CN111046351A - 用于管理办公网络中的应用权限的方法及装置 - Google Patents

用于管理办公网络中的应用权限的方法及装置 Download PDF

Info

Publication number
CN111046351A
CN111046351A CN201911280568.2A CN201911280568A CN111046351A CN 111046351 A CN111046351 A CN 111046351A CN 201911280568 A CN201911280568 A CN 201911280568A CN 111046351 A CN111046351 A CN 111046351A
Authority
CN
China
Prior art keywords
employee
application
authority
data
permission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911280568.2A
Other languages
English (en)
Inventor
金璐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN201911280568.2A priority Critical patent/CN111046351A/zh
Publication of CN111046351A publication Critical patent/CN111046351A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Abstract

本说明书的实施例提供了一种用于管理办公网络中的应用权限的方法及装置。在该方法中,获取办公网络中的各个办公应用程序的员工权限访问行为数据;通过员工权限访问行为数据来确定办公网络中的各个员工的应用权限使用数据;获取各个员工的当前应用权限授权数据;进而,结合各个员工的应用权限使用数据与当前应用权限授权数据,来对各个员工信息的应用权限进行管理。利用该方法,通过对各个应用程序的访问流量数据进行智能计算来管理办公网络中的应用权限,对全网各个应用程序进行权限监管,可以降低数据隐私泄露的风险。

Description

用于管理办公网络中的应用权限的方法及装置
技术领域
本说明书的实施例涉及互联网领域,具体地,涉及一种用于管理办公网络中的应用权限的方法及装置。
背景技术
近年来,出于对数据的安全性和可控性的考虑,一些大型实体(例如政府、大企业、学校等)会搭建专属办公网络或公司内网。
为了便于公司员工处理各种事务,在办公网络中会配置各种用于不同业务的各种应用程序(例如,办公自动化(Office Automation,OA)、企业资源计划(EnterpriseResource Planning,ERP)等系统应用)。出于对用户隐私信息或公司敏感数据的保护,一些应用程序中的部分功能可能并不会对所有的员工开放。但是,在一些情况下,由于组织调整或其他原因,可能使得员工不需要或长时间不会使用已分配的功能权限,导致一些应用程序的权限(即,应用权限)被闲置,而闲置权限存在较大的被他人盗用的风险。因此,亟需对办公网络中各个应用程序的闲置权限进行及时有效的全面管理,以全面保障用户个人隐私信息和公司敏感数据的安全性。
针对上述问题,目前业界暂无较佳的解决方案。
发明内容
鉴于上述问题,本说明书的实施例提供了一种用于管理办公网络中的应用权限的方法及装置。利用该方法及装置,结合办公网络中各个应用程序的员工权限访问行为数据和各个员工的应用权限授权数据,可以通过员工权限使用情况来对办公网络中的各个应用权限进行动态管理,有助于降低数据隐私泄露的风险。
根据本说明书实施例的一个方面,提供了一种用于管理办公网络中的应用权限的方法,包括:获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息;基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据;从权限管理平台获取所述各个员工的当前应用权限授权数据;以及基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。
可选地,在上述方面的一个示例中,所述员工权限访问行为数据包括访问时间,基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理包括:针对所述各个员工,基于所述应用权限使用数据和所述当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限,以及当存在所述第一闲置应用权限时,从所述当前应用权限授权数据中移除所述第一闲置应用权限。
可选地,在上述方面的一个示例中,所述员工具有员工分类标识,所述员工的应用权限授权数据与员工分类对应,基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理包括:针对各个员工分类,基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限;基于所述第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。
可选地,在上述方面的一个示例中,基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限包括:基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限;针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比;根据各个第三闲置应用权限的权限闲置员工占比,从所述各个第三闲置应用权限中确定所述第二闲置应用权限。
可选地,在上述方面的一个示例中,所述方法还可以包括:针对申请加入所述办公网络的员工,获取该员工的员工属性信息;基于该员工的员工属性信息,确定该员工的员工分类;以及向该员工分配与所确定的员工分类对应的应用权限授权数据。
可选地,在上述方面的一个示例中,获取办公网络中的各个办公应用程序的员工权限访问行为数据包括:获取办公网络中的各个办公应用程序的员工访问行为数据,所述员工访问行为数据包括访问员工信息和访问URL路径;以及基于所述员工访问数据和URL路径权限表,确定所述员工权限访问行为数据。
