本申請(qǐng)涉及數(shù)據(jù)安全，尤其涉及一種跳板機(jī)密碼安全管控方法和裝置、電子設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、目前，相關(guān)人員在使用跳板機(jī)(jump?server)時(shí)，經(jīng)常會(huì)出現(xiàn)密碼管理不當(dāng)?shù)那闆r，例如用戶往往會(huì)依賴(lài)于通過(guò)弱密碼來(lái)使用跳板機(jī)，進(jìn)而導(dǎo)致密碼泄露的風(fēng)險(xiǎn)極高，一旦發(fā)生泄漏，攻擊者就可能獲取到訪問(wèn)跳板機(jī)的權(quán)限，從而間接獲取對(duì)企事業(yè)各類(lèi)關(guān)鍵業(yè)務(wù)系統(tǒng)的控制權(quán)限，如虛擬機(jī)、服務(wù)器等。攻擊者能夠執(zhí)行刪除虛擬機(jī)、停機(jī)服務(wù)器等操作，會(huì)對(duì)企業(yè)財(cái)產(chǎn)和數(shù)據(jù)等造成不可估量的損失。為了降低這一風(fēng)險(xiǎn)，亟需一款能夠批量掃描和管理跳板機(jī)弱密碼的工具，以減少潛在的安全隱患。

2、在相關(guān)技術(shù)中，現(xiàn)有的安全防護(hù)產(chǎn)品中，大部分是通過(guò)用戶手動(dòng)設(shè)置密碼策略、定期變更密碼等方式來(lái)防范密碼泄露，但這種方式存在以下不足：

3、人工管理的局限性：用戶習(xí)慣不容易改變，往往依賴(lài)弱密碼，缺乏足夠的自我警覺(jué)。

4、缺乏批量掃描功能：現(xiàn)有產(chǎn)品大多只提供單機(jī)或單一系統(tǒng)的密碼管理功能，無(wú)法對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)中的跳板機(jī)進(jìn)行統(tǒng)一的弱密碼批量掃描和檢測(cè)。

5、無(wú)自動(dòng)化處理：一些產(chǎn)品只能通過(guò)人工干預(yù)來(lái)修改密碼或進(jìn)行后續(xù)處理，難以實(shí)現(xiàn)自動(dòng)化修復(fù)和防護(hù)。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)?zhí)峁┝艘环N跳板機(jī)密碼安全管控方法和裝置、電子設(shè)備和存儲(chǔ)介質(zhì)，以至少解決相關(guān)技術(shù)中存在的技術(shù)問(wèn)題。

2、根據(jù)本申請(qǐng)實(shí)施例的一個(gè)方面，提供了一種跳板機(jī)密碼安全管控方法，包括：

3、識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)；

4、抓取得到所述跳板機(jī)配置的用戶密碼；

5、對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼；

6、在確定所述用戶密碼是弱密碼的情況下，生成與所述跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼，并將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，其中，所述強(qiáng)密碼的安全性高于所述弱密碼。

7、可選地，如前述的方法，所述識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)包括：

8、通過(guò)預(yù)設(shè)掃描方式在所述目標(biāo)網(wǎng)絡(luò)中進(jìn)行掃描，并識(shí)別出所述目標(biāo)網(wǎng)絡(luò)中的所有跳板機(jī)，其中，所述預(yù)設(shè)掃描方式支持的協(xié)議包括以下至少一種：ssh、rdp、telnet。

9、可選地，如前述的方法，所述抓取得到所述跳板機(jī)配置的用戶密碼，包括：

10、登錄到所述跳板機(jī)；

11、通過(guò)以下至少一種方式獲取所述跳板機(jī)配置的用戶密碼：在所述目標(biāo)網(wǎng)絡(luò)中識(shí)別得到用于存儲(chǔ)密碼的文件、在所述目標(biāo)網(wǎng)絡(luò)中識(shí)別得到存儲(chǔ)有密碼文件的路徑以及獲取目標(biāo)業(yè)務(wù)系統(tǒng)的配置，其中，所述目標(biāo)業(yè)務(wù)系統(tǒng)為所述跳板機(jī)所用于訪問(wèn)的系統(tǒng)，所述目標(biāo)業(yè)務(wù)系統(tǒng)的配置包括所述跳板機(jī)的配置文件。

12、可選地，如前述的方法，所述對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼，包括：

13、在通過(guò)所述弱密碼檢測(cè)確定所述用戶密碼滿足以下至少一項(xiàng)弱密碼條件時(shí)，判定所述用戶密碼為弱密碼：所述用戶密碼的字符種類(lèi)少于或等于預(yù)設(shè)種類(lèi)數(shù)量，所述用戶密碼的字符數(shù)量少于或等于預(yù)設(shè)字符數(shù)量，所述用戶密碼的中各個(gè)字符之間的字符關(guān)系是滿足預(yù)設(shè)弱密碼字符關(guān)系，所述用戶密碼為預(yù)設(shè)弱密碼中的一個(gè)。

14、可選地，如前述的方法，所述將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，包括：

15、獲取對(duì)所述強(qiáng)密碼進(jìn)行審核的審核結(jié)果；

16、在所述審核結(jié)果指示所述強(qiáng)密碼可以被應(yīng)用的情況下，將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中。

17、可選地，如前述的方法，所述方法還包括：

18、對(duì)以下至少一種密碼管理信息進(jìn)行記錄：所述跳板機(jī)配置的用戶密碼，判定所述用戶密碼是否為弱密碼的密碼檢測(cè)結(jié)果以及生成與所述跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼；

19、根據(jù)所述密碼管理信息生成報(bào)告以及展示圖表。

20、可選地，如前述的方法，所述方法還包括以下至少一項(xiàng)：

21、對(duì)所述強(qiáng)密碼進(jìn)行加密存儲(chǔ)至目標(biāo)加密區(qū)域，其中，滿足預(yù)設(shè)身份要求的用戶具有對(duì)所述目標(biāo)加密區(qū)域的訪問(wèn)權(quán)限；

22、將所述報(bào)告和/或所述展示圖表同步至安全管理平臺(tái)，以令所述安全管理平臺(tái)確定所述報(bào)告和/或所述展示圖表不滿足預(yù)設(shè)安全要求時(shí)進(jìn)行響應(yīng)；

23、獲取安全檢測(cè)系統(tǒng)的安全檢測(cè)結(jié)果，并在所述用戶密碼的安全性不滿足所述安全檢測(cè)結(jié)果的情況下，根據(jù)所述安全檢測(cè)結(jié)果對(duì)所述用戶密碼進(jìn)行更新。

24、根據(jù)本申請(qǐng)實(shí)施例的另一個(gè)方面，還提供了一種跳板機(jī)密碼安全管控裝置，包括：

25、識(shí)別模塊，用于識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)；

26、抓取模塊，用于抓取得到所述跳板機(jī)配置的用戶密碼；

27、弱密碼檢測(cè)模塊，用于對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼；

28、密碼管理與自動(dòng)更新模塊，用于在確定所述用戶密碼是弱密碼的情況下，生成與所述跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼，并將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，其中，所述強(qiáng)密碼的安全性高于所述弱密碼。

29、根據(jù)本申請(qǐng)實(shí)施例的又一個(gè)方面，還提供了一種電子設(shè)備，包括處理器、通信接口、存儲(chǔ)器和通信總線，其中，處理器、通信接口和存儲(chǔ)器通過(guò)通信總線完成相互間的通信；其中，存儲(chǔ)器，用于存儲(chǔ)計(jì)算機(jī)程序；處理器，用于通過(guò)運(yùn)行所述存儲(chǔ)器上所存儲(chǔ)的所述計(jì)算機(jī)程序來(lái)執(zhí)行上述任一實(shí)施例中的方法步驟。

30、根據(jù)本申請(qǐng)實(shí)施例的又一個(gè)方面，還提供了一種計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì)，該存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)程序，其中，該計(jì)算機(jī)程序被設(shè)置為運(yùn)行時(shí)執(zhí)行上述任一實(shí)施例中的方法步驟。

31、在本申請(qǐng)實(shí)施例中，采用對(duì)跳板機(jī)的用戶密碼進(jìn)行安全性評(píng)估的方式，通過(guò)識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)；抓取得到所述跳板機(jī)配置的用戶密碼；對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼；在確定所述用戶密碼是弱密碼的情況下，生成與所述跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼，并將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，其中，所述強(qiáng)密碼的安全性高于所述弱密碼。由于可以自動(dòng)確定出跳板機(jī)的密碼強(qiáng)弱，并在用戶密碼是弱密碼的情況下，生成該跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼，從而可以實(shí)現(xiàn)提升該跳板機(jī)的密碼安全性的目的，達(dá)到了可以快速批量掃描目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)并進(jìn)行統(tǒng)一密碼檢測(cè)，且可以自動(dòng)對(duì)弱密碼進(jìn)行修改的技術(shù)效果，進(jìn)而解決了相關(guān)技術(shù)中存在的以下技術(shù)問(wèn)題：密碼使用過(guò)程中人工管理存在局限性；只提供單機(jī)或單一系統(tǒng)的密碼管理功能，無(wú)法對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)中的跳板機(jī)進(jìn)行統(tǒng)一的弱密碼批量掃描和檢測(cè)；以及只能人工對(duì)弱密碼進(jìn)行修改的問(wèn)題。

技術(shù)特征：

1.一種跳板機(jī)密碼安全管控方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述抓取得到所述跳板機(jī)配置的用戶密碼，包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼，包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，包括：

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

7.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述方法還包括以下至少一項(xiàng)：

8.一種跳板機(jī)密碼安全管控裝置，其特征在于，包括：

9.一種電子設(shè)備，包括處理器、通信接口、存儲(chǔ)器和通信總線，其中，所述處理器、所述通信接口和所述存儲(chǔ)器通過(guò)所述通信總線完成相互間的通信，其特征在于，

10.一種計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì)，其特征在于，所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)程序，其中，所述計(jì)算機(jī)程序被設(shè)置為運(yùn)行時(shí)執(zhí)行權(quán)利要求1至7中任一項(xiàng)中所述的方法。

技術(shù)總結(jié)
本申請(qǐng)?zhí)峁┝艘环N跳板機(jī)密碼安全管控方法和裝置、電子設(shè)備和存儲(chǔ)介質(zhì)，其中，該方法包括：通過(guò)識(shí)別目標(biāo)網(wǎng)絡(luò)中的跳板機(jī)；抓取得到所述跳板機(jī)配置的用戶密碼；對(duì)所述用戶密碼進(jìn)行弱密碼檢測(cè)，并判定所述用戶密碼是否為弱密碼；在確定所述用戶密碼是弱密碼的情況下，生成與所述跳板機(jī)對(duì)應(yīng)的強(qiáng)密碼，并將所述強(qiáng)密碼寫(xiě)入所述跳板機(jī)的配置文件中，其中，所述強(qiáng)密碼的安全性高于所述弱密碼。通過(guò)本申請(qǐng)，可以解決相關(guān)技術(shù)中存在的以下技術(shù)問(wèn)題：密碼使用過(guò)程中人工管理存在局限性；只提供單機(jī)或單一系統(tǒng)的密碼管理功能，無(wú)法對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)中的跳板機(jī)進(jìn)行統(tǒng)一的弱密碼批量掃描和檢測(cè)；以及只能人工對(duì)弱密碼進(jìn)行修改的問(wèn)題。

技術(shù)研發(fā)人員：柴亞峰
受保護(hù)的技術(shù)使用者：北京金山云網(wǎng)絡(luò)技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15