一种零信任场景下业务自动发现和自动授权的方法技术

本发明专利技术公开了一种零信任场景下业务自动发现和自动授权的方法，步骤为：（1）初始分类：进行分类，并判断是否有新成立的组织，如果有则进入步骤（7），如果没有则进入步骤（2）；（2）对信用等级进行计算；（3）针对每类用户赋予信用等级后，重新计算对应用分类和授权的影响；（4）如果对分类结果有影响，如果有则返回步骤（1），如果没有则进入步骤（5）；（5）对流量进行收集和分析；（6）如果有新发布的带有业务分类的业务系统，则进行更新并返回步骤（1）；（7）如果有新成立的组织则根据步骤（1）中确定的结果对新成立的组织进行授权。本发明专利技术去除了不必要的分析流量，还做自动化的权限分配，更符合用户需求。更符合用户需求。更符合用户需求。

【技术实现步骤摘要】
一种零信任场景下业务自动发现和自动授权的方法


[0001]本专利技术属于网络安全
，特别涉及一种零信任场景下业务自动发现和自动授权的方法。

技术介绍

[0002]每个公司的都有很多不同类型的业务系统，每个业务系统使用对象都是不同的，比如会计类软件只有财务部门会使用，而研发工具平台则是专门供研发部门人员使用的。作为零信任系统，需要针对这些业务系统做细粒度权限管控，只为该业务系统干系人分配合适的权限，其他人员则被禁止接触这些业务系统。
[0003]然而现实情况却是：当一个公司规模变大，同时业务系统逐渐变多以后，权限分配管理员很难掌握谁应当具有哪些业务系统的使用权限；同时，公司内还会存在权限管理员没有掌握的各种未经备案的各个部门或者个人私搭的业务系统(俗称影子资产)，这些业务系统要人工梳理会异常复杂，并难以梳理干净。这些业务系统依据存在的必要性，可以分为两类：一类是非业务需要的私搭乱建的业务系统，应当识别出来并禁止使用；另外一类是公司业务的确需要，但是由于之前管理流程不清晰没有梳理出来的业务系统，这些业务系统早期并没有做细粒度权限控制，不被零信任系统防护，各种设备和各种人员都能使用，安全隐患较大。然而目前没有相应完善的系统能够符合上述需求。
[0004]其中“影子资产”指在正式IT组织的正式控制之外对IT解决方案进行收购、开发或运营的资产。
[0005]现有大多数方案对资产的梳理用到的流量是全天候流量，没有针对公司人员使用业务系统的时间特点做过滤，所以会把一些不需要分析的流量也一并计算，导致数据量增多，分析时间变长，也会导致一些不存在的关联资产(比如DNS流量)被梳理出来。
[0006]目前的大多数方案的权限分配都是依靠权限管理员静态分配，即创建一个应用后，然后指定哪些用户可以访问他。但是实际上，当业务系统变多，公司人员规模较大时，权限管理员很难判断应当给用户分配且仅分配哪些必要的权限。
[0007]目前零信任方案里面权限分配是针对公司已知的那些业务系统的，没有针对未知业务的权限分配方案。现有的零信任方案中，对于已经分配的权限，基本不会有算法考虑授权过多的问题。

技术实现思路

[0008]专利技术目的：针对现有技术中存在的问题，本专利技术提供一种零信任场景下业务自动发现和自动授权的方法，不仅考虑了实际情况去除了不必要的分析流量，同时提供了动态的智能学习过程依据学习结果做自动化的权限分配，而且可以根据不同情况给与不同的分配方案，更加符合目前的用户需求。
[0009]技术方案：为解决上述技术问题，本专利技术提供一种零信任场景下业务自动发现和自动授权的方法，包括如下步骤：
[0010]步骤1：初始分类：公司梳理出每个组织在工作中需要对应的应用并进行分类，并判断是否有新成立的组织，如果有新成立的组织则进入步骤7，如果没有新成立的组织则进入步骤2；
[0011]步骤2：对信用等级进行计算；
[0012]步骤3：针对每类用户赋予信用等级后，重新计算对应用分类和授权的影响；
[0013]步骤4：如果对分类结果有影响，如果有影响则返回步骤1，如果没有影响则进入步骤5；
[0014]步骤5：对流量进行收集和分析；
[0015]步骤6；如果有新发布的带有业务分类的业务系统，则进行更新并返回步骤1；
[0016]步骤7：如果有新成立的组织则根据步骤1中确定的结果对新成立的组织进行授权。
[0017]进一步的，所述步骤1中初始分类的具体步骤如下：
[0018]步骤1.1：人工对公司已知应用资产进行分类；梳理公司已知应用资产即应用系统，对应用资产进行分类；
[0019]步骤1.2：梳理公司各个组织完成工作所需要使用的应用分类；
[0020]步骤1.3：依据梳理结果，在零信任系统上自动为应用资产增加对应的业务分类。
[0021]进一步的，所述步骤1.1中对应用资产分类分为：智能财税系统、研发工具平台、法务系统和需求管理系统。
[0022]进一步的，所述步骤1.2中梳理公司各个组织完成工作所需要使用的应用分类的具体步骤如下：结合公司组织特点，梳理出哪些组织需要访问哪些应用系统：
[0023]只有财务部人员对应使用智能财税系统；
[0024]只有研发中心人员对应使用研发工具平台；
[0025]只有法务部人员对应使用法务系统；
[0026]有且仅有售前、销售和研发中心人员对应使用需求管理系统。
[0027]进一步的，所述步骤2中对信用等级进行计算的具体步骤如下：
[0028]步骤2.1：为公司每个用户分配一个初始信任分；
[0029]步骤2.2：判断应用授权是否存在问题，并进行处理；
[0030]步骤2.3：结合步骤2.1中基础分配的初始信任分和步骤2.2中处理后的结果，计算用户新的信任等级。
[0031]进一步的，所述步骤2.1中为公司每个用户分配一个初始信任分的具体步骤如下：
[0032]步骤2.1.1：在零信任系统上建立用户信任模型，暂不启用；
[0033]步骤2.1.2：判断公司是否已经有信任评估系统，如果有则进入步骤2.1.3，如果没有则进入步骤2.1.5；
[0034]步骤2.1.3：同步公司信任评估体系中数据；
[0035]步骤2.1.4：将信任数据按照统一规则映射为信任分值；
[0036]步骤2.1.5：给所有用户一个相同的信任分值；
[0037]步骤2.1.6：启用用户信任评估模型。
[0038]进一步的，所述步骤2.2中判断应用授权是否存在问题，并进行处理，最终对用户和数据进行查询的具体步骤如下：
[0039]步骤2.2.1：持续分析自动识别出的应用资产的异常情况；
[0040]步骤2.2.2：判断业务系统是否有恶意行为，如果没有则进入步骤2.2.3，如果有则进入步骤2.2.5；
[0041]步骤2.2.3：判断是否存在用户被授权但是30
‑
60天内没有访问过的，如果有则进入步骤2.2.4，如果没有则返回步骤步骤2.2.1；
[0042]步骤2.2.4：收回该用户对该业务的访问权限；
[0043]步骤2.2.5：禁用该应用资产。
[0044]进一步的，所述步骤2.3中计算用户新的信任等级的具体步骤如下：
[0045]步骤2.3.1：查询访问该业务系统的用户，及访问历史数据；
[0046]步骤2.3.2：收集终端安全状态数据；
[0047]步骤2.3.3：采集其他安全事件；
[0048]步骤2.3.4：依据信任评估模型持续评估用户信任等级。
[0049]进一步的，所述步骤3中针对每类用户赋予信用等级后，重新计算对应用分类和授权的影响的具体步骤如下：
[0050]步骤3.1：判断用户信任等级是否发生变化，如果发生变化则进入步骤3.2，如果没有发生变化则返回步骤2.3.4；
...

【技术保护点】

【技术特征摘要】
1.一种零信任场景下业务自动发现和自动授权的方法，其特征在于，包括如下步骤：步骤1：初始分类：公司梳理出每个组织在工作中需要对应的应用并进行分类，并判断是否有新成立的组织，如果有新成立的组织则进入步骤7，如果没有新成立的组织则进入步骤2；步骤2：对信用等级进行计算；步骤3：针对每类用户赋予信用等级后，重新计算对应用分类和授权的影响；步骤4：如果对分类结果有影响，如果有影响则返回步骤1，如果没有影响则进入步骤5；步骤5：对流量进行收集和分析；步骤6；如果有新发布的带有业务分类的业务系统，则进行更新并返回步骤1；步骤7：如果有新成立的组织则根据步骤1中确定的结果对新成立的组织进行授权。2.根据权利要求1所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤1中初始分类的具体步骤如下：步骤1.1：人工对公司已知应用资产进行分类；梳理公司已知应用资产即应用系统，对应用资产进行分类；步骤1.2：梳理公司各个组织完成工作所需要使用的应用分类；步骤1.3：依据梳理结果，在零信任系统上自动为应用资产增加对应的业务分类。3.根据权利要求2所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤1.1中对应用资产分类分为：智能财税系统、研发工具平台、法务系统和需求管理系统。4.根据权利要求2所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤1.2中梳理公司各个组织完成工作所需要使用的应用分类的具体步骤如下：结合公司组织特点，梳理出哪些组织需要访问哪些应用系统：只有财务部人员对应使用智能财税系统；只有研发中心人员对应使用研发工具平台；只有法务部人员对应使用法务系统；有且仅有售前、销售和研发中心人员对应使用需求管理系统。5.根据权利要求1所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤2中对信用等级进行计算的具体步骤如下：步骤2.1：为公司每个用户分配一个初始信任分；步骤2.2：判断应用授权是否存在问题，并进行处理；步骤2.3：结合步骤2.1中基础分配的初始信任分和步骤2.2中处理后的结果，计算用户新的信任等级。6.根据权利要求5所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤2.1中为公司每个用户分配一个初始信任分的具体步骤如下：步骤2.1.1：在零信任系统上建立用户信任模型，暂不启用；步骤2.1.2：判断公司是否已经有信任评估系统，如果有则进入步骤2.1.3，如果没有则进入步骤2.1.5；步骤2.1.3：同步公司信任评估体系中数据；步骤2.1.4：将信任数据按照统一规则映射为信任分值；
步骤2.1.5：给所有用户一个相同的信任分值；步骤2.1.6：启用用户信任评估模型。7.根据权利要求5所述的一种零信任场景下业务自动发现和自动授权的方法，其特征在于，所述步骤2.2中判断应用授权是否存在问题，并进行处理，最终对用户和数据进行查询的具体步骤如下：步骤2.2.1：持续分析自动识别出的应用资产的异常情况；步骤2.2.2...

【专利技术属性】
技术研发人员：杨安印，杨正权，秦益飞，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：