CN115022008A - 一种访问风险评估方法、装置、设备及介质 - Google Patents
一种访问风险评估方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115022008A CN115022008A CN202210599418.3A CN202210599418A CN115022008A CN 115022008 A CN115022008 A CN 115022008A CN 202210599418 A CN202210599418 A CN 202210599418A CN 115022008 A CN115022008 A CN 115022008A
- Authority
- CN
- China
- Prior art keywords
- access
- information
- risk assessment
- target
- environment information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000012502 risk assessment Methods 0.000 title claims abstract description 190
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012216 screening Methods 0.000 claims abstract description 9
- 238000011156 evaluation Methods 0.000 claims abstract 16
- 238000004590 computer program Methods 0.000 claims description 17
- 238000011217 control strategy Methods 0.000 claims 2
- 238000011161 development Methods 0.000 abstract description 11
- 238000012827 research and development Methods 0.000 abstract description 7
- 238000013475 authorization Methods 0.000 description 46
- 230000008569 process Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008447 perception Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种访问风险评估方法、装置、设备及介质,涉及硬件技术领域,包括:获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及用户端的用户端环境信息,以便根据服务端环境信息和用户端环境信息确定出目标环境信息;基于访问请求信息和目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据访问请求信息确定出访问风险评估信息;利用访问风险评估信息和目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。通过本申请的上述技术方案,能够提高访问的安全性,增加访问风险评估的多样性和灵活性,从而减少访问风险评估系统与应用的开发时间,并降低研发成本。
Description
技术领域
本发明涉及硬件技术领域,特别涉及一种访问风险评估方法、装置、设备及介质。
背景技术
目前,随着数字化转型的不断加速,企业存在多个网络、多个系统、多个应用以及云服务等,一旦攻击者突破企业网络的边界防护,便可以在内部网络中进一步横向移动进行攻击破坏,不受阻碍和控制。
访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制主要为了防止非法的主体进入受保护的网络资源;允许合法用户访问受保护的网络资源;防止合法的用户对受保护的网络资源进行非授权的访问。访问控制技术的实现,通常对需要进行访问控制的所有子系统构建权限管理,在集成过程中还会对子系统有一定程度的入侵,如应用于多系统与多应用,将存在开发集成成本增加、不利于对权限管理的维护与控制逻辑变更、对其他系统与应用的兼容性低等诸多问题。
另外,常规的动态授权采用授权码机制,根据用户标识查找系统权限库,确定用户当前账号权限对应的基础授权码和动态授权码,基础授权码是预先设置的用户授权配置确定,动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定;根据待访问的权限标识分别与基础授权码和动态授权码的匹配状态,确定对用户的授权结果,其中,当待访问的权限标识分别与基础授权码和动态授权码匹配,则确定用户的授权结果为授权成功。授权码机制虽然可以实现风险感知和动态的细粒度授权,但是授权的规则、基于需求形成的安全策略等访问控制规则是预先定义的,无法变更的。如应用场景中需要变更规则时,该解决方案将不能满足,缺少对访问控制规则的灵活控制,该解决方案无法兼容访问控制业务逻辑不同的系统与应用,定制化开发成本高。
由上可见,在访问风险评估的过程中,如何提高访问的安全性,增加访问风险评估的多样性和灵活性,从而减少访问风险评估系统与应用的开发时间,并降低研发成本是本领域有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种访问风险评估方法、装置、设备及介质,能够有效提高访问的安全性,增加访问风险评估的多样性和灵活性,从而减少访问风险评估系统与应用的开发时间,并降低研发成本。其具体方案如下:
第一方面,本申请公开了一种访问风险评估方法,包括:
获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;
基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;
利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
可选的,所述获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,包括:
获取通过所述用户端发送的针对目标应用的所述访问请求,并对所述访问请求进行解析,以得到与所述用户端连接的目标服务端的目标接口信息;
判断所述目标接口信息与本地的接口信息是否一致,若所述目标接口信息与本地的接口信息一致,则基于所述访问请求确定出包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数的访问请求信息。
可选的,所述基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,包括:
获取安全策略,并按照策略类型对所述安全策略进行分类操作,以得到访问策略和控制策略,基于所述访问请求信息和所述目标环境信息从所有所述访问策略中筛选出第一访问策略;
利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略。
可选的,所述利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略,包括:
确定出所述第一访问策略的数量,并利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,判断所述布尔值的数量与所述第一访问策略的数量是否一致;
若所述布尔值的数量与所述第一访问策略的数量一致,则结束布尔运算,并将所述布尔值为True的所述第一访问策略确定为所述目标访问策略。
可选的,所述利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果,包括:
利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行布尔运算,以得到包含布尔值的访问风险评估子结果;
基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果。
可选的,所述基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果,包括:
判断所有的所述访问风险评估子结果中的布尔值是否均为True;
若所有的所述访问风险评估子结果中的布尔值均为True,则所述访问风险评估结果为无风险,若所有的所述访问风险评估子结果中的布尔值不均为True,则所述访问风险评估结果为有风险。
可选的,所述以得到访问风险评估结果之后,还包括:
判断所述访问风险评估结果是否为无风险;
若所述访问风险评估结果是否为无风险,则将所述访问风险评估结果转发至目标应用端,以便所述用户端基于所述访问风险评估结果对所述目标应用进行访问。
第二方面,本申请公开了一种访问风险评估装置,包括:
信息获取模块,用于获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;
访问策略筛选模块,用于基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;
风险评估模块,用于利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的访问风险评估方法。
第四方面,本申请公开了一种计算机存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的访问风险评估方法的步骤。
可见,本申请提供了一种访问风险评估方法,包括获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。本申请获取访问请求信息并确定出当前的目标环境信息,利用访问请求信息和目标环境信息筛选出目标访问策略,从而增加访问风险评估的多样性和灵活性,确定出访问风险评估信息,然后利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估以得到访问风险评估结果,能够有效提高访问的安全性,减少访问风险评估系统与应用的开发时间,并降低研发成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种访问风险评估方法流程图;
图2为本申请公开的一种具体的访问风险评估方法流程图;
图3为本申请公开的一种访问风险评估方法流程图;
图4为本申请公开的一种具体的访问风险评估方法流程图;
图5为本申请公开的一种具体的访问风险评估方法装置集成图;
图6为本申请公开的一种访问风险评估装置结构示意图;
图7为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在当前背景下,随着数字化转型的不断加速,企业存在多个网络、多个系统、多个应用以及云服务等,一旦攻击者突破企业网络的边界防护,便可以在内部网络中进一步横向移动进行攻击破坏,不受阻碍和控制。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制主要为了防止非法的主体进入受保护的网络资源;允许合法用户访问受保护的网络资源;防止合法的用户对受保护的网络资源进行非授权的访问。访问控制技术的实现,通常对需要进行访问控制的所有子系统构建权限管理,在集成过程中还会对子系统有一定程度的入侵,如应用于多系统与多应用,将存在开发集成成本增加、不利于对权限管理的维护与控制逻辑变更、对其他系统与应用的兼容性低等诸多问题。另外,常规的动态授权采用授权码机制,根据用户标识查找系统权限库,确定用户当前账号权限对应的基础授权码和动态授权码,基础授权码是预先设置的用户授权配置确定,动态授权码是根据包括多个环境维度的环境授权库和包括多个特权维度的特权授权库确定;根据待访问的权限标识分别与基础授权码和动态授权码的匹配状态,确定对用户的授权结果,其中,当待访问的权限标识分别与基础授权码和动态授权码匹配,则确定用户的授权结果为授权成功。授权码机制虽然可以实现风险感知和动态的细粒度授权,但是授权的规则、基于需求形成的安全策略等访问控制规则是预先定义的,无法变更的。如应用场景中需要变更规则时,该解决方案将不能满足,缺少对访问控制规则的灵活控制,该解决方案无法兼容访问控制业务逻辑不同的系统与应用,定制化开发成本高。
由上可见,在访问风险评估的过程中,如何提高访问的安全性,增加访问风险评估的多样性和灵活性,从而减少访问风险评估系统与应用的开发时间,并降低研发成本是本领域有待解决的问题。
参见图1所示,本发明实施例公开了一种访问风险评估方法,具体可以包括:
步骤S11:获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息。
本实施例中,获取通过所述用户端发送的针对目标应用的所述访问请求,并对所述访问请求进行解析,以得到与所述用户端连接的目标服务端的目标接口信息,然后判断所述目标接口信息与本地的接口信息是否一致,若所述目标接口信息与本地的接口信息一致,则基于所述访问请求确定出访问请求信息。
上述访问请求信息中包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数,其中,用户身份信息中包括但不限于所属组织机构、职级、角色,根据用户实体的身份信息与所属组织机构、职级、角色等,可以将与用户对应的基础权限进行分配和控制,并且,在获取用户身份信息的时候,还会从访问请求中解析出Session(会话控制)或Token(令牌)中携带的所有影响访问控制用户身份的信息。接口信息中包括但不限于接口地址、接口请求方式,由于用户端与目标服务端的接口连接,因此用户端会将目标服务端的接口信息发送至服务端,以便服务端判断目标服务端的接口信息与本地的接口信息是否一致,因此,接口信息可以确认当前请求访问的是否为目标服务端。针对所述目标应用的访问请求参数中包含用户当前访问操作行为的参数等,例如,GET、DELETE请求中的Query(查询)参数、Path参数等,POST、PUT请求中的Body参数、表单参数等。根据访问请求参数进行细粒度的权限管理和动态权限的管控。
本实施例中,获取本地的服务端环境信息以及所述用户端的用户端环境信息,环境信息均为能影响访问风险评估的环境因素的信息,例如,用户终端环境、系统环境、访问环境、网络环境等信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息,如用户终端环境的浏览器信息、IP地址,系统环境中服务集群的集群信息,网络环境中网络拓扑结构等。
步骤S12:基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息。
本实施例中,获取基于当前系统、平台及应用的安全访问规则和安全需求形成的安全策略,并按照策略类型对所述安全策略进行分类操作,以得到访问策略和控制策略,其中,访问策略是用于评估当前环境、用户身份等因素下的请求是否被允许的访问控制规则,控制策略是用于评估适用于当前环境、用户身份等因素下的访问策略。
基于所述访问请求信息和所述目标环境信息从所有所述访问策略中筛选出第一访问策略,然后利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略。
本实施例中,在筛选出第一访问策略之后,确定出所述第一访问策略的数量,并利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,判断所述布尔值的数量与所述第一访问策略的数量是否一致;若所述布尔值的数量与所述第一访问策略的数量一致,则结束布尔运算,并将所述布尔值为True的所述第一访问策略确定为所述目标访问策略。
例如,如图2所示,先获取基于当前系统、平台及应用的安全访问规则和安全需求形成的所有安全策略,然后进行分类操作,以得到访问策略和控制策略,然后基于所述访问请求信息和所述目标环境信息遍历所有所述访问策略,并获取访问策略数量(也就是第一访问策略数量),然后利用所述控制策略判断当前情境下访问策略是否适用(相当于进行布尔运算)以得到布尔值,如果布尔值为True,则将访问策略作为目标访问策略,并判断当前的布尔值数量是否与第一访问策略数量一致,也就是判断当前的访问策略是否为最后一个,如果一致,则结束布尔运算,并将布尔值为True的访问策略作为目标访问策略。
步骤S13:利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
本实施例中,在基于包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数的访问请求信息确定出访问风险评估信息之后,将所述访问风险评估信息和目标环境信息作为风险评估的参数,然后对目标访问策略进行风险评估,最终得到访问风险评估结果。
本实施例中,获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。本申请获取访问请求信息并确定出当前的目标环境信息,利用访问请求信息和目标环境信息筛选出目标访问策略,从而增加访问风险评估的多样性和灵活性,确定出访问风险评估信息,然后利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估以得到访问风险评估结果,能够有效提高访问的安全性,减少访问风险评估系统与应用的开发时间,并降低研发成本。
参见图3所示,本发明实施例公开了一种访问风险评估方法,具体可以包括:
步骤S21:获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息。
步骤S22:基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息。
其中,步骤S21、S22中更加详细的处理过程请参照前述公开的实施例,在此不再进行赘述。
步骤S23:利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行布尔运算,以得到包含布尔值的访问风险评估子结果,并基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果。
本实施例中,在根据所述访问请求信息确定出访问风险评估信息之后,利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行布尔运算,具体流程如下:判断所有的所述访问风险评估子结果中的布尔值是否均为True;若所有的所述访问风险评估子结果中的布尔值均为True,则所述访问风险评估结果为无风险,若所有的所述访问风险评估子结果中的布尔值不均为True,则所述访问风险评估结果为有风险。
本实施例中,在得到访问风险评估结果之后,还包括:判断所述访问风险评估结果是否为无风险;若所述访问风险评估结果是否为无风险,则将所述访问风险评估结果转发至目标应用端,以便所述用户端基于所述访问风险评估结果对所述目标应用进行访问。
例如,如图4所示,在筛选出目标访问策略并确定出之后,利用上述获取的访问风险评估信息和目标环境信息遍历所有的目标访问策略,然后判断是否适用(相当于进行布尔运算)以得到包含布尔值的访问风险评估子结果,需要注意的是,当前描述的布尔运算与上述图2处的布尔运算不相同,并判断当前的目标访问策略是否为最后一个,如果是,则结束布尔运算,以得到所有的所述访问风险评估子结果。如果所有的所述访问风险评估子结果中的布尔值均为True,则得到无风险的访问风险评估结果,如果所有的所述访问风险评估子结果中的布尔值存在一个False,则得到有风险的访问风险评估结果,若访问风险评估结果为无风险,则允许进行访问,也就是说,若访问风险评估结果为无风险,将所述访问风险评估结果转发至目标应用端,以便所述用户端基于所述访问风险评估结果对所述目标应用进行访问,若访问风险评估结果为有风险,则拒绝进行访问,并且访问风险评估结果将不会被转发。
例如,如图5所示,根据本实施例的流程具体可以分为五个不同的子装置,包括:请求接收子装置、环境感知子装置、安全策略子装置、风险评估子装置以及请求转发子装置。请求接收子装置,用于接收用户端发送的访问请求,然后进行解析以得到包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数的访问请求信息;环境感知子装置,用于获取本地的服务端环境信息以及所述用户端的用户端环境信息,环境信息,也就是影响访问风险评估的环境因素的信息;安全策略子装置,用于获取基于当前系统、平台及应用的安全访问规则和安全需求形成的所有安全策略并进行分类操作,然后获取请求接收子装置、环境感知子装置中的所述访问请求信息和所述目标环境信息,并基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略;风险评估子装置,用于获取请求接收子装置、环境感知子装置以及安全策略子装置中的所述访问风险评估信息、所述目标环境信息以及所述目标访问策略,并利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果,并将访问风险评估结果发送至请求转发子装置;请求转发子装置,用于判断所述访问风险评估结果是否为无风险,若所述访问风险评估结果为无风险,则将所述访问风险评估结果转发至目标应用端(应用1、应用2、应用3),若所述访问风险评估结果为有风险,则访问风险评估结果将不会被转发。
参见图6所示,本发明实施例公开了一种访问风险评估装置,具体可以包括:
信息获取模块11,用于获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;
访问策略筛选模块12,用于基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;
风险评估模块13,用于利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
本实施例中,获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。本申请获取访问请求信息并确定出当前的目标环境信息,利用访问请求信息和目标环境信息筛选出目标访问策略,从而增加访问风险评估的多样性和灵活性,确定出访问风险评估信息,然后利用所述访问风险评估信息对所述目标访问策略进行风险评估以得到访问风险评估结果,能够有效提高访问的安全性,减少访问风险评估系统与应用的开发时间,并降低研发成本。
在一些具体实施例中,所述信息获取模块11,具体可以包括:
访问请求获取模块,用于获取通过所述用户端发送的针对目标应用的所述访问请求,并对所述访问请求进行解析,以得到与所述用户端连接的目标服务端的目标接口信息;
访问请求信息确定模块,用于判断所述目标接口信息与本地的接口信息是否一致,若所述目标接口信息与本地的接口信息一致,则基于所述访问请求确定出包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数的访问请求信息。
在一些具体实施例中,所述访问策略筛选模块12,具体可以包括:
安全策略获取模块,用于获取安全策略,并按照策略类型对所述安全策略进行分类操作,以得到访问策略和控制策略,基于所述访问请求信息和所述目标环境信息从所有所述访问策略中筛选出第一访问策略;
目标访问策略确定模块,用于利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略。
在一些具体实施例中,所述目标访问策略确定模块,具体可以包括:
布尔运算模块,用于确定出所述第一访问策略的数量,并利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,判断所述布尔值的数量与所述第一访问策略的数量是否一致;
目标访问策略确定模块,用于若所述布尔值的数量与所述第一访问策略的数量一致,则结束布尔运算,并将所述布尔值为True的所述第一访问策略确定为所述目标访问策略。
在一些具体实施例中,所述风险评估模块13,具体可以包括:
访问风险评估子结果确定模块,用于利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行布尔运算,以得到包含布尔值的访问风险评估子结果;
访问风险评估结果确定模块,用于基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果。
在一些具体实施例中,所述风险评估模块13,具体可以包括:
第一判断模块,用于判断所有的所述访问风险评估子结果中的布尔值是否均为True;
访问风险评估结果确定模块,用于若所有的所述访问风险评估子结果中的布尔值均为True,则所述访问风险评估结果为无风险,若所有的所述访问风险评估子结果中的布尔值不均为True,则所述访问风险评估结果为有风险。
在一些具体实施例中,所述风险评估模块13,具体可以包括:
第二判断模块,用于判断所述访问风险评估结果是否为无风险;
转发模块,用于若所述访问风险评估结果是否为无风险,则将所述访问风险评估结果转发至目标应用端,以便所述用户端基于所述访问风险评估结果对所述目标应用进行访问。
图7为本申请实施例提供的一种电子设备的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的由电子设备执行的访问风险评估方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中数据223的运算与处理,其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的访问风险评估方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括访问风险评估设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
进一步的,本申请实施例还公开了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的访问风险评估方法步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种访问风险评估方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种访问风险评估方法,其特征在于,应用于服务端,包括:
获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;
基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;
利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
2.根据权利要求1所述的访问风险评估方法,其特征在于,所述获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,包括:
获取通过所述用户端发送的针对目标应用的所述访问请求,并对所述访问请求进行解析,以得到与所述用户端连接的目标服务端的目标接口信息;
判断所述目标接口信息与本地的接口信息是否一致,若所述目标接口信息与本地的接口信息一致,则基于所述访问请求确定出包含用户身份信息、所述接口信息以及针对所述目标应用的访问请求参数的访问请求信息。
3.根据权利要求1所述的访问风险评估方法,其特征在于,所述基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,包括:
获取安全策略,并按照策略类型对所述安全策略进行分类操作,以得到访问策略和控制策略,基于所述访问请求信息和所述目标环境信息从所有所述访问策略中筛选出第一访问策略;
利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略。
4.根据权利要求3所述的访问风险评估方法,其特征在于,所述利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,基于所述布尔值确定出所述目标访问策略,包括:
确定出所述第一访问策略的数量,并利用所述控制策略对所述第一访问策略进行布尔运算以得到布尔值,判断所述布尔值的数量与所述第一访问策略的数量是否一致;
若所述布尔值的数量与所述第一访问策略的数量一致,则结束布尔运算,并将所述布尔值为True的所述第一访问策略确定为所述目标访问策略。
5.根据权利要求1所述的访问风险评估方法,其特征在于,所述利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果,包括:
利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行布尔运算,以得到包含布尔值的访问风险评估子结果;
基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果。
6.根据权利要求5所述的访问风险评估方法,其特征在于,所述基于所有的所述访问风险评估子结果中的布尔值确定出访问风险评估结果,包括:
判断所有的所述访问风险评估子结果中的布尔值是否均为True;
若所有的所述访问风险评估子结果中的布尔值均为True,则所述访问风险评估结果为无风险,若所有的所述访问风险评估子结果中的布尔值不均为True,则所述访问风险评估结果为有风险。
7.根据权利要求5至6任一项所述的访问风险评估方法,其特征在于,所述以得到访问风险评估结果之后,还包括:
判断所述访问风险评估结果是否为无风险;
若所述访问风险评估结果是否为无风险,则将所述访问风险评估结果转发至目标应用端,以便所述用户端基于所述访问风险评估结果对所述目标应用进行访问。
8.一种访问风险评估装置,其特征在于,包括:
信息获取模块,用于获取通过用户端发送的针对目标应用的访问请求,以得到访问请求信息,获取本地的服务端环境信息以及所述用户端的用户端环境信息,以便根据所述服务端环境信息和所述用户端环境信息确定出目标环境信息;
访问策略筛选模块,用于基于所述访问请求信息和所述目标环境信息从预先获取的所有访问策略中筛选出目标访问策略,并根据所述访问请求信息确定出访问风险评估信息;
风险评估模块,用于利用所述访问风险评估信息和所述目标环境信息对所述目标访问策略进行风险评估,以得到访问风险评估结果。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的访问风险评估方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的访问风险评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210599418.3A CN115022008A (zh) | 2022-05-30 | 2022-05-30 | 一种访问风险评估方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210599418.3A CN115022008A (zh) | 2022-05-30 | 2022-05-30 | 一种访问风险评估方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115022008A true CN115022008A (zh) | 2022-09-06 |
Family
ID=83070662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210599418.3A Withdrawn CN115022008A (zh) | 2022-05-30 | 2022-05-30 | 一种访问风险评估方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022008A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116433004A (zh) * | 2023-02-20 | 2023-07-14 | 深圳耀东安全科技有限公司 | 一种基于编码溯源的面向城市公共安全的风险防控方法及系统 |
| CN118690391A (zh) * | 2024-06-26 | 2024-09-24 | 苏州元脑智能科技有限公司 | 一种安全访问控制方法、装置、电子设备及介质 |
| CN119766560A (zh) * | 2024-12-30 | 2025-04-04 | 中国移动通信集团广东有限公司 | 访问控制方法、装置及设备 |
-
2022
- 2022-05-30 CN CN202210599418.3A patent/CN115022008A/zh not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116433004A (zh) * | 2023-02-20 | 2023-07-14 | 深圳耀东安全科技有限公司 | 一种基于编码溯源的面向城市公共安全的风险防控方法及系统 |
| CN116433004B (zh) * | 2023-02-20 | 2024-04-09 | 深圳耀东安全科技有限公司 | 一种基于编码溯源的面向城市公共安全的风险防控方法及系统 |
| CN118690391A (zh) * | 2024-06-26 | 2024-09-24 | 苏州元脑智能科技有限公司 | 一种安全访问控制方法、装置、电子设备及介质 |
| CN118690391B (zh) * | 2024-06-26 | 2025-09-30 | 苏州元脑智能科技有限公司 | 一种安全访问控制方法、装置、电子设备及介质 |
| CN119766560A (zh) * | 2024-12-30 | 2025-04-04 | 中国移动通信集团广东有限公司 | 访问控制方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12363071B2 (en) | Dynamic firewall configuration | |
| US10749886B1 (en) | Analyzing diversely structured operational policies | |
| CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| CN111488595A (zh) | 用于实现权限控制的方法及相关设备 | |
| US8533782B2 (en) | Access control | |
| CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
| CN102100032A (zh) | 形成对等网络的信誉系统 | |
| CN101515868A (zh) | 一种网络权限管理方法、装置和系统 | |
| CN110971569A (zh) | 网络访问权限管理方法、装置及计算设备 | |
| CN110968848B (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
| WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
| CN111726364A (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| US11190589B1 (en) | System and method for efficient fingerprinting in cloud multitenant data loss prevention | |
| CN116015721A (zh) | 一种违规外联检测方法、系统、电子设备及介质 | |
| CN113542292A (zh) | 基于dns和ip信誉数据的内网安全防护方法及系统 | |
| CN114745143A (zh) | 一种访问控制策略自动生成方法及装置 | |
| KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
| US12360800B2 (en) | Distributed attribute based access control as means of data protection and collaboration in sensitive (personal) digital record and activity trail investigations | |
| US20190104110A1 (en) | Method and system for controlling transmission of data packets in a network | |
| CN111865876B (zh) | 网络的访问控制方法和设备 | |
| CN119402221A (zh) | 一种数据跨区跨域共享动态管控架构、方法和系统 | |
| CN118118238A (zh) | 访问权限的验证方法及装置 | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN113645060B (zh) | 一种网卡配置方法、数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220906 |