CN110197058B - 统一内控安全管理方法、系统、介质及电子设备 - Google Patents
统一内控安全管理方法、系统、介质及电子设备 Download PDFInfo
- Publication number
- CN110197058B CN110197058B CN201910300106.6A CN201910300106A CN110197058B CN 110197058 B CN110197058 B CN 110197058B CN 201910300106 A CN201910300106 A CN 201910300106A CN 110197058 B CN110197058 B CN 110197058B
- Authority
- CN
- China
- Prior art keywords
- user
- service system
- access
- access request
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种统一内控安全管理方法、系统、介质及电子设备,该方法通过身份识别与访问管理平台实现,包括:根据业务系统的权限共性创建身份识别与访问管理平台的SDK,将所述业务系统接入身份识别与访问管理平台;拦截用户的业务系统访问请求并进行合法性验证,对于发出合法访问请求的用户进行权限判断;通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。本发明通过创建身份识别与访问管理平台的SDK可以实现便捷地将新的业务接入到身份识别与访问管理平台;并IAM的SDK会拦截用户在业务系统的任务请求实时监控用户的操作行为,实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。
Description
技术领域
本发明涉及信息安全管理技术领域,具体地说,是一种统一内控安全管理方法、系统、计算机可读存储介质及电子设备。
背景技术
企业内部存在不同的业务部门,及其内部支持系统,目前针对企业不同部门各自业务支持系统通常采用单独的认证授权管理,各部门之间的系统基本上是各自为政,基本上每个业务部门都有自己的系统,而且各个系统之间是隔离开来的很少能做到统一的账号、权限、审计等管控,不利于企业内部的统一管理和安全监控。
现有对企业内不同部门业务系统进行内控安全管理的方法主要为:1、通过公共系统建立统一账号体系,如:EHR、OA等公共系统实现了统一的账号体系;2、通过构建企业的权限系统使每个业务系统都实现了一套符合该系统业务本身的权限模块,例如每个业务系统分别接入一个单独的身份识别与访问管理平台(IAM:Identity and Access Management,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能)。以上两种常用的方法虽然实现了企业内控安全管理的功能,但方法1的应用收到限制,只能在少部分的公用系统实现,不具有普适性,且资源耗费巨大;方法2虽然使在各个系统达成一致,也只是推出一部分公共的接口然后要求各个系统配合接入,接入过程复制,系统开发周期长,且不便于对操作人员的行为进行审计。
发明内容
本发明的目的是针对现有技术中的不足,提供一种统一内控安全管理方法、系统、介质及电子设备,通过创建身份识别与访问管理平台的SDK(SDK:Software DevelopmentKit,是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合)抽象出来一个统一的权限模块,该权限模块可以囊括同一个公司内部各种不同业务系统所需的大部分权限控制功能,实现了权限模块的高度他用性;同时,可以实现新的业务系统只需要通过SDK申请一个身份密钥,引入IAM开发的SDK并按文档实现少许代码,即可完成将新的业务系统接入到身份识别与访问管理平台,操作简单;接入之后IAM的SDK会拦截用户在业务系统的任务请求实时监控用户的操作行为,实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。
为实现上述目的,第一方面,本发明提供了一种统一内控安全管理方法,该方法通过身份识别与访问管理平台实现,所述方法包括:
根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台;
拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;
对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;
通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。
进一步地,所述根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台,包括:
接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息;
统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;
向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将所述业务介绍信息存储在SDK内。
进一步地,所述统一内控安全管理方法,还包括:
接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;
根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
进一步地,所述判断所述用户是否有授权的记录,包括:
判断用户被授予访问权限的业务系统中是否包含用户请求访问的业务系统,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求,并返回权限申请提醒。
进一步地,所述审计日志包括:用户名、IP地址、操作路径、业务系统名称、操作参数和操作时间。
第二方面,本发明提供了一种统一内控安全管理系统,所述统一内控安全管理系统应用于身份识别与访问管理平台,包括:
接入模块,用于根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台;
验证模块,用于拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;
判断模块,用于对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;
审计模块,用于通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。
进一步地,所述接入模块包括:
获取单元,用于接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息;以及
创建单元,用于统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;以及
接入单元,用于向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将所述业务介绍信息存储在SDK内。
进一步地,所述统一内控安全管理系统还包括权限管理模块,用于接收并响应用户的权限申请,其包括:
匹配单元,用于接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;以及
授权单元,用于根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
第三方面,本发明提供了一种计算机可读存储介质,其中,所述计算机可读存储介质存储用于电子数据交换的计算机程序,所述计算机程序用于执行如上述第一方面和第二方面所述的方法。
第四方面,本发明提供了一种电子设备,包括:一个或多个处理器;以及一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行如上述第一方面和第二方面所述的方法。
本发明优点在于:
1、本发明通过创建身份识别与访问管理平台的SDK抽象出来一个统一的权限模块,该权限模块可以囊括同一个公司内部各种不同业务系统所需的大部分权限控制功能,实现了权限模块的高度他用性。
2、本发明可以实现新的业务系统通过SDK申请一个身份密钥,引入IAM开发的SDK并按文档实现少许代码,只需要一两个小时即可完成将新的业务系统接入到身份识别与访问管理平台,操作简单,克服了现有技术中一个单独业务系统的权限模块需要开发一周左右的问题,缩减业务系统权限模块开发时间,提高新业务系统接入效率。
3、本发明对于接入身份识别与访问管理平台的业务系统,可以通过IAM的SDK拦截用户访问业务系统的请求,并实时监控用户访问业务系统时的操作行为,实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。
附图说明
为能更清楚理解本发明的目的、特点和优点,以下将结合附图对本发明的较佳实施例进行详细描述,其中:
图1为本发明统一内控安全管理方法的实施例一流程图;
图2为本发明统一内控安全管理方法的实施例二流程图;
图3为本发明统一内控安全管理系统的实施例一示意图;
图4为本发明统一内控安全管理系统的实施例二示意图;
图5为本发明统一内控安全管理方法及系统的应用场景示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一中统一内控安全管理方法的流程图,本实施例提供的一种统一内控安全管理方法可以由统一内控安全管理系统来执行,该系统可以实现为软件,或者实现为软件和硬件的组合,该系统可以集成设置在企业的统一IAM平台(身份识别与访问管理平台)之中,如图5所示,该IAM平台(身份识别与访问管理平台)建立于的企业内部各业务系统与企业内部员工的用户端所在的设备之间,比如服务器中。如图1所示,一种统一内控安全管理方法,包括如下步骤:
步骤101.根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台。企业内部由于运营需要会有多个不同的业务部门,每个部门有一套符合其部门业务需求的业务系统,根据部门管理要求,需要对业务系统设置权限模块,用于监控用户访问系统的操作行为,以防止业务部门内部信息泄露等信息安全问题。当企业内业务系统逐渐增多,每一个业务部门都有自己的业务系统,而且各个系统之间是隔离开来的很少能做到统一的账号、权限、审计等管控。不利于统一用户管理及审计,本发明通过将整个企业的权限模块抽象出来,通过引入IAM开发的SDK,是每个业务部门通过SDK接入企业的这个统一的权限模块即IAM平台,实现统一登录和统一管理。
步骤102.拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;企业内部的业务系统通过SDK接入企业的IAM平台后,这些业务系统的登录接口也同时被统一为一个登录入口,用户访问企业内的这些业务系统时,仅能通过该唯一等人接口进行访问,即同一个用户访问企业内不同业务系统只需要一个账号登录即可。当系统检测到有用户试图访问企业内某个业务系统时,对用户的访问请求进行拦截并检验改用户的访问账号和访问IP是否满足合法请求的标准,即检验用户的访问账号是否是通过统一登录接口注册的,如用户是通过外部网址链接直接请求访问某个业务系统,则视为非法访问请求,系统会强制用户跳转至统一登录界面,提醒用户使用合法账号登录。如果用户的访问账号是通过统一登录接口注册的,则认为是合法访问请求,这种情形可以是:用户通过统一登录接口访问企业内部IAM平台上的某个业务系统,在没有退出登录的情况下又使用该账号请求访问企业内IAM平台上的另外一个业务系统,这种访问请求将被视为合法的请求,不会强制跳转至登录界面。
步骤103.对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;完成了用户访问请求的合法性验证,接下来需要对用户的访问权限进行判断,即判断用户是否具备访问其请求的业务系统的权限,例如用户请求访问企业的人事系统,首先需要判断该用户是否具备访问人事系统的权限,例如可以通过用户的身份特征、所属部门、所在岗位等判断用户是否具备访问人事系统的权限。如果该用户已被授权访问人事系统的权限,则通过用户的访问请求,否则禁止该用户访问人事系统,并提醒用户去申请访问权限,例如可以通过跳出警告框或者直接跳转至权限申请页面的形式提醒用户。
步骤104.通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。对应所有接入企业内部IAM平台上的业务系统,当用户在系统中有操作行为时,能通过SDK判断该用户操作的合法性并自动记录下用户的操作行为及操作时间等相关信息,如:操作时间、IP地址、操作路径、业务系统名称、操作的菜单、操作的具体参数、操作者(用户名)等信息,企业内控管理人员进行审计操作时可以很方便的查阅到操作记录。
具体地,步骤101可以通过以下步骤实现:
接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取该业务系统的权限配置标准以及业务介绍信息;其中权限配置标准包括:访问该业务系统的身份设置、不同身份所对应的特定访问权限以及该业务系统的审计规则等。业务介绍信息包括:该业务系统的主要功能、所包含的业务内容以及相关业务流程等。
统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;同时向该业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将该业务介绍信息存储在SDK内。
通过获取业务系统的权限配置标准以及业务介绍信息,可以实现身份识别与访问管理平台对所有业务系统信息的统计与分析,便于身份识别与访问管理平台根据每个业务系统的特征创建具有普适性的SDK,当接入一个业务系统的时候,只需要通过申请身份密钥,引入IAM开发的SDK按文档实现少许代码即可完成接入。同时将该业务介绍信息存储在SDK内,便于统一管理业务系统的权限更新。
图2示出的为本发明实施例二中统一内控安全管理方法的流程图,本实施例提供的一种统一内控安全管理方法可以由统一内控安全管理系统来执行,该系统可以实现为软件,或者实现为软件和硬件的组合,该系统可以集成设置在企业的统一IAM平台(身份识别与访问管理平台)之中,如图5所示,该IAM平台(身份识别与访问管理平台)建立于的企业内部各业务系统与企业内部员工的用户端所在的设备之间,比如服务器中。如图2所示的实施例二中,一种统一内控安全管理方法,包括如下步骤:
步骤201.根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台。企业内部由于运营需要会有多个不同的业务部门,每个部门有一套符合其部门业务需求的业务系统,根据部门管理要求,需要对业务系统设置权限模块,用于监控用户访问系统的操作行为,以防止业务部门内部信息泄露等信息安全问题。当企业内业务系统逐渐增多,每一个业务部门都有自己的业务系统,而且各个系统之间是隔离开来的很少能做到统一的账号、权限、审计等管控。不利于统一用户管理及审计,本发明通过将整个企业的权限模块抽象出来,通过引入IAM开发的SDK,是每个业务部门通过SDK接入企业的这个统一的权限模块即IAM平台,实现统一登录和统一管理。
当企业内部的多个不同的业务部门完成接入到IAM平台后,根据每个部门请求接入时所存储的权限标准和业务介绍信息,配置该业务系统中的岗位及相关操作权限。用户请求访问该业务系统之前,需要申请相应的权限,使该用户对应的账号被授予访问以及相关操作的权限。具体地,可以通过以下方式实现:
接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;
根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
用户获得授权以后,在企业内的IAM平台上存储有用户的授权记录,用于步骤103中判断用户的访问权限。
步骤202.拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;企业内部的业务系统通过SDK接入企业的IAM平台后,这些业务系统的登录接口也同时被统一为一个登录入口,用户访问企业内的这些业务系统时,仅能通过该唯一等人接口进行访问,即同一个用户访问企业内不同业务系统只需要一个账号登录即可。当系统检测到有用户试图访问企业内某个业务系统时,对用户的访问请求进行拦截并检验改用户的访问账号和访问IP是否满足合法请求的标准,即检验用户的访问账号是否是通过统一登录接口注册的,如用户是通过外部网址链接直接请求访问某个业务系统,则视为非法访问请求,系统会强制用户跳转至统一登录界面,提醒用户使用合法账号登录。如果用户的访问账号是通过统一登录接口注册的,则认为是合法访问请求,这种情形可以是:用户通过统一登录接口访问企业内部IAM平台上的某个业务系统,在没有退出登录的情况下又使用该账号请求访问企业内IAM平台上的另外一个业务系统,这种访问请求将被视为合法的请求,不会强制跳转至登录界面。
步骤203.对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;完成了用户访问请求的合法性验证,接下来需要对用户的访问权限进行判断,即判断用户是否具备访问其请求的业务系统的权限,例如用户请求访问企业的人事系统,首先需要判断该用户是否具备访问人事系统的权限,例如可以通过用户的身份特征、所属部门、所在岗位等判断用户是否具备访问人事系统的权限。如果该用户已被授权访问人事系统的权限,则通过用户的访问请求,否则禁止该用户访问人事系统,并提醒用户去申请访问权限,例如可以通过跳出警告框或者直接跳转至权限申请页面的形式提醒用户。
例如,用户向系统发送权限申请,同时填写自己的用户名、岗位及所属部门等信息,根据该用户填写的信息和所请求的业务系统,与IAM平台上的业务系统权限标准进行匹配。举例说明,某用户通过IAM平台申请访问人事业务系统的权限,在申请权限时填写自己的姓名、所属业务部门、岗位职责等信息,系统受到用户的申请后,按照IAM平台的审批流程将用户的信息与人事业务系统的权限标准进行匹配,如果匹配成功即验证该用户属于人事部门的员工,则根据其岗位对其授权,允许其访问人事系统并可以进行与其岗位相匹配的操作,如果匹配不成功,则不予授权。用户权限申请通过以后可以直接访问相应的业务系统。
步骤204.通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。对应所有接入企业内部IAM平台上的业务系统,当用户在系统中有操作行为时,能通过SDK判断该用户操作的合法性并自动记录下用户的操作行为及操作时间等相关信息,如:操作时间、IP地址、操作路径、业务系统名称、操作的菜单、操作的具体参数、操作者(用户名)等信息,企业内控管理人员进行审计操作时可以很方便的查阅到操作记录。
以下将详细描述本发明的一个或多个实施例的一种统一内控安全管理系统。本领域技术人员可以理解,这些统一内控安全管理系统均可以使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图3为本发明实施例中一种统一内控安全管理系统实施例一的框架示意图,统一内控安全管理系统应用于身份识别与访问管理平台,用于实现身份识别与访问管理平台对企业内部不同业务系统进行统一管理和审计,如图3所示,该装置包括:接入模块101、验证模块102、判断模块103和审计模块104。
接入模块101,用于根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台;其包括:获取单元111、创建单元112和接入单元113。其中,获取单元111,用于接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息;创建单元112,用于统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;接入单元113,用于向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将所述业务介绍信息存储在SDK内。
验证模块102,用于拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求。
判断模块103,用于对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求。
审计模块104,用于通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。
图3所示系统可以执行图1所示实施例一的方法,本实施例中未详细描述的部分,可参考对图1所示实施例的相关说明。该技术方案的执行过程和技术效果参见图1所示的实施例中的描述,在此不再赘述。
图4为本发明实施例中一种统一内控安全管理系统实施例二的框架示意图,统一内控安全管理系统应用于身份识别与访问管理平台,用于实现身份识别与访问管理平台对企业内部不同业务系统进行统一管理和审计,如图4所示,在图3所示实施例的基础上,本发明的统一内控安全管理系统还包括:用于接收并响应用户权限申请的权限管理模块105,该模块包括:匹配单元151,用于接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;授权单元152,用于根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
图4所示系统可以执行图2所示实施例二的方法,本实施例中未详细描述的部分,可参考对图2所示实施例的相关说明。该技术方案的执行过程和技术效果参见图2所示的实施例中的描述,在此不再赘述。
以上所描述的一种统一内控安全管理方法可以通过计算机程序来执行,该计算机程序用于进行电子数据交换,并被存储于一计算机可读存储介质中。
以上所描述的一种统一内控安全管理系统仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,可以根据实际的需要选择其中的部分或者全部的模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上描述了一种统一内控安全管理系统的内部功能和机构,在一个可能的设计中,该统一内控安全管理系统的结构可实现为一电子设备,该电子设备比如服务器,可以包括:处理器和存储器。其中,存储器用于存储支持统一内控安全管理系统执行上述任一实施例中提供的一种统一内控安全管理系统方法的程序,上述处理器被配置为用于执行上述存储器中存储的程序。
所述程序包括一条或多条计算机指令,其中所述一条或多条计算机指令被所述处理器执行书能够实现如图1或图2所示的任一实施例中描述的方法步骤。
最后需要说明的是,以上实施例仅用以说明本发明的技术方案,而非对其限制,尽管参照前述实施例对本发明进行了详细的说明,本利用的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不是使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种统一内控安全管理方法,该方法通过身份识别与访问管理平台实现,其特征在于,所述方法包括:
根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台,包括:接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息;统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将所述业务介绍信息存储在SDK内;
拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;
对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;
通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。
2.根据权利要求1所述的一种统一内控安全管理方法,其特征在于,所述统一内控安全管理方法,还包括:
接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;
根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
3.根据权利要求2所述的一种统一内控安全管理方法,其特征在于,所述判断所述用户是否有授权的记录,包括:
判断用户被授予访问权限的业务系统中是否包含用户请求访问的业务系统,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求,并返回权限申请提醒。
4.根据权利要求1所述的一种统一内控安全管理方法,其特征在于,所述审计日志包括:用户名、IP地址、操作路径、业务系统名称、操作参数和操作时间。
5.一种统一内控安全管理系统,所述统一内控安全管理系统应用于身份识别与访问管理平台,其特征在于,包括:
接入模块,用于根据业务系统的权限共性创建身份识别与访问管理平台的SDK,通过所述SDK将所述业务系统接入身份识别与访问管理平台,所述接入模块具体包括:获取单元,用于接收业务系统申请接入身份识别与访问管理平台的请求,根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息;以及创建单元,用于统计所有业务系统权限配置标准的权限共性,根据权限共性创建身份识别与访问管理平台的SDK;以及接入单元,用于向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥,并将所述业务介绍信息存储在SDK内;
验证模块,用于拦截用户的业务系统访问请求并进行合法性验证,如果所述业务系统访问请求不是通过用户统一登录接口发出,则为非法访问请求,跳转至用户统一登录接口,如果所述业务系统访问请求是通过用户统一登录接口发出,则为合法访问请求;
判断模块,用于对于发出合法访问请求的用户进行权限判断,判断所述用户是否有授权的记录,是则通过用户的业务系统访问请求,反之则拦截用户的业务系统访问请求;
审计模块,用于通过所述SDK监控用户访问业务系统的操作行为,生成并存储该用户的审计日志。
6.根据权利要求5所述的一种统一内控安全管理系统,其特征在于,还包括权限管理模块,用于接收并响应用户的权限申请,其包括:
匹配单元,用于接收来自用户的权限申请,根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统;以及
授权单元,用于根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。
7.一种计算机可读存储介质,其中,所述计算机可读存储介质存储用于电子数据交换的计算机程序,所述计算机程序用于执行如权利要求1至4任意一项所述的方法。
8.一种电子设备,包括:
一个或多个处理器;以及一个或多个程序,其中所述一个或多个程序被存储在存储器中,并且被配置成由所述一个或多个处理器执行如利要求1至4任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300106.6A CN110197058B (zh) | 2019-04-15 | 2019-04-15 | 统一内控安全管理方法、系统、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910300106.6A CN110197058B (zh) | 2019-04-15 | 2019-04-15 | 统一内控安全管理方法、系统、介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110197058A CN110197058A (zh) | 2019-09-03 |
| CN110197058B true CN110197058B (zh) | 2021-07-02 |
Family
ID=67751946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910300106.6A Active CN110197058B (zh) | 2019-04-15 | 2019-04-15 | 统一内控安全管理方法、系统、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110197058B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112580018A (zh) * | 2019-09-29 | 2021-03-30 | 北京国双科技有限公司 | 一种用户管理模式的切换方法及装置 |
| CN110730179A (zh) * | 2019-10-21 | 2020-01-24 | 广州海颐信息安全技术有限公司 | 动态控制特权账号权限的方法及装置 |
| CN110990828A (zh) * | 2019-11-26 | 2020-04-10 | 广州探途网络技术有限公司 | 一种多信息系统的聚合管理系统及方法 |
| CN111212075B (zh) * | 2020-01-02 | 2022-06-03 | 腾讯云计算(北京)有限责任公司 | 业务请求的处理方法、装置、电子设备及计算机存储介质 |
| CN111382421B (zh) * | 2020-03-19 | 2024-04-09 | 深信服科技股份有限公司 | 一种业务访问控制方法、系统及电子设备和存储介质 |
| CN111431896A (zh) * | 2020-03-20 | 2020-07-17 | 上海中通吉网络技术有限公司 | 数据共享方法和系统 |
| CN111669398A (zh) * | 2020-06-17 | 2020-09-15 | 国动物联网有限公司 | 一种基于Java API统一入口管理的实现方法 |
| CN111737717B (zh) * | 2020-06-28 | 2024-04-09 | 深信服科技股份有限公司 | 一种权限管控方法、系统、设备及计算机可读存储介质 |
| CN111726227B (zh) * | 2020-07-01 | 2023-12-12 | 上海瀚之友信息技术服务有限公司 | 一种企业内部公共服务的抽象接入平台实现方法及装置 |
| CN111898143B (zh) * | 2020-07-16 | 2024-04-16 | 北京金和网络股份有限公司 | 动态权限管理方法、装置及终端 |
| CN112364336A (zh) * | 2020-11-18 | 2021-02-12 | 深圳航天智慧城市系统技术研究院有限公司 | 数据库的统一权限管理方法、装置、设备和计算机可读存储介质 |
| CN112528248A (zh) * | 2020-12-08 | 2021-03-19 | 北京航天云路有限公司 | 面向多应用的用户权限管理方案 |
| CN112738257B (zh) * | 2020-12-31 | 2023-04-07 | 新奥数能科技有限公司 | 一种web型系统平台的综合管理方法及装置 |
| CN113742746A (zh) * | 2021-08-27 | 2021-12-03 | 北京航天云路有限公司 | 一种基于注解实现的组合鉴权的权限管理系统及方法 |
| CN114389894B (zh) * | 2022-01-28 | 2023-12-19 | 青岛海尔科技有限公司 | 权限控制方法、设备、存储介质及计算机程序产品 |
| CN117828638A (zh) * | 2023-12-28 | 2024-04-05 | 北京建恒信安科技有限公司 | 一种信息系统身份安全授权管理方法、系统、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105323291A (zh) * | 2014-08-04 | 2016-02-10 | 中兴通讯股份有限公司 | 移动应用统一登录处理方法及装置 |
| CN105354482A (zh) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种单点登录方法及装置 |
| CN107277049A (zh) * | 2017-07-27 | 2017-10-20 | 郑州云海信息技术有限公司 | 一种应用系统的访问方法及装置 |
| CN108092983A (zh) * | 2017-12-25 | 2018-05-29 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法和系统 |
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
-
2019
- 2019-04-15 CN CN201910300106.6A patent/CN110197058B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105323291A (zh) * | 2014-08-04 | 2016-02-10 | 中兴通讯股份有限公司 | 移动应用统一登录处理方法及装置 |
| CN105354482A (zh) * | 2015-12-09 | 2016-02-24 | 浪潮(北京)电子信息产业有限公司 | 一种单点登录方法及装置 |
| CN107277049A (zh) * | 2017-07-27 | 2017-10-20 | 郑州云海信息技术有限公司 | 一种应用系统的访问方法及装置 |
| CN109388921A (zh) * | 2017-08-10 | 2019-02-26 | 顺丰科技有限公司 | 一种统一用户权限管理平台及运行方法 |
| CN108092983A (zh) * | 2017-12-25 | 2018-05-29 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110197058A (zh) | 2019-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110197058B (zh) | 统一内控安全管理方法、系统、介质及电子设备 | |
| KR102514325B1 (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
| CN103597494B (zh) | 用于管理文档的数字使用权限的方法和设备 | |
| US8713672B2 (en) | Method and apparatus for token-based context caching | |
| US8910290B2 (en) | Method and apparatus for token-based transaction tagging | |
| CN108920494A (zh) | 多租户数据库的隔离访问方法、服务端以及存储介质 | |
| US9069943B2 (en) | Method and apparatus for token-based tamper detection | |
| CN107770191B (zh) | 一种带有安全防护的企业财务管理系统 | |
| US20130047195A1 (en) | Method and apparatus for making token-based access decisions | |
| US8566918B2 (en) | Method and apparatus for token-based container chaining | |
| US8458781B2 (en) | Method and apparatus for token-based attribute aggregation | |
| CN113468576B (zh) | 一种基于角色的数据安全访问方法及装置 | |
| US8726361B2 (en) | Method and apparatus for token-based attribute abstraction | |
| CN110086813A (zh) | 访问权限控制方法和装置 | |
| US9361443B2 (en) | Method and apparatus for token-based combining of authentication methods | |
| CN116975893A (zh) | 访问请求处理方法及装置、存储介质、计算机设备 | |
| US8752143B2 (en) | Method and apparatus for token-based reassignment of privileges | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| CN107276966B (zh) | 一种分布式系统的控制方法及登录系统 | |
| CN105991575A (zh) | 云桌面的登陆方法及系统 | |
| CN111783047A (zh) | Rpa自动化安全防护方法及装置 | |
| CN115801472A (zh) | 一种基于鉴权网关的权限管理方法及系统 | |
| CN116980166A (zh) | 基于互联网的数据传输管理系统 | |
| US8789143B2 (en) | Method and apparatus for token-based conditioning | |
| Zhuoyi et al. | Research and development of the long distance coach management system based on ASP. net technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |