CN114157457A

CN114157457A - 一种网络数据信息安全用的权限申请及监控方法

Info

Publication number: CN114157457A
Application number: CN202111367732.0A
Authority: CN
Inventors: 陈锋; 农彩勤; 周磊; 冯国聪; 胡健; 邹洪
Original assignee: Southern Power Grid Digital Grid Research Institute Co Ltd
Current assignee: Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date: 2021-11-17
Filing date: 2021-11-17
Publication date: 2022-03-08

Abstract

本发明属于网络安全技术领域，且公开了一种网络数据信息安全用的权限申请及监控方法，包括有数据安全网关，该网络数据信息安全用的权限申请及监控方法，具体操作步骤如下：S1、与系统相关人员通过信息登记成为申请人员，随后申请人员通过初步验证进入到访问深度分级装置。本发明主要就是通过增加审核流程来完成信息安全的保护，将数据信息根据重要程度划分为三大部分，随后经过访问深度分级装置结合多次的审核手段来确定申请人员可获得哪一级权限账号，同时申请人异常操作时，该部分设备会触发报警工作，随后统一管理层能够及时做出反应，快速的利用系统特权完成申请人账号冻结，保证数据信息无发现漏，从而确保整体信息的安全。

Description

一种网络数据信息安全用的权限申请及监控方法

技术领域

本发明属于网络安全技术领域，具体是一种网络数据信息安全用的权限申请及监控方法。

背景技术

当前，世界各国信息化快速发展，信息技术的应用促进了全球资源的优化配置和发展模式的创新，互联网对政治、经济、社会和文化的影响更加深刻，信息化渗透到国民生活的各个领域，网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢，围绕信息获取、利用和控制的国际竞争日趋激烈，保障数据安全成为各国重要议题；随着互联网技术的快速扩展与大量应用，以往的社会风险中很大一部分开始进入到网络之中，网络攻击从最初的自发式、分散式的攻击转向专业化的有组织行为，呈现出攻击工具专业化、目的商业化、行为组织化的特点，因此数据安全已从数据本身的存储与处理安全为重转向为数据本身的安全与数据防互的安全并重。

网络数据的安全与保护整体环节非常之多，没有办法做到百分之百的安全，因此常常需要定期进行打补丁处理，但是信息数据的获取也分为先后，其中登录权限申请就是该部分的重中之重，登录权限的申请就类似于申请钥匙，保证其能够顺利的进入到其中，权限申请是信息安全保护中最为重要的一部分，因此需要大力加强该部分审核与处理，避免权限申请的错误通过，从而造成信息数据的泄露丢失。

为了解决上述问题，本申请提出了一种网络数据信息安全用的权限申请及监控方法。

发明内容

本发明的目的是针对以上问题，本发明提供了一种网络数据信息安全用的权限申请及监控方法，解决背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种网络数据信息安全用的权限申请及监控方法，包括有数据安全网关，该网络数据信息安全用的权限申请及监控方法，具体操作步骤如下：

S1、与系统相关人员通过信息登记成为申请人员，随后申请人员通过初步验证进入到访问深度分级装置；

S2、申请人员根据自己的需求在该区域选择申请不同权限能力账号；

S3、若选择初等权限账号，该部分无需二次审核，直接领取账号对应进入到低权限数据网络部分访问即可；若选择中等权限账号，此时需要经过初级审核，在确保申请程序符合要求时获取中等权限账号；若选择高等权限账号时，此时需要经过初级审核与高级审核，在确保申请程序符合要求时获取高等权限账号；

S4、在申请中等权限账号与高等权限账号时，若出现异常操作则触发异常报警系统，直接将异常信息反馈到统一管理层分析处理；

S5、在获取初等权限账号、中等权限账号与高等权限账号后，在进行数据访问时，全程均会进行操作风险检测，若无意外风险则正常使用，若出现异常风险，则是立刻冻结账号、将该信息情况上报异常操作报警系统，随后递交统一管理层分发处理；

本申请主要解决的目的就是网络数据安全中关于权限申请与监控的方法，权限申请意味着进入账号的获取，账号等级越高、权限开放越大，操作人员就能够看到更多重要的信息数据，为了保证信息数据的安全，因此在进行权限申请过程中需要多次审核处理，避免出现不法分子窃取重要信息，即使属于合法操作，具体的操作步骤与浏览记录均需要实时被监控，避免出现信息从内部泄露的情况，本申请主要解决的就是上述的权限申请与监控步骤。

作为本发明的一种优选技术方案，数据安全网关包括有统一管理层、审计管理层、授权管理层、访问管理层与身份及应用管理层，上述五个层级之间均通过无线数据网络互联沟通，数据安全网关以安全可信接入为目标，为大数据平台相关组件及分布式数据库系统提供精细化的访问控制能力，对用户及应用接入进行精细化准入控制及多样化的访问控制措施，可有效保障大数据平台的数据安全。

作为本发明的一种优选技术方案，统一管理层包括有用户管理、策略管理、报表管理与订阅与告警；审计管理层包括有登录事件、访问事件、审计回溯与高级搜索；授权管理层包括有自主授权管理、强制授权管理、角色授权管理；访问控制层包括有行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制；身份及应用管理层包括有账号身份准入、防撞库检测、应用接入管控。

作为本发明的一种优选技术方案，S1步骤中初步验证具体指代的指纹识别、人脸验证与密码验证，经过初步验证才能进入到访问深度分级装置且能够直接获得初等权限账号，经过常规的信息数据登记，对应人员获得操作资格，此时就相当于是做第一次记录，此次获悉的基本上就是该人员的个人数据信息，例如：工作情况、联系方式与进行操作目的等；接下来的初步验证则是直接关系到数据信息的安全，所以就需要进一步采集人员的身体信息，进一步确定与完善好人员的信息，既能够避免意外情况的发生，同时也能够为后续意外情况发生做应急准备。

作为本发明的一种优选技术方案，操作风险检测具体指代的是访问控制层对应的行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制，该操作风险检测系统还外接有报警灯等硬件设备，该部分主要就是应对申请人员在获取账号后具体操作情况的监测与约束，例如申请人员对内部具体数据进行强制修改与删除，或者是对其进行外部设备的对接，进行内部信息数据的拷贝与传输，此时访问控制层与统一管理层会快速的得知该情况，并且根据系统中设定的强制授权管理原则，快速的完成对应人员账号的冻结处理，能够最大程度上规避风险的发生，减少数据信息的泄漏。

作为本发明的一种优选技术方案，S1与S2操作步骤包括在授权管理层与身份及应用管理层；S3、S4、S5操作步骤则是包括在审计管理层与访问控制层，数据安全网关中的统一管理层独立设置且其与审计管理层、授权管理层、访问管理层与身份及应用管理层存在直接联系，整个数据平台及其具体的操作环境与步骤均被囊括在数据安全网关架构之中，整体的信息访问数据存放在特定的区域，一方面整体占用空间大，减少对操作系统内存的影响，保证其操作的相对流畅与运行稳定，同时将其与操作系统进行一定得分离，能够在数据泄漏的情况下快速的完成二者之间的联系阻断，也算是最后一道针对数据信息的保护。

作为本发明的一种优选技术方案，S4步骤中申请人员获取到权限账号后进行数据访问，在此过程中将会被全程监控并且操作步骤会被进行操作记录，且该监控情况与操作步骤会实时发送到统一管理层，一旦获取账号可以进入到内部进行信息数据的访问，此时就算是正式进入到监控区域，不仅是常规的摄像头监控人员移动，同时具体的网络操作与页面浏览均会被实时记录，保证操作的公开透明，最大程度上避免申请人员的恶意操作，防止出现数据泄漏与损坏。

与现有技术相比，本发明的有益效果如下：

本发明主要就是通过增加审核流程来完成信息安全的保护，将数据信息根据重要程度划分为三大部分，随后经过访问深度分级装置结合多次的审核手段来确定申请人员可获得哪一级权限账号，这样的话申请人具备什么样的申请条件就只能够看到对应内容，避免了数据信息的大面积开放，同时增设的异常操作报警系统能够将申请人的操作记录与页面浏览记录均做实时记载(该部分通过系统监控申请人的操作步骤、同时配合上监控摄像头装置也能够了解其人员动向)，同时申请人异常操作时，该部分设备会触发报警工作，并且在第一时间将该情况传递给统一管理层，随后统一管理层能够及时做出反应，快速的利用系统特权完成申请人账号冻结，保证数据信息无发现漏，从而确保整体信息的安全。

附图说明

图1为本发明整体操作方法流程简图；

图2为本发明整体操作架构的组成示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1至图2所示，本发明提供一种网络数据信息安全用的权限申请及监控方法，包括有数据安全网关，该网络数据信息安全用的权限申请及监控方法，具体操作步骤如下：

S5、在获取初等权限账号、中等权限账号与高等权限账号后，在进行数据访问时，全程均会进行操作风险检测，若无意外风险则正常使用，若出现异常风险，则是立刻冻结账号、将该信息情况上报异常操作报警系统，随后递交统一管理层分发处理，其中高等权限账号覆盖数据范围大于中等权限账号数据覆盖范围大于初等权限账号数据覆盖范围；

其中，数据安全网关包括有统一管理层、审计管理层、授权管理层、访问管理层与身份及应用管理层，上述五个层级之间均通过无线数据网络互联沟通，数据安全网关以安全可信接入为目标，为大数据平台相关组件及分布式数据库系统提供精细化的访问控制能力，对用户及应用接入进行精细化准入控制及多样化的访问控制措施，可有效保障大数据平台的数据安全。

其中，统一管理层包括有用户管理、策略管理、报表管理与订阅与告警；审计管理层包括有登录事件、访问事件、审计回溯与高级搜索；授权管理层包括有自主授权管理、强制授权管理、角色授权管理；访问控制层包括有行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制；身份及应用管理层包括有账号身份准入、防撞库检测、应用接入管控；

身份及应用管理层中账号身份准入：支持多维账号身份准入管理，防止单因子认证(账号口令)带来的接入安全风险。多维账号身份准入管理包括应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾等因素进行任意组合，并可以组合形成新的登陆认证规则；根据多维身份情况可对身份名称、身份描述进行定义，同时通过该身份还可以了解其访问控制视图，包括该身份应对的规则详情、登录控制、危险控制、访问控制、系统权限和角色权限等属性。

身份及应用管理层中防撞库检测：检测和审计密码猜测等试图恶意登陆大数据平台组件或数据库的行为，通过设置密码猜测次数限制进行防护，黑客登陆次数达到密码猜测限制后，数据安全网关第一时间锁定猜测终端，阻断其攻击行为，并及时通过告警通知安全管理员。

身份及应用管理层中应用接入管控：通过实时监测内网中需要连接大数据平台的相关应用运行情况，识别应用违规接入行为并进行拦截和告警，防止违规应用下载敏感数据，新增数据库表等操作类型；支持检测接入应用的IP、进程名、连接账号、访问权限等进行识别和接入控制，满足应用接入安全管控需求。

访问控制层中行数访问控制：通过访问流量的协议解析，包含数据请求、返回数据解析、跨语句、跨多包的绑定变量名及绑定变量值的解析，限制应用和用户对基于敏感表格访问的返回行控制技术；提供对大量返回行或更新行事件做出告警，如行数访问超过1000行即产生告警，同时标注风险等级，以及完善的审计事件。

访问控制层中访问频次控制：通过访问流量的协议解析，包含数据请求、返回数据解析、跨语句、跨多包的绑定变量名及绑定变量值的解析，控制应用和用户对访问敏感数据的频次进行限制；提供对大量返回行或更新行事件做出告警，如针对某个库/表/列等敏感数据访问超过100次即产生告警，同时标注风险等级，以及完善的审计事件。

访问控制层中角色访问控制：提供基于角色的访问控制技术措施，通过定义不同的角色，不同的角色可纳入不同的用户身份、可访问的目标、操作类型(如查询、更新、删除、插入等)等信息，实现基于角色的访问控制；基于角色的访问控制(RBAC)是有效性的实现大数据平台访问控制的一种方法；对大数据平台的各种操作权限不是直接授予具体的用户，而是通过在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限，一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。

访问控制层中属性访问控制：基于属性的访问控制主要是通过用户、资源(目标)、操作和环境来实现的，用户在携带自身的属性值包括主题属性，资源属性，环境属性，然后向资源发送请求，授权引擎根据主题所携带的属性进行判断，给出拒绝或者同意，继而根据判断结果访问资源；通过定义用户的属性(如信任标签)、资源属性(业务数据或公共数据)、工作区域属性(终端或应用)、权限属性(增删查改)等一系列定义，满足基于属性的访问控制需求。

访问控制层中列级访问控制：列级访问控制是为了应对不同应用或用户访问数据资源时需要精细化到列级别的细粒度控制而衍生的控制措施，如应用A只可以访问第一列和第三列，账号a只可以访问第二列和第四列等；支持数据集合定义，如前三列为数据集合A，后三列为数据集合B，数据集合的定义可以简化授权管理的工作。

访问控制层中危险操作控制：对危险性操作如drop、truncate、delete、赋权等操作提前进行安全控制，禁用此类高危操作，无授权应用和用户无法执行；当运维管理人员必须进行某些危险性操作或者需要访问敏感数据时，可提交临时授权工单，由安全管理员进行逐级审批后方可进行操作。

授权管理层中自主授权管理：自主授权管理是安全管理人员根据自身数据资产的安全性以及目标(组件、库、表、列等)，再根据允许访问的用户和应用自主进行授权管理。

授权管理层中强制授权管理：强制授权管理是根据预定好的访问规则基线，控制应用和账号的操作类型，如高风险操作drop、truncate、delete、赋权等操作所有应用和用户均无法执行等。

授权管理层中角色授权管理：根据已定义的角色访问控制措施进行角色赋权；通过角色授权管理，可以有效性减少大数据平台各种组件和数据库在分配操作权限时，无需在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，因角色的权限变更比用户的权限变更要少得多，既可以简化用户权限管理，又可以减少系统开销。

审计管理层中登录事件：登录事件可以快速分析合法及违规登录的应用及用户行为；展示规则名称、数据库名/实例、主机名、用户、登录时间、退出时间、应用程序、主机名、ip地址、物理地址、操作系统用户、响应行为、审计级别等记录；支持基于上述因子进行快速搜索，搜索条件可保存为默认规则。

审计管理层中访问事件：访问事件主要用于登录后的访问记录，如用户登录后，对哪些组件、库进行了查询、修改操作等进行详细记录，包括其访问事件、源IP、账号、服务端IP、操作类型、操作指令等。

审计管理层中审计回溯：审计回溯是在登录事件或者访问事件发生违规时，可以根据整体的事件记录回溯情况，追踪整个访问会话的所有记录，从用户的登录，到操作的整个过程(如查询、删除、修改等操作)进行整体回溯，可以快速对违规行为的用户进行溯源。

审计管理层中高级搜索：支持以搜索引擎条的方式进行搜索，提供类似于百度，谷歌的搜索方式；提供高级搜索，进行精确匹配搜索。

统一管理层中用户管理：支持对网关管理用户实施分权限管理，可设定安全审计员角色(对操作行为进行审计)、安全保密员角色(用户管理、安全策略管理、审计分析等)、系统管理员角色(负责网关系统运维等)。

统一管理层中策略管理：主要是对数据安全网关自身进行管理，保护日志保留策略、时间域设置、邮件服务设置、短信服务设置、SNMP协议设置、syslog服务等设置。

统一管理层中报表管理：报表管理模块为数据安全网关自身审计模块，主要实现报表发布及报表数据查看；报表包括预定义报表(登录事件报表、访问事件报表、综合性报表等)、自定义报表等，用户可以根据需要生成相应的报表；报表生成颗粒度可支持月报、周报、日报以及及时运行。

统一管理层中订阅与告警：安全管理员可根据需要的告警事件进行规则自定义，包括新终端/账号/应用登录事件规则、危险操作规则、违规访问规则等等，支持规则自定义；安全管理员对需要的告警事件进行订阅，实时或周期性的发布到指定的目标。订阅目标可包含：首页订阅、邮件订阅、短信订阅等；支持不同的告警事件订阅到不同的管理用户。

其中，S1步骤中初步验证具体指代的指纹识别、人脸验证与密码验证，经过初步验证才能进入到访问深度分级装置且能够直接获得初等权限账号，经过常规的信息数据登记，对应人员获得操作资格，此时就相当于是做第一次记录，此次获悉的基本上就是该人员的个人数据信息，例如：工作情况、联系方式与进行操作目的等；接下来的初步验证则是直接关系到数据信息的安全，所以就需要进一步采集人员的身体信息，进一步确定与完善好人员的信息，既能够避免意外情况的发生，同时也能够为后续意外情况发生做应急准备。

其中，操作风险检测具体指代的是访问控制层对应的行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制，该操作风险检测系统还外接有报警灯等硬件设备，该部分主要就是应对申请人员在获取账号后具体操作情况的监测与约束，例如申请人员对内部具体数据进行强制修改与删除，或者是对其进行外部设备的对接，进行内部信息数据的拷贝与传输，此时访问控制层与统一管理层会快速的得知该情况，并且根据系统中设定的强制授权管理原则，快速的完成对应人员账号的冻结处理，能够最大程度上规避风险的发生，减少数据信息的泄漏。

其中，S1与S2操作步骤包括在授权管理层与身份及应用管理层；S3、S4、S5操作步骤则是包括在审计管理层与访问控制层，数据安全网关中的统一管理层独立设置且其与审计管理层、授权管理层、访问管理层与身份及应用管理层存在直接联系，整个数据平台及其具体的操作环境与步骤均被囊括在数据安全网关架构之中，整体的信息访问数据存放在特定的区域，一方面整体占用空间大，减少对操作系统内存的影响，保证其操作的相对流畅与运行稳定，同时将其与操作系统进行一定得分离，能够在数据泄漏的情况下快速的完成二者之间的联系阻断，也算是最后一道针对数据信息的保护。

其中，S4步骤中申请人员获取到权限账号后进行数据访问，在此过程中将会被全程监控并且操作步骤会被进行操作记录，且该监控情况与操作步骤会实时发送到统一管理层，一旦获取账号可以进入到内部进行信息数据的访问，此时就算是正式进入到监控区域，不仅是常规的摄像头监控人员移动，同时具体的网络操作与页面浏览均会被实时记录，保证操作的公开透明，最大程度上避免申请人员的恶意操作，防止出现数据泄漏与损坏。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种网络数据信息安全用的权限申请及监控方法，包括有数据安全网关，其特征在于：该网络数据信息安全用的权限申请及监控方法，具体操作步骤如下：

S5、在获取初等权限账号、中等权限账号与高等权限账号后，在进行数据访问时，全程均会进行操作风险检测，若无意外风险则正常使用，若出现异常风险，则是立刻冻结账号、将该信息情况上报异常操作报警系统，随后递交统一管理层分发处理。

2.根据权利要求1的一种网络数据信息安全用的权限申请及监控方法，其特征在于：数据安全网关包括有统一管理层、审计管理层、授权管理层、访问管理层与身份及应用管理层，上述五个层级之间均通过无线数据网络互联沟通。

3.根据权利要求2的一种网络数据信息安全用的权限申请及监控方法，其特征在于：统一管理层包括有用户管理、策略管理、报表管理与订阅与告警；审计管理层包括有登录事件、访问事件、审计回溯与高级搜索；授权管理层包括有自主授权管理、强制授权管理、角色授权管理；访问控制层包括有行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制；身份及应用管理层包括有账号身份准入、防撞库检测、应用接入管控。

4.根据权利要求1的一种网络数据信息安全用的权限申请及监控方法，其特征在于：S1步骤中初步验证具体指代的指纹识别、人脸验证与密码验证，经过初步验证才能进入到访问深度分级装置且能够直接获得初等权限账号。

5.根据权利要求1的一种网络数据信息安全用的权限申请及监控方法，其特征在于：操作风险检测具体指代的是访问控制层对应的行数访问控制、属性访问控制、访问频次控制、列级访问控制、角色访问控制与危险操作控制，该操作风险检测系统还外接有报警灯等硬件设备。

6.根据权利要求1的一种网络数据信息安全用的权限申请及监控方法，其特征在于：S1与S2操作步骤包括在授权管理层与身份及应用管理层；S3、S4、S5操作步骤则是包括在审计管理层与访问控制层，数据安全网关中的统一管理层独立设置且其与审计管理层、授权管理层、访问管理层与身份及应用管理层存在直接联系。

7.根据权利要求1的一种网络数据信息安全用的权限申请及监控方法，其特征在于：S4步骤中申请人员获取到权限账号后进行数据访问，在此过程中将会被全程监控并且操作步骤会被进行操作记录，且该监控情况与操作步骤会实时发送到统一管理层。