CN114417336A - 一种应用系统侧安全管控方法及系统 - Google Patents
一种应用系统侧安全管控方法及系统 Download PDFInfo
- Publication number
- CN114417336A CN114417336A CN202210081867.9A CN202210081867A CN114417336A CN 114417336 A CN114417336 A CN 114417336A CN 202210081867 A CN202210081867 A CN 202210081867A CN 114417336 A CN114417336 A CN 114417336A
- Authority
- CN
- China
- Prior art keywords
- instruction
- application
- white list
- level white
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
一种应用系统侧安全管控方法及系统,接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;当全部大区/省份审核结束且全部或部分审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。本发明从应用系统侧进行安全把控,确保指令调用的可靠性,加强数据安全性,减少指令下发风险。
Description
技术领域
本发明涉及一种应用系统侧安全管控方法及系统,属于数据安全技术领域。
背景技术
随着物联网技术的发展,现有技术公开了诸多关于物联网设备和指令处理方案,如CN202011326248.9公开的物联网指令的下发方法、装置和电子设备中,安全认证比较复杂,繁琐,下发指令过程比较复杂,没有采用安全管控措施。又如CN201710210112.3公开的物联网设备绑定方法、终端和物联网设备中,CN202110362025.6公开的一种用于密码设备的用户状态管理系统及方法中,用户管理均没有采用层层安全措施。
现阶段,网管网元没有安全保障,指令服务器、数据库服务器应用系统等没有具备层层把控的安全措施,数据安全下发缺少等级策略设置。由于物联网设备种类多种多样,缺乏有效的专业类别细化,管理上需要配备不同的人员,需要执行成千上万的指令,指令的安全性难以把控。如何从应用系统侧提高访问的安全性是一个亟待解决的技术问题。
发明内容
为此,本发明提供一种应用系统侧安全管控方法及系统,解决业务处理过程中应用系统侧缺少安全控制措施,安全风险高的问题。
为了实现上述目的,本发明提供如下技术方案:一种应用系统侧安全管控方法,包括以下步骤:
接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;
若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
作为应用系统侧安全管控方法的优选方案,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
作为应用系统侧安全管控方法的优选方案,若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;
若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;
若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
作为应用系统侧安全管控方法的优选方案,在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
作为应用系统侧安全管控方法的优选方案,当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;
若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;
若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;
若不开启网元级白名单,则下放并执行调用指令。
作为应用系统侧安全管控方法的优选方案,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
本发明还提供一种应用系统侧安全管控系统,包括:
接入申请单元,用于接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
接入同步单元,用于将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
接入审核单元,用于审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
第一处理单元,用于当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
作为应用系统侧安全管控系统的优选方案,第一处理单元中,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
作为应用系统侧安全管控系统的优选方案,还包括第二处理单元,用于若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
作为应用系统侧安全管控系统的优选方案,还包括待办生成单元,用于在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
作为应用系统侧安全管控系统的优选方案,还包括指令处理单元,用于当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;若不开启网元级白名单,则下放并执行调用指令;
指令处理单元中,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
本发明具有如下优点:接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。本发明从应用系统侧进行安全把控,确保指令调用的可靠性,加强了企业数据的安全性,减少了指令下发的风险。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例中提供的应用系统侧安全管控方法技术路线示意图;
图2为本发明实施例中提供的应用系统侧安全管控方法中调用指令处理示意图;
图3为本发明实施例中提供的应用系统侧安全管控系统示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1,本发明实施例1提供一种应用系统侧安全管控方法,包括以下步骤:
S1、接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
S2、将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
S3、审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
S4、当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;
S5、若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
S6、对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
本实施例中,步骤S5中,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
本实施例中,步骤S3中,若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;
若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;
若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
本实施例中,在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
具体的,应用系统的系统用户根据实际需求申请接入的基本信息、访问设备范围以及指令;应用系统用户同步给指令平台运营人员,运营人员配置应用系统基本信息、访问的设备范围以及指令,运营人员根据需求在同一组织架构下,增加应用系统指令白名单或者在设备管理增加网元白名单,运营人员增加用户,授权数据权限以及操作菜单权限处理待办。
具体的,集团云网用户审核应用系统访问权限及指令,若审核通过,大区/省份进行审核,若审核通过,配置网元级白名单,所有大区/身都审核结束;当全部通过或者部分大区/身通过,申请的指令添加至集团级白名单,如果全部或者部分指令通过,则添加应用级白名单。
具体的,申请接入的基本信息、访问设备范围以及指令主要包括:
访问时间控制,配置访问允许时间,非允许时间段的请求拒绝服务;访问数量控制,为应用系统访问配置限额,超出限额,拒绝服务;应用系统熔断控制,应用系统访问并发请求限额,超出限额,拒绝服务;北向接口熔断控制,北向接口配置并发请求限额,超过限额部分,拒绝服务;应用系统异常控制,频繁访问黑名单指令、非白名单指令,视为异常行为,拒绝应用系统的所有请求;指令配额控制,指令可调用最大次数,可配无限制或配500次/天,配额单位为天。对非核心的应用限制调用次数,以保障核心应用的服务请求。
参见图2,本实施例中,当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;
若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;
若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;
若不开启网元级白名单,则下放并执行调用指令。
本实施例中,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
综上所述,本发明通过接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。本发明从应用系统侧进行安全把控,确保指令调用的可靠性,加强了企业数据的安全性,减少了指令下发的风险。
实施例2
参见图3,本发明实施例2还提供一种应用系统侧安全管控系统,包括:
接入申请单元1,用于接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
接入同步单元2,用于将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
接入审核单元3,用于审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
第一处理单元4,用于当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
本实施例中,第一处理单元4中,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
本实施例中,还包括第二处理单元5,用于若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
本实施例中,还包括待办生成单元6,用于在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
本实施例中,还包括指令处理单元7,用于当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;若不开启网元级白名单,则下放并执行调用指令;
指令处理单元7中,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
需要说明的是,上述系统各模块/单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有应用系统侧安全管控方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的应用系统侧安全管控方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的应用系统侧安全管控方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种应用系统侧安全管控方法,其特征在于,包括以下步骤:
接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;
若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
2.根据权利要求1所述的一种应用系统侧安全管控方法,其特征在于,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
3.根据权利要求1所述的一种应用系统侧安全管控方法,其特征在于,若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;
若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;
对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;
若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
4.根据权利要求1所述的一种应用系统侧安全管控方法,其特征在于,在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
5.根据权利要求1所述的一种应用系统侧安全管控方法,其特征在于,当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;
若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;
若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;
若不开启网元级白名单,则下放并执行调用指令。
6.根据权利要求5所述的一种应用系统侧安全管控方法,其特征在于,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
7.一种应用系统侧安全管控系统,其特征在于,包括:
接入申请单元,用于接收应用系统用户根据需求申请接入的基本信息、访问设备范围及指令;
接入同步单元,用于将申请接入的基本信息、访问设备范围及指令同步到指令平台,配置应用系统基本信息、访问的设备范围以及指令;
接入审核单元,用于审核应用系统访问权限及指令,若审核通过,判断是否进行大区/省份审核;若进行大区/省审核通过,配置网元级白名单;
第一处理单元,用于当全部大区/省份审核结束,且全部或部分大区/省份审核通过,判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单。
8.根据权利要求7所述的一种应用系统侧安全管控系统,其特征在于,第一处理单元中,若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单;
还包括第二处理单元,用于若不进行大区/省审核,直接判断应用申请的指令是否多于集团级白名单;若应用申请的指令多于集团级白名单,将应用申请指令添加至集团级白名单;对添加至集团级白名单的应用申请指令,若全部或者部分指令审核通过,则添加应用级白名单;若应用申请的指令不多于集团级白名单,将应用申请指令添加至应用级白名单。
9.根据权利要求8所述的一种应用系统侧安全管控系统,其特征在于,还包括待办生成单元,用于在同一组织架构下,增加应用系统指令白名单或在设备管理增加网元白名单,生成增加用户、授权数据权限以及操作菜单权限处理待办。
10.根据权利要求9所述的一种应用系统侧安全管控系统,其特征在于,还包括指令处理单元,用于当应用方发起指令调用,如果调用指令在应用级白名单,判断是否开启网元级白名单;如果调用指令不在应用级白名单,禁止放行调用指令;若开启网元级白名单,判断调用指令是否在网元级白名单,若调用指令不在网元级白名单,判断调用指令是否在网元级黑名单;若调用指令在网元级黑名单,禁止放行调用指令;若调用指令不在网元级黑名单,判断调用指令是否属于未分类,若调用指令属于未分类,禁止放行调用指令;若不开启网元级白名单,则下放并执行调用指令;
指令处理单元中,若调用指令在网元级白名单,判断调用指令是否具有二次授权,若调用指令具有二次授权,判断调用指令的风险分类:
若调用指令属于高风险,禁止放行调用指令;
若调用指令属于中风险,再次进行二次授权;
若调用指令属于低风险,下放并执行调用指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210081867.9A CN114417336B (zh) | 2022-01-24 | 2022-01-24 | 一种应用系统侧安全管控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210081867.9A CN114417336B (zh) | 2022-01-24 | 2022-01-24 | 一种应用系统侧安全管控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114417336A true CN114417336A (zh) | 2022-04-29 |
| CN114417336B CN114417336B (zh) | 2022-11-01 |
Family
ID=81276709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210081867.9A Active CN114417336B (zh) | 2022-01-24 | 2022-01-24 | 一种应用系统侧安全管控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114417336B (zh) |
Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060150256A1 (en) * | 2004-12-03 | 2006-07-06 | Whitecell Software Inc. A Delaware Corporation | Secure system for allowing the execution of authorized computer program code |
| CN101197711A (zh) * | 2007-12-06 | 2008-06-11 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| CN101754132A (zh) * | 2008-12-12 | 2010-06-23 | 中国移动通信集团辽宁有限公司 | 白名单管理系统、方法及业务操作支撑系统代理服务器 |
| CN102075540A (zh) * | 2011-01-26 | 2011-05-25 | 中兴通讯股份有限公司 | 一种同轴以太网系统中的白名单配置方法及装置 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN104767637A (zh) * | 2015-03-13 | 2015-07-08 | 武汉烽火网络有限责任公司 | 一种eoc终端配置的方法 |
| CN105337986A (zh) * | 2015-11-20 | 2016-02-17 | 英赛克科技(北京)有限公司 | 可信协议转换方法和系统 |
| CN105376836A (zh) * | 2015-11-24 | 2016-03-02 | 京信通信技术(广州)有限公司 | Ue终端设备的接入控制方法及系统 |
| CN106326247A (zh) * | 2015-06-23 | 2017-01-11 | 百旭科技有限公司 | 云端实时商业智能模组 |
| US20170105171A1 (en) * | 2015-10-07 | 2017-04-13 | Mcafee, Inc. | Multilayer access control for connected devices |
| WO2017101729A1 (zh) * | 2015-12-18 | 2017-06-22 | 阿里巴巴集团控股有限公司 | 一种基于物联网的设备操作方法及服务器 |
| WO2017132947A1 (zh) * | 2016-02-04 | 2017-08-10 | 华为技术有限公司 | 获取待传输业务的安全参数的方法、信令管理网元、安全功能节点和发送端 |
| US9832209B1 (en) * | 2013-06-10 | 2017-11-28 | Symantec Corporation | Systems and methods for managing network security |
| CN108494771A (zh) * | 2018-03-23 | 2018-09-04 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
| CN109447876A (zh) * | 2018-10-16 | 2019-03-08 | 湖北三峡云计算中心有限责任公司 | 一种市民卡系统 |
| WO2019072188A1 (zh) * | 2017-10-10 | 2019-04-18 | 中兴通讯股份有限公司 | 消息交互的方法及装置及互操作功能 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN111935212A (zh) * | 2020-06-29 | 2020-11-13 | 杭州创谐信息技术股份有限公司 | 安全路由器及基于安全路由器的物联网安全联网方法 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112272169A (zh) * | 2020-10-16 | 2021-01-26 | 中国联合网络通信集团有限公司 | 一种用户身份的确定方法及装置 |
| US20210037018A1 (en) * | 2019-08-02 | 2021-02-04 | EMC IP Holding Company LLC | Distributed application programming interface whitelisting |
| CN112351015A (zh) * | 2020-10-28 | 2021-02-09 | 广州助蜂网络科技有限公司 | 一种基于api的网关控制方法 |
| CN112543175A (zh) * | 2019-09-23 | 2021-03-23 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统中的hart通信的白名单 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN112637424A (zh) * | 2020-11-13 | 2021-04-09 | 上海欣方智能系统有限公司 | 一种通信网络的话务审计处理系统 |
| CN113474760A (zh) * | 2019-02-12 | 2021-10-01 | 日本电信电话株式会社 | 生成装置、生成系统、生成方法以及生成程序 |
| CN113630778A (zh) * | 2021-08-03 | 2021-11-09 | 安科讯(福建)科技有限公司 | 一种QoS流的动态控制方法及终端 |
-
2022
- 2022-01-24 CN CN202210081867.9A patent/CN114417336B/zh active Active
Patent Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060150256A1 (en) * | 2004-12-03 | 2006-07-06 | Whitecell Software Inc. A Delaware Corporation | Secure system for allowing the execution of authorized computer program code |
| CN101197711A (zh) * | 2007-12-06 | 2008-06-11 | 华为技术有限公司 | 一种实现统一鉴权管理的方法、装置及系统 |
| CN101252443A (zh) * | 2008-03-20 | 2008-08-27 | 华为技术有限公司 | 检测报文安全性的方法和装置 |
| CN101754132A (zh) * | 2008-12-12 | 2010-06-23 | 中国移动通信集团辽宁有限公司 | 白名单管理系统、方法及业务操作支撑系统代理服务器 |
| CN102075540A (zh) * | 2011-01-26 | 2011-05-25 | 中兴通讯股份有限公司 | 一种同轴以太网系统中的白名单配置方法及装置 |
| US9832209B1 (en) * | 2013-06-10 | 2017-11-28 | Symantec Corporation | Systems and methods for managing network security |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN104767637A (zh) * | 2015-03-13 | 2015-07-08 | 武汉烽火网络有限责任公司 | 一种eoc终端配置的方法 |
| CN106326247A (zh) * | 2015-06-23 | 2017-01-11 | 百旭科技有限公司 | 云端实时商业智能模组 |
| US20170105171A1 (en) * | 2015-10-07 | 2017-04-13 | Mcafee, Inc. | Multilayer access control for connected devices |
| CN105337986A (zh) * | 2015-11-20 | 2016-02-17 | 英赛克科技(北京)有限公司 | 可信协议转换方法和系统 |
| CN105376836A (zh) * | 2015-11-24 | 2016-03-02 | 京信通信技术(广州)有限公司 | Ue终端设备的接入控制方法及系统 |
| WO2017101729A1 (zh) * | 2015-12-18 | 2017-06-22 | 阿里巴巴集团控股有限公司 | 一种基于物联网的设备操作方法及服务器 |
| WO2017132947A1 (zh) * | 2016-02-04 | 2017-08-10 | 华为技术有限公司 | 获取待传输业务的安全参数的方法、信令管理网元、安全功能节点和发送端 |
| WO2019072188A1 (zh) * | 2017-10-10 | 2019-04-18 | 中兴通讯股份有限公司 | 消息交互的方法及装置及互操作功能 |
| CN108494771A (zh) * | 2018-03-23 | 2018-09-04 | 平安科技(深圳)有限公司 | 电子装置、防火墙开通验证方法及存储介质 |
| CN109447876A (zh) * | 2018-10-16 | 2019-03-08 | 湖北三峡云计算中心有限责任公司 | 一种市民卡系统 |
| CN113474760A (zh) * | 2019-02-12 | 2021-10-01 | 日本电信电话株式会社 | 生成装置、生成系统、生成方法以及生成程序 |
| US20210037018A1 (en) * | 2019-08-02 | 2021-02-04 | EMC IP Holding Company LLC | Distributed application programming interface whitelisting |
| CN112543175A (zh) * | 2019-09-23 | 2021-03-23 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统中的hart通信的白名单 |
| CN111935212A (zh) * | 2020-06-29 | 2020-11-13 | 杭州创谐信息技术股份有限公司 | 安全路由器及基于安全路由器的物联网安全联网方法 |
| CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112272169A (zh) * | 2020-10-16 | 2021-01-26 | 中国联合网络通信集团有限公司 | 一种用户身份的确定方法及装置 |
| CN112351015A (zh) * | 2020-10-28 | 2021-02-09 | 广州助蜂网络科技有限公司 | 一种基于api的网关控制方法 |
| CN112637424A (zh) * | 2020-11-13 | 2021-04-09 | 上海欣方智能系统有限公司 | 一种通信网络的话务审计处理系统 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
| CN113630778A (zh) * | 2021-08-03 | 2021-11-09 | 安科讯(福建)科技有限公司 | 一种QoS流的动态控制方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114417336B (zh) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10650156B2 (en) | Environmental security controls to prevent unauthorized access to files, programs, and objects | |
| US7739731B2 (en) | Method and apparatus for protection domain based security | |
| US8984291B2 (en) | Access to a computing environment by computing devices | |
| Katt et al. | A general obligation model and continuity: enhanced policy enforcement engine for usage control | |
| CN112637214A (zh) | 资源访问方法、装置及电子设备 | |
| CN112818328A (zh) | 一种多系统权限管理方法、装置、设备以及存储介质 | |
| JP2023500166A (ja) | 権限管理のための方法および装置、コンピュータ機器ならびに記憶媒体 | |
| CN108351922A (zh) | 对受保护的文件应用权利管理策略 | |
| CN114422197A (zh) | 一种基于策略管理的权限访问控制方法及系统 | |
| CN114417278A (zh) | 一种接口统一管理系统和平台接口管理系统 | |
| US9027155B2 (en) | System for governing the disclosure of restricted data | |
| CN114500039A (zh) | 基于安全管控的指令下发方法及系统 | |
| CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| CN114417336B (zh) | 一种应用系统侧安全管控方法及系统 | |
| US10931716B2 (en) | Policy strength of managed devices | |
| KR102430882B1 (ko) | 클라우드 환경 내 이벤트 스트림 방식의 컨테이너 워크로드 실행 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| Xie et al. | Design and implement of spring security-based T-RBAC | |
| Bin et al. | Research of fine grit access control based on time in cloud computing | |
| CN113127809A (zh) | 产品许可管理方法及系统 | |
| CN114422183B (zh) | 一种基于安全属性的微服务访问控制方法、系统及装置 | |
| CN114465916A (zh) | 一种可信操作平台实现方法及系统 | |
| Norimatsu et al. | Policy-Based Method for Applying OAuth 2.0-Based Security Profiles | |
| CN115102717B (zh) | 一种基于用户体系的互联互通数据传递方法及系统 | |
| CA2854540C (en) | Managing cross perimeter access | |
| CN109948360B (zh) | 一种用于复杂场景的多控制域安全内核构建方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |