(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111455750.4 (22)申请日 2021.12.01 (71)申请人 江苏亨通工控安全研究院有限公司 地址 215137 江苏省苏州市相城区高铁新 城南天成路8号天 成大厦8楼 申请人 江苏亨通信息安全技 术有限公司 (72)发明人 吴志华　陈夏裕　蔡艳林　章明飞　 (74)专利代理 机构 苏州国诚专利代理有限公司 32293 代理人 陈君名 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0246(2022.01) H04L 67/025(2022.01) (54)发明名称 一种运维功能集中管理平台、 用户终端、 系 统及搭建方法 (57)摘要 本申请提供了一种运维功能集中管 理平台、 用户终端、 系统及搭建方法， 其中， 运维功能集中 管理平台被配置为能够提供应用程序或终端功 能给用户终端， 所述应用程序或终端功能由运维 终端远程映射到所述运维功能集中管理平台。 通 过设置运维功能集中管理平台， 将用户终端与运 维终端的访问隔离， 隐藏运维终端的网络结构， 使得运维终端免受渗透扫描的风险。 通过基于 remote app技术的远程映射， 能够将应用程序或 者终端功能单独呈现给登录用户， 使登录用户不 再每次访问请求都必须得到一个远程桌面， 同 时， 运维审计也可以从原来监控每个运维终端的 远程桌面链接转移到监控运维功能集中平台的 远程应用服 务， 大大降低了监控的难度。 权利要求书1页 说明书5页 附图1页 CN 114143092 A 2022.03.04 CN 114143092 A 1.一种运维功能集中管理平台， 其特征在于： 所述运维功能集中管理平台被配置为能 够提供应用程序或终端功能给用户终端， 所述应用程序或终端功能由运 维终端远程映射到 所述运维功能集中管理平台。 2.根据权利要求1所述的运维功能集中管理平台， 其特征在于： 所述运维功能集中管理 平台只提供应用程序或终端功能的界面给用户终端。 3.根据权利要求1所述的运维功能集中管理平台， 其特征在于： 所述运维功能集中管理 平台受到安全设备保护。 4.根据权利要求1所述的运维功能集中管理平台， 其特征在于： 所述远程映射基于 windows系统的remote  app功能实现。 5.一种用户终端， 其特征在于， 所述用户终端被配置为能够与运维功能集中管理平台 通信， 并能够访问运维功 能集中管理平台所提供 的应用程序或终端功 能， 所述应用程序或 终端功能由运维 终端远程映射到所述 运维功能集中管理平台。 6.根据权利要求5所述的用户终端， 其特征在于： 所述用户终端只能够访问运维功能集 中管理平台提供的应用程序或终端功能的界面。 7.一种运维系统， 其特征在于： 包括用户终端、 运维功能集中管理平台和运维终端， 所 述运维终端将应用程序或终端功能远程映射到所述运 维功能集中管理平台， 所述用户终端 能够与所述运维功 能集中管理平台通信并访问所述运维功 能集中管理平台所提供的应用 程序或终端功能。 8.根据权利要求7所述的运维系统， 其特征在于： 所述远程映射基于windows系统的 remote app功能实现。 9.一种运维系统的搭建方法， 其特 征在于， 包括： 创建运维功能集中管理平台； 创建登陆用户， 所述登陆用户只能用于登陆运维审计； 授权登陆用户与运维功能集中管理平台能够通信； 运维功能集中管理平台通过远程映射链接运维 终端上的应用程序或终端功能； 创建访问授权策略， 绑定登录用户， 所述授权策略包括登录用户、 可访问运维功能集中 平台的应用程序或终端功能、 每种应用程序或者终端功能对应的运维终端资源和账户信 息。 10.根据权利要求9所述的运维系统的搭建方法， 其特征在于， 所述远程映射基于 windows系统的remote  app功能实现。权　利　要　求　书 1/1 页 2 CN 114143092 A 2一种运维功能集中管理平台、 用户终端、 系统及搭建 方法 技术领域 [0001]本发明涉及网络安全运维技术， 尤其涉及一种运维功能集中管理平台、 用户终端、 系统及搭建方法。 背景技术 [0002]当前， 信息化建设的重点已经由原来的基础建设向深化应用、 零信任身份管理等 方面进一步发展； 由于设备和服务器众多， 账号管理混乱， 授权不清、 各种越权访问、 误操 作、 滥用、 恶意破坏等情况在配有传统安全运维审计的情况 下仍然时有发生。 [0003]传统安全运维审计(以下简称运维审计)所具备的核心功能主要囊括以下几点： 远 程访问传输加密(即VPN技术)、 资产CMDB自动化管理、 运维用户权限分立等， 从发起远程访 问请求到登录运维 终端设备， 传统运维审计都逐一实现了安全管理措施。 [0004]在上述运维过程中， 运维审计只实现了对运维终端设备的登录防护， 一旦运维用 户被劫持， 就会导 致受该运维用户管理的设备终端出现防护空白。 [0005]如何在传统运维审计、 已经完成授权的情况下， 提供更加细粒度的、 访问权限更加 严格的安全策略、 安全管理措施， 这是当前运维审计迫切需要解决的问题。 发明内容 [0006]本发明的目的在于提供一种运维功能集中管理平台， 以隔离用户终端和运维终 端， 将登陆用户的权限最小化。 [0007]本发明的另一目的在于提供与上述运维功能集中管理平台匹配的用户终端、 包含 上述运维功能集中管理平台的运维系统， 以及系统的搭建方法。 [0008]以下给出一个或多个方面的简要概述以提供对这些方面的基本 理解。 此概述不是 所有构想到的方面的详尽综览， 并且既非旨在指认出所有方面的关键性或决定性要素亦非 试图界定任何或所有方面的范围。 其唯一的目的是要以简化形式给出一个或多个方面的一 些概念以为稍后给 出的更加详细的描述之序。 [0009]根据本发明的第一方面， 提供了一种运维功能集中管理平台， 所述运维功能集中 管理平台被配置为能够提供应用程序或终端功能给用户终端， 所述应用程序或终端功能由 运维终端远程映射到所述 运维功能集中管理平台。 [0010]在一实施例中， 所述运维功能集中管理平台只提供应用程序或终端功能的界面给 用户终端。 [0011]在一实施例中， 所述 运维功能集中管理平台受到安全设备保护。 [0012]在一实施例中， 所述远程映射基于w indows系统的remote  app功能实现。 [0013]根据本发明的第二方面， 提供了一种用户终端， 所述用户终端被配置为能够与运 维功能集中管理平台通信， 并能够访问运维功能集中管理平台所提供的应用程序或终端功 能， 所述应用程序或终端功能由运维 终端远程映射到所述 运维功能集中管理平台。 [0014]在一实施例中， 所述用户终端只能够访问运维功能集中管理平台提供的应用程序说　明　书 1/5 页 3 CN 114143092 A 3