【技术实现步骤摘要】
访问控制方法、装置、电子设备及介质
本公开涉及网络安全
,特别是涉及一种访问控制方法、装置、电子设备及介质。
技术介绍
随着云计算、大数据、物联网等新技术的广泛应用,企业逐渐将业务迁移到云进行数据中心的建设,IT基础设施正在发生变革,使得传统的网络边界概念逐渐模糊,给企业身份认证和授权带来了新的挑战。传统的身份认证体系往往存在如下问题:第一,传统的网络安全防护方式采用基于网络访问控制列表(ACL)进行静态授权,静态授权模式无法对访问者行为合法性进行实时的权限管控和动态调整,难以满足最小权限原则。第二,云计算、微服务、容器编排等技术已经随环境变化变得越来越动态和异构,传统基于四层网络控制策略的访问控制的安全实践在这种复杂性下难以扩展。第三,企业的各应用拥有者管理方式的差异导致用户权限粒度不同,管控策略不同,从而形成各自独立“权限管控”孤岛,难以统一管控。第四,无法防御身份伪装、权限滥用、终端多样、网络复杂等带来的安全风险。
技术实现思路
本公开的一个方面提供了一种访问控制方法,...
【技术保护点】
1.一种访问控制方法,包括:/n根据访问用户的历史行为数据建立所述访问用户的第一行为基线;/n根据所述第一行为基线对所述访问用户进行身份认证;以及/n对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。/n
【技术特征摘要】
1.一种访问控制方法,包括:
根据访问用户的历史行为数据建立所述访问用户的第一行为基线;
根据所述第一行为基线对所述访问用户进行身份认证;以及
对于认证通过的访问用户,进行风险动态评估,对于存在风险的访问用户,阻断该访问用户的访问或降低访问权限。
2.根据权利要求1所述的方法,其中,所述第一行为基线包括所述访问用户的日常访问的操作时间段、地理位置、操作频次、使用设备中的至少一个;
所述根据所述第一行为基线对所述访问用户进行身份认证,包括:
判断所述访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与所述第一行为基线包括的所述访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致;
若一致,并且静态口令及动态口令校验成功,则身份认证通过。
3.根据权利要求1所述的方法,其中,在根据访问用户的历史行为数据建立所述访问用户的第一行为基线之后,所述方法还包括:
感知及分析所述访问用户使用的访问终端设备的环境的安全状态;
根据所述安全状态及所述第一行为基线对所述访问用户进行身份认证。
4.根据权利要求3所述的方法,其中,所述感知及分析所述访问用户使用的访问终端设备的环境的安全状态,包括:
对所述访问终端设备进行基础安全感知;
和/或对所述访问终端设备进行系统安全感知;
和/或对所述访问终端设备进行应用合规感知;
和/或对所述访问终端设备进行健康状况感知;
其中,所述基础安全感知包括病毒APT环境感知或系统漏洞环境感知;所述系统安全感知包括登录失败限制或系统更新事件审核或账户访问控制;所述应用合规感知软件环境感知或服务环境感知;所述健康状况感知包括组策略感知。
5.根据权利要求3所述的方法,其中,所述第一行为基线包括所述访问用户的日常访问的操作时间段、地理位置、操作频次、使用设备中的至少一个;
所述根据所述安全状态及所述第一行为基线对所述访问用户进行身份认证,包括:
根据所述安全状态确定所述访问终端设备的环境是否安全;
判断所述访问用户当前访问的操作时间段或地理位置或使用设备或操作频次与所述第一行为基线包括的所述访问用户的日常访问的操作时间段或地理位置、或使用设备或操作频次是否一致;
若一致,所述访问终端的环境安全,并且静态口令及动态口令校验成功,则身份认证通过。
6.根据权利要求1所述的方法,其中,所述对于认证通过的访问用户,进行风险动态评估包括:
计算所述访问用户当前访问过程的第二行为基线,其中,所述第二行为基线用于表征当前访问过程所述访问用户的访问行为;
将所述第二行为基线与所述第一行为基线进行对比,若一致,则不存在访问风险,若不一致,则存在访问风险。
7.根据权利要求1所述的方法,其中,所述对于认证通过的访问用户,进行风险动态评估包括:
计算所述访问用户当前访问过程的第二行为基线,其中,...
【专利技术属性】
技术研发人员:成辰,金海旻,蒋晓晶,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。