CN111797382A - 一种特权账号的权限控制管理方法 - Google Patents
一种特权账号的权限控制管理方法 Download PDFInfo
- Publication number
- CN111797382A CN111797382A CN202010434955.3A CN202010434955A CN111797382A CN 111797382 A CN111797382 A CN 111797382A CN 202010434955 A CN202010434955 A CN 202010434955A CN 111797382 A CN111797382 A CN 111797382A
- Authority
- CN
- China
- Prior art keywords
- authority
- user
- account
- management platform
- privileged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 87
- 238000012423 maintenance Methods 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000012550 audit Methods 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 description 9
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种特权账号的权限控制管理方法,包括以下步骤:S1:通过用户向管理平台申请注册特权账号并登录特权账号;S2:通过用户提升特权账号的操作权限;S3:利用管理平台对特权账号进行权限检查;S4:根据用户需求,通过运维管理员分配用户的账号权限,完成特权账号的权限控制管理流程。本发明的权限控制管理方法是一套安全便捷的账号权限管理流程,进一步提高用户的效率,使用户不再被多次登录困扰,也不需要记住多个ID和密码。同时简化管理,减轻运维管理员的管理负担,方便运维管理员对不同用户的账号进行相应的权限分配,严格控制普通用户账号的权限,保护数据以及功能避免受到错误或恶意行为的破坏。
Description
技术领域
本发明属于特权账号安全技术领域,具体涉及一种特权账号的权限控制管理方法。
背景技术
当前网络环境安全事件频繁发生,按来源可分为外部攻击与内部隐患两类。在被统计的各类安全事件数据中,有85%以上的信息安全事故与内部人员有关。这些事故起因包含主动的恶意行为,如数据窃取与泄漏,不当的越权访问和恶意破坏等;也包含各种非故意引起的灾害,如权限分配不当而造成的资料误删和误操作等;再则就是IT运维管理人员的特权账号保管不当,无意间泄漏了帐号或密码被有心人利用,从而造成巨大的损失。
当前某些企业的服务器、数据库和业务系统众多,特权账号无处不在。但是大部分的特权账号没有遵循最小权限原则,在没有规范管理流程和做出审计的情况下,root或管理员权限被大量发放,造成了安全隐患。部分特权账号被多人共享,账号授权平台没有根据授权凭证或申请人资质下发相应的授权;第三方运维人员更换频繁,无法对运维管理特权账号的交接有效管控,没有定时对特权账号的权限凭证进行有效审核,导致本该被删除特权账号仍被使用。因此对重要设备或重要系统的特权帐号的权限进行权限控制势在必行。
发明内容
本发明的目的是为了解决特权账号安全性的问题,提出了一种特权账号的权限控制管理方法。
本发明的技术方案是:一种特权账号的权限控制管理方法包括以下步骤:
S1:通过用户向管理平台申请注册特权账号并登录特权账号;
S2:通过用户提升特权账号的操作权限;
S3:利用管理平台对提升操作权限后的特权账号进行权限检查,并生成审计信息;
S4:根据权限检查通过的用户的需求,通过运维管理员分配用户的账号权限,完成特权账号的权限控制管理流程。
本发明的有益效果是:本发明的权限控制管理方法是一套安全便捷的账号权限管理流程,包括对账号初始权限的设置,同时根据用户申请对其账号的修改提权,并加载单点登录功能,运维管理员可以根据用户不同的身份设置其特权账号在不同业务系统中的账号权限,限制或方便其相关操作,进一步提高用户的效率,使用户不再被多次登录困扰,也不需要记住多个ID和密码。同时简化管理,减轻运维管理员的管理负担,方便运维管理员对不同用户的账号进行相应的权限分配。在满足用户基本需求的前提下,严格控制普通用户账号的权限,保护数据以及功能避免受到错误或恶意行为的破坏。
进一步地,步骤S1包括以下子步骤:
S11:通过用户向管理平台申请注册特权账号;
S12:利用管理平台批准用户的特权账号申请,并获取用户属性信息;
S13:将用户属性信息记录到后台数据库中,并下发账号登录凭证给用户;
S14:根据账号登录凭证,用户登录特权账号。
上述进一步方案的有益效果是:在本发明中,用户登录特权账号需要登录凭证才能实现,保证了特权账号登录的安全性。
进一步地,步骤S12中,用户属性信息包括用户的账号名称、账号密码和默认权限。
上述进一步方案的有益效果是:在本发明中,用户属性信息通过管理平台获取得到,便于后台数据库储存用户信息。
进一步地,步骤S2中,当用户需要访问被保护的文件时,通过运维管理员向管理平台发出访问申请,运维管理员通过管理平台的授权模块提升特权账号的操作权限,实现用户的访问权限操作。
上述进一步方案的有益效果是:在本发明中,提升用户特权账号的操作权限可以便于用户访问被保护的文件。
进一步地,步骤S3包括以下子步骤:
S31:利用管理平台检查用户的访问登录权限;
S32:利用管理平台的单点登录功能,访问登录权限通过后的与管理平台相关联的子业务系统和管理平台的DB数据库;
S33:利用管理平台的权限控制引擎,判断用户特权账号的访问权限设置是否通过,若是则进入步骤S34,否则返回步骤S32;
S34:通过审计模块,将用户访问与管理平台相关联的子业务系统和管理平台的DB数据库的访问结果生成审计信息。
上述进一步方案的有益效果是:在本发明中,用户登录特权账号后,管理平台会对其权限进行检查并生成审计信息,进一步提高用户的效率;审计信息的作用是记录访问结果。
进一步地,步骤S32中,单点登录功能为:用户只需通过一次认证登录就可以通过单点登录,并可以访问与管理平台相关联的子业务系统和管理平台的DB数据库。
上述进一步方案的有益效果是:在本发明中,单点登录功能使用户不再被多次登录困扰。
进一步地,步骤S33中,若用户特权账号的访问权限设置通过,则允许用户读写管理平台的访问操作。
上述进一步方案的有益效果是:在本发明中,访问权限设置通过的用户可以在管理平台进行访问操作。
进一步地,步骤S4具体为:通过运维管理员建立不同用户和管理平台中不同业务系统的权限关系,根据权限检查通过的用户的需求,分配不同用户在不同业务系统中的账号权限。
上述进一步方案的有益效果是:在本发明中,通过运维管理员根据用户的需求,分配账号权限,可以有效防止信息泄露和数据篡改,方便用户使用。
附图说明
图1为权限控制管理方法的流程图;
图2为步骤S3的流程图。
具体实施方式
下面结合附图对本发明的实施例作进一步的说明。
如图1所示,本发明提供了一种特权账号的权限控制管理方法,包括以下步骤:
S1:通过用户向管理平台申请注册特权账号并登录特权账号;
S2:通过用户提升特权账号的操作权限;
S3:利用管理平台对提升操作权限后的特权账号进行权限检查,并生成审计信息;
S4:根据权限检查通过的用户的需求,通过运维管理员分配用户的账号权限,完成特权账号的权限控制管理流程。
在本发明实施例中,如图1所示,步骤S1包括以下子步骤:
S11:通过用户向管理平台申请注册特权账号;
S12:利用管理平台批准用户的特权账号申请,并获取用户属性信息;
S13:将用户属性信息记录到后台数据库中,并下发账号登录凭证给用户;
S14:根据账号登录凭证,用户登录特权账号。
在本发明中,用户登录特权账号需要登录凭证才能实现,保证了特权账号登录的安全性。
在本发明实施例中,如图1所示,步骤S12中,用户属性信息包括用户的账号名称、账号密码和默认权限。在本发明中,用户属性信息通过管理平台获取得到,便于后台数据库储存用户信息。
在本发明实施例中,如图1所示,步骤S2中,当用户需要访问被保护的文件时,通过运维管理员向管理平台发出访问申请,运维管理员通过管理平台的授权模块提升特权账号的操作权限,实现用户的访问权限操作。在本发明中,提升用户特权账号的操作权限可以便于用户访问被保护的文件。
在本发明实施例中,如图2所示,步骤S3包括以下子步骤:
S31:利用管理平台检查用户的访问登录权限;
S32:利用管理平台的单点登录功能,访问登录权限通过后的与管理平台相关联的子业务系统和管理平台的DB数据库;
S33:利用管理平台的权限控制引擎,判断用户特权账号的访问权限设置是否通过,若是则进入步骤S34,否则返回步骤S32;
S34:通过审计模块,将用户访问与管理平台相关联的子业务系统和管理平台的DB数据库的访问结果生成审计信息。
在本发明中,用户登录特权账号后,管理平台会对其权限进行检查并生成审计信息,进一步提高用户的效率;审计信息的作用是记录访问结果。
在本发明实施例中,如图2所示,步骤S32中,单点登录功能为:用户只需通过一次认证登录就可以通过单点登录,并可以访问与管理平台相关联的子业务系统和管理平台的DB数据库。在本发明中,单点登录功能使用户不再被多次登录困扰。
在本发明实施例中,如图2所示,步骤S33中,若用户特权账号的访问权限设置通过,则允许用户读写管理平台的访问操作。在本发明中,访问权限设置通过的用户可以在管理平台进行访问操作。
在本发明实施例中,如图1所示,步骤S4具体为:通过运维管理员建立不同用户和管理平台中不同业务系统的权限关系,根据权限检查通过的用户的需求,分配不同用户在不同业务系统中的账号权限。在本发明中,通过运维管理员根据用户的需求,分配账号权限,可以有效防止信息泄露和数据篡改,方便用户使用。
本发明的工作原理及过程为:首先通过用户向管理平台申请注册特权账号并登录特权账号;然后通过用户提升特权账号的操作权限;再利用管理平台对提升操作权限后的特权账号进行权限检查;最后根据权限检查通过的用户的需求,通过运维管理员分配用户的账号权限,完成特权账号的权限控制管理流程。
本发明的有益效果为:本发明的权限控制管理方法是一套安全便捷的账号权限管理流程,包括对账号初始权限的设置,同时根据用户申请对其账号的修改提权,并加载单点登录功能,运维管理员可以根据用户不同的身份设置其特权账号在不同业务系统中的账号权限,限制或方便其相关操作,进一步提高用户的效率,使用户不再被多次登录困扰,也不需要记住多个ID和密码。同时简化管理,减轻运维管理员的管理负担,方便运维管理员对不同用户的账号进行相应的权限分配。在满足用户基本需求的前提下,严格控制普通用户账号的权限,保护数据以及功能避免受到错误或恶意行为的破坏。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (8)
1.一种特权账号的权限控制管理方法,其特征在于,包括以下步骤:
S1:通过用户向管理平台申请注册特权账号并登录特权账号;
S2:通过用户提升特权账号的操作权限;
S3:利用管理平台对提升操作权限后的特权账号进行权限检查,并生成审计信息;
S4:根据权限检查通过的用户的需求,通过运维管理员分配用户的账号权限,完成特权账号的权限控制管理流程。
2.根据权利要求1所述的特权账号的权限控制管理方法,其特征在于,所述步骤S1包括以下子步骤:
S11:通过用户向管理平台申请注册特权账号;
S12:利用管理平台批准用户的特权账号申请,并获取用户属性信息;
S13:将用户属性信息记录到后台数据库中,并下发账号登录凭证给用户;
S14:根据账号登录凭证,用户登录特权账号。
3.根据权利要求2所述的特权账号的权限控制管理方法,其特征在于,所述步骤S12中,用户属性信息包括用户的账号名称、账号密码和默认权限。
4.根据权利要求1所述的特权账号的权限控制管理方法,其特征在于,所述步骤S2中,当用户需要访问被保护的文件时,通过运维管理员向管理平台发出访问申请,运维管理员通过管理平台的授权模块提升特权账号的操作权限,实现用户的访问权限操作。
5.根据权利要求1所述的特权账号的权限控制管理方法,其特征在于,所述步骤S3包括以下子步骤:
S31:利用管理平台检查用户的访问登录权限;
S32:利用管理平台的单点登录功能,访问登录权限通过后的与管理平台相关联的子业务系统和管理平台的DB数据库;
S33:利用管理平台的权限控制引擎,判断用户特权账号的访问权限设置是否通过,若是则进入步骤S34,否则返回步骤S32;
S34:通过审计模块,将用户访问与管理平台相关联的子业务系统和管理平台的DB数据库的访问结果生成审计信息。
6.根据权利要求5所述的特权账号的权限控制管理方法,其特征在于,所述步骤S32中,单点登录功能为:用户只需通过一次认证登录就可以通过单点登录,并可以访问与管理平台相关联的子业务系统和管理平台的DB数据库。
7.根据权利要求5所述的特权账号的权限控制管理方法,其特征在于,所述步骤S33中,若用户特权账号的访问权限设置通过,则允许用户读写管理平台的访问操作。
8.根据权利要求1所述的特权账号的权限控制管理方法,其特征在于,所述步骤S4具体为:通过运维管理员建立不同用户和管理平台中不同业务系统的权限关系,根据权限检查通过的用户的需求,分配不同用户在不同业务系统中的账号权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010434955.3A CN111797382A (zh) | 2020-05-21 | 2020-05-21 | 一种特权账号的权限控制管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010434955.3A CN111797382A (zh) | 2020-05-21 | 2020-05-21 | 一种特权账号的权限控制管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111797382A true CN111797382A (zh) | 2020-10-20 |
Family
ID=72806696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010434955.3A Pending CN111797382A (zh) | 2020-05-21 | 2020-05-21 | 一种特权账号的权限控制管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111797382A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112818335A (zh) * | 2021-02-23 | 2021-05-18 | 山东铭云信息技术有限公司 | 特权账号安全运维管控方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010105024A (ko) * | 2000-05-18 | 2001-11-28 | 박종민 | 회원 등록과 관리 권한을 사용자에게 제공하는 서버 장치 |
KR20050023672A (ko) * | 2003-09-02 | 2005-03-10 | 신철승 | 웹기반의 비즈니스 통합을 위한 시스템 및 방법 |
CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
CN104702415A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇艺世纪科技有限公司 | 账号权限控制方法及装置 |
CN104866946A (zh) * | 2015-04-03 | 2015-08-26 | 宁波保税区攀峒信息科技有限公司 | 一种不同系统用户账号共享的方法 |
CN106055967A (zh) * | 2016-05-24 | 2016-10-26 | 福建星海通信科技有限公司 | 一种saas平台用户组织权限管理的方法以及系统 |
CN109635553A (zh) * | 2018-10-25 | 2019-04-16 | 深圳壹账通智能科技有限公司 | 账号权限的升级方法、装置、终端及计算机可读存储介质 |
CN110474916A (zh) * | 2019-08-20 | 2019-11-19 | 广州海颐信息安全技术有限公司 | 面向Web应用提供特权账号的方法及装置 |
CN110943990A (zh) * | 2019-11-29 | 2020-03-31 | 合肥开元埃尔软件有限公司 | 一种基于大数据的通信安全管控用数据分析系统 |
-
2020
- 2020-05-21 CN CN202010434955.3A patent/CN111797382A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010105024A (ko) * | 2000-05-18 | 2001-11-28 | 박종민 | 회원 등록과 관리 권한을 사용자에게 제공하는 서버 장치 |
KR20050023672A (ko) * | 2003-09-02 | 2005-03-10 | 신철승 | 웹기반의 비즈니스 통합을 위한 시스템 및 방법 |
CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
CN104702415A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇艺世纪科技有限公司 | 账号权限控制方法及装置 |
CN104866946A (zh) * | 2015-04-03 | 2015-08-26 | 宁波保税区攀峒信息科技有限公司 | 一种不同系统用户账号共享的方法 |
CN106055967A (zh) * | 2016-05-24 | 2016-10-26 | 福建星海通信科技有限公司 | 一种saas平台用户组织权限管理的方法以及系统 |
CN109635553A (zh) * | 2018-10-25 | 2019-04-16 | 深圳壹账通智能科技有限公司 | 账号权限的升级方法、装置、终端及计算机可读存储介质 |
CN110474916A (zh) * | 2019-08-20 | 2019-11-19 | 广州海颐信息安全技术有限公司 | 面向Web应用提供特权账号的方法及装置 |
CN110943990A (zh) * | 2019-11-29 | 2020-03-31 | 合肥开元埃尔软件有限公司 | 一种基于大数据的通信安全管控用数据分析系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112818335A (zh) * | 2021-02-23 | 2021-05-18 | 山东铭云信息技术有限公司 | 特权账号安全运维管控方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6055637A (en) | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential | |
CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
CN111064718B (zh) | 一种基于用户上下文及策略的动态授权方法和系统 | |
CN116545731A (zh) | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 | |
US20040088560A1 (en) | Secure system access | |
CN104767745A (zh) | 一种云端数据安全保护方法 | |
CN106657011A (zh) | 一种业务服务器授权安全访问方法 | |
CN109684854B (zh) | 一种适用于企业管理信息系统的底层数据加密方法 | |
CN113468576B (zh) | 一种基于角色的数据安全访问方法及装置 | |
CN105046125B (zh) | 一种基于分级制的oa系统应用访问方法 | |
CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
CN114866346B (zh) | 一种基于分散式的密码服务平台 | |
CN114338105B (zh) | 一种基于零信任信创堡垒机系统 | |
CN117370953A (zh) | 一种erp系统接入控制方法及平台 | |
CN111797382A (zh) | 一种特权账号的权限控制管理方法 | |
CN113162950A (zh) | 一种基于i国网的移动应用二次权限认证与管理系统 | |
CN112347440A (zh) | 一种工控设备的用户访问权限分置系统及其使用方法 | |
Alawneh et al. | Defining and analyzing insiders and their threats in organizations | |
CN112214772A (zh) | 一种特权凭证集中管控与服务系统 | |
Purba et al. | Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control | |
CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
CN110572279A (zh) | 特权账号安全管理系统 | |
Khan et al. | Modernization Framework to Enhance the Security of Legacy Information Systems. | |
CN107315963A (zh) | 一种具有远程访问功能的财务管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |