CN103026352B - 全局用户安全组的自动移除 - Google Patents

全局用户安全组的自动移除 Download PDF

Info

Publication number
CN103026352B
CN103026352B CN201180036278.9A CN201180036278A CN103026352B CN 103026352 B CN103026352 B CN 103026352B CN 201180036278 A CN201180036278 A CN 201180036278A CN 103026352 B CN103026352 B CN 103026352B
Authority
CN
China
Prior art keywords
access
user
network object
access authority
automatically
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201180036278.9A
Other languages
English (en)
Other versions
CN103026352A (zh
Inventor
雅各布·费特尔松
奥哈德·科尔库斯
奥菲尔·克雷策-卡齐尔
戴维·巴斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Varonis Systems Inc
Original Assignee
Varonis Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Varonis Systems Inc filed Critical Varonis Systems Inc
Publication of CN103026352A publication Critical patent/CN103026352A/zh
Application granted granted Critical
Publication of CN103026352B publication Critical patent/CN103026352B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Operations Research (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Medical Informatics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种用于由至少部分地基于实际访问的计算机安全策略来自动地替换基于用户安全组的计算机安全策略的系统,包括:习得访问权限子系统,可操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;习得实际访问子系统,可操作地学习企业中的用户对网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及计算机安全策略管理子系统,从习得访问权限子系统和习得实际访问子系统接收指示,并且可操作地利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限,而不中断对网络对象的用户访问。

Description

全局用户安全组的自动移除
相关申请交叉参考
参考于2010年5月27日提交的、题为“AUTOMATING ENFORCEMENT OF ITWORKFLOWS”的美国临时专利申请第61/348,806号,其全部内容结合于此作为参考并且根据37CFR1.78(a)和(5)(i)在此要求其优先权。
参考于2010年8月23日提交的、题为“AUTOMATIC REMOVAL OF GLOBAL USERSECURITY GROUPS”的美国专利申请第12/861,059号,其全部内容结合于此作为参考并且根据37CFR1.78(a)和(5)(i)在此要求其优先权。
还参考以下由受让人拥有的专利和专利申请,其全部内容结合于此作为参考:
美国专利第7,55,4825号和7,606,801号;以及
美国公开专利申请第2007/0244899、2008/0271157、2009/0100058、2009/0119298和2009/0265780号。
技术领域
本发明大体上涉及数据管理系统和方法学,尤其涉及数据访问权限管理系统和方法学。
背景技术
认为以下专利公开代表了本领域的当前状况:
美国专利第5,465,387;5,899,991;6,338,082;6,393,468;6,928,439;7,031,984;7,068,592;7,403,925;7,421,740;7,555,482和7,606,801号;以及
美国公开专利申请第2003/0051026;2004/0249847;2005/0108206;2005/0203881;2005/0120054;2005/0086529;2006/0064313;2006/0184530;2006/0184459和2007/0203872号。
发明内容
本发明旨在提供改进的数据访问权限管理系统和方法学。因此,根据本发明的优选实施方式,提供一种由至少部分地基于实际访问的计算机安全策略来自动地替换基于用户安全组的计算机安全策略的企业系统,该系统包括:习得访问权限子系统,可操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;习得实际访问子系统,可操作地学习企业中的用户对网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及计算机安全策略管理子系统,从习得访问权限子系统和习得实际访问子系统接收指示,并且可操作地利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限,而不中断对网络对象的用户访问。
根据本发明的优选实施方式,计算机安全策略管理子系统包括替换启动功能,其基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
优选地,系统还包括替换前通知和授权子系统,在执行替换之前,该子系统操作地向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生访问权限变化,请求他们的授权,并且在没有授权的情况下,阻止对于网络对象中的至少一部分以及没有收到其授权的用户中的至少一部分执行替换。优选地,用户安全组是EVERYONE GROUP。
此外,计算机安全策略管理子系统操作地利用部分地基于实际访问以及部分地基于预先存在的访问权限(其不是预选的基于用户安全组的访问权限)的访问权限来自动地替换该预选的基于用户安全组的访问权限。可替换地,计算机安全策略管理子系统操作地利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限来自动地替换预选的基于用户安全组的访问权限。可替换地,计算机安全策略管理子系统操作地利用基于预先存在的访问权限(其不是预选的基于用户安全组的访问权限)自动地替换该预选的基于用户安全组的访问权限。
优选地,计算机安全策略管理子系统包括仿真启动功能,其基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
根据本发明的另一个优选实施方式,还提供一种企业系统,用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真,该系统包括:习得访问权限子系统,可操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;习得实际访问子系统,可操作地学习企业中的用户对网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及计算机安全策略仿真子系统,从习得访问权限子系统和习得实际访问子系统接收指示,并且可操作地对利用至少部分地基于实际访问的访问权限替换预选的基于用户安全组的访问权限进行自动仿真,而不中断对网络对象的用户访问。
根据本发明的优选实施方式,该系统还包括替换前通知和授权子系统,该子系统自动操作地向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生访问权限变化,请求他们的授权。优选地,用户安全组是EVERYONEGROUP。
根据本发明的再一个优选实施方式,进一步提供一种方法,用于由至少部分地基于实际访问的计算机安全策略来自动地替换基于用户安全组的计算机安全策略,该方法包括:学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;学习企业中的用户对网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及接收指示,并且利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限,而不中断对网络对象的用户访问。
根据本发明的优选实施方式,该方法包括基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
优选地,该方法还包括:在执行替换之前,向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生访问权限变化,请求他们的授权,并且在没有授权的情况下,阻止对于网络对象中的至少一部分以及没有收到其授权的用户中的至少一部分执行替换。优选地,用户安全组是EVERYONE GROUP。
此外,该方法包括:利用部分地基于实际访问以及部分地基于预先存在的访问权限(其不是预选的基于用户安全组的访问权限)的访问权限来自动地替换该预选的基于用户安全组的访问权限。可替换地,该方法包括利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限来自动地替换预选的基于用户安全组的访问权限。可替换地,该方法包括利用基于预先存在的访问权限(其不是预选的基于用户安全组的访问权限)的访问权限自动地替换该预选的基于用户安全组的访问权限。
优选地,该方法包括:基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
根据本发明的又一个优选实施方式,还提供一种方法,用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真,该方法包括:学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;学习企业中的用户对网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及接收指示,并且对利用至少部分地基于实际访问的访问权限替换预选的基于用户安全组的访问权限进行自动仿真,而不中断对网络对象的用户访问。
根据本发明的优选实施方式,该方法还包括向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生访问权限变化,请求他们的授权。优选地,用户安全组是EVERYONE GROUP。
附图说明
根据以下详细描述并结合附图,将充分理解并认识本发明:
图1A、1B、1C、1D和1E是根据本发明的优选实施方式所构造并操作地用于由至少部分地基于实际访问的计算机安全策略来替代基于用户安全组的计算机安全策略的企业系统的运行的简化示图;以及
图2是表示图1中系统运行中的步骤的简化流程图。
具体实施方式
现在,参考图1A、1B、1C、1D和1E,其是根据本发明的优选实施方式所构造并操作地用于由至少部分地基于实际访问的计算机安全策略来替代基于用户安全组的计算机安全策略的企业系统的运行的简化示图。
通常,如图1A至1E所示,对于包括至少一个服务器102和多个客户端104的计算机网络100来说,网络对象访问权限管理系统是有用的。最好还提供一个或多个存储装置106。该系统最好驻留在至少一个服务器102内,并且最好包括:
习得访问权限子系统110,操作地学习企业中的用户对于驻留在企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;
习得实际访问子系统112,操作地学习企业中的用户对于网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及
计算机安全策略管理子系统114,从习得访问权限子系统110和习得实际访问子系统112接收指示,并且操作地利用至少部分地基于实际访问的访问权限来自动地替换预选的基于用户安全组的访问权限,而不中断对网络对象的用户访问。
针对本申请的目的,术语“网络对象”被定义成包括在任何市售计算机操作系统上的用户生成企业计算机网络资源。网络对象的例子包括结构化以及非结构化的计算机数据资源(例如,文件和文件夹)以及用户组。
现在转向图1A,可以看到,IT经理会惊慌地发现其网络中的部分或全部网络对象能够被该企业中所有或几乎所有的用户访问,这些用户全部是EveryGroup的成员。应理解的是,Every Group并不包含其所有成员的显式或可搜索列表。
如图1B所示,IT经理安装本发明的网络对象访问权限管理系统,除了上述元件以外,该系统优选地还包括访问权限数据库116和实际访问数据库118。应该理解的是,子系统110和112以及数据库116和118作为纽约的纽约Varonis有限公司的DATADVANTAGE产品的一部分是市售的。
图1C示出了在学习期间(典型地可以延长至数周内)通过子系统110和112的运行对数据库116和118进行的自动填充(population)。在申请人/受让人的美国专利7,606,801中描述了该处理。图1C还显示了计算机安全策略管理系统114的自动运行,从习得访问权限子系统110和习得实际访问子系统112接收指示,并自动地生成利用至少部分地基于实际访问的访问权限来代替预选的基于用户安全组的访问权限的建议,要经历操作者确认。
正如在图1D所看到的,IT经理独自或可能与人力资源经理或其它执行者磋商来决定是否同意该自动生成的建议。如果同意该自动生成的建议,则它们被自动地执行而不中断对驻留在企业计算机环境中网络对象的必要的用户访问。
可替换地,正如在图1E中所看到的,子系统114可以改为利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限,而且无需中断对驻留在企业计算机环境中的网络对象的必要用户访问。
现在,参考图2,其是表示图1的系统运行中的步骤的简化流程图。如图2所示,习得访问权限子系统利用企业中的用户对于驻留在企业计算机环境中的网络对象的当前访问权限,来连续自动地填充访问权限数据库。并行地,习得实际访问子系统利用企业中的用户对于网络对象的实际访问历史来填充实际访问数据库。
如图2所示,安全策略管理子系统基于由访问权限子系统提供的以及来自实际访问子系统的信息,自动生成访问权限建议。IT经理对这些建议进行评审,并决定是否同意它们针对由安全策略管理子系统的自动执行。可替换地,该安全策略管理子系统可以自动地执行这些建议。
本领域技术人员将会理解的是,本发明并不局限于上文中具体显示和描述的内容。相反,本发明的范围包括通过阅读前述描述对本领域技术人员而言存在的、并且现有技术中所没有的上文描述的各种特征的组合和再组合以及它们的修改。

Claims (20)

1.一种由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,所述系统包括:
习得访问权限子系统,操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;
习得实际访问子系统,操作地学习企业中的所述用户对所述网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及
计算机安全策略管理子系统,从所述习得访问权限子系统和所述习得实际访问子系统接收所述指示,并且操作地通过以下来自动地替换预选组对所述网络对象的访问权限:
自动地移除所述预选组对所述网络对象的所有访问权限,而不管所述预选组中的成员是否实际在访问所述网络对象;以及
自动地向所述网络对象的之前对所述网络对象具有实际访问的用户提供对所述网络对象的访问权限,之前对所述网络对象具有实际访问的用户在自动移除所有访问权限步骤中其访问权限被自动移除,
自动提供对所述网络对象的访问权限包括:
自动向之前对所述网络对象具有实际访问的用户提供对所述网络对象的所述访问权限,其中,所述计算机安全策略管理子系统包括替换启动功能,基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
2.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,还包括:
替换前通知和授权子系统,在执行所述替换之前,向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化,请求他们的授权,并且在没有所述授权的情况下,阻止对于所述网络对象中的至少一部分以及没有收到授权的所述用户中的至少一部分执行所述替换。
3.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,其中,所述用户安全组是EVERYONE GROUP。
4.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,其中,所述计算机安全策略管理子系统操作地利用部分地基于实际访问以及部分地基于预先存在的访问权限的访问权限来自动地替换预选的基于用户安全组的访问权限,其中,所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
5.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,其中,所述计算机安全策略管理子系统操作地利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限自动地替换预选的基于用户安全组的访问权限。
6.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,其中,所述计算机安全策略管理子系统操作地利用基于预先存在的访问权限自动地替换预选的基于用户安全组的访问权限,其中,所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
7.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统,其中,所述计算机安全策略管理子系统包括:仿真启动功能,基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
8.一种用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统,所述系统包括:
习得访问权限子系统,操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;
习得实际访问子系统,操作地学习企业中的所述用户对所述网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及
计算机安全策略仿真子系统,从所述习得访问权限子系统和所述习得实际访问子系统接收所述指示,并且操作地通过以下来自动地替换预选组对所述网络对象的访问权限:
自动地移除所述预选组对所述网络对象的所有访问权限,而不管所述预选组中的成员是否实际在访问所述网络对象;以及
自动地向所述网络对象的之前对所述网络对象具有实际访问的用户提供对所述网络对象的访问权限,之前对所述网络对象具有实际访问的用户在自动移除所有访问权限步骤中其访问权限被自动移除,
自动提供对所述网络对象的访问权限包括:
自动向之前对所述网络对象具有实际访问的用户提供对所述网络对象的所述访问权限,
基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
9.根据权利要求8所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统,还包括:
替换前通知和授权子系统,自动操作地向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化,请求他们的授权。
10.根据权利要求8所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统,其中,所述用户安全组是EVERYONE GROUP。
11.一种用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,所述方法包括:
学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;
学习企业中的所述用户对所述网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及
接收所述指示,并且
通过以下来自动地替换预选组对所述网络对象的访问权限:
自动地移除所述预选组对所述网络对象的所有访问权限,而不管所述预选组中的成员是否实际在访问所述网络对象;以及
自动地向所述网络对象的之前对所述网络对象具有实际访问的用户提供对所述网络对象的访问权限,之前对所述网络对象具有实际访问的用户在自动移除所有访问权限步骤中其访问权限被自动移除,
自动提供对所述网络对象的访问权限包括:
自动向之前对所述网络对象具有实际访问的用户提供对所述网络对象的所述访问权限,
基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
12.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,还包括:
在执行所述替换之前,向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化,请求他们的授权,并且在没有所述授权的情况下,阻止对于所述网络对象中的至少一部分以及没有收到授权的所述用户中的至少一部分执行所述替换。
13.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,其中,所述用户安全组是EVERYONE GROUP。
14.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,其中,所述方法包括:利用部分地基于实际访问以及部分地基于预先存在的访问权限的访问权限来自动地替换预选的基于用户安全组的访问权限,其中,所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
15.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,其中,所述方法包括:利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限来自动地替换预选的基于用户安全组的访问权限。
16.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,其中,所述方法包括:利用基于预先存在的访问权限的访问权限自动地替换预选的基于用户安全组的访问权限,其中,所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
17.根据权利要求11所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法,其中,所述方法包括:基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
18.一种用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法,所述方法包括:
学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限,并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示;
学习企业中的所述用户对所述网络对象的实际访问历史,并且提供哪些用户已经实际访问了哪些网络对象的指示;以及
接收所述指示,并且通过以下来自动地替换预选组对所述网络对象的访问权限:
自动地移除所述预选组对所述网络对象的所有访问权限,而不管所述预选组中的成员是否实际在访问所述网络对象;以及
自动地向所述网络对象的之前对所述网络对象具有实际访问的用户提供对所述网络对象的访问权限,之前对所述网络对象具有实际访问的用户在自动移除所有访问权限步骤中其访问权限被自动移除,
自动提供对所述网络对象的访问权限包括:
自动向之前对所述网络对象具有实际访问的用户提供对所述网络对象的所述访问权限,
基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
19.根据权利要求18所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法,还包括:
向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化,请求他们的授权。
20.根据权利要求18所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法,其中,所述用户安全组是EVERYONE GROUP。
CN201180036278.9A 2010-05-27 2011-01-23 全局用户安全组的自动移除 Active CN103026352B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US34880610P 2010-05-27 2010-05-27
US61/348,806 2010-05-27
US12/861,059 2010-08-23
US12/861,059 US9870480B2 (en) 2010-05-27 2010-08-23 Automatic removal of global user security groups
PCT/IL2011/000076 WO2011148364A1 (en) 2010-05-27 2011-01-23 Automatic removal of global user security groups

Publications (2)

Publication Number Publication Date
CN103026352A CN103026352A (zh) 2013-04-03
CN103026352B true CN103026352B (zh) 2018-11-23

Family

ID=45003408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180036278.9A Active CN103026352B (zh) 2010-05-27 2011-01-23 全局用户安全组的自动移除

Country Status (4)

Country Link
US (2) US9870480B2 (zh)
EP (1) EP2577496A4 (zh)
CN (1) CN103026352B (zh)
WO (1) WO2011148364A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9870480B2 (en) 2010-05-27 2018-01-16 Varonis Systems, Inc. Automatic removal of global user security groups
US10296596B2 (en) 2010-05-27 2019-05-21 Varonis Systems, Inc. Data tagging
EP2668563A4 (en) 2011-01-27 2015-06-10 Varonis Systems Inc METHOD AND SYSTEM FOR MANAGING ACCESS AUTHORIZATIONS
US9680839B2 (en) 2011-01-27 2017-06-13 Varonis Systems, Inc. Access permissions management system and method
US8909673B2 (en) 2011-01-27 2014-12-09 Varonis Systems, Inc. Access permissions management system and method
IN2014DN08750A (zh) 2012-04-04 2015-05-22 Varonis Systems Inc
US9588835B2 (en) 2012-04-04 2017-03-07 Varonis Systems, Inc. Enterprise level data element review systems and methodologies
US9286316B2 (en) 2012-04-04 2016-03-15 Varonis Systems, Inc. Enterprise level data collection systems and methodologies
US11151515B2 (en) 2012-07-31 2021-10-19 Varonis Systems, Inc. Email distribution list membership governance method and system
US9251363B2 (en) 2013-02-20 2016-02-02 Varonis Systems, Inc. Systems and methodologies for controlling access to a file system
JP2015153268A (ja) * 2014-02-18 2015-08-24 ソニー株式会社 情報処理装置および方法、情報処理システム、並びにプログラム
US10027770B2 (en) * 2014-04-21 2018-07-17 International Business Machines Corporation Expected location-based access control
EP3692458B1 (en) * 2017-10-03 2022-04-13 Varonis Systems, Inc. Systems and methods for preventing excess user authentication token utilization conditions in an enterprise computer environment
US11632373B2 (en) * 2019-06-18 2023-04-18 Microsoft Technology Licensing, Llc Activity based authorization for accessing and operating enterprise infrastructure
US11381563B1 (en) * 2020-09-29 2022-07-05 Parallels International Gmbh Automated methods and systems for granting complex permissions
CN113285949B (zh) * 2021-05-21 2022-03-25 新华三大数据技术有限公司 一种外网访问控制方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308173B1 (en) * 1994-12-13 2001-10-23 Microsoft Corporation Methods and arrangements for controlling resource access in a networked computing environment

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1264624B1 (it) 1993-06-16 1996-10-04 Euron Spa Addotti oleosolubili tra disuccinimmidi ed anidridi di acidi alifatici bicarbossilici insaturi
US5465387A (en) 1993-10-08 1995-11-07 At&T Corp. Adaptive fraud monitoring and control
US5889952A (en) 1996-08-14 1999-03-30 Microsoft Corporation Access check system utilizing cached access permissions
JP2001508901A (ja) 1997-01-20 2001-07-03 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー データアクセス制御
US5899991A (en) 1997-05-12 1999-05-04 Teleran Technologies, L.P. Modeling technique for system access control and management
US6772350B1 (en) 1998-05-15 2004-08-03 E.Piphany, Inc. System and method for controlling access to resources in a distributed environment
US6735701B1 (en) 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
US6338082B1 (en) 1999-03-22 2002-01-08 Eric Schneider Method, product, and apparatus for requesting a network resource
JP2001188699A (ja) 1999-12-28 2001-07-10 Ibm Japan Ltd アクセス制御機構を備えたデータ処理システム
US20020026592A1 (en) * 2000-06-16 2002-02-28 Vdg, Inc. Method for automatic permission management in role-based access control systems
US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7068592B1 (en) 2001-05-10 2006-06-27 Conexant, Inc. System and method for increasing payload capacity by clustering unloaded bins in a data transmission system
US7017183B1 (en) 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
JP4393762B2 (ja) 2002-12-19 2010-01-06 株式会社日立製作所 データベース処理方法及び装置並びにその処理プログラム
US7403925B2 (en) 2003-03-17 2008-07-22 Intel Corporation Entitlement security and control
US20040249847A1 (en) 2003-06-04 2004-12-09 International Business Machines Corporation System and method for identifying coherent objects with applications to bioinformatics and E-commerce
US20040254919A1 (en) 2003-06-13 2004-12-16 Microsoft Corporation Log parser
US20050086529A1 (en) 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database
US20050108206A1 (en) 2003-11-14 2005-05-19 Microsoft Corporation System and method for object-oriented interaction with heterogeneous data stores
US8600920B2 (en) 2003-11-28 2013-12-03 World Assets Consulting Ag, Llc Affinity propagation in adaptive network-based systems
US7743420B2 (en) 2003-12-02 2010-06-22 Imperva, Inc. Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications
US8078481B2 (en) 2003-12-05 2011-12-13 John Steinbarth Benefits administration system and methods of use and doing business
US20050203881A1 (en) 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US20050246762A1 (en) * 2004-04-29 2005-11-03 International Business Machines Corporation Changing access permission based on usage of a computer resource
US7568230B2 (en) 2004-06-09 2009-07-28 Lieberman Software Corporation System for selective disablement and locking out of computer system objects
US7421740B2 (en) 2004-06-10 2008-09-02 Sap Ag Managing user authorizations for analytical reporting based on operational authorizations
US20050289127A1 (en) 2004-06-25 2005-12-29 Dominic Giampaolo Methods and systems for managing data
US20060075503A1 (en) * 2004-09-13 2006-04-06 Achilles Guard, Inc. Dba Critical Watch Method and system for applying security vulnerability management process to an organization
CN1291569C (zh) 2004-09-24 2006-12-20 清华大学 一种附网存储设备中用户访问行为的异常检测方法
US7669244B2 (en) * 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
US20060184459A1 (en) 2004-12-10 2006-08-17 International Business Machines Corporation Fuzzy bi-clusters on multi-feature data
US8245280B2 (en) 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
JP4643707B2 (ja) 2005-05-23 2011-03-02 エスエーピー・ガバナンス・リスク・アンド・コンプライアンス・インコーポレーテッド アクセス・エンフォーサー
US7606801B2 (en) * 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US20060288050A1 (en) * 2005-06-15 2006-12-21 International Business Machines Corporation Method, system, and computer program product for correlating directory changes to access control modifications
JP4208086B2 (ja) 2005-09-27 2009-01-14 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報の機密性を管理する装置、および、その方法
US8180826B2 (en) 2005-10-31 2012-05-15 Microsoft Corporation Media sharing and authoring on the web
US20070156693A1 (en) 2005-11-04 2007-07-05 Microsoft Corporation Operating system roles
US7716240B2 (en) 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
US8561146B2 (en) * 2006-04-14 2013-10-15 Varonis Systems, Inc. Automatic folder access management
US8769604B2 (en) 2006-05-15 2014-07-01 Oracle International Corporation System and method for enforcing role membership removal requirements
US7552126B2 (en) 2006-06-02 2009-06-23 A10 Networks, Inc. Access record gateway
US20080031447A1 (en) 2006-08-04 2008-02-07 Frank Geshwind Systems and methods for aggregation of access to network products and services
US20080034402A1 (en) 2006-08-07 2008-02-07 International Business Machines Corporation Methods, systems, and computer program products for implementing policy-based security control functions
US20080172720A1 (en) 2007-01-15 2008-07-17 Botz Patrick S Administering Access Permissions for Computer Resources
CN101282330B (zh) 2007-04-04 2013-08-28 华为技术有限公司 网络存储访问权限管理方法及装置、网络存储访问控制方法
US8239925B2 (en) 2007-04-26 2012-08-07 Varonis Systems, Inc. Evaluating removal of access permissions
US8621610B2 (en) 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8438611B2 (en) 2007-10-11 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US8438612B2 (en) 2007-11-06 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US8132231B2 (en) 2007-12-06 2012-03-06 International Business Machines Corporation Managing user access entitlements to information technology resources
KR101167247B1 (ko) * 2008-01-28 2012-07-23 삼성전자주식회사 유사 사용자 그룹의 적응적 갱신 방법 및 그 장치
US20090265780A1 (en) 2008-04-21 2009-10-22 Varonis Systems Inc. Access event collection
US20100070881A1 (en) 2008-09-12 2010-03-18 At&T Intellectual Property I, L.P. Project facilitation and collaboration application
US8639724B1 (en) 2009-07-31 2014-01-28 Amazon Technologies, Inc. Management of cached object mapping information corresponding to a distributed storage system
US9870480B2 (en) 2010-05-27 2018-01-16 Varonis Systems, Inc. Automatic removal of global user security groups

