【技术实现步骤摘要】
【国外来华专利技术】将安全策略管理权限委托给管理账户
技术介绍
企业网络管理员面临着服务来自企业网络资源的标准用户的大量请求的挑战。网络管理员的一个重要目标是针对个体客户需求和/或偏好来调整企业安全策略,同时仍然保持足够严格的策略以防止对企业数据的未经授权的公开。实现该目标可能需要针对个体工作团队或者甚至个体员工的需求来定制安全策略,同时仍然考虑具有个人和企业应用两者需要访问数千个个人和企业数据资源的高度复杂的计算环境。加剧这一挑战的是选择员工使用个人设备来执行其企业任务中的一些或全部任务的增加的比率。这种现象模糊了通常应当被拒绝访问企业数据资源的个人应用与通常应当被授权访问企业数据资源的企业应用之间的区别。在企业安全策略阻止标准用户执行某一动作时,标准用户可以提交改变票证请求以供网络管理员审查,然后最终实施或拒绝。然而,网络管理员可能难以即时处理大量这样的请求。此外,必须处理冗余请求可能降低网络管理员有效地管理他的其他工作职责的能力。关于这些考虑以及其他考虑,提出了在本文中所公开的内容。
技术实现思路
在本文中所描述的技术提供了将用于开发和管理针对企业网络的安全策略的有限权限委托给该企业网络的管理账户。一般而言,在本文中所公开的技术使得系统能够覆写和/或定制企业的安全策略内的应用管理设置,并且最终允许管理账户的标准用户以使得应用能够访问企业资源,尽管该应用未被企业的安全策略明确地允许这样做。如在本文中所使用的,“安全策略”通常指代与控制在各种类型的计算资源之间的企业数据流相关联的定义的许可和/或约束。示例性安全策略可以包括应用管理设置,所述应用管理设置提供和控制个体功能资源(例如,计 ...
【技术保护点】
1.一种用于从管理账户覆写应用管理设置的系统,所述系统包括:至少一个处理器;以及与所述至少一个处理器通信的至少一个存储器,所述至少一个存储器在其上存储有计算机可读指令,所述计算机可读指令当由所述至少一个处理器执行时使所述至少一个处理器:获得包括所述应用管理设置的安全策略,以指示被允许从所述管理账户访问一个或多个企业资源的被允许应用的集合;接收通过正在操作的特定应用从所述管理账户访问特定数据资源的请求;基于所述请求来确定所述特定数据资源被标记为企业数据资源并且所述特定应用未包含在所述被允许应用的集合中;暴露应用豁免管理器,所述应用豁免管理器被配置为使得标准用户能够从所述管理账户生成豁免指令,以从所述安全策略中至少部分地豁免所述特定应用;以及基于所述豁免指令来允许所述特定应用从所述管理账户访问所述特定数据资源。
【技术特征摘要】
【国外来华专利技术】2017.03.03 US 15/449,8471.一种用于从管理账户覆写应用管理设置的系统,所述系统包括:至少一个处理器;以及与所述至少一个处理器通信的至少一个存储器,所述至少一个存储器在其上存储有计算机可读指令,所述计算机可读指令当由所述至少一个处理器执行时使所述至少一个处理器:获得包括所述应用管理设置的安全策略,以指示被允许从所述管理账户访问一个或多个企业资源的被允许应用的集合;接收通过正在操作的特定应用从所述管理账户访问特定数据资源的请求;基于所述请求来确定所述特定数据资源被标记为企业数据资源并且所述特定应用未包含在所述被允许应用的集合中;暴露应用豁免管理器,所述应用豁免管理器被配置为使得标准用户能够从所述管理账户生成豁免指令,以从所述安全策略中至少部分地豁免所述特定应用;以及基于所述豁免指令来允许所述特定应用从所述管理账户访问所述特定数据资源。2.根据权利要求1所述的系统,其中,所述计算机可读指令还使所述至少一个处理器分析所述特定应用以识别启发状态,所述启发状态指示所述特定应用被配置为与策略施行服务通信以至少部分地施行所述安全策略,其中,允许所述特定应用从所述管理账户访问所述特定数据资源还基于所述启发状态。3.根据权利要求2所述的系统,其中,所述计算机可读指令还使所述至少一个处理器分析所述特定应用以:识别与所述特定应用的所述启发状态相关联的数字签名;以及确定所述数字签名的来源对应于受信任发布者的预定集合中的至少一个受信任发布者,其中,允许所述特定应用从所述管理账户访问所述特定数据资源还基于所述数字签名的所述来源。4.根据权利要求1所述的系统,其中,所述应用豁免管理器还被配置为使得所述标准用户能够对所述豁免指令分配时间适用性,其中,所述时间适用性指示是永久地还是临时地应用所述豁免指令。5.根据权利要求1所述的系统,其中,所述计算机可读指令还使所述至少一个处理器使得与所述豁免指令相对应的条目被添加到由策略管理服务能访问的策略学习日志。6.根据权利要求1所述的系统,其中,所述计算机可读指令还使所述至少一个处理器基于所述豁免指令或者被分配给所述豁免指令的时间适用性中的至少一项来提示策略裁定以生成与所述特定应用相对应的特定应用管理设置。7.根据权利要求1所述的系统,其中,所述计算机可读指令还使所述至少一个处理器:基于所述豁免指令来生成包含式计算环境,所述包含式计算环境被配置为根据所述安全策略来管理对所述一个或多个企业资源的公开;以及在所述...
【专利技术属性】
技术研发人员:P·D·亚当,V·A·巴尔胡达里安,N·S·阿查里雅,R·琼,S·拉希里,Q·吴,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。