻辑处理单元4用于将前端页面输入的值传给自定义扫描类型插件的Python脚本,Python脚本接收到值后,对其做逻辑处理;读取单元5用于使特权账号扫描系统读取Python脚本返回的扫描结果和日志内容;查看单元6用于通过账号结果查询模块查看该自定义扫描类型的特权账号的扫描结果,并通过日志查询模块查看该自定义扫描类型的特权账号的扫描日志。
[0045] 在本发明的装置中,提供一种可动态扩展特权账号扫描类型的框架逻辑机制,该框架机制属于特权账号扫描系统的一部分,以应对企业或者组织IT基础架构中复杂且繁多的设备类型,在特权账号扫描系统的基础上,可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
[0046] 总之,本发明提供一种可动态扩展特权账号扫描类型的框架逻辑机制,该框架机制属于特权账号扫描系统的一部分,以应对企业或者组织IT基础架构中复杂且繁多的设备类型,在特权账号扫描系统的基础上,可动态扩展特权账号扫描类型,使得企业或者组织所花费的成本大幅降低,不用做专门的扫描工具定制开发、停机升级现有扫描工具等影响正常扫描的行为。
[0047] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。