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308173B1 (en) * 1994-12-13 2001-10-23 Microsoft Corporation Methods and arrangements for controlling resource access in a networked computing environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
设置管理员安全权限 最好使用Everyone组;无;《计算机与网络》;20100228;第2010年卷(第02期);第41页 *

Also Published As

Publication number Publication date
CN103026352A (zh) 2013-04-03
US20110296490A1 (en) 2011-12-01
WO2011148364A1 (en) 2011-12-01
EP2577496A4 (en) 2014-02-05
US20180157861A1 (en) 2018-06-07
US10318751B2 (en) 2019-06-11
EP2577496A1 (en) 2013-04-10
US9870480B2 (en) 2018-01-16

Similar Documents

Publication Publication Date Title
CN103026352B (zh) 全局用户安全组的自动移除
Nayak et al. Deadline sensitive lease scheduling in cloud computing environment using AHP
CN103403674B (zh) 执行基于策略的改变过程
US20170060707A1 (en) High availability dynamic restart priority calculator
Limoncelli et al. The Practice of Cloud System Administration: Designing and Operating Large Distributed Systems
CN107533470A (zh) 用于低延时执行程序代码的安全协议
WO2016040699A1 (en) Computing instance launch time
CN105138765B (zh) 基于Docker的人工交通系统大规模计算实验方法
WO2011015441A1 (en) A method and system for optimising license use
CN113886089B (zh) 一种任务处理方法、装置、系统、设备及介质
WO2019153095A1 (en) Blockchain-based consent management system and method
US11269609B2 (en) Desired state model for managing lifecycle of virtualization software
EP3183651A1 (en) Equitable sharing of system resources in workflow execution
US20210311717A1 (en) Desired state model for managing lifecycle of virtualization software
CN105765555A (zh) 分布式系统中的严格排队
US11650804B2 (en) Validation of desired software state image for hardware incompatibilities
Poulymenopoulou et al. E-EPR: a cloud-based architecture of an electronic emergency patient record
CN113391921A (zh) 一种应用实例的资源配额校验方法
Turky et al. Parallel late acceptance hill-climbing algorithm for the google machine reassignment problem
US11194561B1 (en) System and method for generating and recommending desired state of virtualization software
Zhou et al. Secure service composition adaptation based on simulated annealing
CN107667343A (zh) 按需加载资源
US9336063B1 (en) Distributed task management
GB2553441A (en) System and method for mediating user access to genomic data
CN111164595A (zh) 在企业计算机环境中用于防止超额用户认证令牌使用状况的系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant