一种特权账号的权限控制管理方法与流程

本发明属于特权账号安全技术领域，具体涉及一种特权账号的权限控制管理方法。

背景技术：

当前网络环境安全事件频繁发生，按来源可分为外部攻击与内部隐患两类。在被统计的各类安全事件数据中，有85％以上的信息安全事故与内部人员有关。这些事故起因包含主动的恶意行为，如数据窃取与泄漏，不当的越权访问和恶意破坏等；也包含各种非故意引起的灾害，如权限分配不当而造成的资料误删和误操作等；再则就是it运维管理人员的特权账号保管不当，无意间泄漏了帐号或密码被有心人利用，从而造成巨大的损失。

当前某些企业的服务器、数据库和业务系统众多，特权账号无处不在。但是大部分的特权账号没有遵循最小权限原则，在没有规范管理流程和做出审计的情况下，root或管理员权限被大量发放，造成了安全隐患。部分特权账号被多人共享，账号授权平台没有根据授权凭证或申请人资质下发相应的授权；第三方运维人员更换频繁，无法对运维管理特权账号的交接有效管控，没有定时对特权账号的权限凭证进行有效审核，导致本该被删除特权账号仍被使用。因此对重要设备或重要系统的特权帐号的权限进行权限控制势在必行。

技术实现要素：

本发明的目的是为了解决特权账号安全性的问题，提出了一种特权账号的权限控制管理方法。

本发明的技术方案是：一种特权账号的权限控制管理方法包括以下步骤：

s1：通过用户向管理平台申请注册特权账号并登录特权账号；

s2：通过用户提升特权账号的操作权限；

s3：利用管理平台对提升操作权限后的特权账号进行权限检查，并生成审计信息；

s4：根据权限检查通过的用户的需求，通过运维管理员分配用户的账号权限，完成特权账号的权限控制管理流程。

本发明的有益效果是：本发明的权限控制管理方法是一套安全便捷的账号权限管理流程，包括对账号初始权限的设置，同时根据用户申请对其账号的修改提权，并加载单点登录功能，运维管理员可以根据用户不同的身份设置其特权账号在不同业务系统中的账号权限，限制或方便其相关操作，进一步提高用户的效率，使用户不再被多次登录困扰，也不需要记住多个id和密码。同时简化管理，减轻运维管理员的管理负担，方便运维管理员对不同用户的账号进行相应的权限分配。在满足用户基本需求的前提下，严格控制普通用户账号的权限，保护数据以及功能避免受到错误或恶意行为的破坏。

进一步地，步骤s1包括以下子步骤：

s11：通过用户向管理平台申请注册特权账号；

s12：利用管理平台批准用户的特权账号申请，并获取用户属性信息；

s13：将用户属性信息记录到后台数据库中，并下发账号登录凭证给用户；

s14：根据账号登录凭证，用户登录特权账号。

上述进一步方案的有益效果是：在本发明中，用户登录特权账号需要登录凭证才能实现，保证了特权账号登录的安全性。

进一步地，步骤s12中，用户属性信息包括用户的账号名称、账号密码和默认权限。

上述进一步方案的有益效果是：在本发明中，用户属性信息通过管理平台获取得到，便于后台数据库储存用户信息。

进一步地，步骤s2中，当用户需要访问被保护的文件时，通过运维管理员向管理平台发出访问申请，运维管理员通过管理平台的授权模块提升特权账号的操作权限，实现用户的访问权限操作。

上述进一步方案的有益效果是：在本发明中，提升用户特权账号的操作权限可以便于用户访问被保护的文件。

进一步地，步骤s3包括以下子步骤：

s31：利用管理平台检查用户的访问登录权限；

s32：利用管理平台的单点登录功能，访问登录权限通过后的与管理平台相关联的子业务系统和管理平台的db数据库；

s33：利用管理平台的权限控制引擎，判断用户特权账号的访问权限设置是否通过，若是则进入步骤s34，否则返回步骤s32；

s34：通过审计模块，将用户访问与管理平台相关联的子业务系统和管理平台的db数据库的访问结果生成审计信息。

上述进一步方案的有益效果是：在本发明中，用户登录特权账号后，管理平台会对其权限进行检查并生成审计信息，进一步提高用户的效率；审计信息的作用是记录访问结果。

进一步地，步骤s32中，单点登录功能为：用户只需通过一次认证登录就可以通过单点登录，并可以访问与管理平台相关联的子业务系统和管理平台的db数据库。

上述进一步方案的有益效果是：在本发明中，单点登录功能使用户不再被多次登录困扰。

进一步地，步骤s33中，若用户特权账号的访问权限设置通过，则允许用户读写管理平台的访问操作。

上述进一步方案的有益效果是：在本发明中，访问权限设置通过的用户可以在管理平台进行访问操作。

进一步地，步骤s4具体为：通过运维管理员建立不同用户和管理平台中不同业务系统的权限关系，根据权限检查通过的用户的需求，分配不同用户在不同业务系统中的账号权限。

上述进一步方案的有益效果是：在本发明中，通过运维管理员根据用户的需求，分配账号权限，可以有效防止信息泄露和数据篡改，方便用户使用。

附图说明

图1为权限控制管理方法的流程图；

图2为步骤s3的流程图。

具体实施方式

下面结合附图对本发明的实施例作进一步的说明。

如图1所示，本发明提供了一种特权账号的权限控制管理方法，包括以下步骤：

s1：通过用户向管理平台申请注册特权账号并登录特权账号；

s2：通过用户提升特权账号的操作权限；

s3：利用管理平台对提升操作权限后的特权账号进行权限检查，并生成审计信息；

s4：根据权限检查通过的用户的需求，通过运维管理员分配用户的账号权限，完成特权账号的权限控制管理流程。

在本发明实施例中，如图1所示，步骤s1包括以下子步骤：

s11：通过用户向管理平台申请注册特权账号；

s12：利用管理平台批准用户的特权账号申请，并获取用户属性信息；

s13：将用户属性信息记录到后台数据库中，并下发账号登录凭证给用户；

s14：根据账号登录凭证，用户登录特权账号。

在本发明中，用户登录特权账号需要登录凭证才能实现，保证了特权账号登录的安全性。

在本发明实施例中，如图1所示，步骤s12中，用户属性信息包括用户的账号名称、账号密码和默认权限。在本发明中，用户属性信息通过管理平台获取得到，便于后台数据库储存用户信息。

在本发明实施例中，如图1所示，步骤s2中，当用户需要访问被保护的文件时，通过运维管理员向管理平台发出访问申请，运维管理员通过管理平台的授权模块提升特权账号的操作权限，实现用户的访问权限操作。在本发明中，提升用户特权账号的操作权限可以便于用户访问被保护的文件。

在本发明实施例中，如图2所示，步骤s3包括以下子步骤：

s31：利用管理平台检查用户的访问登录权限；

s32：利用管理平台的单点登录功能，访问登录权限通过后的与管理平台相关联的子业务系统和管理平台的db数据库；

s33：利用管理平台的权限控制引擎，判断用户特权账号的访问权限设置是否通过，若是则进入步骤s34，否则返回步骤s32；

s34：通过审计模块，将用户访问与管理平台相关联的子业务系统和管理平台的db数据库的访问结果生成审计信息。

在本发明中，用户登录特权账号后，管理平台会对其权限进行检查并生成审计信息，进一步提高用户的效率；审计信息的作用是记录访问结果。

在本发明实施例中，如图2所示，步骤s32中，单点登录功能为：用户只需通过一次认证登录就可以通过单点登录，并可以访问与管理平台相关联的子业务系统和管理平台的db数据库。在本发明中，单点登录功能使用户不再被多次登录困扰。

在本发明实施例中，如图2所示，步骤s33中，若用户特权账号的访问权限设置通过，则允许用户读写管理平台的访问操作。在本发明中，访问权限设置通过的用户可以在管理平台进行访问操作。

在本发明实施例中，如图1所示，步骤s4具体为：通过运维管理员建立不同用户和管理平台中不同业务系统的权限关系，根据权限检查通过的用户的需求，分配不同用户在不同业务系统中的账号权限。在本发明中，通过运维管理员根据用户的需求，分配账号权限，可以有效防止信息泄露和数据篡改，方便用户使用。

本发明的工作原理及过程为：首先通过用户向管理平台申请注册特权账号并登录特权账号；然后通过用户提升特权账号的操作权限；再利用管理平台对提升操作权限后的特权账号进行权限检查；最后根据权限检查通过的用户的需求，通过运维管理员分配用户的账号权限，完成特权账号的权限控制管理流程。

本发明的有益效果为：本发明的权限控制管理方法是一套安全便捷的账号权限管理流程，包括对账号初始权限的设置，同时根据用户申请对其账号的修改提权，并加载单点登录功能，运维管理员可以根据用户不同的身份设置其特权账号在不同业务系统中的账号权限，限制或方便其相关操作，进一步提高用户的效率，使用户不再被多次登录困扰，也不需要记住多个id和密码。同时简化管理，减轻运维管理员的管理负担，方便运维管理员对不同用户的账号进行相应的权限分配。在满足用户基本需求的前提下，严格控制普通用户账号的权限，保护数据以及功能避免受到错误或恶意行为的破坏。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。