CN117540404A - 一种管理权限匹配方法、装置及*** - Google Patents
一种管理权限匹配方法、装置及*** Download PDFInfo
- Publication number
- CN117540404A CN117540404A CN202311633290.9A CN202311633290A CN117540404A CN 117540404 A CN117540404 A CN 117540404A CN 202311633290 A CN202311633290 A CN 202311633290A CN 117540404 A CN117540404 A CN 117540404A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- rights
- authorities
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000007246 mechanism Effects 0.000 claims abstract description 43
- 230000008859 change Effects 0.000 claims abstract description 36
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000006399 behavior Effects 0.000 claims abstract description 21
- 238000012795 verification Methods 0.000 claims abstract description 12
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 10
- 238000007726 management method Methods 0.000 claims description 47
- 238000012544 monitoring process Methods 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 23
- 238000012508 change request Methods 0.000 claims description 19
- 238000012550 audit Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 10
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 7
- 230000001960 triggered effect Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 5
- 238000013461 design Methods 0.000 claims description 4
- 238000012552 review Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 239000003086 colorant Substances 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
一种管理权限匹配方法、装置及***,其特征在于,包括:确定需要管理的资源和相应的权限,定义***中的不同用户角色;制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构;设置有效的身份验证机制;根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限;记录每个用户的权限使用情况,及时发现异常行为;设定定期审查权限的策略,建立有效的沟通机制,并及时响应,实施权限撤销机制,能够及时撤销权限。本发明引入权限调整机制,***根据用户的实际行为和职责动态调整权限,确保权限与用户工作任务的变化保持一致。
Description
技术领域
本发明属于资源权限管理技术领域,尤其涉及一种管理权限匹配方法、装置及***。
背景技术
随着现代科学技术的发展,初始权限分配不合理,缺乏动态调整机制,或者审批流程过于繁琐,导致某些用户拥有过多的权限,或者某些用户无法执行其实际工作所需的操作。缺乏自动化的权限调整机制,审批流程太过繁琐,或者审查周期过长,用户职责发生变化或者角色发生改变时,权限调整没有及时跟进。缺乏***资源、技术或者对审计和监控的重视,没有有效的审计和监控机制,无法追踪用户的权限使用情况,难以及时发现潜在的安全问题。缺乏培训和文档,或者沟通平台不够便利,缺乏清晰的沟通渠道,导致用户对权限变更流程和规定的了解不足。缺乏对权限使用的实时监控,或者审批流程存在缺陷。存在权限滥用的风险,某些用户可能意外或恶意地获取了超出其工作需要的权限。流程设计不合理,审批人员过多或过少,或者审批规则不够智能,导致权限变更请求的处理时间过长,影响用户的正常工作。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述或现有的管理权限匹配方法存在的问题,提出了本发明。
为解决上述技术问题,本发明提供如下技术方案:
第一方面,本发明实施例提供了一种管理权限匹配方法,包括:确定需要管理的资源和相应的权限,定义***中的不同用户角色;制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中;设置身份验证机制,以确保每个用户都能被识别;根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,确保及时反映用户在***中的活动和角色变化;记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为;设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,并及时响应,实施权限撤销机制,当用户不再需要权限时,能够及时撤销权限。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述确定需要管理的资源和相应的权限,定义***中的不同用户角色,包括:确定需要管理的平台资源,包括包括用户数据和***设置和API访问和操作日志;将资源按照类型进行分类,将用户数据分为个人信息和历史记录;识别在平台中关键的用户角色,包括管理员和普通用户和开发者,明确每个角色在平台中的职责,管理员负责配置***设置,普通用户负责使用核心功能,开发者负责访问API。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中,包括:在平台管理中,普通用户具有基本访问和操作权限,查看和编辑个人信息以及参与业务流程,管理员负责***配置和用户管理,管理用户账户、配置***设置以及监控***运行,审批者参与审批流程的用户,参与审批流程,审核和批准相关请求;制定权限标准,普通用户只能访问和编辑自己的个人信息、访问和编辑与其工作相关的文档以及数据录入和查看报表;管理员具有对所有用户信息的访问和编辑权限、对所有文档的完全访问和编辑权限以及配置***设置和监控***运行。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述设置有效的身份验证机制,以确保每个用户都能被识别,包括:强制要求所有用户启用双因素身份验证,以提高***的安全性;对于管理权限低的普通用户进一步设置验证机制,通过使用生物识别特征来识别不同的普通用户,识别时显示不同程度的红色,深红色表示最高访问权限a级,红色代表普通访问权限b级,浅红色代表最低访问权限c级,根据用户的管理权限等级进行动态授权。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,包括:针对每个用户角色,创建一个角色模板,定义该角色在***中的初始权限,每个模板包含对资源的访问权限和执行特定操作的权限;在用户注册或初始化阶段,***自动根据用户角色分配相应的权限,普通用户被分配基本的读取和编辑权限,而管理员获得更广泛的***配置权限;使用动态规则引擎,引擎根据用户提供的信息、行为和需求自动调整权限;根据上下文信息,动态调整用户权限,确保用户只能访问和操作与其当前任务相关的资源;实施权限变更的审批流程,以确保任何权限调整都经过合理的审核,当用户需要访问更敏感的信息或执行更高级别的操作时,***启动审批流程;集成学习算法,根据用户的历史行为和偏好,自动调整权限,当***观察到用户经常访问某类资源时,自动提升用户对该类资源的权限。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为,包括:针对每个用户,建立审计日志记录其权限使用情况,记录的信息包括登录时间和访问的资源和执行的操作以及可能的权限变更;设定定期生成审计报告的机制,对***中权限的使用情况进行审查;集成监控***,实时监测用户的权限使用情况,当发现某个用户频繁请求或使用高级别权限时,触发警报机制,设定阈值,超过阈值时触发自动警报或暂时限制用户权限。
作为本发明所述管理权限匹配方法的一种优选方案,其中:所述设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,包括:每季度或每半年进行一次权限审查,在定期审查中特别关注用户角色的变更,确保新的职责和权限与其角色相匹配,对于角色变更,进行额外的审查以防止滥用权限;建立明确的沟通渠道,使管理员和用户能够及时了解权限变更的流程和规定,确保所有相关方都清楚如何提出权限变更请求,在***内部建立一个网络平台,用户在上面提交权限变更请求,发送***消息通知,以提醒用户查看其权限并提出必要的变更请求。
第二方面,本发明实施例提供了一种管理权限匹配***,其包括,角色定义模块,用于确定需要管理的资源和相应的权限,定义***中的不同用户角色;
权限制定模块,用于制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中;身份验证模块,用于设置身份验证机制,以确保每个用户都能被识别;权限调整模块,用于根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,确保及时反映用户在***中的活动和角色变化;权限监测模块,用于记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为;审查沟通模块,设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,并及时响应,实施权限撤销机制,当用户不再需要权限时,能够及时撤销权限。
第三方面,本发明实施例提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其中:所述处理器执行所述计算机程序时实现上述管理权限匹配方法的任一步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中:所述计算机程序被处理器执行时实现上述管理权限匹配方法的任一步骤。
本发明的有益效果为:本发明通过引入智能化的权限调整机制,***能够根据用户的实际行为和职责动态调整权限,确保权限与用户工作任务的变化保持一致。引入自动审计与监控机制,***能够实时监测用户的权限使用情况,及时发现异常行为,从而提高***的安全性,减少潜在的风险。设计简化而用户友好的权限变更请求流程,降低用户提出请求的门槛,使其能够方便地提出权限变更请求,增加用户参与度。设定定期审查权限的策略,通过定期提醒和通知,确保管理员和用户能够及时了解权限变更的流程和规定,减少权限滞后问题。建立明确的沟通渠道,提供培训和文档,使用户和管理员了解权限管理的基本原则和流程,加强用户与管理层之间的有效沟通。提供用户自助权限变更的功能,使用户能够方便地提出权限变更请求,缓解权限管理的负担,提高***的灵活性。引入机制检测长时间未被使用的权限,将其标记为闲置权限,实现对异常权限的自动撤销,提高***的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明实施例提供的一种管理权限匹配方法的流程图。
图2为本发明实施例提供的一种管理权限匹配***的结构示意图。
图3为本发明实施例提供的一种管理权限匹配方法、装置及***的的身份验证的步骤流程图。
图4为本发明实施例提供的一种管理权限匹配方法、装置及***的计算机设备的内部结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
实施例
参照图1~图3,为本发明第一个实施例,该实施例提供了一种管理权限匹配方法,包括:
S1:确定需要管理的资源和相应的权限,定义***中的不同用户角色。
优选的,确定需要管理的平台资源,包括用户数据和***设置和API访问和操作日志,将资源按照类型进行分类,将用户数据分为个人信息和历史记录;识别在平台中关键的用户角色,包括管理员和普通用户和开发者,明确每个角色在平台中的职责,管理员负责配置***设置,普通用户负责使用核心功能,开发者负责访问API。
进一步的,管理员负责配置***设置,包括安全设置和通知设置和其他全局设置,拥有对所有资源的完全访问权限,能够配置用户权限和***参数;普通用户使用平台的核心功能,执行查询、编辑等常规操作,只能访问和修改自己的个人信息,以及执行核心功能操作;开发者负责访问平台的API,进行开发和集成,拥有访问API的权限,可能需要特定的API密钥
S2:制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构。
优选的,在平台管理中,普通用户具有基本访问和操作权限,查看和编辑个人信息以及参与业务流程,管理员负责***配置和用户管理,管理用户账户、配置***设置以及监控***运行,审批者参与审批流程的用户,参与审批流程,审核和批准相关请求;制定权限标准,普通用户只能访问和编辑自己的个人信息、访问和编辑与其工作相关的文档以及数据录入和查看报表;管理员具有对所有用户信息的访问和编辑权限、对所有文档的完全访问和编辑权限以及配置***设置和监控***运行。
进一步的,管理员具有对平台上所有用户信息的完全访问和编辑权限,查看和修改任何用户的个人信息,创建、修改和删除用户账户,包括分配角色和权限。对所有文档的完全访问和编辑权限:管理员查看和编辑平台上的所有文档和文件,无论与其工作是否相关。能够进行文档的创建、修改、删除和移动,确保文档库的有效管理。具有配置平台的***设置的权限,包括安全设置、通知设置。可以查看***运行状态、日志记录和其他与***健康相关的信息。
进一步的,审批者具有参与审批流程的权限,可以接收和审批相关请求。能够审核和批准特定类型的请求,确保审批流程的顺利进行。
S3:设置有效的身份验证机制,以确保每个用户都能被识别。
优选的,强制要求所有用户启用双因素身份验证,以提高***的安全性;对于管理权限低的普通用户进一步设置验证机制,通过使用生物识别特征来识别不同的普通用户,识别时显示不同程度的红色,深红色表示最高访问权限a级,红色代表普通访问权限b级,浅红色代表最低访问权限c级,根据用户的管理权限等级进行动态授权。
进一步的,对用户身份进行验证后,若用户身份为最低管理权限c级,则该用户将不对其授予进一步深度管理权利,访问终止;若用户身份为管理权限b级,则该用户获得进一步深度管理权利,授予一级管理权利;若用户身份为最高访问权限a级,则该用户获得进一步深度管理权利,授予二级管理权利。
进一步的,对于a级管理权限用户,进一步拓展二级管理权利,允许配置***设置、访问高级管理工具和功能,提供高级数据分析工具和生成详细报告的能力,以帮助他们更好地理解数据,允许他们创建和管理自定义工作流程,以满足组织特定的需求,允许他们管路更多数据源和资源,以支持更广泛的业务需求;***应能够实时控制和监控用户的权限,以适应他们的需求和行为变化,若用户的权限级别发生变化,***应立即调整他们的访问权限。
S4:根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限。
优选的,针对每个用户角色,创建一个角色模板,定义该角色在***中的初始权限,每个模板包含对资源的访问权限和执行特定操作的权限;在用户注册或初始化阶段,***自动根据用户角色分配相应的权限,普通用户被分配基本的读取和编辑权限,而管理员获得更广泛的***配置权限;使用动态规则引擎,引擎根据用户提供的信息、行为和需求自动调整权限。
优选的,根据上下文信息,动态调整用户权限,确保用户只能访问和操作与其当前任务相关的资源;实施权限变更的审批流程,以确保任何权限调整都经过合理的审核,当用户需要访问更敏感的信息或执行更高级别的操作时,***启动审批流程;集成学习算法,根据用户的历史行为和偏好,自动调整权限,当***观察到用户经常访问某类资源时,自动提升用户对该类资源的权限。
进一步的,在用户注册或初始化阶段,***自动根据普通用户角色分配普通用户角色模板权限。普通用户被分配基本的读取和编辑权限,包括个人信息的读取和编辑,以及与工作相关的文档的读取和编辑权限。管理员在注册或初始化阶段被自动分配管理员角色模板权限。管理员获得更广泛的***配置权限,包括对所有用户信息的读取和编辑,所有文档的读取和编辑,以及***设置和运行监控权限。
进一步的,当用户提供新的信息或发生职务变动时,规则引擎可以根据这些信息自动调整用户的权限。如果用户被分配新的项目,规则引擎可以自动调整其文档权限以访问与该项目相关的文档。规则引擎可以根据用户在***中的行为和提出的权限变更请求,动态调整用户的权限。当用户频繁访问某一类资源时,规则引擎可以自动提升该用户对该类资源的权限。
进一步的,若用户经常访问特定项目文档,用户在***中频繁访问某一项目文档。集成学习算法分析用户的历史行为和偏好,发现用户对该项目文档表现出高度兴趣。***根据预测结果,自动提升用户对该项目文档的权限级别,使其能够更方便地访问和编辑相关资源。
S5:记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为。
优选的,针对每个用户,建立审计日志记录其权限使用情况,记录的信息包括登录时间和访问的资源和执行的操作以及可能的权限变更;设定定期生成审计报告的机制,对***中权限的使用情况进行审查;集成监控***,实时监测用户的权限使用情况,当发现某个用户频繁请求或使用高级别权限时,触发警报机制,设定阈值,超过阈值时触发自动警报或暂时限制用户权限。
进一步的,设定定期生成审计报告的周期,如每周、每月一次。报告包括权限使用情况的统计信息,用户登录次数,访问的资源和操作,权限变更记录等。***每周生成审计报告,汇总了用户登录情况和访问资源和执行操作的次数和具体操作信息。设定监控***对用户权限使用情况的实时监测频率,如每分钟检查一次。监测用户的登录、访问资源、执行操作等行为。设定阈值,当用户请求或使用高级别权限超过设定阈值时触发警报机制。
进一步的,若用户B在短时间内频繁请求高级别权限,监控***检测到用户B的请求超过设定的阈值,触发警报机制。发送邮件通知管理员,提供用户B的具体行为和请求情况。根据警报机制的设置,自动发送警报通知给相关人员。若用户C在短时间内多次请求高级别权限,超过设定阈值。***自动发送警报通知给管理员,并暂时限制用户C的高级别权限,确保安全性。
S6:设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求。
优选的,每季度或每半年进行一次权限审查,在定期审查中特别关注用户角色的变更,确保新的职责和权限与其角色相匹配,对于角色变更,进行额外的审查以防止滥用权限;建立明确的沟通渠道,使管理员和用户能够及时了解权限变更的流程和规定,确保所有相关方都清楚如何提出权限变更请求,在***内部建立一个网络平台,用户在上面提交权限变更请求,发送***消息通知,以提醒用户查看其权限并提出必要的变更请求。
进一步的,***内部建立一个网络平台,通过***消息通知管理员和用户。
发送电子邮件通知,提醒相关人员查看权限并提出变更请求。若用户A的职责发生变更,用户A收到***消息通知,提醒查看其权限情况,用户A在***网络平台上提交权限变更请求,管理员收到通知后,审查变更请求。
进一步的,在***内部建立网络平台,用户方便地提交权限变更请求。用户通过网络平台提交权限变更请求,提供变更的原因和相关信息,管理员收到请求后,进行审批流程,确保变更符合规定。若用户B需要扩大对某类资源的权限,用户B登录***网络平台,提交权限变更请求,请求包括对某类资源的权限扩大的原因和详细说明。管理员接收到请求,进行审批流程,确保变更合理。
在一个优选实施例中,一种管理权限匹配***,该***角色定义模块,用于确定需要管理的资源和相应的权限,定义***中的不同用户角色;权限制定模块,用于制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中;身份验证模块,用于设置有效的身份验证机制,以确保每个用户都能被识别;权限调整模块,用于根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,确保及时反映用户在***中的活动和角色变化;权限监测模块,用于记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为;审查沟通模块,设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,并及时响应,实施权限撤销机制,当用户不再需要权限时,能够及时撤销权限。
上述各单元模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,该计算机设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
应说明的是,以上实施例仅用于说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种管理权限匹配方法,其特征在于,包括:
确定需要管理的资源和相应的权限,定义***中的不同用户角色;
制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中;
设置身份验证机制,以确保每个用户都能被识别;
根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,确保及时反映用户在***中的活动和角色变化;
记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为;
设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,并及时响应,实施权限撤销机制,当用户不再需要权限时,能够及时撤销权限。
2.如权利要求1所述的管理权限匹配方法,其特征在于,所述确定需要管理的资源和相应的权限,定义***中的不同用户角色,包括:
确定需要管理的平台资源,包括用户数据和***设置和API访问和操作日志;
将资源按照类型进行分类,将用户数据分为个人信息和历史记录;识别在平台中关键的用户角色,包括管理员和普通用户和开发者,明确每个角色在平台中的职责,管理员负责配置***设置,普通用户负责使用核心功能,开发者负责访问API。
3.如权利要求1所述的管理权限匹配方法,其特征在于,所述制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中,包括:
在平台管理中,普通用户具有基本访问和操作权限,查看和编辑个人信息以及参与业务流程;管理员负责***配置和用户管理,管理用户账户和配置***设置以及监控***运行;审批者参与审批流程的用户,参与审批流程,审核和批准相关请求;制定权限标准,普通用户只能访问和编辑自己的个人信息、访问和编辑与其工作相关的文档以及数据录入和查看报表;管理员具有对所有用户信息的访问和编辑权限、对所有文档的完全访问和编辑权限以及配置***设置和监控***运行。
4.如权利要求1所述的管理权限匹配方法,其特征在于,所述设置有效的身份验证机制,以确保每个用户都能被识别,包括:
强制要求所有用户启用双因素身份验证,以提高***的安全性;对于管理权限低的普通用户进一步设置验证机制,通过使用生物识别特征来识别不同的普通用户,识别时显示不同程度的红色,深红色表示最高访问权限a级,红色代表普通访问权限b级,浅红色代表最低访问权限c级,根据用户的管理权限等级进行动态授权。
5.如权利要求1所述的管理权限匹配方法,其特征在于,所述根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,包括:
针对每个用户角色,创建一个角色模板,定义该角色在***中的初始权限,每个模板包含对资源的访问权限和执行特定操作的权限;在用户注册或初始化阶段,***自动根据用户角色分配相应的权限,普通用户被分配基本的读取和编辑权限,而管理员获得更广泛的***配置权限;使用动态规则引擎,引擎根据用户提供的信息、行为和需求自动调整权限;根据上下文信息,动态调整用户权限,确保用户只能访问和操作与其当前任务相关的资源;实施权限变更的审批流程,以确保任何权限调整都经过合理的审核,当用户需要访问更敏感的信息或执行更高级别的操作时,***启动审批流程;集成学习算法,根据用户的历史行为和偏好,自动调整权限,当***观察到用户经常访问某类资源时,自动提升用户对该类资源的权限。
6.如权利要求1所述的管理权限匹配方法,其特征在于,所述记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为,包括:
针对每个用户,建立审计日志记录其权限使用情况,记录的信息包括登录时间和访问的资源和执行的操作以及可能的权限变更;设定定期生成审计报告的机制,对***中权限的使用情况进行审查;集成监控***,实时监测用户的权限使用情况,当发现某个用户频繁请求或使用高级别权限时,触发警报机制,设定阈值,超过阈值时触发自动警报或暂时限制用户权限。
7.如权利要求1所述的管理权限匹配方法,其特征在于,所述设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,包括:
每季度或每半年进行一次权限审查,在定期审查中特别关注用户角色的变更,确保新的职责和权限与其角色相匹配,对于角色变更,进行额外的审查以防止滥用权限;建立明确的沟通渠道,使管理员和用户能够及时了解权限变更的流程和规定,确保所有相关方都清楚如何提出权限变更请求,在***内部建立一个网络平台,用户在上面提交权限变更请求,发送***消息通知,以提醒用户查看其权限并提出必要的变更请求。
8.一种管理权限匹配***,其特征在于,包括:
角色定义模块,用于确定需要管理的资源和相应的权限,定义***中的不同用户角色;
权限制定模块,用于制定权限标准,明确每个角色在***中的职责和权限,设计权限的确定需要管理的资源和相应的权限,定义***中的不同用户角色层级结构,确保低层级权限的包含在高层级权限之中;
身份验证模块,用于设置身份验证机制,以确保每个用户都能被识别;
权限调整模块,用于根据用户的角色和身份,在注册或初始化阶段自动分配初始权限,考虑根据用户的行为和需求动态调整权限,确保及时反映用户在***中的活动和角色变化;
权限监测模块,用于记录每个用户的权限使用情况,以便追踪潜在的安全问题,使用监控***实时监测用户权限的使用情况,及时发现异常行为;
审查沟通模块,设定定期审查权限的策略,确保权限与用户职责的变化保持一致,建立有效的沟通机制,让用户能够提出权限变更的请求,并及时响应,实施权限撤销机制,当用户不再需要权限时,能够及时撤销权限。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~7任一所述的管理权限匹配方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7任一所述的管理权限匹配方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311633290.9A CN117540404A (zh) | 2023-11-30 | 2023-11-30 | 一种管理权限匹配方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311633290.9A CN117540404A (zh) | 2023-11-30 | 2023-11-30 | 一种管理权限匹配方法、装置及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117540404A true CN117540404A (zh) | 2024-02-09 |
Family
ID=89787944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311633290.9A Pending CN117540404A (zh) | 2023-11-30 | 2023-11-30 | 一种管理权限匹配方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117540404A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118157997A (zh) * | 2024-05-11 | 2024-06-07 | 华能信息技术有限公司 | 一种用户权限管理方法 |
-
2023
- 2023-11-30 CN CN202311633290.9A patent/CN117540404A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118157997A (zh) * | 2024-05-11 | 2024-06-07 | 华能信息技术有限公司 | 一种用户权限管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326637B2 (en) | Functionality management via application modification | |
| US10754932B2 (en) | Centralized consent management | |
| US11151254B2 (en) | Secure communications gateway for trusted execution and secure communications | |
| US10824757B2 (en) | Social media and data sharing controls | |
| US8015563B2 (en) | Managing virtual machines with system-wide policies | |
| US8490152B2 (en) | Entitlement lifecycle management in a resource management system | |
| US7607164B2 (en) | Systems and processes for managing policy change in a distributed enterprise | |
| US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
| US20070245348A1 (en) | Virtual machine self-service restrictions | |
| US20060143447A1 (en) | Managing elevated rights on a network | |
| CN112182619A (zh) | 基于用户权限的业务处理方法、***及电子设备和介质 | |
| US20080016546A1 (en) | Dynamic profile access control | |
| US11212291B2 (en) | Securing services and intra-service communications | |
| JP4676782B2 (ja) | 情報処理装置、操作許可データ生成方法、操作許可データ生成許否判定方法、操作許可データ生成プログラム、操作許否データ生成許否判定プログラム及び記録媒体 | |
| CN117540404A (zh) | 一种管理权限匹配方法、装置及*** | |
| US20220200995A1 (en) | Method and server for access verification in an identity and access management system | |
| US8010456B2 (en) | Policy based application provisioning in a collaborative computing environment | |
| JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
| CN116383804A (zh) | 一种权限管理方法、装置、设备、介质及程序产品 | |
| JP2006302041A (ja) | 情報管理装置、情報管理方法および情報管理プログラム | |
| US20050251850A1 (en) | System and method for providing REA model based security | |
| Perkins et al. | Consider identity and access management as a process, not a technology | |
| JP2022144297A (ja) | サービス提供システム、情報処理システム、情報処理方法、及びプログラム | |
| US7568036B2 (en) | Adaptive management method with automatic scanner installation | |
| Rivington et al. | A service oriented architecture for authorization of unknown entities in a grid environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |