CN105808989B - 一种权限稽核方法及装置 - Google Patents
一种权限稽核方法及装置 Download PDFInfo
- Publication number
- CN105808989B CN105808989B CN201410854399.XA CN201410854399A CN105808989B CN 105808989 B CN105808989 B CN 105808989B CN 201410854399 A CN201410854399 A CN 201410854399A CN 105808989 B CN105808989 B CN 105808989B
- Authority
- CN
- China
- Prior art keywords
- user
- permission
- audited
- access right
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种权限稽核方法及装置。本发明实施例通过获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户;本发明实施例实现了获取待稽核系统中的违规新增的权限和未使用的权限以及高频率访问用户和越权访问用户,从而能够有效规避待稽核系统中的安全风险,满足待稽核系统安全管理的需要。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种权限稽核方法及装置。
背景技术
目前业务支撑系统中的各类应用系统均采用系统自带权限管理模块对应用系统的访问权限进行识别和管控。其主要业务模型包括下列步骤:步骤一,应用系统在开发和上线过程中,对系统的权限进行注册和发布管理,系统所有的权限均由系统自带权限管理模块进行管理;步骤二,管理员通过应用系统业务访问的需要定义用户的访问权限,设定操作访问权限的识别信息;步骤三,用户使用已分配的操作权限识别信息登录应用系统;应用系统依照预先设定的操作权限识别信息进行操作权限的判断;步骤四,应用系统依照访问用户操作权限的不同开放全部或局部的操作功能。另外,目前业务支撑系统中的权限稽核和授权最小化控制均采用人工检查的方法进行管理控制。
然而,随着中国移动业务系统的逐渐最多,业务访问越来越频繁,以及集团公司权限管理的安全控制要求越来越高,通过系统自身的权限控制以及手工检查已无法满足业务日益增长的需求。如:系统权限稽核,仅依靠人工分析的方法无法实现业务权限稽核的要求,出现了异常权限、长期无人使用的权限等情况,从而造成了客户资料丢失而无法审计等现象。
发明内容
本发明实施例提供一种权限稽核方法及装置,用以解决现有技术中依靠人工分析以及系统自身的权限控制无法实现业务权限稽核的要求的技术问题
本发明实施例提供的一种权限稽核方法,包括:
获取待稽核系统的当前使用权限类别;
将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户。
较佳地,所述获取待稽核系统的当前使用权限类别,包括:
对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;
根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。
较佳地,所述根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户,包括:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为是高频率访问用户。
较佳地,所述将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户,包括:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。
较佳地,还包括:
根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据所述未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
本发明实施例提供一种权限稽核装置,该装置包括:
获取模块,用于获取待稽核系统的当前使用权限类别;
第一处理模块,用于将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
第二处理模块,用于根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户。
较佳地,所述获取模块具体用于:
对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;
根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。
较佳地,所述第二处理模块还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为是高频率访问用户。
较佳地,所述第二处理模块还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。
较佳地,所述第二处理模块还用于:
根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据所述未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
本发明的上述实施例中,获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户;本发明实施例实现了获取待稽核系统中的违规新增的权限和未使用的权限以及高频率访问用户和越权访问用户,从而能够有效规避待稽核系统中的安全风险,满足待稽核系统安全管理的需要。
附图说明
图1为本发明实施例提供的一种权限稽核方法流程示意图;
图2为本发明实施例待稽核系统扫描结果示意图;
图3为本发明实施例待稽核系统预先设定的权限类别分配示意图;
图4为本发明实施例提供的一种权限稽核装置示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种权限稽核方法所对应的流程示意图,该方法包括步骤101至步骤103:
步骤101,获取待稽核系统的当前使用权限类别;
步骤102,将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
步骤103,根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户。
具体地,在步骤101中,所述待稽核系统为业务支撑系统中的BOSS/CRM系统、BASS系统、BOMC系统;在进行目录遍历扫描之前,设定扫描的时间以及范围,进而根据设定信息对待稽核系统进行目录遍历扫描和细粒度权限采集。优选地,利用深度优先算法与Shark-Search算法采取分批次多线程的方式来实现对所述待稽核系统的目录及文件的扫描遍历操作,在最大程度降低对待稽核系统性能影响的同时,完成整个扫描遍历过程。此外,遍历扫描还可支持配置基于Web超链图策略和分类器预测策略,以进一步提升遍历扫描对待稽核系统实际业务的契合度。待稽核系统中采用Opcode方式进行待稽核系统的功能管理,BOSS/CRM系统、BASS系统、BOMC系统等中的每个文件都设置有特定的Opcode标识,每个Opcode标识都代表了一个使用权限类别。待稽核系统在版本发布前均会对Opcode进行审核,如果出现该版本中的使用权限类别未进行Opcode标识的情况,则要求进行整改不允许上线。
如图2所示为本发明实施例待稽核系统扫描结果示意图,通过对所述待稽核系统进行目录遍历扫描,可得到该待稽核系统中的各个目录下的各个文件以及各个文件所对应的Opcode;根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别,譬如权限1、权限2、权限3等。
在步骤102中,待稽核系统中存储有预先设定的权限类别,本发明实施例中,获取预先设定的权限类别有两种方式,一是与待稽核系统建立接口,从采用待稽核系统自带权限管理模块获取预先设定的权限类别;二是通过人工方式,采用调研梳理的方法获取预先设定的权限类别。优选地,本发明实施例中采用两者结合互为补充的方案来获取待稽核系统预先设定的权限类别。待稽核系统中存储有预先设定的账号(用户)与角色的对应关系以及角色与Opcode的权限关系,一个账号可以拥有多个角色,一个角色又可以对应着多个Opcode。如图3所示为待稽核系统预先设定的权限类别分配示意图。
通过将步骤101中得到的当前使用权限类别与预先设定的权限类别进行对比,若某一权限包含于当前使用权限类别但不包含于预先设定的权限类别,则该权限为违规新增的权限;例如,待稽核系统中的当前使用权限类别中包括权限a,而预先设定的权限类别中并未存在权限a,则说明权限a为违规新增的权限;若某一权限包含预先设定的权限类别但不包含于当前使用权限类别,则该权限为未使用的权限。例如,待稽核系统预先设定的权限类别中存在权限b,而当前使用权限类别中并未发现权限b,则说明权限b为未使用的的权限。本发明实施例中由于扫描的时间范围有限,因此未使用的权限是指在该扫描时间范围内该权限未被用户使用。
本发明实施例中实现了对违规新增的权限以及未使用的权限进行有效的识别,进而可将违规新增的权限以及未使用的权限及时通知给系统管理员,以便对其进行改进,这样能够及时对违规新增的权限进行控制并对未使用的权限进行完善,以满足待稽核系统的权限管理的需要。
在步骤103中,本发明实施例的待稽核系统中部署有流量采集设备,流量采集设备将待稽核系统的流量推送给日志审计系统中,日志审计系统将分析原始的流量并按照用户+URL的格式将应用流量日志推送给待稽核系统。以用户为源头,根据应用流量日志得到用户与使用权限关系;根据步骤102中得到的待稽核系统设定的权限类别,从用户与使用权限关系中得到符合待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;例如,待稽核系统预先设定为用户1对应的角色有两个分别为角色1和角色2,用户1对应角色1时,拥有的使用权限为权限1、权限2、权限3和权限4;用户1对应角色2时,拥有的使用权限为权限4和权限5;而在应用流量日志中发现用户1使用过的权限包括权限1、权限2、权限3和权限5,则说明用户1与权限1、权限2、权限3和权限5之间的关系为合规的用户与使用权限关系。本步骤中通过将从应用流量日志得到用户与使用权限关系中,得到使用权限类别,从使用权限类别中预先删除掉违规新增的权限和未使用的权限,从而得到简化后的用户与使用权限关系,即合规的用户与使用权限关系,使得后续分析高频率访问用户与越权访问用户的数据量减小,提升了系统效率。
在得到的合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为高频率访问用户。例如,若根据应用流量日志发现用户1使用权限1访问的对应文件的访问频率超过设定阈值,则认为用户1为高频率访问用户。其中,设定阈值可根据所有用户的访问频率情况来进行设定,也可以由系统预先设定。
在得到的合规的用户与使用权限关系中,将合规的用户与使用权限关系与所述用户与设定权限关系比较,可得到越权访问用户。例如,若根据应用流量日志发现用户2使用权限3访问了对应的文件,而在待稽核系统的用户与设定权限关系中并未存在用户2拥有权限3,则可得到用户2为越权访问用户。
本发明实施例中,应用系统为各个用户分别设定了权限,一般都是通过菜单方式设定的,比如一个URL功能中有10个菜单项,用户1的权限是访问1-5,用户2的权限是允许访问6-10;因此,用户1在界面上访问6时会被应用系统阻止,但这仅在该界面范围内,当用户1成功进入系统后,便可获知6的URL地址(例如,用户1先使用用户2的账号登陆应用系统后,手工记录下6的URL);此时,用户1不在界面上点击菜单,而是直接输入6的URL,应用系统无法判断,使得用户1越权访问了6,所以越权访问只能通过借助应用流量日志进行稽核。
本发明实施例中根据应用流量日志,得到高频访问用户的同时也可以得到高频率访问用户高频率访问的文件信息,得到高频访问用户的同时也可以得到越权访问用户越权访问的文件信息,进而可将得到的这些信息通知给系统管理员,以对待稽核系统进行安全管理,规避安全风险。
进一步地,在步骤103中,根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据所述未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
根据上述得到的角色和用户信息,可对待稽核系统的权限分配进行进一步的改进以便于更合理更安全。
本发明的上述实施例中,获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户;本发明实施例实现了获取待稽核系统中的违规新增的权限和未使用的权限以及高频率访问用户和越权访问用户,从而能够有效规避待稽核系统中的安全风险,满足待稽核系统安全管理的需要。
针对上述方法流程,本发明实施例还提供一种权限稽核装置,该装置的具体内容可以参照上述方法实施,在此不再赘述。
图4为本发明实施例提供的一种权限稽核装置示意图,该装置包括:
获取模块401,用于获取待稽核系统的当前使用权限类别;
第一处理模块402,用于将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
第二处理模块403,用于根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户。
较佳地,所述获取模块401具体用于:
对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;
根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。
较佳地,所述第二处理模块403还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为高频率访问用户。
较佳地,所述第二处理模块403还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。
较佳地,所述第二处理模块403还用于:
根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据所述未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
从上述内容可以看出:本发明的上述实施例中,获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户;本发明实施例实现了获取待稽核系统中的违规新增的权限和未使用的权限以及高频率访问用户和越权访问用户,从而能够有效规避待稽核系统中的安全风险,满足待稽核系统安全管理的需要。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种权限稽核方法,其特征在于,该方法包括:
获取待稽核系统的当前使用权限类别;
将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系比较,得到越权访问用户。
2.如权利要求1所述的方法,其特征在于,所述获取待稽核系统的当前使用权限类别,包括:
对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;
根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。
3.如权利要求1所述的方法,其特征在于,所述根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户,包括:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为是高频率访问用户。
4.如权利要求1所述的方法,其特征在于,所述将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系比较,得到越权访问用户,包括:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。
5.如权利要求3或4所述的方法,其特征在于,还包括:
根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
6.一种权限稽核装置,其特征在于,该装置包括:
获取模块,用于获取待稽核系统的当前使用权限类别;
第一处理模块,用于将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;
第二处理模块,用于根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系比较,得到越权访问用户。
7.如权利要求6所述的装置,其特征在于,所述获取模块具体用于:
对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;
根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。
8.如权利要求6所述的装置,其特征在于,所述第二处理模块还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为是高频率访问用户。
9.如权利要求6所述的装置,其特征在于,所述第二处理模块还用于:
根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;
将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。
10.如权利要求8或9所述的装置,其特征在于,所述第二处理模块还用于:
根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;
根据未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;
根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;
根据所述合规的用户与使用权限关系、所述高频率访问用户及所述角色-权限关系,得到高频率访问的角色。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854399.XA CN105808989B (zh) | 2014-12-31 | 2014-12-31 | 一种权限稽核方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854399.XA CN105808989B (zh) | 2014-12-31 | 2014-12-31 | 一种权限稽核方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105808989A CN105808989A (zh) | 2016-07-27 |
| CN105808989B true CN105808989B (zh) | 2018-12-07 |
Family
ID=56465210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410854399.XA Active CN105808989B (zh) | 2014-12-31 | 2014-12-31 | 一种权限稽核方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105808989B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418827B (zh) * | 2018-03-15 | 2020-11-03 | 北京知道创宇信息技术股份有限公司 | 网络行为分析方法以及装置 |
| CN109495444B (zh) * | 2018-09-30 | 2022-02-22 | 北京工业职业技术学院 | 一种加密请求处理方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026647A (zh) * | 2007-04-09 | 2007-08-29 | 中国网络通信集团公司 | 电信收入稽核动态分级管理系统及方法 |
| CN102654864A (zh) * | 2011-03-02 | 2012-09-05 | 华北计算机系统工程研究所 | 一种面向实时数据库的独立透明型安全审计保护的方法 |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN103218688A (zh) * | 2013-04-23 | 2013-07-24 | 浪潮集团山东通用软件有限公司 | 一种基于数据权限确定工作流参与者的方法 |
| CN103606038A (zh) * | 2013-11-06 | 2014-02-26 | 远光软件股份有限公司 | 基于企业整体业务流程体系的在线稽核方法及系统 |
| CN103761651A (zh) * | 2013-10-21 | 2014-04-30 | 远光软件股份有限公司 | 基于多种监控方式的业务稽核方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111304A1 (en) * | 2002-12-04 | 2004-06-10 | International Business Machines Corporation | System and method for supply chain aggregation and web services |
-
2014
- 2014-12-31 CN CN201410854399.XA patent/CN105808989B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026647A (zh) * | 2007-04-09 | 2007-08-29 | 中国网络通信集团公司 | 电信收入稽核动态分级管理系统及方法 |
| CN102654864A (zh) * | 2011-03-02 | 2012-09-05 | 华北计算机系统工程研究所 | 一种面向实时数据库的独立透明型安全审计保护的方法 |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN103218688A (zh) * | 2013-04-23 | 2013-07-24 | 浪潮集团山东通用软件有限公司 | 一种基于数据权限确定工作流参与者的方法 |
| CN103761651A (zh) * | 2013-10-21 | 2014-04-30 | 远光软件股份有限公司 | 基于多种监控方式的业务稽核方法及系统 |
| CN103606038A (zh) * | 2013-11-06 | 2014-02-26 | 远光软件股份有限公司 | 基于企业整体业务流程体系的在线稽核方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105808989A (zh) | 2016-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580344B (zh) | 用于生成资源访问控制决策的方法和系统 | |
| US7895409B2 (en) | Application inspection tool for determining a security partition | |
| US8631458B1 (en) | Method and apparatus for elastic (re)allocation of enterprise workloads on clouds while minimizing compliance costs | |
| US11870882B2 (en) | Data processing permits system with keys | |
| EP2767030B1 (en) | Multi-repository key storage and selection | |
| US20120167167A1 (en) | Enabling granular discretionary access control for data stored in a cloud computing environment | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| US20150066873A1 (en) | Policy based deduplication techniques | |
| CN106446638A (zh) | 一种云计算操作系统安全访问方法及装置 | |
| CN104469762A (zh) | 一种3g/wifi无线路由器用户分级控制方法 | |
| US20180041525A1 (en) | Apparatus and methods thereof for inspecting events in a computerized environment respective of a unified index for granular access control | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| CN105808989B (zh) | 一种权限稽核方法及装置 | |
| US20230208880A1 (en) | Automating trust in software upgrades | |
| An et al. | [Retracted] Legal Protection of Artificial Intelligence Data and Algorithms from the Perspective of Internet of Things Resource Sharing | |
| US10831906B1 (en) | Techniques for automatic bucket access policy generation | |
| CN116760640A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN102238037B (zh) | 协作式目标策略细化方法 | |
| KR20070076342A (ko) | 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법 | |
| CN115766296A (zh) | 用户账户的权限控制方法、装置、服务器和存储介质 | |
| Gkioulos et al. | Enhancing usage control for performance: An architecture for systems of systems | |
| US11418515B2 (en) | Multi-vendor support for network access control policies | |
| CN111083118B (zh) | 一种电力系统云服务的网络安全防护系统、装置及方法 | |
| CN114615055A (zh) | 访问请求的处理方法、数据上传方法和装置 | |
| CN113536381A (zh) | 一种基于终端的大数据分析处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |