CN111737717B - 一种权限管控方法、系统、设备及计算机可读存储介质 - Google Patents
一种权限管控方法、系统、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111737717B CN111737717B CN202010596732.7A CN202010596732A CN111737717B CN 111737717 B CN111737717 B CN 111737717B CN 202010596732 A CN202010596732 A CN 202010596732A CN 111737717 B CN111737717 B CN 111737717B
- Authority
- CN
- China
- Prior art keywords
- target
- service system
- operator
- operation record
- target service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000007726 management method Methods 0.000 claims description 124
- 238000013475 authorization Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000005291 magnetic effect Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种权限管控方法、系统、设备及计算机可读存储介质,系统包括:操作记录获取模块,用于获取目标业务系统的目标操作记录,目标操作记录包括操作者操作目标业务系统的记录;权限管控模块,用于基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控;其中,目标业务系统基于身份信息对操作者进行鉴权。本申请中,借助目标操作记录可以准确获知操作者的操作需求,且可以基于目标操作记录及操作者的身份信息,方便的对目标业务系统的权限进行准确管控,这样,目标业务系统的权限与操作者的操作需求相匹配,并且目标业务系统后续可以基于身份信息对操作者的权限进行准确鉴权,综上,本申请中权限管控过程方便且准确。
Description
技术领域
本申请涉及权限管控技术领域,更具体地说,涉及一种权限管控方法、系统、设备及计算机可读存储介质。
背景技术
随着企业数字化转型,业务之间开始拉通,企业的上下游和企业内部流程一站式打通,从孤岛式作业和封闭式管理转向一站式作业和共享式管理,大量的数据共享使得数据泄露的风险剧增,为了降低数据泄露的风险,在操作者操作业务系统时,可以对操作者进行权限管控,只有操作者具有操作业务系统的权限时,才允许操作者操作业务系统。
现有的对操作者进行权限管控的方式是基于网络区域的权限管控,也即只有位于特定网段的操作者才具有操作指定网段的业务系统的权限。
然而,在基于网络区域进行权限管控时,会出现操作者的IP地址不在特定网段内,但操作者仍需要操作业务系统的情况,给权限管控带来困难。
综上所述,如何方便的对操作业务系统的操作权限进行管控是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种权限管控方法,其能在一定程度上解决如何方便的对操作业务系统的操作权限进行管控的技术问题。本申请还提供了一种权限管控系统、电子设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种权限管控系统,包括:
操作记录获取模块,用于获取目标业务系统的目标操作记录,所述目标操作记录包括操作者操作所述目标业务系统的记录;
权限管控模块,用于基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控;
其中,所述目标业务系统基于所述身份信息对所述操作者进行鉴权。
优选的,所述操作记录获取模块,包括:
第一采集单元,用于在所述目标业务系统不对所述操作者进行鉴权的采集阶段,采集所述目标业务系统在所述采集阶段内的第一操作记录,将所述第一操作记录作为所述目标操作记录。
优选的,所述权限管控模块包括:
第一管控单元,用于按照预设的授权标准,自动基于所述目标操作记录及所述身份信息,对所述目标业务系统的权限进行管控。
优选的,所述权限管控模块包括:
第一显示单元,用于显示所述目标操作记录及所述身份信息;
第一接收单元,用于接收上传端口传输的第一管控信息,所述第一管控信息基于所述目标操作记录及所述身份信息生成;
第二管控单元,用于基于所述第一管控信息对所述目标业务系统的权限进行管控。
优选的,所述操作记录获取模块包括:
第二采集单元,用于在所述目标业务系统对所述操作者进行鉴权且接收操作理由的运行阶段,采集所述目标业务系统在所述运行阶段内的第二操作记录,将所述第二操作记录作为所述目标操作记录;
所述权限管控模块包括:
获取子模块,用于获取所述目标操作记录对应的目标操作理由;
管控子模块,用于基于所述目标操作记录、所述目标操作理由、所述身份信息,对所述目标业务系统的权限进行管控。
优选的,所述获取子模块包括:
判断单元,用于判断所述目标业务系统是否禁止所述操作者操作所述目标业务系统;若所述目标业务系统禁止所述操作者操作所述目标业务系统,则显示预设的初始操作理由,并接收对所述初始操作理由进行操作后生成的所述目标操作理由。
优选的,所述管控子模块包括:
第二显示单元,用于显示所述目标操作记录、所述目标操作理由及所述身份信息;
第二接收单元,用于接收上传端口传输的第二管控信息,所述第二管控信息基于所述目标操作记录、所述目标操作理由及所述身份信息生成;
第三管控单元,用于基于所述第二管控信息对所述目标业务系统的权限进行管控。
优选的,还包括:
权限报告生成模块,用于所述权限管控模块基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控之后,生成表征所述目标业务系统的权限信息的权限报告。
一种权限管控方法,包括:
获取目标业务系统的目标操作记录,所述目标操作记录包括操作者操作所述目标业务系统的记录;
基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控;
其中,所述目标业务系统基于所述身份信息对所述操作者进行鉴权。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述权限管控方法的步骤。
优选的,所述电子设备连接在业务系统与操作者客户端之间。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上所述权限管控方法的步骤。
本申请提供的一种权限管控系统,操作记录获取模块,用于获取目标业务系统的目标操作记录,目标操作记录包括操作者操作目标业务系统的记录;权限管控模块,用于基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控;其中,目标业务系统基于身份信息对操作者进行鉴权。本申请中,操作记录获取模块可以获取目标业务系统的目标操作记录,因为目标操作记录包括操作者操作目标业务系统的记录,所以借助目标操作记录可以准确获知操作者的操作需求,且权限管控模块可以基于目标操作记录及操作者的身份信息,方便的对目标业务系统的权限进行准确管控,这样,目标业务系统的权限与操作者的操作需求相匹配,并且目标业务系统后续可以基于身份信息对操作者的权限进行准确鉴权,综上,本申请中权限管控过程方便且准确。本申请提供的一种权限管控方法、电子设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种权限管控系统的结构示意图;
图2为操作记录的一种示意图;
图3为控制选项的一种示意图;
图4为第一显示单元的显示示意图;
图5为初始操作理由的一种示意图;
图6为第二显示单元的显示示意图;
图7为权限评估示意图;
图8为权限报告的一种示意图;
图9为本申请实施例提供的一种权限管控方法的流程图;
图10为实际应用中权限管控方法的流程图;
图11为本申请实施例电子设备的硬件组成结构示意图;
图12为本申请电子设备的一种连接示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着企业数字化转型,业务之间开始拉通,企业的上下游和企业内部流程一站式打通,从孤岛式作业和封闭式管理转向一站式作业和共享式管理,大量的数据共享使得数据泄露的风险剧增,为了降低数据泄露的风险,在操作者操作业务系统时,可以对操作者进行权限管控,只有操作者具有操作业务系统的权限时,才允许操作者操作业务系统。现有的对操作者进行权限管控的方式是基于网络区域的权限管控,也即只有位于特定网段的操作者才具有操作指定网段的业务系统的权限。然而,在基于网络区域进行权限管控时,会出现操作者的IP地址不在特定网段内,但操作者仍需要操作业务系统的情况,比如操作者在公司能够操作业务系统时,操作者所处的网段固定且安全,操作者能操作业务系统,但操作者出差或者借助无线网操作业务系统时,操作者所处网段不固定且安全性不可知,由此使得操作者操作业务系统的安全性不可知,给操作者的权限管控带来困难。而本申请提供的权限管控系统可以方便的对操作业务系统的操作权限进行管控。
请参阅图1,图1为本申请实施例提供的一种权限管控系统的结构示意图。
本申请实施例提供的一种权限管控系统,可以包括:
操作记录获取模块101,用于获取目标业务系统的目标操作记录,目标操作记录包括操作者操作目标业务系统的记录;
权限管控模块102,用于基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控;
其中,目标业务系统基于身份信息对操作者进行鉴权。
实际应用中,操作者在操作目标业务系统时,需借助客户端,由此使得客户端与目标业务系统间存在数据交互,所以操作记录获取模块可以通过对客户端与目标业务系统间的数据交互进行采集、分析,得到目标操作记录;当然,在目标业务系统自身具备生成操作记录的情况下,操作记录获取模块可以直接对目标业务系统进行读取,得到目标操作记录;当然,操作记录获取模块还可以有其他方式来获取目标操作记录,比如本申请提供的权限管控系统连接在客户端与目标业务系统之间时,操作记录获取模块可以直接对客户端发往目标业务系统的操作请求进行采集、分析,根据分析结果生成相应的操作记录等。
实际应用中,权限管控模块在基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控时,可以仅根据目标操作记录来为相应的操作者设置操作目标业务系统的权限,比如有操作者A和操作者B,目标操作记录中存在操作者A的操作记录,不存在操作者B的操作记录,则可以在目标业务系统的操作权限设置中,设置身份信息为操作者A的身份信息时,操作者具有操作目标业务系统的权限,相应的,设置身份信息为操作者B的身份信息时,操作者不具有操作目标业务系统的权限;当然,也可以综合考虑目标操作记录及操作者的身份信息来管控目标业务系统的权限,仍以操作者A和操作B为例,在目标操作记录中存在操作者A和操作者B的操作记录,但操作者A的身份信息表明操作者A为目标业务系统的用户,操作者B的身份信息表明操作者B为未知用户,则可以在目标业务系统的操作权限设置中,设置身份信息为操作者A的身份信息时,操作者具有操作目标业务系统的权限,相应的,设置身份信息为操作者B的身份信息时,操作者不具有操作目标业务系统的权限等。
应当指出,本申请中目标操作记录、目标业务系统的权限的类型均可以根据实际的操作类型来确定,比如目标操作记录,目标业务系统的权限可以为访问权限、下载权限、上传权限、修改权限等。且本申请中操作记录、身份信息所携带的数据类型均可以根据实际需要确定,比如操作记录中可以包括操作时间、操作时长、操作总次数、操作结果等,身份信息可以包括操作者名字、操作者所属部门、操作者所用客户端信息等。
本申请提供的一种权限管控系统,操作记录获取模块,用于获取目标业务系统的目标操作记录,目标操作记录包括操作者操作目标业务系统的记录;权限管控模块,用于基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控;其中,目标业务系统基于身份信息对操作者进行鉴权。本申请中,操作记录获取模块可以获取目标业务系统的目标操作记录,因为目标操作记录包括操作者操作目标业务系统的记录,所以借助目标操作记录可以准确获知操作者的操作需求,且权限管控模块可以基于目标操作记录及操作者的身份信息,方便的对目标业务系统的权限进行准确管控,这样,目标业务系统的权限与操作者的操作需求相匹配,并且目标业务系统后续可以基于身份信息对操作者的权限进行准确鉴权,综上,本申请中权限管控过程方便且准确。
本申请实施例提供的一种权限管控系统中,操作记录获取模块可以包括:
第一采集单元,用于在目标业务系统不对操作者进行鉴权的采集阶段,采集目标业务系统在采集阶段内的第一操作记录,将第一操作记录作为目标操作记录。
由于在采集阶段,目标业务系统不对操作者进行鉴权,所以理论上所有的操作者均具有操作目标业务系统的权限,因此在采集阶段采集的第一操作记录能够反映对目标业务系统存在操作需求的所有操作者的操作需求,相应的,借助第一操作记录可以准确获知需要操作目标业务系统的操作者信息。应当指出,在采集阶段为了避免恶意操作者影响目标业务系统的安全,目标业务系统可以不对操作者进行鉴权,但可以对操作者进行安全认证,使得只有通过安全认证的操作者才可以操作目标业务系统。实际采集的第一操作记录可以如图2所示,其包括累积用户趋势、昨日新增、已访问用户数、开始采集时间等信息,其中,火炬云盘、W3门户、BBS均为业务系统。
具体应用场景中,权限管控模块在基于目标操作记录及身份信息,对目标业务系统的权限进行管控时,为了使得每个操作目标业务系统的操作者均具有真实操作目标业务系统的权限,在管控目标业务系统的权限时,可以直接基于目标操作记录及身份信息,为目标操作记录对应的所有操作者设置操作目标业务系统的权限。
具体应用场景中,权限管控模块可以包括:第一管控单元,用于按照预设的授权标准,自动基于目标操作记录及身份信息,对目标业务系统的权限进行管控。也即,权限管控模块可以自动按照预设的授权标准对目标业务系统的权限进行管控,比如预设的授权标准可以为采集阶段内,单个操作者的操作记录数量大于预设数值时,该操作者具有操作目标业务系统的权限,此时,权限管控模块只会为操作记录数量大于预设数值的操作者自动设置操作权限等;当然,预设的授权标准的内容可以根据实际需要确定,比如预设的授权标准的内容可以为具有公共属性特性的操作者具有操作权限,以公共属性为部门信息为例,此时,权限管控模块会根据身份信息中的部门信息,为属于预设的授权标准中的部门的操作者统一设置操作权限等,且预设的授权标准中的部门可以为采集阶段内操作次数最多的部门等。且实际应用中,还可以为权限管理者设置是否采用自动对目标业务系统的权限进行管控的管控结果的控制选项,使得权限管理者可以借助该控制选项决定是否生效管控结果,控制选项的显示界面可以如图3所示等,其包括访问概率、已分配、已忽略、待分配、已访问人数、采集总人数、推荐类型等信息。
具体应用场景中,权限管控模块可以包括:第一显示单元,用于显示目标操作记录及身份信息;第一接收单元,用于接收上传端口传输的第一管控信息,第一管控信息基于目标操作记录及身份信息生成;第二管控单元,用于基于第一管控信息对目标业务系统的权限进行管控。也即为了使得目标业务系统的权限符合权限管理者需求,权限管控模块还可以借助权限管理者来对目标业务系统的权限进行管控,也即第一显示单元显示目标操作记录及身份信息之后,权限管理者可以根据目标操作记录及身份信息决定是否为该操作者设置权限,并生成相应的第一管控信息传输至权限管控系统,再由第二管控单元基于第一管控信息对目标业务系统的权限进行管控,此时,第一管控信息表明操作者具有操作权限时,第二管控单元便为该操作者开启操作权限,而当第一管控信息表明操作者不具有操作权限时,第二管控单元便禁用该操作者的操作权限。且实际应用中,可以直接在第一显示单元的显示界面上设置决定是否授权给操作者的决定选项,如图4所示,使得权限管理者直接对决定选项进行操作,便可以生成第一管控信息,其包括筛选建议、所属认证服务器、所属组织架构、所属角色、访问总次数、访问天数、日均访问次数等信息。
应当指出,本申请中,权限管控模块可以根据需要主动控制采集阶段的开启或结束,比如权限管控模块可以根据操作者数量、操作趋势、采集时长、新增数量等来判断采集时刻是否结束,以操作者数量为例,若采集阶段内,操作者数量达到预设数量,或者操作者数量不再增加时,可以结束采集阶段等。此外,在操作者的数量较多的情况下,为了便于权限管理者设置操作者的操作权限,权限管控模块还可以为权限管理者设置批量管控权限的功能,使得权限管理者一次可以管控多个操作者的操作权限,提高管控效率。
本申请实施例提供的一种权限管控系统中,操作记录获取模块可以包括:第二采集单元,用于在目标业务系统对操作者进行鉴权且接收操作理由的运行阶段,采集目标业务系统在运行阶段内的第二操作记录,将第二操作记录作为目标操作记录;
相应的,权限管控模块可以包括:获取子模块,用于获取目标操作记录对应的目标操作理由;管控子模块,用于基于目标操作记录、目标操作理由、身份信息,对目标业务系统的权限进行管控。
由于在运行阶段,目标业务系统对操作者进行鉴权且接收操作理由,而目标业务系统只有在对操作者的鉴权未通过的情况下才会接收操作理由,所以可以借助操作理由来获知操作者操作目标业务系统的原因,为后续根据该操作理由管控目标业务系统的权限做准备,以使得目标业务系统的权限管控可以灵活适应实际需求,比如对于未通过目标业务系统授权的操作者,如果该操作者的操作理由合规,则可以为该操作者设置操作目标业务系统的权限,使得后续该操作者再次操作目标业务系统时,能够成功操作目标业务系统;当然,也可以只根据操作理由临时授予操作者操作权限,但仍然在系统中保持操作者无操作权限,使得该操作者每次都需要借助操作理由来临时获取操作权限等。
具体应用场景中,获取子模块可以包括:判断单元,用于判断目标业务系统是否禁止操作者操作目标业务系统;若目标业务系统禁止操作者操作目标业务系统,则显示预设的初始操作理由,并接收对初始操作理由进行操作后生成的目标操作理由。也即可以事先为操作者设置可供操作的初始操作理由,使得操作者可以直接对初始操作理由进行操作快速得到目标操作理由,具体的,本申请允许操作者直接将初始操作理由作为目标操作理由,也可以允许操作者对初始操作理由进行修改后得到目标操作理由等。应当指出,初始操作理由的显示界面可以根据需要设置,比如可以为图5所示页面等,其包括告警内容、访问理由选项、未授权用户告警页面预览等信息。
具体应用场景中,管控子模块可以包括:第二显示单元,用于显示目标操作记录、目标操作理由及身份信息;第二接收单元,用于接收上传端口传输的第二管控信息,第二管控信息基于目标操作记录、目标操作理由及身份信息生成;第三管控单元,用于基于第二管控信息对目标业务系统的权限进行管控。也即为了使得目标业务系统的权限符合权限管理者需求,权限管控模块还可以借助权限管理者来对目标业务系统的权限进行管控,也即第二显示单元显示目标操作记录、目标操作理由及身份信息之后,权限管理者可以根据目标操作记录、目标操作理由及身份信息决定是否为该操作者设置权限,并生成相应的第二管控信息传输至权限管控系统,再由第三管控单元基于第二管控信息对目标业务系统的权限进行管控,此时,第二管控信息表明操作者具有操作权限时,第三管控单元便为该操作者开启操作权限,而当第二管控信息表明操作者不具有操作权限时,第三管控单元便禁用该操作者的操作权限。且实际应用中,可以直接在第二显示单元的显示界面上设置决定是否授权给操作者的决定选项,如图6所示,使得权限管理者直接对决定选项进行操作,便可以生成第二管控信息,其包括提交访问理由用户占比、访问理由授权、总访问用户数、筛选建议等信息。
具体应用场景中,在目标业务系统对操作者进行鉴权且接收操作理由的运行阶段,采集目标业务系统在运行阶段内的第二操作记录,将第二操作记录作为目标操作记录之后,获取目标操作记录对应的目标操作理由,且基于目标操作记录、目标操作理由、身份信息,对目标业务系统的权限进行管控之前,还可以根据第二操作记录及鉴权结构对目标业务系统当前的权限覆盖率等进行评估,并借助图形显示权限覆盖评估率,比如按照如图7所示显示权限覆盖评估率等,其包括提交访问理由用户趋势、昨日新增、提交访问理由用户、权限覆盖率等信息,且灯塔、HBM、1.149均代表业务系统。
应当指出,本申请中权限管控系统根据采集阶段和运行阶段的操作记录对目标业务系统进行权限管控的过程并不冲突,所以在一次权限管控过程中,权限管控系统可以根据采集阶段的操作记录对目标业务系统进行权限管控,还可以根据运行阶段的操作记录对目标业务系统进行权限管控等,且本申请并不对根据运行阶段的操作记录对目标业务系统进行权限管控的次数进行限制,比如运行阶段可以包括试运行阶段与正式运行阶段,权限管控系统先根据采集阶段的操作记录对目标业务系统进行权限管控,再根据试运行阶段的操作记录对目标业务系统进行权限管控,最后根据正式运行阶段的操作记录对目标业务系统进行权限管控;且根据试运行阶段的操作记录对目标业务系统进行权限管控时,相当于对试运行时目标业务系统的权限结构进行评价,此时基于第二管控信息对目标业务系统的权限进行管控便相当于对目标业务系统的权限结构进行查漏补缺,以尽可能的提高目标业务系统权限结构的合理性,而根据正式运行阶段的操作记录对目标业务系统进行权限管控时,相当于根据实际需要对目标业务系统的权限结构进行调整,以提高目标业务系统权限结构的应变性。
本申请实施例提供的一种权限管控系统中,还可以包括:权限报告生成模块,用于权限管控模块基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控之后,生成表征目标业务系统的权限信息的权限报告,以便权限管理者通过权限报告了解目标业务系统的权限信息,权限报告的数据内容可以根据实际需要确定,比如权限报告可以包括图8中的应用图标、总计授权人数、授权组织结构、授权角色、授权个人、授权时间等信息。
请参阅图9,图9为本申请实施例提供的一种权限管控方法的流程图。
本申请实施例提供的一种权限管控方法,可以包括以下步骤:
步骤S101:获取目标业务系统的目标操作记录,目标操作记录包括操作者操作目标业务系统的记录。
步骤S102:基于目标操作记录及操作者的身份信息,对目标业务系统的权限进行管控;其中,目标业务系统基于身份信息对操作者进行鉴权。
本申请实施例提供的权限管控方法中各个步骤的描述请参阅上述实施例中的相关描述,在此不再赘述。
请参阅图10,图10为实际应用中权限管控方法的流程图。
为了便于了解本申请提供的权限管控方案,现以管理员借助客户端对目标业务系统的权限进行管控的应用场景为例,对本申请描述的权限管控过程进行描述。
该过程可以包括以下步骤:
客户端发送权限管控指令至权限管控系统;
权限管控系统接收权限管控指令,控制目标业务系统进入不对操作者进行鉴权的采集阶段,采集目标业务系统在采集阶段内的第一操作记录;
权限管控系统按照预设的授权标准,自动基于目标操作记录及身份信息,对目标业务系统的权限进行管控;
权限管控系统发送目标操作记录及身份信息至客户端;
客户端基于目标操作记录及身份信息生成第一管控信息,并传输第一管控信息至权限管控系统;
权限管控系统基于第一管控信息对目标业务系统的权限进行管控;
权限管控系统控制目标业务系统进入对操作者进行鉴权且接收操作理由的运行阶段,采集目标业务系统在运行阶段内的第二操作记录;
权限管控模块判断目标业务系统是否禁止操作者操作目标业务系统;若目标业务系统禁止操作者操作目标业务系统,则显示预设的初始操作理由,并接收对初始操作理由进行操作后生成的目标操作理由;
权限管控模块发送目标操作记录、目标操作理由及身份信息至客户端;
客户端基于目标操作记录、目标操作理由及身份信息生成第二管控信息,传输第二管控信息至权限管控系统;
权限管控系统基于第二管控信息对目标业务系统的权限进行管控;
权限管控系统生成表征目标业务系统的权限信息的权限报告,发送权限报告至客户端。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,图11为本申请实施例电子设备的硬件组成结构示意图,如图11所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
应当指出,实际应用中,可以根据需要灵活确定本申请提供的电子设备在网络中的部署方式,比如为了便于电子设备获取所需的操作记录等信息,可以将电子设备连接在业务系统与操作者客户端之间,为了便于理解,现以图12所示网络结构进行描述,在图12中,服务器区中包括关键业务系统和非关键业务系统,互联网接入区中包括移动办公客户端、门店/网点/办事处/子公司客户端、供应商/合作伙伴客户端,电子设备一端通过交换机与服务器区中的业务系统连接,电子设备的另一端通过交换机与互联网接入区和内网办公区内的客户端连接,使得电子设备部署在业务系统与操作者客户端之间。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
本申请实施例提供的权限管控方法、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的权限管控系统中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种权限管控系统,其特征在于,包括:
操作记录获取模块,用于获取目标业务系统的目标操作记录,所述目标操作记录包括操作者操作所述目标业务系统的记录;
权限管控模块,用于基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控;
其中,所述目标业务系统基于所述身份信息对所述操作者进行鉴权;
其中,所述操作记录获取模块包括:
第二采集单元,用于在所述目标业务系统对所述操作者进行鉴权且接收操作理由的运行阶段,采集所述目标业务系统在所述运行阶段内的第二操作记录,将所述第二操作记录作为所述目标操作记录;
所述权限管控模块包括:
获取子模块,用于获取所述目标操作记录对应的目标操作理由;
管控子模块,用于基于所述目标操作记录、所述目标操作理由、所述身份信息,对所述目标业务系统的权限进行管控;
其中,所述管控子模块具体用于:对于未通过所述目标业务系统授权的操作者,若所述操作者的操作理由合规,则为所述操作者设置操作所述目标业务系统的权限。
2.根据权利要求1所述的系统,其特征在于,所述操作记录获取模块,包括:
第一采集单元,用于在所述目标业务系统不对所述操作者进行鉴权的采集阶段,采集所述目标业务系统在所述采集阶段内的第一操作记录,将所述第一操作记录作为所述目标操作记录。
3.根据权利要求2所述的系统,其特征在于,所述权限管控模块包括:
第一管控单元,用于按照预设的授权标准,自动基于所述目标操作记录及所述身份信息,对所述目标业务系统的权限进行管控。
4.根据权利要求2所述的系统,其特征在于,所述权限管控模块包括:
第一显示单元,用于显示所述目标操作记录及所述身份信息;
第一接收单元,用于接收上传端口传输的第一管控信息,所述第一管控信息基于所述目标操作记录及所述身份信息生成;
第二管控单元,用于基于所述第一管控信息对所述目标业务系统的权限进行管控。
5.根据权利要求1所述的系统,其特征在于,所述获取子模块包括:
判断单元,用于判断所述目标业务系统是否禁止所述操作者操作所述目标业务系统;若所述目标业务系统禁止所述操作者操作所述目标业务系统,则显示预设的初始操作理由,并接收对所述初始操作理由进行操作后生成的所述目标操作理由。
6.根据权利要求1所述的系统,其特征在于,所述管控子模块包括:
第二显示单元,用于显示所述目标操作记录、所述目标操作理由及所述身份信息;
第二接收单元,用于接收上传端口传输的第二管控信息,所述第二管控信息基于所述目标操作记录、所述目标操作理由及所述身份信息生成;
第三管控单元,用于基于所述第二管控信息对所述目标业务系统的权限进行管控。
7.根据权利要求1所述的系统,其特征在于,还包括:
权限报告生成模块,用于所述权限管控模块基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控之后,生成表征所述目标业务系统的权限信息的权限报告。
8.一种权限管控方法,其特征在于,包括:
获取目标业务系统的目标操作记录,所述目标操作记录包括操作者操作所述目标业务系统的记录;
基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控;
其中,所述目标业务系统基于所述身份信息对所述操作者进行鉴权;
其中,所述获取目标业务系统的目标操作记录,包括:
在所述目标业务系统对所述操作者进行鉴权且接收操作理由的运行阶段,采集所述目标业务系统在所述运行阶段内的第二操作记录,将所述第二操作记录作为所述目标操作记录;
所述基于所述目标操作记录及所述操作者的身份信息,对所述目标业务系统的权限进行管控,包括:
获取所述目标操作记录对应的目标操作理由;
基于所述目标操作记录、所述目标操作理由、所述身份信息,对所述目标业务系统的权限进行管控;
其中,所述基于所述目标操作记录、所述目标操作理由、所述身份信息,对所述目标业务系统的权限进行管控,包括:对于未通过所述目标业务系统授权的操作者,若所述操作者的操作理由合规,则为所述操作者设置操作所述目标业务系统的权限。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求8所述权限管控方法的步骤。
10.根据权利要求9所述的电子设备,其特征在于,所述电子设备连接在业务系统与操作者客户端之间。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求8所述权限管控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010596732.7A CN111737717B (zh) | 2020-06-28 | 2020-06-28 | 一种权限管控方法、系统、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010596732.7A CN111737717B (zh) | 2020-06-28 | 2020-06-28 | 一种权限管控方法、系统、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111737717A CN111737717A (zh) | 2020-10-02 |
| CN111737717B true CN111737717B (zh) | 2024-04-09 |
Family
ID=72651292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010596732.7A Active CN111737717B (zh) | 2020-06-28 | 2020-06-28 | 一种权限管控方法、系统、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111737717B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113589978A (zh) * | 2021-01-14 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 互动信息上传方法、装置、电子设备以及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761555A (zh) * | 2012-07-26 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 基于访问历史的强制访问控制系统及控制方法 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| WO2018006456A1 (zh) * | 2016-07-05 | 2018-01-11 | 中兴通讯股份有限公司 | 一种访客终端的控制方法、装置、服务器及移动终端 |
| WO2018053903A1 (zh) * | 2016-09-22 | 2018-03-29 | 宇龙计算机通信科技(深圳)有限公司 | 文件管理方法、文件管理装置及移动终端 |
| CN108337677A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
| CN110197058A (zh) * | 2019-04-15 | 2019-09-03 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法、系统、介质及电子设备 |
| CN110222504A (zh) * | 2019-05-21 | 2019-09-10 | 平安银行股份有限公司 | 用户操作的监控方法、装置、终端设备及介质 |
| CN110247906A (zh) * | 2019-06-10 | 2019-09-17 | 平安科技(深圳)有限公司 | 一种网络监控方法及装置、设备、存储介质 |
| CN110311899A (zh) * | 2019-06-17 | 2019-10-08 | 平安医疗健康管理股份有限公司 | 多业务系统访问方法、装置及服务器 |
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN111259355A (zh) * | 2020-02-12 | 2020-06-09 | 深信服科技股份有限公司 | 单点登录方法、门户系统、服务平台 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8423514B2 (en) * | 2007-03-29 | 2013-04-16 | International Business Machines Corporation | Service provisioning |
| US10003592B2 (en) * | 2014-05-05 | 2018-06-19 | Schneider Electric Software, Llc | Active directory for user authentication in a historization system |
-
2020
- 2020-06-28 CN CN202010596732.7A patent/CN111737717B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761555A (zh) * | 2012-07-26 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 基于访问历史的强制访问控制系统及控制方法 |
| WO2018006456A1 (zh) * | 2016-07-05 | 2018-01-11 | 中兴通讯股份有限公司 | 一种访客终端的控制方法、装置、服务器及移动终端 |
| WO2018053903A1 (zh) * | 2016-09-22 | 2018-03-29 | 宇龙计算机通信科技(深圳)有限公司 | 文件管理方法、文件管理装置及移动终端 |
| CN108337677A (zh) * | 2017-01-19 | 2018-07-27 | 阿里巴巴集团控股有限公司 | 网络鉴权方法及装置 |
| CN107277038A (zh) * | 2017-07-18 | 2017-10-20 | 北京微影时代科技有限公司 | 访问控制方法、装置以及系统 |
| CN110197058A (zh) * | 2019-04-15 | 2019-09-03 | 杭州恩牛网络技术有限公司 | 统一内控安全管理方法、系统、介质及电子设备 |
| CN110222504A (zh) * | 2019-05-21 | 2019-09-10 | 平安银行股份有限公司 | 用户操作的监控方法、装置、终端设备及介质 |
| CN110247906A (zh) * | 2019-06-10 | 2019-09-17 | 平安科技(深圳)有限公司 | 一种网络监控方法及装置、设备、存储介质 |
| CN110311899A (zh) * | 2019-06-17 | 2019-10-08 | 平安医疗健康管理股份有限公司 | 多业务系统访问方法、装置及服务器 |
| CN111143793A (zh) * | 2019-12-13 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 访问控制方法和访问控制装置 |
| CN111259355A (zh) * | 2020-02-12 | 2020-06-09 | 深信服科技股份有限公司 | 单点登录方法、门户系统、服务平台 |
Non-Patent Citations (3)
| Title |
|---|
| 业务应用系统等级保护改造中的身份鉴别实现;邱梦凌;徐静保;李凤生;;水利信息化;20180425(第02期);全文 * |
| 公安警务综合认证鉴权服务中心的设计与实现;王东;樊燕红;;信息技术与信息化;20101215(第06期);全文 * |
| 基于LDAP的企业级统一用户身份管理系统的设计与实现;朱少敏;刘建明;魏晓菁;;核电子学与探测技术;20080520(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111737717A (zh) | 2020-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
| US10594692B2 (en) | Systems and methods for endpoint management classification | |
| CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
| CN110620782A (zh) | 账户认证方法、装置、计算机设备和存储介质 | |
| CN111314340B (zh) | 认证方法及认证平台 | |
| CN109495515B (zh) | 敏感信息处理方法和计算机可读存储介质 | |
| DE112013006496T5 (de) | Überprüfen der Identität eines Benutzers | |
| CA2868741A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| CN110851274A (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN103607372A (zh) | 网络接入的认证方法及装置 | |
| DE112015003751T5 (de) | Beschränkung von systemaufrufen mithilfe eines geschützten speichers | |
| CN106330958A (zh) | 一种安全访问方法及装置 | |
| CN110138785A (zh) | 一种文档访问权限的处理方法、装置、介质和电子设备 | |
| CN111737717B (zh) | 一种权限管控方法、系统、设备及计算机可读存储介质 | |
| CN109343867A (zh) | 软件自助安装方法、装置、计算机设备及存储介质 | |
| US9426178B1 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
| WO2018167328A1 (en) | Data processing apparatus and methods | |
| CN107623701A (zh) | 一种基于802.1x的快速安全认证方法与装置 | |
| CN116668190A (zh) | 一种基于浏览器指纹的跨域单点登录方法及系统 | |
| Suraj et al. | A robust security model for cloud computing applications | |
| CN109861982A (zh) | 一种身份认证的实现方法及装置 | |
| CN110719257A (zh) | 单页面应用的权限管理方法、装置、设备及存储介质 | |
| CN113973006A (zh) | 一种内网数据访问管理方法和系统 | |
| CN110401674B (zh) | 数据访问方法、装置、系统、电子设备及计算机可读介质 | |
| CN109257213B (zh) | 判断计算机终端准入验证失败的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |