【技术实现步骤摘要】
一种权限稽核方法及装置
本专利技术涉及通信
,尤其涉及一种权限稽核方法及装置。
技术介绍
目前业务支撑系统中的各类应用系统均采用系统自带权限管理模块对应用系统的访问权限进行识别和管控。其主要业务模型包括下列步骤:步骤一,应用系统在开发和上线过程中,对系统的权限进行注册和发布管理,系统所有的权限均由系统自带权限管理模块进行管理;步骤二,管理员通过应用系统业务访问的需要定义用户的访问权限,设定操作访问权限的识别信息;步骤三,用户使用已分配的操作权限识别信息登录应用系统;应用系统依照预先设定的操作权限识别信息进行操作权限的判断;步骤四,应用系统依照访问用户操作权限的不同开放全部或局部的操作功能。另外,目前业务支撑系统中的权限稽核和授权最小化控制均采用人工检查的方法进行管理控制。然而,随着中国移动业务系统的逐渐最多,业务访问越来越频繁,以及集团公司权限管理的安全控制要求越来越高,通过系统自身的权限控制以及手工检查已无法满足业务日益增长的需求。如:系统权限稽核,仅依靠人工分析的方法无法实现业务权限稽核的要求,出现了异常权限、长期无人使用的权限等情况,从而造成了客户资料...
【技术保护点】
一种权限稽核方法,其特征在于,该方法包括:获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系,得到越权访问用户。
【技术特征摘要】
1.一种权限稽核方法,其特征在于,该方法包括:获取待稽核系统的当前使用权限类别;将所述当前使用权限类别与所述待稽核系统设定的权限类别进行比较得到违规新增的权限和未使用的权限;其中,所述违规新增的权限为包含于所述当前使用权限类别但不包含于所述待稽核系统设定的权限类别;所述未使用的权限为包含于所述待稽核系统设定的权限类别但不包含于所述当前使用权限类别;根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户;将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系比较,得到越权访问用户。2.如权利要求1所述的方法,其特征在于,所述获取待稽核系统的当前使用权限类别,包括:对所述待稽核系统进行目录遍历扫描,得到所述待稽核系统中的各个目录下的各个文件以及各个文件所对应的操作标识码Opcode;根据所述Opcode与所述待稽核系统的使用权限类别之间的对应关系,得到所述待稽核系统的当前使用权限类别。3.如权利要求1所述的方法,其特征在于,所述根据所述待稽核系统的应用流量日志得到用户与使用权限关系从而得到高频率访问用户,包括:根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;在所述合规的用户与使用权限关系中,若在所述应用流量日志中用户对合规使用权限对应的文件的访问频率超过设定阈值,则认为是高频率访问用户。4.如权利要求1所述的方法,其特征在于,所述将所述用户与使用权限关系与所述待稽核系统设定的用户与设定权限关系比较,得到越权访问用户,包括:根据所述待稽核系统设定的权限类别,从所述用户与使用权限关系中得到符合所述待稽核系统设定的权限类别的用户与使用权限关系,作为合规的用户与使用权限关系;将所述合规的用户与使用权限关系与所述用户与设定权限关系比较,得到所述越权访问用户。5.如权利要求3或4所述的方法,其特征在于,还包括:根据所述违规新增的权限,从所述用户与使用权限关系中得到使用违规新增权限的用户;根据未使用权限,从所述用户与使用权限关系中得到未使用权限的用户;根据所述未使用权限及角色-权限关系,得到未使用权限的角色;根据所述合规的用户与使用权限关系、所述越权访问用户及所述角色-权限关系,得到越权访问的角色;根据所述合规的用户与使用权限关系、所述高频率访问用...
【专利技术属性】
技术研发人员:徐党生,于雷,杨宇,刘赫,
申请(专利权)人:中国移动通信集团吉林有限公司,
类型:发明
国别省市:吉林;22
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。