可选地,在上述方面的一个示例中,所述方法还包括:针对所述至少一个应用程序,获取各个所述应用程序所分别对应的源代码集;针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集;基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定所述URL路径权限表。
可选地,在上述方面的一个示例中,获取办公网络中的各个办公应用程序的员工访问行为数据包括:基于办公网络漏洞扫描系统,获取办公网络中的各个办公应用程序的员工访问行为数据。
根据说明书实施例的另一方面,提供了一种用于管理办公网络中的应用权限的装置,包括:权限访问行为数据获取单元,获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息;权限使用信息确定单元,基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据;当前授权信息获取单元,从权限管理平台获取所述各个员工的当前应用权限授权数据;权限管理单元,基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。
可选地,在上述方面的一个示例中,所述员工权限访问行为数据包括访问时间,所述权限管理单元包括第一闲置权限确定模块和权限移除模块,针对所述各个员工,所述第一闲置权限确定模块基于所述应用权限使用数据和所述当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限,当存在所述第一闲置应用权限时,所述第一闲置权限确定模块从所述当前应用权限授权数据中移除所述第一闲置应用权限。
可选地,在上述方面的一个示例中,所述员工具有员工分类标识,所述员工的应用权限授权数据与员工分类对应,所述权限管理单元包括第二闲置权限确定模块和授权信息更新模块,针对各个员工分类,所述第二闲置权限确定模块基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限,所述授权信息更新模块基于所述第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。
可选地,在上述方面的一个示例中,所述第二闲置权限确定模块:基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限;针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比;根据各个第三闲置应用权限的权限闲置员工占比,从所述各个第三闲置应用权限中确定所述第二闲置应用权限。
可选地,在上述方面的一个示例中,所述装置还包括授权分配单元:针对申请加入所述办公网络的员工,获取该员工的员工属性信息;基于该员工的员工属性信息,确定该员工的员工分类;向该员工分配与所确定的员工分类对应的应用权限授权数据。
可选地,在上述方面的一个示例中,所述权限访问行为数据获取单元包括:访问行为数据获取模块,获取办公网络中的各个办公应用程序的员工访问行为数据,所述员工访问行为数据包括访问员工信息和访问URL路径;以及查表确权模块,基于所述员工访问数据和URL路径权限表,确定所述员工权限访问行为数据。
可选地,在上述方面的一个示例中,所述装置还包括路径权限表确定单元:针对所述至少一个应用程序,获取各个所述应用程序所分别对应的源代码集;针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集;基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定所述URL路径权限表。
可选地,在上述方面的一个示例中,所述访问行为数据获取模块基于办公网络漏洞扫描系统来获取办公网络中的各个办公应用程序的员工访问行为数据。
根据本说明书的实施例的另一方面,还提供一种电子设备,包括:至少一个处理器;以及存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如上所述的用于管理办公网络中的应用权限的方法。
根据本说明书的实施例的另一方面,还提供一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如上所述的用于管理办公网络中的应用权限的方法。
附图说明
通过参照下面的附图,可以实现对于本说明书的实施例内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本说明书的实施例,但并不构成对本说明书的实施例的限制。在附图中:
图1示出了适于应用本说明书的实施例的用于管理办公网络中的应用权限的方法的一示例的架构示意图;
图2示出了根据本说明书的实施例的用于管理办公网络中的应用权限的方法的一示例的流程图;
图3示出了根据本说明书一实施例的对应用权限进行管理的一示例的流程图;
图4示出了根据本说明书一实施例的对应用权限进行管理的另一示例的流程图;
图5示出了根据本说明书一实施例的获取员工权限访问行为数据集的一示例的流程图;
图6示出了根据本说明书一实施例的确定URL路径权限表的过程的一示例的流程图;
图7示出了根据本说明书的实施例的办公网络应用权限管理方法的一示例的流程图;
图8示出了根据本说明书的实施例的用于管理办公网络中的应用权限的装置的结构框图;
图9示出了根据本发明书的实施例的权限访问行为数据获取单元的一示例的结构框图;和
图10示出了根据本说明书的实施例的用于管理办公网络中的应用权限的电子设备的一示例的硬件结构图。
具体实施方式
以下将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本说明书的实施例内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
在本文中,术语“URL”(uniform resource locator,统一资源定位符)是因特网的万维网服务程序上用于指定信息位置的表示方法。术语“办公网络”可以表示公司内网,针对公司内部所架设的计算机服务系统,各台工作计算机通信连接,并通过计算机服务器进行统一化管理以共享文件数据,从而提高工作效率。
这里,办公网络包括基于私有云架构或局域网架构而部署的网络。在大型公司实体中,公司员工和公司内网应用程序(例如,OA和ERP系统应用等)的数量众多,如何对不同员工的各项应用权限进行有效管理是目前业界的一大难题。
目前,针对员工的应用权限管理工作,一般需要开发人员针对各个应用程序(例如,OA系统应用和ERP系统应用)分别增加鉴权配置,使得各个应用系统分别进行鉴权,并且需要人工去定期进行权限梳理。另外,由于不同的应用程序的差异性(例如,在系统框架、开发语言等方面的差异),使得针对各个应用程序可能需要定制相应的鉴权配置,导致大量的人力资源的消耗,并且可能存在某些应用系统的鉴权配置无法通用适配而增大了权限监管全面覆盖的难度。
鉴于此,在本说明书的实施例提出了可以基于办公网络针对各个应用程序的流量服务数据信息来对办公网络中各个员工的应用权限进行动态回收,能够保障权限管理策略能够全面覆盖到办公网络中的各个应用程序。
图1示出了适于应用本说明书的实施例的用于管理办公网络中的应用权限的方法(下文中也被称为“办公网络应用权限管理方法”)的一示例的架构示意图。
如图1所示,在该架构100中,至少一个客户端通过办公网络110可以向办公网络服务端(例如,151和/或152)发送访问请求,以请求办公网络服务端来提供相应的服务,例如OA系统应用服务或ERP系统应用服务。这里,办公网络110的类型可以是多样化的,例如基于私有云架构而部署的私有云网络或基于局域网架构而部署的局域网。这里,客户端可以是诸如台式机132、笔记本电脑136和手机134之类的终端设备,员工可以通过客户端来对办公网络中的各个应用程序的权限进行使用。另外,办公网络服务端可以基于私有数据集而在办公网络110中服务于至少一个应用程序,例如为办公网络中诸如OA系统应用和ERP系统应用之类的各个应用程序提供服务。在本说明书的一个示例中,办公网络服务端包括至少一个业务应用服务端,示例性地,在图1中所示的151和152分别可以是专门服务于唯一对应的应用程序的业务应用服务端,例如分别专门服务于OA系统或ERP系统的服务主机。
在本说明书的一个示例中,在办公网络服务端上存储有用于提供服务的私有数据集,在本说明书的另一示例中,办公网络服务端可以对私有数据集进行远程调用。应理解的是,该私有数据集可以是在办公网络内部限制流通的隐私数据,其可能涉及用户隐私信息或公司敏感数据,而可能仅在部分应用权限开放。在一些应用场景下,部分员工可能会因为部门调动等原因而导致相应的应用权限被长时间被闲置,而长期闲置的应用权限可能会被其他未授权的员工使用,容易导致公司私有数据泄露。
这里,办公网络应用权限管理装置600可以是被部署在任意的终端或服务端的电子设备上的,以通过分析针对办公网络服务端的员工权限访问行为数据,并结合各个员工的当前应用权限授权数据,从而对各个员工信息的应用权限进行管理,能够覆盖到办公网中的各个应用程序。另外,不需要对各个应用程序进行鉴权配置,节约了全网应用权限管理的成本。
图2示出了根据本说明书的实施例的办公网络应用权限管理方法的一示例的流程图。
如图2所示的流程200,在块210中,获取办公网络中的各个办公应用程序的员工权限访问行为数据。如上面所描述的,办公网络服务端可以基于私有数据集而在办公网络中服务于至少一个应用程序。
这里,员工权限访问行为数据可以包括访问员工信息和使用权限信息。这里,访问员工信息可以包括员工身份信息,例如员工ID等。另外,使用权限信息可以指示员工使用(或,访问)了办公网络服务端所服务的应用程序中的权限,例如员工使用了ERP系统应用中的账单查询权限。
需说明的是,办公网络服务端在为各个应用程序提供服务时生成了相应的服务数据。在本说明书实施例的一个示例中,在服务数据中可以记录客户端针对办公网服务端的访问请求,该访问请求可以包括访问员工信息和使用权限信息,此时可以直接依据该服务数据确定相应的员工权限访问行为数据。在本说明书实施例的另一示例中,访问请求或服务数据中可能并不具有使用权限信息,并且需要对服务数据进行进一步的解析操作,从而确定相应的员工权限访问行为数据,更多细节将在下文中展开。
在一些实施方式中,员工权限访问行为数据中还可以包括更多的信息,例如访问请求内容、访问返回内容和/或访问设备信息,以便于对员工的权限使用行为进行更细致的刻画,更多细节也将在下文中展开。
接着,在块220中,基于员工权限访问行为数据确定办公网络中的各个员工的应用权限使用数据。这里,应用权限使用数据可以表达各个应用权限被特定员工所使用的情况,例如员工A使用过了应用权限a。另外,针对一个应用程序可能会存在多个应用权限,例如查询权限、转发权限等等,并且一个员工也可以使用其中的一个或多个权限。
在块230中,从权限管理平台获取各个员工的当前应用权限授权数据。这里,权限管理平台可以存储员工权限授权表,在该员工权限授权表中存储了办公网络中各个员工所分别对应的当前应用权限授权数据集。进而,可以从权限管理平台来接收员工权限授权表,来得到各个员工的当前应用权限授权数据。
在本说明书实施例的一个示例中,员工权限授权表中记录了办公网络中所有员工的应用权限授权数据,其可根据需求而进行更新。另外,由员工权限访问行为数据集所指示的访问员工信息可以只是对应于办公网络中的一部分员工,例如还存在一部分员工从未使用过所授权的应用权限。示例性地,针对办公网络中的员工A的当前应用权限授权数据存在a、b和c这三个授权应用权限,而基于员工A的应用权限使用数据得出只有应用权限a被员工A使用过。
接着,在块240中,基于各个员工的应用权限使用数据和当前应用权限授权数据,对各个员工信息的授权的应用权限进行管理。
在本说明书的实施例的一个示例中,可以将已经分配给员工,但并未被员工所使用的应用权限进行移除(或,回收)。继续上面的示例,可以将员工A所授权的应用权限b和c进行移除,更多细节将在下文中展开。
在本说明书的实施例的另一示例中,可以根据应用权限使用数据来找到当前权限管理策略中的不足,并通过应用权限管理过程来进行弥补。这里,通过当前权限管理策略可以制定或维护上述的员工权限授权表。继续上面的示例,员工A的所授权的应用权限a、b和c都是基于当前权限管理策略而确定的,例如根据员工A的员工岗位j而分配相应的权限a、b和c。进一步地,可以针对具有员工岗位j的各个员工的权限进行管理,例如,针对具有员工岗位j的现有员工都回收应用权限b和c,或者,针对新入网的具有员工岗位j的员工不再分配权限b,等等。关于本示例的更多细节,将在下文中展开。
在本说明书的实施例中,通过针对办公网络中的各个应用程序的员工权限访问行为数据和办公网络中各个员工的当前应用权限授权数据,可以得出各个应用权限的授权员工针对不同权限的实际使用情况,进而管理各个员工信息的应用权限,实现了在办公网络中智能管理应用权限。另外,权限管理操作是基于办公网络中各个应用程序的员工权限访问行为数据而进行的,实现了权限管理操作能够全面覆盖到办公网络中的各个应用程序,并且不需要对应用程序进行修改,还降低了权限监管成本。
图3示出了根据本说明书一实施例的对应用权限进行管理的一示例的流程图。
在本说明书的实施例的示例中,在员工权限访问行为数据中包括访问时间,这样可以通过员工权限访问行为数据来确定闲置应用权限,并对闲置应用权限进行回收。
如图3所示的流程300可以是针对办公网络中的各个员工分别独立进行的。这样,可以找到各个员工的闲置应用权限,并分别进行个性化的应用权限管理操作。
在块310中,基于应用权限使用数据和当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限。这里,用于确定闲置应用权限的设定历史时段的长度在此应不限制,并且可以根据需求而进行调整。
如果在块310中不存在第一闲置应用权限,则可以结束针对该员工信息的权限管理操作。并且,还可以针对其他员工进行如流程300的操作。
如果在块310中存在第一闲置应用权限,则进行在块320中的操作。
在块320中,从当前应用权限授权数据中移除第一闲置应用权限。
具体地,通过应用权限使用数据可以确定各个应用权限被用工所使用的情况,通过当前应用权限授权数据可以确定各个应用权限的员工授权情况。这样,通过应用权限使用数据中的访问时间,可以确定出授权给员工使用的并且该员工却长时间没有使用的应用权限(即,闲置应用权限)。示例性地,通过针对员工B的当前应用权限授权数据,可以确定员工B具有使用授权权限f,以及通过针对员工B的应用权限使用数据,可以确定员工B超过半年都没有使用过权限f,此时可以将权限f确定为员工B的闲置应用权限。并且,可以将员工B针对权限f从员工B所对应的当前应用权限授权数据中移除,并且还可以将上述的员工功能授权表进行更新。
在本说明书的实施例的示例中,结合应用权限使用数据来识别各个员工的闲置应用权限,并对闲置应用权限进行回收,可以缩短办公网络中各个应用权限的闲置时间,有效降低了闲置应用权限被非法盗用的风险。
图4示出了根据本说明书一实施例的对应用权限进行管理的另一示例的流程图。
在本说明书的实施例的示例中,员工具有员工分类标识,员工的应用权限授权数据与员工分类相对应。另外,员工分类可以是由一个或多个员工属性来确定的,员工属性可以是诸如员工岗位、员工工龄之类的信息。示例性地,不同的员工分类所对应的应用权限授权数据也可以是通过当前权限管理策略来确定的,例如针对员工分类M分别分配应用权限a、b和c,针对员工分类N分别分配应用权限a和d。这样,通过本说明书实施例的示例可以实现对当前权限管理策略进行调整。
如图4所示的流程400可以是针对办公网络中的各个员工分别独立进行的。这样,可以找到各个员工分类下的闲置应用权限,有效调整针对不同员工分类的当前权限管理策略。
在块410中,基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限。
具体地,可以基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限。应理解的是,针对同一员工分类中的不同员工,其所对应的闲置应用权限可能是不一样的或存在重合的。然后,针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比。进而,根据各个第三闲置应用权限的权限闲置员工占比,从各个第三闲置应用权限中确定第二闲置应用权限。示例性地,当第三闲置应用权限所对应的权限闲置员工占比超过设定阈值时,可以将该第三闲置应用权限确定为该员工分类的第二闲置应用权限。
在块420中,基于第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。示例性地,可以移除该员工分类的应用权限授权数据中的第二闲置应用权限。继续上面的示例,通过当前权限管理策略,针对员工分类M分别分配应用权限a、b和c,而通过如流程400的操作可以确定权限c相对于员工分类M是闲置应用权限,此时可以将员工分类M的应用权限授权数据更新为a和b,例如,可以将员工分类M下的当前所有员工的应用权限c进行移除。
在本说明书实施例的一个示例中,针对申请加入办公网络的员工,获取该员工的员工属性信息,员工属性信息包括诸如员工岗位、员工工龄和员工级别之类的信息。并且,基于该员工的员工属性信息来确定该员工的员工分类,例如可以根据单维度的员工属性信息(例如,员工岗位)来确定员工分类,也可以根据多维度的员工属性信息(例如,员工岗位和员工工龄)来确定员工分类,对此可不加限制。进而,向该员工分配与所确定的员工分类对应的应用权限授权数据。
进一步地,结合图4中所描述的示例,如果员工分类所对应的应用权限授权数据因存在闲置应用权限而被更新了,则可以利用经更新的应用权限授权数据对申请入网的员工的权限进行智能审批和分配,能够通过对应用权限的策略性分配操作来降低办公网络中出现闲置应用权限的概率。
图5示出了根据本说明书一实施例的获取员工权限访问行为数据集的一示例的流程图。
如图5所示的流程500,在块510中,获取办公网络中的各个办公应用程序的员工访问行为数据。这里,员工访问行为数据包括访问员工信息和访问URL路径,例如可以是从各个应用程序的服务日志中得到的。
在本说明书实施例的一个示例中,办公网络服务端可以包括至少一个业务应用服务端,每一业务应用服务端分别服务于唯一对应的应用程序。示例性地,业务应用服务端可以是业务服务主机模块,并且每个业务服务主机模块分别服务于专门的应用程序,例如OA系统应用业务服务主机模块、EPR系统应用业务服务主机模块。此时,可以从各个业务应用服务端(或业务服务主机模块)分别获取在服务相应的应用程序时所产生的业务服务数据集,并基于所获取的各个业务服务数据集来确定办公网服务数据集,该业务服务数据包括访问员工信息、访问URL路径和访问时间戳。这样,可以收集办公网络全网中的业务流量数据,使得权限监管操作能够的全面覆盖。
在一些实施方式中,可以基于办公网络漏洞扫描系统,获取办公网络中的各个办公应用程序的员工访问行为数据。
接着,在块520中,基于员工访问数据和URL路径权限表,确定员工权限访问行为数据。这里,URL路径权限表包括与各个应用权限分别相对应的URL路径。这里,每个URL路径可以用于指示相应的应用权限,并且可以由应用程序的功能控件来进行触发,例如针对特定应用程序的“查询功能”的URL路径、“转发功能”的URL路径,等等。
在本说明书的一个示例中,URL路径权限表可以是通过从各个应用程序的开发管理人员或软件开发文档中得到的。在本说明书的另一示例中,URL路径权限表还可以是通过针对应用程序的源代码进行解析而确定的,更多细节将在下文中展开。
在本说明书的实施例中,通过结合访问URL路径与URL路径权限表,可以确定出各个员工访问行为数据所对应的针对应用权限的使用信息。
图6示出了根据本说明书一实施例的确定URL路径权限表的过程的一示例的流程图。在本说明书的一个示例中,权限码(也可被称为,权限代码、权限标识等)和对应的URL路径是存在于应用程序的源代码中的,故可以从源代码确定各个应用权限的权限码和相应的URL路径。
如图6所示的流程600,在块610中,针对至少一个应用程序,获取各个应用程序所分别对应的源代码集。例如,可以获取办公网络中诸如ERP系统应用和HR系统应用之类的各个应用程序的源代码。
接着,在块620中,针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集。应理解的是,在一个或多个应用程序中的各个权限码和对应的URL路径可以是符合特定的权限路径格式规则的。示例性地,各个应用权限可以是基于与应用程序的应用页面上的功能控件的操作而触发实现的,故可以基于针对应用程序的功能控件的配置信息或封装信息来确定相应的权限路径格式规则。
在本说明书的一个示例中,每一URL路径与针对应用程序的各个功能控件分别唯一相对应。例如,员工每对应用页面上的功能控件操作一次,便会触发对该应用权限(或功能控件)所对应的URL路径进行一次调用。
接着,在块630中,基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定URL路径权限表。这样,通过URL路径权限表可以得出办公网络中各个应用权限所对应的URL路径。
图7示出了根据本说明书的实施例的办公网络应用权限管理方法的一示例的流程图。
如图7所示,在块710中,通过对办公网络中的各个应用程序(APP1~APPn)进行符合设定扫描规则的源代码扫描操作,采集各个应用权限与相应的URL路径的映射关系。
在块730中,基于各个应用权限与相应的URL路径的映射关系确定URL路径权限表。
在块720中,办公网络服务端可以为办公网络中的各个应用程序提供服务,从而生成针对各个应用程序的办公网络服务数据。
在块740中,获取员工访问行为数据集。这里,可以是基于零信任技术对办公网络中所有应用程序所对应的服务数据集进行收集,员工访问行为数据可以包括访问员工身份信息、访问路径URL信息和访问时间戳。
在本说明书实施例的一个示例中,员工访问行为数据还可以包括访问请求内容、访问返回内容和访问设备信息等。需说明的是,访问请求内容可以表示员工使用应用权限所请求的内容,例如员工通过使用“查询”功能所查询的标的内容信息(例如,“XX公司”)。访问返回内容可以表示响应于访问请求内容,办公网络服务端向员工所反馈的内容信息,例如办公网络服务端会通过应用页面向员工展示的查询结果信息(例如,“XX公司的信息是...”)。访问设备信息可以表示被员工用来发起访问请求的客户端设备的设备信息,其可以用来表示员工使用了哪个设备发起请求。通过收集上述数据信息,更有利于对员工访问行为进行更细致地刻画,便于公司进行管理。
关于上述块710~740的操作,可以是基于漏洞扫描系统来完成的。示例性地,当权限管理人员向漏洞扫描系统下达扫描命令之后,漏洞扫描系统可以对各个业务服务主机模块进行扫描操作,每个业务服务主机模块可以是专门服务于一个应用程序。另外,漏洞扫描系统可以配置有第一扫描模块和第二扫描模块,其中第一扫描模块可以用于扫描应用程序的源代码以确定相应的URL路径权限表,第二扫描模块可以用于收集针对各个应用程序的员工访问行为数据。
在块750中,基于URL路径权限表和员工访问数据,确定各个办公应用程序的员工权限访问行为数据。示例性地,针对各个员工访问数据,按照URL路径进行匹配,以确定各个员工访问数据所对应的应用权限,从而确定员工权限访问行为数据。
在块760中,获取当前应用权限授权数据。示例性地,可以从权限管理平台来获取各个员工的当前应用权限授权数据,例如某员工针对某个应用权限是授权状态或未授权状态。
在本说明书实施例的一个示例中,当前应用权限授权数据还可以包括员工属性信息,员工属性信息包括员工权限周期(例如,可以指示权限起止时间)和员工岗位等。优选地,还可以利用员工属性来对所回收的权限进行智能分配,例如应用权限f的权限是只针对用户岗位W的员工进行分配的,或者针对应用权限f的员工权限周期也可以是固定的,从而实现针对员工申请权限的智能审批。
在块770中,可以根据当前应用权限授权数据和员工权限访问行为数据来确定闲置应用权限,并将闲置应用权限进行回收。示例性地,当确定员工在近半年(或其他时间段)都没有使用过所授权的应用权限,则可以将该应用权限确定为该员工的闲置应用权限。并且,当确定应用权限f针对员工A是闲置应用权限时,需要对员工A的当前应用权限授权数据进行更新,例如移除员工A的闲置应用权限f。
在本说明书的实施例中,基于办公网流量层中的应用程序服务数据,可以100%覆盖员工所有办公网应用的权限访问信息、访问请求内容、访问返回内容和访问设备信息,使得应用权限的全生命周期最小化,全网覆盖地保护了公司及用户的数据隐私。另外,还可以实现针对员工权限的智能审批和动态分配操作,可以对办公网络中的各种应用权限进行有效管理。
图8示出了根据本说明书的实施例的用于管理办公网络中的应用权限的装置(在本文中也被称为“办公网络应用权限管理装置”)的一示例的结构框图。
如图8所示,办公网络应用权限管理装置800包括权限访问行为数据获取单元810、权限使用信息确定单元820、当前授权信息获取单元830、权限管理单元840、授权分配单元850和路径权限表确定单元860。
权限访问行为数据获取单元810被配置为获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息。权限访问行为数据获取单元810的操作可以参照上面参考图2中的块210的操作。
权限使用信息确定单元820被配置为基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据。权限使用信息确定单元820的操作可以参照上面参考图2中的块220的操作。
当前授权信息获取单元830被配置为从权限管理平台获取所述各个员工的当前应用权限授权数据。当前授权信息获取单元830的操作可以参照上面参考图2中的块230的操作。
权限管理单元840被配置为基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。权限管理单元840的操作可以参照上面参考图2中的块240的操作。
授权分配单元850被配置为针对申请加入所述办公网络的员工,获取该员工的员工属性信息,基于该员工的员工属性信息,确定该员工的员工分类,向该员工分配与所确定的员工分类对应的应用权限授权数据。授权分配单元850的操作可以参照上面参考图4中的块420的一个示例中所描述的操作。
路径权限表确定单元860被配置为:针对所述至少一个应用程序,获取各个所述应用程序所分别对应的源代码集;针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集;基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定所述URL路径权限表。路径权限表确定单元860的操作可以参照上面参考图6中的流程600的操作。
需说明的是,如上所描述的办公网络应用权限管理装置800中的部分单元在一些应用场景下是非必需的或可选的。示例性地,在一些实施方式中,授权分配单元850和路径权限表确定单元860可以不被保留。
在本说明书的实施例的一个示例中,所述员工权限访问行为数据包括访问时间,所述权限管理单元包括第一闲置权限确定模块(未示出)和权限移除模块(未示出)。具体地,针对所述各个员工,所述第一闲置权限确定模块基于所述应用权限使用数据和所述当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限,以及当存在所述第一闲置应用权限时,所述第一闲置权限确定模块从所述当前应用权限授权数据中移除所述第一闲置应用权限。
在本说明书的实施例的另一示例中,所述员工具有员工分类标识,所述员工的应用权限授权数据与员工分类对应,所述权限管理单元包括第二闲置权限确定模块(未示出)和授权信息更新模块(未示出)。具体地,针对各个员工分类,所述第二闲置权限确定模块基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限,以及所述授权信息更新模块基于所述第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。
进一步地,所述第二闲置权限确定模块:基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限;针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比;根据各个第三闲置应用权限的权限闲置员工占比,从所述各个第三闲置应用权限中确定所述第二闲置应用权限。
图9示出了根据本说明书的实施例的权限访问行为数据获取单元的一示例的结构框图。
如图9所示,权限访问行为数据获取单元810包括访问行为数据获取模块910和查表确权模块920。
访问行为数据获取模块910被配置为获取办公网络中的各个办公应用程序的员工访问行为数据,所述员工访问行为数据包括员工信息和访问URL路径。访问行为数据获取模块910的操作可以参照上面参考图5中的块510的操作。
查表确权模块920被配置为基于所述员工访问数据和URL路径权限表,确定所述员工权限访问行为数据。查表确权模块920的操作可以参照上面参考图5中的块520的操作。
可选地,访问行为数据获取模块910基于办公网络漏洞扫描系统来获取办公网络中的各个办公应用程序的员工访问行为数据。
如上参照图1到图9,对根据本说明书的实施例的用于管理办公网络中的应用权限的方法及装置的实施例进行了描述。在以上对方法实施例的描述中所提及的细节,同样适用于本说明书的装置的实施例。上面的用于管理办公网络中的应用权限的装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。
图10示出了根据本说明书的实施例的用于管理办公网络中的应用权限的电子设备1000的一示例的硬件结构图。如图10所示,电子设备1000可以包括至少一个处理器1010、存储器(例如非易失性存储器)1020、内存1030和通信接口1040,并且至少一个处理器1010、存储器1020、内存1030和通信接口1040经由总线1060连接在一起。至少一个处理器1010执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器1010:获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息;基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据;从权限管理平台获取所述各个员工的当前应用权限授权数据;以及基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。
应该理解,在存储器1020中存储的计算机可执行指令当执行时使得至少一个处理器1010进行本说明书的各个实施例中以上结合图1-9描述的各种操作和功能。
在本说明书中,电子设备1000可以包括但不限于:个人计算机、服务器计算机、工作站、桌面型计算机、膝上型计算机、笔记本计算机、移动电子设备、智能电话、平板计算机、蜂窝电话、个人数字助理(PDA)、手持装置、消息收发设备、可佩戴电子设备、消费电子设备等等。
根据一个实施例,提供了一种比如机器可读介质的程序产品。机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本说明书的各个实施例中以上结合图1-9描述的各种操作和功能。具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本发明的一部分。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
本领域技术人员应当理解,上面说明书的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元或模块可以通过机械方式或电气方式实现。例如,一个硬件单元、模块或处理器可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元或处理器还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上面结合附图阐述的具体实施方式描述了示例性实施例,但并不表示可以实现的或者落入权利要求书的保护范围的所有实施例。在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
本公开内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本公开内容。对于本领域普通技术人员来说,对本公开内容进行的各种修改是显而易见的,并且,也可以在不脱离本公开内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本公开内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。

Claims (18)

1.一种用于管理办公网络中的应用权限的方法,包括:
获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息;
基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据;
从权限管理平台获取所述各个员工的当前应用权限授权数据;以及
基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。
2.如权利要求1所述的方法,其中,所述员工权限访问行为数据包括访问时间,基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理包括:
针对所述各个员工,
基于所述应用权限使用数据和所述当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限,以及
当存在所述第一闲置应用权限时,从所述当前应用权限授权数据中移除所述第一闲置应用权限。
3.如权利要求1所述的方法,其中,所述员工具有员工分类标识,所述员工的应用权限授权数据与员工分类对应,
基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理包括:
针对各个员工分类,
基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限;
基于所述第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。
4.如权利要求3所述的方法,其中,基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限包括:
基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限;
针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比;
根据各个第三闲置应用权限的权限闲置员工占比,从所述各个第三闲置应用权限中确定所述第二闲置应用权限。
5.如权利要求3或4所述的方法,还包括:
针对申请加入所述办公网络的员工,获取该员工的员工属性信息;
基于该员工的员工属性信息,确定该员工的员工分类;以及
向该员工分配与所确定的员工分类对应的应用权限授权数据。
6.如权利要求1所述的方法,其中,获取办公网络中的各个办公应用程序的员工权限访问行为数据包括:
获取办公网络中的各个办公应用程序的员工访问行为数据,所述员工访问行为数据包括访问员工信息和访问URL路径;以及
基于所述员工访问数据和URL路径权限表,确定所述员工权限访问行为数据。
7.如权利要求6所述的方法,还包括:
针对所述至少一个应用程序,获取各个所述应用程序所分别对应的源代码集;
针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集;
基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定所述URL路径权限表。
8.如权利要求6所述的方法,其中,获取办公网络中的各个办公应用程序的员工访问行为数据包括:
基于办公网络漏洞扫描系统,获取办公网络中的各个办公应用程序的员工访问行为数据。
9.一种用于管理办公网络中的应用权限的装置,包括:
权限访问行为数据获取单元,获取办公网络中的各个办公应用程序的员工权限访问行为数据,所述员工权限访问行为数据包括访问员工信息;
权限使用信息确定单元,基于所述员工权限访问行为数据确定所述办公网络中的各个员工的应用权限使用数据;
当前授权信息获取单元,从权限管理平台获取所述各个员工的当前应用权限授权数据;
权限管理单元,基于所述各个员工的应用权限使用数据和当前应用权限授权数据,对所述各个员工信息的应用权限进行管理。
10.如权利要求9所述的装置,其中,所述员工权限访问行为数据包括访问时间,所述权限管理单元包括第一闲置权限确定模块和权限移除模块,
针对所述各个员工,
所述第一闲置权限确定模块基于所述应用权限使用数据和所述当前应用权限授权数据,判断是否存在在设定历史时段内未被该员工使用的第一闲置应用权限,
当存在所述第一闲置应用权限时,所述第一闲置权限确定模块从所述当前应用权限授权数据中移除所述第一闲置应用权限。
11.如权利要求9所述的装置,其中,所述员工具有员工分类标识,所述员工的应用权限授权数据与员工分类对应,所述权限管理单元包括第二闲置权限确定模块和授权信息更新模块,
针对各个员工分类,
所述第二闲置权限确定模块基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类的第二闲置应用权限,
所述授权信息更新模块基于所述第二闲置应用权限,对该员工分类的应用权限授权数据进行更新。
12.如权利要求11所述的装置,其中,所述第二闲置权限确定模块:
基于该员工分类中的员工的应用权限使用数据和当前应用权限授权数据,确定该员工分类中的各个员工的第三闲置应用权限;
针对各个第三闲置应用权限,确定该员工分类中的权限闲置员工占比;
根据各个第三闲置应用权限的权限闲置员工占比,从所述各个第三闲置应用权限中确定所述第二闲置应用权限。
13.如权利要求11或12所述的装置,还包括授权分配单元:
针对申请加入所述办公网络的员工,获取该员工的员工属性信息;
基于该员工的员工属性信息,确定该员工的员工分类;
向该员工分配与所确定的员工分类对应的应用权限授权数据。
14.如权利要求9所述的装置,其中,所述权限访问行为数据获取单元包括:
访问行为数据获取模块,获取办公网络中的各个办公应用程序的员工访问行为数据,所述员工访问行为数据包括员工信息和访问URL路径;以及
查表确权模块,基于所述员工访问数据和URL路径权限表,确定所述员工权限访问行为数据。
15.如权利要求14所述的装置,还包括路径权限表确定单元:
针对所述至少一个应用程序,获取各个所述应用程序所分别对应的源代码集;
针对各个应用程序所对应的源代码集,基于权限路径格式规则从该源代码集中确定该应用程序的至少一个应用权限所对应的URL路径集;
基于所确定针对各个应用程序的至少一个应用权限的URL路径集,确定所述URL路径权限表。
16.如权利要求14所述的装置,其中,所述访问行为数据获取模块基于办公网络漏洞扫描系统来获取办公网络中的各个办公应用程序的员工访问行为数据。
17.一种电子设备,包括:
至少一个处理器;以及
存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如权利要求1到8中任一所述的方法。
18.一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如权利要求1到8中任一所述的方法。
CN201911280568.2A 2019-12-13 2019-12-13 用于管理办公网络中的应用权限的方法及装置 Pending CN111046351A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911280568.2A CN111046351A (zh) 2019-12-13 2019-12-13 用于管理办公网络中的应用权限的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911280568.2A CN111046351A (zh) 2019-12-13 2019-12-13 用于管理办公网络中的应用权限的方法及装置

Publications (1)

Publication Number Publication Date
CN111046351A true CN111046351A (zh) 2020-04-21

Family

ID=70236111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911280568.2A Pending CN111046351A (zh) 2019-12-13 2019-12-13 用于管理办公网络中的应用权限的方法及装置

Country Status (1)

Country Link
CN (1) CN111046351A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468477A (zh) * 2013-09-16 2015-03-25 杭州迪普科技有限公司 一种WebShell的检测方法及系统
CN108287986A (zh) * 2017-01-10 2018-07-17 珠海金山办公软件有限公司 一种权限瞬时授予与收回方法及装置
CN108418827A (zh) * 2018-03-15 2018-08-17 北京知道创宇信息技术有限公司 网络行为分析方法以及装置
CN109992566A (zh) * 2019-04-12 2019-07-09 苏州浪潮智能科技有限公司 一种文件访问方法、装置、设备及可读存储介质
CN110457529A (zh) * 2019-07-05 2019-11-15 中国平安财产保险股份有限公司 岗位数据处理方法、装置、计算机设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104468477A (zh) * 2013-09-16 2015-03-25 杭州迪普科技有限公司 一种WebShell的检测方法及系统
CN108287986A (zh) * 2017-01-10 2018-07-17 珠海金山办公软件有限公司 一种权限瞬时授予与收回方法及装置
CN108418827A (zh) * 2018-03-15 2018-08-17 北京知道创宇信息技术有限公司 网络行为分析方法以及装置
CN109992566A (zh) * 2019-04-12 2019-07-09 苏州浪潮智能科技有限公司 一种文件访问方法、装置、设备及可读存储介质
CN110457529A (zh) * 2019-07-05 2019-11-15 中国平安财产保险股份有限公司 岗位数据处理方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
Maesa et al. Blockchain based access control services
CN108399101B (zh) 资源调度的方法、装置和系统
JP5346010B2 (ja) ポリシー管理基盤
RU2598324C2 (ru) Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога
US9799003B2 (en) Context-dependent transactional management for separation of duties
US20100319051A1 (en) Controlling access to resources by hosted entities
US20210084109A1 (en) Content management system
US10552796B1 (en) Approval service in a catalog service platform
Carniani et al. Usage control on cloud systems
EP3025229B1 (en) Data communications management
US8719894B2 (en) Federated role provisioning
US10356155B2 (en) Service onboarding
CN110084033B (zh) 用户身份管理方法、系统和计算机可读存储介质
CN109522751B (zh) 访问权限控制方法、装置、电子设备及计算机可读介质
US20230353505A1 (en) System and method for tag based resource limits or quotas in a cloud infrastructure environment
US20200233907A1 (en) Location-based file recommendations for managed devices
US10333939B2 (en) System and method for authentication
CN102446258B (zh) 一种附件权限类型扩展的方法、装置及系统
CN112084021A (zh) 教育系统的界面配置方法、装置、设备及可读存储介质
JP2007004549A (ja) アクセス制御方法
US11146515B2 (en) Visitor invitation management
Kumar et al. Real geo‐time‐based secured access computation model for e‐Health systems
CN111046351A (zh) 用于管理办公网络中的应用权限的方法及装置
CN105229662B (zh) 访问控制装置和访问控制方法
US9003480B2 (en) Classifying files on a mobile computer device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200421