CN110958236A - 基于风险因子洞察的运维审计系统动态授权方法 - Google Patents

基于风险因子洞察的运维审计系统动态授权方法 Download PDF

Info

Publication number
CN110958236A
CN110958236A CN201911167065.4A CN201911167065A CN110958236A CN 110958236 A CN110958236 A CN 110958236A CN 201911167065 A CN201911167065 A CN 201911167065A CN 110958236 A CN110958236 A CN 110958236A
Authority
CN
China
Prior art keywords
risk
abnormal
risk factor
access
insight
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911167065.4A
Other languages
English (en)
Inventor
李霜
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911167065.4A priority Critical patent/CN110958236A/zh
Publication of CN110958236A publication Critical patent/CN110958236A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于风险因子洞察的运维审计系统动态授权方法:包括以下步骤:1)、预定义风险因子和风险等级及权限;执行步骤2;2)、根据步骤1定义的风险因子,识别系统中的风险因子,得到匹配的风险因子;执行步骤3;3)、根据步骤1定义的风险等级及权限和步骤2得到的匹配的风险因子,得到相应授权。通过本发明,系统可识别每次访问的风险因子,匹配预定义规则,实现动态授权。即zhangsan拥有系统所有权,当他身份被不法分子冒用,系统通过风险因子洞察,可识别出本次访问存在异常,禁止其访问系统或限制其访问权限,从而保护用户资产数据。

Description

基于风险因子洞察的运维审计系统动态授权方法
技术领域
本发明涉及一种运维审计系统动态授权方法,具体涉及一种基于风险因子洞察的运维审计系统动态授权方法。
背景技术
运维审计系统作为服务器、网络设备、存储设备等重要资产的唯一、统一运维入口,往往需要进行精细、动态的权限控制,以保障资产的安全性。但当前普遍存在的问题是,运维审计系统作为安全设备,却无法识别安全风险因子,无法进行动态的权限调整,常常出现员工离职,却仍能访问公司资产,盗取公司核心数据;员工账号一旦被盗用,公司资产就会暴露在不法分子面前等问题。
运维审计系统是用来进行资产(服务器、网络设备、存储设备等)集中管理、权限控制(哪些用户能访问哪些资产,以及能做什么操作)、操作审计的安全设备。该系统作为资产的唯一入口,也存储着资产的重要信息,一旦被入侵,意味着用户的所有资产都将受到威胁。
目前的运维审计系统都存在的问题就是,系统的权限由系统或用户初始化后,不会自动改变,例如用户zhangsan拥有系统所有权限,但当该用户身份被不法分子盗用,系统无法识别此风险,不法分子就拥有了系统全部权限。即使事后发现异常,也无法弥补已经造成的损失。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的基于风险因子洞察的运维审计系统动态授权方法。
为解决上述技术问题,本发明提供一种基于风险因子洞察的运维审计系统动态授权方法:包括以下步骤:
1)、预定义风险因子和风险等级及权限;执行步骤2;
2)、根据步骤1定义的风险因子,识别系统中的风险因子,得到匹配的风险因子;执行步骤3;
3)、根据步骤1定义的风险等级及权限和步骤2得到的匹配的风险因子,得到相应授权。
作为对本发明基于风险因子洞察的运维审计系统动态授权方法的改进:
步骤1包括以下步骤:
1.1)、定义风险因子;执行步骤1.2;
1.2)、定义风险因子的风险等级及权限。
作为对本发明基于风险因子洞察的运维审计系统动态授权方法的进一步改进:
步骤2包括以下步骤:
2.1)、登录系统;执行步骤2.2);
2.2)、读取系统中相应的用户信息与风险因子进行匹配,得到匹配的风险因子。
作为对本发明基于风险因子洞察的运维审计系统动态授权方法的进一步改进:
在步骤1.1中,风险因子包括异常来源IP、异常访问时间、异常访问地点、异常访问地点、异常来源设备、登录认证级别、用户身份异常用户身份异常、访问目标设备的重要级别、目标设备的健康状态
作为对本发明基于风险因子洞察的运维审计系统动态授权方法的进一步改进:
在步骤1.2中:
来源IP异常或来源设备异常,则禁止访问运维审计系统;
访问时间异常、访问地点异常或用户身份异常,则仅能访问运维审计系统部分不涉及敏感信息的页面;
登录认证级别为低,则仅允许访问少部分页面;登录认证级别为中,则可访问对应权限的页面;登录认证级别为高,则可开启系统全部权限;
用户访问目标设备的重要级别是核心设备,则需要多人审批后才可访问;
用户访问的目标设备的健康状态为有漏洞或者正在遭受攻击,则需要限制访问和操作,避免漏洞被利用。
本发明基于风险因子洞察的运维审计系统动态授权方法的技术优势为:
本发明设计了一种基于风险因子洞察的动态授权方法,通过与其他安全产品联动、大数据分析、威胁情报、自学习等方式识别风险因子;制定细粒度的权限控制项,支持用户自定义权限等级;系统自动根据风险因子匹配对应权限等级,动态调整当前访问用户的权限,可有效避免员工离职、账号冒用等异常行为引起的安全风险。
通过本发明,系统可识别每次访问的风险因子,匹配预定义规则,实现动态授权。即zhangsan拥有系统所有权,当他身份被不法分子冒用,系统通过风险因子洞察,可识别出本次访问存在异常,禁止其访问系统或限制其访问权限,从而保护用户资产数据。
运维审计系统原技术方案只能达到事后追溯(当安全事故发生后,追查责任人)的效果,结合本发明,可以实现事前防御,避免不必要的损失。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于风险因子洞察的运维审计系统动态授权方法的流程示意图;
图2为用户登录识别风险因子和动态授权的流程示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于风险因子洞察的运维审计系统动态授权方法,如图1-2所示,包括以下步骤:
1、预定义
1.1、定义风险因子,执行步骤1.2;
定义风险因子可以包括以下内容:
1)、异常来源IP:来源于waf、威胁情报、基于自身访问行为分析、大数据分析、EDR/APT等终端安全产品情报库;
2)、异常访问时间:根据自身访问行为分析,例如某用户一般访问设备时间都在9:00-21:00,而某次该用户在凌晨1:00访问了设备,此次便属于异常访问时间;
3)、异常访问地点:根据自身访问行为分析,例如某用户访问设备时地点都在杭州,而某次该用户的地点变成了广州,此次便属于异常访问地点;
4)、异常来源设备:不在可信任设备列表、根据EDR等终端安全产品情报,来源设备存在异常(例如识别到设备可能被远程遥控);
5)、登录认证级别:密码、双因子、多因素等不同认证强度;
6)、用户身份异常:统一身份认证场景,在其他平台被发现该用户遭受过暴力破解、被冒用等异常情况;
7)、访问目标设备的重要级别:核心、重要、一般等设备分级;
8)、目标设备的健康状态:正常、有漏洞、正在遭受攻击等情况。
1.2、定义风险因子的风险等级及权限,用户可根据真实情况自定义风险等级,并指定权限,然后执行步骤2;
例如:
1)、来源IP异常、来源设备异常,则禁止访问运维审计系统;
2)、访问时间异常、访问地点异常、用户身份异常,则仅能访问运维审计系统部分不涉及敏感信息的页面;
3)、登录认证级别低,例如仅用户名+密码认证,则仅允许访问少部分页面;登录认证级别中,例如用户名+密码+短信口令,则可访问对应权限的页面;登录认证级别高,例如用户名+密码+指纹认证,则可开启系统全部权限;
4)、用户访问目标设备的重要级别是核心设备,则需要多人审批后才可访问;
5)、用户访问的目标设备被检测出存在重大漏洞(目标设备的健康状态为有漏洞或者正在遭受攻击),则需要限制访问和操作,避免漏洞被利用。
2、识别系统中的风险因子;
2.1、用户登录运维审计系统;
2.2、根据风险因子,系统读取相应的用户信息,匹配风险因子库(风险因子库由步骤步骤1.1的风险因子组成的集合):
a)、来源IP是否在异常来源IP库中(来源IP识别是已有成熟技术,此处不赘述;风险因子库来源于waf/edr/apt等安全产品情报库、运维审计系统自身异常登录IP库);
b)、当前用户的访问时间是否在其正常访问时间段中(访问识别判断是已有成熟技术,此处不赘述;风险因子库来源于运维审计系统自身用户使用习惯分析);
c)、当前用户所属地点是否在常用地点库中(用户登录地点识别是已有成熟技术,此处不赘述;风险因子库来源于运维审计系统自身用户使用习惯分析);
d)、当前用户使用的客户端设备是否在异常来源设备库中(客户端设备识别是已有成熟技术,此处不赘述;风险因子库来源于运维审计系统自身用户使用习惯分析、edr/apt产品情报库);
e)、当前用户登录认证级别(登录认证级别识别:用户登录时需要选择认证方式,系统以此判断);
f)、当前用户身份是否异常(用户身份识别:识别登录的用户名;风险因子库来源于运维审计系统自身日志分析、其他平台异常身份告警);
g)、用户访问的目标设备重要级别(目标设备级别:由用户在运维审计系统自定义,访问时系统以此字段值判断);
h)、用户访问的目标设备健康状态(目标设备健康状态识别:实时获取edr产品检测结果);
3、动态授权,系统根据步骤2识别得到的系统中的风险因子,自动匹配步骤1中预定义规则(步骤1.2定义的风险等级及权限),自动完成动态授权。
步骤1.2中预定义了具体的风险等级对应的权限,当2.1用户登录系统时,系统通过步骤2.2中方式,识别风险因子,并与风险因子库中数据进行匹配,若匹配,则置为真,不匹配,置为假;用值为“真”的风险因子匹配1.2中的风险等级,得到风险等级;按风险等级对应的权限,实现授权。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (5)

1.基于风险因子洞察的运维审计系统动态授权方法,其特征在于:包括以下步骤:
1)、预定义风险因子和风险等级及权限;执行步骤2;
2)、根据步骤1定义的风险因子,识别系统中的风险因子,得到匹配的风险因子;执行步骤3;
3)、根据步骤1定义的风险等级及权限和步骤2得到的匹配的风险因子,得到相应授权。
2.根据权利要求1所述的基于风险因子洞察的运维审计系统动态授权方法,其特征在于:
步骤1包括以下步骤:
1.1)、定义风险因子;执行步骤1.2;
1.2)、定义风险因子的风险等级及权限。
3.根据权利要求2所述的基于风险因子洞察的运维审计系统动态授权方法,其特征在于:
步骤2包括以下步骤:
2.1)、登录系统;执行步骤2.2);
2.2)、读取系统中相应的用户信息与风险因子进行匹配,得到匹配的风险因子。
4.根据权利要求3所述的基于风险因子洞察的运维审计系统动态授权方法,其特征在于:
在步骤1.1中,风险因子包括异常来源IP、异常访问时间、异常访问地点、异常访问地点、异常来源设备、登录认证级别、用户身份异常用户身份异常、访问目标设备的重要级别、目标设备的健康状态。
5.根据权利要求4所述的基于风险因子洞察的运维审计系统动态授权方法,其特征在于:
在步骤1.2中:
来源IP异常或来源设备异常,则禁止访问运维审计系统;
访问时间异常、访问地点异常或用户身份异常,则仅能访问运维审计系统部分不涉及敏感信息的页面;
登录认证级别为低,则仅允许访问少部分页面;登录认证级别为中,则可访问对应权限的页面;登录认证级别为高,则可开启系统全部权限;
用户访问目标设备的重要级别是核心设备,则需要多人审批后才可访问;
用户访问的目标设备的健康状态为有漏洞或者正在遭受攻击,则需要限制访问和操作,避免漏洞被利用。
CN201911167065.4A 2019-11-25 2019-11-25 基于风险因子洞察的运维审计系统动态授权方法 Pending CN110958236A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911167065.4A CN110958236A (zh) 2019-11-25 2019-11-25 基于风险因子洞察的运维审计系统动态授权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911167065.4A CN110958236A (zh) 2019-11-25 2019-11-25 基于风险因子洞察的运维审计系统动态授权方法

Publications (1)

Publication Number Publication Date
CN110958236A true CN110958236A (zh) 2020-04-03

Family

ID=69976799

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911167065.4A Pending CN110958236A (zh) 2019-11-25 2019-11-25 基于风险因子洞察的运维审计系统动态授权方法

Country Status (1)

Country Link
CN (1) CN110958236A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165461A (zh) * 2020-09-10 2021-01-01 杭州安恒信息技术股份有限公司 一种零信任动态授权方法、装置和计算机设备
CN114022053A (zh) * 2022-01-05 2022-02-08 鲁信科技股份有限公司 一种基于风险因子的审计系统及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN107679749A (zh) * 2017-09-30 2018-02-09 新奥(中国)燃气投资有限公司 一种权限申请的审批方法及授权管理平台
CN109492356A (zh) * 2018-12-28 2019-03-19 深圳竹云科技有限公司 一种基于用户行为风险判断的多级认证方法
CN110334899A (zh) * 2019-05-21 2019-10-15 中国大唐集团科学技术研究院有限公司 一种基于机器学习的增强型运维审计方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106529288A (zh) * 2016-11-16 2017-03-22 智者四海(北京)技术有限公司 一种帐号风险识别方法及装置
CN107679749A (zh) * 2017-09-30 2018-02-09 新奥(中国)燃气投资有限公司 一种权限申请的审批方法及授权管理平台
CN109492356A (zh) * 2018-12-28 2019-03-19 深圳竹云科技有限公司 一种基于用户行为风险判断的多级认证方法
CN110334899A (zh) * 2019-05-21 2019-10-15 中国大唐集团科学技术研究院有限公司 一种基于机器学习的增强型运维审计方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
徐育雄: "分布式系统中的信任模型与授权策略研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165461A (zh) * 2020-09-10 2021-01-01 杭州安恒信息技术股份有限公司 一种零信任动态授权方法、装置和计算机设备
CN114022053A (zh) * 2022-01-05 2022-02-08 鲁信科技股份有限公司 一种基于风险因子的审计系统及设备
CN114022053B (zh) * 2022-01-05 2022-04-12 鲁信科技股份有限公司 一种基于风险因子的审计系统及设备

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
CN108322446B (zh) 内网资产漏洞检测方法、装置、计算机设备和存储介质
US10491630B2 (en) System and method for providing data-driven user authentication misuse detection
CN104283889B (zh) 基于网络架构的电力系统内部apt攻击检测及预警系统
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
US20170324777A1 (en) Injecting supplemental data into data queries at network end-points
KR102024142B1 (ko) 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템
CN114003943B (zh) 一种用于机房托管管理的安全双控管理平台
US10637864B2 (en) Creation of fictitious identities to obfuscate hacking of internal networks
CN106339629A (zh) 一种应用程序管理方法及装置
CN114157457A (zh) 一种网络数据信息安全用的权限申请及监控方法
US20190018751A1 (en) Digital Asset Tracking System And Method
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN116894259A (zh) 一种数据库的安全访问控制系统
Kim et al. A system for detection of abnormal behavior in BYOD based on web usage patterns
Furnell et al. A conceptual architecture for real‐time intrusion monitoring
CN114006735B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN115714660A (zh) 权限配置方法及装置
KR102018348B1 (ko) 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
Song et al. Operating system security and host vulnerability evaluation
KR102202109B1 (ko) 다중 인증을 통한 설문지 보안 시스템 및 방법
US20230132611A1 (en) Abnormal classic authorization detection systems
CN106685961A (zh) 一种atm安全防御系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200403