统一内控安全管理方法、系统、介质及电子设备技术方案

本发明专利技术公开了一种统一内控安全管理方法、系统、介质及电子设备，该方法通过身份识别与访问管理平台实现，包括：根据业务系统的权限共性创建身份识别与访问管理平台的SDK，将所述业务系统接入身份识别与访问管理平台；拦截用户的业务系统访问请求并进行合法性验证，对于发出合法访问请求的用户进行权限判断；通过所述SDK监控用户访问业务系统的操作行为，生成并存储该用户的审计日志。本发明专利技术通过创建身份识别与访问管理平台的SDK可以实现便捷地将新的业务接入到身份识别与访问管理平台；并IAM的SDK会拦截用户在业务系统的任务请求实时监控用户的操作行为，实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。

Unified Internal Control Safety Management Method, System, Medium and Electronic Equipment

【技术实现步骤摘要】
统一内控安全管理方法、系统、介质及电子设备
本专利技术涉及信息安全管理
，具体地说，是一种统一内控安全管理方法、系统、计算机可读存储介质及电子设备。
技术介绍
企业内部存在不同的业务部门，及其内部支持系统，目前针对企业不同部门各自业务支持系统通常采用单独的认证授权管理，各部门之间的系统基本上是各自为政，基本上每个业务部门都有自己的系统，而且各个系统之间是隔离开来的很少能做到统一的账号、权限、审计等管控，不利于企业内部的统一管理和安全监控。现有对企业内不同部门业务系统进行内控安全管理的方法主要为：1、通过公共系统建立统一账号体系，如：EHR、OA等公共系统实现了统一的账号体系；2、通过构建企业的权限系统使每个业务系统都实现了一套符合该系统业务本身的权限模块，例如每个业务系统分别接入一个单独的身份识别与访问管理平台(IAM：IdentityandAccessManagement，具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能)。以上两种常用的方法虽然实现了企业内控安全管理的功能，但方法1的应用收到限制，只能在少部分的公用系统实现，不具有普适性，且资源耗费巨大；方法2虽然使在各个系统达成一致，也只是推出一部分公共的接口然后要求各个系统配合接入，接入过程复制，系统开发周期长，且不便于对操作人员的行为进行审计。
技术实现思路
本专利技术的目的是针对现有技术中的不足，提供一种统一内控安全管理方法、系统、介质及电子设备，通过创建身份识别与访问管理平台的SDK(SDK:SoftwareDevelopmentKit，是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合)抽象出来一个统一的权限模块，该权限模块可以囊括同一个公司内部各种不同业务系统所需的大部分权限控制功能，实现了权限模块的高度他用性；同时，可以实现新的业务系统只需要通过SDK申请一个身份密钥，引入IAM开发的SDK并按文档实现少许代码，即可完成将新的业务系统接入到身份识别与访问管理平台，操作简单；接入之后IAM的SDK会拦截用户在业务系统的任务请求实时监控用户的操作行为，实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。为实现上述目的，第一方面，本专利技术提供了一种统一内控安全管理方法，该方法通过身份识别与访问管理平台实现，所述方法包括：根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台；拦截用户的业务系统访问请求并进行合法性验证，如果所述业务系统访问请求不是通过用户统一登录接口发出，则为非法访问请求，跳转至用户统一登录接口，如果所述业务系统访问请求是通过用户统一登录接口发出，则为合法访问请求；对于发出合法访问请求的用户进行权限判断，判断所述用户是否有授权的记录，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求；通过所述SDK监控用户访问业务系统的操作行为，生成并存储该用户的审计日志。进一步地，所述根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台，包括：接收业务系统申请接入身份识别与访问管理平台的请求，根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息；统计所有业务系统权限配置标准的权限共性，根据权限共性创建身份识别与访问管理平台的SDK；向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥，并将所述业务介绍信息存储在SDK内。进一步地，所述统一内控安全管理方法，还包括：接收来自用户的权限申请，根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统；根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。进一步地，所述判断所述用户是否有授权的记录，包括：判断用户被授予访问权限的业务系统中是否包含用户请求访问的业务系统，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求，并返回权限申请提醒。进一步地，所述审计日志包括：用户名、IP地址、操作路径、业务系统名称、操作参数和操作时间。第二方面，本专利技术提供了一种统一内控安全管理系统，所述统一内控安全管理系统应用于身份识别与访问管理平台，包括：接入模块，用于根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台；验证模块，用于拦截用户的业务系统访问请求并进行合法性验证，如果所述业务系统访问请求不是通过用户统一登录接口发出，则为非法访问请求，跳转至用户统一登录接口，如果所述业务系统访问请求是通过用户统一登录接口发出，则为合法访问请求；判断模块，用于对于发出合法访问请求的用户进行权限判断，判断所述用户是否有授权的记录，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求；审计模块，用于通过所述SDK监控用户访问业务系统的操作行为，生成并存储该用户的审计日志。进一步地，所述接入模块包括：获取单元，用于接收业务系统申请接入身份识别与访问管理平台的请求，根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息；以及创建单元，用于统计所有业务系统权限配置标准的权限共性，根据权限共性创建身份识别与访问管理平台的SDK；以及接入单元，用于向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥，并将所述业务介绍信息存储在SDK内。进一步地，所述统一内控安全管理系统还包括权限管理模块，用于接收并响应用户的权限申请，其包括：匹配单元，用于接收来自用户的权限申请，根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统；以及授权单元，用于根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。第三方面，本专利技术提供了一种计算机可读存储介质，其中，所述计算机可读存储介质存储用于电子数据交换的计算机程序，所述计算机程序用于执行如上述第一方面和第二方面所述的方法。第四方面，本专利技术提供了一种电子设备，包括：一个或多个处理器；以及一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行如上述第一方面和第二方面所述的方法。本专利技术优点在于：1、本专利技术通过创建身份识别与访问管理平台的SDK抽象出来一个统一的权限模块，该权限模块可以囊括同一个公司内部各种不同业务系统所需的大部分权限控制功能，实现了权限模块的高度他用性。2、本专利技术可以实现新的业务系统通过SDK申请一个身份密钥，引入IAM开发的SDK并按文档实现少许代码，只需要一两个小时即可完成将新的业务系统接入到身份识别与访问管理平台，操作简单，克服了现有技术中一个单独业务系统的权限模块需要开发一周左右的问题，缩减业务系统权限模块开发时间，提高新业务系统接入效率。3、本专利技术对于接入身份识别与访问管理平台的业务系统，可以通过IAM的SDK拦截用户访问业务系统的请求，并实时监控用户访问业务系统时的操作行为，实现了统一域账号管理、统一登陆、统一权限管理平台、统一权限申请和操作审计。附图说明为能更清楚理解本专利技术的目的、特点和优点，以下将结合附图对本专利技术的较佳实施例进本文档来自技高网...

【技术保护点】
1.一种统一内控安全管理方法，该方法通过身份识别与访问管理平台实现，其特征在于，所述方法包括：根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台；拦截用户的业务系统访问请求并进行合法性验证，如果所述业务系统访问请求不是通过用户统一登录接口发出，则为非法访问请求，跳转至用户统一登录接口，如果所述业务系统访问请求是通过用户统一登录接口发出，则为合法访问请求；对于发出合法访问请求的用户进行权限判断，判断所述用户是否有授权的记录，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求；通过所述SDK监控用户访问业务系统的操作行为，生成并存储该用户的审计日志。

【技术特征摘要】
1.一种统一内控安全管理方法，该方法通过身份识别与访问管理平台实现，其特征在于，所述方法包括：根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台；拦截用户的业务系统访问请求并进行合法性验证，如果所述业务系统访问请求不是通过用户统一登录接口发出，则为非法访问请求，跳转至用户统一登录接口，如果所述业务系统访问请求是通过用户统一登录接口发出，则为合法访问请求；对于发出合法访问请求的用户进行权限判断，判断所述用户是否有授权的记录，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求；通过所述SDK监控用户访问业务系统的操作行为，生成并存储该用户的审计日志。2.根据权利要求1所述的一种统一内控安全管理方法，其特征在于，所述根据业务系统的权限共性创建身份识别与访问管理平台的SDK，通过所述SDK将所述业务系统接入身份识别与访问管理平台，包括：接收业务系统申请接入身份识别与访问管理平台的请求，根据所述请求获取所述业务系统的权限配置标准以及业务介绍信息；统计所有业务系统权限配置标准的权限共性，根据权限共性创建身份识别与访问管理平台的SDK；向所述业务系统返回一个用于接入身份识别与访问管理平台的身份密钥，并将所述业务介绍信息存储在SDK内。3.根据权利要求1所述的一种统一内控安全管理方法，其特征在于，所述统一内控安全管理方法，还包括：接收来自用户的权限申请，根据所述权限申请中所登记的用户信息、岗位及所属部门匹配与所述用户相关的业务系统；根据所述业务系统的权限配置标准授予用户访问该业务系统的权限。4.根据权利要求3所述的一种统一内控安全管理方法，其特征在于，所述判断所述用户是否有授权的记录，包括：判断用户被授予访问权限的业务系统中是否包含用户请求访问的业务系统，是则通过用户的业务系统访问请求，反之则拦截用户的业务系统访问请求，并返回权限申请提醒。5.根据权利要求1所述的一种统一内控安全管理方法，其特征在于，所述审计日志包括：用户名、IP地址、操作路径、业务系统名称、操作参数和操作时间...

【专利技术属性】
技术研发人员：黄瀚，
申请(专利权)人：杭州恩牛网络技术有限公司，
类型：发明
国别省市：浙江,33