全局用户安全组的自动移除的制作方法

专利名称：全局用户安全组的自动移除的制作方法
全局用户安全组的自动移除
相关申请交叉参考
参考于2010 年 5 月 27 日提交的、题为 “AUTOMATING ENFORCEMENT OF IT WORKFLOWS”的美国临时专利申请第61/348,806号，其全部内容结合于此作为参考并且根 据37CFR1.78 (a)和(5) (i)在此要求其优先权。
参考于2010 年 8 月 23 日提交的、题为“AUTOMATIC REMOVAL OF GLOBAL USER SE⑶RITY GROUPS”的美国专利申请第12/861，059号，其全部内容结合于此作为参考并且根 据37CFR1.78 (a)和(5) (i)在此要求其优先权。
还参考以下由受让人拥有的专利和专利申请，其全部内容结合于此作为参考
美国专利第7，55，4825号和7，606，801号；以及
美国公开专利申请第2007/0244899、2008/0271157、2009/0100058、2009/0119298 和 2009/0265780 号。技术领域
本发明大体上涉及数据管理系统和方法学，尤其涉及数据访问权限管理系统和方 法学。
背景技术：
认为以下专利公开代表了本领域的当前状况
美国专利第5，465，387 ;5，899，991 ;6，338，082 ;6，393，468 ;6，928，439 ; 7，031，984 ;7，068，592 ;7，403，925 ;7，421，740 ;7，555，482 和 7，606，801 号;以及
美国公开专利申请第2003/0051026 ；2004/0249847 ；2005/0108206 ； 2005/0203881 ； 2005/0120054 ； 2005/0086529 ； 2006/0064313 ； 2006/0184530 ； 2006/0184459 和 2007/0203872 号。发明内容
本发明旨在提供改进的数据访问权限管理系统和方法学。因此，根据本发明的优 选实施方式，提供一种由至少部分地基于实际访问的计算机安全策略来自动地替换基于用 户安全组的计算机安全策略的企业系统，该系统包括习得访问权限子系统，可操作地学习 企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有 权访问哪些网络对象的用户安全组的成员的指示；习得实际访问子系统，可操作地学习企 业中的用户对网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象 的指示；以及计算机安全策略管理子系统，从习得访问权限子系统和习得实际访问子系统 接收指示，并且可操作地利用至少部分地基于实际访问的访问权限自动地替换预选的基于 用户安全组的访问权限，而不中断对网络对象的用户访问。
根据本发明的优选实施方式，计算机安全策略管理子系统包括替换启动功能，其 基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
优选地，系统还包括替换前通知和授权子系统，在执行替换之前，该子系统操 作地向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生 访问权限变化，请求他们的授权，并且在没有授权的情况下，阻止对于网络对象中的至 少一部分以及没有收到其授权的用户中的至少一部分执行替换。优选地，用户安全组是 MIGROSiOFT EVERYONE GROUP。
此外，计算机安全策略管理子系统操作地利用部分地基于实际访问以及部分地基 于预先存在的访问权限(其不是预选的基于用户安全组的访问权限)的访问权限来自动地 替换该预选的基于用户安全组的访问权限。可替换地，计算机安全策略管理子系统操作地 利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访 问简档的相似性的访问权限来自动地替换预选的基于用户安全组的访问权限。可替换地， 计算机安全策略管理子系统操作地利用基于预先存在的访问权限(其不是预选的基于用户 安全组的访问权限)自动地替换该预选的基于用户安全组的访问权限。
优选地，计算机安全策略管理子系统包括仿真启动功能，其基于人员管理员预先 确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户 安全组的访问权限的仿真。
根据本发明的另一个优选实施方式，还提供一种企业系统，用于对由计算机安全 策略替换基于用户安全组的计算机安全策略进行仿真，该系统包括习得访问权限子系统， 可操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供 哪些用户是有权访问哪些网络对象的用户安全组的成员的指示；习得实际访问子系统，可 操作地学习企业中的用户对网络对象的实际访问历史，并且提供哪些用户已经实际访问了 哪些网络对象的指示；以及计算机安全策略仿真子系统，从习得访问权限子系统和习得实 际访问子系统接收指示，并且可操作地对利用至少部分地基于实际访问的访问权限替换预 选的基于用户安全组的访问权限进行自动仿真，而不中断对网络对象的用户访问。
根据本发明的优选实施方式，该系统还包括替换前通知和授权子系统，该子系统 自动操作地向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中 发生访问权限变化，请求他们的授权。优选地，用户安全组是MICROSOFT EVERYONE GROUP。
根据本发明的再一个优选实施方式，进一步提供一种方法，用于由至少部分地基 于实际访问的计算机安全策略来自动地替换基于用户安全组的计算机安全策略，该方法包 括学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些 用户是有权访问哪些网络对象的用户安全组的成员的指示；学习企业中的用户对网络对象 的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及接收指示， 并且利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问 权限，而不中断对网络对象的用户访问。
根据本发明的优选实施方式，该方法包括基于由人员管理员预先确定的调度自动 地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的 自动替换。
优选地，该方法还包括在执行替换之前，向预定风险承担者通知作为该替换的结果预计会在网络对象中的预定对象中发生访问权限变化，请求他们的授权，并且在没有授 权的情况下，阻止对于网络对象中的至少一部分以及没有收到其授权的用户中的至少一部 分执行替换。优选地，用户安全组是MICROSOFT EVERYONE GROUP。
此外，该方法包括利用部分地基于实际访问以及部分地基于预先存在的访问权 限(其不是预选的基于用户安全组的访问权限)的访问权限来自动地替换该预选的基于用 户安全组的访问权限。可替换地，该方法包括利用至少部分地基于实际访问以及至少部分 地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限来自动地替换预 选的基于用户安全组的访问权限。可替换地，该方法包括利用基于预先存在的访问权限(其 不是预选的基于用户安全组的访问权限)的访问权限自动地替换该预选的基于用户安全组 的访问权限。
优选地，该方法包括基于人员管理员预先确定的调度自动地启动利用至少部分 地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
根据本发明的又一个优选实施方式，还提供一种方法，用于对由计算机安全策略 替换基于用户安全组的计算机安全策略进行仿真，该方法包括学习企业中的用户对于企 业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象 的用户安全组的成员的指示；学习企业中的用户对网络对象的实际访问历史，并且提供哪 些用户已经实际访问了哪些网络对象的指示；以及接收指示，并且对利用至少部分地基于 实际访问的访问权限替换预选的基于用户安全组的访问权限进行自动仿真，而不中断对网 络对象的用户访问。
根据本发明的优选实施方式，该方法还包括向预定风险承担者通知作为该替换的 结果预计会在网络对象中的预定对象中发生访问权限变化，请求他们的授权。优选地，用户 安全组是]VOCROSOFT EVERYONE GROUP。


根据以下详细描述并结合附图，将充分理解并认识本发明
图1A、1B、1C、1D和IE是根据本发明的优选实施方式所构造并操作地用于由至少 部分地基于实际访问的计算机安全策略来替代基于用户安全组的计算机安全策略的企业 系统的运行的简化示图；以及
图2是表示图1中系统运行中的步骤的简化流程图。
具体实施方式
现在，参考图1A、1B、1C、1D和1E，其是根据本发明的优选实施方式所构造并操作 地用于由至少部分地基于实际访问的计算机安全策略来替代基于用户安全组的计算机安 全策略的企业系统的运行的简化示图。
通常，如图1A至IE所示，对于包括至少一个服务器102和多个客户端104的计算 机网络100来说，网络对象访问权限管理系统是有用的。最好还提供一个或多个存储装置 106。该系统最好驻留在至少一个服务器102内，并且最好包括
习得访问权限子系统110，操作地学习企业中的用户对于驻留在企业计算机环境 中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示；
习得实际访问子系统112，操作地学习企业中的用户对于网络对象的实际访问历 史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及
计算机安全策略管理子系统114，从习得访问权限子系统110和习得实际访问子 系统112接收指示，并且操作地利用至少部分地基于实际访问的访问权限来自动地替换预 选的基于用户安全组的访问权限，而不中断对网络对象的用户访问。
针对本申请的目的，术语“网络对象”被定义成包括在任何市售计算机操作系统上 的用户生成企业计算机网络资源。网络对象的例子包括结构化以及非结构化的计算机数据 资源(例如，文件和文件夹)以及用户组。
现在转向图1A，可以看到，IT经理会惊慌地发现其网络中的部分或全部网络对 象能够被该企业中所有或几乎所有的用户访问，这些用户全部是M丨CROSOFT Bvery Group的成员。应理解的是,MICROSOFT Every Group并不包含其所有成员的显式或 可搜索列表。
如图1B所示，IT经理安装本发明的网络对象访问权限管理系统，除了上述元件以 外，该系统优选地还包括访问权限数据库116和实际访问数据库118。应该理解的是，子系 统110和112以及数据库116和118作为纽约的纽约Varonis有限公司的DATADVANTAGE 产品的一部分是市售的。
图1C示出了在学习期间(典型地可以延长至数周内)通过子系统110和112的 运行对数据库116和118进行的自动填充(population)。在申请人/受让人的美国专利 7,606,801中描述了该处理。图1C还显示了计算机安全策略管理系统114的自动运行，从 习得访问权限子系统110和习得实际访问子系统112接收指示，并自动地生成利用至少部 分地基于实际访问的访问权限来代替预选的基于用户安全组的访问权限的建议，要经历操 作者确认。
正如在图1D所看到的，IT经理独自或可能与人力资源经理或其它执行者磋商来 决定是否同意该自动生成的建议。如果同意该自动生成的建议，则它们被自动地执行而不 中断对驻留在企业计算机环境中网络对象的必要的用户访问。
可替换地，正如在图1E中所看到的，子系统114可以改为利用至少部分地基于实 际访问的访问权限来替换预选的基于用户安全组的访问权限，而且无需中断对驻留在企业 计算机环境中的网络对象的必要用户访问。
现在，参考图2，其是表示图1的系统运行中的步骤的简化流程图。如图2所示，习 得访问权限子系统利用企业中的用户对于驻留在企业计算机环境中的网络对象的当前访 问权限，来连续自动地填充访问权限数据库。并行地，习得实际访问子系统利用企业中的用 户对于网络对象的实际访问历史来填充实际访问数据库。
如图2所示，安全策略管理子系统基于由访问权限子系统提供的以及来自实际访 问子系统的信息，自动生成访问权限建议。IT经理对这些建议进行评审，并决定是否同意它 们针对由安全策略管理子系统的自动执行。可替换地，该安全策略管理子系统可以自动地 执行这些建议。
本领域技术人员将会理解的是，本发明并不局限于上文中具体显示和描述的内 容。相反，本发明的范围包括通过阅读前述描述对本领域技术人员而言存在的、并且现有技术中所没有的上文描述的各种特征的组合和再组合以及它们的修改。
权利要求
1.一种由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，所述系统包括 习得访问权限子系统，操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示； 习得实际访问子系统，操作地学习企业中的所述用户对所述网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及 计算机安全策略管理子系统，从所述习得访问权限子系统和所述习得实际访问子系统接收所述指示，并且操作地利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限，而不中断对所述网络对象的用户访问。
2.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述计算机安全策略管理子系统包括替换启动功能，基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
3.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，还包括 替换前通知和授权子系统，在执行所述替换之前，向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化，请求他们的授权，并且在没有所述授权的情况下，阻止对于所述网络对象中的至少一部分以及没有收到授权的所述用户中的至少一部分执行所述替换。
4.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述用户安全组是MICROSOFT EVERYONE GROUP。
5.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述计算机安全策略管理子系统操作地利用部分地基于实际访问以及部分地基于预先存在的访问权限的访问权限来自动地替换预选的基于用户安全组的访问权限，其中，所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
6.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述计算机安全策略管理子系统操作地利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限自动地替换预选的基于用户安全组的访问权限。
7.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述计算机安全策略管理子系统操作地利用基于预先存在的访问权限自动地替换预选的基于用户安全组的访问权限，其中，所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
8.根据权利要求1所述的由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的企业系统，其中，所述计算机安全策略管理子系统包括仿真启动功能，基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
9.一种用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统，所述系统包括 习得访问权限子系统，操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示； 习得实际访问子系统，操作地学习企业中的所述用户对所述网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及 计算机安全策略仿真子系统，从所述习得访问权限子系统和所述习得实际访问子系统接收所述指示，并且操作地对利用至少部分地基于实际访问的访问权限替换预选的基于用户安全组的访问权限进行自动仿真，而不中断对所述网络对象的用户访问。
10.根据权利要求9所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统，还包括 替换前通知和授权子系统，自动操作地向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化，请求他们的授权。
11.根据权利要求9所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的企业系统，其中，所述用户安全组是MICROSOFT EVERYONE GROUP。
12.一种用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，所述方法包括 学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示； 学习企业中的所述用户对所述网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及 接收所述指示，并且利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限，而不中断对所述网络对象的用户访问。
13.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述方法包括基于由人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限对预选的基于用户安全组的访问权限的自动替换。
14.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，还包括 在执行所述替换之前，向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化，请求他们的授权，并且在没有所述授权的情况下，阻止对于所述网络对象中的至少一部分以及没有收到授权的所述用户中的至少一部分执行所述替换。
15.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述用户安全组是MICROSOFT EVERYONE GROUP。
16.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述方法包括利用部分地基于实际访问以及部分地基于预先存在的访问权限的访问权限来自动地替换预选的基于用户安全组的访问权限，其中，所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
17.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述方法包括利用至少部分地基于实际访问以及至少部分地基于对于已实际访问的用户的用户实际访问简档的相似性的访问权限来自动地替换预选的基于用户安全组的访问权限。
18.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述方法包括利用基于预先存在的访问权限的访问权限自动地替换预选的基于用户安全组的访问权限，其中，所述预先存在的访问权限不是所述预选的基于用户安全组的访问权限。
19.根据权利要求12所述的用于由至少部分地基于实际访问的计算机安全策略自动地替换基于用户安全组的计算机安全策略的方法，其中，所述方法包括基于人员管理员预先确定的调度自动地启动利用至少部分地基于实际访问的访问权限来替换预选的基于用户安全组的访问权限的仿真。
20.一种用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法，所述方法包括 学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示； 学习企业中的所述用户对所述网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及 接收所述指示，并且对利用至少部分地基于实际访问的访问权限替换预选的基于用户安全组的访问权限进行自动仿真，而不中断对所述网络对象的用户访问。
21.根据权利要求20所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法，还包括 向预定风险承担者通知作为所述替换的结果预计会在所述网络对象中的预定对象中发生访问权限变化,请求他们的授权。
22.根据权利要求20所述的用于对由计算机安全策略替换基于用户安全组的计算机安全策略进行仿真的方法，其中，所述用户安全组是MICROSOFT EVERYONE GROUP。
全文摘要
本发明涉及一种用于由至少部分地基于实际访问的计算机安全策略来自动地替换基于用户安全组的计算机安全策略的系统，包括习得访问权限子系统，可操作地学习企业中的用户对于企业计算机环境中的网络对象的当前访问权限，并且提供哪些用户是有权访问哪些网络对象的用户安全组的成员的指示；习得实际访问子系统，可操作地学习企业中的用户对网络对象的实际访问历史，并且提供哪些用户已经实际访问了哪些网络对象的指示；以及计算机安全策略管理子系统，从习得访问权限子系统和习得实际访问子系统接收指示，并且可操作地利用至少部分地基于实际访问的访问权限自动地替换预选的基于用户安全组的访问权限，而不中断对网络对象的用户访问。
文档编号G06F17/00GK103026352SQ201180036278
公开日2013年4月3日 申请日期2011年1月23日 优先权日2010年5月27日
发明者雅各布·费特尔松, 奥哈德·科尔库斯, 奥菲尔·克雷策-卡齐尔, 戴维·巴斯 申请人:瓦欧尼斯系统有限公司