本发明涉及一种基于操作行为反馈的细粒度动态权限管控方法,属于工控安全领域。
背景技术:
1、近年来,工业控制系统与工业互联网呈现出深度融合的态势,大幅提升了工业生产的智能化程度,但也同时带来了新的安全挑战。
2、传统封闭式工控系统平台很少考虑其安全防护能力,缺少保护重要过程数据的功能,而对于跨域跨网工控系统平台,在没有数据管控的情况下,不同的操作员都可以通过该平台无差别访问到其他操作主机上的数据,严重影响该平台的安全性。因此,本任务基于此需求,研制开发一套可以集成于跨域跨网工控系统平台的应用层细粒度管控软件,通过结合角色安全阈值、用户信任度等多维安全策略,并通过综合考量操作者的行为及访问文件属性,对其权限进行实时动态调控,解决工控系统跨域用户接入引入安全风险问题。
3、在工控编程平台实际运行过程当中,会存在工程文件、执行标准、操作规范、关键技术共享文档等工控过程中的相关数据,目前的工控系统平台缺乏对此类数据的细粒度安全管控。因此,针对工控系统平台工控过程中产生的相关数据,从引发数据风险的行为出发研究应用层细粒度管控机制,研制应用层细粒度管控软件是一个急需解决的问题。
4、目前,工控系统平台正处于从传统封闭式单主机版本向跨域跨网模式转变过程中,大多数管控系统只根据用户的身份信息,对登录人员进行相关操作权限的管控,尚无可适配于跨域跨网工控系统平台的实时动态权限管控系统。通过综合考量操作者的操作特征和行为,实时动态地细粒度管控用户的权限。
技术实现思路
1、针对上述技术不足,本发明的目的提供一种基于操作行为反馈的细粒度动态权限管控方法,通过建立用户操作权限映射,利用对不同用户从内容敏感和操作敏感两个方面识别到的敏感访问,动态调整不同用户的操作权限,保障跨域工控系统运行中的数据安全。本发明能够在跨域工控系统不同用户的操作过程中,通过分析用户的操作行为,动态调整用户的操作权限,从而防止数据安全问题的发生,实现跨域工控系统的安全稳定运行。
2、本发明为实现上述目的所采用的技术方案是:
3、一种基于操作行为反馈的细粒度动态权限管控方法,包括以下步骤:
4、1)定义访问控制策略,根据跨域工控系统中文件及操作的实际情况,对不同的文件设定不同的访问权限等级;
5、2)基于角色的访问控制策略,利用授权主体的对不同用户角色分配操作权限;
6、3)从内容敏感和操作敏感两个方面识别敏感访问,并基于识别到的敏感访问信息,根据不同的敏感等级,动态调整不同用户的操作权限。
7、所述步骤1)具体为:
8、对于不同的文件从文件本身等级属性和文件包含敏感信息数量定义访问权限等级,并且,选择两者间较高的等级作为该文件的最终访问权限等级。
9、从文件本身等级属性定义访问权限等级,具体为:
10、超级管理员根据文件来源、用途方面因素设置该文件的访问权限等级。
11、从文件包含敏感信息数量定义访问权限等级,具体为:
12、将文件中与敏感词库进行匹配,获得文件中敏感词的数量,将其与阈值区间进行比较,所在区间即为该文件的访问权限等级。
13、所述步骤2)包括以下步骤:
14、2.1)定义n个用户角色,将资源分配给对应角色,使资源与角色进行绑定;
15、2.2)为角色配置敏感词匹配阈值,当某个文件的敏感词匹配数量超过该阈值时,则不可访问;
16、2.3)将角色绑定权限等级,将其与文件的访问权限等级进行匹配,若匹配失败,则不可访问。
17、所述步骤3)包括以下步骤:
18、3.1)内容敏感:根据文件的访问权限等级进行识别,当操作者短时间内对某文件的访问次数超过设定阈值时,则将该操作者标记为内容敏感,同时向管理中心报警并进行权限调整;
19、3.2)操作敏感:根据操作者的操作行为进行识别,当操作者有超越权限的行为尝试或者在非工作时段进行了合规操作时,则将该操作者标记为操作敏感,同时向管理中心报警并进行权限调整。
20、一种基于操作行为反馈的细粒度动态权限管控系统,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现所述的一种基于操作行为反馈的细粒度动态权限管控方法。
21、一种计算机可读存储介质,所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现所述的一种基于操作行为反馈的细粒度动态权限管控方法。
22、本发明具有以下有益效果及优点:
23、1.本发明建立了工控系统平台中的细粒度权限管控方法,为工控系统平台安全防御提供了工具。
24、2.本发明区别于现有的较为固定式基于身份认证的权限管控方法,通过对用户的行为及用户操作的文件属性,动态调整不同用户对应的操作权限,在构建原理方面研究了动态权限管控方法。
25、3.本发明为满足工业系统由封闭式向多域开放式转变,利用基于角色的阈值和信任度量等方法,实现自适应动态权限调整方法。
1.一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,所述步骤1)具体为:
3.根据权利要求2所述的一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,从文件本身等级属性定义访问权限等级,具体为:
4.根据权利要求2所述的一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,从文件包含敏感信息数量定义访问权限等级,具体为:
5.根据权利要求1所述的一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,所述步骤2)包括以下步骤:
6.根据权利要求1所述的一种基于操作行为反馈的细粒度动态权限管控方法,其特征在于,所述步骤3)包括以下步骤:
7.一种基于操作行为反馈的细粒度动态权限管控系统,其特征在于,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如权利要求1-6任一项所述的一种基于操作行为反馈的细粒度动态权限管控方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-6任一项所述的一种基于操作行为反馈的细粒度动态权限管控方法。