本發明公開了一種動態最小化特權訪問控制方法及裝置，方法包括：將不同特權訪問規則分配到相應特權訪問用戶上；用戶登錄后只能看到自己對應特權訪問規則范圍內的特權賬號，只能對特權賬號進行特權訪問規則范圍內的特權訪問；在進行特權訪問過程中所進行的命令或操作及看到的數據都被動態權限執行模塊判斷是否符合特權訪問規則；不符合時，用戶的特權訪問操作被攔截，或者顯示的數據被遮蔽；當產生與使用軌跡不相符的活動記錄時，特權行為分析模塊定義活動記錄為威脅，由動態權限執行模塊根據特權訪問規則對當前特權訪問操作進行判斷是否需要攔截。本發明能確保相關人員只能進行與自己相匹配的最小權限的特權訪問，有效避免人員越權操作。

技術領域

本發明涉及特權訪問安全控制領域，特別涉及一種動態最小化特權訪問控制方法及裝置。

背景技術

特權訪問是指對具有高風險(如可以啟停設備的管理員賬號)或具有高價值(如可以讀取業務敏感數據的應用賬號)的特權賬號進行使用/訪問的過程，但并不是所有特權訪問都需要用到特權賬號的所有權限或功能。近幾年發生的重大安全事件(刪庫/數據泄露)往往都是由于需要進行特權訪問的人員所擁有特權賬號的權限范圍遠遠大于自身所需使用的權限，從而使該人員可以“合法”的進行非法操作。因此，動態的對擁有特權賬號的相關人員的特權訪問進行顆粒度的控制，就顯得尤為重要。然而，目前還沒有能避免出現越權訪問的有效方法。

發明內容

本發明要解決的技術問題在于，針對現有技術的上述缺陷，提供一種能確保相關人員只能進行與自己相匹配的最小權限的特權訪問，有效避免人員越權操作的動態最小化特權訪問控制方法及裝置。

本發明解決其技術問題所采用的技術方案是：構造一種動態最小化特權訪問控制方法，包括如下步驟：

A)采用特權信息收集模塊對用戶及目標的特權訪問信息進行收集及整理，構建成一個信息庫，并不定期更新；

B)采用動態權限執行模塊對收集好的特權賬號及特權訪問信息進行邏輯歸類，通過動態最小化特權訪問控制算法計算出最小化后的特權訪問規則；

C)采用動態權限執行模塊將所述特權訪問規則應用到特權訪問門戶模塊上，并與所述特權訪問門戶模塊結合，將不同特權訪問規則分配到相應特權訪問用戶上；

D)需要進行特權訪問的用戶通過所述特權訪問門戶模塊進行登錄，不同用戶登錄后只能看到自己對應特權訪問規則范圍內的特權賬號，也只能對特權賬號進行特權訪問規則范圍內的特權訪問；

E)用戶在進行特權訪問過程中所進行的命令或操作以及所看到的數據都被所述動態權限執行模塊判斷是否符合特權訪問規則，如是，執行步驟G)；否則，執行步驟F)；

F)用戶的特權訪問操作被攔截，或者顯示的數據被遮蔽；

G)正常進行特權訪問，執行步驟H)；

H)特權行為分析模塊對用戶在所述特權訪問門戶模塊上產生的活動記錄進行分析與建模，得出用戶使用軌跡；

I)判斷是否產生與所述使用軌跡不相符的活動記錄，如是，執行步驟J)；否則，執行步驟K)；

J)所述特權行為分析模塊定義所述活動記錄為威脅，并將告警發送至所述動態權限執行模塊，由所述動態權限執行模塊根據特權訪問規則對當前特權訪問操作進行判斷是否需要攔截；

K)正常進行特權訪問。

在本發明所述的動態最小化特權訪問控制方法中，所述特權信息收集模塊負責對需要進行特權訪問的人員所需的特權訪問信息進行收集，所述特權訪問信息至少包括使用命令和瀏覽數據。

在本發明所述的動態最小化特權訪問控制方法中，所述動態權限執行模塊負責對收集好的特權訪問信息進行邏輯歸類，通過動態最小化特權訪問控制算法計算出最小化后的特權訪問規則，并將所述特權訪問規則應用到所述特權訪問門戶模塊上。