CN117828638A - 一种信息系统身份安全授权管理方法、系统、设备及介质 - Google Patents

Abstract

本申请涉及一种信息系统身份安全授权管理方法、系统、设备及介质，属于数据安全领域，其包括获取访问需求，访问需求包括身份鉴定和访问授权；当访问需求为身份鉴定时，判断身份鉴定对应的账号信息是否合规；若是，则身份鉴定成功；当访问需求为访问授权时，判断访问授权对应的权限信息是否合规；若是，则访问授权成功。本申请具有提高信息系统安全性的效果。

Description

一种信息系统身份安全授权管理方法、系统、设备及介质

技术领域

本申请涉及数据安全的技术领域，尤其是涉及一种信息系统身份安全授权管理方法、系统、设备及介质。

背景技术

随着信息技术的发展，企业用户已经建立了比较完善的信息系统，信息系统中承载的信息的安全越来越受到重视。信息系统中储存着诸如企业用户极其重要和敏感的信息，这些信息一旦被篡改或者泄露，会给企业或者社会造成严重的负面影响。

目前，信息系统使用的身份鉴别与认证机制无法做到集中统一的管理和控制，运维工作难度大。信息系统中存在大量的无效账号、重复账号、共享账号。信息系统的访问控制未做严格限制，导致越权和敏感信息泄露的事件层出不穷，无法满足合规需求和安全检查。

上述中的相关技术方案存在以下缺陷：信息系统的安全性低。

发明内容

为了改善信息系统安全性低的问题，本申请提供了一种信息系统身份安全授权管理方法、系统、设备及介质。

在本申请的第一方面，提供了一种信息系统身份安全授权管理方法。该方法包括：

获取访问需求，访问需求包括身份鉴定和访问授权；

当访问需求为身份鉴定时，判断身份鉴定对应的账号信息是否合规；

若是，则身份鉴定成功；

当访问需求为访问授权时，判断访问授权对应的权限信息是否合规；

若是，则访问授权成功。

由以上技术方案可知，通过获取访问需求，并根据访问需求进行身份鉴定和访问授权，将信息系统的身份鉴定和访问授权进行统一管理，减少由于仅进行身份鉴定或访问授权导致信息系统中的信息泄露或篡改，进而提高了信息系统的安全性。

在一种可能的实现方式中，账号信息包括身份属性、最近登录时间和密码信息；

当访问需求为身份鉴定时，判断身份鉴定对应的账号信息是否合规，包括：

判断身份属性是否有效，得到第一判断结果；

判断最近登录时间是否大于时间预设值，得到第二判断结果；

判断密码信息是否与预设密码相同，得到第三判断结果；

根据第一判断结果、第二判断结果和第三判断结果，判断账号信息是否合规。

在一种可能的实现方式中，权限信息包括岗位信息和访问信息；

当访问需求为访问授权时，判断访问授权对应的权限信息是否合规，包括：

判断岗位信息与访问信息是否匹配，若匹配，则权限信息合规。

在一种可能的实现方式中，方法包括：

获取所有的账号信息，账号信息包括岗位信息和权限信息；

根据岗位信息对应的上下级关系，对账号信息进行分组；

当每一组中账号信息对应的权限信息相同时，根据权限信息对账号信息进行授权。

在一种可能的实现方式中，方法还包括：

设置密码箱权限，密码箱权限包括密码查看权限、密码重置权限、密码验证权限、密码删除权限；

将密码箱权限中的一个或多个与账号信息建立关联；

当账号信息对应的账号存在密码箱操作时，判断账号信息是否存在与密码箱操作对应的密码箱权限，若是，则操作允许。

在一种可能的实现方式中，方法还包括：

设置账号信息的访问策略，访问策略包括访问地址、访问时间和访问锁定；

当访问策略为访问地址时，判断账号信息的访问地址与访问策略中的访问地址是否一致；

若是，则允许访问；

当访问策略为访问时间时，判断账号信息的访问时间是否在访问策略的访问时间内；

若是，则允许访问；

当访问策略为访问锁定时，判断账号信息的访问次数是否超过访问策略中访问锁定设置的次数；

若是，则锁定账号信息对应的关联账号。

在一种可能的实现方式中，账号信息为主账号或主账号关联的从账号中任意一个的账号信息。

在本申请的第二方面，提供了一种信息系统身份安全授权管理系统。该系统包括：

访问获取模块，用于获取访问需求，访问需求包括身份鉴定和访问授权；

访问判断模块，用于当访问需求为身份鉴定时，判断身份鉴定对应的账号信息是否合规；若是，则身份鉴定成功；当访问需求为访问授权时，判断访问授权对应的权限信息是否合规；若是，则访问授权成功。

在本申请的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

在本申请的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本申请的第一方面的方法。

综上所述，本申请包括至少一种有益技术效果：

通过获取访问需求，并根据访问需求进行身份鉴定和访问授权，将信息系统的身份鉴定和访问授权进行统一管理，减少由于仅进行身份鉴定或访问授权导致信息系统中的信息泄露或篡改，进而提高了信息系统的安全性。

附图说明

图1是本申请提供的信息系统身份安全授权管理方法的流程示意图。

图2是本申请提供的访问控制的结构示意图。

图3是本申请提供的信息系统身份安全授权管理系统的结构示意图。

图4是本申请提供的电子设备的结构示意图。

图中，201、访问获取模块；202、访问判断模块；301、CPU；302、ROM；303、RAM；304、I/O接口；305、输入部分；306、输出部分；307、存储部分；308、通信部分；309、驱动器；310、可拆卸介质。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。

随着信息技术的发展，企业用户已经建立了比较完善的信息系统。对信息系统的访问都需要对用户主体的身份进行认证，经过信息系统的判断认证，来确认用户主体的安全性。但是对于不同的岗位需要的权限范围不同，需要对每个岗位、每个用户主体进行权限设置，在设置过程中很容易权限分配错误，导致信息系统的部分信息泄露或者被篡改，造成一定的经济损失。

企业级网络授权管理机制能够防止未经授权的用户操作，限制未授权用户对特定设备的操作。不同权限级别的用户拥有各自级别的访问权限，各个用户只能访问操作对应权限下的隐私数据资源，能够有效保障数据的安全。但是目前传统基于角色的授权管理模型不能对用户访问权限进行动态调整以及对访问权限划分粒度不够细。

为了实现对身份鉴别与认证机制的集中统一的管理和控制，降低运维人员的运维工作难度，减少无效账号、重复账号、共享账号的存在，综合考虑信息系统的安全性，本申请提供了一种信息系统身份安全授权管理方法，通过对身份认证和授权进行统一管理，提高了信息系统的安全性，实现了对信息系统的自动化监测。

下面结合说明书附图对本申请实施例做进一步详细描述。

本申请实施例提供一种信息系统身份安全授权管理方法，上述方法的主要流程描述如下。

如图1所示：

步骤S101：获取访问需求。

具体地，上述访问需求包括身份鉴定和访问授权。在用户和信息系统之间，当用户想要访问信息系统时就需要进行身份鉴定和/或访问授权，只有当身份鉴定和/或访问授权通过的时候，才能进行信息系统的访问，以达到提高信息系统访问的安全性。

步骤S102：根据访问需求，对访问需求对应的信息进行判断。

具体地，当上述访问需求为身份鉴定时，判断上述身份鉴定对应的账号信息是否合规；若是，则身份鉴定成功，若否则身份鉴定失败。当上述访问需求为访问授权时，判断上述访问授权对应的权限信息是否合规；若是，则访问授权成功，若否则访问授权失败。

进一步地，上述账号信息包括身份属性、最近登录时间和密码信息；判断上述身份属性是否有效，得到第一判断结果。当第一判断结果为是时表示当前账号信息有效，可以进行访问，当第一判断结果为否时，表示当前账号信息无效，不能进行信息系统的访问。判断上述最近登录时间是否大于时间预设值，得到第二判断结果。当上述第二判断结果为是时，表示当前账号信息对应的账号登录间隔在预设范围内，不属于僵尸账号，当上述第二判断结果为否时，表示当前账号信息对应的账号登录间隔不是预设范围内，属于僵尸账号，不能进行信息系统的访问。判断上述密码信息是否与预设密码相同，得到第三判断结果，当第三判断结果为是时，表示账号信息的密码正确，可以访问信息系统，反之，不能访问信息系统。根据上述第一判断结果、上述第二判断结果和上述第三判断结果，判断上述账号信息是否合规。

在一个具体的示例中，当上述第一判断结果、上述第二判断结果和上述第三判断结果均为是时，则表示账号信息合规即身份鉴定成功，该账号信息可以访问信息系统。在其他实施方式中，可以设定上述第一判断结果、上述第二判断结果和上述第三判断结果中任意一个或两个、指定一个或两个为是时，就认为账号信息合规即身份鉴定成功，在此不作限定。

可以理解的是，在上述信息系统中是存在一人多账号，即多个账号之间身份信息相同但账号不同，多个账号之间存在主账号和从账号之分，主账号只有一个，从账号可以有多个。但是每个用户一个主账号，每个主账号只属于一个人。所以在本申请实施例中提到的账号信息为主账号或主账号关联的从账号中任意一个的账号信息。在一个具体的示例中，信息系统提供身份鉴别，包括对主账号和从账号的鉴别。主账号身份鉴定成功后，支持在信息系统中进行excel导入、活动目录（active directory，AD）域导入等。从账号和主账号之间的关系由用户自己建立关联关系。上述身份鉴定可以通过人脸识别、指纹识别、射频识别等各种认证方式进行鉴定，在此不作限定。通过支持多种认证方式保障信息系统登录的安全性和便捷性。

通过对上述身份属性和最近登录时间的判断，实现对僵尸账号和无效账号的管理。

进一步地，上述权限信息包括岗位信息和访问信息。判断上述岗位信息与上述访问信息是否匹配，若匹配，则上述权限信息合规。

为了实现授权可迁移，细化授权粒度，针对不同岗位设置相关安全策略，同时为了便于管理，信息系统身份安全授权管理方法包括：

获取所有的上述账号信息，上述账号信息包括岗位信息和权限信息；根据上述岗位信息对应的上下级关系，对上述账号信息进行分组；当每一组中上述账号信息对应的权限信息相同时，根据上述权限信息对上述账号信息进行授权。

在一个具体的示例中，在信息系统中对用户组进行批量授权。上述用户组就是将需要行使相同权限的用户归纳为一个组，只要用户属于某个用户组，即可行使该组内的所有权限。上述用户可以为主账号，也可以为从账号，在此不作限定。可以理解的是，对于相同岗位的人员，他们获取信息的需求是基本相同的，所以根据岗位信息对所有的账号进行分组，岗位相同的账号分为一组，然后设置该组的权限信息即授权，从而实现了批量授权。

在另一个具体的实施方式中，根据各个岗位信息之间上下级关系，对账号信息进行分级管理。在不同的等级，设定不同级别的管理员，本级的管理员只能管理本级的用户和应用，以及用户和应用的授权关系，不能管理其他等级的用户。超级管理员可以管理所有的用户。管理员通过采用访问控制技术，在访问链路上进行集中的权限认证和控制，每个账号信息对应的账号只能根据本账号的权限大小来访问系统资源，不得越权访问。

例如，参照图2，访问控制通常由访问控制执行单元（access controlenforcement function，AEF）和访问控制决策单元（access control decision function，ADF）组成。AEF可以看作是一个安全网关，根据ADF的决策，决定允许或禁止用户的访问请求传递到访问目标。ADF根据访问控制策略，决定用户是否有权访问所请求的资源。ADF决策的依据主要包括访问者信息、目标信息、访问控制策略规则等。其中访问控制策略规则就是指权限分配阶段所分配的权限。ADF决策的结果交给AEF加以执行，从而允许或阻断用户的访问请求。

在信息系统的访问控制中，还可以指定某个账户的访问时间、访问地址等维度，例如指定某账号只能在每天的8点到12点才能访问信息系统。账户在访问信息系统时，访问需求被AEF捕获，并被提交给ADF进行裁决，如果ADF认为该账号在这个时间的访问是合法的，则AEF允许这个访问需求访问，否则拒绝该访问需求。

信息系统身份安全授权管理方法还包括：

设置密码箱权限，上述密码箱权限包括密码查看权限、密码重置权限、密码验证权限、密码删除权限；将上述密码箱权限中的一个或多个与上述账号信息建立关联；当上述账号信息对应的账号存在密码箱操作时，判断上述账号信息是否存在与上述密码箱操作对应的密码箱权限，若是，则操作允许。

在一个具体的示例中，信息系统中还包括密码箱，密码箱中存放着所有关键数据，这些数据在密码箱中以密码保险箱为单位进行存放，以方便定义不同的权限。每个密码保险箱都有自己的授权用户，只有这些授权用户可以访问存储在密码保险箱中的账号信息和密码信息。基于密码保险箱，也可以配置特定密码管理人员和系统管理人员管理特权账号密码。例如，密码查看权限、账号密码信封打印权限、密码重置权限、密码验证权限、密码删除权限、定期改密权限等。

信息系统身份安全授权管理方法还包括：

设置上述账号信息的访问策略，上述访问策略包括访问地址、访问时间和访问锁定；当上述访问策略为访问地址时，判断上述账号信息的访问地址与上述访问策略中的访问地址是否一致；若是，则允许访问，若否则不允许访问。当上述访问策略为访问时间时，判断上述账号信息的访问时间是否在上述访问策略的访问时间内；若是，则允许访问，若否则不允许访问。当上述访问策略为访问锁定时，判断上述账号信息的访问次数是否超过上述访问策略中访问锁定设置的次数；若是，则锁定上述账号信息对应的关联账号。

在一个具体的示例中，访问策略中的访问地址是对用户账号访问运维资源的地址管理要求。访问策略中的访问地址能够基于网段的管理，限制其他网段发起的运维资源访问，能够有效防止来自未经授权的IP地址的恶意攻击。例如，访问策略中的访问地址能够限制某一账户信息仅能从一个网段发起对一个运维资源的访问权限。访问策略中的访问时间是对账户访问信息系统和运维资源的时间管理要求。访问策略中的访问时间能够定义一段日期范围内的具体某一个或多个时辰，可以限制一个账户允许在这个时间范围内访问信息系统、运维资源，有效的限制在繁忙期或特殊期账号对资源的访问。访问策略中的访问锁定是对账户访问信息系统的管理要求，可以制定账户在多次输入口令错误后，对账号信息对应的关联账号进行锁定略，可以有效限制恶意破解口令行为。例如，上述关联账号为账号信息对应的主账号。

例如，访问地址设置为192.169.20.50-192.168.20.60，则仅允许上述地址段中的IP进行运维访问操作，其他地址访问时无法连接。再例如，访问时间设置为17:00-20:00，则仅允许上述时间段内进行运维访问操作。再例如，访问锁定设置的次数为3次，则输入账号信息出现3次错误后锁定账号。当触发该条件后，账号被锁定，只能上报管理员查明原因后解锁，避免有人恶意猜测账号口令进行登录访问。

本申请实施例提供了一种信息系统身份安全授权管理方法，通过对身份鉴别和统一访问控制的管理，实现了企业需要对内部人员访问应用系统做全面的管控。进一步地，通过对用户的登入登出、非法连接、登录超时、会话状态进行全程监控和管理。针对不同的用户，制定不同的密码策略，支持密码复杂度、有效天数、禁用关键字等密码策略的设定。可对管理的账号信息最小授权，实现管理用户访问时的权限分离；支持同岗位用户组绑定，绑定完成可自动完成组内用户默认权限的授权。从访问时间、IP地址、URL、访问审批等多个维度对用户访问应用系统进行安全管控，并以录像方式记录用户业务操作，实现了对信息系统访问的安全管控，提高了访问信息系统的安全性。

除此之外，本申请实施例对于主账号和从账号绑定关系支持管理员映射及用户认领两种方式，还预留了接口，用来实现应用系统反向授权功能。

本申请实施例提供一种信息系统身份安全授权管理系统，参照图3，信息系统身份安全授权管理系统包括：

访问获取模块201，用于获取访问需求，访问需求包括身份鉴定和访问授权；

访问判断模块202，用于当访问需求为身份鉴定时，判断身份鉴定对应的账号信息是否合规；若是，则身份鉴定成功；当访问需求为访问授权时，判断访问授权对应的权限信息是否合规；若是，则访问授权成功。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请实施例公开一种电子设备。参照图4，电子设备包括中央处理单元(centralprocessing unit，CPU)301，其可以根据存储在只读存储器(read-only memory，ROM)302中的程序或者从存储部分307加载到随机访问存储器(random access memory，RAM)303中的程序而执行各种适当的动作和处理。在RAM 303中，还存储有系统操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线彼此相连。输入/输出(input/output，I/O)接口304也连接至总线。

以下部件连接至I/O接口304：包括键盘、鼠标等的输入部分305；包括诸如阴极射线管(cathode ray tube，CRT)、液晶显示器(liquid crystal display，LCD)等以及扬声器等的输出部分306；包括硬盘等的存储部分307；以及包括诸如局域网(local areanetwork,LAN)卡、调制解调器等的网络接口卡的通信部分308。通信部分308经由诸如因特网的网络执行通信处理。驱动器309也根据需要连接至I/O接口304。可拆卸介质310，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器309上，以便于从其上读出的计算机程序根据需要被安装入存储部分307。

特别地，根据本申请的实施例，上文参考流程图图1描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在机器可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分308从网络上被下载和安装，和/或从可拆卸介质310被安装。在该计算机程序被中央处理单元(CPU)301执行时，执行本申请的装置中限定的上述功能。

需要说明的是，本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(erasable programmable read only memory,EPROM)、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory,CD-ROM)、光存储器件、磁存储器件，或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、射频(radio frequency,RF)等等，或者上述的任意合适的组合。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的申请范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种信息系统身份安全授权管理方法，其特征在于，包括：

获取访问需求，所述访问需求包括身份鉴定和访问授权；

当所述访问需求为身份鉴定时，判断所述身份鉴定对应的账号信息是否合规；

若是，则身份鉴定成功；

当所述访问需求为访问授权时，判断所述访问授权对应的权限信息是否合规；

若是，则访问授权成功。

2.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述账号信息包括身份属性、最近登录时间和密码信息；

所述当所述访问需求为身份鉴定时，判断所述身份鉴定对应的账号信息是否合规，包括：

判断所述身份属性是否有效，得到第一判断结果；

判断所述最近登录时间是否大于时间预设值，得到第二判断结果；

判断所述密码信息是否与预设密码相同，得到第三判断结果；

根据所述第一判断结果、所述第二判断结果和所述第三判断结果，判断所述账号信息是否合规。

3.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述权限信息包括岗位信息和访问信息；

所述当所述访问需求为访问授权时，判断所述访问授权对应的权限信息是否合规，包括：

判断所述岗位信息与所述访问信息是否匹配，若匹配，则所述权限信息合规。

4.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述方法包括：

获取所有的所述账号信息，所述账号信息包括岗位信息和权限信息；

根据所述岗位信息对应的上下级关系，对所述账号信息进行分组；

当每一组中所述账号信息对应的权限信息相同时，根据所述权限信息对所述账号信息进行授权。

5.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述方法还包括：

设置密码箱权限，所述密码箱权限包括密码查看权限、密码重置权限、密码验证权限、密码删除权限；

将所述密码箱权限中的一个或多个与所述账号信息建立关联；

当所述账号信息对应的账号存在密码箱操作时，判断所述账号信息是否存在与所述密码箱操作对应的密码箱权限，若是，则操作允许。

6.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述方法还包括：

设置所述账号信息的访问策略，所述访问策略包括访问地址、访问时间和访问锁定；

当所述访问策略为访问地址时，判断所述账号信息的访问地址与所述访问策略中的访问地址是否一致；

若是，则允许访问；

当所述访问策略为访问时间时，判断所述账号信息的访问时间是否在所述访问策略的访问时间内；

若是，则允许访问；

当所述访问策略为访问锁定时，判断所述账号信息的访问次数是否超过所述访问策略中访问锁定设置的次数；

若是，则锁定所述账号信息对应的关联账号。

7.根据权利要求1所述的信息系统身份安全授权管理方法，其特征在于，所述账号信息为主账号或所述主账号关联的从账号中任意一个的账号信息。

8.一种信息系统身份安全授权管理系统，其特征在于，包括：

访问获取模块，用于获取访问需求，所述访问需求包括身份鉴定和访问授权；

访问判断模块，用于当所述访问需求为身份鉴定时，判断所述身份鉴定对应的账号信息是否合规；若是，则身份鉴定成功；当所述访问需求为访问授权时，判断所述访问授权对应的权限信息是否合规；若是，则访问授权成功。

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行如权利要求1至7中任一种所述方法的计算机程序。

10.一种计算机可读存储介质，其特征在于，存储有能够被处理器加载并执行如权利要求1至7中任一种所述方法的计算机程序。