CN114065162A - 业务系统的风险管控方法、装置和计算可读存储介质 - Google Patents
业务系统的风险管控方法、装置和计算可读存储介质 Download PDFInfo
- Publication number
- CN114065162A CN114065162A CN202111431553.9A CN202111431553A CN114065162A CN 114065162 A CN114065162 A CN 114065162A CN 202111431553 A CN202111431553 A CN 202111431553A CN 114065162 A CN114065162 A CN 114065162A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- risk
- dimension
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种业务系统的风险管控方法、装置和计算可读存储介质。该方法包括:通过部署于终端并基于零信任机制的第一安全代理对终端和业务访问请求的发起者进行合法性认证,以及通过已预装于终端的第二安全代理对终端进行安全检查;若终端和业务访问请求的发起者通过合法性认证,则允许身份合法的发起者通过所述终端对可访问业务系统进行访问;在通过终端对业务系统进行访问过程中,通过第二安全代理实时对终端进行安全性评估,并基于安全性评估实时调整业务系统访问请求的控制策略。本申请提供的方案不仅可以增强对业务系统的安全防护能力,而且成本相对较低。
Description
技术领域
本申请涉及网络安全领域,尤其涉及业务系统的风险管控方法、装置和计算可读存储介质。
背景技术
随着数字化转型加剧和IT架构演进,云化、轻交付、移动办公和远程办公等打破了传统网络边界。这种变化使得基于物理网络限制实现的传统安全防护逐步失效,边界逐渐模糊。任何可访问到业务和内部网络的设备/终端都将成为新的边界,导致威胁的传播/入侵不再拘泥于传统意义上的边界突破,从终端即可入侵。
零信任,是一种防止数据从组织的可信网络泄露的一种理念,即总是验证,绝不信任。相关技术中,业务系统的风险管控方法虽然可以一定程度上防范来自终端的安全风险或威胁。然而,这种风险管控无论是对开发者还是对用户而言,成本偏高。
发明内容
为解决或部分解决相关技术中存在的问题,本申请提供一种业务系统的风险管控方法、装置和计算可读存储介质,不仅可以增强对业务系统的安全防护能力,而且成本相对较低。
本申请第一方面提供一种业务系统的风险管控方法,应用于软件定义边界SDP设备,包括:
通过部署于终端并基于零信任机制的第一安全代理对所述终端和业务访问请求的发起者进行合法性认证,以及通过已预装于所述终端的第二安全代理对所述终端进行安全检查;
若所述终端和业务访问请求的发起者通过合法性认证,则允许所述身份合法的发起者通过所述终端对可访问业务系统进行访问;
在通过所述终端对所述业务系统进行访问过程中,通过所述第二安全代理实时对所述终端进行安全性评估,并基于所述安全性评估实时调整业务系统访问请求的控制策略。
本申请第二方面提供一种基于零信任的业务访问控制装置,应用于软件定义边界SDP设备,包括:
认证模块,用于通过部署于终端并基于零信任机制的第一安全代理对所述终端和业务访问请求的发起者进行合法性认证,以及通过已预装于所述终端的第二安全代理对所述终端进行安全检查;
授权模块,用于若确认所述终端和所述业务访问请求的发起者通过合法性认证,则允许所述身份合法的发起者通过所述终端对所述可访问业务系统进行访问;
评估决策模块,用于在通过所述终端对所述业务系统进行访问过程中,通过所述第二安全代理实时对所述终端进行安全性评估,并基于所述安全性评估实时调整业务系统访问请求的控制策略。
本申请第三方面提供一种电子设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如上所述的方法。
本申请第四方面提供一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如上所述的方法。
本申请提供的技术方案可知,一方面,本申请在实时对终端进行安全性评估是通过该终端已预装的第二安全代理进行,这意味着不会增加终端对应用户的成本;另一方面,对终端和业务访问请求的发起者进行合法性认证时,是通过部署于终端并基于零信任机制的第一安全代理,这意味着本申请的技术方案并不改变零信任的框架,后续终端对业务系统的访问仍然是在零信任的框架内进行,因此,对开发者而言,不会增加额外的成本;第三方面,SDP设备和终端已预装的第二安全代理的联动,对终端的安全进行持续感知和评估,即使后续在通过终端对业务系统进行访问时终端变得不再安全,亦可以及时检测出来,从而提升了对业务系统的安全防护能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
通过结合附图对本申请示例性实施方式进行更详细地描述,本申请的上述以及其它目的、特征和优势将变得更加明显,其中,在本申请示例性实施方式中,相同的参考标号通常代表相同部件。
图1是本申请实施例提供的业务系统的风险管控方法的流程示意图;
图2是本申请实施例提供的业务系统的风险管控方法的应用场景示意图;
图3是本申请实施例提供的业务系统的风险管控方法中涉及的实体之间的交互过程示意图;
图4是本申请实施例提供的业务系统的风险管控装置的结构示意图;
图5是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本申请的实施方式。虽然附图中显示了本申请的实施方式,然而应该理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本申请更加透彻和完整,并且能够将本申请的范围完整地传达给本领域的技术人员。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语“第一”、“第二”、“第三”等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在网络安全领域,相关技术中,业务系统的风险管控通常是在来自终端的业务访问请求发起时,即对用户的身份以及该终端进行安全、合法性进行认证。认证通过后,则允许该用户凭借起初认证的合法身份持续对业务系统进行访问。上述技术一方面过于注重对身份的认证,而在终端的安全合法性认证获得通过后,不再对终端的安全合法性进行认证或检测,如此,一旦终端在后续变得不再安全(例如,病毒感染、非法攻击或存在高危漏洞或端口等),将会对相关系统带来安全威胁;另一方面,为了使得业务系统更加安全,当然可以在终端安装更多的安全软件,然而,这意味着终端的用户需要增加更多的成本,对开发者而言,对应于增加的安全软件,将会增加与此相关的业务的软件开发成本。
针对上述问题,本申请实施例提供一种业务系统的风险管控方法,不仅可以增强对业务系统的安全防护能力,而且成本相对较低。
以下结合附图详细描述本申请实施例的技术方案。
需要说明的是,本申请提供的业务系统的风险管控方法是基于零信任的业务访问控制方法,这意味着本申请并未改变以SDP控制器等为核心组件的零信任框架。如图1,是本申请实施例提供的以SDP控制器等为核心组件的零信任框架示意图,其亦示出了基于零信任的业务访问控制方法的应用场景。作为SDP的大脑,SDP控制器101可以高性能的服务器作为SDP设备(包括SDP控制器和SDP网关)的基础硬件,这些服务器可以单个服务器存在,亦可以组织为功能更强大的云。SDP控制器101和终端102之间通过安全的控制信道交互控制层信息,例如,对通过终端102发出业务访问请求的用户进行身份认证等。SDP网关104分别连接至SDP控制器101和终端102,其中,SDP网关104和终端102之间通过数据信道交互数据层信息,例如,来自业务系统103的资源文件等。与SDP控制器101和终端102类似,SDP控制器101和SDP网关104亦通过安全的控制信道进行控制层信息的交互。SDP网关104和业务系统103之间通过SDP控制器101建立的业务访问隧道(通常经过加密),放行身份合法的业务访问请求发起者通过终端102访问业务系统103上的资源。
由于本申请实施例提供的业务系统的风险管控方法并不改变图1示例的零信任框架结构,这意味着终端102上的安全代理等软件可被有效复用,具体而言,终端102上部署第一安全代理和第二安全代理这两个安全代理,其中,第一安全代理为基于零信任机制的安全代理,是零信任框架结构本身都会部署的安全代理,第二安全代理是终端102上预装或者原本就会安装的安全代理,即无论终端102是否考虑纳入零信任框架均会安装的安全代理,因此,在实现本申请提供的技术方案时,不会增加终端对应用户的额外成本。
参见图2,是本申请实施例示出的业务系统的风险管控方法的流程示意图,该方法可应用于软件定义边界(Software Defined Perimeter,SDP)设备。如图1所示,在SDP框架中,SDP设备和第二安全代理的数据通信通过第二安全代理的通过所谓的管理端(ManGeR,MGR)实现。MGR是基于客户端/服务端(Client/Server)模式,其服务模块是第一安全代理和第二安全代理的客户端(client),MGR的客户端模块既是其服务模块的客户端(client),亦是SDP控制器一侧服务模块(sever)的客户端(client)第一安全代理和第二安全代理均通过MGR的服务模块、客户端模块和SDP控制器一侧的服务模块之间的信道通信。
图2示例的业务系统的风险管控控制方法主要包括步骤S201至步骤S203,说明如下:
步骤S201:通过部署于终端并基于零信任机制的第一安全代理对终端和业务访问请求的发起者进行合法性认证,以及通过已预装于终端的第二安全代理对终端进行安全检查。
如背景技术所述,零信任是对任何业务访问请求的发起者总是验证,绝不信任。按照图1示例的应用场景,业务访问请求的发起者从终端发起一个业务访问请求时,该业务访问请求首先传送至SDP控制器。当SDP控制器收到来自终端的业务访问请求时,对终端的安全合法性进行评估以及业务访问请求的发起者的身份进行合法性认证。作为本申请一个实施例,上述通过部署于终端并基于零信任机制的第一安全代理对终端和业务访问请求的发起者进行合法性认证,以及通过已预装于终端的第二安全代理对终端进行安全检查可通过如下步骤S2011至步骤S2014实现:
步骤S2011:接收第一安全代理发送的环境安全数据,其中,环境安全数据包括第一安全代理对终端的环境所感知的信息。
在本申请实施例中,终端上部署的第一安全代理(agent)可以是杀毒软件和终端检测与响应(Endpoint Detection and Response,EDR)等安全类软件产品,这些安全类软件产品可以作为客户端(client)部署在终端上,由作为其服务端(sever)的管理端MGR(一种安全管理软件)统一进行管理。环境安全数据为上述杀毒软件和EDR等第一安全代理对终端的环境所感知的信息,其可以是基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等信息中的一种或者任意组合。这些信息由终端的安全代理感知后,以日志的形式存于终端的数据库或者其他存储单元。第一安全代理可主动向SDP设备上报或者在SDP设备需要这些数据时通过第一安全代理与SDP设备之间的信道传送至SDP设备,SDP设备接收第一安全代理发送的环境安全数据。在向SDP设备传送环境安全数据时,还可以传送终端的设备标识,其可以是用于唯一表示该终端的信息,例如,设备名和/或设备的MAC地址等。需要说明的是,终端的设备标识在上传至SDP设备时已经过加密,例如,终端利用其私钥对其设备标识进行加密,形成标识数字签名。
步骤S2012:接收第二安全代理发送的终端是否存在安全风险的指示信息。
第二安全代理发送的指示信息可以是由第二安全代理对终端进行安全评估所得结果,具体可以是综合考虑环境数据中各项信息的权重,根据每一项目信息对应的权重值计算出加权平均得分。
步骤S2013:根据环境安全数据以及指示信息,判断终端是否安全合法。
在本申请实施例中,终端是否安全合法主要包含终端是否合法和安全两个方面,其中,终端是否合法,主要从终端是否合规以及身份是否非法的层面考虑,而终端是否安全,则是考虑终端是否存在安全方面的风险。作为本申请一个实施例,根据环境安全数据以及指示信息,判断终端是否安全合法可以是:若环境安全数据包含终端已安装第二安全代理的信息且设备标识通过验证,则确定终端为合法终端;接收合法终端的第一环境安全得分,或者基于环境安全数据计算合法终端的第二环境安全得分;若该合法终端的第一环境安全得分或第二环境安全得分超过预设安全阈值得分,则确定终端安全合法,其中,合法终端的第一环境安全得分由第二安全代理对终端进行安全评估所得结果。上述实施例中,设备标识通过验证也即SDP设备对终端的设备标识进行认证后,认证结果表明该终端的身份合法,具体而言,SDP设备可以利用其存储的公钥验证已加密的设备标识即标识数字签名,其中,该公钥与终端加密其设备标识的私钥为密钥对;在标识数字签名验证成功时,判断标识字符串中的随机序列和递增数,与存储的随机序列和递增数是否匹配;当标识字符串中的随机序列与存储的随机序列以及标识字符串中的递增数与存储的递数码分别对应匹配时,确定设备标识通过验证即对终端的身份认证成功,否则,验证不通过即对终端的身份认证失败。上述实施例中的环境安全数据包含终端已安装安全代理的信息可以是终端向SDP上报了终端已安装的安全代理的相关信息,例如,终端上的第一安全代理通过遍历终端正在运行的进程,获取这些进程中是否存在安全类软件产品,若存在,则将安全类软件产品的名称、标识等上报至SDP设备,这是确定终端为合法终端的最为直接的方式,而另一种确定终端是否为合法终端方式是只要SDP设备收到环境安全数据包含前述实施例提及的基础安全感知信息、系统安全感知信息、系统应用感知信息、健康状态感知信息和物理状态感知信息等信息,则确定终端为合法终端。
至于合法终端的环境安全得分,可以是由终端一侧直接基于环境安全数据对自身安全进行评估,得到该合法终端的第一环境安全得分,SDP设备只需接收这个第一环境安全得分即可,亦可以由SDP设备基于环境安全数据计算合法终端的第二环境安全得分,具体而言,第一环境安全得分或者第二环境安全得分可以是综合考虑环境数据中各项信息的权重,根据每一项目信息对应的权重值计算出加权平均得分。若最后计算出来的加权平均得分超过预设安全阈值得分,则确定终端安全合法。
步骤S2013:若确定终端安全合法,则通过第一安全代理对业务访问请求的发起者的身份进行合法性认证。
在本申请实施例中,通过第一安全代理对业务访问请求的发起者的身份进行合法性认证,与前述实施例中采用设备标识通过第一安全代理对终端是否合法的认证方法类似,所不同的是,此处认证的对象是业务访问请求的发起者,包括用户的账号和密码等,因此,具体认证过程可以参阅前述实施例的相关说明,此处不做赘述。
步骤S202:若终端和业务访问请求的发起者通过合法性认证,则允许身份合法的发起者通过所述终端对可访问业务系统进行访问。
若经过上述步骤S201,SDP设备确认终端安全合法并且业务访问请求的发起者身份合法,则SDP控制器通过其与SDP网关之间的控制信道,向SDP网关发起放行指令,允许身份合法的发起者通过终端对可访问业务系统进行访问。此时,可访问业务系统向终端返回业务访问请求所请求访问的资源,包括身份合法的发起者可以访问的各项业务和/或程序的列表等。
需要说明的是,业务访问请求发起之初,终端的安全合法和业务访问请求的发起者的身份合法,是发起者能够通过该终端对业务系统进行访问的前提,因此,确认终端不安全和/或不合法,或者业务访问请求的发起者身份不合法,无需进入后续流程,直接拒绝身份不合法的发起者通过终端对业务系统进行访问。
步骤S203:在通过终端对业务系统进行访问过程中,通过第二安全代理实时对终端进行安全性评估,并基于安全性评估实时调整业务系统访问请求的控制策略。
与现有技术只是在业务访问请求发起之初,SDP控制器对终端和业务访问请求的发起者进行身份认证不同,本申请实施例不仅在业务访问请求发起之初,SDP控制器就对终端和业务访问请求的发起者进行身份和安全等方面的认证,而且在业务访问请求的发起者通过终端对业务系统进行访问过程中,实时对终端进行安全性评估,其中的“实时”包含在业务访问请求的发起者通过终端对业务系统进行访问过程中,时刻对终端进行安全性评估,或者考虑到资源的消耗问题,以较短的周期,周期性地对终端进行安全性评估。在本申请一个实施例中,步骤S203可通过步骤S2031至步骤S2034实现,详细说明如下:
步骤S2031:在通过终端对可访问业务系统进行访问过程中,持续接收所述第二安全代理实时感知的至少一个安全风险维度的维度数据。
由于导致终端的安全风险涉及到多个方面,因此,可以导致终端的安全风险的各个方面作为相应的安全维度,各安全维度对应反应终端在各方面存在安全风险的维度数据,例如,操作方面的操作数据、基础安全方面的基础安全数据以及健康方面的健康状况数据等。终端在运行过程中,设置有对各操作方面、基础安全方面和健康方面进行监控的监控机制,将监控所得数据以某种形式,例如,日志数据存储于各种类型的数据库等数据存储单元。在需要对终端进行安全性评估时,第二安全代理可主动上报或者在SDP控制器的要求下,通过对上述数据存储单元进行的读取操作,SDP控制器持续接收到终端上安装的第二安全代理实时感知的至少一个安全维度的维度数据。
步骤S2032:将第二安全代理实时感知的至少一个安全风险维度中各安全风险维度的维度数据与预设向量数据对比,确定安全风险维度中各个维度数据的向量得分。
在本申请实施例中,为了对反映终端各方面安全风险的维度数据的风险性进行评估,可以预先设置有多个预设向量,每个预设向量为针对终端各方面安全风险所设定的参考标准。每个安全维度与多个预设向量对应,而每个预设向量对应多个向量数据,以通过多个向量数据反映某一安全风险维度在与此多个向量数据对应的预设向量上的风险程度。
在本申请一个实施例中,安全风险维度可以是用户操作维度,对应的预设向量数据可以是操作权限向量和操作内容向量,而将第二安全代理实时感知的至少一个安全风险维度的各安全风险维度的维度数据与预设向量数据对比,确定安全风险维度中各个维度数据的向量得分可以是:读取行为操作维度对应的操作数据,操作数据包括各操作账户以及与各操作账户对应的操作内容;根据操作权限向量的权限数据判断操作账户是否具有对该操作内容的操作权限,生成操作权限得分;根据操作内容向量的内容数据判断操作内容中是否存在风险因素,生成操作内容得分。
在本申请另一实施例中,安全风险维度可以是终端的基础安全维度,对应的预设向量数据可以是安全软件预设数量和运行状况,而将第二安全代理实时感知的至少一个安全风险维度的各安全风险维度的维度数据与预设向量数据对比,确定安全风险维度中各个维度数据的向量得分可以是:接收终端当前的安全软件信息,其中,安全软件信息包括终端当前安装的安全软件数量及其运行状况;根据安全软件预设数量,判断终端当前安装的安全软件数量是否达标,生成终端的安全软件数量得分;根据安全软件的运行状况,判断终端当前安装的安全软件是否运行良好,生成终端的安全软件运行状况得分。
在本申请另一实施例中,安全风险维度可以是终端的健康状况维度,对应的预设向量数据可以是业务风险度和对内网的安全威胁度,而将第二安全代理实时感知的至少一个安全风险维度的各安全风险维度的维度数据与预设向量数据对比,确定安全风险维度中各个维度数据的向量得分可以是:接收终端中当前环境下对内网的各种安全威胁事件以及可被利用的业务风险;根据业务风险度,判断终端中当前环境下可被利用的业务风险数量是否构成威胁,生成终端的业务风险得分;根据对内网的安全威胁度,判断终端中当前环境下对内网的各种安全威胁事件是否达到危险阈值,生成终端的内网风险得分。上述实施例中,终端中当前环境下对内网的各种安全威胁事件,典型地可以是可被突破到内网的安全威胁事件,包括终端已失陷(例如感染病毒、webshell等迹象)和/或正在遭受或已经发起非法攻击(例如暴力破解、扫描、漏洞利用攻击等),而可被利用的业务风险典型地可以是未修复的中高危漏洞、暴露的高危端口和/或运行不被允许的程序等。
步骤S2033:对安全风险维度中各个维度数据的向量得分进行整合,生成终端的整合得分。
在本申请实施例中,对安全风险维度中各个维度数据的向量得分进行整合的一种方式是根据实际应用场景的不同或者进行安全防护时的侧重点不同,对安全风险维度中各个维度数据赋予相应的权重,然后,将安全风险维度中各个维度数据的向量得分进行加权求和,求和结果作为终端的整合得分。
步骤S2034:根据预设的安全风险等级和终端的整合得分,评估终端的安全风险。
可以事先将预设的安全风险等级和终端的整合得分配置为一种对应关系,当经步骤S2033得到终端的整合得分后,根据事先配置的这种对应关系,可以得到当前终端的整合得分属于哪个风险等级,从而得到终端的安全风险的评估结果。
至于上述实施例的基于安全性评估实时调整业务系统访问请求的控制策略,其具体可以是:获取业务访问请求所请求访问的等级;若业务访问请求所请求访问为低敏度等级和/或终端存在安全风险的等级为低风险等级,则继续允许身份合法的发起者通过所述终端对可访问业务系统进行访问,并向身份合法的发起者发送警告信息;若业务访问请求所请求访问为中敏度等级和/或终端存在安全风险的等级为中风险等级,则降低身份合法的发起者对可访问业务系统的访问权限,并向身份合法的发起者发送警告信息;若业务访问请求所请求访问为高敏度等级和/或终端存在安全风险的等级为高风险等级,则阻断身份合法的发起者对高敏度等级业务的访问。上述实施例中,降低身份合法的发起者对可访问业务系统的访问权限可以是只能部分访问业务访问请求所请求的业务、只能以某种特定方式(例如,通过远程登录云桌面)访问业务访问请求所请求的业务,等等,而向业务访问请求的发起者发送警告信息包括警告发起者的身份非法、终端不合法和/或不安全等。
从上述图2示例的基于零信任的业务访问控制方法可知,一方面,本申请在实时对终端进行安全性评估是通过该终端已预装的第二安全代理进行,这意味着不会增加终端对应用户的成本;另一方面,对终端和业务访问请求的发起者进行合法性认证时,是通过部署于终端并基于零信任机制的第一安全代理,这意味着本申请的技术方案并不改变零信任的框架,后续终端对业务系统的访问仍然是在零信任的框架内进行,因此,对开发者而言,不会增加额外的成本;第三方面,SDP设备和终端已预装的第二安全代理的联动,对终端的安全进行持续感知和评估,即使后续在通过终端对业务系统进行访问时终端变得不再安全,亦可以及时检测出来,从而提升了对业务系统的安全防护能力。
为了进一步说明本申请的技术方案,图3给出了基于零信任的业务访问控制方法中涉及的终端、SDP控制器、SDP网关和可访问业务系统等实体之间的交互过程,主要包括步骤S301至步骤S314,说明如下:
步骤S301:向SDP控制器发送业务访问请求。
业务访问请求从终端发起,该终端可以是智能手机、平板电脑和个人电脑等能够通过网络访问业务系统的电子设备,这些终端可以通过其与SDP控制器之间的控制信道向SDP控制器发送业务访问请求。
步骤S302:进行安全合法性认证。
SDP控制器在收到业务访问请求后,开始对终端的安全合法进行评估以及业务访问请求的发起者的身份进行合法性认证,具体可以向终端的第一安全代理和/或第二安全代理(图中未示出)提认证请求。
步骤S303:读取环境安全数据。
终端的第一安全代理和/或第二安全代理在收到SDP控制器的认证请求后,从数据库等存储单元读取环境安全数据,其中包含的信息可参阅前述实施例的相关描述,此处不做赘述
需要说明的是,终端的第一安全代理和/或第二安全代理在收到SDP控制器的认证请求后,亦可以自身评估自身的安全性;评估结果可以连同环境安全数据一起发送给SDP控制器。
步骤S304:上报终端的设备标识和环境安全数据。
步骤S305:判断终端是否安全合法。
SDP控制器在收到终端的设备标识和环境安全数据后,根据这些设备标识和环境安全数据,判断该终端是否安全合法,具体判断方法可参阅前述实施例的相关说明。
步骤S306:对业务访问请求的发起者的身份进行合法性认证。
在本申请实施例中,对业务访问请求的发起者的身份进行合法性认证可以是前述实施例提及的认证方法,亦可以是现有的任何一种认证方法。
步骤S307:向SDP网关发送放行指令。
在确认终端安全合法并且业务访问请求的发起者身份合法之后,SDP控制器向SDP网关发送放行指令,允许身份合法的发起者通过终端对可访问业务系统进行访问。
步骤S’307:拒绝终端对可访问业务系统的访问。
当确认终端不安全和/或不合法,或者业务访问请求的发起者身份不合法时,拒绝终端对可访问业务系统的访问,流程截止于步骤S’307。
步骤S308:建立终端和可访问业务系统之间的安全通道。
在收到SDP控制器发送的放行指令后,SDP网关开始建立终端和可访问业务系统之间的安全通道,以便终端能够访问可访问业务系统的业务。
步骤S309:访问可访问业务系统的业务。
终端通过与可访问业务系统之间建立的安全通道,访问可访问业务系统的业务。
步骤S310:持续接收终端上预装的第二安全代理实时感知的至少一个安全风险维度的维度数据。
在发起者通过终端对业务系统进行访问过程中,SDP控制器持续接收终端上预装的第二安全代理实时感知的至少一个安全风险维度的维度数据。
步骤S311:确定安全风险维度中各个维度数据的向量得分。
SDP控制器通过将至少一个安全维度的各安全风险维度的维度数据与预设向量数据对比,确定安全风险维度中各个维度数据的向量得分。
步骤S312:对各向量得分进行整合,生成终端的整合得分。
步骤S313:评估终端的安全风险。
具体是根据预设的安全风险等级和整合得分,评估终端的安全风险。
步骤S314:基于安全性评估实时调整业务系统访问请求的控制策略。
当确认在通过终端对可访问业务系统进行访问过程中终端存在安全风险,SDP控制器基于安全性评估实时调整业务系统访问请求的控制策略。
与前述应用功能实现方法实施例相对应,本申请还提供了一种基于零信任的业务访问控制装置、电子设备及相应的实施例。
参见图4,是本申请实施例示出的业务系统的风险管控装置的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。图2示例的业务系统的风险管控装置可应用于SDP设备,该装置主要包括认证模块401、授权模块402和实时评估模块403,其中:
认证模块401,用于通过部署于终端并基于零信任机制的第一安全代理,以及对终端进行安全检查的第二安全代理,对终端和业务访问请求的发起者进行合法性认证;
授权模块402,用于若确认终端和业务访问请求的发起者通过合法性认证,则允许身份合法的发起者通过终端对可访问业务系统进行访问;
评估决策模块403,用于在通过终端对所述业务系统进行访问过程中,通过终端已预装的第二安全代理实时对终端进行安全性评估,并基于安全性评估实时调整业务系统访问请求的控制策略。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不再做详细阐述说明。
从上述图4示例的业务系统的风险管控装置可知,一方面,本申请在实时对终端进行安全性评估是通过该终端已预装的第二安全代理进行,这意味着不会增加终端对应用户的成本;另一方面,对终端和业务访问请求的发起者进行合法性认证时,是通过部署于终端并基于零信任机制的第一安全代理,这意味着本申请的技术方案并不改变零信任的框架,后续终端对业务系统的访问仍然是在零信任的框架内进行,因此,对开发者而言,不会增加额外的成本;第三方面,SDP设备和终端已预装的第二安全代理的联动,对终端的安全进行持续感知和评估,即使后续在通过终端对业务系统进行访问时终端变得不再安全,亦可以及时检测出来,从而提升了对业务系统的安全防护能力。
图5是本申请实施例示出的电子设备的结构示意图。
参见图5,电子设备500包括存储器510和处理器520。
处理器520可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器510可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM)和永久存储装置。其中,ROM可以存储处理器520或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器510可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(例如DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器510可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器510上存储有可执行代码,当可执行代码被处理器520处理时,可以使处理器520执行上文述及的方法中的部分或全部。
此外,根据本申请的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本申请的上述方法中部分或全部步骤的计算机程序代码指令。
或者,本申请还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质),其上存储有可执行代码(或计算机程序或计算机指令代码),当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时,使处理器执行根据本申请的上述方法的各个步骤的部分或全部。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。
Claims (11)
1.一种业务系统的风险管控方法,应用于软件定义边界SDP设备,其特征在于,所述方法包括:
通过部署于终端并基于零信任机制的第一安全代理对所述终端和业务访问请求的发起者进行合法性认证,以及通过已预装于所述终端的第二安全代理对所述终端进行安全检查;
若所述终端和业务访问请求的发起者通过合法性认证,则允许所述身份合法的发起者通过所述终端对可访问业务系统进行访问;
在通过所述终端对所述业务系统进行访问过程中,通过所述第二安全代理实时对所述终端进行安全性评估,并基于所述安全性评估实时调整业务系统访问请求的控制策略。
2.根据权利要求1所述的业务系统的风险管控方法,其特征在于,所述通过部署于终端并基于零信任机制的第一安全代理对所述终端和业务访问请求的发起者进行合法性认证,以及通过已预装于所述终端的第二安全代理对所述终端进行安全检查,包括:
接收所述第一安全代理发送的环境安全数据,所述环境安全数据包括所述第一安全代理对所述终端的环境所感知的信息;
接收所述第二安全代理发送的终端是否存在安全风险的指示信息;
根据所述环境安全数据以及所述指示信息,判断所述终端是否安全合法;
若确定所述终端安全合法,则通过所述第一安全代理对所述发起者的身份进行合法性认证。
3.根据权利要求1所述的业务系统的风险管控方法,其特征在于,所述在通过所述终端对所述业务系统进行访问过程中,通过所述第二安全代理实时对所述终端进行安全性评估,并基于所述安全性评估实时调整业务系统访问请求的控制策略,包括:
在通过所述终端对所述可访问业务系统进行访问过程中,持续接收所述第二安全代理实时感知的至少一个安全风险维度的维度数据;
将所述至少一个安全维度的各安全风险维度的维度数据与预设向量数据对比,确定所述安全风险维度中各个维度数据的向量得分;
对各所述向量得分进行整合,生成所述终端的整合得分;
根据预设的安全风险等级和所述整合得分,评估所述终端的安全风险。
4.根据权利要求3所述的业务系统的风险管控方法,其特征在于,所述安全风险维度包括用户操作维度,所述预设向量数据包括操作权限向量和操作内容向量,所述将所述至少一个安全风险维度的各安全风险维度的维度数据与预设向量数据对比,确定所述安全风险维度中各个维度数据的向量得分,包括:
读取所述用户操作维度对应的操作数据,所述操作数据包括各操作账户以及与各所述操作账户对应的操作内容;
根据所述操作权限向量的权限数据判断所述操作账户是否具有对所述操作内容的操作权限,生成操作权限得分;
根据所述操作内容向量的内容数据判断所述操作内容中是否存在风险因素,生成操作内容得分。
5.根据权利要求3所述的业务系统的风险管控方法,其特征在于,所述安全风险维度包括所述终端的基础安全维度,所述预设向量数据包括安全软件预设数量和运行状况,所述将所述至少一个安全风险维度的各安全风险维度的维度数据与预设向量数据对比,确定所述安全风险维度中各个维度数据的向量得分,包括:
接收终端当前的安全软件信息,所述安全软件信息包括所述终端当前安装的安全软件数量及其运行状况;
根据所述安全软件预设数量,判断所述终端当前安装的安全软件数量是否达标,生成所述终端的安全软件数量得分;
根据所述安全软件的运行状况,判断所述终端当前安装的安全软件是否运行良好,生成所述终端的安全软件运行状况得分。
6.根据权利要求3所述的业务系统的风险管控方法,其特征在于,所述安全风险维度包括所述终端的健康状况维度,所述预设向量数据包括业务风险度和对内网的安全威胁度,所述将所述至少一个安全风险维度的各安全维度的维度数据与预设向量数据对比,确定所述安全风险维度中各个维度数据的向量得分,包括:
接收所述终端中当前环境下对内网的各种安全威胁事件以及可被利用的业务风险;
根据所述业务风险度,判断所述终端中当前环境下可被利用的业务风险数量是否构成威胁,生成所述终端的业务风险得分;
根据所述对内网的安全威胁度,判断所述终端中当前环境下对内网的各种安全威胁事件是否达到危险阈值,生成所述终端的内网风险得分。
7.根据权利要求1至6任意一项所述的业务系统的风险管控方法,其特征在于,所述SDP设备与第二安全代理的数据通信通过所述第二安全代理的管理端Manger实现。
8.根据权利要求1至6任意一项所述的业务系统的风险管控方法,其特征在于,所述基于所述安全性评估实时调整业务系统访问请求的控制策略,包括:
获取所述业务访问请求所请求访问的等级;
若所述业务访问请求所请求访问为低敏度等级和/或所述终端存在安全风险的等级为低风险等级,则继续允许所述身份合法的发起者通过所述终端对所述可访问业务系统进行访问,并向所述身份合法的发起者发送警告信息;
若所述业务访问请求所请求访问为中敏度等级和/或所述终端存在安全风险的等级为中风险等级,则降低所述身份合法的发起者对所述可访问业务系统的访问权限,并向所述身份合法的发起者发送警告信息;
若所述业务访问请求所请求访问为高敏度等级和/或所述终端存在安全风险的等级为高风险等级,则阻断所述身份合法的发起者对所述高敏度等级业务的访问。
9.一种业务系统的风险管控装置,应用于软件定义边界SDP设备,其特征在于,所述装置包括:
认证模块,用于通过部署于终端并基于零信任机制的第一安全代理对所述终端和业务访问请求的发起者进行合法性认证,以及通过已预装于所述终端的第二安全代理对所述终端进行安全检查;
授权模块,用于若确认所述终端和所述业务访问请求的发起者通过合法性认证,则允许所述身份合法的发起者通过所述终端对所述可访问业务系统进行访问;
评估决策模块,用于在通过所述终端对所述业务系统进行访问过程中,通过所述第二安全代理实时对所述终端进行安全性评估,并基于所述安全性评估实时调整业务系统访问请求的控制策略。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至8中任意一项所述的方法。
11.一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至8中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111431553.9A CN114065162A (zh) | 2021-11-29 | 2021-11-29 | 业务系统的风险管控方法、装置和计算可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111431553.9A CN114065162A (zh) | 2021-11-29 | 2021-11-29 | 业务系统的风险管控方法、装置和计算可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114065162A true CN114065162A (zh) | 2022-02-18 |
Family
ID=80277060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111431553.9A Pending CN114065162A (zh) | 2021-11-29 | 2021-11-29 | 业务系统的风险管控方法、装置和计算可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114065162A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629692A (zh) * | 2022-02-25 | 2022-06-14 | 国家电网有限公司 | 一种基于sdp的电力物联网的访问认证方法及系统 |
| CN114760118A (zh) * | 2022-04-01 | 2022-07-15 | 广西壮族自治区数字证书认证中心有限公司 | 一种零信任架构中具有隐私保护的信任评估方法 |
| CN116578994A (zh) * | 2023-06-29 | 2023-08-11 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
| WO2023159994A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种运维处理方法和终端设备 |
-
2021
- 2021-11-29 CN CN202111431553.9A patent/CN114065162A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629692A (zh) * | 2022-02-25 | 2022-06-14 | 国家电网有限公司 | 一种基于sdp的电力物联网的访问认证方法及系统 |
| WO2023159994A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种运维处理方法和终端设备 |
| CN114760118A (zh) * | 2022-04-01 | 2022-07-15 | 广西壮族自治区数字证书认证中心有限公司 | 一种零信任架构中具有隐私保护的信任评估方法 |
| CN114760118B (zh) * | 2022-04-01 | 2023-01-31 | 广西壮族自治区数字证书认证中心有限公司 | 一种零信任架构中具有隐私保护的信任评估方法 |
| CN116578994A (zh) * | 2023-06-29 | 2023-08-11 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
| CN116578994B (zh) * | 2023-06-29 | 2023-10-03 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10264001B2 (en) | Method and system for network resource attack detection using a client identifier | |
| CN114065162A (zh) | 业务系统的风险管控方法、装置和计算可读存储介质 | |
| US20170034183A1 (en) | Method and system for user authentication | |
| US8266683B2 (en) | Automated security privilege setting for remote system users | |
| JP6574168B2 (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
| US20140281539A1 (en) | Secure Mobile Framework With Operating System Integrity Checking | |
| CN110690972B (zh) | 令牌认证方法、装置、电子设备及存储介质 | |
| US8931056B2 (en) | Establishing privileges through claims of valuable assets | |
| CN109257391A (zh) | 一种访问权限开放方法、装置、服务器及存储介质 | |
| US9275228B2 (en) | Protecting multi-factor authentication | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及系统 | |
| WO2014047147A1 (en) | Certifying server side web applications against security vulnerabilities | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制系统 | |
| WO2015187716A1 (en) | Secure mobile framework with operating system integrity checking | |
| CN116545650B (zh) | 一种网络动态防御方法 | |
| US10834074B2 (en) | Phishing attack prevention for OAuth applications | |
| CN113672897A (zh) | 数据通信方法、装置、电子设备及存储介质 | |
| CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN109639695A (zh) | 基于互信架构的动态身份认证方法、电子设备及存储介质 | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
| CN110784395A (zh) | 一种基于fido认证的邮件安全登录方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |